政策及程序
大学礼堂照片

密码管理策略

关于本政策

负责办公室
信息技术

1.0的目的

此政策描述了大学对可接受的密码选择和维护的要求. 它提供了创建和使用密码的指导,以最大限度地提高密码的安全性,并最大限度地减少密码的误用或盗窃. 密码是访问计算资源时最常用的身份验证形式. 因为使用了弱密码, 自动密码破解程序的激增, 以及恶意黑客和垃圾邮件发送者的活动, 它们通常也是保护数据的最薄弱环节. 因此,密码必须遵循下面列出的策略指导方针.

2.0范围

此政策适用于访问持有或传输十大博彩推荐排名州立大学数据的系统的任何人. 系统包括, 但并不局限于个人电脑, 笔记本电脑, 十大博彩推荐排名州立发行的手机, 小因子计算设备(e.g., 平板电脑, USB存储键, 电子组织者), 以及十大博彩推荐排名州立大学的电子服务, 系统和服务器. 这项政策包括部门资源和中央管理的资源.

3.0的政策

所有密码(e).g.,电子邮件,网页,台式电脑,笔记本电脑,移动设备等.)应该是强密码,并应遵循以下准则. 一般来说,密码的强度会随着长度、复杂度和修改频率的增加而增加. 更大的风险需要更高水平的保护. 在这种情况下,应该使用更强的密码和其他安全措施,如多因素身份验证. 高风险系统包括但不限于:提供访问关键或敏感信息的系统, 对共享数据的受控访问, 安全性较弱的系统或应用程序, 以及维护其他帐户的访问权限或提供对安全基础设施的访问权限的管理员帐户. 中央和部门客户经理, 受托人的数据, 安全和/或系统管理员应该通过一贯的安全程序实践树立良好的榜样.

  • 所有密码必须符合以下准则,除非是技术上的
    不可行:

    • 必须包含至少8个字母数字字符.
    • 必须包含至少两(2)个非字母字符和至少三(3)个字母字符.
    • 至少一个(1)字母为大写字母,至少一个(1)字母为小写字母.
    • 密码不能由任何字典、语言、俚语、方言、行话等中的单个单词组成.
    • 密码不能由容易猜到或获得的个人信息组成, 家庭成员姓名, 宠物, 等.
    • 可以接受由三个或更多字典单词由非字母字符连接组成的密码短语. 所选择的单词应该有一些可识别的关系,以帮助用户记住密码短语,而无需将其写下来. 这样的密码短语的一个例子可能是:Summer2013#Beach_Party!
  • 以帮助防止身份盗窃, 个人或财务上有用的信息,如社会保险号或信用卡号,绝对不能用作用户ID或密码.
  • 所有密码都被视为私人信息,应根据大学的“保护敏感和机密信息政策”进行处理. 因此,除非得到充分保护,否则永远不应将它们写下来或存储在网上.
  • 不应在电子邮件或其他形式的电子通讯中插入密码.
  • 相同的密码不应用于十大博彩推荐排名州立大学外部的访问需求(例如.g.、网上银行、福利等.).
  • 建议至少每6个月修改一次密码. 特别是与大学网号相关的密码必须每六个月更换一次. 各种系统和应用程序的密码可能具有“老化”功能,要求在最后一次修改密码后的一定天数或几个月后更改密码. 用户必须遵守大学的密码老化政策.
  • 密码不应与任何人共享,包括行政助理或IT管理员. 必要的例外情况可以在信息技术部门的书面同意下允许,并且必须有一个主要负责的联系人. 用于保护网络设备的共享密码需要指定个人负责维护这些密码, 这个人将确保只有适当授权的员工才能访问密码.
  • 如果怀疑密码被泄露, 应立即更改,并向大学服务台报告事件.
  • 在适当的系统管理员的合作和支持下,IT安全或其代表可以定期或随机地执行密码破解或猜测. 如果在其中一次扫描期间密码被猜出或破解, 密码所有者将被要求立即更改密码.

3.1客户端设备(桌面/笔记本)管理员密码

除了上面第3节中列出的一般密码指南之外.0, 以下适用于桌面管理员密码, 除非在技术和/或行政上不可行:

  • 客户端设备的Admin密码必须至少每6个月修改一次.
  • 在技术和管理上可行的地方, 尝试猜测密码的次数应该自动限制在10次以内. 访问应该被锁定至少十分钟, 除非本地系统管理员介入.
  • 应该记录失败的尝试,除非此类操作导致显示失败的密码. 建议这些日志至少保留30天. 管理人员应定期检查这些日志,任何违规或妥协应立即报告给大学帮助台.

3.2服务器管理员密码

除了上面第3节中列出的一般密码指南之外.0, 以下内容适用于服务器管理员密码, 除非在技术和/或管理上不可行

  • 当人员变动时,需要及时修改服务器密码.
  • 如果怀疑某个帐户或密码被泄露, 必须将事件报告给IT安全部门,并且必须立即更改可能受影响的密码.
  • 尝试猜测密码的错误次数应限制在10次以内. 访问应该被锁定至少十分钟, 除非本地系统管理员介入.
  • 对于失败的尝试应提供统一的响应, 生成简单的错误消息,如“拒绝访问”. 标准的响应将黑客攻击可能导致的线索最小化.
  • 应该记录失败的尝试,除非此类操作导致显示失败的密码. 建议这些日志保留的时间至少为
    30天. 管理员应定期检查这些日志,任何违规行为,如可疑的攻击,应报告给大学帮助台.
  • 连接到校园网的部门服务器的所有者必须向中央IT提供设备的“管理员”或“根”密码, 或具有同等权限的帐户. 该帐户仅供专职IT安全人员使用,通过日常操作确保设备的安全性和完整性, 协调系统扫描或其他非侵入性机制. 在任何情况下,IT部门都不会使用管理员/root帐户来管理部门设备或执行任何可能损害其预期功能或预期性能的活动. (参见网络连接策略)

注意:日志文件不应该包含密码信息.

查看资讯科技政策查看技术策略查看所有策略