第1条 密级界定。依照数据的重要程度和设备的作用,把全部密码分成三级,一级最高,三级最低。核心交换设备密码、汇聚交换设备密码、接入交换设备密码、防火墙密码、审计设备密码、存储设备密码、各类服务器超级用户密码、邮件系统管理密码、办公系统管理密码、数据库用户密码、数据库管理员密码为一级密码;各应用系统登录密码,应用软件登录密码、普通数据库用户密码为二级密码;应用软件及系统中用户的操作密码为三级密码。
第2条 所有账户必须设置密码,不同的密级设备与系统,严禁设置同一密码。
第3条 密码设定由专人负责。重要网络设备及系统的口令和密码,由部门负责人和系统管理员商议确定,必须两人同时在场设定。密码设定严禁使用诸如名字、生日、电话等容易被人破解的字符串。密码一旦设定或更换,要及时通知相关人员。
第4条 密码更换周期。一级密码三个月更换一次,二级密码更换将带来非常大的应用软件维护工作量,可采用不定期更换或密码泄露、丢失情况下立即更换,三级密码根据具体情况,随时更换。
第5条 密码长度规定。所有的密码长度不得低于八位,而且密码要由数字、英文字母和符号组成,具备一定复杂度,避免弱口令。
第6条 工作人员通过密码校验后,不得随意离开操作终端,必须要退出或锁定当前账号环境后,才能离开。
第7条 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经批示后再更换密码和口令。
第8条 如因安装、调试网络设备或软件而需告知厂商技术人员账号、密码的,在安装、调试完毕后,应及时删除、停用或更改相关账号或密码。
第9条 重要设备密码应有密码本,密码更改后,应填写密码本并交由部门负责人妥善保管。