RSCC Policies & Guidelines
Roane State Community College
Policy Number: GA-18-09
Subject: 访问控制(以前称为强密码)
- Purpose
本政策的目的是为了保护存储在整个罗安州立社区学院(RSCC)计算机系统上的数据,建立一个最低期望的访问控制。. This policy applies to all academic, administrative, 租用或安装在所有区域协调中心地点的网络和微型计算机资源.
In addition to the policy listed below, 所有用户都必须遵守现有的州和联邦法律以及RSCC和田纳西州校务委员会(TBR)关于计算机使用的规定, email, and the internet.
- Definitions
认证-允许设备或系统验证一个人的唯一身份的过程, 请求访问资源的设备或其他系统.
数字身份——计算机系统用来表示外部代理的实体信息. 代理可以是人、组织、应用程序或设备. 也称为用户帐户或用户配置文件.
密码-密码是一串字符,用于验证计算机系统上的用户.
系统帐户-用于自动化过程的特殊帐户,无需用户交互或设备管理. 这些帐户不会分配给单个用户用于登录目的.
特权帐户-对安全系统或资源具有更高访问权限或特权的帐户. 这种类型的帐户被授权和信任,可以执行普通用户帐户不被授权执行的安全相关功能. 特权帐户分配给个人用户. 例如:Oracle数据库管理、Banner等.
- Policy
- 罗恩州应根据个人问责制的要求控制用户对信息资产的获取, need to know, and least privilege.
- 访问Roane State信息资产必须得到授权和安全管理,符合适当的大学实践和许多适用的法律和监管要求(例如.g., 《健康保险流通与责任法案, 家庭教育权和隐私权法案, the Open Records Act of Tennessee, Gramm Leach Bliley Act, and identity theft laws).
- Roane State信息资产包括数据, hardware and software technologies, 以及用于处理的基础设施, transmit, and store information.
- Any computer, laptop, 授权用户连接到校园网的打印机或设备受此政策的约束.
- 客户,未经身份验证的访问可以提供与使用和风险相称的服务.
- 使用自己的个人设备访问RSCC计算资源和网络的授权用户有责任确保他们用来建立访问的系统的安全性和完整性.
- 用于包含关键或机密机密数据的系统, RSCC将使用唯一标识和验证用户的安全方法. 这些方法可以包括多因素身份验证, passwords, data loss prevention, device management, 生物识别和公钥/私钥对.
- Access Controls
- 对信息资产的访问必须限制为授权用户,并且必须有适当的物理保护, administrative, 以及逻辑身份验证和授权控件.
- 对信息资产的保护必须与分配给信息的分类级别相称.
- 每个计算机系统应具有自动访问控制过程,识别和验证用户,然后根据定义的用户或用户类型的要求或权限允许访问.
- 必须准确识别安全系统的所有用户, 在整个登录会话中必须维护一个积极的标识,并且必须将操作链接到特定的用户.
- 访问控制机制可能包括用户id, access control lists, constrained user interfaces, encryption, port protection devices, secure gateways/firewalls, and host-based authentication.
- 用户标识、身份验证和责任
- User IDs
- 访问控制过程必须通过唯一的用户标识(user identifier, user ID)帐号来标识每个用户.
- 员工的用户id是在雇佣时从Banner系统创建和启动的.
- 学生的用户id是在被录取或获得经济援助时从Banner系统创建和启动的.
- 用户必须在登录计算机系统、应用程序或网络时提供其用户ID.
- Individual Accountability
- 个人责任必须保持.
- 每个用户ID必须与负责其使用的个人相关联.
- 具有身份验证访问权限的个人不能与任何人共享其登录凭据,否则将立即取消其访问权限.
- Authentication
- 身份验证是保证用户身份的有效性的手段.
- All user access must be authenticated.
- 最低限度的身份验证手段是用户在每次登录系统和/或应用程序时必须提供的个人秘密密码.
- 用于访问信息资产的所有密码都必须符合与密码组合有关的某些要求, length, expiration, and confidentiality.
