不安全、不规范地设置和使用网络信息系统的密码(口令),会造成个人信息泄露、计算机感染病毒和木马程序等网络安全问题,轻则个人受到广告电话、垃圾邮件的骚扰,重则因为勒索病毒和电信诈骗,给学校和个人造成难以估计的经济损失。为规范校区各类设备和应用系统账户的密码设置和使用,信息办针对“弱密码”问题,整理了以下规范,以供参考。
本规范中所指的网络信息系统的密码,是指山东大学非涉密的网络信息系统的密码,包括计算机(含校内自助终端设备及相关和配套设备)的操作系统登录密码,各网络设备、安全设备的管理密码,各应用系统(含数据库、中间件)的管理密码,各应用系统(含校内邮箱、有线网络、无线网络、信息化公共服务平台等)的终端用户登录密码,带有密码功能的门禁设备的通行密码等。
1. 各单位的网络及安全设备的密码、应用系统管理员账号密码、具有审批权限的账号密码等,必须由专人掌管,并按要求定时更换密码;对于多环节多密码的设备或应用系统,应该由不同的人员分别掌握部分密码。
2. 多个账号不能使用同一个密码,应做到每个设备、每个系统都有单独的密码,以避免一个密码泄露,所有使用该密码的设备或系统都处于风险中。
3. 在线运行的硬件设备或应用系统,严禁使用初始密码或默认密码;由密码管理人员之外的人员安装的硬件设备或应用系统,不要让安装人员设置密码;在设备或系统交付使用后,密码管理人员应该立即更换密码。
4. 密码越长,越不容易被破解,因此密码长度不能少于8位。建议密码不要少于13位。
5. 密码要具有一定的复杂性,应同时包含字母、数字和特殊符号。不能把纯数字、纯字母、连续的数字(如12345678)、连续的字母(如abcdefg)、键盘上邻近的键(如3edc、asdf)作为完整密码使用。
6. 密码要避免和个人信息相关联。不能使用用户账号名、工号、学号、身份证号、姓名拼音、工作部门拼音、有意义的英文单词或句子、手机号、办公电话号码、生日、节日、纪念日等内容作为完整密码使用。
7. 密码的最长使用时间不能超过半年。重要系统、核心业务的密码或人员复杂、保密条件较差的地方,要缩短密码的使用时间。当密码使用期满,应更换一个和当前密码差异较大的新密码。在意识到账号密码泄露之后,应该立即更改密码。
8. 严禁把密码记录在不保密的媒介(如便笺、笔记本)上;严禁将密码张贴在对应的终端上;严禁把密码告知他人;在周围有人的情况下输入密码,应遮挡键盘或要求对方回避;不能在输入密码时念出密码内容。
请校区师生尽快对自己所管辖和拥有的各类办公设备、各类应用系统账户的密码设置情况进行全面检查,修改弱密码,规范密码的使用,同时在工作、学习、生活中,提高网络安全意识,杜绝网络安全隐患的发生。
