发布时间 : 2024/6/1 7:53:14 星期六 文章中国电信客户信息安全管理规范_v0.1_20101227更新完毕开始阅读a6df6c834a7302768e9939b2

中国电信信息安全管理规范

附录六： 帐号口令管理细则

一、帐号管理遵循的原则：

1. 帐号管理贯穿帐号创建、授权、权限变更及帐号撤销或者冻结全过程； 2. 帐号设置应与岗位职责相容；

3. 坚持最小授权原则，岗位角色和权限对应的矩阵列表，避免超出工作职责的过度授权；

4. 应制定严格的审批和授权流程，规范帐号申请、修改、删除等工作，授权审批记录应编号、留档； 5. 帐号创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保与审批结论保持一致； 6. 原则上，除低权限的查询帐号外，各系统不允许存在其它共享帐号，必须明确每个帐号责任人，不得以部门

或用户组作为最终责任人。

7. 在完成特定任务后，系统管理员应立即收回临时帐号。 二、帐号创建、变更、删除审批流程

1. 超级帐号由主管领导以授权的方式授予具体的系统管理员，授权书至少应包括系统名称、超级帐号名、授

予人姓名、职责描述、有效期等；

2. 所有帐号，包括系统管理员帐号、普通帐号、程序帐号的责任人，应按规定的申请表格式要求提出申请，申

请表至少包含申请人姓名、联系方式、申请人职责描述、申请时间、申请目的、申请帐号所属系统名称、帐号类型、创建或者变更或者删除操作类型、帐号权限描述、主管领导审批意见、系统管理员变更操作记录及签字确认、权责描述备注栏目等；

3. 主管领导进行审批，重点检查所申请权限与申请人职责的一致性； 4. 系统管理员负责创建、变更或者删除帐号，保留审批表格、并备案。 三、如因系统能力或者管理原因暂时无法按用户创建帐号时，应采取如下管理措施：

1. 明确共享帐号责任人，责任人负责按照上述流程要求提出共享帐号审批表，并在审批表中注明该共享帐号的

所有用户名单；

2. 限制共享帐号的使用人数，建立相关管理制度保证系统的每项操作均可以对应到执行操作的具体人员； 3. 限定使用范围和使用环境；

4. 建立完善的操作记录制度，如交接班记录、重要操作记录表等等； 5. 定期更新共享帐号密码。

四、对于程序运行或者程序自身由于管理需要访问其它系统所使用的专用帐号，应符合如下要求：

1. 只允许系统和设备之间通信使用，不得作为用户登录帐号使用；

2. 将此类帐号的维护管理权限统一授权给该系统的系统管理员，由后者归口管理； 3. 该系统的管理员负责建立该类帐号列表，并进行变更维护。 五、口令管理原则：

1. 口令至少由6位及以上大小写字母、数字及特殊符号等混合、随机组成，尽量不要以姓名、电话号码以及出

生日期等作为口令或者口令的组成部分。

- 25 -

中国电信信息安全管理规范

2. 应以HASH或者加密技术保存口令，不得以明文方式保存或者传输；

3. 口令至少每90天更换一次。修改口令时，须保留口令修改记录，包含帐号、修改时间、修改原因等，以备审

计；

4. 5次以内不得设置相同的口令；

5. 由于员工离职等原因，原帐号不能删除或者需要重新赋予另一个人时，应修改相应帐号的口令。 六、口令管理要求

1. 如系统能力支持，应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数；对于无法建立口令规

则强制检查的系统，帐号用户应在每次口令修改后留有记录。 2. 帐号口令输入尝试次数要做限制，防止口令的暴力破解。

3. 对于无法进行定期修改口令的帐号，如内置帐号、程序帐号等，应在系统升级或重启时落实口令修改工作。 4. 如发生口令遗忘的情况，帐号使用人应提出口令重置申请，由系统管理员进行密码重置；重置完毕后，使用

者应马上更改重置后的密码。

5. 当程序内的帐号密码需要保存在配置文件里时，应只使用适当权限的帐号，采用经过验证的算法对帐号口令

进行加密，并做好帐号口令和加密密钥的保护工作。

6. 当发生下述情况时，应立即撤销帐号或更改帐号口令，并做好记录：

a) 帐号使用者由于岗位职责变动、离职等原因，不再需要原有访问权限时； b) 临时性或阶段性使用的帐号，在工作结束后； c) 帐号使用者违反了有关口令管理规定； d) 有迹象表明口令可能已经泄露等。 7. 帐号审计的要求

a) 帐号与权限的审计必须依据岗位角色和权限对应的矩阵列表； b) 定期对系统帐号权限进行职责不相兼容检查；

c) 定期对帐号申请审批、权限变更等执行情况进行审核，避免非法创建帐号、无主帐号和权限与职责不相

容帐号的出现；

d) 定期对帐号口令修改执行情况进行审核，避免口令过期、不符合复杂度要求等问题。

附录七： 异常操作行为特征

分类 异常描述 一段时间内重复查询客户信息几百次 异常的查询频率 一个号码一天内被查询10次以上，或一个月内被查询100次以上 某些特殊号码被多次查询，例如吉祥号 帐号异常 超出岗位职能 影响分析 高 中 中 低 中 低 长时间不登陆的帐号登陆使用，查询敏感信息 同一个帐号被多个人员使用，同时登陆或登陆IP地址经常变化。 详单查询人员登陆的IP地址不正确。 - 26 - 中国电信信息安全管理规范

某些部门不需要权限查询客户资料，但是仍有查询客户资料的行为。 某些没有权限的人员有查询清单的行为。 非工作时间， 外地登陆 投诉工单 异常的修改频率 重点功能 营业员非工作时间登陆系统，或者登陆的IP地址在外地。 客户投诉自己信息泄密，需要提供审计跟踪泄密源。 一段时间内修改客户信息几百次 一个号码相关信息一天内被修改10次以上，或一个月被修改100次以上 异常导出客户资料，客户资料超出权限范围 高 高 高 低 高 中 高

- 27 -