880系统管理职责
主题: | 系统管理职责 |
数量: | 880 |
授权机构: | 战略委员会 |
负责办公室: | 大学科技服务 |
发行日期: | 2003年5月 |
最后更新: | 2013年3月 |
理由是: 该政策旨在保护由部门系统管理员和教师支持的广泛的信息技术资源, 以及大学技术服务(UTS)的工作人员. | |
政策: 系统管理必须以专业和及时的方式完成,以保护大学的资产和大学所使用的广泛的资讯科技资源. 系统管理员对大学负有责任,并应尽合理努力:
| |
适用范围及适用性: 这项政策适用于所有大学学生, 教职员工和其他人负责维护, 大学资讯科技资源的支援及运作 OU美联社&大学信息技术资源的利用. 这一政策涉及所有大学的信息技术资源,无论是单独控制还是共享, 独立或联网. 它适用于所有信息技术资源, 包括系统和服务器, 拥有, 租赁, 操作, 或由大学控制. 当地规定的使用条件和外部使用条件: 大学内的个别单位可为其控制下的资讯科技资源订定“使用条件”,只要这些条件不与 OU美联社&大学信息技术资源的利用 或者这个政策. 各单位有责任宣传它们所制定的规章和它们所负责的设备的授权和适当使用的政策. | |
定义:
访问帐户: 访问帐户是访问身份管理方案的一部分,通常为单个系统用户提供通常称为用户名和密码的身份,以登录和访问系统, 网络或应用程序. 将为访问帐户分配适合个人工作职责和访问目的的特定权限. 身份管理系统: 身份管理系统是为管理登录凭据而设计的系统, 例如登录身份, 密码, 以及个人识别号码. | |
程序: a. 帐户完整性 只要有可能, 访问帐户与UTS管理的身份管理系统集成,如NetID系统(LDAP)或Active 目录 (ADMNET)。. 集中认证遵循大学政策,允许系统管理员专注于系统和应用程序管理, 用户权限分配, 以及系统中的用户角色. 通过减少登录身份和密码的激增,增强了安全性. b. 许可证、版权和合同 系统管理员必须尊重并执行版权、软件许可和合同. 所有受著作权保护的软件,除著作权人另有规定或著作权法另有许可外,不得复制或使用. 受保护的软件不得复制到, 从, 或任何大学设施或系统, 但根据有效许可或版权法另有许可的除外. 副本的数量和分发必须以这样的方式处理,即一个部门同时使用的用户数量不超过该部门购买的原件数量, 除非购买合同另有规定. 系统管理员负责执行系统与相关合同的一致性, 软件, 采购政策. c. 数据保护 系统管理员应充分保护机密数据(定义见 政策#860信息安全), 包括确定适当的储存地点, 加密过程, 并删除未按保留准则保存的机密数据. d. 数据和系统备份业务 系统管理员必须定期对其管理的系统进行完整的备份服务, 或者他们必须与UTS管理员合作,将他们的系统添加到更大的大学备份结构中. 系统管理员将描述提供给系统用户的数据恢复服务(如果有的话). 发给系统用户的书面文件或者发布在计算机系统本身的信息,应当视为充分的备份说明. e. 执行 悉尼科技大学将审核大学网络上存在的系统的安全性. UTS可以扫描或检查系统的合规性,并可以断开或隔离任何不符合大学网络的系统,直到系统达到合规性. 按照这个政策, 违规者可能会被拒绝使用大学计算机资源,并可能受到其他处罚和纪律处分,包括与其大学身份相适应的大学纪律处分程序 政策#890使用大学资讯科技资源. f. 调查可能的滥用和系统日志 系统管理员必须在发现任何可能的数据滥用和安全漏洞后立即向大学技术服务和十大菠菜台子警察局报告. 系统管理员可能是可能的滥用的第一个见证人. 系统管理员将立即调查大学技术服务部报告给他们的任何可能的违规行为. g. 改造或拆除设备 退休的信息技术资源, 处理, 或转移到另一个位置必须删除所有数据和许可证, 在释放设备之前,删除并使其不可读. 授权给大学的软件和信息技术资源不得转让给第三方. 