第一章 总 则

第一条 为加强武汉学院计算机系统用户密码的安全管理，提高计算机系统用户密码安全管理规范化、制度化水平，完善信息安全管理体系，结合计算机系统用户密码安全管理的实际情况，特制定本制度。

第二条 计算机系统用户密码管理的原则如下：

(一) 计算机系统各类用户密码实行谁使用、谁负责的管理原则。

(二) 计算机系统各类用户密码遵照统一规范、重在意识、技术控制与管理措施相结合的原则进行管理。

第三条 本文件所称计算机系统用户密码是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户密码。计算机系统用户密码主要为静态密码、动态密码等。静态密码一般是指在一段时间内有效，需要用户记忆保管的密码。动态密码一般是指根据动态机制生成的、一次有效的密码。

第四条 本文件包括的计算机系统用户密码主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户密码；应用系统管理员密码；应用系统用户密码；桌面计算机系统用户密码。

第二章 适用范围

第五条 本办法适用于武汉学院所有信息系统。

第三章 组织职责

第六条 各系统安全管理员负责备份和保存重要主机系统、核心网络设备、主要安全设备等特权用户密码。

第七条 计算机用户密码持有人负责所持计算机用户密码在使用过程中的保密，负责设置、保存、更换计算机用户密码，负责密码自身的安全强度。

第八条 系统管理员、网络和安全设备管理员负责启用计算机系统、网络和安全设备的密码安全管理相关功能；负责删除计算机系统、网络和安全设备多余用户和密码。

第九条 应用系统管理员负责启用应用系统用户密码安全管理相关功能；负责删除所辖范围内多余应用系统用户和密码。

第四章 基本安全要求

第十条 具有登录计算机系统权限的用户必须设置用户密码或其它验证用户身份的方式，严禁不验证用户身份直接登录信息系统。

第十一条 计算机系统用户密码持有人应保证密码的保密性，不应将密码记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上，一旦发现或怀疑计算机系统用户密码泄漏，应立即更换。

第十二条 计算机系统用户密码应加密存储计算机系统中，严禁在网络上明文传输计算机系统用户密码，在用户输入密码时，严禁在屏幕上显示密码明文，严禁计算机信息系统输出密码明文（密码信封除外）。

第十三条 任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户密码，盗用他人访问权限，威胁信息系统安全。

第十四条 计算机系统用户密码应与密码持有人一一对应，可根据用户权限设置不同的用户。

第十五条 应该选择使用密码安全强度较高的密码，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易猜测的计算机系统用户密码。其具体要求如下：

密码最小长度：8位；

密码字符组成复杂度：密码由数字、大小写字母及特殊字符组成；

密码历史：修改后的密码至少与前10次密码不同；

密码最长有效期限建议90 天，可根据系统重要性和用户权限采取不同的有效期。

第十六条 当用户密码持有人岗位调整时，应根据其新的岗位职责，对其用户权限及密码进行相应调整。

第十七条 主机系统特权用户密码，重要网络设备及安全设备特权用户密码以及具有修改配置权限用户的密码变更时应设置密码登记簿，记录密码使用相关信息，至少包括：名称、密码更换时间、密码使用人等内容，并存放在保险箱或带密码锁的箱、柜中，由专人负责。

第十八条 如遇特殊情况需启用封存的密码，必须经过武汉学院领导审批，使用完毕后，须立即更换并封存，同时在密码管理登记簿中登记。对于使用动态密码的系统，各系统管理员必须保护好自己的令牌及PIN码。

第五章 主机与应用系统管理员用户密码安全

第十九条 主机系统是指所有营业类及管理信息类系统的主机、数据库系统和系统前置机，主机系统管理员密码则包括系统特权用户及一般权限的管理员密码；应用系统管理员用户密码是指用于访问后台应用系统的密码，主要包括特权用户密码和一般权限管理员的密码等。

第二十条 主机系统及应用系统的用户密码安全要求应该满足第四章规定的密码管理的基本要求。

第二十一条 主机系统、数据库系统及应用系统的管理员密码应根据岗位设置进行保存和管理。

第二十二条 系统特权用户密码应由密码设置人员将密码装入密码信封，在骑缝处盖章或签字后存档并登记。存放在保险箱或带密码锁的箱、柜中，并由专人负责。

第二十三条 主机及应用系统管理员密码应定期更换，系统的密码最长有效期为90天。

第二十四条 变更主机系统及应用系统特权用户密码持有人时，必须更换密码，严禁泄漏特权用户管理员密码。

第二十五条 一般用户的初始密码应由系统管理员进行设置，一般用户应及时进行密码更改，并妥善管理。

第六章 网络/安全设备用户密码安全

第二十六条 网络设备、安全设备等应启动密码管理相关功能、机制，应满足第四章的密码管理基本安全要求，对于原有系统不支持或不具备相关技术功能、机制的，必须建立、完善相应的安全管理制度措施，弥补技术机制上的不足。

第二十七条 核心网络设备以及可能涉及机密信息的安全设备的特权用户密码应由专人设置与管理，特权用户密码应由密码设置人员将密码装入密码信封，在骑缝处盖章或签字后存档并登记。存放在保险箱或带密码锁的箱、柜中，并由专人负责。

第二十八条 对于分布层及接入层网络设备及一般性安全设备等的特权管理员密码可由相应网络设备及安全管理员自己保存、管理。

第二十九条 网络设备、安全设备等特权用户密码最长有效期为90天。

第三十条 对于网络设备、安全设备的用户密码以及具有系统配置权限的用户，可根据实际情况使用动态密码。

第七章 业务系统用户密码安全

第三十一条 业务系统用户密码是指只用于访问业务系统的用户密码，密码对应的用户为业务系统用户，业务系统用户密码由相应使用人员进行管理。

第三十二条 业务系统用户必须设置密码或使用其它身份认证方式，严禁不验证用户身份访问业务系统（对于信息网站中只浏览网页的用户，可不设置密码）。

第三十三条 业务系统必须提供用户密码更换机制，业务系统代码中不得预留用户密码。

第三十四条 业务系统用户密码应定期更换，密码最长有效期可根据应用系统的重要程度和用户的权限，在满足第四章密码基本安全要求的最长有效期范围内确定。

第三十五条 对于一般业务系统的操作员级用户，其密码最长有效期可90天。

第三十六条 对于业务系统的用户密码，可根据实际情况使用动态密码。

第八章 桌面计算机系统用户密码安全

第三十七条 桌面计算机系统用户密码主要是指员工用于日常办公信息处理的计算机系统的用户密码，如台式微机、笔记本电脑及其它个人计算设备的用户密码。

第三十八条 桌面计算机系统应设置管理员用户密码、屏幕保护密码。

第三十九条 桌面计算机系统管理员用户密码由使用人员负责保存管理、应根据自身安全要求更换。

第九章 监督和检查

第四十条 信息中心应开展对计算机系统用户密码安全管理的情况进行检查，检查的主要内容包括：岗位和职责情况，密码登记簿登记情况，密码安全管理相关功能及其启用情况，多余用户密码删除情况，密码安全管理规定的落实和执行情况等。

第四十一条 对于安全检查中发现的问题和隐患，各信息系统负责人和使用部门及密码持有人应进行整改。

第十章 持续改进

第四十二条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十一章 附则

第四十三条 本办法由武汉学院负责制定、解释和修改。

第四十四条 本办法自发布之日起执行。