RSCC 政策 GA-18-09; 强密码

贝博体育

保单号码: GA-18-09

主题: 强密码

范围
以下文件中概述的政策和程序适用于所有罗安州立社区学院的教师, 工作人员, 学生, 游客, 和承包商. 这项政策适用于所有学术, 行政, 租用或安装在所有罗安州立社区学院(RSCC)地点的网络和微型计算机资源.

除了下面列出的政策, 所有用户都必须遵守现有的州和联邦法律以及机构和田纳西州校务委员会(TBR)关于计算机使用的规定, 电子邮件, 和互联网.
定义

密码 —密码是在计算机系统上用于验证用户身份的一串字符.

特权帐户 —特权帐户是指对系统具有管理或root访问权限的帐户，用于管理应用程序或数据库. 例如:Oracle数据库管理、Banner等.

系统帐户 -用于自动化流程的帐户，无需用户交互或设备管理.
遵守TBR政策
在某种程度上，本政策与相关的TBR或国家政策或法律存在差异, TBR和国家政策优先.
概述
密码是计算机安全的一个重要方面. 它们是保护包括网络登录在内的用户帐户的第一线, 电子邮件帐户, 还有网络账户. 不合理的密码结构可能会导致Roane State的整个网络及其数据的泄露. 考虑到个人身份信息受到威胁, 提供此策略是作为保护该信息的一种手段.
目的
此策略的目的是为创建建立一个标准, 贝博体育的教师使用和保护密码, 工作人员, 和学生. 此策略还规定了更改密码所需的频率.
政策
1. 一般
  罗安州信息系统的所有用户都将拥有唯一的用户标识和密码.
2. 密码
  1. 用户密码-更改所有用户级别的密码(网络登录，门户等).)每120天.
  2. 学生不需要更改密码.
  3. 特权帐户-拥有特权帐户的用户必须每120天更改一次密码.
  4. 系统帐户—系统帐户密码不需要过期, 但必须满足此策略中定义的密码构造要求.
3. 其他
  1. 供应商提供的密码必须在安装后使用本政策中的施工标准进行更改.
  2. 通过组成员关系或程序(如“sudo”)授予系统级特权的用户帐户必须具有与该用户持有的所有其他帐户不同的唯一密码.
  3. 使用SNMP或简单网络管理协议的场景, 社区字符串必须定义为标准默认值“public”以外的东西,“private”和“system”，必须与交互登录时使用的密码不同. 必须在可用且技术可行的情况下使用键控散列(例如.g. SNMPv2或v3).
  4. 密码不得通过电子邮件或其他形式的电子通信发送. 例外:发送登录时必须修改的初始密码.
  5. 所有用户级和系统级密码必须符合本文档后面的强密码指南.
  6. 密码参数将设置为防止用户重复使用过去的十(10)个密码.
  7. 密码的最小有效期为一天.
  8. 密码宽限期为三十(30)天，在此期间用户将收到密码即将过期的警告.
  9. 尝试五(5)次后，帐户将被锁定. 用户必须联系帮助台或管理系统进行重置.
  10. 15分钟后，教职员工的桌面将被锁定，需要使用他们的密码登录.
  11. 实验室计算机将在60分钟不活动后注销，要求用户使用密码登录.
  12. 当出现以下情况时，请立即修改密码:
    1. 未经授权的密码发现或被他人使用.
    2. 对系统或帐户的任何未经授权的访问.
    3. 不安全的密码传输.
    4. 意外将密码泄露给授权人员.
    5. 具有访问特权和/或系统帐户的人员的状态更改.
指南-通用密码构造
1. 弱密码具有以下特点:
  1. 长度不超过8个字符
  2. 这个词能在字典里找到吗(英语或外语)
  3. 常用的词，如家人的名字, 宠物, 朋友, 同事, 幻想的人物, 计算机术语, 命令, 网站, 公司, 硬件, 或者软件不应该被使用. 前面或后面跟一个数字的任何一种.
2. 强密码具有以下特点:
  1. 包含至少八(8)个字符，由以下四(4)个字符类别中的三(3)个组成. 这些将被强制执行.
    1. 英文大写字符(A-Z)
    2. 英文小写字符(a-z)
    3. 基数10位(0-9)
    4. 非字母数字字符(~)!#%*?_-)
  2. 建议使用以下方法:
    1. 不是任何语言中的一个词，俚语、方言或行话等等.
    2. 是不是基于个人信息.
3. 密码短语的使用
  密码短语是密码的长版本(最少23个字符)，因此本质上更安全. 密码短语通常由多个单词组成，因此提供了更多的安全性，以防止“字典”攻击. 例如“ThisMay Be OneWaytoRemember”，密码短语可以是“ThisMaybeOneWaytoRemember”或简化为“TmB1w2R”!另一个例子是:“iamthecapitanofthepin4”。. 根据美国国家标准与技术研究所(NIST)的说法，这个至少23个字符的密码包含45位的强度.
  
  我们鼓励使用密码短语来代替密码，因为它们通常更容易记住.
密码保护标准
1. 请不要使用与访问非Roane State帐户相同的密码(例如?.g., 个人互联网服务提供商，如MSN, 雅虎, 谷歌, 交易账户, 银行账户, 等.).
2. 不要与任何人分享您的Roane State帐户信息, 包括行政助理, 秘书, 或者监事. 所有密码都将被视为敏感和机密的RSCC信息.
3. 以下是密码安全的注意事项:
  1. 不要在电话中向任何人透露密码.
  2. 不要在电子邮件中透露密码. 例外情况是传输必须在访问时更改的初始密码或重置密码.
  3. 不要把你的密码告诉你的老板.
  4. 不要在别人面前谈论你的密码.
  5. 不要暗示你的密码格式，如“我的姓”等.
  6. 不要在问卷或表格上透露你的密码.
  7. 不要与家人分享你的密码.
  8. 外出度假时不要把你的密码给别人.
  9. 不要在应用程序中使用“记住密码”功能.
  10. 不要把密码写在便利贴上, 把它放在键盘下面, 或者把它“藏”在办公室的某个地方.
  11. 不要将密码储存在没有加密的其他设备上，例如个人数码助理(PDA)或USB驱动器. You may use a password stor年龄 utility as long as it encrypts the stored data; in addition, 确保它受到强密码的保护.
4. 如果您怀疑自己的密码已被泄露，请立即向信息技术办公室报告并更改所有密码.
5. 信息技术办公室或其指定人员可定期运行密码“破解”或“猜测”工具，以评估本政策的合规性. 如果在扫描过程中密码被“猜出”或“破解”，用户必须更改密码.
6. 在技术上可行的地方, 提供角色管理，这样一个用户可以执行另一个用户的功能，而不必知道其他用户的密码.
执法与合规
任何被发现故意违反本政策的员工都可能受到纪律处分. 这项政策例外的理由必须得到总统的书面批准.
负责任的政党
首席信息官应负责本政策的制定和维护，以供总裁发布.

TBR政策参考: 1.08.03.00

修订生效日期: 10/26/2021

修订批准人: 克里斯托弗·L. 惠利,总统

原生效日期: 03/03/2014

批准人: 克里斯托弗·L. 惠利,总统

办公室负责: 商务副总裁 & 金融

综述: 10/21/2021

贝博体育

与我们联系