它的数码证书标准
1.概述
数字凭证提供对组织技术系统和服务的访问和权限。用于识别、验证和控制用户访问IT资源的权限。
2.目的
该标准的目的是定义阿克伦大学的数字证书标准,包括帐户生命周期管理、密码短语要求和多因betway苹果素身份验证要求。
3.范围
该标准适用于所有阿克伦大学管理的数字证书,并定义了证书生命周期和认证标准。
4.背景
betway苹果阿克伦大学致力于一个安全的信息技术环境,以支持其在大学规则3359-11-10.3中概述的使命:“信息技术安全和系统完整性政策”。IAM (Identity and Access Management)是安全企业的基础。
5.定义
- 资料拥有人-负责对特定数据集做出决策的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,就信息的适当使用做出决定,并确定信息的适当分类。这一角色通常属于职能学术或行政领域,如注册主任、人力资源或财务总监和教务长办公室。
- 数据管理员-数据所有者指定的代表数据所有者采取行动、批准或拒绝访问数据的人员。
- 数字证书-用户的识别和认证信息,通常是用户名和密码。
- 紧急帐户——在没有其他身份验证方法时,严格用于紧急访问关键系统的数字凭证。这些帐户仅供IT使用。
- 员工-正规的全职和兼职教师,员工,合同专业人员,无论是否有报酬,谁从大学获得数字证书。
- 客座帐户-提供给被赞助个人的数字凭证,该受赞助个人不是学生或雇员,否则将没有资格获得大学提供的数字凭证。
- IT服务-用于在IT系统上创建、处理、传输、存储、保护或呈现信息的平台和应用程序,包括但不限于电子邮件、电信、网络访问、数字证书、文件存储、web应用程序、信息安全和企业资源规划。
- IT系统-电子信息处理、存储和传输系统,包括但不限于由阿克伦大学或合同供应商或合作伙伴拥有、操作、管理或维护的计算机、终端、打印机、外围设备、移动设备、网络、在线和离线存储媒体及相关设备、软件和数据文件。betway苹果IT系统还包括但不限于机构和部门信息系统、教师研究系统、台式计算机、大学校园网和大学通用接入计算机集群。
- 本地帐户—仅存在于信息系统中并在该信息系统本地进行身份验证的数字凭证。
- 多因素身份验证(MFA)——一种用于增强用户数字凭证保护的机制,需要多种方法来证明用户是他们所说的用户,通常是一个密码短语和移动应用程序,用于授予权限或提供一个旋转的、基于时间的数字代码。
- 非关联方-任何个人或团体,不直接通过就业、合作或学生身份与阿克伦大学联系。betway苹果
- 特权帐户——被授予权限的数字凭据,通常不授予用户的主数字凭据。此帐户只有一个所有者,该所有者负责该帐户采取的所有操作。
- 受保护的机构数据-根据ITS数据分类标准,数据所有者或指定的数据管理员分类为比公共使用更受限制的任何信息。
- 服务帐户——不提供给用户的数字凭证,只用于编程功能和自动化流程。
- UAnet ID -阿克伦大学系统中用户的唯一用户名。betway苹果
6.标准
- 数字证书类型
- 数字凭证类型包括:UAnet ID(个人)、特权帐户、来宾帐户、本地帐户、紧急帐户和服务帐户。
- 数码证书的使用
- 不要共享数字凭证。共享数字证书违反了大学规则3359-11-10:访问和可接受使用政策。
- UAnet ID
- UAnet id严格提供给分配给该帐户的个人使用。
- UAnet id用于标准的、非提升的信息和系统访问。
- UAnet id不能用于对信息和系统的特权访问。
- 特权帐户
- 特权帐户仅供分配给该帐户的个人使用。
- 特权帐户仅用于访问需要较高权限的信息和系统和/或执行系统活动。
- 特权帐户不应用于不需要高级权限的标准活动。
- 来宾帐户
- 客人帐户严格提供给分配到该帐户的个人使用。
