运维账号和口令管理规范

　　

目 录

1        目的 ...................................................................................................................................................................

 

2        适用范围 ..........................................................................................................................................................

 

3        职责及权限 ......................................................................................................................................................

 

4        术语和定义 ......................................................................................................................................................

 

5        帐号的注册 ......................................................................................................................................................

 

6        域帐号的命名规范 .........................................................................................................................................

 

7        口令选取规范 ..................................................................................................................................................

 

8        口令管理规范 ..................................................................................................................................................

 

9        账号分类 ..........................................................................................................................................................

 

10      相关记录 ......................................................................................................................................................

 

1             目的

 

明确个人帐户、口令及权限安全责任，规定个人帐户安全管理涉及的内容和要求，最大程度上消除个人信息的安全隐患，从而避免因个人帐户、口令和权限的安全漏洞带给整个企业网络环境中的信息系统更高的安全风险。

本规范涉及帐号的注册、域帐号命名规范、口令选取规范、口令管理规范、无人值守用户

 

设备及共享管理和权限等方面的内容，遵循这些专门的管理规范中的要求，针对个人不同系统帐号的特点进行更加细致的规定。

 

2             适用范围

 

1.     本规范适用于技术部所有员工。

 

1. 本规范应当向适用范围内的所有技术部员工发布。

 

3             职责及权限

 

1. 运维中心：

 

负责维护公司所有个人帐号的开通及安全管理与审核。

 

4             术语和定义

 

管理员是指对系统、网络或者应用拥有超级权限的人员。

5             帐号的注册

 

1. 只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。
2. 一人一账号，以便将用户与其操作联系起来，使用户对其操作负责。

 

1. 用户必须签署声明，表示他们知晓访问的条件。

 

1. 管理员必须维护对注册使用服务的所有用户的正式记录。

 

1. 用户因工作变更或离开公司时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。
2. 管理员应定期检查并取消多余的用户账号。

 

6             域帐号的命名规范

 

1. 所有员工域帐号与其他办公系统帐号相同，格式都为：姓的拼音                                             +名字拼音首字母。

 

1. 如出现姓和名拼音相同的情况则在后入职员工的的名字拼音后后加a、b 等字母。

 

7             口令选取规范

 

1. 用户应该有意识地选择强壮的口令不要使用弱口令。

 

1. 不允许使用弱口令，如：

 

1. 口令长度小于 6 个字符。

 

1. 口令是可以在字典中查找到的单词。

 

1. 使用了以下常见的口令：

 

家人名字、朋友名字、同事名字等等

 

计算机名字、术语、公司名字、地名、硬件或软件名称

 

生日、个人信息、家庭地址、电话

 

任何上面一种方式倒过来写

任何上面一种方式带了一个数字

 

 

8             口令管理规范

 

1. 初始口令在创建用户时设定，初次登录时，操作系统或者管理员必须强制用户修改口令，不能使用缺省设置的口令。
   1. 用户应保证口令安全，不得向其他任何人泄漏。即使是出差或休假时，也不应将自己口令告诉他人。
   2. 个人计算机至少 3 个月更改一次口令。

 

1. 应避免在纸上记录口令，或以明文方式记录计算机内。

 

1. 一旦有迹象表明系统或口令可能遭到破坏时，应立即更改。

 

1. 禁止系统的自动登录和口令记忆功能。

 

1. 口令不能在电子邮件或其他电子方式下以明文传送。

 

1. 当要登录的软件系统提供软键盘时，尽量使用软键盘输入口令，以防止键盘记录软件

 

（木马）的恶意记录。

 

1. 不使用非经授权、许可的口令记录软件和键盘记录软件等。

 

1. 如忘记个人密口令需经批准后由管理员重置口令后方可使用。

 

1. 用户应保证自己不相关联的各个系统的登录口令不相同，如：个人机器域登录口令和报工系统登录口令不相同或相近。

 

9             账号分类

 

1. VPN账号，离职人员及时清理，所有账号可寻迹，保障云环境的安全。
2. 域账号，离职人员及时清理，设置主机级别的管理员权限。
3. 内网服务器口令做好权限划分，授予相关人员最小权限集。
4. 企业邮箱和马上办，离职人员及时清理。
5. 阿里云，腾讯云，新网相关账号，妥善保管，采用RAM授权方式严格限制权限。
6. 云上各主机口令，相关人员离职后，及时更换。
7. 防火墙，交换机，门禁，监控等口令，有相关人员变动，及时更换新口令。

10      相关记录

 

做好相关重大事项的记录，做到有迹可循。