QEP 程序文件 1.目的 Password And Key Management Procedure 密码管理程序 DOC NO 文件编号 REV 版本 PAGE页码 QEP-XXX A 1 of 2 为了更好的加强信息安全管控,防止网络、主机和系统的非授权访问。 2.范围 适用于的管理网络、主机和系统的密码控制。 3.定义(无) 4.权责 4.1 IT部:负责公司网络、主机和系统的密码、密钥控制。 4.2 各部门:按照要求,负责本部门主机和系统的密码、密钥管理。 5.作业内容 5.1密钥管理是用来支持在公司内部用户之间建立和维护密码通信关系的技术和程序,其中包括: 5.1.1系统用户的初始化:即公司员工对其密码应用程序进行初始化; 5.1.2密钥生成、分配和有关参数的安装:用户可以自己生成密钥,也可以从可信的第三方获取密钥,手 工安装口令并传送到硬件设施上。在密钥安装的同时,IT将密钥素材和系统名称正式记录下来。 5.1.3密钥使用的控制:在密钥有效期之内要保证密钥素材是可用的。 5.1.4密钥修改、销毁:密钥尚未过期,但是如果通过执行密钥协商协议生成新的密钥,这就需要更改密 钥素材。当密钥收到攻击时,必须在该密钥过期前主动将密钥脱离正常使用的状态。 5.1.5密钥存储、恢复和归档:把密钥素材拷贝在安全的存储介质中,以便在密钥恢复时能提供正确的密 钥;密钥没有受到攻击,但由于设备损坏或忘记口令时需要从安全的备份恢复密钥。不处在正常使用的密 钥素材应该归档保存在离线存储器中,以备不时之需。 5.2 密码控制 5.2.1IT部根据安全需要,可强迫用户在登录时更改密码,当出现提示信息,密码已过期请修改密码时, 用户自己完成密码的修改。 5.2.2根据安全需要,也可使用户在自己的终端上完成修改密码的任务。 5.2.3密码期限进行限制,设定一定的期限,在一定的期限内有效。 5.2.4根据需要,可使某一账号暂时禁用。 5.2.5根据公司业务需求及系统管理的需要,当用户登录时间过期时,强制远程用户与域断开连接。 5.2.6可针对不同的用户,设置不同的网络权限,设置允许用户上网的时间连接,可以进行时间管理。 5.2.7可以设置允许用户在任何时间连接,也可以限制单个用户在某天或某小时连接。 5.2.8根据系统应用的不同、信息安全级别的不同,密码修改的频率和长度可不一样。 5.2.9各网络用户的密码更换频率,原则上要求每两年更改一次,不允许为空,要达到一定的强度。 FP001-05C QEP 程序文件 Password And Key Management Procedure 密码管理程序 DOC NO 文件编号 REV 版本 PAGE页码 QEP-XXX A 2 of 2 5.2.10各应用系统要求密码要不定期更换,密码长度根据应用系统的需要进行。重要业务系统更换频率为 180天。 5.2.11信息系统管理员定期进行密码核对,对存在的问题进行上报并提出整改措施,杜绝各种不安全隐患 的存在。 6.参考文件(无) 7.记录表单(无) FP001-05C
