它的 数字证书标准

1. 概述

数字证书提供了访问组织技术系统和服务的权限。它们用于对访问IT资源的用户进行识别、认证和访问控制。

2. 目的

该标准的目的是定义阿克伦大学的数字凭证标准,包括帐户生命周期管理、密码短语要求和多因素身份验证要求。

3. 范围

该标准适用于所有阿克伦大学管理的数字证书,并定义了证书生命周期和认证标准。

4. 背景

阿克伦大学致力于一个安全的信息技术环境,以支持其在大学规则3359-11-10.3中概述的使命:“信息技术安全和系统完整性政策”。IAM (Identity and Access Management)是企业安全的基础。

5. 定义

  • 数据所有者——对一组特定数据负有责任并有权做出决策的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,对信息的适当使用做出决定,并确定信息的适当分类。这个角色通常属于功能性学术或行政领域,如注册主任、人力资源或首席财务官和教务长办公室。
  • 数据管理员——由数据所有者确定代表数据所有者采取行动并批准或拒绝对数据的访问的人。
  • 数字凭证——用户的标识和认证信息,通常是用户名和密码短语。
  • 紧急帐户—在其他身份验证方法不可用时,严格用于紧急访问关键系统的数字凭证。这些帐户是保留给IT使用的。
  • 员工-从大学获得数字证书的定期全职和兼职教师,员工,合同专业人员,无论是否有偿。
  • 客人帐户-提供给赞助个人的数字证书,该个人不是学生或员工,否则不符合大学提供的数字证书的资格。
  • IT服务——用于在IT系统上创建、处理、传输、存储、保护或呈现信息的平台和应用程序,包括但不限于电子邮件、电信、网络访问、数字证书、文件存储、web应用程序、信息安全和企业资源规划。
  • IT系统-电子信息处理、存储和传输系统,包括但不限于计算机、终端、打印机、外围设备、移动设备、网络、在线和离线存储介质及相关设备、软件和数据文件,由阿克伦大学或合同供应商或合作伙伴拥有、操作、管理或维护。IT系统还包括但不限于机构和部门信息系统、教员研究系统、台式计算机、大学校园网和大学通用访问计算机集群。
  • 本地帐户—仅存在于信息系统内的数字凭据,并在本地对该信息系统进行身份验证。
  • 多因素身份验证(Multifactor Authentication, MFA)——一种用于增强对用户数字凭证的保护的机制,它需要多种方法来证明用户就是他们所说的那个人,通常是一个密码短语和授予权限或提供基于时间的旋转数字代码的移动应用程序。
  • 非附属方-任何个人或团体谁不直接附属于阿克伦大学通过就业,合作伙伴关系,或学生身份。
  • 特权帐户—被授予权限的数字凭证,通常不会授予用户的主数字凭证。该帐户有一个单独的所有者,负责该帐户所采取的所有操作。
  • 受保护的机构数据-根据ITS数据分类标准,由数据所有者或指定的数据管理员分类为比公共使用更受限制的任何信息。
  • 服务帐户——不提供给用户的数字凭证,仅用于编程功能和自动化流程。
  • UAnet ID -用户在阿克伦大学系统内的唯一用户名。