搬迁必须符合大学技术服务部制定的安全标准. 设备的处置方法必须经物业管理部门批准. 系统管理员不得试图修改或移除计算机设备, 软件, 或未经适当授权由他人控制或管理的外设. h. 网络的一致性 系统管理员将根据整个大学的互联网协议(IP)寻址结构来实施系统, 域名服务, 无线连接策略, 防火墙规则, 以及目录服务, 由大学科技服务部成立. i. 特别的合规范畴 大学必须遵守某些特殊规定. 特别是, 支付卡行业(PCI)和健康保险流通与责任法案(HIPAA和相关的HiTech法案)有具体的要求. 其他法律和法规领域可能会不时出现,需要特定的系统管理协议. 处理系统, 存储或传输信用卡或其他支付方式必须符合支付卡行业合规标准. 处理系统, 存储或传输电子保护健康信息(EPHI)必须符合HIPAA和相关的HITECH合规标准. UTS必须被告知处理、存储或传输PCI或HIPAA数据的所有系统. 负责PCI或HIPAA合规系统的系统管理员必须参加年度合规培训. 所有用于处理的系统和应用程序, 传输或存储持卡人信息或EPHI必须通过唯一分配的登录身份和密码进行访问控制和允许. 只要有可能,就启用ldap进行管理访问. 访问帐户只能访问执行某个功能所需的最小资源. 管理员帐号需要每90天修改一次密码. 密码策略必须强制使用长度至少为8个字符的强密码. 密码必须同时包含数字和字母. 个人帐户的新密码不能与前4个密码相同. 当多次尝试访问失败时,帐户将被锁定. 重复登录失败的尝试必须在六(6)次后锁定帐户. Lockout durations must be set to 30 minutes; administrative override after verification is permissible. 系统必须及时安装最新的安全补丁,除非被系统管理员否决,然后只有适当的补偿控制. 服务器加固实现必须基于业界公认的最佳实践. 系统在物理上是安全的,只有授权的管理员才能访问. 维护文件完整性的软件用于检测系统文件或日志数据的不当更改. 访问控制日志包括成功登录和失败登录以及对日志的访问. 集中记录数据访问的日志, 成功登录次数, 不成功的登录尝试将被在线保存三个月,离线保存一年. j. 远程访问 用于系统管理的远程访问必须通过secure, 经大学技术服务部事先核实的加密通讯. k. 从网络中移除 为确保所有大学系统使用者享有良好的环境, 并满足大学对网络服务的期望, 发现不符合大学政策的系统可能会从大学网络中删除. 当不需要立即断开时, 系统管理员仍然需要立即采取行动, 诊断问题, 阻止任何持续的虐待, 并做出必要的改变以防止再次发生. 这将涉及采用安全性的最佳实践. 这一过程应保留任何可能需要的证据,以查明问题的根源,并采取任何可能适当的法律或纪律行动. 系统管理员可能会被要求证明遵守了本文件和学校的政策,然后在有文件记录的违规实例后恢复网络服务. l. 系统的完整性 系统管理员负责安装和维护系统完整性的各个方面, 包括获取版本和修复,以确保操作系统升级的货币, 安装补丁, 管理发布, 安装杀毒软件, 更新病毒定义, 修改所有厂商默认密码, 同步系统时钟, 关闭系统有效运行不需要的服务和端口. 需要及时更新供应商的硬件和软件协议. 没有供应商支持合同并不意味着大学技术服务部可以在没有事先协议或通知的情况下修复和恢复系统. 系统管理员必须尽一切努力熟悉与其系统相关的不断变化的安全技术,并不断分析技术漏洞及其产生的安全含义. m. 第三方访问 有权访问大学信息技术资源的第三方必须遵守大学的安全政策和惯例. n. 供应商帐户和密码 系统管理员必须验证供应商默认密码在安装后和实施期间是否被禁用或立即更改. 所有供应商的密码必须加密. 供应商需要的帐户仅在需要的时间内启用, 并在工作完成后禁用. | |
相关政策及表格:
| |
附录: | |