PURPOSE
该政策的目的是为Mont Alto校园拥有和/或运营的内部服务器设备的基本配置建立标准. 有效实施这一政策将最大限度地降低未经授权访问校园和大学专有欧博官网app下载和技术的风险.
SCOPE
此政策适用于蒙特阿尔托校区所有代理商拥有和/或操作的服务器设备.
这一政策是专门针对内部蒙奥图数据网络上的设备,包括管理系统以及教师和学生的研究或测试系统.
DEFINITIONS
Server - For the purposes of this policy, 它被定义为托管在欧博体育官网蒙托数据网络上的服务器,提供由欧博官网app下载技术服务部门批准的服务. 台式计算机和实验室计算机系统不属于本政策的范围.
Denial of service attack -一种旨在阻止系统向用户提供服务的攻击.
Dictionary attack -自动使用包含潜在密码的“字典”,用于尝试入侵一个帐户或一系列帐户.
POLICY
Ownership and Responsibilities
部署在Mont Alto校园的所有内部服务器必须归校园所有. 负责每台服务器的系统管理员必须签署并同意“终端用户计算协议”.签署的政策必须提交给资讯科技总监,并在服务器的使用寿命内存档. 新服务器的安装必须得到部门主管和资讯科技总监的批准. 将根据业务需要作出决定,并由校园校长授予最终批准. Configuration Guidelines must be monitored for compliance.
Server Configuration Requirements
- 操作系统配置应符合批准的校园指导方针,以确保对未经授权的访问具有重要的安全级别.
- 在可行的情况下,必须禁用不使用的服务和应用程序.
- 应该记录对服务的访问,并/或通过访问控制方法(如TCP包装器或其他安全机制)进行保护.
- 系统必须在一周内安装最新的安全补丁. 唯一的例外是即时应用程序会干扰业务需求.
- Trust relationships between systems are a security risk; their use should be avoided. 当其他沟通方式足够时,不要使用信任关系.
- 始终使用最少需要访问的标准安全原则来执行功能.
- 如果安全通道连接的方法是可用的并且在技术上是可行的, privileged access must be performed over secure channels, (e.g., encrypted network connections using SSH or IPSec).
- 服务器必须物理地位于访问控制的环境中.
- 特别禁止在系统管理员以外的人员可以访问的区域操作服务器.
- 必须安装杀毒软件,并设置为自动更新病毒定义.
- 服务器托管可用于外部网络(校园外)或Internet的服务.g. www/ftp/sftp/ssh/smtp/pop/imap, etc.)必须放置在校园非军事区(DMZ),以确保网络流量隔离和最佳安全实践.
- No firewall rule exceptions for inbound traffic, 如果服务器托管或存储敏感的大学数据,是否允许使用服务器.
Monitoring
- 必须记录关键或敏感系统上的所有与安全相关的事件,并按如下方式保存审计跟踪:
- 所有与安全相关的日志将在线保存至少1周.
- Archived logs will be retained for a minimum of six months.
- 与安全有关的事件将报告给欧博官网app下载技术总监, 谁可以查看日志并向大学保安处报告事件. Corrective measures will be prescribed as needed. Security-related events include, but are not limited to:
- Dictionary attacks
- Unauthorized network scanning
- Denial of service attacks
- Evidence of unauthorized access to privileged accounts
- 与主机上的特定应用程序无关的异常事件.
Compliance
- 审核将由获授权的ITS工作人员定期和随机进行.
- 审计将由大学保安办公室或校园ITS工作人员管理, 根据事件和灾难容忍/响应政策. 学校将向适当的系统管理员提交相关的调查结果,以进行补救或证明.
- 将尽一切努力防止审计导致操作失败或中断.
Enforcement
任何被发现违反本政策的员工都可能受到其行政单位的纪律处分, the campus, or the University. 涉及严重安全漏洞的系统可能会被没收以进行法医分析.
CROSS REFERENCE
Other policies that should also be referenced:
AD20 – Computer and Network Security
PSU-MA-ITS-000 - End-User Computing Agreement
PSU-MA-ITS-004 - Technology Acceptable Use Policy (AUP)
PSU-MA-ITS-005 – Password Policy
PSU-MA-ITS-006 – Anti-Virus Policy
PSU-MA-ITS-009 – Firewall rule and Exception Policy
PSU-MA-ITS-012 – Data Backup and Retention Policy
PSU-MA-ITS-013事件和灾难容忍/响应策略
POLICY HISTORY
Ratified June 5, 2009