6. 标准

  • 数字证书类型
    • 数字凭证类型包括:网络ID(个人)、特权帐户、访客帐户、本地帐户、紧急帐户和服务帐户。
  • 数字证书的使用
    • 不要共享数字凭证。共享数字证书违反了大学规则3359-11-10:访问和可接受使用政策。
    • UAnet ID
      • 局域网id仅供分配给该帐户的个人使用。
      • UAnet id将用于标准的、非高架的信息和系统访问。
      • 局域网id不能用于访问信息和系统的特权。
    • 特权帐户
      • 特权帐户仅供分配给该帐户的个人使用。
      • 特权帐户仅用于访问信息和系统以及/或执行需要提升权限的系统活动。
      • 特权帐户不应用于不需要提升权限的标准活动。
    • 来宾帐户
      • 客人账户只提供给分配给该账户的个人使用。
      • 访客帐户将用于标准的,非升级的,访问信息和系统。
      • 访客帐户不能用于访问信息和系统的特权。如果需要特权访问,将提供一个特权帐户来代替来宾帐户。
    • 本地帐户
      • 本地帐户仅供分配给该帐户的个人使用。
      • 本地帐户应严格用于不支持联合身份验证和授权的系统。
      • 如果用户在多个系统上拥有本地帐户,则每个系统的密码必须是唯一的。
    • 紧急账户
      • 紧急帐户严格用于通常使用的联邦身份验证系统不可用时,例如联邦身份验证系统遇到服务中断时。
      • 紧急帐户的使用权限应限制在不超过三个可信任的个人。
      • 如果使用了紧急密码,联邦认证系统恢复后,必须立即修改密码。
      • 如果使用了紧急帐户,系统所有者必须立即通知信息安全办公室。
    • 服务帐户
      • 服务帐户严格用于编程功能和/或自动化过程。
      • 对服务帐户凭证的访问应限制在不超过三个受信任的个人。
  • 证书生命周期
    • UAnet ID
      1. 数字证书创建
        1. 学生
          1. 学生在申请大学时将获得阿克伦大学的数字证书,该证书由UAnet ID和密码组成。
        2. 员工
          1. 员工在大学企业资源规划(ERP)系统中被指定雇用后,将获得由UAnet ID和密码组成的阿克伦大学数字证书。
          2. 新聘用的教师将在正式开始工作前60天获得数字证书。
          3. 新聘用的员工和合同专业人员将在正式入职日期前7天获得数字证书。
        3. 校友
          1. 校友将在第三方电子邮件系统中获得新的数字证书。
          2. 新的数字证书将与校友的UAnet ID匹配。
          3. 第三方电子邮件提供商将管理数字凭证,包括但不限于认证机制的管理,如密码短语、多因素认证、密码短语重置和帐户验证。
        4. 退休人员
          1. 荣誉退休的
            • 如果退休人员仍然积极使用该帐户,他们将保留阿克伦大学的数字证书。
          2. Non-Emeritus退休人员
            • 未被认定为Emeritus的退休人员将在第三方电子邮件系统中获得新的数字证书。
            • 新的数字证书将与退休人员的UAnet ID匹配。
            • 第三方电子邮件提供商将管理数字凭证,包括但不限于认证机制的管理,如密码短语、多因素认证、密码短语重置和帐户验证。
          3. 特殊人群
            1. 赞助客人、外部承包商和其他关联方
              • 部门人员可以请求赞助客人数字证书。
              • 数字证书立即可用,有效期为6个月。
              • 数字凭证可以根据从属关系的性质和业务需要进行扩展。延期必须得到ITS的批准,并且可以再延长六个月。
              • 如果赞助客人帐户需要激活超过12个月,则必须申请此政策的例外情况。
      2. 数字证书审核
        1. 非特权学生、雇员和退休人员访问的UAnet id不需要审查。
        2. 特殊人群赞助客人、外部承包商和其他关联方
          1. 部门人员必须每季度审查赞助客人的数字证书,以验证是否仍然需要相关帐户或权限。
          2. 赞助该帐户的部门人员必须通知ITS不再需要的任何帐户或权限。
          3. ITS将在收到通知后删除不必要的帐户或权限。
      3. 移除数码凭证
        1. 学生
          1. 学生的数字证书在两个学期不活动后自动失效。
          2. 学生将无限期地保留其唯一的UAnet ID,但在学生与大学建立积极联系之前,这些帐户将被禁用。
        2. 员工
          1. 员工的数字证书被禁用,并且在离职后立即删除对资源的组访问权限。
          2. 如果员工在大学中拥有额外的角色,要求他们保留对大学系统和/或服务的访问权限,例如员工角色和活跃的学生角色,则在离职时将创建新的数字证书并与适用的角色相关联。
        3. Aumni
          1. 24个月不活动或应个人要求,校友数字证书将被删除。
        4. 退休人员
          1. 荣誉退休的
            1. 如果退休人员积极参与人力资源管理系统,他们将保留阿克伦大学的数字证书。
            2. 如果退休人员不再活跃,将在第三方电子邮件系统中为其提供新的数字证书,并遵守本标准文件中“普通退休人员”的规定。
          2. Non-Emeritus退休人员
            1. 阿克伦大学未被认定为荣誉退休的退休人员的数字证书将在离职后立即失效。
            2. 如果退休人员在大学内担任其他角色,要求他们保留对大学系统和/或服务的访问权限,例如退休人员角色和活跃的学生角色,则在离职时将创建新的数字证书并与适用的角色相关联。
            3. 退休人员在不工作24个月后,或应退休人员的要求,第三方电子邮件系统中的数字证书将被删除。
        5. 特殊人群
          1. 赞助的客人
            1. 6个月后,如果赞助商没有请求延期,被赞助的客人将被禁用。只能要求再延长六个月。任何超过12个月的访问都需要信息安全办公室的安全审查。
          2. 学生雇员和研究生助理
            1. 学生雇员和研究生援助的帐户将在终止日期被禁用。
          3. 外部承包商
            1. 如果保荐人没有提出延期申请,外部承包商将在六个月后被禁用。只能要求再延长六个月。任何超过12个月的访问都需要信息安全办公室的安全审查。
    • 特权帐户
