定义: 访问帐户:访问帐户访问身份管理计划的一部分,通常为一个单独的系统用户提供身份通常被称为一个用户名和密码登录和访问一个系统,网络或应用程序。一个访问帐户将被分配特定的特权适合个人的工作职责和访问的目的。 身份管理系统:身份管理系统设计的系统为目的的管理登录凭证,如身份登录,密码,和个人识别号码。
管理员:负责在大学的法律“老板”或“操作符”所有信息技术资源购买或租用大学基金,对任何特定的系统可能会委托的特定细分的大学治理结构,如副总统、院长、系主任或行政部门主管在系统信息技术资源的控制下不是大学技术服务。程式化或租赁设备,那个人是管理员负责本政策。
系统管理员:负责任的默认管理员是系统管理员,但管理员可指定另一个人负责管理这个系统。这个指定的系统管理员,负责维护、支持和一个系统或系统的操作。系统管理员有其他责任的大学作为一个整体系统(s)在他们的监督下,不管他们的政策部门或组。管理员负责最终的系统管理员的行为负责。系统管理员负责他们的选区。
系统管理:系统管理是指系统管理员的具体职责和任务。这些任务包括,但不限于:安装、支持、和维护操作系统、数据库管理系统、应用软件、硬件;规划、故障解决,应对系统问题或中断;关于系统的使用和提供知识渊博的事实的组织。
技术货币:状态、年龄、和州non-obsolescence的硬件和软件。大学努力维持足够的和最新的硬件,坚持合理的更换周期,并维护安全、功能软件通过监测和安装所需的版本,安全更新和补丁。 |
程序: 访问帐户完整性 只要有可能,访问账户身份管理与UTS集成管理系统,如NetID系统(LDAP)或Active Directory (ADMNET)。集中认证坚持大学政策允许系统管理员关注系统和应用程序管理、用户权限分配,系统中用户角色。安全是增强通过减少登录身份和密码的扩散。
如果系统管理员管理账户的访问,访问帐户活动必须及时执行,包括及时提供新的帐户和删除旧帐户。所有访问账户验证使用单独分配唯一的用户名和密码。账户将被分配和启用所需的最小权限。
所有访问帐户被禁用就业后立即终止,除非事先通过大学政策或技术服务。所有访问账户定期检讨存在的恶意,过时的、或未知账户。访问帐户将被禁用,删除访问规则的基础上对环境和符合所有许可证。系统管理员将确保访问账户可以追溯到一个人访问账户系统匹配用户的授权访问,最初被禁用或供应商提供的默认账户或密码,和访问账户实现匹配这一政策。
系统管理员将验证访问机密数据(中定义# 860信息安全政策)被访问账户和系统时间记录,包括根和管理访问权限。
系统管理员将确保使用强密码,这些密码更改频繁,范围内的系统环境。系统管理员必须验证所有所有系统和网络设备上的密码加密在交通和其他强加密。存储访问账户身份验证数据(例如,密码文件,加密密钥,证书,个人识别号码,接入码)必须妥善保护和访问控制,强大的加密,阴影,等等——例如,密码文件不得公开。 b。许可、版权和合同 系统管理员必须尊重和执行版权,软件许可证和合同。所有的软件受版权保护不能复制或访问除特别规定版权的所有者或版权法所允许的。保护软件可能不被复制到,或由任何大学设施或系统,除了依照一个有效的许可证或另有允许的版权法。数量和分布的副本必须以这样一种方式处理并发用户的数量在一个部门不超过原来的拷贝数部门购买的,除非另有规定的购买合同。系统管理员负责执行系统符合相关合同,软件,和采购政策。 c。数据保护 系统管理员将实现足够的保护机密数据(定义的# 860信息安全政策),包括适当的存储位置的识别、加密过程,和删除机密数据不保留下维护指南。 d。数据和系统备份服务 系统管理员必须定期执行系统管理和备份服务,或者他们必须与UTS管理员添加他们的系统备份结构更大的大学。系统管理员将描述数据恢复服务,如果有的话,给系统用户。书面文档给系统用户或消息发布在计算机系统本身应当被认为是一个适当的备份描述。
UTS维护系统示意图描述系统的管理和维护这些系统的日常备份,批准的首席信息官,只用于灾难恢复。UTS备份上创建一个旋转时间表并存储在位置首席信息官批准。首席信息官授权特别UTS备份。 e。执法 UTS审计的安全系统,会出现在大学网络。UTS可能扫描或合规检查系统断开或隔离任何不一致的系统网络大学,直到系统带入合规。按照这一政策,违反者可能会被拒绝进入大学计算资源和其他可能受到处罚和惩戒程序适当的纪律处分包括大学大学地位/政策# 890大学信息技术资源的使用。 f。调查可能的误用和系统日志 系统管理员必须立即报告任何可能的滥用数据和安全漏洞发现大学技术服务和奥克兰大学警察局。万博ManBetX登录系统管理员可能会第一个证人可能的滥用。系统管理员将立即调查任何可能违反技术服务报告给他们的大学。
系统管理员分配给定期和定期监控系统日志可能的滥用和误用。系统管理员必须报告任何日志异常,滥用指示或滥用指示UTS在两个正常工作日或48小时,发现的。当出现安全漏洞或未经授权的数据暴露,UTS可能禁用访问系统而法医的副本系统是由刑事调查或与执法工作时。
系统管理员应保持适当的系统日志至少48小时,不超过30天,如果这样的日志启用识别一个人,除非有特定的法律或监管要求要求不再保留与UTS审查和法律事务的办公室。不确定用户的日志和个人不得被系统管理员根据需要保存。
传票和所有其他信息要求电子数据或系统记录必须立即被称为法律事务办公室。系统管理员可能会负责提供信息关于电子存储的信息是可用的(包括系统示意图、备份和日志),保存电子存储信息和生产信息的法律事务办公室。诉讼通知覆盖备份周期和保留的标准政策和做法。 g。修改或删除设备 退休信息技术资源、处理或转移到另一个位置必须有所有数据和许可删除,删除和发布前不可读的设备。软件和信息技术大学资源许可不得转让给第三方。除必须符合安全标准建立了大学技术服务。设备必须使用批准的方法处理物业管理。系统管理员不能尝试修改或删除计算机设备,软件,或外围设备控制或由他人没有适当的授权。 h。网络的一致性 系统管理员将实现系统结构符合整个大学互联网协议(IP)地址、域名服务、无线连接策略,防火墙规则,和目录服务,建立了大学技术服务。 我。特殊领域的遵从性
大学必须符合某些特殊规定。特别是,支付卡行业(PCI)和健康保险携带和责任法案(HIPAA和相关高科技Act)有特定的要求。其他法律和监管领域可能会出现不时要求特定的系统管理协议。系统过程中,存储或传输信用卡或其他支付方式必须符合支付卡行业合规标准。系统过程中,存储或传输电子受保护的健康信息(EPHI)必须满足HIPAA和相关高科技合规标准。UTS必须告知所有的系统过程,存储或传输PCI或HIPAA数据。 系统管理员负责PCI或HIPAA兼容系统必须参加年度合规培训。 所有系统和应用程序用于处理、传输或存储持卡人信息或EPHI必须访问由独特的控制和允许分配登录身份和密码。只要有可能,管理权限将启用ldap。访问帐户只有得到所需的最小资源来执行一个函数。管理员账户需要更改密码每90天。密码策略必须执行使用强密码至少8个字符长。密码必须包含数字和字母的值。个人帐户的新密码不能与之前四(4)的密码。 账户被锁定当多个试图访问失败。重复登录失败尝试必须在六(6)尝试锁定帐户。停摆持续时间必须设置为30分钟;行政覆盖后验证是允许的。 系统必须安装最新的安全补丁及时除非否决了由系统管理员,然后只有补偿控制。服务器硬化的实现必须基于业界公认的最佳实践。系统物理安全,访问仅限于授权的管理员。软件维护文件的完整性是用来检测不当改变系统文件或日志数据。访问控制日志包含成功和失败的登录尝试访问日志。集中的日志记录数据访问,成功的登录尝试,失败的登录尝试保留三个月一年在线和离线。 j。远程访问 用于远程访问系统管理必须通过安全加密的通讯提前验证大学技术服务。 从网络k。删除 为了保证所有大学系统用户一个良好的环境,并为网络服务满足大学的期望,一个系统发现不符合大学政策可能从大学网络中删除。没有必要时立即断开,系统管理员也要立即采取行动,来诊断问题,停止任何持续的虐待,做任何改变是必要的,以防止复发。这将涉及采用最佳实践安全。这个过程应该保留任何证据表明可能需要找到问题的根源,采取任何法律或纪律处分,可能是适当的。系统管理员可能会被要求证明符合本文档之前和大学政策网络服务恢复后记录不符合的实例。 l。系统的完整性 系统管理员负责安装和维护系统的完整性的所有方面,包括获得的版本和补丁,确保操作系统升级的货币,安装补丁,管理版本,安装杀毒软件,更新病毒定义,改变所有厂商的默认密码,时钟同步系统,关闭不需要的服务和端口系统的有效运行。及时更新供应商的硬件和软件协议是必需的。没有供应商的支持合同并不意味着大学技术服务能够修复和恢复系统事先协议或通知。系统管理员必须尽一切努力保持熟悉安全技术的变化,关系到他们的系统,不断地分析技术漏洞及其产生的安全隐患。 m。第三方访问 第三方访问大学信息技术资源必须通过合同义务遵守大学的安全政策和实践。 n。供应商账户和密码 系统管理员必须确认供应商默认密码被禁用或更改后立即安装和持续时间的实现。所有供应商必须加密的密码。账户所需的供应商只启用所需的时间,和残疾人在完成工作。 |
