第一章 总则

第一条 为了规范重庆师范大学（以下简称“学校”）账号口令及权限管理相关的网络安全工作，特制定本办法。

第二条 本办法适用于学校网络安全管理范围内的所有人员。

第二章 职责与权限

第三条 信息技术中心是学校账号口令及权限安全管理部门，具体的工作职责如下：

（一）负责制定和落实学校各类信息系统账号、口令制度及规范；

（二）负责指导学校信息系统账号、口令管控工作。

（三）负责校园网络及信息系统账号、口令管理工作。

第三章 账号管理

第四条 系统管理员应当对系统账号使用情况进行统一管理，并对每个账号的使用者信息、账号权限、使用期限进行记录。

第五条 应避免使用系统默认账号，系统管理员应当为每一个系统用户设置一个账号，避免系统内部存在共享账号。

第六条 各系统管理员应当对系统中存在的账号进行定期检查，确保系统中不存在无用或匿名账号。

第七条 学校各二级单位应定期检查各系统账号的管理情况，内容应包含如下几个方面：

（一）员工离职或账号已经过期，相应的账号在系统中仍然存在；

（二）用户是否被授予了与其工作职责不相符的系统访问权限；

（三）账号使用情况是否和系统管理员备案的用户账号权限情况一致；

（四）是否存在非法账号或者长期未使用账号；

（五）是否存在弱口令账号。

第八条 各系统应具有安全日志功能，能够记录系统账号的登录和访问时间、操作内容、IP地址等信息。

第九条 系统在创建账号、变更账号以及撤销账号的过程中，应得到部门负责人的审批后才可实施。

第四章 口令管理

第十条 系统密码、口令的设置至少应该符合以下要求：

（一）长度大于或等于8位；

（二）大小写字母、数字，以及特殊字符混合使用，例如：TmB1w2R!；

（三）不是任何语言的单词；

（四）不能使用缺省设置的密码。

第十一条 密码至少应该保证每季度更换一次，包括但不限于：UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系统Administrator用户的密码，以及应用系统的管理员密码。

第十二条 密码不能以明文的方式通过电子邮件或者其他网络传输方式进行传输。

第十三条 未经同意，学校员工不得将密码告诉他人，如果系统的密码泄漏，必须立即更改。

第十四条 系统管理员不能共享超级用户账号，应采用组策略控制超级用户的访问。

第十五条 业务管理人员不能共享业务管理账号，应当为每一位业务管理人员分配单独的账号。

第十六条 所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都必须修改。

第十七条 密码要以加密形式保存，加密算法强度要高，加密算法不可逆。

第十八条 密码在输入系统时，不能在显示屏上明文显示出来。

第十九条 系统应该强制指定密码的策略，包括密码的有效期不超过3个月，最短长度不低于8位，复杂度为大小写字母、数字、特殊字符的组合等。

第二十条 除了系统管理员外，普通用户不能改变其他用户的口令。

第五章 权限管理

第二十一条 各系统应根据“最小授权”的原则设定账户访问权限，控制用户仅能够访问到工作需要的信息。

第二十二条 从账号管理的角度，应进行基于角色的访问控制权限的设定，即对系统的访问控制权限是以角色或组为单位进行授予。一个用户根据业务需要可以分配多个角色。

第二十三条 各系统应该设置审计用户的权限，审计用户应当具备比较完整的读权限，审计用户应当能够读取系统关键文件，检查系统设置、系统日志等信息。

第六章 附则

第二十四条 本办法由信息化建设与管理办公室制定，并负责解释和修订。

第二十五条 本办法自发布之日起执行。

第二十六条 本办法未尽事宜，依照法律法规和上级文件要求确立的原则处理。