IT保管人指引

IT保管人负责大学所有IT的采购、维护和运作,包括工作站、服务器、网络应用程序、基于云的服务等。

本指引为所有IT保管人提供实用技巧,以保障其IT系统的安全,并减少安全损失和数据泄露的风险。如果您有任何不确定的地方,请联系IT安全团队itsecurity@adelaide.edu.au

资讯科技保管人的职责概括如下:

  1. 通过使用本指南实施控制和流程,遵循本指南和/或咨询技术风险与安全团队,确保您管理下的IT系统的安全。
  2. 及时响应技术风险与安全团队的要求,解决已知的安全问题。
  3. 向技术风险与安全团队报告实际的或可疑的安全事件,以及任何已知的安全风险。
  4. 遵守这一点它可以接受使用和安全策略, 这资讯科技可接受使用程序,IT安全程序,以及这条指导方针。
    扩张
  • 数据安全

    您的IT应用程序是否存储、处理或传输第3类数据?如果是,应该有额外的对策来保护数据的机密性。第3类是指敏感数据,如个人隐私信息,或绝密数据,如国防研究。指分类和保护信息指南第3类数据的详细定义和示例,以及保护这些数据的要求。

    以下是一些在应用程序中保护第3类数据的一般建议:

    • 在存储和传输期间加密第3类数据
    • 在可能的情况下,编辑、反识别或匿名隐私数据,使其无法被识别
    • 基于“最小特权”原则的授予访问权限
    • 保留已访问敏感数据的审核日志
    • 需要通过复杂密码进行身份验证并实现多因素身份验证
    • 不通过不安全的网络和协议(如未加密的HTTP和电子邮件)发送
    • 教育用户将敏感资料复制至个人设备(例如家用电脑及流动设备)的风险

    有关更多信息,请参阅分类和保护信息页面如果您有进一步的疑问,请联系风险与安全。

  • 第三方托管

    如果您是第三方托管应用程序的IT托管人(SaaS或“基于云的”应用程序),您可以做些什么来保护存储在控制边界之外的数据的安全性?如果您打算注册基于云的应用服务,请阅读并关注大学第三方托管安全指南其中包括一个方便的检查表,用于确保服务提供者满足您的安全性需求。

    以下是获得服务提供商具有声音安全实践的保证程度的提示,您的数据在手中是安全的:

    • 检查你的服务合同和条款,确保安全是供应商的责任
    • 询问供应商是否有安全治理或通过ISO 27001等国际标准认证
    • 询问供应商是否在服务组织控制(SOC)下进行了审计,并要求查看最新的审计报告
    • 询问他们的服务是否经过独立和专业的渗透测试
    • 询问是否对数据进行了备份,以及是否提供了服务水平协议(SLA),并在违反时支付罚金

    指的是第三方托管安全指南以及相关的检查表以了解更多细节。

  • 修补和更新

    恶意黑客在所有层次的软件中利用漏洞,包括操作系统,数据库系统,中间件,应用程序服务器和Web服务器,以获得未经授权的访问。保护这种攻击的关键是将系统保持最新,并使用软件供应商提供的最新安全修补程序。

    以下是一些提示:

    • 尽可能打开自动更新,以便您的软件将自动保持最新状态
    • 订阅供应商时事通讯和通知,以便您能快速了解可用的更新
    • 如果您正在使用自己开发的软件,请了解您正在使用的平台和库,并定期更新它们。例如,如果您依赖于Java,那么即使您的代码是安全的,JVM中的漏洞也可能危及您的应用程序。

    如果您担心您可能无法将IT系统及最新及时保留,请联系风险和安全团队。我们维护信息技术和数字服务之外使用的产品登记,我们可以监控系统上可用的新漏洞和补丁。

    最后,管理者应该知道软件供应商经常停止支持旧版本的软件和停止安全补丁的分布(例如,微软已经停止支持Windows XP和Windows Server 2003)和使用这些平台可以是一个很大的风险,如果人们发现新的漏洞。

  • 帐户,密码和权限管理

    帐户和密码是识别访问系统的人的第一层保护,而特权管理提供了与用户功能相称的访问级别。如果你的应用程序是多用户和/或客户端-服务器,以下是一些建议:

