口令安全规范和指南.

账号⼝令管理办法账户⼝令管理办法⽬录第⼀章总则 (4)1.1概述 (4)1.2⽬标 (5)1.3范围 (5)1.4要求 (5)第⼆章帐号、⼝令和权限管理的级别 (7) 2.1关于级别 (7)2.2如何确定级别 (7)2.3⼝令、帐号和权限管理级别的定义 (7) 2.3.1等级1 –最低保障 (8)2.3.2等级2－低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最⾼保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2⼝令应该以⽤户⾓⾊定义 (11)3.2.1系统管理员/超级⽤户 (11)3.2.2普通帐号 (11)3.2.3第三⽅⽤户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级⼀需要遵守的规范 (13) 3.3.2保障等级⼆需要遵守的规范 (13) 3.3.3保障等级三需要遵守的规范 (13) 3.3.4保障等级四需要遵守的规范 (14) 3.4帐号管理流程 (14)3.4.1创建⽤户帐号 (14)3.4.2变更⽤户 (17)3.4.3撤销⽤户 (19)3.4.4定期复审 (20)第四章⼝令管理 (21)4.1通⽤策略 (21)4.2⼝令指南 (21)4.2.1⼝令⽣成指南 (21)4.2.2⼝令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据⼯作需要确定最⼩权限 (24)5.3建⽴基于⾓⾊的权限体系 (24)5.4审计⼈员权限的界定 (25)5.5第三⽅⼈员权限设定 (26)第⼀章总则1.1 概述随着XXXX公司业务系统的迅速发展，各种⽀撑系统和⽤户数量的不断增加，⽹络规模迅速扩⼤，信息安全问题愈见突出，现有的信息安全管理措施已不能满⾜xxx⽬前及未来业务发展的要求。

主要表现在以下⽅⾯：1.xxxx的信息系统中有⼤量的⽹络设备、主机系统和应⽤系统，分别属于不同的部门和不同的业务系统，并且由相应的系统管理员负责维护和管理。

服务器安全管理规范目录1.目的 (3)2.适用范围 (3)3.责任人 (3)4.安全管理规范 (3)4.1名词定义 (3)4.2服务器权限管理规范 (3)4.3服务器管理权限和应用系统权限移交工作规范 (4)4.3.1交接前的准备工作 (4)4.3.2交接的基本程序 (5)4.4操作系统口令和登陆管理规范 (5)4.4.1帐户口令创建更改 (5)4.4.2登录生产机 (5)4.4.3创建口令 (6)4.4.4口令长度和复杂度 (6)4.4.5口令传送方式 (6)4.4.6口令保存方式 (6)4.4.7口令实效 (6)4.4.8跳板机设置 (7)4.6密码修改流程 (7)4.7安全事件的定义 (7)4.7.1定义为一般性安全事件 (7)4.7.2定义为重大安全事件 (7)4.8安全事件的处理及通报 (8)4.8.1安全事件的处理： (8)5.帐户密码安全管理规范 (8)5.1规范内容 (8)5.2密码管理级别 (9)5.3密码审核制度： (9)5.4密码使用制度 (10)5.5核心系统密码管理 (11)5.6帐户密码制定方案 (11)5.6.1密码创建策略 (11)5.6.2密码组合策略 (11)5.6.3定制口令 (11)5.6.4密码规则 (12)5.7帐户密码保存方案 (12)1. 目的防止非法操作、正确管理用户、保证生产系统的可用性、完整性、保密性，以及规范服务器的访问和维护工作2. 适用范围服务部以及其他系统权限的管理部门3. 责任人所有拥有登陆服务器和应用系统权限的相关人员4. 安全管理规范4.1 名词定义➢非安全服务器：正在由运营、开发进行安装生产服务过程的服务器。

➢安全服务器：开发完成生产服务的安装，并通过安全审核的服务器。

➢密码安全规定：生产服务器登陆密码是由大于10位的字母（区分大小写）、数字、特殊字符组合而成。

4.2 服务器权限管理规范➢新上线服务器后，需开远程登陆的维护访问权限，按照密码安全规定，建立帐户如：lilm_bj等(账户名用每个人名字的拼音字母)同时限制访问ip范围为：运维跳板机IP，备份跳板机IP。

一、账号管理1。

1账号的设置必须遵循“唯一性、必要性、最小授权”的原则。

唯一性原则是指每个账号对应一个用户，不允许多人共同拥有同一账号。

必要性原则是指账号的建立和分配应根据工作的必要性进行分配，不能根据个人需要、职位进行分配，禁止与所管理主机系统无关的人员在系统上拥有用户账号，要根据工作变动及时关闭不需要的系统账号.最小授权原则是指对账号的权限应进行严格限制，其权限不能大于其工作、业务需要。

