访问控制
Overview
这个更新的标准是为了帮助围绕访问控制的现有IT实践与NIST 800-171 (AC | 3)中的要求保持一致.1.X)以及行业最佳实践.
本文件内容:
- 高风险数据的零信任要求
- 最小权限原则在APM 30中的应用.10
- 外部/公共系统的要求
- 会话和超时要求
- 远程和无线接入
本文件中不包含的内容:
政策参考
Purpose
此访问控制标准支持 APM 30.11高校数据分类与标准 以及其他相关的大学政策.
Scope
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)或使用365滚球官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)未包括在经批准的系统保安计划内.
Standards
非公共系统必须在访问之前识别用户和/或设备.
- 身份验证源使用定义的标识类型 身份识别和认证 标准第1部分.
适用于:低/中/高 - 任何用于访问高风险大学资源的设备都必须被识别为健康设备, 通过以下批准的方法之一管理技术设备, Azure条件访问, 签署的设备证书或其他符合以下条件的oit批准的库存:
适用于:高
- 当前支持的操作系统.
- 必须在30天内安装最新的安全补丁,以便有宽限期按要求安装补丁.
- 设备设置了密码.
- 设备已加密.
- 设备开启了系统防火墙.
- 标识为唯一的托管技术设备.
- 大学托管端点安全安装在支持的位置.
- 不支持这些检查的系统必须要求流量来自特定的经过验证的网络.
- 授权是基于个人身份授予资源的, 在一个由it管理的身份源内的组或从属关系.
适用于:低/中/高
确保符合APM 30的规定.10 B-1以下标准确保最低特权得到实施并可审计:
- 系统/应用程序所有者必须在文档以及任何相关的系统安全计划或知识库文章中记录授权帐户类型或组.
适用于:低/中/高
- 如果提供了多个级别的权限, 例如特权或管理员角色, 每一组都必须有文件.
- 中等和高风险应用程序还必须提供提供给帐户类型或组的角色/权限.
- 限制仅对具有合法教育兴趣或文档化业务需求的用户和系统进行访问.
适用于:低/中/高
- 记录和保留用户访问请求和批准至少1年.
适用于:中等/高
- 一旦不再需要访问,就禁用帐户访问.
适用于:低/中/高
- 根据APM 30,特权功能必须仅限于打算成为特权帐户的帐户.10 A-2节.
适用于:中等/高
- 特权帐户通过“su-”、“ad-”、“admin-”或“net-”前缀标识.
- 通过“v-”前缀标识的供应商帐户可以作为特权帐户使用,如果记录为特权帐户.
- 如果在应用程序文档中记录为特权帐户,则可能存在特定于本地系统或应用程序的未使用这些前缀的特权帐户.
- 根据APM 30,特权帐户不能用于非特权功能.10 B-1部分.
确保数据不被不当共享:
- 外部存储系统:
- 不得用于“批准存储地点”中定义的系统。3 或者“哪些Microsoft 365应用程序被批准使用”?‘4 知识库文章.
适用于:低/中/高
- 如果OIT Security识别出足够的风险,并且CIO/VP批准了限制,则未经批准的系统或应用程序将通过网络或其他应用程序控制受到限制.
- 是否只可用于大学资料,须经资讯科技署审核及批准后才可用于大学用途.
适用于:低/中/高
- 不得用于“批准存储地点”中定义的系统。3 或者“哪些Microsoft 365应用程序被批准使用”?‘4 知识库文章.
- 对于公共系统:
- 应用程序所有者必须创建并维护授权发布的用户列表.
适用于:低/中/高
- 应用程序所有者必须定义一个审查过程, 包括数据敏感性审查, 在发布或启用自动发布系统的情况下.
适用于:低/中/高
- 应用程序所有者必须在创建系统时向OIT注册,并证明发布的信息不会也不会包含非365滚球官网,并由系统所有者或OIT自行决定定期进行审查.
适用于:低/中/高
- 应用程序所有者必须定义帖子/内容删除或更正程序.
过程必须:
- 包括搬迁必须向谁报告.
- 能够按照APM 30的要求及时完成CSIRT要求的修复工作.14.
适用于:低/中/高
- 应用程序所有者必须创建并维护授权发布的用户列表.
为确保登录机制的信任,系统必须遵循以下标准:
- 10分钟内最多20次错误尝试后自动锁定帐户.
适用于:低/中/高
- 管理的技术设备必须包括在系统使用通知知识库文章中定义的经批准的系统使用通知8.
适用于:低/中/高
- 应用程序所有者必须创建并维护授权发布的用户列表.
- 在一段时间不活动(空闲)后,为用户访问操作系统强制会话锁定和超时:
适用于:低/中/高
设备/访问类型 Lockout Timeout Default 15 mins N/A 高风险的系统 5 mins N/A 共享工作站 15 mins 20 mins 共享高风险工作站 5 mins 20 mins SSH Access 3分钟保持活力 90 mins - 延长超时的请求必须得到OIT安全部门的批准.
