为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。
第一章 目的
第一条 为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。
第二条 所有使用重庆XX中学网络信息系统的人员。
第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定,网络安全办公室负责建立账号和口令管理的规范并推动执行、审核和检查落地执行情况。
第四条 术语和定义
内部网络:是指在重庆XX中学内部所有客户端等组成的局域网。包括但不限于数据库系统等。
第五条 用户注册
- 新用户必须经网络管理员授权接入,否则不允许入网。
- 用户账号由网络管理员在该用户上岗使用重庆XX中学网络系统前建立,命名原则为职工工号。
- 一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对其操作行为负责。
- 用户因工作变更或离开重庆XX中学时, 管理员要及时取消或者锁定该用户所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避风险。
- 系统管理员应定期检查并取消多余的用户账号。
第六条 权限管理
- 网络安全办公室系统管理员负责分配新用户系统权 限,负责审批用户权限变更申请是否与信息安全策略相违背。
- 特权用户必须按授权程序通过系统等部门主管批准, 才可给予相应的权限。
- 系统管理员应保留所有特权用户的授权程序与记录。
- 权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户的单独监控。
- 只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本岗位工作最低标准为准。
- 系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授予权限。
- 对于重庆XX中学外的用户,需要访问重庆XX中学内部资源时,需要由用户的接待者申请为其办理授审批程序。
第七条 口令的选择
口令的选择应参考以下规则:
- 最少要有 8 个字符,必须由字母、数字、大小写以及特殊字符组成。
- 不要使用别人通过个人相关信息(如姓名、电话号码、生日等)容易猜出或破解的口令。
第八条 口令管理和使用
- 员工应了解进行有效访问控制的责任,特别是口令使用和员工设备安全的责任;
- 员工应保证口令安全,不得向其他任何人泄漏。对于泄漏口令向造成的损失,由员工本人负责;
- 不要共享个人口令;
- 应避免在纸上记录口令,或以明文方式记录计算机内;
- 不要在任何自动登录程序中使用口令,如在宏或功能键中存储;
- 用户忘记口令时,管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令;
- 常规情况下,用户自主口令至少每季度更改一次, 系统口令可半年更改一次,且避免再次使用旧口令或循环使用旧口令;
- 允许用户选择和变更他们自己的口令,并且包括确认程序,以便考虑到输入出错的情况;
- 在第一次登录时强制用户变更临时口令;
- 存储口令文件的存储应和系统数据相分开,并采用安全方式存储和传输口令。
第九条 用户访问权限检查
- 定期检查用户的账号及其权限,保留检查记录;
- 重点检查有特权的账号,是否存在特权使用期限过期。
第十条 帐号建立流程
新建账号由个人或使用人提交申请单,经部门领导、信息中心领导审批确认后,由网络安全办公室指定专人进行账号开通、权限配置工作,并反馈申请人配置结果。
第十一条 帐号删除流程
管理员定期(半年)对现有账号进行清理,发现有超过6 个月未登录/使用的账号对其禁用,期间账户所有者可申请账号的重新启用,禁用的账号将保存 6 个月,若仍未启用将进行删除操作。
上一篇:恶意代码防范管理制度
下一篇:网络信息系统变更管理程序
相关文章
-
数据中心的主机安全建设,系统加固策略
数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面: 对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括: 1、使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患; 2、对 ssh 服务进行加固,关闭 root 账号远程…
-
简单的网络安全服务方案模板下载(安全服务体系 & 报价方案)
本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到具体的网络安全服务内容和服务报价需要进一步修改,切勿完全照抄搬用。本站在网络分享时为了可读性,删减了部分内容、更改了序号,原文档请下载附件。 随着数字化时代的无缝延展,网络安全已成为国家治理的一个关键块面。从习近平主席在中央网络安全和信息化领导小组第一次会议上强调“没有网络安全就没有国家安全”的战略视角出发,我国密集推出了一系列立法举措,旨在建立一套健全的网络安全法律体系,从网络运营安全、个人信息保护、数据安全管理各个维度筑牢网络安全…
-
智慧医院建设项目解决方案:CA 数字签名系统
为保障医院电子病历系统、住院系统、门诊系统、医学影像系统、实验室系统等系统的业务信息安全,需依据《卫生系统电子认证服务管理办法(试行)》及相关标准规范要求,建立全院统一的电子认证服务体系和业务应用安全支撑体系,实现“可信身份、可信数据、可信行为、可信时间”的目标,保证电子病历的真实可信和合法有效性。 本系列文章分享一个比较新的智慧医院建设方案,原文系重庆某区县大三甲医院的智慧医院建设项目的真实案例,本篇介绍智慧医院中的安全系统部分。智慧医院建设项目文章列表: 建立我院统一的电子认证服务体系,面向…
-
信息系统建设的安全机制建设
本XXX方案需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则: 1、合规性和规范化原则 安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、CSA的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。 2、国产自主化原则 大数据中心信息…
-
网络安全管理制度
为规范重庆XX中学网络信息系统安全管理,特制订本规范。本规范适用于网络安全办公室网络管理员和安全管理员对网络系统的日常管理和安全维护行为。 第一章 目的 第一条 为规范重庆XX中学网络信息系统安全管理,特制订本规范。 第二章 范围 第二条 本规范适用于网络安全办公室网络管理员和安全管理员对网络系统的日常管理和安全维护行为。 第三章 职责 第三条 网络安全办公室日常网络运行维护管理主要由网络管理员和安全管理员负责。 第四章 管理细则 第四条 网络系统维护基本要求 第五条 网络配置管理 第六条 网络…
-
XXX 信息系统网络安全服务内容和技术要求
面对当前信息系统安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁社会稳定、经济发展甚至国家安全。因此,XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设,它是一个循序渐进、不断完善的过程,较好的方式是信息安全建设与系统建设同步规划、同步设计。同时,结合等级保护标准,逐步完善和加强安全保障体系建设,与信息安全行业的领先者强强联合,引入专业的安全服务、先进的安全管理理念,有效控制和降低信息系统…