- Access Privileges
- 每个用户的访问权限应根据用户的特定和授权角色所规定的“需要知道”的基础上进行授权.
- 授权访问应基于最小权限.
- 这意味着只允许完成用户角色所需的最小权限. 对计算机的管理访问仅限于适当的IT人员. 例外情况必须得到首席信息官(CIO)的批准。.
- 应定义访问权限,以保持适当的职责分离,以降低滥用信息资产的风险.
- 授予数据的任何访问都必须得到适当的数据受托人的授权.
- 访问权限应根据以下适当标准进行控制
- Identity (user ID)
- Role or function
- Physical or logical locations
- Time of day/week/month
- Transaction based access
- 访问方式,如读、写、执行、删除、创建和/或搜索.
- Privileged access (e.g.(管理员帐户、root帐户)必须严格根据角色要求授予权限. 享有特权的人员数量应该谨慎地加以限制.
-
Access Account Management
- User ID accounts must be established, managed, 并终止以维持必要的数据保护水平.
-
以下需求适用于网络登录以及单个应用程序和系统登录,并应在技术和程序可行的情况下实现.
- 帐户创建请求必须显式指定访问权限,或者请求已映射到所需访问权限的角色.
- 通过镜像现有用户帐户创建的新帐户必须根据明确的请求或角色进行审计,以获得适当的访问权限.
- 在连续五(5)次无效登录尝试后,帐户将被锁定. 当用户帐户被锁定时,它应该保持锁定至少30分钟或直到授权人员解锁该帐户. 所有工作站在不活动15分钟后将自动锁定,需要使用用户密码重新进行身份验证. 必要时,可在实验室和教学工作站调整此时间,最多可达30分钟. In addition, after 2 hours of inactivity, 实验室和教学工作站将注销,要求用户重新登录并重新启动其应用程序. 如果计算机由于不活动而注销,所有未保存的工作将丢失.
-
容纳或使用受限制信息的系统必须配置为除非授予特定访问权限,否则拒绝访问受限制信息. 默认情况下,决不允许访问受限制的信息.
- 对于Banner,主管通过Workflow请求员工的访问权限. 数据保管人将批准或拒绝请求. 审批完成后,IT将在Banner授予访问权限.
- 对安全性的任何Banner修改均由数据保管人发起.
- In the case of an employee transfer, 主管需要提交一个新的Banner工作流请求. 如果不需要Banner访问,则必须通知IT.
-
如果通知不再需要访问,IT人员将按照以下程序撤销访问权限.
- 被解雇或调动的员工的访问权限必须在解雇或调动通知发生后立即撤销或更改. 主管有责任在合同到期前通知人力资源部员工离职.
- 自愿离职的员工负责启动员工结账表.
- 如果员工离职时关系不好, 用户ID必须在离开的同时被禁用. 人力资源部负责启动“被解雇员工”表格,通知IT部门和其他适当的员工.
- 对于休假或长期残疾的用户,必须暂停访问,直到用户返回.
- 兼职教员的帐户访问应按照学院程序使用合同状态进行控制, 确定聘用日期和信息从其他利益相关者与合同控制兼职教师.
- 兼职教师从未被授予访问横幅管理页面.
- 每年9月和2月对兼职教师的账户进行审查. 任何没有分配当前或未来课程的兼职将被锁定,并且通过自动过程删除班纳SSB教师访问权限.
- 学生帐户将在一年未注册或学生没有注册资格后被删除.
- 所有供应商的访问将由IT部门授权和监控. 将根据供应商的需要使用合适的截止日期,最长为一(1)年. 供应商帐号一旦过期将被删除.
- 员工可能会要求在规定的时间内由学院的外部客人使用客人帐户. 客人账户将由RSCC员工负责. 客人帐户将被设置为在请求使用的最后日期到期, up to a maximum of one (1) year. guest帐户一旦过期将被删除.
- 任何帐户在60天后都可能被禁用. 任何账户在闲置一(1)年后将被删除.
