30.身份和访问管理策略

序言: 这建立了访问管理政策和标准，只允许授权的个人管理和访问大学的数据和系统. 它还要求使用大学账户进行大学业务.

内容:

A. 定义
B. 政策
C. 范围
D. 异常
E. 联系信息
F. 参考文献

A. 定义.

A-1. 帐户: 就本政策而言, 帐户是系统和应用程序使用的电子标识符，用于对访问大学技术资源的用户或进程进行身份验证和授权，并便于对与单个用户相关的活动进行审计.

A-2. 账户类型:

a. 个人 -将主帐户分配给单个个人，用于访问技术资源, 包括交互式登录到计算机, 电子邮件, VPN, 横幅, 或其他大学资源.

b. 共享 —多个用户知道密码或交互登录时使用或共享的账号.

c. 功能 -由应用程序和进程使用的帐户，而不是由最终用户交互使用的帐户.

d. 享有特权的 -用于提升系统或数据访问权限的个人帐户, 其中可能包括对访问权限进行更改的权限, 角色, 安全配置, 或其他用户的非公开数据.

e. 资源 -用于跟踪或使用资源的帐户(通常用于Office 365中的房间或设备), 而不是交互式登录.

f. 赞助 -分配给单个个人的个人帐户，用户与大学没有正式联系, 无论是作为雇员还是学生.

g. 临时或紧急 -用于在自动帐户管理之外临时访问系统或资源的帐户. 此帐户类型可能包括一般来宾帐户.

h. 第三方账户 -在非大学系统中创建的个人或共享帐户(例如.g.、推特、Instagram等.)，代表大学执行职务.

A-3. 身份验证: 身份验证是系统或应用程序确认一个人或设备确实是它所声称的人或物的过程，并通过该过程授权对所请求资源的访问. 身份验证因素可能包括您所知道的内容(例如.g.，密码)，你拥有的东西(e.g., 硬件令牌, 证书, 或Duo软件认证器), 或者你是什么(通常是生物特征), 像指纹一样).

A-4. 授权: 基于已验证的身份或帐户授权访问资源的过程.

A-5. 联合身份: 可以跨不同的技术系统或组织使用的帐户, 通常通过单点登录(SSO)服务.

A-6. 单点登录: 使用单个帐户访问多个应用程序或系统.

A-7. 客户经理: 管理帐户的个人或系统, 将账户分配给个人, 并授予帐户特权.

B. 政策. 访问大学系统和数据的方式必须经过审核，并与个人及其在大学中的角色唯一地联系在一起.

B-1. 客户经理职责:

a. 权威: 管理账户是信息技术办公室(OIT)的职责。. 所有帐户必须按照现行的OIT标准进行管理, 包括身份审查的要求, 密码, 多因素身份验证, 联合会, 审计, 生命周期(创建和终止). OIT可能会发布标准来补充和执行此政策.

b. 自动化: 自动化帐户管理(软件和/或脚本)应用于确保当每个帐户用户在学校的角色根据班纳大学的官方记录发生变化时，帐户得到适当的管理. 所有帐户的使用应由自动化工具监控，以发现非典型使用并采取适当行动, 直至并包括禁用该帐户.

c. 访问: 授予每个帐户的访问权限必须由适当的数据管理员至少每年审查一次(见APM 30).11)或客户经理确保所有访问都经过授权.

d. 临时账户: 临时或紧急帐户应自动禁用或删除，以防止滥用. 当合理存在其他提供获取大学技术资源的方法时，不得创建此类帐户.

e. 共享账户: 当个人帐户访问方法可用时，不应创建或分配共享帐户.

f. 赞助的账户: 所有此类帐户必须由全职赞助, 符合福利条件的大学员工，并定期续签. 只有具有合法和有文件证明的工作或学术原因的个人才能持有帐户. 当有其他账户分配方法可用时，不得分配赞助账户.

g. 不活跃的账户: 内置或自动系统应禁用已被确定为非活动的任何帐户. 账户不活动时间框架将根据风险确定，并作为OIT标准发布, 但在任何情况下都不能超过180天. 对于不交互式使用的账户，或者不期望积极使用的账户，或者不能准确确定的账户，可以例外.

h. 生命周期: 只有在账户持有人与学校有书面联系的情况下，才能保留所有账户. 在横幅中有足够的记录来唯一识别帐户持有人之前，不得创建帐户. 更改帐户持有人的大学角色需要审查授予其帐户的访问权限. 这包括更改已分配的访问, 或包括帐户重命名或为新角色创建新帐户.

i. 审计: 用户界面上使用的信息系统必须审核帐户创建, 修改, 启用, 禁用, 并通知客户经理或安全运营团队和/或集中记录.

