1. Overview

   newbb电子平台颁发的证书仅用于访问大学资源. They are often the first line of attack, and the last line of defense, in the protection of these resources. 因此，它们必须小心使用，并得到充分的保护. 本政策概述了个人必须遵守的保护措施, technical staff, 以及在大学使用证书的系统和保护证书的建议.

2. Individuals

   获得证书的个人在保管这些证书方面负有一定的责任. 您应该遵循以下行为，以降低凭证泄露的风险.

   1. 把你的证件、秘密问题和答案保密，只有你自己知道.

   2. 使用唯一的凭证(用户名和密码组合)为newbb电子平台不同于任何其他服务或网站.

   3. 您的凭据是您对大学资源的个人认证, 并且不newbb电子作向其他用户提供服务的手段.

   4. 如果您怀疑您的凭据已被泄露, 立即更改您的凭据和问题，并通过电子邮件newbb电子平台安全办公室至 security@0933282516.com.

3. Credentials

   凭据的存在是为了确保通过帐户获得访问大学资源的个人与授予访问权限的个人是同一个人. 该大学承认，并非所有账户都具有相同的风险水平. 因此，用于确保凭证安全性的严格性和复杂性要求的水平将与该帐户的妥协将给大学或其社区带来的风险相一致.

   大学数据管理员(见政策D部分) 93.001)将每年审查这些复杂性要求. 在审查之间需要进行的任何更改将由大学信息安全官员确定, 并提交给大学数据管理员审批. 实际的身份验证复杂性需求将在“身份验证凭据复杂性标准”中捕获,它努力将证书的优势与账户泄露给大学带来的风险联系起来.

4. Information system owners

   信息服务的所有者或管理者有责任确保它们遵守此策略及其相关的复杂性需求. 推荐的方法是与OIT身份验证服务集成，并将个人帐户适当地映射到正确的风险级别. 在与OIT身份验证服务集成之前, 必须获得大学信息安全官和首席信息官或其代表的许可. If a separate user credential is issued, 服务所有者必须指示其用户使用不同于其oid使用的凭据.

5. Authentication servers

   高校认证服务仅限于信息技术办公室管理和维护的认证服务. 首席信息官或指定的代表有责任确保执行认证功能的所有系统遵守以下规定.

   1. 只有经首席信息官或指定代表要求和批准的系统才能以任何形式存储密码. 存储这些密码的人必须以加密安全的格式存储它们.

   2. 认证系统必须在传输过程中始终对密码进行加密.

   3. 认证系统必须安装在大学数据中心或其他经批准的位置.

   4. 身份验证系统必须由OIT管理.

   5. 认证系统必须按照NIST 800-123进行加固.

   6. 访问认证系统的管理员必须使用经过批准的多因素认证才能访问.

Reviewers

本政策的修订建议应由以下人员进行检讨:

1. University Data Stewards

2. Information System Owners

3. 资讯科技管治委员会

4. 资讯科技学生专题小组

5. Administrative Senate

6. Faculty Senate

Forms, References, and History

1. Forms

   没有特定于此策略的表单.

2. References

   下列事项与本政策有关:

   1. Policy 93.001, "Data Classification."

   2. NIST 800-123 is available online at http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf.

   3. 身份验证凭据复杂性标准可在线获得，链接通过 http://irua.0933282516.com/oit/accounts/passwords

    

3. History

   本政策草案已分发以供审查, their cover memos, their forms, 和审稿人对它们的评论可以在 password-protected Review site.

   本政策的先前版本是在:

   1. 2021年9月17日(非实质性更新. 由于AFSCME 3200合同的建立，机密参议院被解除了审查员的职务) 
   2. August 27, 2015