    • 避免发出一套新的身份 - 利用大学的身份和认证系统。请与信息技术和数字服务交谈,以利用CAS或ADF使用单点登录(SSO)。
    • 通过授予只有访问的人来应用“最低权限”的原则,只有他们需要执行功能。不要让每个人的“管理员”访问只是因为它很容易!
    • 不要以明文存储密码或使用可逆的加密。至少使用“盐腌”SHA1。
    • 将应用设置为需要复杂密码(大于8个字符的字符要求)。
    • 将应用程序配置为多次登录失败后“锁定”帐户。
    • 将应用程序配置为在超过90天不活动后禁用。
    • 实现帐户和权限管理流程,以便不再需要访问的人及时删除。
    • 尽可能配置审计,以检测帐户的可疑使用
  • 安全配置

    不幸的是,许多软件应用程序的配置都是不安全的,需要进行配置和微调以确保其安全性。以下是一些例子:

    • 有些应用程序可能附带一个默认的管理员密码,比如“password”。请确保更改所有默认密码!
    • 某些应用程序可能具有不安全的默认服务,例如Telnet和FTP,无需密码,可能需要配置以禁用这种服务。

    请仔细阅读产品手册,并进行安全配置,以满足您的需求。对于流行平台,可能存在现有的“强化”或“最佳实践”指导方针。例如,CIS发布了一些基准文件(https://www.cisecurity.org),有一些工具可以自动审计您的配置并指出弱点。

    如果您不确定,请联系信息技术和数字服务中的风险和安全团队,以便询问配置审核。

  • 安全开发

    如果您拥有完全自定义的IT系统,您已经开发出来或外包给第三方,那么将安全性实施到程序代码中并使它不受漏洞是您的责任。

    您能确信您的应用程序不容易受到缓冲区溢出、XSS、SQL注入、目录遍历和其他常见攻击向量的攻击吗?

    以下是一些开发安全软件的技巧:

    • 遵循安全的编码和安全的开发标准,例如,介绍OWASP指南
    • 实现只接受合法用户输入并禁止潜在恶意输入的声音输入验证和过滤器。
    • 确保第3类数据在传输和存储期间加密
    • 严格认证、会话管理和访问控制
    • 使用代码审核工具或请独立人员执行代码审核。
    • 新利luck18全站让风险和安全团队对安全性进行独立审查,包括漏洞评估和渗透测试。
    • 遵循完善的变更管理流程,以便在“上线”之前对代码变更进行彻底的测试,以防止将易受攻击的代码引入生产环境。

    风险与安全团队可以根据要求为开发人员提供安全应用程序开发的基本概念培训。

  • 漏洞评估

    尽管遵循了前面几节中提出的所有建议,但黑盒测试仍然是安全性的重要组成部分,特别是在处理敏感数据时。黑盒测试是一种评估,测试人员戴着坏人的帽子,使用真正的黑客技术试图侵入您的系统。这有助于揭示其他活动可能遗漏的漏洞。

    如果您想要在IT系统上执行的黑匣子评估,请联系风险和安全团队。我们通常可以免费提供此服务,具体取决于资源的可用性。

  • 备份和灾难恢复

    问问你自己:

    • 您的IT系统或适用于您的研究或业务领域的应用程序吗?
    • 在系统不可用的情况下,您可以继续工作多久?
    • 与长时间停机或永久丢失数据相关的成本是什么?
    • 数据保存是否有法律或政策要求?

    根据您的答案,IT保管人应制定数据备份,保留和恢复的策略。提前拥有适当的恢复计划可以节省您的时间和金钱。

  • 网络安全

    在决定使您的应用程序可访问internet之前,请三思,因为将它暴露给公共网络意味着internet上的任何人都可以尝试攻击您的系统,使其更有可能受到损害。

    如果系统仅供大学社区使用,请将系统设置在大学网络内,并要求使用VPN远程接入或ADAPT远程桌面才能接入。

    另请注意,如果需要,信息技术和数字服务可以在必要时实现分段网络控制,以便您的应用程序可以在内部或来自Internet的某些网络源中从某些网络源访问。

  • 安全软件

    托管在信息技术和数字服务基础架构上的应用程序(例如,在信息技术和数字服务上托管的Windows或Linux实例和数字服务的VMware环境)将拥有基本的安全软件,包括防病毒。如果您的应用程序存储或处理敏感信息或面临互联网,请考虑其他安全软件,例如:

    • 基于主机的入侵检测系统(HID)
    • 文件完整性监控系统(FIM)
    • 应用层防火墙和IDS / IPS