II-6的网络防御政策

批准日期:2016年5月31日
生效日期:2016年5月31日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:1.0版;过时2016年5月31日
相关立法和大学政策:  

审查期限:5年
最后一次审查的日期:2016年5月31日
有关:教师,员工,学生

目的

这个文件的目的是确定管理的网络服务可用性,用户在公共互联网上的政策。核心目标是降低风险,从因特网源攻击的机构。

与其他政策和程序的协调

范围

该政策适用于其中的机构的IT基础设施连接,在永利棋牌游戏内或在托管地点的所有永利棋牌游戏app下载管理或运营的网络。

消除

不适用。

一般

永利棋牌游戏app下载最初实现了网络安全设备和防火墙的方式,认为有必要提供一个低门槛,为用户通过公开访问的互联网协议共享基础信息和系统与世界同步。这个政策解决了网络安全策略的根本性改变,并带来的永利棋牌游戏app下载永利棋牌游戏网分层防御姿势。

从校外来源网络攻击已经上升到持久性和严重性的水平,甚至基本的IT基础架构已经成功的目标。

永利棋牌游戏app下载是通过这一政策的实施降低了安全风险,永利棋牌游戏网络系统。

要求

  1. 永利棋牌游戏app下载网络IT基础设施从“默认允许,禁止特定端口和协议”,以模型的模式转型“默认拒绝,只允许审核通过端口和协议。”
  2. 永利棋牌游戏app下载会否认,在默认情况下,来自外部网络的网络通信永利棋牌游戏app下载端点。
  3. 永利棋牌游戏app下载应保持的评估和评价过程地址用户请求允许永利棋牌游戏app下载的端点是来自外部网络(互联网面向用户的服务)访问。
    1. 永利棋牌游戏用户必须证明任何例外,这一政策中的独特需要和能力/资源管理网络风险他们允许的服务。
    2. 异常可能是临时性的授予,与1历年最大的时间内,在该时间之后的异常请求必须重新提交续期。
    3. 用户是想请求外(从校外网络)访问永利棋牌游戏app下载网络端点必须打开帮助台票,并提交防火墙访问请求。他们将他们的要求在上下文中评估了其风险敞口大学。
    4. 只有最低限度的基本服务和流程也将获得批准的例外,基于设备的IP地址,服务端口,或应用程序。
  4. 首席信息安全官会定期直接的整体风险,该大学的信息技术基础设施由从校外联网系统提出的评估。
    1. 永利棋牌游戏app下载外露端点有风险的可能有他们的异常暂停,直到风险已得到缓解。
  5. 对不遵守的后果将是违反了可接受的使用信息技术资源的政策来解决。

责任

网络安全和信息安全:评估IT系统和服务,互联网服务面向,并根据风险的建议例外拒绝所有规则。

系统所有者授予例外:应用系统加固和维护所有的安全补丁,以接触到校外交通系统。

定义

数据中心 - 在永利棋牌游戏内限制出入设施中的服务器和网络基础设施的安置。

默认拒绝 - 一个默认拒绝在防火墙管理规则指的是默认阻止所有网络服务,其中只有选定,批准和值得信赖的服务是通过与访问控制列表的实施防火墙。

外部网络 - 即不是CWRU它基础设施的一部分,并且因此是不信任的网络的任何网络。

CWRU端点 - 使用其中提供了它的服务网络CWRU固定IP地址的网络设备。

网络风险 - 在这种政策背景下,网络风险手段的管理,该系统的永利棋牌游戏业务单位或管理员的责任,以确保他们的系统没有建立的大学IT基础设施不必要的风险。

互联网服务面向 - 可以直接从互联网,而无需使用任何VPN服务来访问基于网络的服务或协议(例如www.case.edu)。

最低基本 - 只完成端点的任务所需要的端口和服务。

独特的需求 - 学术或研究的重点,不能完全支持或在数据中心或其他大学的商品IT服务托管服务。

标准复审周期

该标准将每三年检讨有关政策生效日的周年纪念日,在最低限度。标准可根据风险的变化更频繁的基础上进行审查。