系统和通信保护
概述
这个更新的标准是为了帮助围绕系统和通信保护的现有IT实践与NIST 800-171 (SC | 3)中的要求保持一致.13.X)以及行业最佳实践. 这个文件没有完全覆盖3.13.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- 系统防火墙要求
- 一些 防火墙配置要求
- 公共系统要求将网络与非公共系统分开
本文件中不包含的内容:
- 网络日志记录要求(AU标准)
- 完整的防火墙配置要求
政策参考
目的
本系统和通信保护标准支持 APM 30.11高校数据分类与标准,以及其他有关的大学政策.
范围
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)或使用365滚球官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
标准
确保网络连接受到适当的监控、控制和保护:
- 所有能够运行基于主机的防火墙的系统, 必须打开它并按照最小特权原则进行配置.
- 大学内部网络的外部(南北)和内部(东西)边缘都必须按照审计和问责制标准进行监控.
- U / I管理的网络的外部(南北)和内部(东西)边缘都必须有一个默认的块规则.
- 默认块操作的例外情况必须经过变更管理批准.
- 不能使用内联保护(如Science DMZ)的实例必须使用经OIT 安全批准的路径外保护.
为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网.
- 公共系统必须按照访问控制标准在OIT安全部门注册.
- OIT安全部门可能会扫描公共U / I IP空间,以检查哪些是公共系统,哪些不是公共系统,并可能对这些系统做出相应的响应.
- 非公立大学管理的技术资源必须与公共系统在单独的vlan上.
适用范围:中等和高
除非得到OIT 安全的特别批准,否则不得实施分割隧道.
其他参考资料
1. NIST sp800 - 171 r2 (2020年2月)
2. NIST SP800-53r5 (2020年9月)
3. Nist sp 800-94 (2007年2月)
4. Nist sp 800-113 (2008年7月)
5. CMMC术语表
6. 审计及问责标准
7. 访问控制标准
定义
1. 防火墙
一种设备或程序,用于控制采用不同安全状态的网络或主机之间的网络流量.(CMMC术语)
2. 本校内部网络
由365滚球官网控制的网络,不包括学生或公共系统的网络,如AirVandalHome或AirVandalGuest,如“什么是Azure AD”命名位置”所定义的网络。?’ (3.13.1[a-b])
3. 公共系统
可以从公众或互联网以任何形式访问的系统.
4. 入侵防御系统(IPS)
“具有入侵检测系统所有功能的软件,还可以尝试阻止可能发生的事件. 也叫入侵检测和防御系统.(nist sp800-94)
5. 虚拟专用网(VPN)
建立在现有网络之上的虚拟网络,可以为网络之间传输的数据和IP信息提供安全的通信机制.(nist sp800-113)
6. 内部网络边缘
两个内部网络之间的边界. 也被称为东西交通.
7. 外部网络边缘
内部网络和外部网络的边界. 也被称为南北交通.
8. 分裂的隧道
允许远程用户或设备与系统建立非远程连接,并同时通过其他连接与外部网络中的资源进行通信的过程. 这种网络访问方法使用户能够访问远程设备(例如.g.(联网打印机),同时访问不受控制的网络.(nist sp800-171)
标准的主人
OIT负责这些标准的内容和管理.
联系人: oit-security@fcisaltproducts.com
修订历史
3/1/2024 -小更新
- 小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2