第一条 为保障校园网络和信息系统安全，根据《互联网用户公众账号信息服务管理规定》，制订本办法。

第二条 本办法所称账号，是指阜阳师范大学网络服务器等信息设备和重要信息系统的账号。包括核心交换机、防火墙、网管软件设备、上网行为和审计软件、应用服务器、数据库服务器及其他信息安全设备及信息系统的管理或维护账号。

第三条 用户账号的创建

（一）严格限制创建公用账号，且公用账号不得具有访问敏感信息以及“写”和“执行”的权限；

（二）用户账号的权限设置应遵循“最小化”原则，即给用户能完成工作的最小权限，系统管理员一般分配超级权限，一般用户则分配普通权限；

（三）关闭任何缺省的匿名账号；

（四）系统开启对用户账号、用户权限和登录管理的日志审计功能；

（五）禁止使用空密码或与用户名相同的密码作为初始密码；

（六）系统管理员在第一次登录时，必须修改初始密码；

（七）因特殊原因需创建临时用户账号时，经相关负责人同意后，由系统管理员统一创建（临时用户账号密码由专人保管），工作完成后立即冻结所有临时用户账号，严禁在重要业务系统中创建临时用户或测试用户。

第四条 各单位指定专人负责账号密码更换、密码有效性查验等工作。

第五条 账号密码的设置与使用须遵守以下规则：

（一）保守账号密码的秘密性，除非有正式批准授权，禁止把账号密码提供给其他人使用；

（二）避免记录账号密码（例如在纸上记录），除非得到批准并使用安全保管方式（如保险柜）；

（三）当信息系统或账户状态出现异常情况时（如怀疑被入侵），立即更改账号密码；

（四）设置高质量的密码并定期进行修改，禁止循环使用旧密码；

（五）用户第一次登录须修改初始密码；

（六）不能在任何登录程序中保存密码或启用自动登录，如在宏或功能键中存储密码；

（七）账号密码长度不少于8位，采用英文字母、数字和特殊字符混合构成；

（八）避免使用电话号码、出生年月、姓名缩写、123456等简易密码，建议使用密码生成器随机生成；

（九）密码须每月更换一次。

第六条 所有系统都应建立应急账号，应急账号必须放在密封的信封内妥善收藏，并控制好信封的存取。使用后须及时修改。

第七条 账号持有人如因出差、休假等原因离开岗位工作2天以上，须事先向指定人员移交相关账号密码，以确保工作的正常开展。

第八条 账号持有人调离岗位或离职前必须办理账号移交手续。

第九条 各相关单位需不定期审查用户权限分配情况，重点审查权限与岗位是否匹配及权限的分配、变更、注销等情况。

第十条 任何部门和个人不得泄漏账号和密码，不得将账号擅自转借他人使用，不得利用账号密码从事危害网络和信息安全的活动。

第十一条 如发现密码泄漏，账号持有人须及时报告，作好记录并及时更换。

第十二条 任何人因账号密码保管不当造成重大损失须追究相应责任。

第十三条 本办法由阜阳师范大学网络安全和信息化领导小组办公室负责解释。

第十四条 本办法自公布之日起施行，同时废止《关于印发<阜阳师范大学账号密码权限管理办法>的通知 》（校信息〔2020〕10号）。