身份识别和认证
概述
这个更新的标准是为了帮助围绕访问控制的现有IT实践与NIST 800-171 (ID | 3)中的要求保持一致.5.X)以及行业最佳实践.
本文件内容:
- 身份类型和身份验证机制
- MFA需求
- 设备身份管理
- 密钥管理
本文件中不包含的内容:
- 密码要求(见:现有) 资讯科技密码标准)
- 对高风险数据的零信任要求(参见: 访问控制标准)
- 身份验证的审核要求(参见: 审计及问责标准)
- 3 .全覆盖.5.*根据NIST 800-171管制非机密信息
政策参考
目的
此标识和身份验证标准支持 APM 30.10身份和访问管理策略, APM 30.11高校数据分类与标准, APM 30.15密码和认证策略 以及其他相关的大学政策.
范围
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理bet365亚洲官网的数据(见 APM 30.14 C-6)或使用bet365亚洲官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
标准
识别信息系统用户, 代表访问系统的用户或设备的进程. 这包括本地访问和网络访问.
- 系统用户
- 用户通过用户名与Banner内的汪达尔号码相关联来识别.
- 存在各种帐户类型,以帮助在APM 30中识别和分类.10身份和访问管理策略章节A-2“帐户类型”.
- 这些必须符合IT密码标准中定义的要求
- 代表用户的进程
- 流程标识必须映射到APM 30中定义的功能帐户.允许识别不受最终用户交互控制的过程.只要有可能.
- 这些必须符合IT密码标准中定义的要求7
- 功能帐户所有者, 在工具箱中定义, 对职能客户采取的行动负责.
- 如果没有使用功能帐户, 触发流程的用户必须通过会话或先前的日志事件来标识.
- 流程标识必须映射到APM 30中定义的功能帐户.允许识别不受最终用户交互控制的过程.只要有可能.
- 设备
- 标识的设备是以下一个或多个:
- IP地址和MAC地址与我们的网络管理系统(NMS)中的身份相关联,用于bet365亚洲官网管理的网络上的设备.
- 应用程序的Duo设备运行状况中的唯一设备标识符.
- 由bet365亚洲官网或oit认可的证书服务机构颁发的唯一系统证书.
- IP地址或DNS名称用于标识防火墙策略中定义的系统, 或OIT 安全定义的其他相关控制.
- 如果在调查的时间框架内不能充分识别登录用户,则在NMS中定义的联系人承担设备所采取的操作的责任.
- 标识的设备是以下一个或多个:
- 本地账户
- 在系统或应用程序上直接管理具有身份的帐户.
- 管理的本地帐户:
- 必须通过OIT凭证访问工具集中管理.
- 当其他方法不可行时,是否可用于辅助目的.
- 必须通过票证或凭据访问工具记录使用情况.
- 凭据访问工具将触发自动修改密码.
- 当有it管理的帐户可用时,不能使用非托管的本地帐户.
- 只有在系统安全计划中定义时,才允许在中等或高风险系统上永久使用本地帐户.
- 这些必须符合IT密码标准中定义的要求7
- 临时或紧急帐户
- 当指定用户帐户可用时不能使用.
- 只能临时使用吗.
- 每个用例必须创建/授权、使用和删除/取消授权.
- 创建、使用和删除必须通过票证记录.
- 临时或紧急帐户的责任方必须记录.
- 这些必须符合IT密码标准中定义的要求7
用于访问bet365亚洲官网数据的系统和应用程序, bet365亚洲官网要求使用oit管理的认证系统. 按照偏好顺序(只有当高偏好选项被验证为不可行的时候,才可以使用低偏好选项):
- 使用OIDC或SAML或其他OAUTH支持的机制的bet365亚洲官网SSO.
- CAS只能在OIDC或SAML不可用的情况下使用.
- 默认情况下将应用MFA.
- 使用LDAPS等加密通道的bet365亚洲官网活动目录, Kerberos或带有EAP的MSCHAPv2.
- 用户到应用程序的通信也必须通过加密通道,如HTTPS.
- 远程访问应用程序/系统(包括但不限于RDP/SSH/HTTPS/FTPS)必须使用MFA.
- 中高风险必须使用大学管理的MFA.
- 除非另有明确分类,否则假定可公开访问的系统具有中等风险.
- 在不可行的情况下,必须实施其他控制措施以降低OIT安全所要求的风险.
- 用户密码在输入时必须进行混淆处理. 他们可能有一个去混淆按钮.
- 本地账户.
- 用户到应用程序的流量必须通过加密通道,如HTTPS.
- 如果可能的话,申请必须使用MFA.
- 在不可行的情况下,必须实施其他控制措施以降低OIT安全部门所要求的风险.
- 在输入时必须对用户密码进行混淆处理.
- 登录失败不能泄露有关用户或其凭据的信息.
用于网络访问bet365亚洲官网的数据, bet365亚洲官网要求直接连接到oit管理的网络:
- 有线网络
- MAC地址必须按照APM 30的要求在网管系统中注册.14.
- 对其NMS记录中定义的特定网络的授权.
- 员工无线
- 用户通过WPA2进行身份验证,企业通过MSCHAPv2对受EAP保护的Active 目录进行身份验证.
- 设备可以通过oit管理的设备证书进行身份验证.
- 根据帐户类型和状态或使用的证书对特定网络进行授权.
- 员工或部门设备无法支持WPA2企业网等网络需求, 可以使用长期访客访问吗.
- 网络例子包括:AirVandalGold和eduroam.
- 学生无线
- 用户通过WPA2进行身份验证,企业通过MSCHAPv2对受EAP保护的Active 目录进行身份验证.
- 根据帐户类型和状态对特定网络进行授权.
- 学生设备无法支持WPA2企业网等网络需求, 可以使用长期访客访问吗.
- 网络示例包括:AirVandalGold、AirVandalHome和eduroam.
- 远程接入VPN
- 根据it管理的身份源对用户和/或设备进行身份验证和验证.
- 设备可以通过oit管理的设备证书进行身份验证.
- 根据帐户类型对特定网络进行授权, 从属关系和团体成员资格和/或使用的证书.
- 活动网络
- 是否可以根据事件要求进行调整.
- 必须被授予仅为事件目的所需的网络访问级别.
- 访问中等或高风险系统的事件网络受OIT 安全定义的附加要求的约束.
- 必须记录设备身份.
- 设备MAC地址是一个足够的标识.
- 必须具有阻止特定设备身份的能力.
- 网络示例包括:AirVandalConference
- 客用和公用网络
- 必须在逻辑上与所有其他网络分开.
- 必须识别设备身份.
- 设备通过电子邮件和/或电话号码注册
- 必须具有阻止特定设备身份的能力.
- 附属个人可以获得长期访客访问权.
- 网络示例包括:AirVandalGuest, eduroam.
- 外部网络
- 是否必须在访问前匹配防火墙策略.
为了确保安全密钥和秘密的安全,它们必须由OIT颁发或批准.
其他参考资料
1. NIST sp800 - 171 r2 (2020年2月)
2. NIST SP800-53r5 (2020年9月)
3. NIST sp800 - 63 - 3 (2017年6月)
4. NIST SP800-51-1 (2020)
5. NIST SP800-56Br2 (2019)
6. NIST的术语表
7. CMMC术语表
8. 系统和通信保护标准
10. WiFi和网络连接
11. 资讯科技密码标准
定义
1. 授权用户 (也可视为系统用户或用户)
任何需要访问信息系统的经过适当认证的个人.
2. 单点登录(SSO)
一种识别方法,允许用户使用一组凭据登录多个应用程序和网站.
3. 多因素认证(MFA)
使用两个或多个身份验证因素:通常, 密码, 生物识别或令牌, 实现身份验证.
4. 凭证
凭据将身份验证者绑定到订阅者, 通过标识符, 作为发行过程的一部分.(nist sp 800-63-3)
5. 身份(也称为帐户)
属性值的集合(i.e., 特征)一个实体被识别的特征, 在身份管理器的职责范围内, 是否足以将该实体与任何其他实体区分开来.(CMMC术语)
6. bet365亚洲官网网络管理系统(NMS)
bet365亚洲官网专有的网络管理工具, 网络上的设备和网络间的连接.
7. 虚拟专用网(VPN)
利用隧道保护信息系统链路, 安全控制和端点地址转换给人的印象是专线.(nist sp 800-53)
8. bet365亚洲官网管理网络
由bet365亚洲官网拥有和控制的网络. (见: 什么是Azure AD“命名位置”?)
9. 证书
由证书颁发机构的私钥颁发并进行数字签名的数字文档,该私钥将订阅者的标识符绑定到公钥. 证书表明证书中标识的订阅者对私钥具有唯一的控制权和访问权.(nist sp 800-63-3)
10. 唯一的系统证书
X.基于509的证书,专用于且仅用于一个特定系统.
11. oit管理的认证系统
由bet365亚洲官网信息技术办公室(OIT)拥有和维护的任何类型的身份来源.
12. 长期访客访问权限
访问校园旁路无线网络,其操作类似于AirVandalGuest.
- 长期是指超过5个工作日.
13. 特权功能
可能影响机密性的功能, 数据的完整性或可用性,包括但不限于访问权限的更改, 角色, 安全配置, 直接改变其他用户的高风险或非公开数据,或影响其他用户的高风险或非公开数据的安全性.
14. 关联的个人
个人根据他们与APM 30所要求的大学的关系被分配了适当的“eduPersonAffiliation”(参见Internet2 eduPerson对象类模式).10 B-2 j.
15. 关键
用于控制加密操作的值, 比如解密, 加密, 签名生成或签名验证.(nist sp 800-63-3)
16. 公钥基础设施
“一套政策, 流程, 服务器平台, 用于管理证书和公私密钥对的软件和工作站, 包括发行的能力, 维护和撤销公钥证书.(nist sp 800-63-3)
17. 证书颁发机构授权(CAA)
与域名服务器(DNS)条目相关联的记录,该条目指定授权为该域颁发证书的ca. (NIST术语表)
18. 证书颁发机构(CA)
公钥基础设施(公钥基础设施)中的实体,负责颁发公钥证书并严格遵守公钥基础设施策略. 也称为证书颁发机构.(NIST SP 800-56Br2)
19. 远程访问
通过网络连接访问系统或应用程序.
标准的主人
OIT 安全负责这些标准的内容和管理.
联系人: oit-security@yuandianwan.com
修订历史
3/1/2024 -小更新
- 小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2