365滚球官网班纳分校
Menu

它的标准

学生技术中心

物理地址:

教学中心128室

办公时间:

星期一至星期五
8 a.m. 到5点.m.

夏天时间:

星期一至星期五
7:30 a.m. 对4:30p.m.

电话:208-885-4357 (HELP)

电子邮件: support@thechromaticendpin.com

Map

身份识别和认证

概述

这个更新的标准是为了帮助围绕访问控制的现有IT实践与NIST 800-171 (ID | 3)中的要求保持一致.5.X)以及行业最佳实践.

本文件内容:

  • 身份类型和身份验证机制
  • MFA需求
  • 设备身份管理
  • 密钥管理

本文件中不包含的内容:

政策参考

APM 30.10身份和访问管理策略

APM 30.11高校数据分类与标准

APM 30.12技术资源的可接受使用

APM 30.14网络事件报告和响应

APM 30.15密码和认证策略

目的

此标识和身份验证标准支持 APM 30.10身份和访问管理策略, APM 30.11高校数据分类与标准, APM 30.15密码和认证策略 以及其他相关的大学政策.

范围

这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)或使用365滚球官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.

标准

识别信息系统用户, 代表访问系统的用户或设备的进程. 这包括本地访问和网络访问.

  1. 系统用户
    1. 用户通过用户名与Banner内的汪达尔号码相关联来识别.
    2. 存在各种帐户类型,以帮助在APM 30中识别和分类.10身份和访问管理策略章节A-2“帐户类型”.
    3. 这些必须符合IT密码标准中定义的要求
  2. 代表用户的进程
    1. 流程标识必须映射到APM 30中定义的功能帐户.允许识别不受最终用户交互控制的过程.只要有可能.
      1. 这些必须符合IT密码标准中定义的要求7
    2. 功能帐户所有者, 在工具箱中定义, 对职能客户采取的行动负责.
    3. 如果没有使用功能帐户, 触发流程的用户必须通过会话或先前的日志事件来标识.
  3. 设备
    1. 标识的设备是以下一个或多个:
      1. IP地址和MAC地址与我们的网络管理系统(NMS)中的身份相关联,用于365滚球官网管理的网络上的设备.
      2. 应用程序的Duo设备运行状况中的唯一设备标识符.
      3. 由365滚球官网或oit认可的证书服务机构颁发的唯一系统证书.
      4. IP地址或DNS名称用于标识防火墙策略中定义的系统, 或OIT 安全定义的其他相关控制.
    2. 如果在调查的时间框架内不能充分识别登录用户,则在NMS中定义的联系人承担设备所采取的操作的责任.
  4. 本地账户
    1. 在系统或应用程序上直接管理具有身份的帐户.
    2. 管理的本地帐户:
      1. 必须通过OIT凭证访问工具集中管理.
      2. 当其他方法不可行时,是否可用于辅助目的.
      3. 必须通过票证或凭据访问工具记录使用情况.
      4. 凭据访问工具将触发自动修改密码.
    3. 当有it管理的帐户可用时,不能使用非托管的本地帐户.
      1. 只有在系统安全计划中定义时,才允许在中等或高风险系统上永久使用本地帐户.
    4. 这些必须符合IT密码标准中定义的要求7
  5. 临时或紧急帐户
    1. 当指定用户帐户可用时不能使用.
    2. 只能临时使用吗.
    3. 每个用例必须创建/授权、使用和删除/取消授权.
    4. 创建、使用和删除必须通过票证记录.
    5. 临时或紧急帐户的责任方必须记录.
    6. 这些必须符合IT密码标准中定义的要求7

用于访问365滚球官网数据的系统和应用程序, 365滚球官网要求使用oit管理的认证系统. 按照偏好顺序(只有当高偏好选项被验证为不可行的时候,才可以使用低偏好选项):

  1. 使用OIDC或SAML或其他OAUTH支持的机制的365滚球官网SSO. 
    1. CAS只能在OIDC或SAML不可用的情况下使用. 
    2. 默认情况下将应用MFA.
  2. 使用LDAPS等加密通道的365滚球官网活动目录, Kerberos或带有EAP的MSCHAPv2.
    1. 用户到应用程序的通信也必须通过加密通道,如HTTPS.
    2. 远程访问应用程序/系统(包括但不限于RDP/SSH/HTTPS/FTPS)必须使用MFA.
      1. 中高风险必须使用大学管理的MFA.
      2. 除非另有明确分类,否则假定可公开访问的系统具有中等风险.
      3. 在不可行的情况下,必须实施其他控制措施以降低OIT安全所要求的风险.
    3. 用户密码在输入时必须进行混淆处理. 他们可能有一个去混淆按钮.
  3. 本地账户.
    1. 用户到应用程序的流量必须通过加密通道,如HTTPS.
    2. 如果可能的话,申请必须使用MFA.
      1. 在不可行的情况下,必须实施其他控制措施以降低OIT安全部门所要求的风险.
    3. 在输入时必须对用户密码进行混淆处理.
    4. 登录失败不能泄露有关用户或其凭据的信息.

