【正文】 日志，記錄使用情況，包括：用戶、時間、操作等。發(fā)現(xiàn)違反安全訪問策略的情況，及時處理，并通知當(dāng)事人，必要時進(jìn)行懲罰。第一百一十二條 無人值守的用戶設(shè)備驗證策略對于無人值守的用戶設(shè)備必須設(shè)置自動屏保程序，同時要求用戶在離開時將屏幕鎖住。當(dāng)?shù)卿浀揭粋€系統(tǒng)完成任務(wù)，或長時間不使用時要從系統(tǒng)注銷。終端暫時不用時，應(yīng)使用密碼屏幕保護(hù)安全，長時間不用時要關(guān)閉計算機(jī)。第2節(jié) 對網(wǎng)絡(luò)設(shè)備的訪問控制策略 第一百一十三條 本行網(wǎng)絡(luò)架構(gòu)的設(shè)計和部署必須嚴(yán)格遵守網(wǎng)絡(luò)訪問控制的相關(guān)要求。所有訪問或接入本行生產(chǎn)網(wǎng)絡(luò)的各類設(shè)備必須滿足科技信息部門頒布的技術(shù)標(biāo)準(zhǔn)，根據(jù)省聯(lián)社統(tǒng)一制度的技術(shù)標(biāo)準(zhǔn)采取必要的網(wǎng)絡(luò)接入控制措施，禁止非授權(quán)終端的網(wǎng)絡(luò)接入，并受科技信息部門的統(tǒng)一管理。 第一百一十四條 所有網(wǎng)絡(luò)設(shè)備的登陸密碼以及各類網(wǎng)絡(luò)服務(wù)密碼均應(yīng)被嚴(yán)格保護(hù)，禁止任何形式的“設(shè)備原始通用密碼”或啟用自動登陸程序，并不得違規(guī)向未授權(quán)機(jī)構(gòu)及個人披露。 第二節(jié) 賬號密碼驗證策略第一百一十五條 ************各系統(tǒng)賬號和密碼由各業(yè)務(wù)部門管理和設(shè)定，包括核算中心管理綜合業(yè)務(wù)系統(tǒng)、風(fēng)險管理部管理信貸管理系統(tǒng)、辦公室管理OA辦公自動化系統(tǒng)、電子銀行部管理網(wǎng)上銀行內(nèi)管系統(tǒng)，為各系統(tǒng)用戶設(shè)置初始密碼。總行科技信息部系統(tǒng)管理員負(fù)責(zé)監(jiān)督和保密管理?？傂锌萍夹畔⒉控?fù)責(zé)解釋************辦公、生產(chǎn)網(wǎng)絡(luò)上賬號規(guī)則和標(biāo)準(zhǔn)。第一百一十六條 作為用于臨時性、數(shù)據(jù)測試賬號，要與正式賬號區(qū)分開，并保證不能登錄運行中的辦公、業(yè)務(wù)生產(chǎn)網(wǎng)絡(luò)，在到期或測試結(jié)束時應(yīng)及時將該賬號刪除。第一百一十七條 ************系統(tǒng)管理員密碼須定期更換，更換后的密碼留存紙質(zhì)記錄，由專人按絕密數(shù)據(jù)保管。第一百一十八條 賬號驗證管理（一）賬號命名規(guī)則。************密碼由大小寫字母、數(shù)字和特殊符號組成，要求8位以上，并且有一定的復(fù)雜性。所有用戶最少要有8個字符，必須由字母、數(shù)字以及特殊字符組成。普通用戶至少每三個月更改一次密碼，免再次使用舊密碼或循環(huán)使用舊密碼。首次登錄時應(yīng)更改初始密碼。（二）賬號申領(lǐng)只有授權(quán)用戶才可以申請系統(tǒng)賬號，賬號相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則，不得有與用戶職責(zé)無關(guān)的權(quán)限。一人一賬號，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負(fù)責(zé)。管理員必須維護(hù)對注冊使用服務(wù)的所有用戶的正式記錄。用戶因工作變更或離開公司時，管理員要及時取消或者鎖定其所有賬號，對于無法鎖定或者刪除的用戶賬號采用更改密碼等相應(yīng)的措施規(guī)避該風(fēng)險。（三）賬號管理規(guī)范不允許將個人使用的賬號告知他人。個人計算機(jī)系統(tǒng)中不允許有不明用途的賬號存在。員工在暫時離開自己的計算機(jī)時，必須將自己的計算機(jī)鎖定。第一百一十九條 密碼驗證管理（一）密碼選取用戶應(yīng)該有意識地選擇強壯的密碼（即難以破解和猜測的密碼），不要使用弱密碼。弱密碼有以下特征：密碼長度少于6個字符；密碼是可以在字典中直接發(fā)現(xiàn)的單詞密碼比較常見，例如：家人名字、朋友名字、同事名字等等；計算機(jī)名字、術(shù)語、公司名字、地名、硬件或軟件名稱：生日、個人信息、家庭地址、電話：某種模式的，例如aaabbb、asdfgh、12345123321等等：任何上面一種方式倒過來寫；任何上面一種方式帶了一個數(shù)字。