- 客人账户用于标准的、非高级的信息和系统访问。
- 访客帐户不能用于特权访问信息和系统。如果需要特权访问,将提供特权帐户代替客人帐户。
- 本地帐户
- 本地帐户是严格供分配到该帐户的个人使用的。
- 对于不支持联邦身份验证和授权的系统,必须严格使用本地帐户。
- 如果一个用户在多个系统上都有本地帐户,则每个系统的密码必须唯一。
- 紧急账户
- 紧急帐户仅限于在通常使用的联邦身份验证系统不可用时使用,例如联邦身份验证系统正在经历服务中断。
- 紧急帐户的访问权限应限制为不超过三个可信任的个人。
- 如果使用了紧急密码,则必须在恢复联邦身份验证系统后立即更改密码。
- 如果使用了紧急帐户,系统所有者必须立即通知信息安全办公室。
- 服务帐户
- 服务帐户严格用于编程功能和/或自动化流程。
- 对服务帐户凭据的访问应限制为不超过三个受信任的个人。
- 证书生命周期
- UAnet ID
- 数字证书创建
- 学生
- 学生在申请阿克伦大学时,将获得由UAnet ID和密码组成的阿克伦大学数字证书。
- 员工
- 在大学企业资源规划(ERP)系统中被指定为雇员时,员工将获得由UAnet ID和密码组成的阿克伦大学数字证书。
- 新聘用的教师将在正式入职前60天提供数字证书。
- 新聘用的员工和合同专业人员将在正式入职日期前7天提供数字证书。
- 校友
- 校友将提供一个新的数字证书在3理查德·道金斯党邮件系统。
- 新的数字证书将与校友的UAnet ID相匹配。
- 3理查德·道金斯电子邮件提供商将管理数字凭证,包括但不限于密码短语、多因素身份验证、密码短语重置和帐户验证等身份验证机制的管理。
- 退休人员
- 荣誉退休的
- 退休退休人员如果继续积极使用该账户,他们将保留阿克伦大学的数字凭证。
- Non-Emeritus退休人员
- 未被确定为荣休的退休人员将在3中提供新的数字凭证理查德·道金斯党邮件系统。
- 新的数字证书将与退休人员的UAnet ID相匹配。
- 3理查德·道金斯电子邮件提供商将管理数字凭证,包括但不限于密码短语、多因素身份验证、密码短语重置和帐户验证等身份验证机制的管理。
- 特殊人群
- 赞助嘉宾、外部承包商和其他关联方
- 部门人员可以申请赞助客人数字凭证。
- 数字证书立即可用,并在六个月内保持有效。
- 数字证书可以根据从属关系的性质和业务需要进行扩展。延期必须得到ITS的批准,可以再延长6个月。
- 如果赞助客人帐户需要激活超过12个月,则必须申请本政策的例外。
- 赞助嘉宾、外部承包商和其他关联方
- 荣誉退休的
- 学生
- 数码证书检讨
- 非特权学生、雇员和退休人员访问的UAnet id不需要审查。
- 特殊人群赞助嘉宾、外部承包商和其他关联方
- 部门人员必须每季度审查赞助客户数字凭证,以验证仍然需要相关帐户或许可。
- 赞助该帐户的部门人员必须通知ITS不再需要任何帐户或权限。
- ITS将在通知后删除不必要的帐户或权限。
- 数字证书移除
- 学生
- 学生的数字证书将在2个完整的学期不活动后自动禁用。
- 学生可以无限期地保留他们唯一的UAnet ID,但在学生与该大学建立积极联系之前,账户将被禁用。
- 员工
- 员工数字凭证将被禁用,团队对资源的访问将在离职时立即删除。
- 如果一名员工在大学担任额外的角色,要求他们在离职时保留对大学系统和/或服务的访问权限,例如员工角色和积极的学生角色,则将创建一个新的数字证书,并与适用的角色相关联。
- Aumni
- 校友数字证书将在24个月不活动后或应个人要求删除。
- 退休人员
- 荣誉退休的
- 退休人员如果在人力资源管理系统中活跃,则保留他们的阿克伦大学数字证书。
- 如果不再有效,退休退休人员将在第三方电子邮件系统中提供新的数字凭证,并遵守本标准文件中“普通退休人员”的规定。
- Non-Emeritus退休人员
