回到顶部

马上申请 获得学位、证书或大学学分 获得工作培训和专业技能 参加有趣或个人丰富的课程

目的

AACC信息与教学技术部(IIT)致力于为其使命提供安全的信息技术环境. 没有适当的安全记录和监视, 攻击者的活动可能不被注意, 并且可能无法获得调查此类事件所需的日志. 确保系统日志的可用性和一致性监视将有助于早期识别安全事件,并可能有助于防止安全事件或将事件的潜在影响降至最低.

AACC记录应用程序中的用户、系统和网络活动, 系统, 或安全事件和事件管理系统. AACC通过来自日志的报告或来自系统的警报监视用户活动. 当收到警报时,将检查日志以确定问题和根本原因. 如果对事件进行评估,则可能发生了未经授权的访问, 然后遵循事件响应计划和受损帐户需求.

本信息技术要求(ITR)的目的是在AACC中建立一致的安全日志记录和监控实践期望,以帮助早期识别和取证分析安全事件.

范围

本ITR适用于所有高冲击系统, 或任何AACC拥有或租赁的IT资产,由于损失造成的损害风险增加,需要特别关注安全性, 滥用, 或未经授权访问或修改其中的信息或配置. 在实际, 外部托管的系统和服务应该按照与本地服务相同的标准进行日志记录. 根据IIT副总裁的决定,员工工作站可能包括在本ITR的范围内.

所需的日志活动

所有主机和网络设备必须为所有系统组件生成安全日志. 所有主机和网络设备都应该在安全日志处理失败时发出警报, 例如软件/硬件错误, 日志捕获机制失败, 日志存储容量达到或超过. 所有警报都应该尽可能接近实时.

集中记录要求

高影响系统的所有安全事件必须实时或在技术允许的情况下尽快转移到托管日志服务. 运行工作站操作系统的系统,用于共享服务, 例如共享文件存储或web服务, 还必须满足这些要求吗. 需要保持统一日志基础设施的日志完整性.

所需的监察活动

应制定和实施流程,以审查系统日志,以识别异常或可疑活动. 在可能的情况下, 应该制定安全基准, 并采用自动化监控工具, 在检测到异常时生成警报. 通过托管日志服务监视异常或可疑活动的系统不需要在本地进一步监视相同的活动, 然而,这种双重监测是鼓励的.

授权人员

应通过限制执行其工作所需的个人访问来保护日志,并保护文件免受未经授权的修改.

 保留

由于本ITR中概述的监测而产生的电子日志应保持并随时可用至少30天. 收集日志的系统必须保持足够的存储空间,以满足随时可用和保留日志的最低要求. 存储规划应该考虑到日志突发或存储需求的增加,这些可能是由系统问题引起的, 包括安全.

审计事件

技术系统审计事件是指高校信息系统中任何可观察到的事件. IIT将审计事件定义为与信息系统及其运行环境的安全性相关的重大事件.

审计事件可以包括密码更改, 失败的登录, 或者与信息系统相关的访问失败, 管理权限使用, 系统异常活动, 类似的事件. 还包括适用的安全框架所需的可审计事件, 法律, 大学政策, 规定, 和标准.

IIT实施和管理学院系统的持续监控和审计计划,以确保机密性, 可用性, 通过检测异常事件来保证这些系统的完整性, 监控系统访问和使用情况, 并对可能影响这些系统安全的事件做出反应.

所有服务器, 网络设备, 用于学院运作的计算机系统和终端用户工作站应启用审计机制,并应包括记录IIT定义的特定审计事件的日志.

应在适当的级别对包含受限数据和其他受保护数据的信息系统的审计日志进行审计.

审核记录内容

信息系统应配置为生成包含足够信息的详细审计记录,以确定发生了什么类型的事件, 事件发生的时间, 事件发生的地点, 事件的来源, 事件的结果, 以及与事件相关的个人或主体的身份.

审计存储容量

IIT分配审计记录存储容量,用于保留审计记录.

审计处理失败

在审计处理失败(如软件/硬件错误)的情况下, 审计捕获机制失败, 并审计存储容量是否达到或超过), IIT将针对不同的审计处理失败定义额外的操作.g.(按类型、地点、严重程度或这些因素的组合).

