中国联通内网账号口令安全管理办法(征求意见稿)目录第一章总则 (1)第二章适用范围 (1)第三章角色与职责 (1)第四章账号管理 (2)第五章口令管理 (4)第六章审批和修订 (7)第七章附则 (7)附件1 表格命名与编号方式样例 (8)附件2 XXXX系统用户账号权限审批表 (11)附件3XXXX系统用户账号登记表 (12)附件4XXXX系统用户账号核查表 (13)附件5XXXX系统账号口令修改记录表 (14)附件6XXXX系统账号口令检查记录表 (15)附件7XXXX系统程序账号列表 (16)第一章总则第一条为规范中国联通信息系统账号口令管理,确保内网信息系统安全稳定运行,有效防范因账号口令管理使用不当所造成的风险,特制定本管理办法。
第二条各级单位应认真执行本管理办法的相关要求,并根据实际工作需要结合本单位具体情况制定相应的实施细则或补充规定,切实做好信息系统账号、口令的安全管理工作。
第二章适用范围第三条本管理办法适用于中国联通集团总部、各直属单位、各省级分公司内网信息系统账号口令安全管理,公司各部门在涉及到内网信息系统账号口令安全管理时应遵照执行。
第四条本管理办法适用于内网网络设备、主机设备、内网终端、中间件、数据库、应用系统等信息系统的账号口令安全管理。
第三章角色与职责第五条中国联通内网账号口令安全管理办法由集团总部信息化事业部负责制订。
第六条各省内网信息系统账号口令安全管理的落实执行与检查监督,由各省级信息化事业部参照此办法执行。
第四章账号管理第七条账号权限分配遵循分级原则,根据账号权限、及管理其他账号的能力将信息系统账号分为超级账号、特殊功能账号与一般功能账号。
(一)超级账号:指可对信息系统所有配置进行查看、变更,有权限创建、修改、删除其他账号的系统账号。
包括系统安装时的默认账号,在使用过程中不能进行删除或改名且具备系统管理权限的账号,如:root、sys/system等,以及由系统管理人员建立的与系统默认超级管理员权限相当的系统管理账号。
(二)特殊功能账号:指由系统管理人员建立的执行特殊功能的账号,如:审计账号、日志查询账号、信息发布账号等。
(三)一般功能账号:指由一般用户进行日常办公、业务办理等功能的账号。
第八条系统特权账号及特殊功能账号都应由系统管理员掌握,不得随意将特权账号及特殊功能账号的口令告知他人;每次特权账号及特殊功能账号更改口令后,应提交书面材料至系统管理部门进行备案;账号配置不允许由系统管理员之外其他任何用户操作。
第九条系统中不允许有不明用途的账号存在,所有已存在的账号必须有明确的文档(电子或纸质)说明其用途、使用人及其部门(单位)、创建启用时间、权限及其他信息。
第十条账号授权应该满足最小授权的原则,只能拥有本岗位职责范围内的权限;用户权限应由用户所在部门的管理人员、系统管理责任人及系统运行维护人员共同确认。
第十一条如因工作需要另外增加岗位外权限的,履行审批手续后,经使用员工上级主管同意后方可增加,并保留操作日志和审批记录。
第十二条新增用户账号必须由申请部门提出正式申请,需填写信息包括但不限于:使用者的姓名、联系电话、职责(岗位)、使用时间、申请使用的系统范围和权限等。
由申请部门领导审批后移交给信息化部门,经审核后下发至相应的系统管理员,根据申请的内容进行账号创建赋权。
第十三条应为系统中的每位用户创建唯一的用户账号,用户账号名称及ID标示不得体现用户的权限级别。
第十四条由于账号使用者发生岗位变动或离职等人事变动,应由系统管理员提出正式申请,经系统所在部门领导审批后,立即进行相应的权限变动或账号回收,防止由于岗位变动,账号、权限没有进行变更的情况。
第十五条临时账号的申请单应独立存档并由安全管理员至少每月进行一次检查。
临时账号使用期满后,应由系统管理员负责收回,并对其操作日志等进行核查。
第十六条不同人员必须使用不同的账号访问信息系统,严禁多人使用同一账号进行操作。
第十七条系统管理员应定期对账号的权限、登陆及相关操作情况进行检查,超级账号应至少每1个月检查一次,特殊功能账号应至少每3个月检查一次,一般功能账号的访问权限应至少每6个月检查一次。
对发现的问题应及时提交相关人员落实整改,对于涉及核心数据操作的账号应将相关情况提交系统管理部门审核确认,对长期未使用或过期的账号进行清理,形成相关记录文档,并向管理部门汇报相关情况。
