涉密信息系统口令管理制度
第一条
口令是涉密信息系统身份认证的基本防护措施,为保障
涉密信息系统的安全运行,规范网络用户及系统口令,特制定本制度。
第二条
具有口令功能的计算机、网络设备等计算机信息系统设
备,必须使用口令对用户的身份进行验证和确认。涉密信息系统设备
的口令管理工作由各设备所属单位负责。
第三条
计算机设备和输入输出设备的系统设置口令由设备管
理员负责管理,网络设备的系统设置口令由网络管理员负责管理,服
务器的系统口令由系统管理员负责管理,安全设备和系统的口令由安
全管理员负责管理,密码设备的口令由密钥管理员负责管理。
第四条
涉密信息系统的计算机设备、输入输出设备、网络设备、
安全设备和系统,口令长度要求设置为 12 位,字母和数字混合,至
少有 3 位字母、2 位数字,且口令须每周更换一次。
第五条 涉密信息系统的计算机设备,必须由管理员设置三级口
令保护,即 CMOS 口令、操作系统登录口令和屏幕保护口令,且屏幕
保护口令设置时间要求 3 分钟。
第六条 涉密信息系统的输入输出设备,必须由设备管理员在所
有的设备配置管理项目中设置口令保护,包括 CLI 管理、Web 管理、
SNMP 管理、Telnet 管理等,不允许采用设备默认的管理口令。
第七条 涉密信息系统的网络设备,必须由网络管理员在所有的
设备配置管理项目中设置口令保护,包括 CLI 管理、Web 管理、
SNMP 管理、Telnet 管理等,不允许采用设备默认的管理口令。
第八条
涉密信息系统的服务器口令由系统管理员负责管理和
定期维护,对于服务器普通用户的口令,系统管理员还负有如下职责:
(一)给新增加的用户分配初始口令,规定用户口令的最小位数;
(二)指导用户正确使用口令;
(三)检查用户使用口令情况;
(四)帮助用户开启被锁定的口令或重置口令,并对非法操作及时
查明原因;
(五)解决口令使用过程中出现的问题等。
第九条 涉密信息系统的安全设备和系统,必须由安全管理员设
置口令保护,包括 CLI 管理、Web 管理等,不允许采用设备和系统默
认的管理口令。
第十条 涉密信息系统的密码设备,必须由密钥管理员设置口令
保护,口令长度不得低于 6 位,不允许采用设备和系统默认的管理口
令。密码设备的口令严禁告知其他无关人员。