UTS_Network_Security_Practices -奥万博ManBetX登录克兰大学维基知识库

UTS网络安全实践

主题:生产网络安全实践
观众:学生,教师和工作人员
创建日期:2007年8月
最后修订日期:2015年5月
作者:大学技术服务,网络通信的团队

范围:
本文档描述了奥克兰大学内部网络架构安全万博ManBetX登录实践。这些实践执行依照奥克兰大学的政策万博ManBetX登录# 850网络政策,# 880系统管理责任&# 890大学信息技术资源的使用。这些实践与用户社区违反将导致损失的网络访问,可能包括其他制裁政策表示。

管理实践:
网络配置更改被定义为:

所有更改记录生产使用适当的文档(如方法。脚印票务系统、网络操作手册,ut,文件共享,或系统日志)。

文档(如Visio图表/表格/库存管理/网络管理系统/ IP地址管理系统,变更请求门票)保存为网络和配置数据,包括IP模式,当前的配置,MAC地址,用户识别,设备位置。这些信息保存电子和定期备份。集体这个文档反映所有移动/添加/修改/删除设备的网络。

从任何开关或路由设备输出日志为跟进生产管理日志服务器操作和安全事故。依法维护日志大学政策# 880系统管理的责任。

保修,软件/硬件支持合同,执行或其他等效安排一生的所有网络设备。这样安排的目的是为了解决任何功能问题设备进行软件更新,并提供参考资料。时就不可能维持一个支持模型,替换的设备将被优先考虑。

定期应用安全补丁。机制,定期更新和保持当前的安全补丁和软件升级。

网络基础设施是定期测试和扫描,扫描频率与设备类型,功能和遵从性需求(如按季度、按年或者在重大网络配置更改)。

对区域包含网络设备的物理访问仅限于授权的人员。位置包含网络设备安全(锁、卡键等)和/或标记,以防止未经授权的访问大学网络。

所有软件配置网络设备定期备份周期与周期(如每日或每周)离线存储备份。

物理或工作副本的路由器或交换机配置是按照欧政策处理360年物业管理和860年信息安全。

身份验证访问路径管理功能的实现。没有默认的身份验证凭证仍从制造商运送;默认的密码都改变了。定期密码控制程序或其他方法如半径或TACACS实现密码管理。

在网络硬件服务不需要删除或限制(例如web服务器、SNMP、FTP、等等)。剩余的服务设置强密码。SNMP社区字符串是相当于密码和从厂商提供的默认值。访问控制列表是用来限制对服务的访问。

访问限制不必要的网络和大学的网络位置。过滤器,使用访问列表,或防火墙限制访问管理接口和/或设备上的服务。推荐配置本地连接或通过一个堡垒主机使用SSH。

所有管理接口和/或交通访问列表记录过滤器状态的目的是什么。

路由器和交换机的配置后定期审查风险咨询外部安全需求的最佳来源。(例如,SANS,证书,设备制造商)。

更详细的配置要求和建议可以定期出版的ut,以确保安全和业务连续性。

设计实践

网络硬件是标准化在每个校园位置周期性的升级计划。

网络硬件,包括但不限于开关、无线接入点,中心不允许被附加到从生产网络没有事先书面授权。流氓的网络将会定期扫描或监控设备。任何未经授权的设备将会从网络中删除。

设备满足相关标准pci dss只能连接到网络使用一个物理有线连接(与无线连接),必须审查和批准生产与现行的pci dss标准兼容的实现。

本地网络服务器或其他设备提供DNS、DHCP、其他基础设施所提供的服务,冲突与UTS是不允许的。

只有一个用户计算机或网络设备可以被附加到一个网络杰克从ut /出口未经事先书面授权。为了生产连接可能会考虑一个语音IP (VoIP)手机相当于一个网络杰克/出口,允许单个设备通过VoIP电话连接到网络。

网络注册或认证系统用于将用户id,硬件的客户,MAC地址和IP地址。试图绕过或规避网络身份验证系统是被禁止的