中国电信客户信息安全管理规范 - v0.1 - 20101227 - 图文(6)

中国电信信息安全管理规范

2. 应以HASH或者加密技术保存口令，不得以明文方式保存或者传输；

3. 口令至少每90天更换一次。修改口令时，须保留口令修改记录，包含帐号、修改时间、修改原因等，以备审

计；

4. 5次以内不得设置相同的口令；

5. 由于员工离职等原因，原帐号不能删除或者需要重新赋予另一个人时，应修改相应帐号的口令。 六、口令管理要求

1. 如系统能力支持，应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数；对于无法建立口令规

则强制检查的系统，帐号用户应在每次口令修改后留有记录。 2. 帐号口令输入尝试次数要做限制，防止口令的暴力破解。

3. 对于无法进行定期修改口令的帐号，如内置帐号、程序帐号等，应在系统升级或重启时落实口令修改工作。 4. 如发生口令遗忘的情况，帐号使用人应提出口令重置申请，由系统管理员进行密码重置；重置完毕后，使用

者应马上更改重置后的密码。

5. 当程序内的帐号密码需要保存在配置文件里时，应只使用适当权限的帐号，采用经过验证的算法对帐号口令

进行加密，并做好帐号口令和加密密钥的保护工作。

6. 当发生下述情况时，应立即撤销帐号或更改帐号口令，并做好记录：

a) 帐号使用者由于岗位职责变动、离职等原因，不再需要原有访问权限时； b) 临时性或阶段性使用的帐号，在工作结束后； c) 帐号使用者违反了有关口令管理规定； d) 有迹象表明口令可能已经泄露等。 7. 帐号审计的要求

a) 帐号与权限的审计必须依据岗位角色和权限对应的矩阵列表； b) 定期对系统帐号权限进行职责不相兼容检查；

c) 定期对帐号申请审批、权限变更等执行情况进行审核，避免非法创建帐号、无主帐号和权限与职责不相

容帐号的出现；

d) 定期对帐号口令修改执行情况进行审核，避免口令过期、不符合复杂度要求等问题。

附录七： 异常操作行为特征

分类 异常描述 一段时间内重复查询客户信息几百次 异常的查询频率 一个号码一天内被查询10次以上，或一个月内被查询100次以上 某些特殊号码被多次查询，例如吉祥号 帐号异常 超出岗位职能 影响分析 高 中 中 低 中 低 长时间不登陆的帐号登陆使用，查询敏感信息 同一个帐号被多个人员使用，同时登陆或登陆IP地址经常变化。 详单查询人员登陆的IP地址不正确。 - 26 - 中国电信信息安全管理规范

某些部门不需要权限查询客户资料，但是仍有查询客户资料的行为。 某些没有权限的人员有查询清单的行为。 非工作时间， 外地登陆 投诉工单 异常的修改频率 重点功能 营业员非工作时间登陆系统，或者登陆的IP地址在外地。 客户投诉自己信息泄密，需要提供审计跟踪泄密源。 一段时间内修改客户信息几百次 一个号码相关信息一天内被修改10次以上，或一个月被修改100次以上 异常导出客户资料，客户资料超出权限范围 高 高 高 低 高 中 高

- 27 -