中国石油天然气集团公司企业标准
Q/SY 1344—2010
信息系统密码安全管理规范
Specifications for information system password security management
2010—05—25发布
2010—08—01实施
中国石油天然气集团公司 发布 目 次
前言
范围术语和定义
1
2
3 人员及职责密码生成密码使用管理固定周期密码变更特殊密码变更
4
5 6 7 8 9
密码遗忘处理密码意外泄露处理
10 身份令牌管理· 附录A（资料性附录）系统密码及身份令牌统计表
参考文献 前 言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之一，信息技术专业安全系列企业标准共6项标准，另外5项标准是：
Q/SY1341—2010《信息系统安全管理规范》； Q/SY1342—2010《终端计算机安全管理规范》； Q/SY1343-—2010《信息安全风险评估实施指南》； -Q/SY1345—2010《计算机病毒与网络入侵应急响应管理规范》； -Q/SY1346—2010《信息系统用户管理规范》。
本标准的附录A是资料性附录。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：靖小伟、杨志贤、冯梅、刘建兵、刘磊、王峰、滕征岑、王春伟、宋佳佳、
侯志刚、王浩、尹文海、郭力波、魏程昭、王文娟。
Ⅱ 信息系统密码安全管理规范
1范围
本标准规定了人员及职责、密码生成、固定周期密码变更、特殊密码变更、密码遗忘处理、密码意外泄露处理、身份令牌管理的要求，并给出了相关统计表格。
本标准适用于中国石油天然气集团公司（以下简称“中国石油”）总部及所属各企事业单位所有非涉密信息系统管理员用户（以下简称“管理员用户”）密码及身份令牌管理。 2术语和定义
下列术语和定义适用于本标准。
2.1
信息系统information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息
进行采集、加工、存储、传输、检索等处理的人机系统。
[GB/Z20986—2007，定义2.1]
2. 2
密码管理员 password administrator 行使信息系统密码管理与监督，对信息系统密码进行收集、分发、记录、变更操作，对信息管理
员账户使用的身份令牌进行分发、记录、变更的人员。 2.3
密码重用 password reuse 管理员用户在密码到期之后、重复使用之前曾经使用过的密码登录信息系统。
2. 4
初始密码presetpassword 在有限时间内有效，供用户首次登陆信息系统时使用的临时性密码。
2.5
身份令牌identitytoken 用于验证使用者身份合法性的安全认证设备，包括令牌卡、口令卡、USBKey、智能卡等设备。
2.6
历史密码 password used before 管理员用户曾经使用过的密码。
2.7
信息系统管理员administratoraccount 对信息系统进行管理与维护，保障信息系统正常运行的人员。
3人员及职责 3.1密码管理应设置密码管理员，密码管理员由信息系统管理部门领导指派人员担任。 3.2密码管理员负责对本单位的系统密码工作进行管理，负责密码使用管理、密码变更、密码发布与收集、密码废止等工作，负责对管理员用户使用的身份令牌进行分发、记录、变更管理。 3.3信息系统管理部门定期在本单位内对本标准的执行情况进行检查。 3.4信息系统密码更新期限根据等级保护所确定的信息系统定级级别确定。 4密码生成 4.1密码不应与用户名相同，不应包含与用户名相关的连续字符，不应与终端计算机、邮箱等使用相同密码。 4.2密码不应使用简单数字组合，例如1234567，666666，888888，999999等。 4.3密码不应使用简单字母组合，例如aaa，asdf，qqqq，aaabbb等
密码不应使用常见单词，例如cat，map，secret，password等。
4.4 4.5不应使用设备默认密码，例如cisco，huawei，lenovo，admin，system等。 4.6不应使用电话号码、身份证号码、出生年月日、门牌号码、邮政编码等有特殊意义的代码。 4.7为了防止密码重用，至少应确保6个历史密码不重复。 4.8系统应限制管理员用户失败登录次数（宜为5次），超过允许的登录次数时，系统暂时锁定，禁止登录失败用户登录。 4.9初始密码长度不应少于6位 4.10正式密码应由大写字母、小写字母、数字、特殊符号组成，密码长度大于或等于12位。
