展开区段导航移动菜单

OU管理政策
和程序

威尔逊大道371号.4000套房
罗彻斯特 MI 48309-4482
(位置地图)

OU管理政策
和程序

威尔逊大道371号.4000套房
罗彻斯特 MI 48309-4482
(位置地图)

880系统管理职责

主题:系统管理职责
数量:880
授权机构:战略委员会
负责办公室:大学科技服务
发行日期:2003年5月
最后更新:2013年3月

理由是:  该政策旨在保护由部门系统管理员和教师支持的广泛的信息技术资源, 以及大学技术服务(UTS)的工作人员.

政策:  系统管理必须以专业和及时的方式完成,以保护大学的资产和大学所使用的广泛的资讯科技资源.  系统管理员对大学负有责任,并应尽合理努力:

  • 遵守所有的技术政策, 大学技术服务中心制定的技术方向和标准, 技术货币最佳实践, 以及本单位规定的其他指导方针或标准.

  • 传播有关使用的具体政策和程序的信息, 和使用, 系统及技术服务.

  • 了解所负责领域内的信息技术资源和资产,并对这些资产进行适当的盘点和跟踪.

  • 采取预防措施,防止系统组件和数据被盗或损坏, 并在发生此类事件时向有关部门报告.

  • 处理关于, 存储的信息, 该系统的用户以适当的方式尊重隐私和保密. 不能将系统管理员的访问权限与访问数据的权限混淆.

  • 了解存储在系统中的数据元素,了解定义的数据分类 政策#860信息安全, 并采取预防措施,以保护系统或网络的安全和隐私, 其中所载资料的保密性和质量.

  • 与其他资讯科技资源的系统管理员合作, 无论是在大学内部或外部, 发现和纠正由他/她控制下的系统或通过使用其他系统引起的问题.

适用范围及适用性:  这项政策适用于所有大学学生, 教职员工和其他人负责维护, 大学资讯科技资源的支援及运作 OU美联社&大学信息技术资源的利用. 这一政策涉及所有大学的信息技术资源,无论是单独控制还是共享, 独立或联网. 它适用于所有信息技术资源, 包括系统和服务器, 拥有, 租赁, 操作, 或由大学控制.

当地规定的使用条件和外部使用条件:  大学内的个别单位可为其控制下的资讯科技资源订定“使用条件”,只要这些条件不与 OU美联社&大学信息技术资源的利用 或者这个政策.  各单位有责任宣传它们所制定的规章和它们所负责的设备的授权和适当使用的政策.

定义: 

 

访问帐户:  访问帐户是访问身份管理方案的一部分,通常为单个系统用户提供通常称为用户名和密码的身份,以登录和访问系统, 网络或应用程序. 将为访问帐户分配适合个人工作职责和访问目的的特定权限.

身份管理系统: 身份管理系统是为管理登录凭据而设计的系统, 例如登录身份, 密码, 以及个人识别号码.

管理员:负责 而大学则是所有以大学经费购买或租用的资讯科技资源的合法“拥有人”或“经营者”, 任何特定系统的监督都可以委托给大学治理结构的特定分部的负责人, 如副总统, 迪安, 系主任, 系统信息技术资源不受大学技术服务处控制的行政部门负责人. 大学拥有或租用的设备, 这个人就是本政策中提到的责任管理员.

系统管理员:  “责任管理员”默认为“系统管理员”, 但责任管理员可以指定其他人管理该系统. 这个人是系统管理员, 谁负责维修, 一个或多个系统的支持和操作. 系统管理员对整个大学的系统负有额外的责任, 不管他们部门或团体的政策如何. 负责任的管理员对系统管理员的行为负有最终责任. 系统管理员对他们的选民负责.

系统管理:  系统管理是指系统管理员的具体职责和分配的任务. 这些任务包括, 但不限于:安装, 支持, 维护操作系统, 数据库管理系统, 应用软件, and hardware; planning for, 故障, 解决, responding to system problems or outages; and providing knowledgeable facts about the use of the system in the organization.

技术货币: 硬件和软件的状态、年龄和未过时的状态. 大学坚持合理的更换周期,努力保持足够和最新的硬件, 并通过监控和安装所需的版本来维护软件的安全性和功能性, 安全更新和补丁.

程序:    

a.  帐户完整性

只要有可能, 访问帐户与UTS管理的身份管理系统集成,如NetID系统(LDAP)或Active 目录 (ADMNET)。.   集中认证遵循大学政策,允许系统管理员专注于系统和应用程序管理, 用户权限分配, 以及系统中的用户角色. 通过减少登录身份和密码的激增,增强了安全性.

