黔南民族师范学院密码管理制度

编 制 说 明

为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，同时也为了加强学校计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本管理办法。

本办法依据我国信息安全的有关法律法规，结合学校自身业务特点、并参考国际有关信息安全标准制定的。

《黔南民族师范学院密码管理制度》是规范学校密码管理的制度，其加强了学校在密码管理方面的制度，保证了学校信息的安全。

总 则

策略目标：为了加强学校信息安全保障能力，建立健全学校的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在学校安全体系框架下，本策略为规范学校密码的安全管理，加强对办公终端以及服务器密码使用上的安全性，确保系统的安全。

适用范围：本策略由学校实验实训中心制订，适用于学校所有部门。

使用人员及角色职责：本办法适用于学校所有人员。

第一章 密码的设置要求

第一条 校园网络的重要系统和重要设备（服务器操作系统、数据库系统、网络设备、存储设备等）的密码设置均由实验实训中心负责人和对应系统管理员共同决定，且由两人同时在场进行密码设置；二级部门管理的重要系统和重要设备由部门负责人和对应管理员共同决定。

第二条 重要服务器需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。

第三条 一般的用户系统和设备密码设置由用户自行决定，如：计算机登录、电子邮箱、信息系统个人用户等，密码设置要求如下：

1.密码长度至少8位；

2.密码由数字、大写字母、小写字母、符号其中三种组成，并进行无规则混排；

3.至少每三个月对密码进行一次更改，且更新的密码至少5次内不能重复。

第四条 网络设备、存储设备密码设置要求如下：

1.密码长度至少12位；

2.密码由数字、大写字母、小写字母、符号四种类型组成，并进行无规则混排；

3.至少每三个月对密码进行更改，且更新的密码至少5次内不能重复；

4.如果网络设备密码长度不支持12位或其他复杂度要求，密码应使用所支持的最长长度并适当缩小更换周期。

第五条 服务器操作系统、重要应用系统设置密码要求如下：

1.密码长度至少8位；

2.密码由数字、大写字母、小写字母、符号四种类型组成，并进行无规则混排；

3.至少每月对密码进行更改，且更新的密码至少5次内不能重复。

第六条 数据库系统密码要求如下：

1.密码长度至少12位；

2.密码由数字、大写字母、小写字母、符号四种类型组成，并进行无规则混排；

3.至少每月对密码进行更改，且更新的密码至少5次内不能重复。

第二章 密码的管理

第七条 重要系统和重要设备（服务器操作系统、数据库系统、网络设备、存储设备等）的密码在设置成功之后，严禁自行将密码转告他人。若工作需要必须转告，应请示上级领导；非系统管理员使用密码完成工作后，系统管理员应该及时更改密码，保证密码安全。

第八条 重要系统和重要设备所有设置的用户密码须填写《密码管理登记表》，由系统管理员管理保存，并将备案记录交由部门负责人封存。

第九条 密码更换后系统管理员应及时将新密码或口令记录登记封存。

第十条 如发现密码有泄密迹象或黑客入侵，系统管理员要第一时间报告实验实训中心，实验实训中心应及时与系统管理员商定修改密码，并严查泄密源头修补系统漏洞，将详细情况以书面形式上报上一级领导。

第十一条 实验实训中心负责人应定期（至少每三个月一次）对重要系统和设备的密码管理登记表进行核查，检查密码设置是否符合安全规范，如发现不合规定的密码，立即修改。

第三章 密码技术和产品管理

第十二条 只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。

第十三条 使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准。

第十四条 学校的商用密码产品不得转让给其他人使用。

第十五条 商用密码产品发生故障，必须由国家密码管理机构指定的学校维修。报废、销毁商用密码产品，应当向国家密码管理机构备案。

第四章 附 则

第十六条 此管理制度由实验实训中心负责起草并解释。

第十七条 本管理制度自公布之日起执行。

                                         

黔南民族师范学院

2019年11月5日