j. 关系/归属: 所有个人帐户应根据其与大学的关系分配适当的“eduPersonAffiliation”(参见Internet2 eduPerson对象类模式).

k. 联盟: 大学账户的联合身份服务只能由OIT或OIT批准的系统或供应商提供. 联合会将被所有大学申请和网站使用, 以符合数据分类标准, 或为大量教员使用的任何服务, 工作人员, 或学生.

l. 首选电子邮件: 应保持账户和记录，以强制使用@uidaho.Edu的电子邮件地址，以便与员工或其他经批准的个人进行大学业务交流. 这包括在校园目录中发布. 学生, 校友, 退休人员应该使用其他域名或电子邮件地址处理个人或学生事务，以确保他们的记录与可能受到公共记录要求的大学业务分开. 活跃的学生, 本学期入学, 必须将他们的首选电子邮件地址设置为他们的@vandals.uidaho.如果他们不是符合福利条件的员工。Edu的电子邮件地址. 应该为具有多个角色的个人分配基于其主要角色的首选电子邮件地址. 在可能的情况下, 使用学生和员工地址进行通信应该倾向于基于角色的官方UI地址, 而不是使用首选地址.

m. Auto-forwarding电子邮件: 大学系统应配置为防止自动直接转发邮件, 或者通过规则或过滤器, 为进行大学业务而创建的帐户. 哪些地方不可能防止这种配置, 在可能的情况下，应使用自动化来纠正自动转发，并将变更通知用户. 非直接账户, 或者合理预期, 参与大学事务, 包括但不限于学生, 校友, 退休人员将被允许自动转发电子邮件.

n. 账户重用: 一旦个人账户被分配并被一个人使用, 不得转让或重复使用. 这既包括特定的帐户，也包括在任何未来日期重新使用电子邮件地址.

o. 特权帐户: 必须创建单独的个人帐户，并且必须用于任何特权访问. 对特权帐户的使用应进行记录. 特权帐户不得用于非特权功能(电子邮件，网页浏览等).).

p. 密码: 所有系统和帐户都应配置为要求或满足当前OIT密码标准.

q. 最小特权: 在提供帐户时，应应用最小特权原则. 尽可能地, 帐户应该被授予足够的特权来执行批准的功能，而不是更多.

B-2. 个人职责:

a. 身份验证: 所有帐户用户必须保护任何身份验证机制, 包括密码或其他身份验证因素(MFA令牌), 证书, 互联网饼干, 等.)，以确保只在适当的情况下查阅大学资料及资源. 密码不得共享.

b. 政策: 所有帐户的用户必须遵守学校的政策和标准, 包括但不限于, 技术资源的可接受用途(APM 30.12)和数据分类标准.

c. 特权: 所有帐户只能用于授权使用的目的.

d. 滥用: 任何泄露帐户密码或怀疑泄露或滥用帐户或数据必须立即向信息安全办公室报告 security@spontando.com.

e. 账户: 所有大学事务都应使用与@uidaho相关的帐户进行.Edu地址，或批准的例外. 非大学帐户，如个人Gmail，雅虎等. 账户不得用于处理学校事务. 保护个人资料, 学生, 校友, 不得将离退休人员帐户用于办理学校业务.

f. 交流: 官方大学通讯可能会发送到@uidaho的首选或所需地址.Edu或@vandals.spontando.com地址. 帐户持有人必须定期检查这些帐户所需的通信和, 如果允许转发, 负责检查目的地址吗. 大学不对转发到第三方邮箱的邮件负责. 一些大学的业务流程可能需要从有效的伊利诺伊大学电子邮件地址接收消息, 并且可能不接受来自第三方帐户(Gmail)的消息, 雅虎, 等.).

g. 第三方账户: 在非大学系统中创建但用于大学业务的帐户必须按照帐户政策进行处理, 包括与@uidaho的联系.edu电子邮件地址，以及OIT发布的当前标准.

B-3. 补救和遵从. 不遵守此政策将被视为违反可接受使用(APM 30).12)，并将得到相应的处理和补救.

C. 范围. 此政策适用于所有帐户持有人，无论其与访问大学数据或信息系统的关系如何.

D. 保险单的例外情况. 本政策的例外情况可以书面提交给UI信息安全官，他将评估风险并向UI首席信息官提出建议. 例外情况必须至少每年审查一次以重新授权.

E. 联系信息. 资讯科技署资讯保安办事处(its-security@spontando.com)可协助解答有关本政策及相关标准的问题.

F. 参考文献.

APM 30.技术资源的合理使用
APM 30.大学数据分类和标准
APM 30.15 -密码和认证策略
NIST SP800-53r4
NIST sp800 - 171
HIPAA安全规则45 CFR 164.312(d)
eduPerson对象类规范

版本历史