为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。
第一章 目的
第一条 为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。
第二条 所有使用重庆XX中学网络信息系统的人员。
第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定,网络安全办公室负责建立账号和口令管理的规范并推动执行、审核和检查落地执行情况。
第四条 术语和定义
内部网络:是指在重庆XX中学内部所有客户端等组成的局域网。包括但不限于数据库系统等。
第五条 用户注册
- 新用户必须经网络管理员授权接入,否则不允许入网。
- 用户账号由网络管理员在该用户上岗使用重庆XX中学网络系统前建立,命名原则为职工工号。
- 一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对其操作行为负责。
- 用户因工作变更或离开重庆XX中学时, 管理员要及时取消或者锁定该用户所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避风险。
- 系统管理员应定期检查并取消多余的用户账号。
第六条 权限管理
- 网络安全办公室系统管理员负责分配新用户系统权 限,负责审批用户权限变更申请是否与信息安全策略相违背。
- 特权用户必须按授权程序通过系统等部门主管批准, 才可给予相应的权限。
- 系统管理员应保留所有特权用户的授权程序与记录。
- 权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户的单独监控。
- 只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本岗位工作最低标准为准。
- 系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授予权限。
- 对于重庆XX中学外的用户,需要访问重庆XX中学内部资源时,需要由用户的接待者申请为其办理授审批程序。
第七条 口令的选择
口令的选择应参考以下规则:
- 最少要有 8 个字符,必须由字母、数字、大小写以及特殊字符组成。
- 不要使用别人通过个人相关信息(如姓名、电话号码、生日等)容易猜出或破解的口令。
第八条 口令管理和使用
- 员工应了解进行有效访问控制的责任,特别是口令使用和员工设备安全的责任;
- 员工应保证口令安全,不得向其他任何人泄漏。对于泄漏口令向造成的损失,由员工本人负责;
- 不要共享个人口令;
- 应避免在纸上记录口令,或以明文方式记录计算机内;
- 不要在任何自动登录程序中使用口令,如在宏或功能键中存储;
- 用户忘记口令时,管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令;
- 常规情况下,用户自主口令至少每季度更改一次, 系统口令可半年更改一次,且避免再次使用旧口令或循环使用旧口令;
- 允许用户选择和变更他们自己的口令,并且包括确认程序,以便考虑到输入出错的情况;
- 在第一次登录时强制用户变更临时口令;
- 存储口令文件的存储应和系统数据相分开,并采用安全方式存储和传输口令。
第九条 用户访问权限检查
- 定期检查用户的账号及其权限,保留检查记录;
- 重点检查有特权的账号,是否存在特权使用期限过期。
第十条 帐号建立流程
新建账号由个人或使用人提交申请单,经部门领导、信息中心领导审批确认后,由网络安全办公室指定专人进行账号开通、权限配置工作,并反馈申请人配置结果。
第十一条 帐号删除流程
管理员定期(半年)对现有账号进行清理,发现有超过6 个月未登录/使用的账号对其禁用,期间账户所有者可申请账号的重新启用,禁用的账号将保存 6 个月,若仍未启用将进行删除操作。
上一篇:恶意代码防范管理制度
下一篇:网络信息系统变更管理程序
相关文章
-
文件评审及发布制度(通用文档)
本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。 第一章 目的 第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审,特制定本制度。 第二章 范围 第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。 第三章 职责 第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信…
-
VPN加密系统是什么?有哪些功能
VPN的身份认证通过LADP协议可以与认证服务器建立认证关系,也可以与PKI/CA服务器建立联系在终端导入证书,VPN 加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,通过上述的加密技术,保证视频、信令、数据在公共网络中传输安全。 VPN加密系统功能如下: 支持丰富的C/S、B/S应用; 支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key; 证书、证书+口令、双因子认证等; 支持多种终端设备接入(包括window平台、linux平台、andriod平…
-
网络信息安全技能专业培养,校企合作方案
随着前几年《网络安全法》的正式发布,网络安全越来越受到政府、企事业单位的关注和重视,对应的信心安全人才也逐渐走俏,人才市场上有大量岗位空缺。于是,一大波网络安全厂商便向各个高效推出了校企合作的模式,对口培训、招收人才。各个厂商之间的方案或许都有不同,本文主要参考了启明星辰的方案,当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 您若是需要摘抄即可,整个文档约18页,登录即可下载,文档目录见末尾,本文是原WORD的摘抄。 一、招生对象及学制 招生对象:普通高等院校毕业生、社招人员 学制:四个…
-
机房动环监测系统解决方案
IDC(Internet Data Center) - 数据中心,它是传统的数据中心与Internet的结合,它除了具有传统的数据中心所具有的特点外,如数据集中、主机运行可靠等,还应具有访问方式的变化、要做到7x24服务、反应速度快等。IDC是一个提供资源外包服务的基地,它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。 IDC机房内拥有大量的服务器、网络设备、供电设备、制冷设备、消防设备等对这些设备如何进行高效的管理,根据我们的…
-
信息系统工程实施管理
第一章 目的 第一条 为了规范重庆XX中学信息系统建设管理和工程实施管理,在工程实施各个环节按照信息安全等级保护要求进行管理,特制定本管理规范。 第二章 范围 第二条 本规范适用于重庆XX中学信息系统建设管理和工程实施管理。 第三章 职责 第三条 网络安全办公室负责系统建设管理和工程实施管理。 第四章 管理细则 第四条 工程实施阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。 第五条 本阶段应完成以下具体信息安全工作: 第六条 安全建设整改工程实施的组…
-
集团公司信息安全方针与政策模板
此前说到,一个系统若没有有效的制度协助管理运营人员来管理,那么即便再好的系统和设备,不日也会逐渐臃肿直至瘫痪。公司也是一样,良好的公司制度有助于企业健康、快速的发展;本篇分享的公司信息安全方针与政策,可作为公司制度的一部分,合理应用将有效地保障企业的信息资产安全。以下内容来自于网络,众平稍作修改分享。 XX公司信息安全方针与政策 第一章 总则 第一条 本方针政策旨在为重庆众平科技有限公司(Chongqing Zhongping Technology Co., Ltd.,下同)及其所有子公司、分支…