超出正常权限范围的，要经主管领导审批。

1。

2系统中所有的用户（包括超级权限用户和普通用户）必须登记备案，并定期审阅。

1。

3严禁用户将自己所拥有的用户账号转借他人使用。

1。

4员工发生工作变动，必须重新审核其账号的必要性和权限，及时取消非必要的账号和调整账号权限；如员工离开本部门，须立即取消其账号。

1。

5在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号，对需要保留的账号口令重新进行设置。

1。

6系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理，对长期不用的用户账号进行锁定。

1。

7 一般情况下不允许外部人员直接进入主机系统进行操作.在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作，必须由系统管理员进行登录,并对操作过程进行记录备案.禁止将系统用户及口令直接交给外部人员。

二、口令管理2。

1口令的选取、组成、长度、修改周期应符合安全规定。

禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令，也不要使用单个单词作为口令，在口令组成上必须包含大小写字母、数字、标点等不同的字符组合，口令长度要求在8位以上。

2。

2重要的主机系统，要求至少每个月修改口令,对于管理用的工作站和个人计算机，要求至少每两个月修改口令。

2.3重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术.2.4本地保存的用户口令应加密存放，防止用户口令泄密.三、软件管理：3。

弱口令危害和整改措施弱口令，作为网络安全领域的热门话题，一直以来都备受关注。

弱口令的存在给网络安全带来了极大的危害，因为它意味着安全漏洞的存在，可能导致黑客入侵、数据泄露等严重问题。

因此，采取有效的整改措施是非常必要的。

本文将对弱口令的危害和整改措施进行详细的探讨。

一、弱口令的危害1.黑客入侵风险增加弱口令是黑客攻击的主要入侵方式之一。

当系统或网络存在弱口令时，黑客通过一些常见的暴力破解方法，很容易就能够获取到密码，从而轻易地入侵到系统中，窃取重要信息，甚至破坏系统。

2.数据泄露风险加大在企业或个人的网络系统中，很多用户会使用相似的简单密码，或者将密码设置得过于简单，这就为黑客提供了破解的机会。

一旦黑客入侵成功，用户的敏感信息就可能被泄露出去，造成极大的损失。

3.安全漏洞暴露弱口令是网络系统中存在的一种安全隐患。

在弱口令的情况下，系统管理员无法保证用户的安全，也难以防范潜在的安全威胁，因此整个网络系统的安全性都会受到影响。

二、弱口令的整改措施1.提高用户密码安全意识首先，需要加强用户的密码安全意识。

教育用户使用安全性较高的密码，包括数字、大小写字母和符号的组合，且要求密码长度较长。

此外，还需要提醒用户不要使用过于简单和常见的密码，比如生日、电话号码等。

2.强化密码策略企业或个人应当制定严格的密码策略，强制要求用户设置复杂度较高的密码，并定期更改密码。

同时，使用密码管理工具对密码进行加密存储和管理，确保用户密码的安全。

3.多因素认证采用多因素认证可以有效提高系统的安全性。

多因素认证可以通过结合密码和其他因素，比如短信验证码、指纹识别，来增加身份验证的复杂性，防止非法用户的访问。

4.强化安全审计和监控及时监控并记录用户登录行为和密码错误次数，并进行安全审计，能够更快发现潜在的问题和风险。

一旦发现异常情况，及时采取必要的安全措施，避免可能的安全威胁。

5.定期漏洞扫描和漏洞修复企业或个人应当定期进行漏洞扫描，及时发现弱口令的存在，以便及时修复和整改。

政务信息系统密码应用与安全性评估工作指南（2020版）中国密码学会密评联委会二〇二〇年九月前言为贯彻落实《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）密码应用与安全性评估要求，依据《中华人民共和国密码法》及商用密码管理规定，制定本指南。

本指南可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。

各级地方政务信息化项目建设单位和使用单位也可参照本指南开展相关工作。

本指南主要依据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法（试行）》《政务信息系统政府采购管理暂行办法》（财库〔2017〕210号）和GM/T0054—2018《信息系统密码应用基本要求》编制。

政务信息系统密码应用与安全性评估相关密码国家标准和行业标准正在制定过程中，GM/T0054对应的国家标准即将发布，本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。

必要时本指南将根据最新的管理要求与相关技术标准进行更新。

本指南分为三章。

第一章为政务信息系统密码应用与安全性评估实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法（试行）》，给出了政务信息系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。

第二章为政务信息系统密码应用措施指南，主要依据GM/T0054，介绍了密码在政务信息系统中发挥的主要功能，并给出了密码应用措施方面的建议，可供项目建设单位结合自身实际进行选择和调整。

第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。

本指南附录1提供了密码应用方案模板，可供项目建设单位在设计编制密码应用方案时参考。

附录2提供了已发布的密码国家标准和密码行业标准目录。

《信息安全等级保护商用密码技术要求》使用指南《<信息安全等级保护商用密码技术要求>使用指南》编写组目录一、引言 (5)二、密码框架保护 (9)1、信息系统密码保护框架 (9)2、密码保护技术体系 (10)2.1、密码基础设施 (13)2.2、密码设备 (13)2.3、密码服务 (13)2.4、密码技术支撑的安全服务 (14)三、密码保护实施要求 (16)1、集成单位选择 (16)2、方案设计、产品选型与集成实施 (16)2.1商用密码系统建设方案的设计 (16)2.2产品选用 (17)2.3商用密码系统建设方案的实施 (17)3、系统安全测评 (17)4、日常维护与管理 (19)5、安全监督检查 (19)附录一：第一级信息系统密码保护 (20)1、第一级基本技术要求中的密码技术应用需求分析 (20)1.1物理安全 (20)1.2网络安全 (20)1.3主机安全 (21)1.4应用安全 (21)1.5数据安全及备份恢复 (22)1.6总结 (22)2、密码通用技术要求 (23)2.1功能要求 (23)2.2密钥管理要求 (23)2.4密码实现机制 (24)2.5密码安全防护要求 (24)3、典型示例 (24)3.1信息系统概述 (24)3.2密码保护需求 (24)3.3密码保护系统设计 (24)3.4密码保护系统部署 (25)附录二：第二级信息系统密码保护 (27)1、第二级基本技术要求中的密码技术应用需求分析 (27)1.1物理安全 (27)1.2网络安全 (27)1.3主机安全 (28)1.4应用安全 (29)1.5数据安全及备份恢复 (30)1.6总结 (31)2、密码通用技术要求 (31)2.1功能要求 (31)2.2密钥管理要求 (32)2.3密码配用策略要求 (33)2.4密码实现机制 (33)2.5密码安全防护要求 (33)3、典型示例 (34)3.1信息系统概述 (34)3.2密码保护需求 (34)3.3密码保护系统设计 (34)3.4密码保护系统部署 (36)附录三：第三级信息系统密码保护 (37)1、第三级基本技术要求中的密码技术应用需求分析 (37)1.1物理安全 (37)1.3主机安全 (39)1.4应用安全 (40)1.5数据安全及备份恢复 (42)1.6总结 (43)2、密码通用技术要求 (43)2.1功能要求 (43)2.2密钥管理要求 (45)2.3密码配用策略要求 (46)2.4密码实现机制 (47)2.5密码安全防护要求 (47)3、典型示例 (48)3.1信息系统概述 (48)3.2密码保护需求 (48)3.3密码保护系统设计 (50)3.4密码保护系统部署 (51)附录四：第四级信息系统密码保护 (54)1、第四级基本技术要求中的密码技术应用需求分析 (54)1.1物理安全 (54)1.2网络安全 (54)1.3主机安全 (56)1.4应用安全 (58)1.5数据安全及备份恢复 (60)1.6总结 (61)2、密码通用技术要求 (62)2.1功能要求 (62)2.2密钥管理要求 (64)2.3密码配用策略要求 (66)2.4密码实现机制 (66)2.5密码安全防护要求 (66)3.1防伪税控系统概述 (67)3.2密码保护需求 (68)3.3密码保护系统设计 (70)3.4密码保护系统部署 (72)附录五：第一至四级基本技术要求中的密码技术应用需求汇总 (74)一、引言信息安全等级保护制度是国家信息安全保障工作的基本制度。

第一篇：密码安全管理规定信息系统密码安全管理规定1. 目的1.1 为了提高公司信息系统的安全性，保障信息系统的正常运行以及业务数据安全，特制定本规定。

2. 范围2.1通过非应用程序方式访问服务器、信息系统、数据库时遵循此规定。

2.2 通过正常的业务应用系统进行信息系统数据访问不在此管理规定范围。

3. 定义3.1 服务器访问：由于机器维护需要以超级用户权限进入服务器进行服务器操作系统设置、日志查询、机器运行状况查询以及补丁升级等操作。

3.2信息系统访问：由于软件系统维护需要以超级用户权限进入信息系统进行系统设置、日志查询、运行状况查询以及系统更新等操作。

3.3数据库访问：由于数据库维护需要以任何用户权限进入数据库进行数据库设置、日志查询、运行状况查询以及数据库内容查询、手工更改等操作。

4. 密码等级4.1 信息系统密码分为三个类型：访问密码、管理密码、数据密码。

4.2 访问密码分三个等级：高、中、低。

4.2.1高等级服务器访问密码适用于高安全等级的系统运行服务器，主要包括运行核心业务系统的应用服务器、核心数据库服务器。

4.2.2 中等级服务器访问密码适用于中安全等级的系统运行服务器，主要包括运行非核心业务系统的应用服务器及数据库服务器。

4.2.3 低等级服务器访问密码适用于低安全等级的系统运行服务器，包括各类用于测试或演示的应用服务器、数据库服务器以及各类公共服务器。

4.3管理密码分为三个等级：高、中、低。

4.3.1 高等级系统管理员密码适用于高安全等级的应用系统，主要包括各类核心业务系统。

4.3.2 中等级系统管理员密码适用于中安全等级的应用系统，包括各类非核心业务系统。

4.3.3 低等级系统管理员密码适用于低安全等级的应用系统，主要包括各类用于测试或演示的系统。

4.4数据密码分为三个等级：高、中、低。

4.4.1 高等级数据密码适用于高安全等级数据库的超级权限，主要包括各类核心数据库的超级权限。