第一章 总则

第一条 为加强学院网络和信息系统密码的安全管理，提高网络和信息系统密码安全管理规范化、制度化水平，完善信息安全管理体系，制定本办法。

第二条 网络和信息系统密码是指系统用户在登录计算机系统过程中，用于验证用户身份的字符串，也称为系统用户口令，主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效，需要用户记忆保存的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。系统用户口令主要包括：主机系统、数据库系统、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第三条 网络和信息系统密码的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第四条 网络和信息系统密码持有人应保证密码的保密性，不应将密码记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将网络和信息系统用户密码借给他人使用。任何情况下不应泄漏网络和信息系统用户密码，一旦发现或怀疑用户密码泄漏，应立即更换。

第五条 网络和信息系统密码必须加密存储在计算机系统中，严禁在网络上明文传输网络和信息系统密码，在用户输入密码时，严禁在屏幕上显示密码明文，严禁网络和信息系统输出密码明文（密码信封除外）。

第六条 网络和信息系统密码持有人应保证密码具有较高安全性。选择使用安全强度较高的密码，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的网络和信息系统用户密码。

第七条 任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户密码，盗用他人访问权限，威胁信息系统安全。

第八条 同一信息系统相同访问权限的用户应具有一致的密码安全要求。

第九条 具有登录计算机系统权限的用户必须设置用户密码或其它验证用户身份的方式，严禁不验证用户身份直接登录信息系统。

第二章 管理职责及权限

第十条 网络和信息系统密码（专人管理的口令除外）持有人负责所持用户密码在使用过程中的保密，负责设置、保存、更换密码，负责密码自身的安全强度。

第十一条重要核心设备（如核心交换机、防火墙、服务器等）应有专人统一管理，重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的密码，采取两人互备制管理。

第十二条系统管理（维护）人员、网络和安全设备管理（维护）人员负责启用计算机系统、网络和安全设备的密码安全管理相关功能；负责删除计算机系统、网络和安全设备多余用户和密码。

第十三条应用系统开发人员应负责实现应用系统支持密码安全管理的相关功能和机制。

第十四条网络和信息系统密码采用授权使用机制，非系统管理员因工作需要使用系统管理密码时，由系统管理员设置临时密码，使用完毕后修改密码，并对授权行为进行记录。

第十五条涉及密码人员离职或发现密码泄露迹象时，应当及时修改密码，修改后的新密码应与原密码不同。

第三章 密码（口令）基本安全要求

第十六条网络和信息系统密码基本要求由密码长度、密码字符复杂度、密码历史，密码最长有效期组成：

（一）密码最小长度：8位；

（二）密码字符组成复杂度：密码由数字、大小写字母及特殊字符组成，且至少包含其中两种字符（动态口令除外）；

（三）密码历史：修改后的密码至少与前10次密码不同；

（四）密码最长有效期限：30/60/90 天，可根据系统重要

性和用户权限采取不同的有效期。

第四章 主机系统、网络和安全设备用户密码安全要求

第十七条系统用户密码主要包括主机系统、网络设备、安全设备等系统用户密码。

第十八条主机系统、网络设备、安全设备等应启动密码管理相关功能、机制，满足第三章密码基本安全要求，对于原有系统不支持或不具备相关技术功能、机制的，必须逐步建立、完善相应的安全管理制度措施，弥补技术机制上的不足。

第十九条主机系统、网络设备、安全设备等的超级用户密码以及重要系统中具有关键访问权限用户的密码应由专人设置与管理（一人设置，至少两人管理），超级用户密码应存档登记。

第二十条主机系统超级用户密码，网络设备、安全设备超级用户密码以及具有修改配置权限用户的密码应记录密码使用相关信息，至少包括：设备名称、用户名称、密码启用时间、密码更换时间、密码使用者等内容。

第二十一条主机系统、网络设备、安全设备等超级用户以及其它用户密码的最长有效期应符合第三章密码基本要求。

第二十二条当系统用户密码持有人岗位调整时，原则上应删除其使用的用户，因工作需要，确需保留原用户的，必须及时更换系统用户对应的密码，严禁使用原密码登录系统。

第二十三条对于主机系统、网络设备、安全设备的用户密码以及具有系统配置权限的用户，可根据实际情况使用动态口令。

第五章 应用系统用户密码安全要求

第二十四条应用系统用户密码是指只用于访问应用系统的用户密码，密码对应的用户为应用系统用户，在操作系统中并不存在相应用户。

第二十五条应用系统在开发过程中必须同步实现满足计算机系统用户密码基本要求的机制和功能，通过技术手段实现安全管理要求。对于现运行的、没有达到第三章密码基本要求的计算机系统的改造或升级，可结合具体情况稳步开展。同时，必须采用相应的管理措施，加强计算机系统用户密码的安全管理，保障应用系统的安全。

第二十六条应用系统用户必须设置密码或使用其它身份认证方式，严禁不验证用户身份访问应用系统（对于信息网站中只浏览网页的用户，可不设置密码）。

第二十七条应用系统必须提供用户密码更换机制，严禁应用系统代码中包含用户密码。

第二十八条应用系统用户的密码应定期更换，密码最长有效期可根据应用系统的重要程度和用户的权限设定，同时符合第三章密码基本安全要求的最长有效期范围规定。

第二十九条对于应用系统的用户密码，可根据实际情况使用动态口令。

第六章 桌面计算机系统用户密码安全要求

第三十条桌面计算机系统用户密码主要是指用户使用计算机系统的登录密码，如台式微机、笔记本电脑及其它个人计算设备的用户密码。

第三十一条桌面计算机系统用户密码包括设备启动登录密码、操作系统登录密码、屏幕保护密码等。

第三十二条桌面计算机系统用户密码应定期更换（操作系统不具有此功能的除外）。

第七章 检查和监督

第三十三条应定期对网络和信息系统密码安全管理的情况进行检查，包括岗位和职责情况、密码登记变更情况、密码安全管理相关功能及其启用情况、多余用户密码删除情况、密码安全管理规定的落实和执行情况。

第三十四条对于安全检查中发现的问题和隐患，各网络和信息系统主管和使用部门及密码持有人要进行认真整改。对于违反本安全管理办法造成严重后果的，将上报学院信息安全办公室追究责任，情节严重触犯法律的将移交司法机关。

第八章 附则

本办法由学院现代教育与信息技术中心负责解释，自发布之日起实施。