【正文】 日志，記錄使用情況，包括：用戶、時間、操作等。發(fā)現(xiàn)違反安全訪問策略的情況，及時處理，并通知當事人，必要時進行懲罰。第一百一十二條 無人值守的用戶設備驗證策略對于無人值守的用戶設備必須設置自動屏保程序，同時要求用戶在離開時將屏幕鎖住。當?shù)卿浀揭粋€系統(tǒng)完成任務，或長時間不使用時要從系統(tǒng)注銷。終端暫時不用時，應使用密碼屏幕保護安全，長時間不用時要關閉計算機。第2節(jié) 對網(wǎng)絡設備的訪問控制策略 第一百一十三條 本行網(wǎng)絡架構的設計和部署必須嚴格遵守網(wǎng)絡訪問控制的相關要求。所有訪問或接入本行生產(chǎn)網(wǎng)絡的各類設備必須滿足科技信息部門頒布的技術標準，根據(jù)省聯(lián)社統(tǒng)一制度的技術標準采取必要的網(wǎng)絡接入控制措施，禁止非授權終端的網(wǎng)絡接入，并受科技信息部門的統(tǒng)一管理。 第一百一十四條 所有網(wǎng)絡設備的登陸密碼以及各類網(wǎng)絡服務密碼均應被嚴格保護，禁止任何形式的“設備原始通用密碼”或啟用自動登陸程序，并不得違規(guī)向未授權機構及個人披露。 第二節(jié) 賬號密碼驗證策略第一百一十五條 ************各系統(tǒng)賬號和密碼由各業(yè)務部門管理和設定，包括核算中心管理綜合業(yè)務系統(tǒng)、風險管理部管理信貸管理系統(tǒng)、辦公室管理OA辦公自動化系統(tǒng)、電子銀行部管理網(wǎng)上銀行內(nèi)管系統(tǒng)，為各系統(tǒng)用戶設置初始密碼。總行科技信息部系統(tǒng)管理員負責監(jiān)督和保密管理?？傂锌萍夹畔⒉控撠熃忉?***********辦公、生產(chǎn)網(wǎng)絡上賬號規(guī)則和標準。第一百一十六條 作為用于臨時性、數(shù)據(jù)測試賬號，要與正式賬號區(qū)分開，并保證不能登錄運行中的辦公、業(yè)務生產(chǎn)網(wǎng)絡，在到期或測試結束時應及時將該賬號刪除。第一百一十七條 ************系統(tǒng)管理員密碼須定期更換，更換后的密碼留存紙質記錄，由專人按絕密數(shù)據(jù)保管。第一百一十八條 賬號驗證管理（一）賬號命名規(guī)則。************密碼由大小寫字母、數(shù)字和特殊符號組成，要求8位以上，并且有一定的復雜性。所有用戶最少要有8個字符，必須由字母、數(shù)字以及特殊字符組成。普通用戶至少每三個月更改一次密碼，免再次使用舊密碼或循環(huán)使用舊密碼。首次登錄時應更改初始密碼。（二）賬號申領只有授權用戶才可以申請系統(tǒng)賬號，賬號相應的權限應該以滿足用戶需要為原則，不得有與用戶職責無關的權限。一人一賬號，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負責。管理員必須維護對注冊使用服務的所有用戶的正式記錄。用戶因工作變更或離開公司時，管理員要及時取消或者鎖定其所有賬號，對于無法鎖定或者刪除的用戶賬號采用更改密碼等相應的措施規(guī)避該風險。（三）賬號管理規(guī)范不允許將個人使用的賬號告知他人。個人計算機系統(tǒng)中不允許有不明用途的賬號存在。員工在暫時離開自己的計算機時，必須將自己的計算機鎖定。第一百一十九條 密碼驗證管理（一）密碼選取用戶應該有意識地選擇強壯的密碼（即難以破解和猜測的密碼），不要使用弱密碼。弱密碼有以下特征：密碼長度少于6個字符；密碼是可以在字典中直接發(fā)現(xiàn)的單詞密碼比較常見，例如：家人名字、朋友名字、同事名字等等；計算機名字、術語、公司名字、地名、硬件或軟件名稱：生日、個人信息、家庭地址、電話：某種模式的，例如aaabbb、asdfgh、12345123321等等：任何上面一種方式倒過來寫；任何上面一種方式帶了一個數(shù)字。強壯的密碼具備以下特征： 同時具備大寫和小寫字符 ；8個字符或者以上 ；不是字典上的單詞或者漢語拼音 ；不基于個人信息、名字和家庭信息。（二）密碼申領初始密碼在創(chuàng)建用戶時設定，初次登錄時操作系統(tǒng)或者管理員必須強制修改密碼，不能使用缺省設置的密碼。用戶忘記密碼時，管理員必須在對該用戶進行適當?shù)纳矸葑R別后才能向其提供臨時密碼。在向用戶提供臨時密碼時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。測試環(huán)境的賬號與生產(chǎn)環(huán)境的賬號使用不同的密碼。前置系統(tǒng)、生產(chǎn)系統(tǒng)密碼由科技信息部安排專人負責，確保密碼的安全。各支行密碼如丟失，應及時向總行科技信息部報備書面材料，及時申請新的密碼。如發(fā)生密碼泄密現(xiàn)象，系統(tǒng)管理員要立刻報告本單位負責人，同時及時更換密碼，確保系統(tǒng)安全。（三）密碼管理規(guī)范不要把自己密碼共享給他人。用戶應保證密碼安全，不得向其他任何人泄漏。密碼不能在電子郵件或者其他電子方式下以明文方式傳輸，不要以明文的方式記錄在紙上，不能以明文方式記錄計算機內(nèi)。在別人面前談論不要提到密碼。不要暗示自己密碼的格式。不要在調(diào)查中給出密碼。不要使用非授權和許可的密碼記憶軟件。不要在任何自動登錄程序中使用密碼，如在宏或功能鍵中存儲。如果密碼可能被破解了，應立即更改密碼。不要使用別人通過個人相關信息（如姓名、電話號碼、生日等）容易猜出或破解的密碼不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母，不要用英文單詞或重要記念日。員工每天工作完成后，必須將自己的計算機注銷或關閉后才可以離開。 第十二章 安全方式處理保密信息的輸入和輸出第一百二十條 金融電子化系統(tǒng)中的信息應根據(jù)其重要性、密級、應用需求等分別實行相應的加密措施。對絕密級(金融電子化設計方案、金融主要業(yè)務的源代碼、聯(lián)行或電子匯兌密押、密鑰的文字說明等),機密級（計算機網(wǎng)絡設計方案、數(shù)據(jù)庫設計說明、有關電子帳務數(shù)據(jù)文件、主要業(yè)務的目標程序等）,秘密級（省市級項目電報、會計報表、銀行重要憑證及帳務等）等信息未經(jīng)加密處理不得通過互聯(lián)網(wǎng)傳送，機密以上信息（含機密）不得以明文形式傳送。第一百二十一條 必須加強數(shù)據(jù)信息處理全過程的安全管理，保證數(shù)據(jù)信息的保密性、完整性、可用性、可控性。數(shù)據(jù)信息的安全管理應做到：嚴把數(shù)據(jù)信息采集關，確保真實、可靠、合法。據(jù)實錄入數(shù)據(jù)信息，嚴禁憑空輸入，對數(shù)據(jù)信息的修改，必須得到科技信息部的批準，并記錄備案。必須采用必要的技術措施保證數(shù)據(jù)信息傳輸過程的安全，應使用加密技術對涉密或重要的數(shù)據(jù)信息實施加密處理。使用部門應按規(guī)定進行數(shù)據(jù)備份，并檢查備份媒體的有效性，送往異地的重要數(shù)據(jù)磁盤、磁帶必須有加密措施，嚴防泄漏。在設備維修、報廢過程中，要確保其中的數(shù)據(jù)信息的保密性、完整性。第一百二十二條 對于遠程接入程序，數(shù)據(jù)必須經(jīng)過加密傳輸；對于柜員和客戶密碼必須經(jīng)過加密存儲。加密算法要采取國際上流行的算法。數(shù)據(jù)傳輸過程，均需加密后傳送；數(shù)據(jù)傳輸過程除對數(shù)據(jù)包有加密方式外，應對合法性有相應的驗證；應支持客戶自定義的加密與校驗算法；數(shù)據(jù)傳輸要具有強壯性，異常發(fā)生后能夠自動恢復正常狀態(tài)，同時控制同一請求不會被重復處。第十三章 附則第一百二十三條 本辦法由************有限責任公司負責制定、解釋和修改。第一百二十四條 本辦法自下發(fā)之日起執(zhí)行。