目的
本指南的目的是描述与最全菠菜网院(“学院”)信息和教学技术(“IIT”)资源相关的系统和信息完整性流程的信息安全标准, 系统及资讯完整性资讯科技规定(ITR).
范围
本指引是为实施系统及资讯完整性ITR而采用的.
本指南适用于AACC系统的系统保管人和授权用户. 用户负责阅读, 理解并按照这些指导方针和其他与学院信息技术资源相关的要求行事.
定义
系统和信息完整性信息技术要求(ITR)中包含的定义适用于本指南.
系统和信息完整性指南
1. 及时发现、报告和纠正系统缺陷.
1.识别受已公布的软件和固件缺陷影响的系统,包括这些缺陷导致的潜在漏洞.
1.向安全团队和适当的补救团队报告已发现的系统缺陷.
1.3召开服务器常务会议, 工作站和电话系统修复已识别的系统缺陷.
1.4安全更新包括补丁, 服务包, 热修复程序和防病毒签名将在设置的停机时间表上实现.
1.报告和修复在安全评估中发现的缺陷, 持续的监控, 向安全团队和适当的补救团队提供事件响应活动和系统错误处理.
1.在安装前测试与缺陷修复相关的软件和固件更新的有效性和潜在的副作用.
1.7安装安全相关的软件和固件更新,在更新发布或发现漏洞后一个月内完成.
1.将缺陷补救纳入配置管理流程.
1.执行适当的事件响应措施.
2. 提供对恶意代码的保护
2.AACC将在系统入口、系统内部和系统出口点检测恶意代码. 恶意代码检测工具包括防火墙, 远程访问服务器, 工作站, 电子邮件服务器, web服务器, 代理服务器, 移动设备.
2.2恶意代码包括病毒、蠕虫、木马和间谍软件. 恶意代码可以以各种格式进行编码(例如.g., 一种编码的程式, Unicode), 包含在压缩或隐藏文件中, 或者使用隐写术等技术隐藏在文件中.
2.恶意代码可以通过各种方式插入系统,包括web访问, 电子邮件, 电子邮件附件和便携式存储设备. 恶意代码插入可以通过利用系统漏洞来实现.
2.4恶意代码防护
2.4.1实现基于签名和非签名的恶意代码防护机制, 适当的, 在系统入口和出口点检测和根除恶意代码.
2.4.2自动更新终端(服务器)的恶意代码防护机制, 工作站, 移动设备).
2.4.3配置恶意代码防护机制:
2.4.4对终端进行周期性扫描:每周进行一次全扫描,下载文件时进行实时扫描, 打开, 或执行.
2.4.阻止或隔离恶意代码,并向安全团队发送警报, 响应恶意代码检测.
2.4.6分析假阳性及对端点可用性的影响.
2.5内存保护
2.5.1实现基于签名和非签名的恶意代码防护机制, 适当的, 在系统入口和出口点检测和根除恶意代码.
2.6传统的恶意代码保护机制不能总是检测到此类代码. 在这种情况下,学院将采取其他保障措施,包括:
2.6.1安全编码实践
2.6.2配置管理和控制
2.6.3可信的采购流程
2.6.监视实践以帮助确保软件不执行超出预期的功能
2.7垃圾邮件防护
2.7.在系统入口和出口点采用垃圾邮件保护机制,以检测和处理未经请求的消息.
2.7.根据组织配置管理政策/要求和程序/指导方针,更新垃圾邮件保护机制.
2.执行适当的事件响应程序.
3. 监控安全警报、建议和指令.
3.AACC将利用各种公开的系统安全警报和建议来源. AACC至少将监测:
3.1.国土安全部的网络安全和基础设施安全局(CISA)生成安全警报和咨询,以保持整个联邦政府和非联邦组织的态势感知.
3.1.2软件供应商, 订阅服务和最全菠菜网共享和分析中心(ISACs)也提供安全警报和建议.
3.1.3接收系统安全告警, 来自系统制造商的持续建议和指令.
3.1.根据需要向IIT组织发布安全警报、建议和指令. 必要时通知学院用户.
3.1.以风险为基础,按照建议的时间框架执行安全指令.
3.1.IIT人员将监控通过电子邮件和文本通知分发的自动系统安全和错误警报.
3.1.7系统将产生错误信息, 显示给用户, 为纠正措施提供必要的信息,而不会泄露可能被利用的信息.
3.执行适当的事件响应措施.
4. 执行组织系统扫描
4.使用Tenable系统对学院系统进行定期扫描.
4.1.1 Tenable系统将每月对服务器进行两次漏洞扫描, 无论是在本地还是在Azure中.
4.1.Tenable系统将每月对内部工作站进行两次漏洞扫描.
4.1.教师使用的3片, 教职员工和学生将不会被扫描, 除非在正常扫描窗口期间被带到校园并插入有线网络.
4.1.4移动设备不会被扫描.
4.1.网站将使用SSLLabs和第三方合同服务进行扫描.
4.1.6根据需要, 使用Tenable或其他合适的工具扫描系统是否符合配置.
