信息系统口令密码和密钥管理
信息系统信息设备和保密设施设备管理制度
信息系统信息设备和保密设施设备管理制度信息系统、信息设备和保密设施设备管理制度1.信息系统、信息设备和保密设施设备管理总则1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。
2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。
3)本规定适用于使用公司涉密计算机信息系统的部门和个人。
4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。
信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。
信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
2.责任分工1)公司技术部司理负责涉密信息系统、信息设备的保密安全管理工作。
涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。
2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监视、检查和对失泄密事件的查处。
3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。
4)公司各涉密部门需设系统管理员、安全保密员,按有关保密划定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,详细落实有关涉密计算机、信息设备的安全保密管理划定和步伐。
3.涉密计算机切实其实定及变更1)公司涉密计算机实行申报登记制度。
凡涉及国度秘密的单位拟用于处理国度秘密信息的计算机、涉密信息系统必须经过申报、登记、核定,并在公司保密办公室备案。
凡未进行申报登记的计算机均属非涉密计算机,非涉密计算机及其信息系统严禁存储、处理、发布、传递国度秘密信息。
信息系统口令密码和密钥管理
信息系统口令密码和密钥管理The final edition was revised on December 14th, 2020.信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1994 国务院中华人民共和国计算机信息系统安全保护条例国务院273号令商用密钥管理条例1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法(试行)2006 公司信息网防病毒运行统计管理规范(试行)2006 公司信息网用户行为规范(试行)3术语与定义以下术语和定义适用于本标准。
信息系统信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。
即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。
密钥密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。
密钥是密码技术中的重要组成部分。
在密码系统中,密钥的生成、使用和管理至关重要。
密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。
4职责信息中心职责4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
信息中心各专职职责4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
内网信息系统口令管理制度
涉密信息系统口令管理制度第一条口令是涉密信息系统身份认证的基本防护措施,为保障涉密信息系统的安全运行,规范网络用户及系统口令,特制定本制度。
第二条具有口令功能的计算机、网络设备等计算机信息系统设备,必须使用口令对用户的身份进行验证和确认。
涉密信息系统设备的口令管理工作由各设备所属单位负责。
第三条计算机设备和输入输出设备的系统设置口令由设备管理员负责管理,网络设备的系统设置口令由网络管理员负责管理,服务器的系统口令由系统管理员负责管理,安全设备和系统的口令由安全管理员负责管理,密码设备的口令由密钥管理员负责管理。
第四条涉密信息系统的计算机设备、输入输出设备、网络设备、安全设备和系统,口令长度要求设置为 12位,字母和数字混合,至少有3位字母、2位数字,且口令须每周更换一次。
第五条涉密信息系统的计算机设备,必须由管理员设置三级口令保护,即CMOS口令、操作系统登录口令和屏幕保护口令,且屏幕保护口令设置时间要求3分钟。
第六条涉密信息系统的输入输出设备,必须由设备管理员在所有的设备配置管理项目中设置口令保护,包括CLI管理、Web管理、SNMP管理、Telnet管理等,不允许采用设备默认的管理口令。
第七条涉密信息系统的网络设备,必须由网络管理员在所有的设备配置管理项目中设置口令保护,包括CLI管理、Web管理、SNMP管理、Telnet管理等,不允许采用设备默认的管理口令。
第八条涉密信息系统的服务器口令由系统管理员负责管理和定期维护,对于服务器普通用户的口令,系统管理员还负有如下职责:(一)给新增加的用户分配初始口令,规定用户口令的最小位数;(二)指导用户正确使用口令;(三)检查用户使用口令情况;(四)帮助用户开启被锁定的口令或重置口令,并对非法操作及时查明原因;(五)解决口令使用过程中出现的问题等。
第九条涉密信息系统的安全设备和系统,必须由安全管理员设置口令保护,包括CLI管理、Web管理等,不允许采用设备和系统默认的管理口令。
信息密码管理制度
信息密码管理制度一、总则为了加强信息安全管理,保障信息系统的安全稳定运行,维护信息系统和信息资源的完整性、保密性和可用性,我公司特制定本管理制度。
二、适用范围本制度适用于我公司所有的信息系统、信息资源以及相关人员的信息管理工作。
三、密码管理1. 密码的设置(1)密码的复杂性用户设置的密码必须包含至少8位字符,且需要包含大小写字母、数字和特殊字符。
(2)密码的周期性更换用户的密码需要定期更换,建议每90天更换一次。
(3)密码的不重复性用户的密码在一年内不得重复使用。
2. 密码保存与传输(1)密码的保存用户的密码不得明文保存在任何地方,包括纸质文件、电子文档等。
(2)密码的传输在网络传输密码时,必须采用加密的方式传输,禁止使用明文传输密码。
3. 密码的归属管理(1)密码的归属单位各部门需要设立专门的密码管理人员,对部门内的密码进行管理。
(2)密码的分级管理根据不同的系统和信息资源,设置不同的密码安全等级,对密码进行分级管理。
4. 密码的使用规范(1)个人密码管理员工个人密码仅限个人使用,不得转借他人使用。
(2)超级用户密码管理超级用户密码由专门的管理人员保管,需要经过严格的权限审批才能获取。
5. 密码的监测和违规处理(1)密码的监测系统管理员需要对密码进行定期的检测和审计,确保密码的安全性。
(2)密码的违规处理对于密码管理方面的违规行为,将依据公司相关规定进行处理,包括警告、记过、罚款等处理。
四、密码管理的责任1. 公司领导层的责任公司领导层要高度重视信息密码管理工作,并提供必要的资源、支持和保障。
2. 部门领导的责任部门负责人要对本部门的密码管理工作负责,建立健全密码管理制度,定期进行密码安全培训。
3. 系统管理员的责任系统管理员要严格执行公司的密码管理制度,确保系统和信息资源的安全稳定运行。
4. 员工的责任员工要严格遵守密码管理制度,妥善保管自己的密码,如发现密码泄露或丢失,要及时向部门领导或系统管理员报告。
岗位信息安全责任制度(六篇)
岗位信息安全责任制度信息安全岗位职责第一条严格遵守信息安全保密制度,不得泄露操作系统、数据库的系统管理员帐号、密码,切实保障系统安全。
合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
关闭与应用系统无关的所有网络端口,制定严格的网络安全策略机制,防止非法用户的侵入。
及时安装正式发布的系统补丁,修补系统存在的安全漏洞,防止系统遭受各种恶意攻击。
启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
第二条加强口令密码、密钥安全管理。
严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。
严格按照安全保密机制对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)进行管理。
第三条加强信息系统的安全监测。
安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况,切实提高信息系统的安全效能。
要协助业务操作人员审查业务处理结果,发现问题应及时查明原因。
对不能确认的异常现象,必须向计算机安全管理部门报告。
要对计算机信息系统安全运行的监测记录及其分析结果严格管理,未经相关领导许可不得对外发布或引用。
第四条重大安全事件和应急处理。
确认计算机信息系统出现重大安全事件,必须果断采取控制措施,立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。
重大安全事件发生后,协助有关人员保护事件现场,积极协助安全事件的调查,做好善后处理工作。
重大安全事件的处理情况,安全管理员必须形成书面材料,报告上级计算机安全主管部门。
第五条定期对信息安全工作进行巡检,并在其他业务管理员的协助下建立完整的安全巡检报告。
要根据信息系统安全需求及网络系统建设的发展,提出网络系统安全整改意见和实施方案,提出具体的解决方案。
第六条落实对其他管理员和普通用户信息安全工作的指导和监督。
第七条监控信息系统的安全需求变化,及时获取来自其他管理员和普通用户的安全意见,进行必要的安全管理体系修订。
2016+网络与信息安全- 密钥管理
N2
A使用新建立的会话密钥KS对f(N2)加密后返回给B
用户A和B建立会话密钥的过程
1. Request||N1
A
2.
EMK AB [ K s || request || N1 || N 2 || IDB ]
3. EK S ( N 2 )
B
28
6.2 无中心的密钥控制
用户A与KDC有共享的密钥KA,用户B与KDC有共享的密钥KB 。 A与B建立会话密钥KS(简化Kerberos协议)
密钥撤销
◦ 若密钥丢失或在密钥过期之前,需要将它从正常使用的集合中删除。 9
密钥存储
◦ 密钥的安全存储实际上是针对静态密钥的保护。 ◦ 对静态密钥的保护常有两种方法
基于口令的软保护:文件形式或利用确定算法来生成密钥 基于硬件的物理保护:存入专门密码装置中(存储型、智能型)
密钥备份 ◦ 指密钥处于使用状态时的短期存储,为密钥的恢复提供密钥源,要求安 全方式存储密钥,防止密钥泄露。 密钥恢复 ◦ 从备份或存档中获取密钥的过程称为密钥恢复。若密钥丧失但未被泄露, 就可以用安全方式从密钥备份中恢复。 密钥存档 ◦ 当密钥不再正常时,需要对其进行存档,以便在某种情况下特别需要时 (如解决争议)能够对其进行检索。存档是指对过了有效期的密钥进行 长期的离线保存,密钥的后运行阶段工作。 密钥托管 ◦ 为政府机构提供了实施法律授权下的监听功能 密钥销毁
密钥管理就是在授权各方之间实现密钥关系的建立和维护的 一整套技术和程序。
密钥管理方法因所使用的密码体制(对称密码体制和公钥 密码体制)而异,通常要借助于加密、认证、签名等技术, 并在一定的安全策略指导下完成密钥从产生到最终销毁的整 个过程,包括密钥的生成、建立(分配和协商)、存储、托 管、使用、备份/恢复、更新、撤销和销毁等。
信息系统口令、密码和密钥管理
信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所19941998200020032006200633.13.2密钥4职责4.14.1.2部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
4.2信息中心各专职职责4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。
4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。
4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
5管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理,管理员负责其管辖范围的账号、口令的设置和更改。
5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过1个月。
5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。
口令的保存、更改和开封启用均要有详细记录。
严禁私自启封。
5.1.4更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。
5.1.5不同权限人员应严格保管、保密各自职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。
系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据5.1.6证,户名、5.1.75.25.2.15.2.25.2.35.2.4借他人。
密钥及口令管理制度
密钥及口令管理制度一、制度目的为了保障企业信息系统和网络安全,防止未经授权的人员访问或篡改重要数据,确保企业信息资产得到充分的保护,特制定本管理制度。
二、适用范围本管理制度适用于企业所有员工在使用企业信息系统和网络时所使用的所有密钥和口令。
三、定义1. 密钥:密钥是用于加密和解密数据的一组规则或算法,用于保护数据的安全性。
2. 口令:口令是一串字符,用于验证用户的身份和权限,通常用于登录系统或访问特定资源。
四、原则1. 最小特权原则:员工只能获得他们所需的最小权限以完成工作任务。
2. 分工管控原则:密钥和口令的管理应该由专门的人员负责,确保安全和可控。
3. 记录审计原则:对密钥和口令的使用应该进行记录和审计,确保安全事件的追踪和溯源。
五、管理责任1. 信息安全部门负责密钥及口令管理制度的制定和执行。
2. 公司管理层负责对制度进行监督和落实。
3. 全体员工有义务遵守相关规定并认真执行。
六、密钥管理1. 密钥的生成和分发只能由信息安全部门负责,避免未授权人员获取密钥。
2. 密钥应该定期更新,以确保安全性。
3. 密钥应该妥善保管,不得随意外泄或共享。
4. 密钥的使用需要经过授权,未经授权不得使用或传递。
七、口令管理1. 口令复杂度要求:口令由字母、数字、特殊字符组合,长度不少于8位。
2. 口令定期更换:员工口令需定期更换,且不得重复使用。
3. 口令安全存储:口令不得以明文形式存储,必须加密存储。
4. 口令共享禁止:口令仅限个人使用,不得共享或泄露。
八、安全意识教育1. 新员工入职培训时需要对本制度进行详细介绍。
2. 定期组织安全意识培训,提高员工对信息安全的重视度。
3. 提供相关案例分析,引导员工深刻理解信息安全风险。
九、制度执行1. 对违反本制度的员工给予相应的处罚,并通报相关部门。
2. 员工举报遭受相关安全事件或违规行为,应该给予奖励或保护。
3. 各部门定期自查,对违规行为及时整改。
十、制度评估1. 定期对本管理制度进行评估和修订,保持与技术和业务发展的同步。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统口令密码和密
钥管理
Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
信息系统口令、密码和密钥管理
1范围
本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1994 国务院中华人民共和国计算机信息系统安全保护条例
