账户管理
关于本政策
- 负责办公室
- 信息技术
1.0目的
此政策的目的是建立一个标准,以方便访问或更改火狐体育信息资源的计算帐户的管理。帐户至少由一个用户ID和一个密码组成。提供帐户信息通常会授予对某组服务和资源的访问权。这一政策建立了发放和管理帐户的指导方针。
2.0范围
本政策适用于负责管理用户帐号或访问共享信息或网络设备的人员;信息可以保存在数据库、应用程序或共享文件空间中。这项政策包括部门帐目,以及由资讯科技科集中管理的帐目。
3.0政策
服务器所有者和应用程序管理员负责确保操作系统级别或特定应用程序内的所有帐户都按照以下程序创建:
3.1帐号发放和访问控制标准
访问电子计算和信息资源的帐户需要谨慎的监督。帐户管理中应注意以下安全防范措施:
- 所有帐户都必须具有符合密码管理策略文档中概述的惯例的密码。
- 任何不用于交互登录或身份验证的帐户必须根据所讨论的特定操作系统的术语定义“锁定”或“禁用”。
- 在创建用户帐户之前,该用户与大学的隶属关系必须由赞助单位或部门(即人力资源,注册商)进行验证。
- 用户必须参加所有适当的应用程序或数据处理培训课程之前,他们的帐户被激活。
- 与大学无关的个人帐户必须事先获得IT部门的批准。
- 一个帐户可能只关联一个用户。用户不能共享一个帐户。
- 除了用户将要执行的功能所必需的权限外,不应该向帐户授予更多的权限。在建立帐户时,在管理可行的情况下,必须始终使用执行功能的“最少需要访问”的标准安全原则。例如,如果使用非特权帐户就足够了,就不能使用根帐户或管理特权帐户。
- 应该正确设置目录和文件权限,以防止用户列出目录内容或读取、修改或删除他们无权访问的文件。
- 账户设置和修改需要账户请求人、请求人的直接主管、数据所有者和信息技术办公室的签名。
- 负责资源的组织应向被授权访问该网络计算和信息资源的每个个人颁发唯一帐户。它还负责在必要时迅速停用帐户,即,应在个人雇用结束时或不再需要继续访问时从任何计算系统中删除/禁用/撤销已被解雇的个人的帐户;并且,被转移个人的帐户可能需要删除/禁用,以确保访问权限的更改适合工作功能或位置的更改。
- 在向用户提供帐户和密码详细信息之前,必须对其身份进行身份验证。如果使用自动化流程,则应该要求帐户持有人提供几个信息项,这些信息项总体上只能由帐户持有人知道。此外,强烈建议对那些具有特权访问权限的帐户使用更严格的身份验证级别(例如面对面)(例如,用于电子邮件的用户帐户不需要像那些可用于向公共网页发布信息或修改部门预算的用户帐户那样彻底的身份验证过程)。
- 新帐户的密码不应该通过电子邮件发送给远程用户,除非电子邮件是加密的。
- 审核日志中应记录帐户的签发日期和预计到期日期(如适用)。
- 所有有权访问大学数据的账户经理必须签署一份保密协议,该协议由人力资源代表或联络人保管在部门档案中。
3.2管理帐户
- 数据所有者应至少每年对所有账户进行审查,以确保访问权限和账户特权与工作职能、需要了解的信息和就业状况相称。IT安全部门也可以对连接到火狐体育网络的任何系统进行定期审查。
- 所有访问计算资源的访客帐户(对于那些不是大学社区正式成员的帐户)应包含一年的截止日期或工作完成日期,以先发生的日期为准。所有来宾帐户必须由管理资源的行政实体的适当授权成员发起。
- 要访问由部门管理的敏感信息,帐户管理应符合上述标准。此外,命名约定不能引起与集中管理的大学网络标识符的冲突。如果出现争议的可能性,在达成双方满意的安排之前,将不会创建该帐户。
- 在向用户提供ID和密码详细信息之前,必须对其身份进行身份验证。此外,还需要对具有特权访问权限的帐户使用更严格的身份验证级别(例如面对面)。
- 帐户管理应该允许在一定次数的尝试失败后进行锁定(建议设置为10次)。除非本地系统管理员介入,否则访问应该被锁定至少一个小时。除非日志信息中包含密码信息,否则应该记录锁定。
4.0执行
任何被发现违反本政策的社区成员都将受到纪律处分,包括暂停系统特权、开除学籍、终止雇佣和/或法律诉讼,这可能是适当的,并符合适用于个人在大学角色的行政手册和行为准则。