审核、分析和报告

审计审查, 分析和报告涵盖IIT为预防目的而执行的与信息安全相关的审计, 发现并纠正可能影响机密性的事件, 大学技术系统和数据的完整性和可用性. 可以将发现报告给包括事件响应团队在内的组织实体, 技术管理和支持团队及其他利益相关者.

IIT定期审查操作审计日志, 包括系统, 应用程序和用户事件日志, 为异常. 发现的日志和基线之间的任何异常和/或差异都将报告给IIT管理层和相关人员(如适用). 对审计日志的访问被限制为只有那些有权查看它们的人,并且保护日志不受未经授权的修改, 如果可能的话, 通过使用文件完整性监控或更改检测软件.

IIT reviews and analyzes information 系统 audit records regularly for indications of unusual activity related to potential unauthorized access or 系统 abnormalities; the log analytic tool is regularly tuned to better identify actionable events and decrease event noise.

审计信息的保护

审计数据被归类为限制,并将按照学院政策进行维护. IIT保护审计信息和审计工具免受未经授权的访问、修改和删除. 保护控制可能包括将审计记录备份到物理上与被审计系统或组件不同的系统或系统组件上,以及/或将审计文件写入内部网络上的日志服务器,并随后将其备份到安全位置.

审计记录保留

IIT保留审计记录,直到确定不再需要它们用于管理, 法律, 审计或其他业务和调查目的. 当审计记录的保存期超过时,IIT将按照标准记录保存期进行处理.

审计的一代

IIT确保学院资助或学院拥有的技术系统生成审计记录,并根据本ITR向IIT提供.

系统

执行日志记录、报告和警报的系统包括但不限于:

1. 同事

1.1文件用户.活动显示哪些用户已登录到同事系统. 提供的信息包括操作员ID, 人身份证, 登录发生的时间和发起登录尝试的IP地址.

1.所有实体(交付和自定义)都存在CHGOPR/CHGDATE和ADDOPR/ADDDATE字段. 这些字段指示最后创建或修改记录的人员和日期.

1.在DHST助记符中设置的任何实体都存在HIST文件. 这些文件跟踪创建过程, 对setup实体中的特定元素进行修改或删除. 包括跟踪元素的列表.

2. Varonis DatAdvantage

2.1记录所有AACC共享驱动器上的文件修改操作, M365 OneDrive和M365 SharePoint. 

2.2包括共享驱动器年度审核要求.

3. NetSurion EventTracker SIEM

3.1从中央存储库的AACC域控制器收集Windows安全事件日志.

3.提供审计事项的每日报告.

3.3支持对收集的事件日志进行特别搜索.

3.4包括对活动目录帐户锁定和活动目录密码重置事件的审查要求.

4. M365审计日志

4.1记录用户在AACC M365环境下的操作日志. 请参阅审计日志活动| Microsoft Learn查看记录的活动列表.

5. Azure登录日志

5.1记录登录AACC Azure环境的成功和失败尝试.

5.2记录其他已配置单点登录的应用程序的成功和失败登录尝试. 支持单点登录的SaaS应用程序已经配置为单点登录.

5.3详见Microsoft Entra ID - Microsoft Entra | Microsoft Learn的登录日志.

6. AD-Audit

6.跟踪跨AACC工作站的成功和失败的AD帐户登录和注销活动.

6.记录发生在AACC工作站上的所有其他活动.

7. 防火墙日志

7.记录进出学院的互联网活动. 警报配置为在尝试下载恶意软件时触发, 发生了网络入侵或其他非法活动.

8. 微软用户处于危险检测警报

8.当收到警报时,遵循事件响应和受损帐户要求.

8.2参见Microsoft Entra ID保护通知- Microsoft Entra | Microsoft Learn了解更多详细信息.

豁免

没有一个

突发事件

没有一个

评审过程

资讯科技规定将每12个月或更早(如有需要)检讨一次. 指南和程序将每24个月或更早进行审查,如果需要的话.

 

指导方针标题: 系统和完整性信息技术要求

指导业主: 信息和教学技术副总裁

指导管理员: 资讯保安总监

联系信息: 约翰•威廉姆斯 jwwilliams6@salamzone.com  

批准日期: 1月. 8, 2024

有效日期: 2024年1月8日

历史: 采用10月. 13, 2023

适用于: 资讯科技需求科

相关政策: N/A

相关程序: N/A

相关指南:

  • 账户被盗
  • 共享驱动器审计
  • 活动目录锁定

形式: N/A

相关法律: N/A