网络服务器安全要求和程序
介绍
马萨诸塞大学波士顿分校(UMass Boston)为大量和各种各样的用户提供网络服务,包括教职员工、学生和外部选区。任何校园网络系统的安全妥协都可能对位于马萨诸塞大学波士顿分校网络基础设施上的其他系统产生不利影响。马萨诸塞大学波士顿分校的信息技术(IT)与大学成员合作,在校园范围内负责确保网络系统的稳定性、性能、完整性和安全性,并提供支持语音、数据和视频服务的布线、电缆和无线网络基础设施。
大学数据是一项重要的机构资产,在大学运营的所有领域都严重依赖于决策需求。确保数据的保护、完整性和可靠性至关重要,包括教学、研究、财务、个人、运营和其他敏感数据,这些数据由大学信息系统维护或提供。IT部门负责确保这些系统不被误用,并确保系统和存储在其中的数据在安全的环境中得到维护和访问。
波士顿马萨诸塞大学的这项政策符合校董会政策T97-010(1997年2月5日通过;(2005年9月23日修订)数据安全、电子邮件和计算机政策制定政策声明,要求马萨诸塞大学(UMass)的每个校区制定和实施与数据安全、电子邮件和可接受的计算和数据资源使用相关的政策、标准和指导方针。本政策也符合马萨诸塞大学的所有政策、标准和指导方针,特别是马萨诸塞大学数据和计算标准以及马萨诸塞大学数据和系统管理员职责和系统要求。
马萨诸塞大学波士顿分校需要提供合理的保护,符合联邦和州法律对马萨诸塞大学波士顿分校的信托义务,以保护选定数据的隐私、使用和安全。法律包括但不限于:电子通信隐私法案(ECPA)、计算机欺诈和滥用法案(CFAA)、格雷姆-里奇-比利利法案(GLBA)、美国爱国者法案(USPA)、家庭教育权利和隐私法案(FERPA)、1996年健康保险可移植性和责任法案(HIPAA)等。本政策旨在定义义务的限制以及大学员工的职责和责任,以保护构成所有马萨诸塞大学波士顿分校计算机网络资源上受保护数据的信息。随着新技术和新工艺的出现,这一政策可能会发生变化。
定义
数据或信息安全——是指开发和实施一套合理的控制、措施和保障系统,以保护数据(无论其驻留在何种介质上)和计算资源免遭未经授权的访问、盗窃、删除、滥用、披露或破坏,从而保持数据和计算资源的可用性和完整性。基于主机或基于网络的入侵检测系统-使用自动化工具或一组工具来监控网络上的流量,以便通过分析数据和数据源来检测安全违规行为并采取适当行动的系统。
物理网络安全——对容纳网络基础设施组件的区域的控制访问,例如数据电子设备和物理电缆工厂。
网络管理——执行控制、计划、分配、部署、协调和监控数据网络资源所需的一组功能。
网络服务器-广义定义,是一台物理连接到马萨诸塞大学波士顿数据网络的计算机,用于共享或分发其信息资源,如打印机、文件和程序。此定义旨在包括配置为作为服务器运行的桌面工作站,但不包括支持点对点文件或打印机共享的桌面工作站。
网络流量-广义定义,是马萨诸塞大学波士顿分校网络范围内的数据流,以及马萨诸塞大学波士顿分校网络通过互联网服务提供商流出的流量。
远程访问-通过电话线或二级互联网服务提供商从远程位置访问计算机或网络的能力
马萨诸塞大学波士顿分校的计算机和网络资源-包括马萨诸塞大学波士顿分校拥有或运营的所有计算机和网络资源(例如路由器、交换机、打印服务器、远程访问服务器),以及直接连接到it维护的网络或从马萨诸塞大学波士顿分校接收网络服务的网络系统的所有系统(例如,校园局域网连接、调制解调器池、虚拟专用网连接)。
用户认证系统——指服务器用来验证远程客户端身份的认证方案。
虚拟专用网(VPN) -是一种专用通信网络,通过标准协议之上的可公开访问且不太可信的网络(例如Internet)与受保护的马萨诸塞大学波士顿分校网络进行保密通信,在远程用户的工作站和马萨诸塞大学波士顿分校网络或服务器之间插入防火墙。
无线接入点(WAP) -未经许可的扩频射频无线网络接入设备或技术,在马萨诸塞大学波士顿分校的有线和无线网络之间提供桥梁。
校园网和服务器安全政策
作为马萨诸塞大学波士顿分校数据网络的中心支持实体,IT部门被赋予以下职责和权限:
网络管理与安全
- IT是所有网络管理和网络安全相关活动的主要联系人。
- IT部门将准备网络建议和指导方针,并将其发布在IT网页上。IT将发布安全警报,发布漏洞通知,指导用户使用适用的安全补丁,并传播其他相关信息,以协助防止网络安全漏洞。
