机构库

中央音乐学院用户(系统)密码管理规定

      一、密码设置要求

      第一条 基础运行环境和应用系统(包括网络设备、安全控制系统、服务器操作系统、数据库、信息应用平台、中间件等)密码设置要求如下:

      (一) 密码长度不得少于10个字符;

      (二) 一般用户密码复杂度要求:必须是大、小写字母、数字或特殊符号的三种组合;系统及数据库管理员密码复杂度要求:必须包含大、小写字母、数字和特殊符号的四种组合。

      (三) 密码修改:系统(用户)密码应视情况不定期修改。再次修改的密码不得使用最近五次内的重复密码。

      (四) 严禁密码复用:学校重要信息系统服务器、同一信息应用系统使用的系列服务器不得使用相同密码。

      第二条 密码设置应避免选用弱密码:如

      (一) 个人或单位名称(包括缩写)、生日、电话号码等;

      (二) 相同或顺序的数字及字母串;明显的键盘序列或逆序;

      (三) 常见的英文单词或字典词语。

      第三条 密码保存与变更

      (一) 应避免将密码记录于纸面或以明文方式记录存储于个人电脑或移动终端内;应采取有效措施，保证用户密码在传输和存储时的安全，例如对密码进行加密传输和保存;

      (二) 以下情况下相关密码必须立即更改并做好记录保存:

      1. 系统(用户)账号使用人由于工作变动不再需要访问权限;

      2. 信息系统项目建设实施完成、厂商维护完成;
      3. 账号使用者违反了有关密码管理规定;
      4. 一旦有迹象表明密码可能被泄露;

      5. 因其他原因确认原管理人员不应再具有访问权限的。

      二、密码使用管理要求

      第四条 对于自动生成密码的系统，必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。

      第五条 用户严禁向任何人公开其本人或他人的账号密码的全部或部分，特别是拥有管理员权限或超级管理员权限的用户，严禁以任何明文格式存储账号和密码。

      第六条 严禁通过公共网络(例如，互联网)公布学校重要系统初始密码规则，严禁以明文格式传送账号和密码。

      第七条 信息应用系统程序必须设定所有用户登录尝试次数限制，系统管理员账号登录尝试次数为 3 次，其他账号登录尝试次数为 5 次，一定时间段内使用同一账号登录失败超过限定次数，该账号须被自动锁定禁止登录，直到系统重新激活该用户账号。

      第八条 信息安全管理员在发现任何企图非法使用某用户账号的情况时，必须强制该用户更改密码。

      第九条 所有安全管理设备、服务器操作系统应开启系统内建的用户账号、用户权限管理和登录管理审计功能，并对其生成的日志文件进行妥善保管，确保日志文件的安全性和完整性，以备查询。