---

审查：2024年4月24日（由csis治理）

目的及概述

保护大学数据是一项共同的努力。有权访问大学数据的个人负责访问、存储和处理系统上的数据，这些系统对这类数据有适当的安全控制。个人应该咨询信息服务与技术（IS&T）和他们当地的IT支持小组，以确定访问、存储和使用数据的最佳方式，特别是对于更敏感的数据。

本文档定义了可能用于访问、存储或处理（输入、输出、传输、接收、显示、计算等）波士顿大学拥有或使用的敏感信息（定义见下文）的任何电子设备或云服务（定义见下文）所需的最低安全标准。

范围

本文档中概述的数据处理保护适用于用于访问、存储或处理敏感信息的所有电子设备和云服务（定义见下文），无论这些信息是由波士顿大学（BU）还是由大学员工或顾问拥有，并用于开展大学业务。如果您选择使用您拥有的电子设备（以下简称“个人电子设备”）；例如，家用电脑，智能手机或平板电脑)访问，存储或处理敏感信息，该电子设备受这些要求的约束。如果您选择使用您自己设置的云服务（以下简称“个人云服务”）；（即大学未提供的服务），使用该服务访问、存储或处理属于大学的敏感信息也受这些要求的约束。

支付卡行业数据安全标准（PCI-DSS）对处理信用卡数据的系统包括比本文描述的更严格的要求。如果您以任何方式处理信用卡数据，请与信息安全部门联系，以确保您的系统符合PCI-DSS要求。

处理受保护的健康信息（根据健康保险可携带性和责任法案（HIPAA）定义）的系统受HIPAA约束，必须遵守所有BU HIPAA安全和隐私政策。如果您以任何方式处理受保护的健康信息，请联系信息安全部门，以确保您的系统符合HIPAA和政策要求。

处理《国际武器贸易条例》（ITAR）或其他出口管制信息的系统可能受到其他要求的约束。如果没有澳门威尼斯人注册网站研究合规部批准的技术控制计划，您不得拥有或存储受ITAR约束的信息。详情请联系Research Compliance。

术语

“大学数据”是由波士顿大学生成或为波士顿大学所拥有或以其他方式拥有的与大学活动相关的信息。大学数据可能以电子或纸质形式存在，包括但不限于所有学术、行政和澳门威尼斯人注册网站研究数据，以及支持波士顿大学业务的计算基础设施和程序代码。

“敏感信息”是归类为内部、机密或限制使用的大学数据。有关每种分类的定义和示例，请参阅数据分类策略。

“云服务”包括通过互联网访问计算或存储资源的第三方提供的任何免费或付费应用程序、工具或基础设施。

“电子设备”包括用于以电子方式访问、存储或处理数据的任何设备。例如：任何类型的计算机（包括智能手机或平板电脑）、数据存储设备（包括USB设备）、网络设备、包含存储设备或可以连接到网络的打印机或复印机。

“加密”是将人类可读的数据（纯文本）转换为不知道特定秘密（密钥）就无法读取的数据（密文）的过程。本文档中提到的加密有两种类型：传输加密和静态加密。传输中的加密是指确保通过网络发送的所有数据都经过加密，而静态加密是指确保写入磁盘或其他永久存储的所有数据都经过加密。虽然加密过程和结果可能是相同的，但实现每种加密的工具和方法是不同的。

角色

企业服务

IS&T负责确保IS&T支持的设备和服务符合本政策。IS&T将为每项服务提供有关批准数据分类的指导。

学校、学院、单位、部门

大学的学校、学院、单位和部门有责任确保他们提供给社区或大学的设备和服务符合这些最低安全标准，包括指定服务是否适合每一类数据。

个人责任

所有BU的教职员工都应该熟悉数据保护标准，以确保了解如何正确处理机密或限制使用的信息。

如果您使用个人电子设备或个人云服务，您有责任确保您的电子设备和/或个人云服务符合以下要求。

如果您有疑问，请询问您的主管，部门安全管理员或信息安全。

商业标准

基于风险的控制

• 供未经认证的公众使用的资讯亭及终端机，不得储存任何敏感资料。
• 限制使用数据必须仅存储在信息安全部门批准使用的设备或云服务上。
• 存储机密或限制使用数据的系统必须由指定的、合格的系统管理员管理，该管理员能够适当地满足配置要求或部署和确认适当的补偿控制。
• 使用权威数据源，以尽量减少数据副本的数量，特别是限制使用的数据。

系统管理

• 应该制定适当的程序，以便在短时间内确保停机时间，以部署关键的安全补丁，特别是对于服务器系统。
• 应该只将功能强大的帐户（如管理员、超级用户或root）授予具有文档需求的用户。
• 当个人不再需要访问系统或应用程序时，应及时删除帐户和访问特权。

