程序: a.访问帐户完整性 只要有可能,访问帐户与UTS管理的身份管理系统,如NetID系统(LDAP)或活动目录(ADMNET)集成。集中式认证遵循大学政策,允许系统管理员专注于系统和应用程序管理、用户权限分配和系统内的用户角色。通过减少登录身份和密码的激增,增强了安全性。
如果系统管理员管理Access Account,则必须及时执行Access Account活动,包括及时提供新帐户和删除旧帐户。所有访问帐户都使用单独分配的唯一用户名和密码进行身份验证。将为帐户分配并启用最不需要的特权。
除非事先得到大学政策或大学技术服务部的批准,否则所有访问帐户在雇佣终止后立即被禁用。所有访问帐户定期审查是否存在恶意,过时或未知的帐户。Access account会根据环境的访问规则和所有的license被禁用和删除。系统管理员将确保访问帐户可以追踪到个人,访问帐户系统访问与用户授权相匹配,禁用初始或供应商提供的默认帐户或密码,并且访问帐户实现与此策略相匹配。
系统管理员将验证对机密数据(定义在政策#860信息安全)由访问帐户和系统时间记录,包括根和管理访问。
系统管理员将确保在系统环境的限制范围内使用强密码并经常更改这些密码。系统管理员必须确保所有系统和网络设备上的所有密码在传输和静止时都经过了强加密。存储的访问帐户认证数据(例如,密码文件、加密密钥、证书、个人识别号码、访问代码)必须通过访问控制、强加密、阴影等加以适当保护——例如,密码文件必须不能是世界可读的。 b.许可、版权和合同 系统管理员必须尊重并执行版权、软件许可和合同。所有受著作权保护的软件,除著作权人另有规定或著作权法另有许可外,不得复制或使用。除非有有效的许可证或版权法允许,否则不得将受保护的软件复制到或从任何大学设施或系统中。副本的数量和分发,除购买合同另有规定外,必须保证部门同时使用的数量不超过该部门购买的原件数量。系统管理员负责使系统符合相关的合同、软件和采购政策。 c.数据保护 系统管理员应充分保护机密数据(定义见政策#860信息安全),包括确定适当的存储位置、加密过程以及删除未按保留准则维护的机密数据。 d.数据和系统备份业务 系统管理员必须为他们管理的系统执行定期和完整的备份服务,或者他们必须与UTS管理员合作,将他们的系统添加到更大的大学备份结构中。系统管理员将描述提供给系统用户的数据恢复服务(如果有的话)。发给系统用户的书面文件或者发布在计算机系统本身的信息,应当视为充分的备份说明。
科大维护系统原理图,描述其管理系统,并维护经首席信息官批准的这些系统的每日备份,仅用于灾难恢复目的。UTS备份是根据轮换计划创建的,并存储在首席信息官批准的位置。首席信息官授权特殊的UTS备份。 e。执法 悉尼科技大学将审核大学网络上存在的系统的安全性。UTS可以扫描或检查系统的合规性,并可以断开或隔离任何不符合大学网络的系统,直到系统达到合规性。根据这一政策,违规者可能会被拒绝访问大学的计算机资源,并可能受到其他处罚和纪律处分,包括适合其大学身份的大学纪律处分程序政策#890使用大学资讯科技资源。 f.调查可能的滥用和系统日志 系统管理员必须在发现任何可能的数据滥用和安全漏洞后立即向大学技术服务和奥克兰大学警察局报告。万博ManBetX登录系统管理员可能是可能的滥用的第一个见证人。系统管理员将立即调查大学技术服务部报告给他们的任何可能的违规行为。
系统管理员被指派定期监视系统日志,以防止可能的滥用和误用。系统管理员必须在发现任何日志异常、滥用或误用迹象后的两个正常工作日或48小时内向UTS报告。当发生安全漏洞或未经授权的数据暴露时,UTS可能会在制作系统的法医副本或与执法部门合作进行刑事调查时禁用对系统的访问。
系统管理员应保留适当的系统日志至少48小时,如果这些日志能够识别一个人,则不应超过30天,除非有特定的法律或监管要求,需要更长的保留时间,并经UTS和法律事务办公室审查。不能识别用户或人员的日志可以根据系统管理员的需要保存。