- 定期对受保护的系统进行审计,以确认访问权限是否适当. 审计将包括审查和验证用户访问权限是否仍然需要并且是适当的.
-
应用程序(如Argos和BDMS)需要一个不绑定到单个用户的帐户,可以使用基于服务的帐户.
- 部门会监督这些账户并保存它们的密码.
- 需要这些帐户的应用程序应由提供这些帐户的适当用户/部门进行监视和审计.
- Service-based accounts, due to their application centric use, 不受标准用户帐户管理和密码规则的约束.
-
Procedures
-
数字身份与认证管理
-
密码(和密码短语)结构
- 密码保护高校信息访问的有效性直接取决于强大的密码构建和处理实践. 所有用户必须使用以下标准构建访问所有大学网络和系统的强密码.
- 关于密码长度的所有方向, 密码更改时间表和使用密码短语而不是密码, RSCC将遵循美国国家标准与技术研究院(NIST).
-
对于员工,学生和客人帐户,将需要密码. 密码必须由至少14个字符组成. 员工密码必须由以下四(4)种密码中的至少三(3)种组成:
- Upper case alphabetic character
- Lower case alphabetic character
- Numeric character; OR
- 非字母数字字符(如果申请允许)
-
Password Management
终端用户密码管理要求如下.
-
Storage and Visibility
- 密码的存储方式不得允许未经授权的访问.
- 密码不会存储在明文文件中.
- 密码不会通过未加密的电子邮件发送.
-
Changing Passwords
- 非特权账户的员工必须每365天更换一次密码. 学生账户不受此要求限制.
- 拥有特权帐户的用户(例如拥有DBA的用户), Root或管理员级别访问)必须至少每120天更改一次密码.
-
如果发生以下事件,密码必须在一(1)个工作日内更改:
- 未经授权的密码发现或被他人使用.
- 系统危害(未经授权访问系统或帐户).
- Insecure transmission of a password.
- 意外将密码泄露给未经授权的人.
- 具有访问特权和/或系统帐户的人员的状态更改.
- 未经正式书面同意,不得与任何实体共享密码文件或哈希值.
-
系统帐户的要求如下.
- 系统帐户不需要过期,但必须满足上面的密码构造要求(在底层技术支持的情况下).
- 供应商提供的密码必须在安装时使用上面的密码构造要求(在底层技术支持的情况下)进行更改。.
-
Multi-Factor Authentication
用于包含关键或机密机密数据的系统, RSCC可能需要唯一标识和验证用户的安全方法. 这些方法可能包括多因素身份验证, passwords, data loss prevention, device management, 生物识别和公钥/私钥对.
-
Compliance and Enforcement
- 这一政策适用于所有信息资源的用户,包括教师, staff, students, visitors, 承包商和任何其他授权用户.
- 违反这一政策的人将受到一系列制裁,包括失去计算机网络访问权限, disciplinary action, dismissal from the college, and legal action. 根据田纳西州和其他地方及联邦法律,一些违规行为可能构成刑事犯罪.
- 此政策例外的理由必须记录下来,并且必须得到大学校长或首席信息官的批准.
- Responsible Party
首席信息官应负责开发和维护此政策,并由业务和财务副总裁发布.
在某种程度上,本政策与相关的TBR或国家政策或法律存在差异, TBR和国家政策优先.
Revision History: 10/26/2021
TBR Policy Reference: 1.08.03.00
Revision Date Effective: 04/29/2024
Revision Approval By: Christopher L. Whaley, President
Original Date Effective: 03/03/2014
Original Approval By: Christopher L. Whaley, President
Office Responsible: Vice President for Business & Finance
Reviewed: 02/19/2024
© Roane State Community College
贝博体育不存在种族歧视, color, religion, creed, ethnicity or national origin, sex, disability, age, 作为受保护的退伍军人或受联邦或州法律法规保护的任何其他阶层,以及田纳西州董事会在就业方面的政策, programs, and activities. View full non-discrimination policy.
Report Fraud, Waste and Abuse
1998年数字千年版权法案