一、账号管理1
1 账号的设置必须遵循“唯一性、必要性、最小授权"的原则
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要
超出正常权限范围的,要经主管领导审批
2 系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期批阅
3 严禁用户将自己所拥有的用户账号转借他人使用
4 员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号
5 在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置
6 系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定
7 一般情况下不允许外部人员直接进入主机系统进行操作
在特别情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案
禁止将系统用户及口令直接交给外部人员
二、 口令管理 2
1 口令的选取、组成、长度、修改周期应符合安全规定
禁止使用名字、姓氏、电话号码、生日等容易猜想的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在 8 位以上
2 重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令
3 重要的主机系统应逐步采纳一次性口令及其它可靠的身份认