強壯的密碼具備以下特征： 同時具備大寫和小寫字符 ；8個字符或者以上 ；不是字典上的單詞或者漢語拼音 ；不基于個人信息、名字和家庭信息。（二）密碼申領(lǐng)初始密碼在創(chuàng)建用戶時設(shè)定，初次登錄時操作系統(tǒng)或者管理員必須強制修改密碼，不能使用缺省設(shè)置的密碼。用戶忘記密碼時，管理員必須在對該用戶進(jìn)行適當(dāng)?shù)纳矸葑R別后才能向其提供臨時密碼。在向用戶提供臨時密碼時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。測試環(huán)境的賬號與生產(chǎn)環(huán)境的賬號使用不同的密碼。前置系統(tǒng)、生產(chǎn)系統(tǒng)密碼由科技信息部安排專人負(fù)責(zé)，確保密碼的安全。各支行密碼如丟失，應(yīng)及時向總行科技信息部報備書面材料，及時申請新的密碼。如發(fā)生密碼泄密現(xiàn)象，系統(tǒng)管理員要立刻報告本單位負(fù)責(zé)人，同時及時更換密碼，確保系統(tǒng)安全。（三）密碼管理規(guī)范不要把自己密碼共享給他人。用戶應(yīng)保證密碼安全，不得向其他任何人泄漏。密碼不能在電子郵件或者其他電子方式下以明文方式傳輸，不要以明文的方式記錄在紙上，不能以明文方式記錄計算機(jī)內(nèi)。在別人面前談?wù)摬灰岬矫艽a。不要暗示自己密碼的格式。不要在調(diào)查中給出密碼。不要使用非授權(quán)和許可的密碼記憶軟件。不要在任何自動登錄程序中使用密碼，如在宏或功能鍵中存儲。如果密碼可能被破解了，應(yīng)立即更改密碼。不要使用別人通過個人相關(guān)信息（如姓名、電話號碼、生日等）容易猜出或破解的密碼不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。員工每天工作完成后，必須將自己的計算機(jī)注銷或關(guān)閉后才可以離開。 第十二章 安全方式處理保密信息的輸入和輸出第一百二十條 金融電子化系統(tǒng)中的信息應(yīng)根據(jù)其重要性、密級、應(yīng)用需求等分別實行相應(yīng)的加密措施。對絕密級(金融電子化設(shè)計方案、金融主要業(yè)務(wù)的源代碼、聯(lián)行或電子匯兌密押、密鑰的文字說明等),機(jī)密級（計算機(jī)網(wǎng)絡(luò)設(shè)計方案、數(shù)據(jù)庫設(shè)計說明、有關(guān)電子帳務(wù)數(shù)據(jù)文件、主要業(yè)務(wù)的目標(biāo)程序等）,秘密級（省市級項目電報、會計報表、銀行重要憑證及帳務(wù)等）等信息未經(jīng)加密處理不得通過互聯(lián)網(wǎng)傳送，機(jī)密以上信息（含機(jī)密）不得以明文形式傳送。第一百二十一條 必須加強數(shù)據(jù)信息處理全過程的安全管理，保證數(shù)據(jù)信息的保密性、完整性、可用性、可控性。數(shù)據(jù)信息的安全管理應(yīng)做到：嚴(yán)把數(shù)據(jù)信息采集關(guān)，確保真實、可靠、合法。據(jù)實錄入數(shù)據(jù)信息，嚴(yán)禁憑空輸入，對數(shù)據(jù)信息的修改，必須得到科技信息部的批準(zhǔn)，并記錄備案。必須采用必要的技術(shù)措施保證數(shù)據(jù)信息傳輸過程的安全，應(yīng)使用加密技術(shù)對涉密或重要的數(shù)據(jù)信息實施加密處理。使用部門應(yīng)按規(guī)定進(jìn)行數(shù)據(jù)備份，并檢查備份媒體的有效性，送往異地的重要數(shù)據(jù)磁盤、磁帶必須有加密措施，嚴(yán)防泄漏。在設(shè)備維修、報廢過程中，要確保其中的數(shù)據(jù)信息的保密性、完整性。第一百二十二條 對于遠(yuǎn)程接入程序，數(shù)據(jù)必須經(jīng)過加密傳輸；對于柜員和客戶密碼必須經(jīng)過加密存儲。加密算法要采取國際上流行的算法。數(shù)據(jù)傳輸過程，均需加密后傳送；數(shù)據(jù)傳輸過程除對數(shù)據(jù)包有加密方式外，應(yīng)對合法性有相應(yīng)的驗證；應(yīng)支持客戶自定義的加密與校驗算法；數(shù)據(jù)傳輸要具有強壯性，異常發(fā)生后能夠自動恢復(fù)正常狀態(tài)，同時控制同一請求不會被重復(fù)處。第十三章 附則第一百二十三條 本辦法由************有限責(zé)任公司負(fù)責(zé)制定、解釋和修改。第一百二十四條 本辦法自下發(fā)之日起執(zhí)行。