- 阿克伦大学未被确定为荣誉退休的退休人员的数字证书将在分离后立即禁用。
- 如果退休人员在大学中担任额外的角色,需要他们保留大学系统和/或服务的访问权限,例如退休人员角色和积极的学生角色,在离职时,将创建一个新的数字证书,并与适用的角色相关联。
- 第三方电子邮件系统内的退休人员电子证书将在24个月不活动后或应退休人员的要求删除。
- 荣誉退休的
- 特殊人群
- 赞助的客人
- 如果赞助商未请求延期,赞助客人将在六个月后被禁用。延期只能再申请六个月。任何超过12个月的访问都需要信息安全办公室的安全审查。
- 学生雇员和研究生助理
- 学生雇员和毕业生援助将在终止日禁用他们的帐户。
- 外部承包商
- 如果主办单位未提出延期申请,则外部承包商将在六个月后被禁用。延期只能再申请六个月。任何超过12个月的访问都需要信息安全办公室的安全审查。
- 赞助的客人
- 学生
- 数字证书创建
- 特权帐户
- 数字证书创建
- 员工
- 需要对IT资源或数据进行高级访问的员工将获得二级数字凭证,用于访问相关的受限资源或数据。
- 在完成适当的审查和培训后,ITS将生成特权帐户。
- 特殊人群
- 学生员工
- 部门学生员工招聘经理必须要求创建一个新的学生员工或研究生助理数字证书。
- 外部承包商
- 部门人员可为承办商申请享有特权的数码凭证。
- 数字证书立即可用,并在参与期间保持有效。
- 学生员工
- 员工
- 数码证书检讨
- 员工
- 特权账户应由员工的主管每年审查一次,以验证相关权限仍然是员工工作职能的一部分。
- 员工的主管必须立即通知ITS任何不需要的帐户或权限。
- 特殊人群
- 学生雇员和研究生助理
- 部门学生雇员招聘经理必须每学期审查他们的学生雇员或研究生助理帐户权限。
- 部门学生雇员招聘经理必须通知ITS任何不再需要的帐户或权限。
- ITS将在通知后删除不必要的帐户或权限。
- 外部承包商
- 部门人员必须每六个月审查一次特权数字凭据,以验证仍然需要相关帐户或许可。
- 赞助该帐户的部门人员必须通知ITS不再需要任何帐户或权限。
- 学生雇员和研究生助理
- 员工
- 数字凭证权限更改
- 与特权帐户相关的所有权限将在个人在大学的角色或职位变更时被删除。
- 然后,将根据新角色将新的权限添加到相关联的特权帐户中。
- 数字证书移除
- 员工
- 特权帐户将在离开大学时立即被禁用。
- 特殊人群
- 学生雇员和研究生助理
- 学生雇员和毕业生援助将在终止日禁用他们的帐户。
- 外部承包商
- 特权帐户将在协议到期或终止时或在赞助部门通知时立即被禁用。
- 学生雇员和研究生助理
- 员工
- 数字证书创建
- 本地账户
- 数字证书创建
- 员工
- 需要在IT系统上使用本地帐户的IT员工将获得系统独有的数字凭证。
- 本地帐户将由系统所有者在完成适当的审查和培训后生成。
- 员工将在收到数字凭证后立即更改与本地帐户相关联的密码。
- 特殊人群
- 学生员工
- ITS学生雇员招聘经理必须要求创建一个本地数字证书,如果需要完成他们的工作职能。
- 本地帐户将由系统所有者在完成适当的审查和培训后生成。
- 学生雇员将在收到数字凭证后立即更改与本地帐户相关的密码。
- 学生员工
- 员工
- 数码证书检讨
- 员工
- 系统所有者将每季度审查本地帐户,并在任何人员变动时立即审查。
- 特殊人群
- 学生员工
- ITS学生员工招聘经理必须审查他们的学生员工帐户权限每学期和任何人事变动。
- ITS将在通知后删除不必要的帐户或权限。
- 学生员工
- 员工
- 数字凭证权限更改
- 与本地帐户相关的所有权限将在个人在ITS中更改角色时删除。
- 然后,将根据新角色将新的权限添加到关联的本地帐户中。
- 数字证书移除
- 员工
- 当地账号在变更部门、职责或在学校的就业状况时应立即停用。
- 特殊人群
- 学生员工
