确保校园内第三方(承包商)系统的安全
信息安全办公室
确保校园内第三方(承包商)系统的安全
为了保证校园网资产的安全,第三方系统将接受安全评估,以确保它们能够抵御内部和外部攻击以及任何已识别的漏洞。
所有系统均应由IT安全官员进行检查之前系统开始“运行”。
以下清单为承包商和部门提供了如何正确保护系统的指南。
政策和治理
- 可接受的计算使用政策适用于所有第三方系统以及使用这些系统的个人。承包商应阅读并确认本政策
- 校园部门负责确保承包商收到政策副本
操作系统和基本应用程序
- 检查以确保所有安全修补程序都已应用并且是最新的。应定期应用修补程序,以确保新漏洞得到缓解
- 系统应安装防病毒和/或反恶意软件。这些程序应定期更新,以确保它们能够缓解新发现的恶意代码
- 如果个人防火墙是系统的一部分,则应以保护系统上运行的任何开放服务不受未经授权访问的方式打开和配置个人防火墙
- 应关闭系统上所有不必要的服务
- 应创建用户帐户,并将其限制为系统要执行的特定角色。管理员或根帐户不应用于日常使用
- 所有帐户都应使用强密码
- 未访问时,系统应自动注销,或应用密码保护的屏幕保护程序
人身安全和应急计划
- 系统应位于安全区域,仅限需要的个人使用
- 应对突然失去可用性(如UPS、冗余硬盘驱动器、完整系统备份和系统恢复文档)作出准备
- 在发生灾难或系统故障时,校园部门应为承包商提供一线联系信息
网络布局
- 校园网中的位置由系统所扮演的角色决定。如果系统提供关键服务或托管/访问敏感或高度敏感信息,则应采取措施将其与使用防火墙和访问列表的其他网络和系统隔离
- 如果Internet访问不是功能要求,则应拒绝
- 如果出于特定原因(如程序更新)需要访问互联网,则应采取措施确保仅访问这些网站