信息安全策略-口令控制策略.doc

密级等级：敏感 受控状态：受控 文件编号： XX_A_04_20_2009.12 口 令 控 制 策 略 Ver 1.0 2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表 版本号 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 发布日期/ 实施日期 分发编号 V1.0 2009/12/30 2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录 序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10 本标准XX_A_04_20_2009.12 本标准依据ISO/IEC 27001：2005信息安全管理体系-要求编写。 本标准由XXXX有限公司提出起草 本标准主要起草人： 本标准于2009年12月30日首次发布2009年12月30日XX_A_04_20_2009.12 介绍 用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息必威体育官网网址性、完整性共和可用性的丢失，导致收入、信誉的损失或经济困难。 使用下列三个要素或其三者的任意组合可以鉴别用户，即： 你知道 – 口令识别号（ PIN ） 你持有 – 智能卡 你拥有 – 指纹、虹膜、声音 三者的任意组合 – 智能卡和口令识别号 目 的 该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。 适用范围 该策略适用于任何信息资源的使用者。 术语定义 略 口令 控制 策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID（用户ID）； 所有用户不得使用他人的用户进行信息资源的访问； 所有口令，包括初始口令，都必须依据总经理室规定的下列规则建立和执行： 必须定期更改； 必须符合信息中心规定的最小长度； 必须是字母、数字和字符的组合； 必须不能是可以轻易联想到的帐号所有者的特性：用户名、绰号、亲属的姓名、生日等； 必须不能用字典中的单词或首字母缩写； 必须保存历史口令，以防止口令的重复使用。 用户的帐号口令必须不能泄露给任何人； 如果怀疑口令的安全性，应立即进行更改； 管理员不能为了使用信息资源规避口令； 用户不能通过自动登录的方式绕过口令登录程序； 计算机设备如果无人值守必须启动口令保护屏保或注销； 用户在首次登录时必须更改口令。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 引用标准 略 XXXX有限公司 XX_A_04_20_2009.12 口令控制策略 第 2 页 共 4 页 XXXX有限公司 .