回到顶部

马上申请 获得学位、证书或大学学分 获得工作培训和专业技能 参加有趣或个人丰富的课程

目的

个人可以通过许多途径未经授权访问校园网和信息系统. 信息和教学技术部(IIT)改进了用户身份验证,通过使用多因素身份验证(MFA)来防止未经授权的访问。.

MFA是一种安全过程,用户必须提供至少两种不同的身份验证因素来验证其身份并访问其帐户. 这个过程确保更好地保护用户的个人信息, 凭证和其他资产, 同时还提高了用户可以访问的资源的安全性. 所有特权帐户或管理员帐户都需要MFA.

本信息技术要求(ITR)的目的是为使用MFA连接到AACC网络和校园内外信息系统提供额外认证指南. MFA的实施旨在最大限度地减少AACC因未经授权使用大学资源而遭受损害的潜在安全风险. MFA增加了一层安全性,有助于限制使用任何受损凭据.

范围

访问AACC IT系统和数据需要多因素身份验证. MFA将在软件生命周期允许的情况下实现. ITR适用于AACC社区的所有成员, 包括子公司, 学生, 教师, 工作人员, 退休员工和志愿者使用他们的AACC帐户连接到学院的网络或技术资源. 本ITR适用于任何可以使用MFA访问学院数据的用户界面系统.

用户的责任

系统管理

所有系统管理和需要提升管理员权限的任务/功能都需要MFA. 需要MFA来管理同事、学生信息系统和ERP.

教职员工

需要MFA远程访问AACC IT计算环境.  在内部部署时,MFA是必需的,除非它妨碍了教学和学生学习. 如果用户不能执行完成MFA所需的步骤,则不需要MFA.

同事只能从本地网络中使用,并且具有与我们的网络凭据不同的凭据. 因此, 访问同事, 用户必须成功访问网络,然后成功访问同事-需要两个级别的独立且不同的凭据. 所有对AACC IT资源(远程访问)的VPN访问都需要学院提供的计算机和MFA. 从Colleague访问信息的Ellucian应用程序要求教职员工通过Azure单点登录提供MFA. 

用户需求:

  • 按照自动访问控制的要求,个人需要完成MFA过程.
  • 个人需要注册一个适当的设备来完成MFA.
  • 所有对外公开的企业或第三方应用程序都需要MFA, 在AACC的管理和控制下, 在支持. MFA的实施是通过目录服务或SSO协议实现的.
  • 远程网络访问需要MFA.
  • 所有管理访问帐户都需要MFA, 在支持, 所有企业资产, 无论是现场管理还是通过第三方提供商管理.

用户通知职责:

  • 当发现不允许完成MFA的问题时,请求异常是用户的责任.
  • 用户有责任及时向信息安全团队报告泄露的凭据.
  • 用户有责任及时向信息安全团队报告丢失或被盗的MFA设备.

学生

学生的MFA选择选项已经测试,并将于2024年1月开始. 学生无法访问AACC系统上的客户信息. 他们无法获得银行信息. 他们可以访问同事或其他学生的个人信息.

AACC允许学生选择MFA的决定是基于对安全风险的仔细评估, 隐私方面的考虑, 学生成功因素, 以及AACC的具体需求和资源. AACC仍将推广良好的安全做法,并就使用MFA作为工具加强对其帐户和数据的保护提供指导.

这一决定的其他因素包括:

  • 我们关注学生的成功:教育机构的首要任务是提供教育. 艺术硕士学位可能成为学生成功的障碍.
  • 风险评估:AACC已经确定,与教师或行政帐户相比,学生帐户的风险较低.
  • 可用性和可访问性:MFA对学生来说很麻烦,对于那些买不起手机的学生来说,这是一个特别不公平的要求. 除了, 有些学生可能有无障碍挑战,使他们难以使用某些MFA方法.
  • 表达了对隐私的担忧:一些AACC学生可能对共享多种形式的验证表达了对隐私的担忧, 特别是如果在MFA过程中收集的数据是敏感的. 来平衡这个合法的请求, AACC已经同意允许学生出于隐私原因选择退出MFA, 同时仍然鼓励它增强安全性.

执行

  • 本ITR规定了所有MFA访问学院网络的使用, 使用者必须遵守电脑实务守则.
  • 如果观察到任何可疑活动,服务将立即被禁用. 在发现并解决问题之前,服务将一直处于禁用状态.
  • 任何被发现故意违反此要求或信息技术资源的授权使用的AACC员工,信息技术要求和指南将失去特权.
  • 通过选择使用学院的服务,用户同意上述所有条款和条件.

任何违反本ITR的个人都可能失去计算机和/或网络访问权限,并可能根据适当的AACC政策和程序受到补救和/或纪律处分.

豁免

如果过程的完成阻碍了学生的学习和/或由于计算环境而无法执行MFA,则不需要MFA.

在某些情况下,学院社区的成员可能有合理的需要利用本ITR范围之外的学院技术资源. 信息安全团队可以批准, 提前, 基于平衡学院的利益与风险的例外请求. 例外情况需要DIS(信息安全主管)审查, 并获得终身副学士学位.

突发事件

没有一个

评审过程

资讯科技规定将每12个月或更早(如有需要)检讨一次. 指南和程序将每24个月或更早进行审查,如果需要的话.

 

指导方针标题: 信息技术资产管理信息技术需求

指导业主: 信息和教学技术副总裁

指导管理员: 资讯保安总监

联系信息: 约翰•威廉姆斯 jwwilliams6@salamzone.com  

批准日期: 1月. 8, 2024

有效日期: 1月. 8, 2024

历史: 采用10月. 13, 2023

适用于: 教职员工和学生

相关政策: N/A

相关程序: N/A

相关指南: N/A

形式: N/A

相关法律: N/A