1. 概述

   俄亥俄大学颁发的证书仅用于访问大学资源。它们往往是保护这些资源的第一道防线，也是最后一道防线。因此，它们必须小心使用，并得到充分的保护。本政策概述了个人、技术人员和使用大学证书的系统必须遵守的保护措施，以及对这些保护措施的建议。

2. 个人

   获得证书的个人在保管这些证书方面负有一定的责任。您应该遵循以下行为，以降低凭证泄露的风险。

   1. 把你的证件、秘密问题和答案保密，只有你自己知道。

   2. 使用唯一的凭证（用户名和密码组合）为俄亥俄大学不同于任何其他服务或网站。

   3. 您的凭据是您对大学资源的个人认证，不应作为向其他用户提供服务的手段。

   4. 如果您怀疑您的凭证已被泄露，请立即更改您的凭证和问题，并通过电子邮件发送至security@ohio.edu通知信息安全办公室。

3. 凭证

   凭据的存在是为了确保通过帐户获得访问大学资源的个人与授予访问权限的个人是同一个人。该大学承认，并非所有账户都具有相同的风险水平。因此，用于确保凭证安全性的严格性和复杂性要求的水平将与该帐户的妥协将给大学或其社区带来的风险相一致。

   大学数据管理员（见政策93.001的D部分）将每年审查这些复杂性要求。在审查之间需要进行的任何更改将由大学信息安全官员确定，并提交给大学数据管理员批准。实际的身份验证复杂性需求将在“身份验证凭据复杂性标准”中捕获，该标准力求将凭据的强度与该帐户泄露给大学的风险联系起来。

4. 信息系统所有者

   信息服务的所有者或管理者有责任确保它们遵守此策略及其相关的复杂性需求。推荐的方法是与OIT身份验证服务集成，并将个人帐户适当地映射到正确的风险级别。在与OIT认证服务集成之前，必须获得大学信息安全官和首席信息官或其代表的许可。如果颁发了单独的用户凭据，服务所有者必须指示其用户使用与其OhioID使用的凭据不同的凭据。

5. 身份验证服务器

   高校认证服务仅限于信息技术办公室管理和维护的认证服务。首席信息官或指定的代表有责任确保执行认证功能的所有系统遵守以下规定。

   1. 只有经首席信息官或指定代表要求和批准的系统才能以任何形式存储密码。存储这些密码的人必须以加密安全的格式存储它们。

   2. 认证系统必须在传输过程中始终对密码进行加密。

   3. 认证系统必须安装在大学数据中心或其他经批准的位置。

   4. 身份验证系统必须由OIT管理。

   5. 认证系统必须按照NIST 800-123进行加固。

   6. 访问认证系统的管理员必须使用经过批准的多因素认证才能访问。

评论家

本政策的修订建议应由以下人员进行检讨：

1. 大学数据管理员

2. 资讯系统业主

3. 资讯科技管治委员会

4. 资讯科技学生专题小组

5. 行政参议院

6. 教师参议院

表格、参考资料和历史

1. 形式

   没有特定于此策略的表单。

2. 参考文献

   下列事项与本政策有关：

   1. 政策93.001，“数据分类”。

   2. NIST 800-123可在线访问http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf。

   3. 身份验证凭据复杂性标准可在线获得，链接地址为/oit/accounts/passwords

    

3. 历史

   在有密码保护的review站点上，可以找到该政策的草稿版本，它们的封面备忘录、表单以及评论者对它们的评论。

   本政策的先前版本是在：

   1. 2021年9月17日(非实质性更新。由于AFSCME 3200合同的建立，机密参议院被解除了审查员的职务)
   2. 2015年8月27日