【正文】 文件提供妥善的保護(hù)。 ? 各系統(tǒng)應(yīng)能保存有關(guān)安全內(nèi)容的日志。該日志的保存期限應(yīng)不小于 30天。 ? 各系統(tǒng)應(yīng)能自動(dòng)拒絕創(chuàng)建不符合安全設(shè)置條件的帳號(hào)和口令。如系統(tǒng)本身無(wú)法實(shí)現(xiàn)該功能，系統(tǒng)管理員必須加強(qiáng)人工安全管理，保證不存在不符合安全設(shè)置條件的帳號(hào)和口令。 帳號(hào)管理的系統(tǒng)要求 ? 任何帳號(hào)只限于申請(qǐng)帳號(hào)過(guò)程中所聲明的使用人使用，禁止其他人使用此帳號(hào)。 ? 系統(tǒng)正式投入使用前，必須更改原來(lái)系統(tǒng)中的缺省帳號(hào)的所有口令，以保證正式環(huán)境的安全。 ? 帳號(hào)使用人在使用的過(guò)程中，不得使用帳號(hào)訪問(wèn)與自己工作無(wú)關(guān)的資源。 ? 系統(tǒng)管理員應(yīng)定期對(duì)系統(tǒng)中的帳戶(hù)進(jìn)行審計(jì)，對(duì)不符合要求的帳號(hào)進(jìn)行整改。 帳號(hào)的使用原則 ? 操作系統(tǒng)普通用戶(hù)帳號(hào)由具體使用人員向系統(tǒng)管理員申請(qǐng)，系統(tǒng)管理員對(duì)普通帳號(hào)統(tǒng)一進(jìn)行管理、設(shè)置和分配。 ? 用戶(hù)所在部門(mén)主管需對(duì)普通用戶(hù)帳號(hào)申請(qǐng)進(jìn)行審批，必須有正式的書(shū)面審批流程。 ? 操作系統(tǒng)普通用戶(hù)帳號(hào)審批記錄應(yīng)編號(hào)、留檔。 ? 操作系統(tǒng)普通用戶(hù)帳號(hào)權(quán)限應(yīng)基于 “ 使用需要 ” ，逐個(gè)事件進(jìn)行授權(quán)，即以完成其工作職責(zé)的最低要求為依據(jù)，臨時(shí)帳號(hào)應(yīng)在完成特定任務(wù)后由系統(tǒng)管理員立即收回。 ? 系統(tǒng)管理員需通過(guò)安全途徑將帳號(hào)初始口令告知用戶(hù)，用戶(hù)收到初始口令后，應(yīng)在初次登陸系統(tǒng)時(shí)修改初始口令。 ? 操作系統(tǒng)普通用戶(hù)帳號(hào)的撤銷(xiāo)需用戶(hù)主管或人力資源部門(mén)以書(shū)面方式發(fā)出帳號(hào)撤銷(xiāo)通知，由系統(tǒng)管理員根據(jù)通知書(shū)撤銷(xiāo)用戶(hù)帳號(hào)。 操作系統(tǒng)普通用戶(hù)帳號(hào) ? 應(yīng)用系統(tǒng)普通用戶(hù)帳號(hào)由具體使用人員向應(yīng)用系統(tǒng)管理員申請(qǐng)，應(yīng)用系統(tǒng)管理員對(duì)普通帳號(hào)統(tǒng)一進(jìn)行管理、設(shè)置和分配。 ? 用戶(hù)所在部門(mén)主管需對(duì)應(yīng)用系統(tǒng)普通用戶(hù)帳號(hào)申請(qǐng)進(jìn)行審批，必須有正式的書(shū)面審批流程。 ? 應(yīng)用系統(tǒng)普通用戶(hù)帳號(hào)審批記錄應(yīng)編號(hào)、留檔。 ? 應(yīng)用系統(tǒng)普通用戶(hù)帳號(hào)權(quán)限應(yīng)基于 “ 使用需要 ” ，逐個(gè)事件進(jìn)行授權(quán)，即以完成其工作職責(zé)的最低要求為依據(jù)，臨時(shí)帳號(hào)應(yīng)在完成特定任務(wù)后由應(yīng)用系統(tǒng)管理員立即收回。 ? 應(yīng)用系統(tǒng)管理員需通過(guò)安全途徑將應(yīng)用系統(tǒng)普通用戶(hù)帳號(hào)初始口令告知用戶(hù)，用戶(hù)收到初始口令后，應(yīng)在初次登陸系統(tǒng)時(shí)修改初始口令。 ? 應(yīng)用系統(tǒng)普通用戶(hù)帳號(hào)的撤銷(xiāo)需用戶(hù)主管或人力資源部門(mén)以書(shū)面方式發(fā)出帳號(hào)撤銷(xiāo)通知，由系統(tǒng)管理員根據(jù)通知書(shū)撤銷(xiāo)用戶(hù)帳號(hào)。 應(yīng)用系統(tǒng)普通帳號(hào) ? 口令應(yīng)由不少于 8位的大小寫(xiě)字母、數(shù)字以及標(biāo)點(diǎn)符號(hào)等字符組成。帳號(hào)口令必須是在必要時(shí)間或次數(shù)內(nèi)不循環(huán)使用。 ? 口令應(yīng)在 90天內(nèi)至少更換一次，對(duì)重要設(shè)備和系統(tǒng)可采用一次性口令方式進(jìn)行認(rèn)證。 ? 口令設(shè)置不得使用最近 5次以?xún)?nèi)重復(fù)的口令；口令重復(fù)嘗試 5次以后應(yīng)暫停該帳號(hào)登錄。 ? 各級(jí)口令保管落實(shí)到人，口令所有人須妥善保存，各級(jí)口令不得以任何形式明文存放于可公共訪問(wèn)的設(shè)備中。 ? 采取有效措施，保證用戶(hù)口令在傳輸和存儲(chǔ)時(shí)的安全，例如對(duì)口令進(jìn)行加密傳輸和保存。 ? 帳號(hào)使用人應(yīng)遵守口令政策和規(guī)則，在設(shè)置口令時(shí)禁止使用弱口令（如不能包含連續(xù)的相同字符，也不得基于個(gè)人信息，如姓名、電話(huà)號(hào)碼以及出生日期等）。 口令管理（ 1） 當(dāng)發(fā)生以下情況時(shí)，相關(guān)口令必須立即更改并做好記錄： ? 掌握口令的網(wǎng)絡(luò)管理人員離開(kāi)崗位； ? 工程施工、廠商維護(hù)完成； ? 因工作需要，由相關(guān)廠家或第三方公司使用了登陸帳號(hào)及口令后； ? 一旦有跡象表明口令可能被泄露。 口令管理（ 2） 當(dāng)發(fā)生以下情況時(shí)，系統(tǒng)或帳號(hào)管理人員應(yīng)立即取消帳號(hào)或更改口令，并做好記錄 ? 帳號(hào)使用者已經(jīng)離開(kāi)了公司； ? 帳號(hào)使用者由于工作的變動(dòng)不再需要訪問(wèn)權(quán)限； ? 帳號(hào)使用者違背了有關(guān)口令管理規(guī)定； ? 發(fā)生其他情況，由上級(jí)主管人員認(rèn)為不應(yīng)再具有訪問(wèn)權(quán)限的。 口令管理（ 3） ? 系統(tǒng)管理員修改完各個(gè)帳號(hào)的口令后，須保留記錄，以備審計(jì)。 ? 系統(tǒng)管理員修改帳號(hào)口令時(shí)，應(yīng)提前（或同時(shí)）通知帳號(hào)使用人，以免影響其正常使用。 ? 系統(tǒng)的超級(jí)管理員帳號(hào)的口令屬于系統(tǒng)最高機(jī)密，應(yīng)該嚴(yán)格限定使用范圍；其他人員確因工作需要而使用超級(jí)管理員帳號(hào)和口令的，應(yīng)遵守 “ 帳號(hào)管理 ” 中，有關(guān)超級(jí)管理員帳號(hào)的管理規(guī)定。 ? 用戶(hù)應(yīng)對(duì)系統(tǒng)中的帳戶(hù)口令進(jìn)行定期核實(shí)，對(duì)不符合要求的及時(shí)進(jìn)行整改。 口令管理（ 4） 對(duì)帳號(hào)的授權(quán)原則： ? 對(duì)帳號(hào)的授權(quán)須遵守 “ 最小權(quán)限 ” 原則，即以其能進(jìn)行系統(tǒng)管理、操作的最小權(quán)限進(jìn)行授權(quán)。 ? 從帳號(hào)管理的角度，可以進(jìn)行基于角色的訪問(wèn)控制權(quán)限的設(shè)定，即對(duì)資源的訪問(wèn)控制權(quán)限是以角色或組為單位進(jìn)行授予。 ? 細(xì)分角色根據(jù)應(yīng)用的特性和功能長(zhǎng)期存在，基本不隨人員和管理崗位的變更而變更。 ? 角色對(duì)應(yīng)部門(mén)崗位，不對(duì)應(yīng)人員，人員的更換不對(duì)角色產(chǎn)生影響，崗位變化導(dǎo)致高級(jí)角色的變化。 ? 一個(gè)用戶(hù)根據(jù)實(shí)際情況可以分配多個(gè)高級(jí)角色。 ? 各系統(tǒng)應(yīng)該盡力建立基于以下角色模型的授權(quán)體系，如由于系統(tǒng)本身的功能限制不能建立模型，則應(yīng)該盡力向本模型靠攏。 權(quán)限管理 ? 操作系統(tǒng)超級(jí)用戶(hù)授權(quán)表 ? 操作系統(tǒng)普通用戶(hù)帳號(hào)權(quán)限審批表 ? 應(yīng)用系統(tǒng)帳號(hào)權(quán)限審批表 ? 用戶(hù)帳號(hào)登記表 ? 用戶(hù)帳號(hào)核查表 ? 帳號(hào)口令修改記錄表 ? 帳號(hào)口令檢查記錄表 各項(xiàng)表單 包含信息： 系統(tǒng)帳號(hào) 使用者姓名 使用者部門(mén) 職務(wù) 聯(lián)系電話(huà) 帳號(hào)權(quán)限 批準(zhǔn)人 開(kāi)通人 開(kāi)通日 到期日 用戶(hù)帳號(hào)登記表