它的 数字证书策略

1. 概述

数字证书提供了访问组织技术系统和服务的权限。它们用于对访问IT资源的用户进行识别、认证和访问控制。

2. 目的

该政策的目的是定义谁有资格获得大学生成的数字证书,以及确保遵守该政策的角色和责任。

3. 范围

此政策适用于所有阿克伦大学管理的数字证书,仅讨论数字证书资格和生命周期。本文档不讨论服务资格。

4. 背景

阿克伦大学致力于一个安全的信息技术环境,以支持其在大学规则3359-11-10.3中概述的使命:“信息技术安全和系统完整性政策”。IAM (Identity and Access Management)是企业安全的基础。

5. 定义

  • 数据所有者——对一组特定数据负有责任并有权做出决策的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,对信息的适当使用做出决定,并确定信息的适当分类。这个角色通常属于功能性学术或行政领域,如注册主任、人力资源或首席财务官和教务长办公室。
  • 数据管理员——由数据所有者确定代表数据所有者采取行动并批准或拒绝对数据的访问的人。
  • 数字凭据——用户的标识和认证信息,通常是用户名和密码短语,一般称为信息系统帐户。
  • 紧急帐户—在其他身份验证方法不可用时,严格用于紧急访问关键系统的数字凭证。这些帐户是保留给IT使用的。
  • 员工-从大学获得数字证书的定期全职和兼职教师,员工,合同专业人员,无论是否有偿。
  • 客人帐户-提供给赞助个人的数字证书,该个人不是学生或员工,否则不符合大学提供的数字证书的资格。
  • IT系统-电子信息处理、存储和传输系统,包括但不限于计算机、终端、打印机、外围设备、移动设备、网络、在线和离线存储介质及相关设备、软件和数据文件,由阿克伦大学或合同供应商或合作伙伴拥有、操作、管理或维护。IT系统还包括但不限于机构和部门信息系统、教员研究系统、台式计算机、大学校园网和大学通用访问计算机集群。
  • IT服务——用于在IT系统上创建、处理、传输、存储、保护或呈现信息的平台和应用程序,包括但不限于电子邮件、电信、网络访问、数字证书、文件存储、web应用程序、信息安全和企业资源规划。
  • 本地帐户—仅存在于信息系统内的数字凭据,并在本地对该信息系统进行身份验证。
  • 非附属方-任何个人或团体谁不直接附属于阿克伦大学通过就业,合作伙伴关系,或学生身份。
  • 特权帐户—用户的唯一数字凭证,该凭证被授予通常不授予用户主数字凭证的权限。该帐户有一个单独的所有者,负责该帐户所采取的所有操作。
  • 服务帐户——不提供给用户的数字凭证,仅用于编程功能和自动化流程。

  • UAnet ID -用户在阿克伦大学系统内的唯一用户名。

6. 策略

  • 数字证书类型
    • 数字凭证类型包括:网络ID(个人)、特权帐户、本地帐户、访客帐户、紧急帐户和服务帐户。
  • 资格
    • UAnet ID
      • 学生
        1. 在阿克伦大学注册或有资格注册课程的学生有资格获得由UAnet ID和密码组成的数字证书。
      • 员工
        1. 当前员工有资格获得数字证书,该证书由其工作期间的UAnet ID和密码组成。
      • 退休人员
        1. 退休人员被允许保留他们的养老金UAnet ID除非人力资源部指示出现特殊情况。
      • 特殊人群
        1. 各部门可以要求将部分或全部阿克伦大学IT系统和IT服务(包括数字证书)的访问权限扩展到附属方,包括:
          1. 赞助的客人
          2. 学生雇员和研究生助理
          3. 外部承包商
          4. 其他关联方
        2. 资格仅适用于从属关系的持续时间,或者直到该党派的从属关系改变为不同的永久状态。
    • 特权帐户
      1. 学生
        1. 只有大学雇佣的学生,并且执行需要提高IT系统和数据访问权限的工作功能,才有资格获得部门主管、数据所有者或数据管理员的批准,获得特权帐户。
      2. 员工
        1. 需要对IT系统或数据(包括但不限于网络/系统管理和后台ERP访问)提高权限的当前员工有资格获得部门主管、数据所有者或数据管理员批准的特权帐户。
        2. 资格仅适用于所需访问的持续时间,并将在所需访问到期后立即删除。
      3. 退休人员
        1. 退休人员没有资格申请特权帐户。
      4. 特殊人群
        1. 需要对IT系统和/或受保护的机构数据(包括但不限于网络/系统管理和后台ERP访问)提高权限的学生员工有资格获得部门主管、数据所有者或数据管理员批准的特权帐户。
        2. 需要提高IT系统或数据权限(包括但不限于网络/系统管理和后台ERP访问)的外部承包商有资格获得部门主管、数据所有者或数据管理员批准的特权帐户。
        3. 资格仅适用于所需访问的持续时间,并将在所需访问到期后立即删除。
      5. 获得特权帐户的过程包含在ITS:数字凭证标准中。
    • 本地帐户
      • 只有信息技术人员才有资格使用大学信息系统的本地帐户。
      • 本地账户只有在信息安全办公室的自由裁量权和首席信息安全官的批准下才能获得授权。
    • 紧急账户
      • 只有资讯科技人员才有资格使用大学资讯系统的紧急帐户。
      • 紧急账户只有在信息安全办公室酌情决定并得到首席信息安全官批准的情况下才能授权。
    • 服务帐户
      • 个人没有资格申请服务帐户。
      • 部门可以根据业务需要申请服务帐户。
      • 服务帐户的授权由信息技术服务部(ITS)酌情决定。
  • 数字证书的使用
    • 每种数字凭证类型都有特定的用途,没有被授权用于多种目的。
    • 每种数字凭证类型的用例都包含在ITS:数字凭证标准中。
  • 数字凭证生命周期
    • 数字凭证有一个从创建到删除的生命周期。
    • 数字凭证的生命周期由ITS:数字凭证标准涵盖。
  • 异常
    • 数字证书资格的例外情况必须提交给IT安全服务部门,包括:
      1. 异常的性质。
      2. 对为什么需要异常的合理解释。
      3. 由异常产生的任何风险。
      4. 因不给予例外而产生的任何风险。
      5. 由部门主管、数据管理员和数据所有者批准。
    • 首席信息安全官(CISO)或信息安全指定人员与人力资源部门协调,对本政策的例外情况拥有最终批准权。

7. 政策合规

  • 角色和职责
    • 身份访问管理团队或代表负责审查和更新数字凭证资格,包括相关的特殊人群。
    • 资讯科技署会在全年定期检讨证书的资格,以确保符合规定。
    • 首席信息官负责执行此政策。
  • 不符合
    • ITS将禁用与被视为不符合本政策且缺乏批准例外的各方相关的帐户。
    • ITS将通知主管或适当的保荐人账户被禁用。

8. 相关文档

大学规则3359-11-10:可接受的使用政策大学规则3359-11-10.3:信息安全和系统完整性政策ITS:数字凭证标准

9. 政策的历史

审批权限:首席信息官政策经理:首席信息安全官生效日期:2022年9月30日先前生效日期:2021年12月13日审核日期:2022年12月1日

联络资讯保安      联系IT服务台