原则上针对校内师生员工、医务工作者的系统必须使用统一身份认证,接入服务大厅,减少安全隐患。统一认证接入请通过信息公共服务平台(主页“信息服务—服务大厅—统一认证接入申请”)申请流程完成。
对由于技术等原因无法接入统一认证、或接入统一认证仍保留自有认证方式的信息系统,必须满足以下要求:
1. 信息系统必须具备密码强度检查功能,不能设置低于密码强度的密码。密码强度基线要求两种字符类型及以上且密码长度为8位及以上。
2. 信息系统管理端密码强度基线要求三种字符类型及以上且密码长度为12位及以上。
3. 信息系统不能使用低于密码强度基线的弱密码。对于存在弱密码用户,必须强制用户修改。
4. 对于提前添加的、现有用户,不能设置统一规则的默认密码,必须使用随机强密码,用户可以通过预设的手机短信、邮箱验证等方式修改默认密码。
5. 系统必须加入密码尝试限制功能,要求5次密码错误后封禁该访问IP地址登录10分钟及以上;
6. 登录界面必须采用人机验证功能(验证码、滑动拼图、短信验证、二维码验证等方式)。
7. 信息服务管理端应及时清除管理员测试账户,减少安全隐患。
8. 系统严禁使用明文保存密码等信息,必须采用单向加密方式存储。为防止撞库破解,可以采用多重加密、倒置加密等方式实现。
9. 对于使用编译型语言开发的信息服务,严禁将源代码保存在生产服务器上。