XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學賬號、口令及權限管理辦法

　　第一章 總則

　　第一條 制度目標：為了加強信息安全保障能力，建立健全安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度為加強師生用戶對于系統賬號、口令及權限的安全管理，規范賬號、口令及權限的使用，降低由于濫用、越權等威脅帶來的風險。

　　第二條 適用范圍：本制度適用于TCP/IP網絡和所承載的業務系統。

　　第三條 使用人員及角色職責：本制度適用于涉及運維的相關人員及使用IT 設備的師生用戶。

　　第二章 組織職責

　　第四條 師生用戶進行賬號申請和審批應首先由師生用戶所在部門負責初步審批，然后由運維部門根據主管領導審批意見和師生用戶崗位，創建、變更和撤銷師生用戶的賬號及權限。

　　第五條 系統負責部門應嚴格按照審批后的賬號、權限維護和管理系統，按要求生成、變更和刪除師生用戶賬號，并由信息安全工作組每季度進行檢查。

　　第六條 運維主管領導 負責帳號分配和權限審批工作。

　　第七條 安全管理員負責所有系統及設備超級管理員帳號管理工作，一般是指所有計算機系統，包括包括主機操作系統、數據庫、關鍵業務和辦公應用系統、網絡設備及管理程序、網絡安全設備及管理程序、加密設備和管理程序的超級管理員帳號或有超級管理員權限的帳號。負責系統管理帳號的創建、初始(密碼)、變更(權限)、刪除、禁止等操作，對系統管理員帳號及其它普通用戶帳號的行為以及系統本身的安全性進行審計和調查取證。

　　第八條 安全審計員負責信息安全審計的日常工作;負責組織、計劃定期的審計活動。

　　第九條 系統管理員負責相關系統及設備管理的工作人員,包括：安全設備管理員、網絡管理員、主機系統管理員、數據庫管理員、應用系統管理員。一般是指所有計算機系統，包括主機操作系統、數據庫、關鍵業務和辦公應用系統、網絡設備及管理程序、網絡安全設備及管理程序、加密設備和管理程序的有管理普通用戶和操作員帳號、設定普通用戶和操作員訪問許可、修改系統配置、安裝系統組件等權限的帳號。

　　第十條 普通用戶擁有的有限操作權限的最終用戶，負責完成日常工作。普通用戶根據帳號管理辦法申請帳號，在帳號申請后，有義務保證帳號的安全，不能私自共享帳號。普通用戶對帳號的使用必需遵守帳號與口令管理的規定。

　　第三章 賬號管理規定

　　第十一條 用戶賬戶的創建

　　第十二條 用戶賬號創建流程

　　1. 普通用戶和操作員帳號由具體用戶向部門領導提出書面申請，然后交運維安全主管領導核準后，送交系統管理員具體實施帳號和密碼的初始化程序，并登記備查，然后通知有關用戶。

　　2. 如果需要創建系統管理員帳號或是安全管理員帳號，則需要向安全管理員提出書面申請。經核實批準后，再由運維安全主管領導授權，才能實施帳號和密碼的初始化程序，并登記備查。

　　3. 所有的步驟(包括臨時權限的授予和取消步驟)，由系統的安全日志組件自動記錄，安全審計員必須對相關帳號日志和帳號創建申請進行定期(每月一次)安全審計。

　　第十三條 用戶帳號創建的安全事宜

　　在創建用戶帳號時，必須遵循下列安全規定：

　　1. 嚴格限制創建公用用戶帳號，且公用帳號不得具有訪問敏感信息以及“寫”和“執行”的系統權限。

　　2. 用戶帳號的權限設置應遵循“最小需要知道”原則，即給用戶能完成工作的最小權限。

　　3. 關閉任何缺省的匿名帳號。

　　4. 系統開啟對用戶帳號、用戶權限和登錄管理的日志審計功能。

　　5. 禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。

　　6. 系統管理員在通知用戶初始密碼時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。

　　7. 系統管理員必須強制用戶在第一次登錄時，修改其初始密碼。

　　8. 嚴禁以任何明文形式傳遞和存放用戶的初始密碼。

　　9. 因為項目原因，需要創建臨時用戶帳號時，則由項目負責人向所屬臺室主管領導提出書面申請，經由核準后，再由系統管理員統一創建(臨時用戶帳號的密碼由項目負責人統一指定和保管);并且嚴禁在生產系統中創建臨時用戶或測試用戶。項目完成后，立即刪除所有臨時的用戶帳號。

　　第四章 口令、密碼管理

　　第十四條 口令、密碼設置標準

　　密碼類別 最小強度規定

　　安全管理員帳號密碼 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數字和其他特殊符號

　　和個人信息無關

　　最近20個密碼不得重復

　　安全審計員 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數字和其他特殊符號

　　和個人信息無關

　　最近20個密碼不得重復

　　系統管理員帳號密碼 最小密碼長度不小于8位

　　密碼中必須包含大寫字母、小寫字母和數字

　　和個人信息無關

　　最近10個密碼不得重復

　　普通用戶帳號密碼 最小密碼長度不小于8位

　　密碼中必須包含字母和數字

　　和個人信息無關

　　最近6個密碼不得重復

　　用戶帳號初始密碼 最小密碼長度不小于6位

　　密碼中必須包含字母和數字

　　和個人信息無關

　　最近6個密碼不得重復

　　第十五條 用戶賬戶和密碼保護

　　關于用戶帳號和密碼的保護，本管理制度做下列規定：

　　? 對于自動生成密碼的系統，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機性。

　　? 用戶嚴禁向任何人公開其本人或他人的帳號和密碼的全部或部分，特別是擁有管理員權限或超級管理員權限的用戶。

　　? 嚴禁以任何明文格式存儲帳號和密碼。

　　? 嚴禁通過公共網絡(例如，互聯網、公共電話網等)，以明文格式傳送帳號和密碼。

　　? 系統管理員必須設定用戶登錄嘗試的次數限制，對于信息安全管理員和系統管理員帳號，登錄嘗試次數為3次。對于普通用戶和系統操作員帳號，登錄嘗試次數為5次。一旦在一定時間內使用同一個用戶帳號的失敗登錄超過限定次數，該帳號會被自動禁止，直到系統管理員重新激活該用戶帳號。