国务院273号令商用密钥管理条例
1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定
2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定
2003 公司网络与信息安全管理办法(试行)
2006 公司信息网防病毒运行统计管理规范(试行)
2006 公司信息网用户行为规范(试行)
3术语与定义
以下术语和定义适用于本标准。
3.1
信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。
即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。
3.2
密钥
密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。
密钥是密码技术中的重要组成部分。
在密码系统中,密钥的生成、使用和管理至关重要。
密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。
4职责
4.1 信息中心职责
4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
4.2信息中心各专职职责
4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。
4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。
4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
5管理内容与要求
5.1主机与网络设备(含安全防护系统)口令、密码管理
5.1.1各类主机、网络设备应有明确的管理员负责管理,管理员负责其管辖范围的账号、口令的设置和更改。
5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过1个月。
5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。
口令的保存、更改和开封启用均要有详细记录。
严禁私自启封。
5.1.4更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。
5.1.5不同权限人员应严格保管、保密各自职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。
系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员,不同应用数据库的管理员一般不能具备访问其他应用数据库的权限。
系统上线后,必须删除测试帐户,严禁系统开发人员掌握系统管理员口令。
5.1.6软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。
访问数据库的用户名和口令不能固化在应用软件中或直接写在数据库中。
口令必须能方便地配置、修改和加密。
按照人员进行口令分配和认证,不能仅按照角色进行口令分配。
对不同用户共享资源进行访问必须进行用户身份的控制和认证。
软件开发商在应用软件的移交过程中,必须向运行维护部门提供关于应用软件的安全设计文档和用户名、口令和配置方案;运行维护部门在应用软件接收过程中必须全面掌握软件的设计并对其进行全面评估,评估合格后,由运行维护部门重新设定用户名和口令,方能上线运行。
5.1.7因应用软件的升级或修改需要临时授权时,开发人员必须以书面的形式申请,并得到信息中心主管及以上的人员同意方可授权,维护结束后,相关管理人员必须立即删除用户或更改口令。
5.2应用系统的口令、密码和密钥管理
5.2.1各应用信息系统的主管部门对于重要应用系统必须建立相应操作人员口令、密码和密钥管理制度,分清各级操作人员职责。
5.2.2应用系统应实行权限分散原则。
明确系统管理员、系统操作员、程序员等的权限和操作范围,并设置相应的操作口令和密码。
5.2.3严格限制各类应用系统超级用户的使用范围,操作系统、数据库管理系统、各类应用系统的超级用户口令必须专人掌管,定期更换。
重要密码修改要有记录。
5.2.4所有用户都必须妥善保存好数字证书载体,并对载体的保护口令严格保密,数字证书不得转借他人。
5.2.5各级操作人员应有互不相同的用户名和口令,定期更换操作口令。
严禁操作人员泄露自己的操作口令,系统口令长度不得少于八个字符,要求字母和数字或特殊字符混合,用户名和口令禁止相同。
5.2.6应用系统的各类口令和密码必须加密保存,系统不得采用明文方式保存于服务器或客户端计算机的注册表或硬盘文件系统中。
5.2.7涉密应用系统所采用的各种加解密措施应采用统一的加密算法和密钥管理,并具有权限分级,以适合不同级别的用户存取。
同时密钥必须定期更换。
5.3 工作站口令、密码管理
5.3.1各工作站按要求必须设置开机密码和操作系统管理员密码,并开启屏幕保护中的密码保护功能。
妥善保管密码,并定期更改;同时严禁使用人员泄露自己的口令和密码。
5.3.2各工作站不得设置共享目录,原则上使用办公自动化(OA)系统来相互传送文件,如确有必要,则需要为共享目录设置读取密码,以防止无关人员获得相关信息。
5.4 口令的废止
5.4.1用户因职位变动,而不需使用其原有职责的信息资源,必须移交全部技术资料,明确离岗后的保密义务,并立即更换有关口令和密钥,注销其专用用户。
涉及核心部门开发人员调离时,应确认对本系统安全不会造成危害后方可调离。
5.4.2丢失或遗忘口令,必须向相关口令管理人员申请,必须得到信息中心主任及以上的人员同意方可。
6报告与记录
口令管理台帐(见附录A)。
7检查与考核
7.1 由部门负责人依据本标准进行检查。
7.2 根据《公司职工年度考核管理实施办法》进行考核。
附录A
(规范性附录)
口令管理台帐
口令管理台帐见表A.1。
表A.1口令管理台帐。