如果系统管理员管理访问帐户, 访问帐户活动必须及时执行, 包括及时提供新账户和删除旧账户.  所有访问帐户都使用单独分配的唯一用户名和密码进行身份验证.   将为帐户分配并启用最不需要的特权.

除非事先得到大学政策或大学技术服务部的批准,否则所有访问帐户在雇佣终止后立即被禁用.  所有访问帐户定期审查是否存在恶意, 过时的, 或者未知的账户.   Access account会根据环境的访问规则和所有的license被禁用和删除.   系统管理员将确保访问帐户可以追踪到个人, Access Accounts系统的访问权限与用户的授权相匹配, 禁用初始帐户或供应商提供的默认帐户或密码, 并且访问帐户的实现与此策略相匹配.

系统管理员将验证对机密数据(定义在 政策#860信息安全)由访问帐户和系统时间记录,包括根和管理访问.

系统管理员将确保使用强密码并经常更改这些密码, 在系统环境的限制内.   系统管理员必须确保所有系统和网络设备上的所有密码在传输和静止时都经过了强加密.   存储的Access Account鉴权数据(e.g., 密码文件, 加密密钥, 证书, 个人识别号码, 必须用访问控制适当地保护访问代码, 强大的加密, 阴影, 等. – e.g.,密码文件不能是世界可读的.

b.  许可证、版权和合同

系统管理员必须尊重并执行版权、软件许可和合同.  所有受著作权保护的软件,除著作权人另有规定或著作权法另有许可外,不得复制或使用.  受保护的软件不得复制到, 从, 或任何大学设施或系统, 但根据有效许可或版权法另有许可的除外.  副本的数量和分发必须以这样的方式处理,即一个部门同时使用的用户数量不超过该部门购买的原件数量, 除非购买合同另有规定. 系统管理员负责执行系统与相关合同的一致性, 软件, 采购政策.

c.  数据保护

系统管理员应充分保护机密数据(定义见 政策#860信息安全), 包括确定适当的储存地点, 加密过程, 并删除未按保留准则保存的机密数据.

d.  数据和系统备份业务

系统管理员必须定期对其管理的系统进行完整的备份服务, 或者他们必须与UTS管理员合作,将他们的系统添加到更大的大学备份结构中.  系统管理员将描述提供给系统用户的数据恢复服务(如果有的话).  发给系统用户的书面文件或者发布在计算机系统本身的信息,应当视为充分的备份说明.

UTS维护系统原理图,描述其管理系统,并维护这些系统的日常备份, 由首席信息官批准, 仅用于灾难恢复目的.   UTS备份是根据轮换计划创建的,并存储在首席信息官批准的位置.   首席信息官授权特殊的UTS备份.

e.  执行

悉尼科技大学将审核大学网络上存在的系统的安全性.   UTS可以扫描或检查系统的合规性,并可以断开或隔离任何不符合大学网络的系统,直到系统达到合规性.  按照这个政策, 违规者可能会被拒绝使用大学计算机资源,并可能受到其他处罚和纪律处分,包括与其大学身份相适应的大学纪律处分程序 政策#890使用大学资讯科技资源.

f.  调查可能的滥用和系统日志

系统管理员必须在发现任何可能的数据滥用和安全漏洞后立即向大学技术服务和十大菠菜台子警察局报告.  系统管理员可能是可能的滥用的第一个见证人.   系统管理员将立即调查大学技术服务部报告给他们的任何可能的违规行为.

系统管理员被指派定期监视系统日志,以防止可能的滥用和误用. 系统管理员必须及时报告日志异常, 滥用或误用指示在两个正常工作天或48小时内通知科技大学, 发现的.  发生安全漏洞或未经授权的数据暴露时, 在系统的法医副本制作或与执法部门合作进行刑事调查时,UTS可能会禁用对系统的访问.

系统管理员应保留适当的系统日志至少48小时,如果此类日志能够识别人员,则不应超过30天, 除非有特定的法律或监管要求,如与UTS和法律事务办公室审查,需要更长时间的保留.  不能识别用户或人员的日志可以根据系统管理员的需要保存.