用于网络访问365滚球官网的数据, 365滚球官网要求直接连接到oit管理的网络:

  1. 有线网络
    1. MAC地址必须按照APM 30的要求在网管系统中注册.14.
    2. 对其NMS记录中定义的特定网络的授权.
  2. 员工无线
    1. 用户通过WPA2进行身份验证,企业通过MSCHAPv2对受EAP保护的Active 目录进行身份验证.
    2. 设备可以通过oit管理的设备证书进行身份验证.
    3. 根据帐户类型和状态或使用的证书对特定网络进行授权.
    4. 员工或部门设备无法支持WPA2企业网等网络需求, 可以使用长期访客访问吗.
    5. 网络例子包括:AirVandalGold和eduroam.
  3. 学生无线
    1. 用户通过WPA2进行身份验证,企业通过MSCHAPv2对受EAP保护的Active 目录进行身份验证.
    2. 根据帐户类型和状态对特定网络进行授权.
    3. 学生设备无法支持WPA2企业网等网络需求, 可以使用长期访客访问吗.
    4. 网络示例包括:AirVandalGold、AirVandalHome和eduroam.
  4. 远程接入VPN
    1. 根据it管理的身份源对用户和/或设备进行身份验证和验证.
    2. 设备可以通过oit管理的设备证书进行身份验证.
    3. 根据帐户类型对特定网络进行授权, 从属关系和团体成员资格和/或使用的证书.
  5. 活动网络
    1. 是否可以根据事件要求进行调整.
    2. 必须被授予仅为事件目的所需的网络访问级别.
      1. 访问中等或高风险系统的事件网络受OIT 安全定义的附加要求的约束.
    3. 必须记录设备身份.
      1. 设备MAC地址是一个足够的标识.
    4. 必须具有阻止特定设备身份的能力.
    5. 网络示例包括:AirVandalConference
  6. 客用和公用网络
    1. 必须在逻辑上与所有其他网络分开.
    2. 必须识别设备身份.
      1. 设备通过电子邮件和/或电话号码注册
    3. 必须具有阻止特定设备身份的能力.
    4. 附属个人可以获得长期访客访问权.
    5. 网络示例包括:AirVandalGuest, eduroam.
  7. 外部网络
    1. 是否必须在访问前匹配防火墙策略.

为了确保安全密钥和秘密的安全,它们必须由OIT颁发或批准.

其他参考资料

1. NIST sp800 - 171 r2 (2020年2月) 

2. NIST SP800-53r5 (2020年9月)

3. NIST sp800 - 63 - 3 (2017年6月)

4. NIST SP800-51-1 (2020)

5. NIST SP800-56Br2 (2019)

6. NIST的术语表

7. CMMC术语表

8. 系统和通信保护标准

9. 什么是Azure AD“命名位置”?

10. WiFi和网络连接

11. 资讯科技密码标准

定义

1. 授权用户 (也可视为系统用户或用户)

任何需要访问信息系统的经过适当认证的个人.

2. 单点登录(SSO)

一种识别方法,允许用户使用一组凭据登录多个应用程序和网站.

3. 多因素认证(MFA)

使用两个或多个身份验证因素:通常, 密码, 生物识别或令牌, 实现身份验证.

4. 凭证

凭据将身份验证者绑定到订阅者, 通过标识符, 作为发行过程的一部分.(nist sp 800-63-3)

5. 身份(也称为帐户)

属性值的集合(i.e., 特征)一个实体被识别的特征, 在身份管理器的职责范围内, 是否足以将该实体与任何其他实体区分开来.(CMMC术语)

6. 365滚球官网网络管理系统(NMS)

365滚球官网专有的网络管理工具, 网络上的设备和网络间的连接.

7. 虚拟专用网(VPN)

利用隧道保护信息系统链路, 安全控制和端点地址转换给人的印象是专线.(nist sp 800-53)

8. 365滚球官网管理网络

365滚球官网拥有和控制的网络. (见: 什么是Azure AD“命名位置”?)

9. 证书

由证书颁发机构的私钥颁发并进行数字签名的数字文档,该私钥将订阅者的标识符绑定到公钥. 证书表明证书中标识的订阅者对私钥具有唯一的控制权和访问权.(nist sp 800-63-3)

10. 唯一的系统证书

X.基于509的证书,专用于且仅用于一个特定系统.

11. oit管理的认证系统

365滚球官网信息技术办公室(OIT)拥有和维护的任何类型的身份来源.

12. 长期访客访问权限

访问校园旁路无线网络,其操作类似于AirVandalGuest.

  1. 长期是指超过5个工作日.

13. 特权功能

可能影响机密性的功能, 数据的完整性或可用性,包括但不限于访问权限的更改, 角色, 安全配置, 直接改变其他用户的高风险或非公开数据,或影响其他用户的高风险或非公开数据的安全性.

14. 关联的个人

个人根据他们与APM 30所要求的大学的关系被分配了适当的“eduPersonAffiliation”(参见Internet2 eduPerson对象类模式).10 B-2 j.

15. 关键

用于控制加密操作的值, 比如解密, 加密, 签名生成或签名验证.(nist sp 800-63-3)

16. 公钥基础设施

“一套政策, 流程, 服务器平台, 用于管理证书和公私密钥对的软件和工作站, 包括发行的能力, 维护和撤销公钥证书.(nist sp 800-63-3)

17. 证书颁发机构授权(CAA)

与域名服务器(DNS)条目相关联的记录,该条目指定授权为该域颁发证书的ca. (NIST术语表)

18. 证书颁发机构(CA)

公钥基础设施(公钥基础设施)中的实体,负责颁发公钥证书并严格遵守公钥基础设施策略. 也称为证书颁发机构.(NIST SP 800-56Br2)

19. 远程访问

通过网络连接访问系统或应用程序.

标准的主人

OIT 安全负责这些标准的内容和管理.

请求本标准的例外.

联系人: oit-security@thechromaticendpin.com

修订历史

3/1/2024 -小更新

  • 小的格式/措辞/参考变化.

2023年6月23日-原始标准

  • 完全重写以符合NIST 800-171r2

下载adobereader

学生技术中心

物理地址:

教学中心128室

办公时间:

星期一至星期五
8 a.m. 到5点.m.

夏天时间:

星期一至星期五
7:30 a.m. 对4:30p.m.

电话:208-885-4357 (HELP)

电子邮件: support@thechromaticendpin.com

Map