返回
信息系统口令、密码和密钥管理

信息系统口令、密码和密钥管理

ID:39614341

大小:65.50 KB

页数:4页

时间:2019-07-07

信息系统口令、密码和密钥管理_第1页
信息系统口令、密码和密钥管理_第2页
信息系统口令、密码和密钥管理_第3页
信息系统口令、密码和密钥管理_第4页
资源描述:

《信息系统口令、密码和密钥管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统口令、密码和密钥管理1范围本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。1994 国务院中华人民共和国计算机信息系统安全

2、保护条例国务院273号令 商用密钥管理条例1998 国家保密局 中华人民共和国计算机信息系统保密管理暂行规定2000 国家保密局 中华人民共和国计算机信息系统国际联网保密管理规定2003 公司 网络与信息安全管理办法(试行)2006 公司 信息网防病毒运行统计管理规范(试行)2006 公司 信息网用户行为规范(试行)3术语与定义以下术语和定义适用于本标准。3.1信息系统信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是

3、一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。3.2密钥密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。4职责4.1 信息中心职责4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。4.2信息中心各专职职责4.1.3网

4、络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。1管理内容与要求5.1主机与网络设备(含安全防护系统)口令、密码管理5.1.1各类主机、网络设备应有明确的管理员负责管理,管

5、理员负责其管辖范围的账号、口令的设置和更改。5.1.2各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过1个月。5.1.3各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。口令的保存、更改和开封启用均要有详细记录。严禁私自启封。5.1.4更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。5.1.5不同权限人员应严格保管、保密各自

6、职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员,不同应用数据库的管理员一般不能具备访问其他应用数据库的权限。系统上线后,必须删除测试帐户,严禁系统开发人员掌握系统管理员口令。5.1.6软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注

7、册表或数据库中。访问数据库的用户名和口令不能固化在应用软件中或直接写在数据库中。口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证,不能仅按照角色进行口令分配。对不同用户共享资源进行访问必须进行用户身份的控制和认证。软件开发商在应用软件的移交过程中,必须向运行维护部门提供关于应用软件的安全设计文档和用户名、口令和配置方案;运行维护部门在应用软件接收过程中必须全面掌握软件的设计并对其进行全面评估,评估合格后,由运行维护部门重新设定用户名和口令,方能上线运行。5.1.7因应用软件的升级或修改需要临时授权时,

8、开发人员必须以书面的形式申请,并得到信息中心主管及以上的人员同意方可授权,维护结束后,相关管理人员必须立即删除用户或更改口令。5.2应用系统的口令、密码和密钥管理5.2.1各应用信息系统的主管部门对于重要应用系统必须建立相应操作人员口令、密码和密钥管理制度,分清各级操作人员职责。5.2.2应用系统应实行权限分散原则。明确系统管理员、系统操作员、程序员等的权限和操作范围,并

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。