对电子数据或系统记录的传票和所有其他信息请求必须立即提交给法律事务办公室。系统管理员可能负责提供有关可用电子存储信息的信息(包括系统原理图、备份和日志),保存电子存储信息并为法律事务办公室生成该信息。诉讼通知覆盖备份周期和保留的标准策略和实践。 g.设备的修改或拆除 退役、处置或转移到另一地点的信息技术资源必须在设备释放之前删除、擦除并使其不可读。授权给大学的软件和信息技术资源不得转让给第三方。搬迁必须符合大学技术服务部制定的安全标准。设备的处置方法必须经物业管理部门批准。未经适当授权,系统管理员不得试图修改或删除由他人控制或管理的计算机设备、软件或外围设备。 h.网络一致性 系统管理员将按照大学技术服务部制定的互联网协议(IP)寻址、域服务、无线连接策略、防火墙规则和目录服务的整体大学结构来实施系统。 i.特殊的合规领域
大学必须遵守某些特殊规定。特别是,支付卡行业(PCI)和健康保险流通与责任法案(HIPAA和相关的HiTech法案)有具体的要求。其他法律和法规领域可能会不时出现,需要特定的系统管理协议。处理、存储或传输信用卡或其他支付方式的系统必须符合支付卡行业合规标准。处理、存储或传输电子保护健康信息(EPHI)的系统必须符合HIPAA和相关的HITECH合规标准。UTS必须被告知处理、存储或传输PCI或HIPAA数据的所有系统。 负责PCI或HIPAA合规系统的系统管理员必须参加年度合规培训。 所有用于处理、传输或存储持卡人信息或EPHI的系统和应用程序必须通过唯一分配的登录身份和密码进行访问控制和允许。只要有可能,就启用ldap进行管理访问。访问帐户只能访问执行某个功能所需的最小资源。管理员帐号需要每90天修改一次密码。密码策略必须强制使用长度至少为8个字符的强密码。密码必须同时包含数字和字母。个人帐户的新密码不能与前4个密码相同。 当多次尝试访问失败时,帐户将被锁定。重复登录失败的尝试必须在六(6)次后锁定帐户。锁定时间必须设置为30分钟;允许在验证后进行管理重写。 系统必须及时安装最新的安全补丁,除非被系统管理员否决,然后只有适当的补偿控制。服务器加固实现必须基于业界公认的最佳实践。系统在物理上是安全的,只有授权的管理员才能访问。维护文件完整性的软件用于检测系统文件或日志数据的不当更改。访问控制日志包括成功登录和失败登录以及对日志的访问。集中记录数据访问、登录成功和登录失败的日志,在线保存3个月,离线保存1年。 j.远程访问 用于系统管理的远程访问必须通过大学技术服务部事先验证的安全加密通信来处理。 k.从网络中移除 为确保所有大学系统使用者享有良好的使用环境,并符合大学对网络服务的期望,任何不符合大学政策的系统,可能会被从大学网络中移除。当不需要立即断开连接时,系统管理员仍然需要立即采取行动,诊断问题,阻止任何正在进行的滥用,并进行必要的更改以防止再次发生。这将涉及采用安全性的最佳实践。这一过程应保留任何可能需要的证据,以查明问题的根源,并采取任何可能适当的法律或纪律行动。系统管理员可能会被要求证明遵守了本文件和学校的政策,然后在有文件记录的违规实例后恢复网络服务。 1 .系统完整性 系统管理员负责安装和维护系统完整性的各个方面,包括获取版本和修复以确保操作系统升级的有效性,安装补丁,管理版本,安装杀毒软件,更新病毒定义,更改所有供应商默认密码,同步系统时钟,关闭系统有效运行不需要的服务和端口。需要及时更新供应商的硬件和软件协议。没有供应商支持合同并不意味着大学技术服务部可以在没有事先协议或通知的情况下修复和恢复系统。系统管理员必须尽一切努力熟悉与其系统相关的不断变化的安全技术,并不断分析技术漏洞及其产生的安全含义。 m.第三方接入 有权访问大学信息技术资源的第三方必须遵守大学的安全政策和惯例。 n.供应商帐号和密码 系统管理员必须验证供应商默认密码在安装后和实施期间是否被禁用或立即更改。所有供应商的密码必须加密。供应商需要的帐户仅在需要的时间内启用,并在完成工作后禁用。 |