安全与保障

足球即时比分 身份和访问管理政策

目的

此政策的目的是定义所有大学所需的访问控制措施 保护隐私、安全和机密的系统和应用程序 大学信息技术资源。

范围

此政策适用于负责管理用户帐户或访问权限的人员 共享信息或网络设备。这些信息可以保存在数据库中, 应用程序或共享文件空间。该政策也涵盖部门账户 因为那些集中管理。

定义

  • 访问—使用、修改或操纵信息资源或获得访问权限的能力 到物理区域或位置。
  • 访问控制—授予或拒绝获取和使用信息的特定请求的过程。 访问控制的目的是防止未经授权的访问 IT 系统。
  • 可用性—保护 IT 系统和数据,确保及时、可靠的访问和使用 向授权用户提供信息。
  • 保密—保护敏感信息,使其不会泄露给未经授权的个人, 实体或流程。
  • 最小特权原则—任何用户的访问权限应仅限于绝对必要的资源 为了完成指定的职责或职能,仅此而已。
  • 职责分离原则—只要可行,任何人都不应负责完成或控制 一项任务或一组任务,从开始到结束,当它涉及潜在的 欺诈、滥用或其他伤害。

标识

识别是将标识符分配给每个个人或系统的过程 以便能够决定应给予的访问级别。标识符必须 包含以下内容:

  • 唯一性——每个标识符(例如用户ID或大学M号)都是唯一的;即每个标识符 与单个人或其他实体相关
  • 每个人一个标识符—一个人最多可以拥有一个大学身份证号码
  • 不可重新分配—一旦标识符被分配给特定的人,它就始终与 那个人。随后绝不会被重新分配以识别另一个人或实体。

身份验证

身份验证过程确定某人或某物是否确实是 或它所声明的内容。身份验证验证该人的身份。

身份验证方法涉及提供公共标识符(例如用户 姓名或身份证号码)和私人身份验证信息,例如个人信息 身份号码 (PIN) 或密码。

所有系统和应用程序都必须使用加密的身份验证机制并遵守 通过以下方式:

  • 身份验证凭据不会被编码到程序或查询中,除非 被加密,并且仅当没有其他合理选项存在时。
  • 必须通过安全保密的方式提供唯一的初始密码 首次登录时必须更改初始密码。
  • 密码不得以明文或任何易于逆转的形式存储。
  • 供应商提供的默认密码和/或空白密码应立即被识别并 安装受影响的应用程序、设备或操作系统后重置。

为了确保密码具有足够的强度,用户、系统、应用程序的密码、 和设备必须在技术上可行的范围内满足以下信息 安全要求:

密码要求

  • 密码过期—每 90 天
  • 最小长度—8 个字符
  • 密码复杂性—已启用
  • 密码历史记录—最近 4 个密码
  • 帐户锁定—连续 5 次登录尝试失败后
  • 锁定持续时间—30 分钟
  • 更新登录—闲置 30 分钟后或由系统管理员处理
  • 屏幕保护程序—10 分钟后空闲,密码保护

所有特权帐户(服务器的 root、超级用户和管理员密码, 数据库、基础设施设备和其他系统)必须遵守要求 上面列出以及在可能和适当的情况下:

  • 支持个人用户而非群组的身份验证
    • 出于管理目的而使用群组帐户并共享密码的情况 对于那些需要的帐户,密码必须每九十天更改一次,并且 集团内发生任何人员变动后立即进行。
  • 使用单独的帐户配置设备以进行特权和非特权访问
  • 使用非特权帐户而不是特权帐户对用户进行身份验证。 请参阅大学的密码标准以供参考。

授权

授权是用于向经过身份验证的用户授予权限的过程。授权 通过技术或流程授予用户使用信息资产的权利 并确定允许什么类型的访问(只读、创建、删除和/或修改)。 系统或应用程序应确定用户是否有权执行该操作 请求的操作。

除非数据所有者书面同意,否则用户不得访问敏感数据 通过既定业务流程获得许可。数据所有者单独负责 用于建立数据访问程序,该程序必须至少包括以下内容:

  • 必须使用访问请求表单来请求、更改或删除现有访问权限 包含敏感信息的大学系统。
  • 当用户 转账时,应首先禁用所有帐户,删除权限,然后再删除帐户 重新启用并添加用户新角色所需的权限。
  • 对于新帐户和现有帐户的更改,必须填写部分表单 并由以下机构授权:
    • 请求访问系统的人
    • 用户的主管和/或部门负责人(或指定代表)
    • 数据所有者
  • 对于帐户删除,请在员工离职时及时报告离职情况 被重新分配、晋升或离职。对于有原因终止,停用必须 立即发生。
  • 定期审核用户权限,以确保访问权限与用户当前的权限相匹配 责任,以及修改、删除或停用帐户时 不再需要访问权限。

管理员有责任确保所有有权访问敏感信息的用户 数据参加适当的培训以及阅读并承认大学机密 协议。跟踪大学的就业情况也是经理的责任 人力资源部定义的流程,以确保遵守各种法律和法规。

职责分离

授予每个用户的访问权限将遵循以下原则: 职责分离。技术或管理用户,例如程序员、系统 管理员、数据库管理员、系统和应用程序的安全管理员 必须有一个额外的、单独的最终用户帐户才能以最终用户身份访问系统 开展个人事务。

合规性

系统所有者必须具有记录的访问控制程序,并且必须能够 出于审计目的需要时制定文件化程序。证据 需要时,必须提供帐户批准、终止和禁用的信息 审计目的。

文档结束。

修订版 2016 年 9 月 20 日