- 所有入站拨号线路(例如,调制解调器)和实时外部连接(例如,互联网)到马萨诸塞大学波士顿分校网络必须通过一个额外的访问控制点(例如,防火墙)之前,授权用户到达登录横幅或屏幕。使用用户身份验证系统的访问控制点将唯一地标识每个用户、设备和端口。马萨诸塞大学波士顿分校的目标是通过使用VPN消除所有拨号调制解调器。
- IT部门将协调对任何指称的计算机或网络安全危害、事件或问题的调查。可疑的安全问题和问题应通过电子邮件helpdesk@umb.edu或拨打分机7-5220报告给IT部门。
- IT部门将根据数据和信息安全的需要(例如,检测未经授权的活动或入侵企图)实时监控所有网络流量(即校内、入站和出站互联网、调制解调器连接、VPN),并确保适当的网络管理和性能。信息技术副教务长和首席信息官(CIO)将负责实施必要的网络流量控制,以实现网络管理和安全目标,并与马萨诸塞大学波士顿分校的学术和商业运营目标保持一致。
- IT被授权在任何时候对任何马萨诸塞大学波士顿分校的计算机、服务器或网络设备进行安全审计或扫描,以支持网络操作和性能,并确保适当的安全性。如果安全审计或扫描识别出可能危及麻省大学波士顿分校网络或大学数据的完整性和可靠性的安全漏洞,那么将请求设备管理员或系统管理员的合作来完成必要的纠正措施。如果无法取得适当的联系,将通知保管人或经理所在部门或单位的负责人。如果计算机,服务器或网络设备构成严重的安全问题或在全球范围内对马萨诸塞大学波士顿分校的网络产生负面影响,则在与适当的大学官员协商后,授权IT部门采取适当的行动,包括暂停设备的网络访问,直到安全问题或性能问题得到纠正。
- IT部门必须批准和安装任何用作防火墙的网络过滤设备。虽然这些类型的防火墙系统可以提供出色的功能,但是使用它们存在许多潜在的问题。这些问题包括:(a)必须维护主机系统本身的安全;(b)网络过滤设备通常难以配置和维护,需要大量的系统管理技能,并可能导致资讯科技人员承担过多的协调责任;(c)不正确配置的网络过滤设备可能会对校园内的其他系统造成问题。如果网络过滤设备存在问题,IT人员将尝试联系相应的个人。如果无法取得联系,则授权IT人员在与适当的大学官员协商后采取适当的行动,包括暂停设备的网络访问,直到找到技术解决方案。
- 为了确保物理网络的安全,IT部门将决定如何进入容纳网络电子设备和物理电缆设备的房间。
服务器管理与安全
- IT部门将开发和维护UMass Boston网络上所有服务器的注册表,包括所有配置为作为服务器运行的桌面工作站。登记可使用资讯科技网站的网上表格完成。此类注册旨在识别网络上的资源,促进负责服务器支持和操作的各方之间的通信,并确保遵守所有马萨诸塞大学波士顿分校和马萨诸塞大学的政策、标准和指导方针,以及与数据存储、使用和安全相关的州和联邦规则和法规。
- 所有服务器都将符合IT网站上服务器高风险区域文件中规定的指导方针。具体的服务器配置参数发布在IT网站上,该网站提供了一个通用和特定于操作系统的指南库。
- 所有支持管理、业务或办公功能或流程的服务器,存放受联邦、州或地方法律约束的机构数据的服务器,或充当机构数据主要存储库的服务器,都将由IT人员管理。此外,马萨诸塞大学波士顿分校的一个目标是,所有这些服务器都将驻留在一个安全的it管理的数据中心内。
- 允许学术部门为教学或研究目的使用和管理服务器。但是,需要向IT部门注册这样的服务器。注册并不意味着要控制服务器的功能使用。麻省大学波士顿分校的目标是,所有学术部门使用和管理的服务器都将驻留在It管理的数据中心内,以确保这些资源的安全性和可用性。IT部门将协助所有学术部门确定适当的安全解决方案,以便在IT管理的数据中心以外的服务器上实施。这将最大限度地减少安全漏洞和入侵者窃取数据的可能性。IT将根据实际需要为专用系统提供一个或多个有效的Internet协议(IP)地址。IT将配置和维护所有网络防火墙设备。有关更改单个单元防火墙配置和日常维护行动的信息将传达给指定的部门联系人。
- 如果服务器在没有适当注册的情况下放置在马萨诸塞大学波士顿分校的网络上,IT人员将尝试联系适当的个人。如果无法取得联系,则授权IT人员断开服务器与UMass Boston网络的连接,直到完成适当的注册。