      1. 数字证书创建
        1. 员工
          1. 需要提升对IT资源或数据访问权限的员工将获得二级数字证书,用于访问相关的受限资源或数据。
          2. 在完成适当的审查和培训后,由ITS生成特权帐户。
        2. 特殊人群
          1. 学生员工
            • 部门学生雇员招聘经理必须请求创建新的学生雇员或研究生助理数字证书。
          2. 外部承包商
            • 部门人员可以为承包商申请特权数字证书。
            • 数字证书立即可用,并在合同期间保持有效。
      2. 数字证书审核
        1. 员工
          1. 员工的主管应每年对特权帐户进行审查,以验证作为员工工作职能的一部分,相关权限仍然是必需的。
          2. 员工的主管必须立即通知ITS任何不需要的帐户或权限。
        2. 特殊人群
          1. 学生雇员和研究生助理
            • 部门学生雇员招聘经理必须每学期审查他们的学生雇员或研究生助理帐户权限。
            • 部门学生雇员招聘经理必须通知ITS不再需要的任何帐户或权限。
            • ITS将在收到通知后删除不必要的帐户或权限。
          2. 外部承包商
            • 部门人员必须每六个月审查一次特权数字证书,以验证是否仍然需要相关帐户或许可。
            • 赞助该帐户的部门人员必须通知ITS不再需要的任何帐户或权限。
      3. 数字凭证权限更改
        1. 当个人在学校的角色或职位发生变化时,所有与特权帐户相关的权限将被删除。
        2. 然后,将根据新角色的需要将新的权限添加到关联的特权帐户。
      4. 移除数码凭证
        1. 员工
          1. 离校后,特权帐户应立即停用。
        2. 特殊人群
          1. 学生雇员和研究生助理
            • 学生雇员和研究生援助的帐户将在终止日期被禁用。
          2. 外部承包商
            • 特权帐户将在协议到期或终止后立即被禁用,或在赞助部门通知后被禁用。
    • 本地账户
      • 数字证书创建
        • 员工
          • 需要在IT系统上使用本地帐户的IT员工将获得该系统独有的数字凭证。
          • 本地帐户将由系统所有者在完成适当的审查和培训后生成。
          • 员工将在收到数字凭证后立即更改与本地帐户关联的密码。
        • 特殊人群
          • 学生员工
            • 如果需要完成其工作职能,ITS学生雇员招聘经理必须请求创建本地数字证书。
            • 本地帐户将由系统所有者在完成适当的审查和培训后生成。
            • 在收到数字证书后,学生员工将立即更改与本地帐户关联的密码。
      • 数字证书审核
        • 员工
          • 系统所有者将每季度审查本地帐户,并在任何人员变动时立即审查。
        • 特殊人群
          • 学生员工
            • ITS的学生雇员招聘经理必须审查他们的学生雇员帐户权限每学期和任何人事变动。
            • ITS将在收到通知后删除不必要的帐户或权限。
      • 数字凭证权限更改
        • 当个人在ITS中的角色发生变化时,所有与本地帐户相关的权限将被删除。
        • 然后,将根据新角色的需要将新的权限添加到关联的本地帐户。
      • 移除数码凭证
        • 员工
          • 本地帐户应在部门、职责或在大学的就业状况发生变化时立即停用。
        • 特殊人群
          • 学生员工
            • 本地帐户应在部门、职责或在大学的就业状况发生变化时立即停用。
    • 紧急账户
      • 数字证书创建
        • IT系统所有者可以在他们负责的IT系统上创建紧急帐户。
        • 数字证书对系统来说是唯一的,并且是保密的。
        • 系统所有者可以与不超过三个受信任的ITS人员共享凭证。
      • 数字证书审核
        • 系统所有者将每季度审查紧急帐户,并在任何人员变动时立即审查。
      • 数字凭证权限更改
        • IT系统所有者负责维护应急账户的权限。
      • 移除数码凭证
        • 紧急账户通常不会被删除;但是,访问凭证的权限必须限制在不超过3名受信任的ITS人员。
        • 紧急帐户密码必须在使用后立即更改,如果不使用,则至少每年更改一次。
    • 服务帐户
      • 数字证书创建
        • 部门可以要求服务帐户数字凭证用于程序化使用和/或自动化流程。
        • 数字证书将是该部门唯一的,并且必须保密。
        • 数字证书将立即可用。
      • 数字证书审核
        • 部门人员必须至少每年审查服务帐户数字凭据,以验证关联帐户或许可仍然是必需的。
        • 申请帐户的部门人员必须通知ITS不再需要的任何帐户或权限。
        • ITS将在收到通知后删除不必要的帐户或权限。
      • 数字凭证权限更改
        • 所有与服务帐户相关的权限将在接到部门通知后被删除。
        • 然后,将适当地向相关的服务帐户添加新的权限。
      • 移除数码凭证
        • 服务帐户应在接到部门通知后立即停用。
        • 超过6个月未使用的服务帐户将被禁用。
        • 当服务帐户被禁用时,ITS将通知部门。
  • 密码
    • 任何使用密码短语作为身份验证手段的数字凭证都必须满足以下复杂性标准。
      1. 长度至少为10个字符。
      2. 至少包含1个字母、1个数字和1个特殊字符。
      3. 不能是单词或名字。
      4. 如果使用MFA将不会过期。
        1. 如果不使用MFA,必须每120天更换一次。
  • 多因素身份验证(MFA)
    • 所有员工和学生必须使用MFA来保护他们的阿克伦大学提供的使用UAnet ID的数字证书。
      • 大学学分加学生可以免除MFA的要求,但如果可能的话,强烈建议他们使用MFA。
      • MFA b应使用以确保任何其他大学提供的支持MFA的数字证书。
    • 所有需要访问IT系统或服务的特殊人群的成员必须使用MFA来保护他们的阿克伦大学提供的使用UAnet ID的数字证书。
      1. MFA b应使用以确保任何其他大学提供的支持MFA的数字证书。

