关于开展信息系统弱口令排查整改的通知
为重点整治信息系统弱口令突出问题,治理隐患不留死角,决定开展信息系统弱口令排查整改工作,有关要求通知如下:activemq默认账号密码
1.弱口令排查。
(1)个人用户弱口令排查。即日组织信息系统个人用户口令检查,按照安全配置基线和信息系统密码安全管理规范,信息系统应设置不低于12位的复杂口令,并定期更换。对不符合要求的用户进行整改,无法整改的应注销账户。要求检查覆盖率100%,并建立检查台账。
(2)系统弱口令排查。排查范围包括信息系统远程登录、操作系统、应用软件、中间件、数据库(包括且不限于SSH、SNMP、FTP、Supervisor、ActiveMQ、Windows RDP、inspur、Nexus-Repository-Manager、Tomcat、WebLogic等),以及信息系统各级管理员、关键用户口令。要求修改默认口令,且强度符合集团公司密码管理规定。后续如发现上述弱口令问题,将升级处罚措施。
2. 信息系统弱口令隐患整改
(1)增加密码强度验证。所有系统涉及口令设置的页面,必须增加口令长度和复杂度的控制措施,保证无法设置不合规的密码。
(2)防暴力破解机制。所有系统涉及账号及口令输入的界面,增加防暴力破解机制,须设置连续输入5次错误密码限时锁定账户策略。宜增加登录界面验证码等方式,增加防暴力破解机制的安全性。
3. 风险意识宣贯
要开展风险意识宣贯,严格禁止在QQ、等公共通讯软件中传输涉及企业信息系统的用户名和口令;禁止在公司内外网使用明文传输用户名和口令,防止网络劫持;禁止明文存储用户名和口令,谨慎保管密码本。
4. 组织开展专项检查
本次弱口令整改工作结束后,管理部门将组织开展专项检查,形成长效检查机制,制定定期检查计划,做好检查记录,对专项检查中发现的问题予以通报,检查结果纳入信息化工作考核。