- 1、本文档共4页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全策略-口令控制策略
密级等级:敏感
受控状态:受控
文件编号: XX_A_04_20_2009.12
口 令 控 制 策 略
Ver 1.0
2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表
版本号 编制人/
创建日期 审核人/
审核日期 批准人/
批准日期 发布日期/
实施日期 分发编号 V1.0 2009/12/30
2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录
序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10
本标准XX_A_04_20_2009.12
本标准依据ISO/IEC 27001:2005信息安全管理体系-要求编写。
本标准由XXXX有限公司提出起草
本标准主要起草人:
本标准于2009年12月30日首次发布2009年12月30日XX_A_04_20_2009.12 介绍 用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息必威体育官网网址性、完整性共和可用性的丢失,导致收入、信誉的损失或经济困难。 使用下列三个要素或其三者的任意组合可以鉴别用户,即:
你知道 – 口令识别号( PIN )
你持有 – 智能卡
你拥有 – 指纹、虹膜、声音
三者的任意组合 – 智能卡和口令识别号 目 的 该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。 适用范围 该策略适用于任何信息资源的使用者。 术语定义 略 口令
控制
策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID(用户ID);
所有用户不得使用他人的用户进行信息资源的访问;
所有口令,包括初始口令,都必须依据总经理室规定的下列规则建立和执行:
必须定期更改;
必须符合信息中心规定的最小长度;
必须是字母、数字和字符的组合;
必须不能是可以轻易联想到的帐号所有者的特性:用户名、绰号、亲属的姓名、生日等;
必须不能用字典中的单词或首字母缩写;
必须保存历史口令,以防止口令的重复使用。
用户的帐号口令必须不能泄露给任何人;
如果怀疑口令的安全性,应立即进行更改;
管理员不能为了使用信息资源规避口令;
用户不能通过自动登录的方式绕过口令登录程序;
计算机设备如果无人值守必须启动口令保护屏保或注销;
用户在首次登录时必须更改口令。 惩罚 违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外, 这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。 引用标准 略
XXXX有限公司 XX_A_04_20_2009.12
口令控制策略
第 2 页 共 4 页
XXXX有限公司
.
文档评论(0)