程序: a.访问帐户完整性 只要有可能,访问帐户与UTS管理的身份管理系统集成,如NetID系统(LDAP)或活动目录(ADMNET)。集中式身份验证遵循大学政策,允许系统管理员专注于系统和应用程序管理、用户权限分配和系统内的用户角色。通过减少登录身份和密码的扩散,安全性得到了增强。
如果系统管理员管理访问帐户,则必须及时执行访问帐户活动,包括及时提供新帐户和删除旧帐户。所有访问帐户都使用单独分配的唯一用户名和密码进行身份验证。帐户将被分配和启用最少需要的特权。
除非大学政策或大学技术服务部门事先批准,否则所有访问帐户在雇佣终止后立即被禁用。定期检查所有访问帐户是否存在恶意、过时或未知帐户。“Access Accounts”将根据环境的访问规则和所有license禁用和删除。系统管理员将确保访问帐户可以追踪到个人,访问帐户系统访问与用户的授权相匹配,初始帐户或供应商提供的默认帐户或密码被禁用,并且访问帐户实现与此策略匹配。
系统管理员将验证对机密数据(定义于信息安全)由访问帐户和系统时间记录,包括root和管理员权限。
系统管理员将确保使用强密码,并在系统环境的限制内频繁更改这些密码。系统管理员必须验证所有系统和网络设备上的所有密码在传输和休息时都经过了强加密。存储的访问帐户身份验证数据(例如,密码文件、加密密钥、证书、个人识别号码、访问代码)必须使用访问控制、强加密、阴影等适当保护-例如,密码文件不能是全世界可读的。 b.许可、版权和合同 系统管理员必须尊重和执行版权、软件许可和合同。所有受版权保护的软件都不得复制或访问,除非版权所有者明确规定或版权法允许。受保护的软件不能复制到,从,或由任何大学设施或系统,除非根据有效的许可证或版权法允许的其他情况。拷贝的数量和分发必须保证一个部门同时使用的数量不超过该部门购买的原件数量,除非购买合同另有规定。系统管理员负责执行系统与相关合同、软件和购买政策的一致性。 c.数据保护 系统管理员将对机密数据实施充分的保护信息安全),包括确定适当的储存地点、加密程序,以及删除未按保留指引保存的机密资料。 d.数据和系统备份业务 系统管理员必须为他们管理的系统执行定期和完整的备份服务,或者他们必须与UTS管理员合作,将他们的系统添加到更大的大学备份结构中。系统管理员将描述提供给系统用户的数据恢复服务(如果有的话)。发给系统用户的书面文件或张贴在计算机系统上的信息应被视为充分的备份说明。
UTS维护系统原理图,描述其管理系统,并维护这些系统的每日备份,由首席信息官批准,仅用于灾难恢复目的。UTS备份按轮换时间表创建,并存储在首席信息官批准的位置。首席信息官授权特殊的UTS备份。 e。执法 UTS将审计在大学网络上存在的系统的安全性。UTS可以扫描或检查系统的合规性,并可以从大学网络断开或隔离任何不合规的系统,直到系统符合要求。根据这一政策,违规者可能会被拒绝访问大学的计算资源,并可能受到其他惩罚和纪律处分,包括与其大学身份相适应的大学纪律处分程序政策#890大学信息技术资源的使用. f.调查可能的误用和系统日志 系统管理员必须在发现任何可能的数据滥用和安全漏洞后立即向大学技术服务部和奥克兰大学警察局报告。万博ManBetX登录系统管理员可能是可能的滥用的第一个见证者。系统管理员将立即调查大学技术服务部报告给他们的任何可能的违规行为。
系统管理员被指派定期监控系统日志,防止可能的滥用和误用。系统管理员必须在发现后的两个工作日或48小时内向UTS报告任何日志异常、滥用指示或误用指示。当发生安全漏洞或未经授权的数据泄露时,UTS可能会在系统的法医副本或与执法部门合作进行刑事调查时禁用对系统的访问。
系统管理员应维护适当的系统日志至少48小时,如果这些日志可以识别一个人,则不应超过30天,除非经UTS和法律事务办公室审查,有特定的法律或法规要求更长时间的保存。系统管理员可以根据需要保留不标识用户或人员的日志。
