30.15 -密码和认证策略

序言: 用户和应用程序的身份验证, 访问或处理数据是信息安全的基本要求，以确保数据的保密性和完整性. 本政策建立了使用菠菜app有哪些技术资源的认证要求.

内容:

• A. 定义
• B. 政策
• C. 范围
• D. 保险单的例外情况
• E. 联系信息
• F. 参考文献

A. 定义-身份验证的类型. 以下是大学中最常用的身份验证类型.

A-1. 密码: 字母的组合, 数字, 符号, 以及可用于对访问技术资源的帐户进行身份验证的特殊字符. 长形式的密码有时被称为密码短语.

A-2. 生物: 一个人的唯一物理或行为特征，可以通过分析来唯一地识别和验证一个人访问技术资源的帐户.

A-3. 令牌: 一种硬件或软件设备，可以通过密码验证为唯一的.

A-4. 地理位置: 就本政策而言, 地理定位是指根据用户的互联网协议(IP)地址的已知位置来识别用户位置的过程, 或者从内置位置检测的经过身份验证的设备收集的数据.

A-5. API令牌: 就本政策而言, 应用程序编程接口(API)令牌是惟一的, 长, 令牌或密钥，可以为应用程序访问另一个服务或应用程序提供身份验证.

A-6. 个人识别号码(PIN): 在设备上本地使用的短号码或密码，作为键入完整密码的一种方便的身份验证替代方法.

A-7. 多因素认证(MFA): 使用两个或多个身份验证因素:通常是密码, 生物识别技术, 或令牌, 实现身份验证.

B. 政策. 符合学校对身份和访问管理的要求, 用户必须保护其身份验证方法的完整性, 所有需要其身份验证的U of I技术资源. 必须根据风险级别对所有身份验证类型进行适当的保护.

B-1. 用户责任:

a. 用户有责任保持密码和所有其他类型的身份验证的安全性和机密性, 包括不以不安全的方式共享或存储密码. 密码不应写下来和/或留在一个容易接近的地方.

b. 密码是学校的机密信息，不应该在没有强大加密的情况下以电子方式存储.

c. 所有密码在首次发布或使用时必须修改.

d. 密码不能为任何个人帐户共享, 包括OIT支持专业人员, 及只供I / I身份及访问管理(APM 30.10)达到所需的最低限度. 如果有人向用户询问密码, 他们有义务将此作为安全事件报告给OIT信息安全办公室.

e. 对于任何共享密码, 任何知悉密码的人士若更改职位而不再需要知悉密码(例如.e.(如离开学校或更换职位)，则必须更改密码.

f. U / I系统的密码必须是唯一的. 用户不应该在任何第三方系统上使用他们的U / I密码, 即使是用于大学的商业目的. 用户不应该对特权帐户和非特权帐户使用相同的密码.

g. 用户不能在应用程序中存储密码，也不能使用浏览器内置的“记住密码”功能. 强烈建议使用第三方密码管理器创建强密码并安全地存储它们. (联系OIT获取当前推荐的密码管理器列表.)

h. 当离开电脑时，总是注销应用程序或锁定电脑，以防止未经授权的使用.

i. 用户不应试图绕过uni建立的身份验证过程.

j. 用户必须遵循OIT标准进行身份验证和密码规范. (见 OIT标准)

B-2. 补救和遵从. 不遵守此政策将被视为违反了U of I的可接受使用(APM 30.12)，并将得到相应的处理和补救.

C. 范围. 此政策适用于所有帐户持有人，无论其与访问大学数据或信息系统的关系如何.

D. 保险单的例外情况. 本政策的例外情况可书面提交给伊利诺伊大学信息安全官，该信息安全官将评估风险并向伊利诺伊大学首席信息官提出建议. 例外情况必须至少每年审查一次以重新授权.

E. 联系信息. 资讯科技署资讯保安办事处(its-security@cq-hw.com)可协助解答有关本政策及相关标准的问题.

F. 参考文献.

APM 30.身份和访问管理策略
APM 30.数据分类和标准
APM 30.技术资源的合理使用
NIST SP800-53r4
NIST sp800 - 171
HIPAA安全规则164.312(d)

版本历史