信息安全策略-口令控制策略

《信息安全策略-口令控制策略》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、XXXX有限公司XX_A_04_20_2009.12口令控制策略密級等級：敏感受控狀態(tài)：受控文件編號：XX_A_04_20_2009.12口令控制策略Ver1.02009年12月30日XXXX有限公司.本公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許可，不得將該等文件資料（其全部或任何部分）披露予任何第三方，或進(jìn)行修改后使用。第2頁共4頁XXXX有限公司XX_A_04_20_2009.12口令控制策略歷史版本編制、審核、批準(zhǔn)、發(fā)布實(shí)施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期發(fā)布日期

2、/實(shí)施日期分發(fā)編號V1.02009/12/302010/1/4原稿////////////////////////////////////第2頁共4頁XXXX有限公司XX_A_04_20_2009.12口令控制策略文件更改記錄序號更改單號頁次更改人日期更改摘要12345678910本標(biāo)準(zhǔn)XX_A_04_20_2009.12本標(biāo)準(zhǔn)依據(jù)ISO/IEC27001：2005信息安全管理體系-要求編寫。本標(biāo)準(zhǔn)由XXXX有限公司提出起草本標(biāo)準(zhǔn)主要起草人：本標(biāo)準(zhǔn)于2009年12月30日首次發(fā)布第2頁共4頁XXXX有限公司XX_A_

3、04_20_2009.12口令控制策略口令控制策略發(fā)布部門總經(jīng)理室生效時(shí)間2009年12月30日批準(zhǔn)人文件編號XX_A_04_20_2009.12介紹用戶授權(quán)是控制信息資源訪問者的一種方式。對訪問進(jìn)行控制是任何信息資源所必須的。未經(jīng)授權(quán)的人員訪問到信息資源可能會(huì)引起信息保密性、完整性共和可用性的丟失，導(dǎo)致收入、信譽(yù)的損失或經(jīng)濟(jì)困難。使用下列三個(gè)要素或其三者的任意組合可以鑒別用戶，即：n你知道–口令識別號（PIN）n你持有–智能卡n你擁有–指紋、虹膜、聲音n三者的任意組合–智能卡和口令識別號目的該策略的目的是為用戶鑒別

4、機(jī)制建立創(chuàng)造、分發(fā)、保護(hù)、終止以及收回的規(guī)則。適用范圍該策略適用于任何信息資源的使用者。術(shù)語定義略口令控制策略n所用用戶都必須擁有唯一的、專供其個(gè)人使用的用戶帳號ID（用戶ID）；n所有用戶不得使用他人的用戶進(jìn)行信息資源的訪問；n所有口令，包括初始口令，都必須依據(jù)總經(jīng)理室規(guī)定的下列規(guī)則建立和執(zhí)行：2必須定期更改；2必須符合信息中心規(guī)定的最小長度；2必須是字母、數(shù)字和字符的組合；2必須不能是可以輕易聯(lián)想到的帳號所有者的特性：用戶名、綽號、親屬的姓名、生日等；2必須不能用字典中的單詞或首字母縮寫；2必須保存歷史口令，以防

5、止口令的重復(fù)使用。n用戶的帳號口令必須不能泄露給任何人；n如果懷疑口令的安全性，應(yīng)立即進(jìn)行更改；n管理員不能為了使用信息資源規(guī)避口令；n用戶不能通過自動(dòng)登錄的方式繞過口令登錄程序；n計(jì)算機(jī)設(shè)備如果無人值守必須啟動(dòng)口令保護(hù)屏保或注銷；n用戶在首次登錄時(shí)必須更改口令。懲罰違背該策略可能導(dǎo)致：員工以及臨時(shí)工被解雇、合同方或顧問的雇傭關(guān)系終止、實(shí)習(xí)人員和志愿者失去繼續(xù)工作的機(jī)會(huì)、學(xué)生被開除；另外，這些人員還可能遭受信息資源訪問權(quán)以及公民權(quán)的損失，甚至遭到法律起訴。引用標(biāo)準(zhǔn)略第2頁共4頁