关于电子数据或系统记录的传票和所有其他信息要求必须立即提交法律事务厅。系统管理员可能负责提供关于可用电子存储信息的信息(包括系统原理图、备份和日志)、保存电子存储信息并为法律事务厅提供这些信息。诉讼通知会覆盖备份周期和保留的标准政策和实践。 g.设备的改装或搬迁 退役、处置或转移到其他位置的信息技术资源必须在设备发布之前删除、擦除并使其不可读。授权给大学的软件和信息技术资源不得转让给第三方。移除必须符合大学技术服务部门制定的安全标准。设备必须使用物业管理部门批准的方法进行处理。未经适当授权,系统管理员不得试图修改或删除由他人控制或管理的计算机设备、软件或外围设备。 h.网络一致性 系统管理员将按照大学技术服务部建立的互联网协议(IP)寻址、域服务、无线连接策略、防火墙规则和目录服务的整体大学结构来实施系统。 i.特殊合规领域
大学必须遵守某些特殊规定。特别是,支付卡行业(PCI)和健康保险携带与责任法案(HIPAA和相关的HiTech法案)有特定的要求。其他法律和监管领域可能会不时出现,需要特定的系统管理协议。处理、存储或传输信用卡或其他支付方式的系统必须符合支付卡行业合规标准。处理、存储或传输电子保护健康信息(EPHI)的系统必须符合HIPAA和相关HITECH合规标准。UTS必须了解所有处理、存储或传输PCI或HIPAA数据的系统。 负责PCI或HIPAA合规系统的系统管理员必须每年参加合规培训。 所有用于处理、传输或存储持卡人信息或EPHI的系统和应用程序必须具有由唯一分配的登录身份和密码控制和允许的访问权限。只要可能,管理访问将启用ldap。帐户只能访问执行某个功能所需的最低限度的资源。管理员帐号需要每90天修改一次密码。密码策略必须强制使用长度至少8个字符的强密码。密码必须同时包含数字和字母值。单个帐户的新密码不能与前4次密码相同。 当多次尝试访问失败时,帐户将被锁定。重复失败的登录尝试必须在六(6)次尝试后锁定帐户。锁定时间必须设置为30分钟;验证后的管理重写是允许的。 系统必须及时安装最新的安全补丁,除非被系统管理员否决,然后只有补偿控制到位。服务器加固实现必须基于业界公认的最佳实践。系统在物理上是安全的,只有授权管理员才能访问。维护文件完整性的软件用于检测对系统文件或日志数据的不当更改。访问控制日志包括成功登录和失败登录以及访问日志。集中记录数据访问、成功登录和失败登录的日志,在线保存3个月,离线保存1年。 j.远程接入 用于系统管理的远程访问必须通过安全、加密的通信处理,并由大学技术服务部门事先验证。 k.从网络中移除 为了确保所有大学系统用户有一个良好的环境,并满足大学对网络服务的期望,不符合大学政策的系统可能会从大学网络中移除。当不需要立即断开连接时,系统管理员仍然需要立即采取行动,诊断问题,停止任何正在进行的滥用,并进行必要的更改以防止再次发生。这将涉及采用安全方面的最佳实践。这一过程应保存可能需要的任何证据,以确定问题的根源,并采取任何可能适当的法律或纪律行动。系统管理员可能会被要求证明遵守本文件和大学政策后,网络服务恢复后,文件记录的不合规实例。 l.系统完整性 系统管理员负责安装和维护系统完整性的各个方面,包括获取版本和修复程序以确保操作系统升级的正确性、安装补丁、管理版本、安装防病毒软件、更新病毒定义、更改所有供应商默认密码、同步系统时钟以及关闭系统有效运行所不需要的服务和端口。需要及时更新供应商硬件和软件协议。没有供应商支持合同并不意味着大学技术服务能够在没有事先协议或通知的情况下修复和恢复系统。系统管理员必须尽一切努力熟悉与其系统相关的不断变化的安全技术,并不断分析技术漏洞及其导致的安全影响。 m.第三方接入 有权访问大学信息技术资源的第三方必须按照合同义务遵守大学的安全政策和做法。 n.厂商帐号和密码 系统管理员必须在安装时和在实施期间立即禁用或更改供应商默认密码。所有供应商的密码都必须加密。供应商需要的帐户只在需要的时间内启用,并在工作完成时禁用。 |
