互联网企业-密码口令管理制度

### 互联网企业-密码口令管理制度 #### 一、引言与目的 随着信息技术的快速发展，数据安全成为了各个企业不容忽视的重要议题。特别是在互联网企业中，由于其业务特性，更需要一套完善的密码口令管理制度来确保信息安全。《互联网企业-密码口令管理制度》文档旨在为公司内部各业务系统的密码管理提供明确的规范与指导，以此增强系统安全性，降低账号密码被破解的风险，从而更好地保护企业和客户的利益。 #### 二、适用范围 本文档适用于企业的所有正式运营系统，包括但不限于服务器、网络设备、安全设备、数据库以及各种业务和管理网站。此外，还包括企业信息化建设和开发项目中涉及的所有正式运营系统。 #### 三、职责分配 为了确保密码安全管理的有效实施，本文档明确了不同部门和个人在密码管理中的具体职责： - **系统管理部门**：负责各自管理系统的密码安全，包括但不限于网络设备、操作系统、AD、邮件系统、数据库等。 - **个人用户**：个人用户需要按照公司的要求安全地设置和管理自己的密码。 - **信息安全部门**：定期或不定期地审核密码管理制度的执行情况，对发现的问题提出整改意见并监督执行。 #### 四、密码管理原则 密码管理是整个密码口令管理制度的核心部分，主要包括以下几个方面： ##### 1. 密码设定原则 - **密码过期**：核心业务系统管理密码必须定期更换。例如，通过堡垒机跳板登陆的密码需要每90天修改一次；而对于其他情况，则需要每180天更改一次密码，超过180天未登录的账户必须锁定。 - **密码恢复**：设置密码历史至少大于5次，即用户在重置密码时，至少需要使用5个不同的密码才能重新使用之前的密码。同时，不允许密码恢复，只能由授权管理员根据规定为用户重置密码。 ##### 2. 密码使用原则 - **禁止行为**：包括泄露密码、明文存储密码、监控网络中的密码、非法尝试访问存储的密码、收集他人密码、暴力猜测密码以及共享普通用户的账号密码等。 - **安全要求**：仅基于“必须知道”的原则使用系统账户密码；对于超级用户账号的访问，只有在工作需要时才被允许；应将特权访问严格限制于最少人数；离职或工作变动导致不再需要访问权限时，应立即取消账号或修改权限；超级管理员账号的密码属于最高机密，严格限定使用范围；第三方人员使用临时账号时也需遵循“最小权限原则”。 ##### 3. 密码变更原则 - 密码变更需由相应的系统、服务器或设备的管理负责人操作。 - 密码使用时间到达更改周期时必须进行变更。 - 发生密码泄露后，必须立即进行密码变更。 ##### 4. 密码备份原则 - 密码备份由相应的系统、服务器及设备的管理负责人进行。 - 备份文件需加密保存。 - 密码变更后应及时更新备份文件。 ##### 5. 密码授权 - 非系统管理员因工作需要使用系统管理密码时，系统管理员应设置临时密码供其使用，并在使用完毕后修改密码，同时对密码授权行为进行记录。 ##### 6. 密码发布 - 密码发布应仅限于向期望的和授权的用户进行。 - 严禁通过电子邮件发布密码。 - 密码发布前需确认用户身份，仅可通过直接或短信联络方式进行。 #### 五、总结 《互联网企业-密码口令管理制度》不仅明确了密码管理的重要性，还提供了详细的指导原则和流程，以帮助企业在日常运营中实现有效的密码安全管理。通过严格执行这些规定，企业可以大大降低因密码管理不当而导致的安全风险，进而保护企业和客户的信息安全。