上次审查:2022年10月6日
最后修改日期:2022年10月6日
- 介绍
计算机帐户是用于授予访问澳门威尼斯人官网(“大学”)信息资源的手段. 这些账户提供了问责制, 任何计算机安全程序的钥匙, 信息资源使用. 创建, 控制, 监控所有计算机帐户及其访问对大学的安全计划至关重要.
- 政策概述
- 目的
此策略建立了创建、监视、控制和删除帐户的规则. - 范围
这项政策适用于该大学的学生, 教师, 工作人员, 咨询顾问, 承包商, 代理, 及获授权人士访问大学的资讯资源. - 政策
大学应建立一个流程:- 用于请求、批准、发放和关闭用户帐户.
- 根据最小权限原则分配访问权限.
- 定期检查用户访问情况.
- 目的
- 过程概述
- 帐户管理要求
- 用户帐户请求必须正式记录并适当批准.
- 所有用户必须使用唯一的ID访问大学系统和应用程序. 密码应按照学校的密码管理政策设置.
- 在执行密码重置之前,必须验证用户的身份.
- 用户帐户和访问权限必须每年进行审查,以检测未使用或休眠帐户和具有过多特权的帐户.
- 延长休假(超过90天)的个人账户将被关闭.
- 用户必须在账户激活/注册后30天内完成安全意识培训.
- 用户帐户必须遵循学校的文件帐户终止程序.
- 必须监控用户帐户的不当使用和活动.
- 接入管理要求
- 大学将提供访问大学技术(包括网络)的特权, 系统, 应用程序, 电脑, 以及移动设备),基于以下原则:
- 业务需求——用户或资源将被授予对履行其角色和职责所必需的系统的访问权限.
- 最小权限—将为用户或资源提供履行其角色和职责所需的最小权限
- 所有帐户和权限的访问请求, 包括特权和有限用户帐户, 必须使用横幅访问请求流程或票务系统进行记录.
- 不依赖于唯一ID和密码的替代身份验证机制必须得到正式批准.
- 访问大学系统和应用程序必须使用多因素身份验证(MFA), 在技术上可行和实用的地方.
- 远程访问必须经过授权. 所有远程访问大学系统和服务都需要MFA, 并且必须监视连接并启用附加警报.
- 在可行和实际的情况下,系统会话必须在15分钟不活动后自动锁定. 应用程序的非活动计时器应设置为8小时.
- 大学系统将强制执行用户连续5次或更少的无效登录尝试,并将违规帐户锁定15分钟.
- 当用户被终止或不再有合法理由访问大学系统时,访问权将被禁用或删除.
- 必须每年审查用户帐户访问权限,以确定是否仍然需要访问权限. 对帐户访问权限的更改必须得到批准和记录.
- 大学IT部门负责管理应用程序和服务的访问. 例外情况必须由首席信息安全官、首席信息官或其指定人员记录、审查和批准.
- 所有的帐户访问必须持续监控和审查.
- 大学将提供访问大学技术(包括网络)的特权, 系统, 应用程序, 电脑, 以及移动设备),基于以下原则:
- 承建商及供应商帐户
大学与供应商和承包商签订合同,以支持业务流程和功能, 管理系统和应用程序,并代表大学执行任务.
- 在提供访问权限之前应签署保密协议.
- 维护可访问大学系统的承包商或供应商账户清单.
- Shall automatically expire after 180 days; extensions must be requested and documented.
- 应在可行的情况下使用MFA.
- 应按季度进行监测和评审.
- 如不再需要,应按学校的帐户终止程序办理.
- 必须有至少15个字符的密码
- 限制访问帐户(例如. 校友账户)
与大学有特殊关系的个人, 比如校友, 退休教职员工, 或官方访客, 既没有受雇也没有在大学注册的学生, 可能被授予有限的访问权限:
- 应接受使用条款
- 应经特殊社区批准的访问请求流程
- 90天后将自动停用
- 在365天后自动删除
- 登录失败五次后将被锁定,必须手动解锁
- 应要求在可行的情况下使用MFA
- 必须有至少15个字符的密码
- 特权帐户
特权帐户通常具有额外的访问权限,允许用户配置系统和应用程序,或者添加或删除用户访问权限. 有几种类型的特权帐户-管理员, 服务, 默认的, 共享, 和测试账户.
