为规范校园网络、信息系统、数据库系统账号口令管理,保障系统安全运行,防范系统数据泄露、篡改等风险,根据学校网络安全相关规定,结合工作实际,制定本制度。
一、账号管理
1.账号管理贯穿账号创建、授权、权限变更及账号撤销或者冻结全过程;
2.账号设置应与岗位职责相容;
3.坚持最小授权原则,严格按需授权,根据需求,按操作时段、操作权限、操作范围进行授权,避免超出工作职责的过度授权;
4.原则上,各系统不允许存在其它共享账号,必须明确每个账号责任人,不得以部门或用户组作为最终责任人;
5.在完成特定任务后,系统管理员应立即收回临时账号。
二、口令管理
1.口令(或密码)至少由8位,包括数字、小写字母、大写字母、特殊符号4类中至少3类,机密级信息的口令(或密码)长度不得少于10位;
2.口令(或密码)应与用户名无相关性,口令中不得包含用户名的完整字符串;
3.应更换系统或设备的出厂默认口令;
4.口令(或密码)设置应避免键盘排序密码。
5.口令(或密码)至少每30天更换一次,机密级信息的口令(或密码)更换周期不得长于7天;绝密级信息不得上网。
6.5次以内不得设置相同的口令;
7.由于员工离职等原因,原账号不能删除或者需要重新赋予另一个人时,应修改相应账号的口令。
三、当发生下述情况时,应立即撤销账号或更改账号口令,并做好记录:
1.账号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时;
2.临时性或阶段性使用的账号,在工作结束后;
3.账号使用者违反了有关口令管理规定;
4.有迹象表明口令可能已经泄露等。