7. 标准的遵从性

  • 角色和职责
    • ITS负责审查、更新和发布数字证书标准。
    • 部门招聘经理、主管和客户担保人必须在ITS指定的时间进行定义的数字证书审核。
    • 部门招聘经理、主管和客户赞助商必须立即向ITS报告特权帐户权限的任何更改。
  • 异常
    • 针对员工的任何例外情况都必须事先得到请求方部门主管和大学首席信息安全官(CISO)的批准。
    • 针对学生的任何例外情况都必须经过信息安全团队的验证,并得到大学首席信息安全官(CISO)的批准。
  • 不符合
    • 如果帐户违反任何联邦、州或地方法规或任何大学技术政策,ITS可以随时删除任何数字凭证的权限。
    • 如果相关方未进行账户审查,ITS将取消特权账户的权限。
    • 在恢复特权帐户或权限之前,必须以书面形式向首席信息安全官(CISO)提交重新建立特权帐户或权限,并酌情获得部门主管和职能单位的批准。
    • ITS将通知相应方因违反法规或政策而被禁用或删除权限的帐户。

    8. 相关文档

    大学规则3359-11-10:可接受使用政策大学规则3359-11-10.3:信息安全和系统完整性政策大学规则3359-11-10.4:客户信息安全政策ITS:数据分类标准ITS:数字凭证政策

    9. 标准的历史

    审批权限:首席信息官政策经理:首席信息安全官生效日期:2022年9月30日先前生效日期:2021年12月13日下一次审核日期:2023年12月1日

     

    联络资讯保安      联系IT服务台