密码管理政策-政策和程序-火狐体育
政策及程序
Photo of University Hall

密码管理策略

关于本政策

负责办公室
信息技术

1.0目的

此政策描述了大学对可接受的密码选择和维护的要求。它提供了创建和使用密码的指导,以最大限度地提高密码的安全性,并最大限度地减少密码的误用或盗窃。密码是访问计算资源时最常用的身份验证形式。由于使用弱密码,自动密码破解程序的扩散,以及恶意黑客和垃圾邮件发送者的活动,它们通常也是保护数据的最薄弱环节。因此,密码必须遵循下面列出的策略指导方针。

2.0范围

此政策适用于访问持有或传输火狐体育数据的系统的任何人。系统包括,但不限于个人电脑,笔记本电脑,火狐体育火狐体育州立发行的手机,和小因素计算设备(例如,平板电脑,USB记忆键,电子组织者),以及火狐体育火狐体育州立电子服务,系统和服务器。这项政策包括部门资源和中央管理的资源。

3.0政策

所有密码(例如,电子邮件,网页,台式电脑,笔记本电脑,移动设备等)都应该是强密码,并应遵循以下指导方针。一般来说,密码的强度会随着长度、复杂度和修改频率的增加而增加。更大的风险需要更高水平的保护。在这种情况下,应该使用更强的密码和其他安全措施,如多因素身份验证。高风险系统包括但不限于:提供关键或敏感信息访问权限的系统、对共享数据的受控访问权限、安全性较弱的系统或应用程序,以及维护其他帐户访问权限或提供安全基础设施访问权限的管理员帐户。中央及部门客户经理、资料受托人、保安及/或系统管理员应以一贯的稳妥保安程序为榜样。

  • 所有密码必须符合以下准则,除非是技术上的
    不可行:

    • 必须包含至少8个字母或数字字符。
    • 必须包含至少2个非字母字符和至少3个字母字符。
    • 至少一个(1)字母为大写字母,至少一个(1)字母为小写字母。
    • 密码不能由任何字典、语言、俚语、方言、行话等中的单个单词组成。
    • 密码不能包含容易猜到或获得的个人信息、家庭成员的名字、宠物的名字等。
    • 可以接受由三个或更多字典单词由非字母字符连接组成的密码短语。所选择的单词应该有一些可识别的关系,以帮助用户记住密码短语,而无需将其写下来。这样的密码短语的一个例子可能是:Summer2013#Beach_Party!
  • 为了防止身份盗窃,个人或财务上有用的信息,如社会保障或信用卡号码,永远不能用作用户ID或密码。
  • 所有密码都被视为私人信息,应根据大学的“保护敏感和机密信息政策”进行处理。因此,除非得到充分保护,否则永远不应将它们写下来或存储在网上。
  • 不应在电子邮件或其他形式的电子通讯中插入密码。
  • 相同的密码不应用于访问火狐体育外部的需求(例如,网上银行,福利等)。
  • 建议至少每6个月修改一次密码。特别是与大学网号相关的密码必须每六个月更换一次。各种系统和应用程序的密码可能具有“老化”功能,要求在最后一次修改密码后的一定天数或几个月后更改密码。用户必须遵守大学的密码老化政策。
  • 密码不应与任何人共享,包括行政助理或IT管理员。必要的例外情况可以在信息技术部门的书面同意下允许,并且必须有一个主要负责的联系人。用于保护网络设备的共享密码需要指定个人负责维护这些密码,并且该个人将确保只有适当授权的员工才能访问密码。
  • 如果怀疑密码被泄露,应立即更改密码并向大学服务台报告。
  • 在适当的系统管理员的合作和支持下,IT安全或其代表可以定期或随机地执行密码破解或猜测。如果在其中一次扫描期间密码被猜出或破解,密码所有者将被要求立即更改密码。

3.1客户端设备(桌面/笔记本)管理员密码

除了上述第3.0节中列出的一般密码指南外,除技术和/或管理上不可行的情况外,以下内容适用于桌面管理员密码:

  • 客户端设备的Admin密码必须至少每6个月修改一次。
  • 在技术上和管理上可行的情况下,尝试猜测密码的次数应自动限制在10次以内。访问应该被锁定至少10分钟,除非本地系统管理员介入。
  • 应该记录失败的尝试,除非此类操作导致显示失败的密码。建议这些日志至少保留30天。管理人员应定期检查这些日志,任何违规或妥协应立即报告给大学帮助台。

3.2服务器管理员密码

除了第3.0节中列出的一般密码指南之外,以下内容适用于服务器管理员密码,除非在技术和/或管理上不可行

  • 当人员变动时,需要及时修改服务器密码。
  • 如果怀疑帐户或密码被泄露,则必须向IT安全部门报告该事件,并且必须立即更改可能受影响的密码。
  • 尝试猜测密码的错误次数应限制在10次以内。访问应该被锁定至少10分钟,除非本地系统管理员介入。
  • 应该为失败的尝试提供统一的响应,产生简单的错误消息,如“拒绝访问”。标准的响应将黑客攻击可能导致的线索最小化。
  • 应该记录失败的尝试,除非此类操作导致显示失败的密码。建议这些日志至少保留30天。管理员应定期检查这些日志,任何违规行为,如可疑的攻击,应报告给大学帮助台。
  • 连接到校园网的部门服务器的所有者必须向中央IT提供设备的“管理员”或“root”密码,或具有同等权限的帐户。此帐户仅供全职IT安全人员使用,以通过常规、协调的系统扫描或其他非侵入性机制确保设备的安全性和完整性。在任何情况下,IT部门都不会使用管理员/root帐户来管理部门设备或执行任何可能损害其预期功能或预期性能的活动。(参见网络连接策略)

注意:日志文件不应该包含密码信息。

查看信息技术策略查看技术策略查看所有策略