[ISMS-C-05]口令控制策略.docx

《[ISMS-C-05]口令控制策略.docx》由会员分享，可在线阅读，更多相关《[ISMS-C-05]口令控制策略.docx（1页珍藏版）》请在第一文库网上搜索。

1、口令控制策略发布部门信息安全小组生效时间2019-11-01批准人文件编号ISMS-C-05介绍 用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息保密性、完整性共和可用性的丢失，导致收入、信誉的损失或经济困难。目的该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。适用范围该策略适用于任何信息资源的使用者。术语定义略口令控制策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID （用户ID）； 所有用户不得使用他人的用户进行信息资源的访问； 所有口令，包括初始口令，都必须依据总经理办公室规定的下列规

2、则建立和执行：令 所有活动帐号都必须有口令保护；令 必须定期更改口令；令 口令输入时不应将口令的明文显示出来，应该采取掩盖措施；令 必须符合信息中心规定的最小长度；口令必须至少要含有6个字符，系统管理员口令至少要含有8个字符。令必须是字母、数字和字符的组合；令 口令不能和用户名或登录名相同；令 必须不能是可以轻易联想到的帐号所有者的特性：用户名、绰号、亲属的姓名、生日等；令必须不能用字典中的单词或首字母缩写；令 必须保存历史口令，以防止口令的重复使用。 用户的帐号口令必须不能泄露给任何人； 如果怀疑口令的安全性，应立即进行更改； 管理员不能为了使用信息资源规避口令； 用户不能通过自动登录的方式绕过口令登录程序； 计算机设备如果无人值守必须启动口令保护屏保或注销； 用户在首次登录时必须更改口令。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略