4.1.根据要求,扫描将包括PCI合规性.
4.2使用选定的桌面反恶意软件套件进行定期扫描,检测恶意代码.
4.2.Microsoft Defender将至少每周进行一次完整的系统扫描.
4.2.Microsoft Defender将向管理仪表板提供设备漏洞信息.
4.使用选定的桌面反恶意软件套件对来自外部源的文件进行实时扫描.
4.3.当移动媒体插入计算机时,Microsoft Defender将对可移动媒体上的文件进行扫描.
4.3.当文件被读取或写入媒体时,Microsoft Defender将对文件进行按需扫描.
4.执行适当的事件响应措施.
5. 监控AACC系统以检测攻击和潜在攻击的指标.
5.1配置各系统收集和上报必要信息.
5.使用Solarwinds, MECM, JAMPF或其他适当的工具监控系统和组件的状态.
5.监控系统检测:
5.3.1 CPU利用率高
5.3.2内存不足
5.3.3服务未运行
5.3.4上/下
5.3.5 .不交流
5.3.6未经授权的本地、网络和远程连接
5.适用时, 配置系统以调用内部监控功能或部署的监控设备.
5.5保存一年的日志数据,用于分析系统运行性能.
5.6将日志数据发送到相应的siem和日志分析工具.
5.7分析检测到的事件和异常.
5.执行适当的事件响应措施.
5.当组织运作和资产的风险发生变化时,调整系统监控活动的级别, 个人, 其他组织, 或者整个国家.
5.就电子取证要求的系统监控咨询AACC法律顾问.
6. 识别未经授权使用AACC系统的行为.
6.使用监控数据和警报来识别未经授权的系统使用.
6.使用SIEM报告与授权活动进行比较,以识别未经授权的使用.
6.向安全团队报告未经授权的使用.
6.执行适当的事件响应措施.
7. 实施基于风险的安全控制以确保机密性, 完整性, 学院系统的可用性和弹性, 从NIST 800-171和800-172.
7.1实现最小特权的概念
7.1.1实现基于角色的权限.
7.1.2禁止用户执行需要提升权限的功能和操作.
7.1.管理权限限制在最小数量的帐户.
7.1.对于本地系统和基于云的系统,具有更高权限的帐户是不同的.
7.2变更管理
7.2.遵循pro - changemanementsop中认可的AACC变更管理流程.pdf
7.3信息输入验证
7.3.AACC开发的代码和表格将检查以下信息输入的有效性:
7.3.1.1名称格式
7.3.1.2用户标识
7.3.1.3 aacc id
7.3.1.4个密码
7.3.1.5出生日期格式
7.3.1.6 SSN格式
7.3.1.地址格式,城市,州,Zip
7.3.1.8 IP地址格式
7.3.1.9岁
7.3.1.10性
7.4可预见的故障预防
7.4.确定关键系统的平均无故障时间(MTTF).
7.4.有关键系统的维护合同,不超过24小时的维修和现场支持.
7.4.3关键系统, 手头是否有可替代的系统组件,并有办法交换活动和备用组件.
7.5安全与隐私功能验证
7.5.1检查安全和隐私功能是否正常运行.
7.5.2执行, 根据需要, 对具有适当权限的用户在命令时指定的功能进行验证.
7.5.向信息安全总监通报未通过的安全和隐私验证测试.
7.5.4发现系统异常时,请关闭系统、重启系统或隔离系统
7.6信息输出过滤
7.6.验证下列软件程序和/或应用程序输出的信息,以确保这些信息与预期的内容一致:
7.6.1.1站得住脚的漏洞结果与防御者漏洞结果
7.6.1.2 MECM系统状态与防御系统状态
7.6.1.3太阳风与系统报告
7.6.1.4 Active 目录 with Azure Entra
7.6.1.5 . Fischer数据库与Active 目录
7.6.1.Fischer数据库与Colleague数据库
7.6.1.7 Active 目录 with Colleague数据库
7.7污染
7.7.1配置Varonis以确定大学数据是否已被泄露或从组织中不当删除.
7.7.2配置Varonis对存储的数据进行敏感性分类.
7.7.配置Varonis识别文件修改(更改、复制、重命名、删除)
豁免
这些准则的例外情况应提交给基础设施服务总监. 如果一个例外被授予补偿控制或保障措施,应记录并批准.
突发事件
没有一个
评审过程
资讯科技规定将每12个月或更早(如有需要)检讨一次. 指南和程序将每24个月或更早进行审查,如果需要的话.
指导方针标题: 系统和信息完整性指南
指导业主: 信息和教学技术副总裁
指导管理员: 基建服务总监
联系信息: 迈克尔•里斯 marees@xoxozerol.net
批准日期: 1月. 8, 2024
有效日期: 1月. 8, 2024
历史: 2023年11月通过
适用于: 教职员工
相关政策: 可接受使用资讯科技资源政策
相关程序: 信息技术资源的可接受使用程序
相关指南:
形式: N/A
相关法律: