资讯保安标准
标识、身份验证和密码
一般
用户身份验证是控制谁可以访问信息资源的一种手段. 机密性, 完整性, 当未经授权的实体获得访问权限时,信息的可用性可能会丢失. 这, 反过来, 可能导致收入损失, 责任, 失去信任, 或给大学带来尴尬. 身份验证因素包括您知道的东西、您拥有的东西和您是什么. 在身份验证中使用多个因素可以增加用户身份的确定性.
适用性
此程序适用于所有大学信息资源. 本程序的目的是提供一组措施,以减轻与密码和身份验证问题相关的信息安全风险. 目标读者是任何大学员工, 学生, 使用需要身份验证的信息资源的来宾或访问者.
程序
1. 所有系统的密码应符合以下密码规则:
a. 不包含用户帐户名的全部或部分
b. 长度至少为8个字符
c. 包含下列四种字符中的三种:
•英文大写字符(A到Z)
•小写英文字符(a到z)
•基数为10位(0到9)
•非字母字符(例如, !, $, #, %)
d. 密码历史记录必须以禁止重复使用前10个密码的方式进行维护.
e. 密码有效期为120天.
f. 应使用适当的算法对存储的密码进行散列.
2. 密码必须被视为机密信息. 密码不应该透露给任何人.
3. 密码永远不应该以纯文本的形式传输, 除非该帐户仅用于访问可公开访问的数据.
4. 如果密码的安全性有疑问,应立即更改密码.
5. 如果密码被泄露, 有关事件应向资讯保安主任报告.
6. 用户不应该通过自动登录规避密码输入, 应用程序记住, 嵌入式脚本, 或者在处理/存储关键任务和/或机密数据的系统的客户端软件中硬编码密码. 在获得信息资源所有者的批准后,可以对特定的应用程序(如自动备份)进行例外处理.
7. 在没有启用密码保护的屏幕保护程序或自动注销的情况下,不应该让计算设备无人看管.
8. 密码管理和自动生成密码应该有, 能力存在的地方, 维护包含以下信息的可审计事务日志的能力:
•密码更改、过期、管理重置的时间和日期;
• Type of action performed; and,
•源系统(e.g.(IP和/或MAC地址)发起更改请求.
没有此功能的系统必须由首席信息官或指定人员批准并形成文件.
历史
最后更新2014年3月31日