91.004:大学证书
批准
2015年8月27日
马修·道尔顿|信息安全总监
斯蒂芬·戈尔丁|财务与行政副总裁
罗德里克J. 麦克戴维斯|总统
-
概述
newbb电子平台颁发的证书仅用于访问大学资源. 他们往往是攻击的第一线, 最后一道防线, 保护这些资源. 因此,它们必须小心使用,并得到充分的保护. 本政策概述了个人必须遵守的保护措施, 技术人员, 以及在大学使用证书的系统和保护证书的建议.
-
个人
获得证书的个人在保管这些证书方面负有一定的责任. 您应该遵循以下行为,以降低凭证泄露的风险.
-
把你的证件、秘密问题和答案保密,只有你自己知道.
-
使用唯一的凭证(用户名和密码组合)为newbb电子平台不同于任何其他服务或网站.
-
您的凭据是您对大学资源的个人认证, 并且不newbb电子作向其他用户提供服务的手段.
-
如果您怀疑您的凭据已被泄露, 立即更改您的凭据和问题,并通过电子邮件通知信息安全办公室至 security@俄亥俄州.edu.
-
-
凭证
凭据的存在是为了确保通过帐户获得访问大学资源的个人与授予访问权限的个人是同一个人. 该大学承认,并非所有账户都具有相同的风险水平. 因此,用于确保凭证安全性的严格性和复杂性要求的水平将与该帐户的妥协将给大学或其社区带来的风险相一致.
大学数据管理员(见政策D部分) 93.001)将每年审查这些复杂性要求. 在审查之间需要进行的任何更改将由大学信息安全官员确定, 并提交给大学数据管理员审批. 实际的身份验证复杂性需求将在“身份验证凭据复杂性标准”中捕获,它努力将证书的优势与账户泄露给大学带来的风险联系起来.
-
信息系统所有者
信息服务的所有者或管理者有责任确保它们遵守此策略及其相关的复杂性需求. 推荐的方法是与OIT身份验证服务集成,并将个人帐户适当地映射到正确的风险级别. 在与OIT身份验证服务集成之前, 必须获得大学信息安全官和首席信息官或其代表的许可. 如果发出了单独的用户凭据, 服务所有者必须指示其用户使用不同于其oid使用的凭据.
-
身份验证服务器
高校认证服务仅限于信息技术办公室管理和维护的认证服务. 首席信息官或指定的代表有责任确保执行认证功能的所有系统遵守以下规定.
-
只有经首席信息官或指定代表要求和批准的系统才能以任何形式存储密码. 存储这些密码的人必须以加密安全的格式存储它们.
-
认证系统必须在传输过程中始终对密码进行加密.
-
认证系统必须安装在大学数据中心或其他经批准的位置.
-
身份验证系统必须由OIT管理.
-
认证系统必须按照NIST 800-123进行加固.
-
访问认证系统的管理员必须使用经过批准的多因素认证才能访问.
-
评论家
本政策的修订建议应由以下人员进行检讨:
-
大学数据管理员
-
资讯系统业主
-
资讯科技管治委员会
-
资讯科技学生专题小组
-
行政参议院
-
教师参议院