- 当地账号在变更部门、职责或在学校的就业状况时应立即停用。
- 学生员工
- 员工
- 数字证书创建
- 紧急账户
- 数字证书创建
- IT系统所有者可以在他们负责的IT系统上创建紧急帐户。
- 数字凭证对于系统来说是唯一的,并且凭证是保密的。
- 系统所有者只能与不超过三个受信任的ITS人员共享凭据。
- 数码证书检讨
- 系统所有者将每季度审查紧急帐户,并在任何人员变动时立即审查。
- 数字凭证权限更改
- 应急账号的权限维护由IT系统管理员负责。
- 数字证书移除
- 紧急帐户通常不会被删除;但是,访问凭据的权限必须限于不超过三名受信任的ITS人员。
- 紧急帐户密码在使用后必须立即更改,如果不使用,至少每年更改一次。
- 数字证书创建
- 服务帐户
- 数字证书创建
- 各部门可要求服务帐户数字凭证用于编程使用和/或自动化流程。
- 数字凭证对于部门来说是唯一的,并且必须保密。
- 数字证书将立即可用。
- 数码证书检讨
- 部门人员必须至少每年审查一次服务帐户数字凭据,以验证仍然需要相关帐户或许可。
- 申请该帐户的部门人员必须将不再需要的帐户或权限通知ITS。
- ITS将在通知后删除不必要的帐户或权限。
- 数字凭证权限更改
- 所有与服务帐户相关的权限将在部门通知后删除。
- 然后将适当地将新的权限添加到关联的服务帐户中。
- 数字证书移除
- 服务帐户应在接到部门通知后立即停用。
- 超过6个月未使用的服务帐户将被禁用。
- 当服务帐户被禁用时,ITS会通知部门。
- 数字证书创建
- UAnet ID
- 密码
- 任何使用密码短语作为身份验证手段的数字凭证都必须满足以下复杂度标准。
- 长度至少为10个字符。
- 必须包含至少1个字母、1个数字和1个特殊字符。
- 不能是一个词或名字。
- 如果使用MFA将不会过期。
- 如果不使用MFA,必须每120天更换一次。
- 任何使用密码短语作为身份验证手段的数字凭证都必须满足以下复杂度标准。
- 多因素认证(MFA)
- 所有员工和学生必须使用MFA来保护他们的阿克伦大学提供的使用UAnet ID的数字证书。
- 大学学分加的学生不受MFA要求的限制,尽管他们被强烈敦促如果可能的话使用MFA。
- MFA应使用以确保任何其他大学提供的支持MFA的数字证书。
- 需要访问IT系统或服务的特殊人群的所有成员都必须使用MFA来保护他们的阿克伦大学提供的使用UAnet ID的数字证书。
- MFA应使用以确保任何其他大学提供的支持MFA的数字证书。
- 所有员工和学生必须使用MFA来保护他们的阿克伦大学提供的使用UAnet ID的数字证书。
7.标准的遵从性
- 角色及职责
- ITS负责审查、更新和发布数字证书标准。
- 部门招聘经理、主管和客座保荐人必须在ITS指定的时间进行定义的数字证书审查。
- 部门招聘经理、主管和客座保荐人必须立即向ITS报告特权帐户权限的任何变化。
- 异常
- 对于员工的任何例外都必须事先得到请求者的部门主管和大学的首席信息安全官(CISO)的批准。
- 学生的任何例外都必须经过信息安全团队的验证,并由大学的首席信息安全官(CISO)批准。
- 不符合
- ITS可以删除权限从任何数字凭证,在任何时候,如果帐户的使用违反任何联邦,州,或地方法规或任何大学技术政策。
- 如果没有由适当的一方进行帐户审查,ITS将删除特权帐户的权限。
- 如欲恢复享有特权的帐户或权限,必须以书面向资讯保安总监提交申请,并须获部门首长及各职能部门批准(视乎情况而定),方可恢复享有特权的帐户或权限。
- ITS将通知相关方由于违反法规或政策而禁用帐户或删除权限。
8.相关文档
9.政策的历史
批准权限:首席信息官
政策经理:首席信息安全室冷藏工人
生效日期:09/30/2022
之前生效日期:2021年12月13日
下一个牧师日期:12/01/2022