第一章 总则
第一条 为规范全球正规十大网赌信息系统(以下简称“信息系统”)帐号口令管理,保障信息系统安全运行,特制订此制度。
第二条 本制度适用于全球正规十大网赌及其指定的信息系统运维单位。
第二章 密码使用管理
第三条 系统运维人员应了解进行有效访问控制的责任,特别是密码使用安全的责任。
第四条 系统运维人员应保证密码安全,不得向其他任何人泄漏密码,对于因泄漏密码而造成的信息系统的损失,由运维人员本人负责。
第五条 不要共享个人密码。
第六条 应避免在纸上记录密码,或避免将密码以明文方式记录计算机内。
第七条 不要在任何自动登录程序中使用密码,如在宏或功能键中存储。
第八条 用户忘记密码时,系统管理员必须在对该用户进行适当的身份识别后才能将其密码恢复至默认,并通知用户及时修改默认密码。
第九条 常规情况下,用户至少应每隔90天更改一次密码,避免再次使用旧密码或循环使用旧密码。
第十条 允许用户选择和变更他们自己的密码,并且包括确认程序,以便考虑到输入出错的情况。
第十一条 密码录入时,在屏幕上应不显示明文。
第三章 密码使用要求
第十二条 密码应在90天内至少更换一次,包括网络设备用户密码、操作系统用户密码、数据库用户密码和应用程序用户密码等。
第十三条 密码设置规则应符合以下安全强度的要求:
(一)不包含全部或部分用户名(任意连续3个字符);
(二)长度至少为8个字符;
(三)至少包含英文大写字母、小写字母、数字和特殊字符这4种类型字符中的3种字符。
第十四条 密码设置不得使用最近5次以内重复的口令;密码重复尝试5次以后应暂停该帐号登录。
第十五条 各级密码保管落实到人,密码所有人须妥善保存,各级密码不得以任何形式明文存放于可公共访问的设备中。
第十六条 采取有效措施,保证用户密码在传输和存储时的安全,例如对密码进行加密传输和保存。
第十七条 及时更改系统或者应用的默认厂商口令。
第十八条 当出现以下情况时,必须立即更改密码并做好相关记录:
(一)掌握密码的网络管理人员离开岗位;
(二)因工作需要,由相关厂家或第三方公司人员使用过的帐号及密码;
(三)一旦有迹象表明密码可能被泄露。
第十九条 当发生以下情况时,系统管理员应立即取消帐号或修改账号的相应权限,并做好相关记录:
(一)帐号使用者已经离职;
(二)帐号使用者由于工作的变动不再需要访问权限;
(三)由于工作需要开通的临时帐号已到期
(四)帐号使用者违背了有关密码管理规定;
(五)发生其他情况,上级主管人员认为不应再具有访问权限的;
第二十条 系统管理员修改帐号密码时,应提前(或同时)通知帐号使用人,以免影响其正常使用。
第二十一条 网络设备、操作系统、数据库和应用程序的超级管理员帐号的密码属于系统最高机密,应该严格限定使用范围,并要纸质密封交专人保管。
第二十二条 由于工作需要,给第三方人员开通的临时帐号同样需要遵守“最小权限原则”。
第四章 附则
第二十三条 本制度由网信办制定,并负责解释和修订。由学校网络安全和信息化领导小组讨论通过,发布执行。
第二十四条 本制度自发布之日起生效。
中共全球正规十大网赌委员会网络安全和信息化办公室
2021年 9 月 22 日