　　第十六條 系統管理員應當設定：在用戶成功登錄系統后，提示用戶上次登錄的情況(時間、登錄名和登錄成功與否等信息)。

　　第十七條 系統管理員必須對存有用戶帳號和密碼的數據庫和注冊表進行嚴格的訪問控制，嚴禁對其進行任何遠程訪問(只有信息安全管理員帳號才有“讀”的權限)。

　　第十八條 系統管理員必須在系統正式啟用前，更改所有的系統缺省帳號的密碼，并禁止所有匿名帳號。

　　第十九條 系統管理員或信息安全管理員在發現任何企圖非法使用某用戶帳號的情況時，必須強制該用戶更改密碼。

　　第二十條 系統管理員必須定期檢查用戶帳號使用情況，如有用戶帳號在30天內沒有使用，則有必要暫時禁止用戶帳號(系統管理員帳號和信息安全管理員帳號例外)。

　　第二十一條 系統管理員必須強制設定用戶密碼不得為空，并且符合有關密碼強度規定。

　　第二十二條 系統管理員必須開啟系統內建的用戶帳號、用戶權限管理和登錄管理的審計功能，并對其生成的日志文件進行妥善保管，以確保日志文件的安全性和完整性。

　　第二十三條 安全審計員必須定期對用戶帳號和密碼的使用、變更、禁用、刪除相關的系統日志文件連同相關書面申請文件進行安全審計(每月一次)，并對所有相關文件進行記錄備案。

　　第二十四條 系統管理員必須定期(每月一次)對用戶帳號進行清查工作，及時刪除無用、無主的用戶帳號。

　　第二十五條 嚴禁以任何理由，使用他人帳號或操作卡訪問計算機信息系統資源。

　　第二十六條 嚴禁以任何方式獲取他人帳號和密碼。

　　第二十七條 嚴禁在任何生產系統中創建臨時用戶或測試用戶帳號。

　　第二十八條 對于生產機和主數據庫生產機的超級管理員密碼必須分為兩段，由信息安全管理員和相關的系統管理員二人分別掌管，二人同時在場方可實施本機登錄。

　　第二十九條 系統管理員帳號和密碼，必須由安全管理員將其備份，經安全密封后，存放在保險柜中妥善保管;安全管理員帳號和密碼，必須由運維安全主管領導將其備份，經安全密封后，存放在保險柜中妥善保管。

篇2：SJ中學賬號使用登記和操作權限管理制度

　　SJ中學賬號使用登記和操作權限管理制度

　　為了保護我校校園網絡系統的安全、促進學校計算機網絡的應用和發展、保證校園網絡的正常運行和網絡用戶的使用權益，現制定本帳號使用登記和操作權限管理管理制度。

　　一、校園網絡計算機入網申請制度

　　1、凡學校工作場所的計算機，因工作需要，均可申請計算機入網;

　　2、申請入網的計算機需指定負責人，報經學校批準，由學校網絡中心負責開通網路;

　　二、校園網絡用戶申請制度

　　1、凡學校在職教職工及全日制在校學生，均可免費申請為校園網絡用戶;

　　2、申請校園網絡用戶的教職工和學生要認真填寫賬戶申請表，并保證其資料的真實性;

　　3、教職工入網用戶名使用個人姓名實名制的規則，若有重名現象，由學校網絡中心負責另行設定用戶名;

　　4、學生入網用戶名為：[stu][班級代碼][姓名];

　　三、校園網IP地址管理制度

　　1、學校網絡用戶的IP地址，由網絡中心負責統一管理和分配;

　　2、未經申請批準入網的計算機，不得私自占用其它計算機的IP地址或私自亂設IP地址，不得私自連接其它入網計算機。網絡中心有權切斷亂設的IP地址入網，以保證校園網絡的正常運行。

　　四、網絡賬戶和操作權限管理制度

　　1、校園網內各主要網絡設備、計算機服務器系統由網管中心統一管理，除網管中心工作人員以外，其他任何人不得擅自操作網絡設備，修改網絡設置。

　　2、校園網內各主要網絡設備、計算機服務器系統應當正確分配權限，并加口令予以保護，口令應定期修改，任何非系統管理員嚴禁使用、猜測各類管理員口令。

　　3、對于網絡系統應做好備份工作，確保在系統發生故障時能及時恢復。

　　4、對于網絡系統的設置、修改應當做好登記、備案工作。

　　5、網絡賬戶申請通過后將根據其日常工作要求設定固定的權限，嚴禁具有網絡授權的管理人員私自提高個別用戶的權限;

　　6、具有對網絡內容進行添加、刪除、修改等等權限的用戶需保護好自己的賬戶和密碼，不得隨意出借賬戶給其他用戶。