第一条 为保障校园网络和信息系统安全，根据《互联网用户公众账号信息服务管理规定》，制订本办法。

第二条 本办法所称帐号，是指阜阳师范大学网络服务器等信息设备和重要信息系统的帐号。包括核心交换机、防火墙、网管软件设备、上网行为和审计软件、应用服务器、数据库服务器及其他信息安全设备及信息系统的管理或维护帐号和上网账号。

第三条 用户账号的创建

（一）严格限制创建公用帐号，且公用帐号不得具有访问敏感信息以及“写”和“执行”的权限；

（二）用户帐号的权限设置应遵循“最小化”原则，即给用户能完成工作的最小权限，系统管理员一般分配超级权限，一般用户则分配普通权限；

（三）关闭任何缺省的匿名帐号；

（四）系统开启对用户帐号、用户权限和登录管理的日志审计功能；

（五）禁止使用空密码或与用户名相同的密码作为初始密码；

（六）系统管理员在第一次登录时，必须修改初始密码；

（七）因特殊原因需创建临时用户帐号时，经核准后，由系统管理员统一创建（临时用户帐号密码由专人保管），工作完成后立即冻结所有临时用户帐号，严禁在重要业务系统中创建临时用户或测试用户。

第四条 各单位指定专人负责帐号密码更换、密码有效性查验等工作。

第五条 帐号密码的设置须遵守以下规则：

（一）保守帐号密码的秘密性，除非有正式批准授权，禁止把帐号密码提供给其他人使用；

（二）避免记录帐号密码（例如在纸上记录），除非得到批准并使用安全保管方式（如保险柜）；

（三）当信息系统或账户状态出现异常情况时（如怀疑被入侵），立即更改帐号密码；

（四）设置高质量的密码并定期进行修改，禁止循环使用旧密码；

（五）用户第一次登录须修改初始密码；

（六）不能在任何登录程序中保存密码或启用自动登录，如在宏或功能键中存储密码；

（七）账号密码长度不少于8位，采用英文字母、数字和特殊字符混合构成；

（八）避免使用电话号码、出生年月、姓名缩写、123456等简易密码，建议使用密码生成器随机生成；

（九）密码须每月更换一次。

第六条 信息化中心有权检查帐号密码的有效性。申请人提交《用户权限审批和修改表》，审批后开通相应权限。每个用户账号唯一，不能透露用户的权限信息，不允许共享。

第七条 所有系统都应建立应急账号，应急账号必须放在密封的信封内妥善收藏，并控制好信封的存取。使用后须及时修改。

第八条 帐号持有人如因出差、休假等原因离开岗位工作2天以上，须事先向指定人员移交相关帐号密码，以确保工作的正常开展。

第九条 帐号持有人调离岗位或离职前必须办理帐号移交手续。

第十条 调离工作岗位人员、历届毕业生及其他被停止使用外网的人员上网账号须及时禁用。

第十一条 每3个月对重要系统特权用户权限进行审计，每6个月对各系统的普通用户及权限进行审计（权限审计重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整）。

第十二条 任何部门和个人不得泄漏帐号和密码，不得将帐号擅自转借他人使用，不得利用帐号密码从事危害网络和信息安全的活动。

第十三条 如发现密码泄密，帐号持有人须及时报告，作好记录并及时更换。

第十四条 任何人因帐号密码保管不当造成重大损失须追究相应责任。

第十五条 本办法由阜阳师范大学网络安全和信息化领导小组办公室负责解释。

第十六条 本办法自公布之日起施行。

附件：用户权限审批和修改表.docx