- 特权用户帐户必须由经理或主管请求并适当批准.
- 在可能的情况下,所有默认用户帐户都将被禁用或更改. 这些帐户包括“guest”,”“临时,”“管理,”“管理员,以及任何其他已知或常用的默认帐户, 以及供应商在“商用现货”系统和应用程序上使用的相关默认密码.
- 特权帐户的创建、修改或删除将触发警报. 当特权帐号登录失败5次时产生告警.
- IT管理层应审核所有特权账户的季度报告
管理员账户
- 系统管理员必须使用单独的管理员帐户进行系统相关的操作
- 应阅读并签署《威尼斯人娱乐城》和IT管理批准
- 应遵循管理员帐户的命名标准
- 须经IT管理层批准
- 不得使用电子邮件
- 应在可能的情况下要求使用MFA
- 必须有一个至少长度为20个字符的密码
- 在五(5)次尝试失败后被锁定,必须手动解锁
- 当不再需要时,应遵循帐户终止程序.
- 应至少每年审查一次
- 应受到监视和警报
服务帐户
- 服务帐户通常是系统和应用程序用于相互交互和通信的非人类帐户:
- 服务 accounts must only be used by application components requiring authentication; access to the passwords must be restricted to authorized IT administrators or application developers only.
- 应遵循服务账户的命名标准
- 对于每个应用或服务都是独一无二的
- 必须使用复杂的系统生成密码,至少30个字符且不能过期
- 应在批准的密码管理工具中进行跟踪和记录
- 应至少每年审查一次
- 应受到监视和警报
默认的账户
- 默认帐户是内置的或系统帐户,例如Windows中的“Administrator”或Linux中的“Root”.”
- 应使用至少30个字符的复杂密码
- 不得使用电子邮件
- 应至少每月审核一次
- 应在批准的密码管理工具中进行跟踪和记录
- 应受到监视和警报
共享账户
- 共享帐户或“通用”帐户是在创建唯一用户帐户不实际或不可行时创建的人类用户帐户. 这些帐户应该很少,并且需要额外的监测
- 共享帐户必须得到IT管理部门的批准.
- 共享帐户必须有指定的所有者. 所有者负责提供和维护所需的文档,证明需要共享帐户和有权访问该帐户的个人列表.
- 当需要共享帐户时:
- 应遵循共享帐户的命名标准.
- 应具有至少30个字符的复杂系统密码.
- 应要求每30天更换一次密码
- 五(5)次尝试失败后锁上,手动解锁.
- 每月回顾一次.
- 不得使用电子邮件
- 应持续监控
测试账户
- 只有在相关的业务领域或项目团队证明了测试帐户的合理性,并且应用程序所有者通过对IT管理层的正式请求批准了测试帐户,才能创建测试帐户.
- 测试帐户必须有有效期(最多180天)。. 在此日期之后维护测试帐户必须每90天重新评估一次并适当批准.
- 测试帐户将被禁用/删除时,他们不再需要.
- 在创建帐户和提供访问权限之前,所有用户帐户和访问权限应得到适当的授权和记录.
- 当需要测试帐户时
- 应遵循测试账户的命名标准.
- 应具有至少30个字符的复杂系统密码.
- 应要求每30天更换一次密码
- 五(5)次尝试失败后锁上,手动解锁
- 除非明确要求,否则不应启用电子邮件
- 应持续监控
- 异常
此策略的例外情况必须由IT管理层审查和批准.
- 帐户管理要求
- 定义
- 用户——学生, 员工, 咨询顾问, 承包商, 志愿者, 代理, 授权用户访问大学的IT系统和应用程序.
- 访问权限-与帐户关联的系统权限, 包括访问或更改数据的权限, 处理事务, 创建或更改设置, 等.
- 管理员帐户—在IT系统上具有高级权限的特权的用户帐户,这是管理该系统所必需的. 例如, 管理员帐户可以创建新用户, 更改帐户权限, 修改密码等安全设置, 修改系统日志, 等.
- 服务帐户-用户帐户不与个人关联,而是与IT系统关联, 一个应用程序, 数据库(或应用程序的特定部分), 或者网络服务.