对电子数据或系统记录的传票和所有其他信息请求必须立即提交给法律事务办公室.  系统管理员可能负责提供有关可用的电子存储信息(包括系统原理图)的信息, 备份和日志), 保存电子存储的信息,并为法律事务厅制作这些信息. 诉讼通知覆盖备份周期和保留的标准策略和实践.

g.  改造或拆除设备

退休的信息技术资源, 处理, 或转移到另一个位置必须删除所有数据和许可证, 在释放设备之前,删除并使其不可读. 授权给大学的软件和信息技术资源不得转让给第三方. 搬迁必须符合大学技术服务部制定的安全标准. 设备的处置方法必须经物业管理部门批准. 系统管理员不得试图修改或移除计算机设备, 软件, 或未经适当授权由他人控制或管理的外设.

h.  网络的一致性

系统管理员将根据整个大学的互联网协议(IP)寻址结构来实施系统, 域名服务, 无线连接策略, 防火墙规则, 以及目录服务, 由大学科技服务部成立.

i.  特别的合规范畴

大学必须遵守某些特殊规定. 特别是, 支付卡行业(PCI)和健康保险流通与责任法案(HIPAA和相关的HiTech法案)有具体的要求. 其他法律和法规领域可能会不时出现,需要特定的系统管理协议. 处理系统, 存储或传输信用卡或其他支付方式必须符合支付卡行业合规标准. 处理系统, 存储或传输电子保护健康信息(EPHI)必须符合HIPAA和相关的HITECH合规标准. UTS必须被告知处理、存储或传输PCI或HIPAA数据的所有系统.

负责PCI或HIPAA合规系统的系统管理员必须参加年度合规培训.

所有用于处理的系统和应用程序, 传输或存储持卡人信息或EPHI必须通过唯一分配的登录身份和密码进行访问控制和允许. 只要有可能,就启用ldap进行管理访问. 访问帐户只能访问执行某个功能所需的最小资源. 管理员帐号需要每90天修改一次密码. 密码策略必须强制使用长度至少为8个字符的强密码. 密码必须同时包含数字和字母. 个人帐户的新密码不能与前4个密码相同.

当多次尝试访问失败时,帐户将被锁定. 重复登录失败的尝试必须在六(6)次后锁定帐户. Lockout durations must be set to 30 minutes; administrative override after verification is permissible.

系统必须及时安装最新的安全补丁,除非被系统管理员否决,然后只有适当的补偿控制. 服务器加固实现必须基于业界公认的最佳实践. 系统在物理上是安全的,只有授权的管理员才能访问. 维护文件完整性的软件用于检测系统文件或日志数据的不当更改. 访问控制日志包括成功登录和失败登录以及对日志的访问. 集中记录数据访问的日志, 成功登录次数, 不成功的登录尝试将被在线保存三个月,离线保存一年.

j.  远程访问

用于系统管理的远程访问必须通过secure, 经大学技术服务部事先核实的加密通讯.

k.  从网络中移除

为确保所有大学系统使用者享有良好的环境, 并满足大学对网络服务的期望, 发现不符合大学政策的系统可能会从大学网络中删除. 当不需要立即断开时, 系统管理员仍然需要立即采取行动, 诊断问题, 阻止任何持续的虐待, 并做出必要的改变以防止再次发生. 这将涉及采用安全性的最佳实践. 这一过程应保留任何可能需要的证据,以查明问题的根源,并采取任何可能适当的法律或纪律行动. 系统管理员可能会被要求证明遵守了本文件和学校的政策,然后在有文件记录的违规实例后恢复网络服务.

l.  系统的完整性

系统管理员负责安装和维护系统完整性的各个方面, 包括获取版本和修复,以确保操作系统升级的货币, 安装补丁, 管理发布, 安装杀毒软件, 更新病毒定义, 修改所有厂商默认密码, 同步系统时钟, 关闭系统有效运行不需要的服务和端口. 需要及时更新供应商的硬件和软件协议. 没有供应商支持合同并不意味着大学技术服务部可以在没有事先协议或通知的情况下修复和恢复系统. 系统管理员必须尽一切努力熟悉与其系统相关的不断变化的安全技术,并不断分析技术漏洞及其产生的安全含义.

m.  第三方访问

有权访问大学信息技术资源的第三方必须遵守大学的安全政策和惯例.

n.  供应商帐户和密码

系统管理员必须验证供应商默认密码在安装后和实施期间是否被禁用或立即更改. 所有供应商的密码必须加密. 供应商需要的帐户仅在需要的时间内启用, 并在工作完成后禁用.

相关政策及表格:

 

OU美联社&p# 212银行卡信息安全要求

   

OU美联社&360物业管理

OU美联社&信息技术

OU美联社&p# 850网络策略 

 
OU美联社&p# 860信息安全

 

OU美联社&p# 870软件规范 

 
OU美联社&大学信息技术资源的利用

附录: