信办通（2021）1号 北京交通大学网络资产账户、权限和口令管理办法

北京交通大学网络资产账户、权限和口令管理办法

第一章 总则

第一条 为保障北京交通大学网络和信息系统安全、稳定运 行，规范网络资产帐户、权限和口令管理，消除网络安全隐患， 特制定本办法。

第二条 网络资产指主机操作系统、数据库、业务应用系统、 网络设备及系统、网络安全设备及系统等。

第三条 本办法适用于北京交通大学校内有网络和信息系 统运维的各个单位（包括下设的二级机构）。 

 

第二章 网络资产和权限管理

第四条 用户账户的申请、权限授予、权限变更、停用、注 销等必须按照规定流程进行审批，授权要遵循最小授权原则。 网络和系统管理员不得擅自执行，相关记录需要保存留档。（见 附表《北京交通大学网络和信息系统账户申请表》）

第五条 网络和系统管理员应每3个月定期对用户账户使用 情况进行一次检查，及时禁用、删除系统中的空账户、临时账户 等存在安全隐患的账户。

第六条 网络和系统管理员每6个月定期对用户账户权限进 — 3 — 行一次检查，根据用户的工作要求和安全责任对其身份以及相 应的权限进行变更。

第七条 做好对特殊用户和用户组的管理，包括超级用户以 及系统或应用缺省帐户的安全管理，禁用 Guest 用户、匿名用 户。

第八条 系统管理员和数据库管理员账户和权限应分开授 予，禁止同一人掌管。授予用户的身份应是唯一的，即一个用户 账户唯一地对应一个用户，不允许多人共享一个账户。

第九条 保证用户身份标志的唯一性，即不同的个人用户必 须采用不同的账户和口令登录，并且拥有不同的权限级别，不 同用户的登录操作在日志文件上均有记录。

第十条 用户应保管好自己的帐户和口令，严禁随意向他人 泄露、借用自己的帐户和口令，严禁不以真实身份登录系统。

第十一条 对任何用户的登录应进行身份鉴别，身份鉴别的 方法应根据用户所处环境的风险确定。

第十二条 当发生以下情况时，网络和系统管理员应立即取 消帐户或修改账户的相应权限，并做好相关记录：

（一）帐户使用者已经离职；

（二）帐户使用者由于工作的变动不再需要访问权限；

（三）由于工作需要开通的临时帐户已到期；

（四）帐户使用者违背了有关口令管理规定；

（五）发生其他情况，上级主管人员认为不应再具有访问权 限的。 

第十二条 网络和系统管理员修改帐户和口令时，应提前 （或同时）通知帐户使用人，以免影响其正常使用。

第十三条 网络和系统的超级管理员帐户口令属于系统最 高机密，应该严格限定使用范围。

第十四条 由于工作需要，给第三方人员（指项目开发组、 服务供应商、远程运维人员等）开通的临时帐户同样需要遵守 最小权限原则。第三方人员实施结束后，网络和系统管理员应 当及时删除有关用户账户和权限。

第三章 网络资产口令管理

第十五条 网络和系统运维人员应了解进行有效访问控制 的责任，特别是口令使用安全的责任。

第十六条 网络和系统运维人员应保证口令安全，在屏幕上 输入不应显示明文，不得向其他任何人泄漏口令，对于因泄漏 口令而造成的网络和信息系统的损失，由运维人员本人负责。

第十七条 口令应由不少于 8 位的大小写字母、数字以及特 殊字符等组成。

第十八条 口令应在 90 天内至少更换一次。

第十九条 口令设置不得使用最近 5 次以内重复的口令；口 令重复尝试 5 次以后应锁定该帐户登录。

第二十条 各级口令保管落实到人，口令所有人须妥善保存， 各级口令不得以任何形式明文存放于可公共访问的设备中。

第二十一条 应采取有效措施，保证用户口令在传输和存储 时的安全，例如对口令进行加密传输和保存。

第二十二条 应及时更改网络、系统或者应用的默认厂商口 令。

第二十三条 当出现以下情况时，必须立即更改口令并做好 相关记录：

（一）掌握口令的网络和系统管理人员离开岗位；

（二）因工作需要，由相关厂家或第三方公司人员使用过的 临时帐户及口令；

（三）一旦有迹象表明口令可能被泄露。

第二十四条 口令不得以可读的形式存储在批处理文件、自 动登录脚本、软件宏定义、终端功能键或没有访问控制措施的 计算机中。

第二十五条 PC 或终端在不用或使用者离开时，应使用密 钥锁或等效控制措施（如口令访问）防止他人非法使用。

第二十六条 当网络和系统管理员分发给一个新用户初始 口令时，这个初始口令必须只在第一次登录时有效，登录后必 须强制用户选择新的口令。本规定同样适用于管理员为丢失口 令的用户分配新口令时的情形。

第二十七条 用户忘记密码时，网络和系统管理员必须在对 该用户进行适当的身份识别后才能将其口令恢复至默认，并通 知用户及时修改默认口令。

第二十八条 凡是涉及主机、网络、数据库、业务应用的超 级用户口令（包括初始口令），必须实行专人负责、专门管理。 其口令设置，必须具有较强的保密性，严禁泄露给任何单位和 个人，并且必须至少每月更换一次。

 

第四章 附则

第二十九条 本办法自发布之日起施行。

第三十条 本办法的解释权归北京交通大学信息化办公室。