III-1C控制 - 保护公众信息

批准日期:2016年10月4日
生效日期:2016年10月4日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:1.2版;以前的版本1.1七月月21日,2010
相关立法和大学政策: 

审查期限:5年
最后一次审查的日期:2016年10月4日
有关:教师,员工,学生,校友,会员帐户持有人
 

目的

作为企业级信息保护风险缓解动作,永利棋牌游戏app下载的标准网络主机配置,以引导用户和管理员必须满足的永利棋牌游戏app下载网络中的所有网络主机的基本要求,立足于信息类别(公开,正式使用或限制)

范围

这个过程适用于使用永利棋牌游戏app下载的网络基础设施的所有信息技术系统。它被设计为支持永利棋牌游戏app下载的信息安全政策和可审计。

消除

不适用。

过程语句

一般

此过程概述必需的所有已注册的主机处理,存储或传输上CWRU网络公共信息的基本控制。因为公共信息是信息在大学的基础水平,这个过程充当所有网络主机的基准。

公共信息基础标准,被认为是最起码的安全配置标准。

程序

行政控制

  1. 注册。 上CWRU网络中的所有主机(个人计算机,服务器,打印机,等)都需要按照要注册 II-3的网络管理策略。可行时,注册过程将包括每个主机的意图信息的类别。注册不需要使用caseguest无线网络的,但值得推荐。无线注册可以通过在(216)368-4357调用CWRU帮助台来执行。
  2. 责任。 谁在永利棋牌游戏app下载网络注册主机所有人是通过实施适用的安全控制与主机上使用的信息类型相称保护信息和基础架构免受安全威胁负全部责任。
  3. 意识。 公共信息系统的所有用户和注册用户应该完成安全意识培训,并保持与他们的系统和信息基础网络安全威胁的熟悉程度。指导安全意识,可以发现 securityaware.case.edu.

技术控制

  1. 登录屏幕。 支持的登录画面的所有主机将被配置为要求个人用户提供的凭证登录(例如用户名和密码)。主机不应配置为自动登录。对于管理信息亭设备的特殊例外情况将在逐案基础上作出的,必须通过信息安全批准。
  2. 基本硬化。 所有主机都应当进行一些基本的硬件和操作系统的评估和配置,以保证默认选项不允许容易和快速的主机妥协。基本硬化可以通过本地策略来实现,或者通过被管理的网络环境中(例如活动目录组策略)。具体的例子包括:
    1. 最大限度地减少不必要的网络为基础的服务和端口。使用的 SANS的20项关键的安全控制列表 可以在在这个水平硬化主机的关键指引。
    2. 使用的帐户与普通用户权限的日常运作,并使用所需要的系统维护,只有当管理员或根权限的帐户。
    3. 永利棋牌游戏app下载也有一个 顺基 可以从信息安全办公室索取配置文件(security@case.edu)。
    4. 额外的配置清单可以在这里找到。
  3. 防火墙。 它支持基于主机的防火墙的所有主机应有它的方式来操作,以减轻常见的基于网络的攻击。
  4. 操作系统和软件的安全更新。 在适用时,所有主机必须配置为接收和执行 安全更新 要更新的软件供应商发布后的2个月的时间框架内软件和操作系统软件。这可以通过自动软件更新应用程序来满足简单。软件功能更新不在此要求的范围之内。
  5. 防毒软件。 所有基于Windows的主机有支持的防病毒应用程序,因此,应安装并进行自动签名更新启用防病毒软件。对于具有支持的防病毒应用程序的非Windows主机,建议使用此软件的安装。至少用户应当按月进行全面扫描。
  6. 反间谍软件。 反间谍软件推荐谁使用网络资源的所有用户。该 永利棋牌游戏app下载的帮助台 列出了可防间谍软件。
  7. 防盗工具。 移动系统(例如平板电脑,笔记本电脑,PDA等),是高度推荐的防盗技术。锁定电缆强烈推荐。还建议基于软件的跟踪服务。
  8. 数据备份。 这是对用户有价值的公共信息应在备份功能被保留,以减轻硬件故障,丢失和盗窃的影响。
  9. 数据丢失保护。 系统仅用于处理公共信息必须是自由的限制信息。因此,所有的主机,诸如工作站,服务器,和兼容的设备,必须使用由大学提供识别和除去任何限制的数据(如的SSN)软件实用程序来消除数据丢失或泄露的风险。目前, 身份取景器 可从数据丢失保护工具 永利棋牌游戏app下载软件中心 被用来修复和保护公共信息系统持有受限制的信息。

责任

CWRU终端用户:保证控制基于CWRU信息类别执行。

永利棋牌游戏app下载UTECH保安人员:监控安全风险的持续的基础上,并定期更新根据不断变化的安全威胁情况下的程序管制。

永利棋牌游戏app下载注册系统拥有者:确保公共信息控制应用适用。采取合理措施,从公共信息系统中移除仅供内部使用,限制数据。

定义

主持人:利用网络服务的任何网络能力的设备。主机可以是个人计算机,网络设备,服务器资源,打印机,扫描仪,复印机等。

标准复审周期

这个过程将每三年检讨有关政策生效日的周年纪念日,在最低限度。标准可根据风险的变化更频繁的基础上进行审查。