4.11管理员用户按照要求设置密码后，应将密码交由密码管理员统一管理， 密码管理员未经信息系统管理部门许可，不应查看信息系统密码。 4.12信息系统密码应手写记录在纸质介质上，保存密码的纸质介质应封装，交由密码管理员保存，存放在一般人员不易接触到的安全处所。 5密码使用管理 5.1 管理员用户不应将自已使用的用户名及密码告诉其他人员。 5.2管理员用户密码应专用，不应多个管理员用户使用同一个用户和密码登录同一系统。 5.3同一个管理员用户需要登录不同系统时，应使用不同系统登录密码。 5.4 管理员用户密码不应通过明文电子邮件进行传输与分发。 5.5信息系统应设置密码的使用期限策略和过期失效策略。 5.6当密码怀疑被泄露时，管理员用户应向密码管理员申请更改系统密码。 5.7 管理员用户应对成功登录日志、失败登录日志（包括日期、时间、用户名或登录名）定期进行审计。 5.8系统密码每60d应进行一次变更，密码变更由管理员用户和密码管理员共同完成，由密码管理员填写系统密码记录表（参见表A.1） 5.9密码管理员应对密码是否合规（是否使用弱密码，密码长度是否符合要求，是否保证系统密码定期变更等）进行检查，发现不合要求的密码，应立即通知管理员用户进行更换 5.10按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室对信息系统定级工作的要求，信息系统安全保护等级确定为第三级及以上的信息系统的密码应分散保存。 5.11信息系统密码不应以电子形式存储。 6 固定周期密码变更 6.1进行定期密码变更不必进行申请。 6.2密码管理员应根据表A.1中记录的密码使用时间，在到达密码使用期限前5d通知管理员用户更改当前使用的系统密码。 6.3密码变更完毕，密码管理员应填写系统密码记录表（参见表A.1）。 7特殊密码变更 7.1管理员用户申请密码变更前应表明自已的身份。 7.2管理员用户应书面填写系统密码变更申请表（参见表A.2），向密码管理员提出密码变更申请。 7.3在确保系统正常使用前提下，应由密码管理员和管理员用户共同完成密码变更。 7.4密码变更完毕，密码管理员应填写系统密码记录表（参见表A.1)。 8密码遗忘处理 8.1管理员用户遗忘密码后应立即通知密码管理员进行密码变更。 8.2密码管理员应生成系统初始密码，初始密码仅在特定时间（例如4h，8h，24h，48h等）内有效，应由密码管理员将初始密码分发给管理员用户 8.3管理员用户接收到初始密码后，应使用该初始密码登录系统，并按4.10要求执行，重新生成符合要求的新系统密码。 8.4密码变更操作完毕，密码管理员应填写系统密码记录表（参见表A.1)。 9 密码意外泄露处理 9.1 管理员用户发现密码泄露后，应立即报告主管领导及密码管理员 9.2密码管理员接到管理员用户的通知后，应立即进行系统密码变更 9.3 管理员用户应填写紧急密码变更申请表（参见表A.3） 9.4 密码管理员应在表A.3上签字确认。 9.5 完成密码变更后，密码管理员应填写系统密码记录表（参见表A.1)。 9.6 密码变更后，紧急密码变更申请表由密码管理员存档。 10身份令牌管理 10.1身份令牌下发 10.1.1身份令牌分发应由密码管理员管理。 10.1.2身份令牌交给管理员用户使用前，密码管理员应填写身份令牌使用登记表（参见表A.4），填写完毕由密码管理员把身份令牌下发给管理员用户使用。 10.1.3管理员用户接收到身份令牌后，应在表A.5上签字确认， 10.1.4身份令牌使用登记表填写完毕，由密码管理员存档。 10.2身份令牌的使用 10.2.1管理员用户应妥善保管身份令牌，因身份令牌使用不善造成的安全问题，管理员用户应承担全部责任。 10.2.2身份令牌专人专用，管理员用户不应将自已使用的身份令牌交给他人使用。 10.3身份令牌遗失处理 10.3.1身份令牌一旦遗失，管理员用户在发现丢失后应立即通知密码管理员，管理员用户应书面说明丢失情况，并将书面说明提交给密码管理员。 10.3.2密码管理员接到管理员用户丢失身份令牌的书面说明后，应在表A.4中“备注”选项标记为“遗失”。 10.3.3管理员用户应书面填写表A.6以申请新的身份令牌。 10.3.4 密码管理员对表A.6进行审核，确认符合要求后，应将新的身份令牌下发给管理员用户使用。 10.3.5密码管理员应在表A.6签字确认，并填写身份令牌使用登记表（参见表A.4)。 10.3.6新的身份令牌申请办理完毕，表A.6由密码管理员存档。 10.4身份令牌损毁处理 10.4.1身份令牌无法使用时，管理员用户应2h内与密码管理员取得联系，并将损毁的身份令牌提交给密码管理员。 10.4.2密码管理员接到管理员用户身份令牌损毁的通知后，应在表A.4中的“备注”选项标记为 “损毁”。 10.4.3个 管理员用户申请新的身份令牌应以书面方式填写表A.6。 10. 4. 4 密码管理员对表A.6进行审核，确认符合要求后，应将新的身份令牌下发给管理员用户使用。 10.4.5 密码管理员应在表A.6签字确认，并填写身份令牌使用登记表（参见表A.4）。 10.4.6 新的身份令牌申请办理完毕，表A.6由密码管理员存档。