第五章口令管理第十八条口令的设置应符合以下要求:(一)口令长度应大于等于8个字符;(二)口令应由大写字母、小写字母、数字、特殊符号中的3种及以上类型组成;(特殊符号举例如下:!@#$%^&*()_+|~-=\`{}[]:”;’<>?,./)(三)不得使用一串相同的数字或字母作为口令;(四)口令不能含有与账号名称相同的英文单词、汉语拼音或其简写;(五)口令中不应含有明确意义的英文单词或汉语拼音;(六)口令中不应含有和个人信息(如:姓名、生日、电话号码、QQ号、车牌号、住址等)有关的信息;(七)不得使用看似符合要求,实为连续键盘序列组合作为口令(如:123qweASD,1qaz@WSX等)第十九条如系统能力支持,应开启并设置自动拒绝不符合上述口令管理规则账号和口令的参数。
第二十条口令必须定期修改,修改周期不得超过3个月;对涉密、保密条件差、使用人员复杂的系统应尽可能缩短口令的使用周期;口令的修改应保留相关记录或日志,重要设备、系统的管理员账号口令在每次修改之后应在相关管理部门备案。
第二十一条对于无法进行定期修改口令的账号,如系统默认账号、特殊功能账号等,由系统管理员负责在系统升级或重启时督促落实口令修改工作;由于历史原因或其他特殊情况,在应用程序中固化的账号口令,应严格限制相关账号的登陆方式,确保其只能通过特定方式(如通过特定客户端或使用特定链接等)才能使用,并应进行相关登记确认,形成记录文档备查。
第二十二条口令只能保存在由专人负责保管的纸质文件或加密存储介质内,不得以任何形式存放于可公共访问的系统设备、可移动设备及纸质媒介中。
第二十三条严禁将存有口令的未加密电子文档直接保存在办公、维护及生产终端上,严禁将口令以标签的形式贴在设备上。
第二十四条调用由专人保管的口令存档时,应履行申请审批手续,经批准后方可使用,并应留有记录。
第二十五条不得在邮件、网络聊天、电话、调查文档中泄露系统口令信息,不得在他人面前谈及口令信息。
第二十六条不得通过邮件附件、网络聊天软件、网盘等方式远程发送或传递含有口令信息的文件。
第二十七条公司系统应与个人生活使用完全不同的口令,不同系统应设置不同的口令。
第二十八条不得使用非公司授权的口令记忆软件,以免口令被第三方软件上传或泄露。
第二十九条员工必须妥善保护自己的账号口令,防止账号被盗,一旦发现账号被非法登陆等情况,应立即进行口令更新;由账号口令被盗所引起的连带责任,由该账号口令的使用人承担。
第三十条安全管理部门应通过技术及管理手段,定期对信息系统的口令安全进行检查,对发现的问题应提交相关人员落实整改,并形成相关记录报告。
第三十一条信息系统必须采用HASH或加密技术进行口令的存储,严禁以明文形式存储口令。
第三十二条系统管理员给新增用户分配账号应限定有效期,不得使用统一口令或连续数字排列等形式的口令,并必须强制新用户在第一次登录时更改口令。
第三十三条信息系统上线前,系统管理员必须重置系统在前期开发、测试、试运行阶段设置的网络、主机、中间件、数据库、应用系统以及其他配套设备的系统特权账号口令,并对一般账号口令进行符合性检查。
第六章审批和修订第三十四条本管理办法每年审查一次,并根据需要进行修订。
第三十五条如遇国家相关法律法规发生变化或中国联通企业信息安全策略发生重大变更等情况时,本办法将适时修订。
第三十六条本管理办法的制定和修订由中国联合网络通信集团有限公司信息化事业部负责。
第七章附则第三十七条本管理办法的解释权和修改权属于中国联合网络通信集团有限公司信息化事业部。
第三十八条本管理办法自发布之日起执行。
附件1 表格命名与编号方式样例为提高相关表格的可管理性,建议采用规范化的表格命名与编号规则,例如:ABC.D.E.F,其中:A:表示公司缩写,参见下表。
B:两位数字,表示年份,如以“12”表示2012年。
C:表示系统名称缩写,例如,彩铃:CL,智能网:ZNW,MISC:MISC。
D:表示具体设备或者应用系统的缩写。
例如,服务器:SVR,数据库1:DB1,防火墙:FW,短信查询系统:SMSQUERY等。
E:申请表、审核表等表格的中文名称关键字拼音首写字母缩写组成,一般4-6位。
标号部分F: 表格填写编号0001-9999(可根据实际工作需求调整位长),按申请序号递增填写,每年编号从0001重新开始。
省公司缩写表(参照集团公司相关命名规范)附件1 XXXX系统管理员授权表1、被授权人掌握系统授权网元的超级用户权限;2、被授权人经过授权后应立即登入系统更改超级账号口令。
3、被授权人的签字将被认为已阅读并知晓《账号口令管理办法》并愿意接受账号口令管理制度的约束。
备注:表格名和编号由负责表格存档的部门负责填写。
附件2 XXXX系统用户账号权限审批表备注:表格名和编号由负责表格存档的部门负责填写。
附件3 XXXX系统用户账号登记表附件4 XXXX系统用户账号核查表备注:表格名和编号由负责表格存档的部门负责填写。
附件5 XXXX系统账号口令修改记录表附件6 XXXX系统账号口令检查记录表附件7 XXXX系统程序账号列表备注:表格名和编号由负责表格存档的部门负责填写。
