凭证管理
当前修订或创建日期: 2020年12月1日
的目的 资讯科技标准 是指定要求遵守旧道明大学信息技术政策, 其他大学政策, 以及适用的法律法规. 标准可能包括业务原则, 最佳实践, 技术标准, 迁移和实现策略, 指导设计, 资讯科技的部署及管理.
目的
本标准的目的是定义最靠谱的网赌软件使用的证书管理要求.
定义
它的 是信息技术服务的缩写.
密码 是否使用了一个秘密来获得访问帐户的权限.
访问令牌 作为可以在浏览器之间共享的身份验证“cookie”, 客户, 或连接,以便每次交互不需要重新身份验证.
标准声明
在分类为敏感的系统上,所有帐户都需要使用凭据, 包括当地, 远程访问和临时帐户.
密码
密码的长度和复杂度要求基于敏感性和风险. (见 迈达斯标准):
- 基于技术和操作限制,用户帐户必须尽可能遵循“它的用户帐户密码复杂度指南”.
- 基于技术和操作限制,系统和服务帐户必须尽可能遵循“它的系统和服务帐户密码复杂性指南”.
识别和认证数据的传输(例如.g.(密码)不使用行业公认的加密标准是被禁止的.
资讯科技系统用户必须保持对其密码的独家控制和使用.
对于非midas控制的系统,必须允许用户更改其密码.
被确定可以访问敏感数据的用户需要在预先确定的时间(例如.(90天),由系统所有者根据敏感性和风险定义.
资讯科技系统用户如怀疑密码外泄,应立即更改密码,并通知资讯保安主任.
密码历史文件需要维护,以防止重复使用相同的密码, 与敏感性和风险相称.
对于非midas控制的系统,必须为每个系统创建唯一的(非midas)密码.
忘记的初始密码将被替换,而不是重新签发.
不鼓励在敏感的IT系统上使用组帐户id和共享密码. 最佳系统管理所需的组帐户id或共享密码应在系统风险评估中注明,并由系统所有者接受.
不鼓励以纯文本形式包含密码. 系统使用所需的密码应尽可能加密. 例外情况应在系统风险评估中注明,作为可接受的补偿控制的已识别风险.
只有IT系统及其管理员才能访问包含密码的文件.
硬件密码要求是基于敏感性和风险.
硬件密码应记录并安全存储.
应执行程序处理丢失或泄露的密码和/或令牌.
访问令牌
访问令牌应该使用行业标准机制生成.
应该根据敏感性和风险来配置访问令牌过期,但不应该配置为永远不会过期.
访问令牌应该限制在所需的授权资源范围内.
访问令牌只能在同一系统和系统中具有相似目的的服务之间共享, 如果可能的话, 应该在应用程序的每个实例中是唯一的吗.
程序,指导方针 & 其他相关资料
历史
|
日期 |
负责任的政党 |
行动 |
|
2008年10月 |
ITAC /首席信息官 |
创建 |
|
2010年10月 |
ITAC /首席信息官 |
重申 |
|
2011年10月 |
ITAC /首席信息官 |
重申 |
| 2014年2月 | 资讯科技政策办事处 | 为了清晰起见,稍微修改一下措辞 |
| 2014年5月 | 资讯科技政策办事处 | 增加了对密码指南的参考 |
|
2014年9月 |
资讯科技政策办事处 | 更新以反映APA的建议 |
| 2017年12月 | 资讯科技政策办事处 | 为了清晰起见,稍微修改一下措辞 |
| 2020年12月 | 资讯科技政策办事处 | 重新措辞以清晰反映当前的命名和实践,并将访问令牌添加到标准中 |