30.15 - Password and Authentication Policy
Owner:
- Position: 信息技术副总裁和首席信息官,信息技术
- Email: oit-security@yuandianwan.com
Last updated: February 28, 2023
Preamble: Authentication of users and applications, 访问或处理数据是信息安全的基本要求,以确保数据的保密性和完整性. 本政策建立了使用bet365亚洲官网技术资源的认证要求.
Contents:
- A. Definitions
- B. Policy
- C. Scope
- D. Exceptions to the Policy
- E. Contact Information
- F. References
A. Definitions – Types of Authentication. 以下是大学中最常用的身份验证类型.
A-1. Password: a combination of letters, numbers, symbols, 以及可用于对访问技术资源的帐户进行身份验证的特殊字符. 长形式的密码有时被称为密码短语.
A-2. Biometric: 一个人的唯一物理或行为特征,可以通过分析来唯一地识别和验证一个人访问技术资源的帐户.
A-3. Token: 一种硬件或软件设备,可以通过密码验证为唯一的.
A-4. Geolocation: for purposes of this policy, 地理定位是指根据用户的互联网协议(IP)地址的已知位置来识别用户位置的过程, 或者从内置位置检测的经过身份验证的设备收集的数据.
A-5. API Token: for purposes of this policy, 应用程序编程接口(API)令牌是惟一的, long, 令牌或密钥,可以为应用程序访问另一个服务或应用程序提供身份验证.
A-6. Personal Identification Number (PIN): 在设备上本地使用的短号码或密码,作为键入完整密码的一种方便的身份验证替代方法.
A-7. Multi Factor Authentication (MFA): 使用两个或多个身份验证因素:通常是密码, biometrics, or tokens, to achieve authentication.
B. Policy. 符合学校对身份和访问管理的要求, 用户必须保护其身份验证方法的完整性, 所有需要其身份验证的U of I技术资源. 必须根据风险级别对所有身份验证类型进行适当的保护.
B-1. Responsibility of Users:
a. 用户有责任保持密码和所有其他类型的身份验证的安全性和机密性, 包括不以不安全的方式共享或存储密码. 密码不应写下来和/或留在一个容易接近的地方.
b. 密码是学校的机密信息,不应该在没有强大加密的情况下以电子方式存储.
c. 所有密码在首次发布或使用时必须修改.
d. 密码不能为任何个人帐户共享, including with OIT support professionals, 及只供I / I身份及访问管理(APM 30.10) to the minimum extent required. If anyone asks a user for their password, 他们有义务将此作为安全事件报告给OIT信息安全办公室.
e. For any shared passwords, 任何知悉密码的人士若更改职位而不再需要知悉密码(例如.e.(如离开学校或更换职位),则必须更改密码.
f. U / I系统的密码必须是唯一的. 用户不应该在任何第三方系统上使用他们的U / I密码, even if used for U of I business purposes. 用户不应该对特权帐户和非特权帐户使用相同的密码.
g. 用户不能在应用程序中存储密码,也不能使用浏览器内置的“记住密码”功能. 强烈建议使用第三方密码管理器创建强密码并安全地存储它们. (联系OIT获取当前推荐的密码管理器列表.)
h. 当离开电脑时,总是注销应用程序或锁定电脑,以防止未经授权的使用.
i. 用户不应试图绕过uni建立的身份验证过程.
j. 用户必须遵循OIT标准进行身份验证和密码规范. (See OIT Standards)
B-2. Remediation and Compliance. 不遵守此政策将被视为违反了U of I的可接受使用(APM 30.12),并将得到相应的处理和补救.
C. Scope. 此政策适用于所有帐户持有人,无论其与访问大学数据或信息系统的关系如何.
D. Exceptions to the Policy. 本政策的例外情况可书面提交给伊利诺伊大学信息安全官,该信息安全官将评估风险并向伊利诺伊大学首席信息官提出建议. 例外情况必须至少每年审查一次以重新授权.
E. Contact Information. The OIT Information Security Office (its-security@yuandianwan.com)可协助解答有关本政策及相关标准的问题.
F. References.
APM 30.10 – Identity and Access Management Policy
APM 30.11 – Data Classifications and Standards
APM 30.技术资源的合理使用
NIST SP800-53r4
NIST SP800-171
HIPAA Security Rule 164.312(d)