- 根据NIST 800-63b,对用户访问和空闲超时或锁定进行限制.
- 应用程序必须有30天的会话限制,或者在14天不活动(空闲)后锁定/超时。.
适用于:低
- 应用程序必须有12小时的会话限制和30分钟不活动(空闲)后的超时.
适用于:中等
- 重新身份验证必须使用IT帐户创建中定义的至少一(1)个身份验证因素, 保留和过期标准.
- 与被管理设备或应用程序的会话可以利用设备锁定期,而不是通过web应用程序强制执行.
- 应用程序必须有12小时的会话限制,并且在不活动(空闲)15分钟后锁定。.
适用于:高
- 重新身份验证必须使用IT Account Creation定义的至少两(2)个身份验证因素, 保留和过期标准.
- 应用程序必须有30天的会话限制,或者在14天不活动(空闲)后锁定/超时。.
- 操作系统的锁定必须显示模式隐藏显示,如锁定屏幕, static images, 一个时钟,甚至一个空白的屏幕.
适用于:低/中/高
- 当用户或管理员请求时,完全自动地终止用户会话.
适用于:低/中/高
- 当会话不再需要或有效时,自动终止会话.
适用于:低/中/高
通过U of I VPN、VPN授予远程访问权限.uidaho.Edu,或符合这些标准的经批准的路径:
- 认证事件与user一起记录, timestamp, 验证的结果, 远程和分配的IP.
- 远程访问必须使用大学证书和oit管理的MFA.
- 身份验证和会话将使用强大的现代TLS加密,并保持最新状态.
- 监管数据将需要使用经批准和验证的算法,如FIPS.
- 远程访问高风险网络需要对设备进行鉴权,请参见本文档C-1b章节.
确保个人可以安全地访问和使用数据和系统, 他们必须使用适当的U of I无线网络,同时在校园内使用无线网络,这将符合以下标准:
- 使用的无线接入点记录在NMS内,并由OIT管理.
- 无线访问需要通过加密通道进行身份验证.
- U of I内部网络,如AirVandalGold - WPA2 Enterprise,使用PEAP和MSCHAPv2或EAP-TLS
- U of I公共、来宾或事件网络- WPA2预共享密钥(PSK)
其他参考资料
1. NIST sp800 - 171 r2 (2020年2月)
2. NIST SP800-53r5 (2020年9月)
3. 批准的储存地点
5. 系统使用通知
Definitions
1. 授权用户
任何需要访问信息系统的获得适当许可的个人.
2. Processes
应用程序、程序、脚本或其他软件. 它的灵敏度取决于它能访问的数据, 包括对其他应用程序的API调用以及它带入内存的本地数据.
3. 授权的出版商
有权在系统上发布信息的个人.
4. 外部系统
“在组织建立的授权边界之外的系统或系统的组成部分,并且组织通常无法直接控制所需安全控制的应用或安全控制有效性的评估。.” NIST sp800 - 171 r2
5. Public system
可以从公众或互联网以任何形式访问的系统或应用程序.
6. 特权功能
可能影响机密性的功能, 数据的完整性或可用性,包括但不限于访问权限的更改, roles, 安全配置, 直接改变其他用户的高风险或非公开数据,或影响其他用户的高风险或非公开数据的安全性.
7. 没有权利的功能
标准用户活动,包括但不限于电子邮件,网页浏览和一般类任务.
8. 非特权用户
无法执行特权功能的用户. 也可以称为标准用户或帐户.
9. 远程访问
通过外部网络通信的用户(或代表用户的过程)对组织系统的访问.g.(互联网).” NIST sp800 - 171 r2
10. 会话锁定
一种移除对系统访问的方法,该方法保留用户会话信息并且不中断正在运行的进程, 但是在重新访问系统之前仍然需要重新验证.
11. 会话超时
一种删除系统访问权限的方法,该方法完全删除了用户会话信息并需要重新身份验证.
12. 会话限制
无论活动如何,会话有效的时间长度.
13. System
为收集而组织的一组离散的信息资源, processing, maintenance, use, sharing, 信息的传播或处理.” NIST sp800 - 171 r2
14. 操作系统
管理计算机硬件资源并为计算机程序提供公共服务的软件集合.” Nist sp 800-152. 包括但不限于:
- Windows
- MacOS
- Linux发行版(Ubuntu, RedHat等).)
- Android
- iPhone / iPad iOS
- 供应商提供的设备操作系统
15. 365滚球官网网络管理系统(NMS)
365滚球官网专有的网络管理系统, 网络上的设备和网络间的连接.
16. 托管技术设备
由oit定义的安全和管理软件管理的标准技术硬件. See APM 30.16 C-2节.
标准的主人
信息技术办公室(OIT)负责这些标准的内容和管理.
Contact: oit-security@wolaipei.com
修订历史
3/1/2024 -小更新
- 增加了允许使用特定网络来代替设备健康检查.
- 增加了供应商账户的特权记录.
- 其他小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2