云服务

云服务包括通过互联网访问计算或存储资源的第三方提供的任何免费或付费应用程序、工具或基础设施。使用大学数据的云服务受“可接受使用计算服务政策”、“数据保护标准”和其他相关大学政策和程序的约束。

以下标准适用于使用由大学提供或安排的云服务：

• 访问、存储或处理机密或限制使用数据的服务应在使用前由信息安全和适当的数据受托人进行评估。
• 云服务产品应定义云服务提供商和大学在任何一方发起的违规调查期间的角色和责任。
• 应该对云环境进行隔离（例如按子网或AWS安全组），以隔离测试系统和生产系统以及数据。
• 防火墙、IDS/IPS （Intrusion Detection and Prevention Systems）、日志管理、IAM等安全业务与其他业务隔离。
• 通过要求使用堡垒主机作为连接到云实例的中继点来限制对云基础设施（IaaS）的管理访问。尽可能对管理访问使用多因素身份验证。
• 安全访问密钥和令牌应至少每90天轮换一次。
• 尽可能对云服务提供商管理应用程序使用多因素身份验证。
• 云服务必须提供退出策略，使大学能够保留其数据并从云服务中删除所有数据。
• 云提供商不得为大学批准以外的目的挖掘或搜索大学数据。
• 存储机密或限制使用数据的云提供商必须记录并签订合同，同意为其基础设施实施强大的物理访问控制。
• 采购云服务的单位必须了解云服务存储数据的位置和方式，包括数据存储或可能存储、复制到或路由经过的特定国家。其他国家可能对访问存储在其境内或跨越其边界的数据有要求。
• 云服务必须实施访问控制，以确保数据不会被未经授权的用户访问。对于某些云服务，这可能包括删除公共/全局读/视图访问。
• 云提供商必须记录对所提供服务的所有身份验证尝试，并能够在请求时导出数据。
• 限制使用的数据必须在静态和传输过程中加密；其他数据应在合理的情况下进行加密。

用于大学数据的个人云服务

“个人云服务”是“云服务”的一个子集，该服务是由个人而不是大学安排的，用于存储大学数据，包括使用免费服务。

• 机密数据不应存储在个人云服务中，除非该服务已获得信息安全和适当的数据受托人的批准。
• 个人云服务不得用于限制使用的数据。
• 您必须阅读并理解使用条款，包括提供商是否有权访问您的数据以及它可以对这些数据做什么。例如，普通消费者版本的Gmail会扫描你的电子邮件，寻找关键词，以便更好地向你投放广告，而BU版本的Gmail则不会。
• 了解你的数据是如何被保护的，它存储在哪里（地理位置），以及在你停止使用服务的情况下，你如何才能把它找回来并清除云副本。
• 个人云服务不要使用BU Kerberos密码。

端点设备

端点设备是用于直接人机交互的系统。相比之下，服务器旨在提供应用程序、存储或其他服务，虽然它可以由人类直接使用，但这种使用不是常态。在某些情况下，两套标准都可以适用，应该使用更严格的标准。

安全端点设备必须满足以下所有要求：

• 使用由公司支持的操作系统（Windows、Mac OS、支持的Linux版本等），这些公司会在发现安全漏洞时更新操作系统。对于智能手机和平板电脑等移动设备，这包括不使用终端用户故意破坏安全控制的设备，例如“越狱”或“根深蒂固”的操作系统。
• 将您的系统和应用程序配置为自动接收和安装更新，除非特定需求阻止这样做。
  • 设置Windows更新或Mac软件更新以自动下载和安装。
  • 对于移动设备，通过本机应用商店自动下载并安装操作系统和应用程序的更新。
  • 除非设备更新是由IT支持小组管理的，否则请将设备配置为在发布补丁后的2-3天内更新。
  • 当需求阻止运行完全更新的软件时，可能需要部署补偿控制。有关这些情况，请咨询信息安全部门。
• 始终使用强密码，并确保您的系统在访问之前需要身份验证。密码要求可以参考身份和访问管理中的身份验证部分
• 使用生物识别认证（拇指指纹、面部识别等）或在移动设备上设置强PIN（字母数字）、密码、密码或模式。您的手机的许多保护和安全功能（例如，iPhone的本地加密功能）不会被激活，除非您打开了这个安全功能。
• 在计算机上创建一个非管理帐户，用于日常活动。该帐户应该是普通用户帐户，而不是管理帐户或根帐户。
• BU管理的系统应该加入到Active Directory中
• BU管理的系统应该在KACE中进行管理
• 如果你超过15分钟不活动，让你的电脑或移动设备锁定屏幕，并要求你输入密码才能重新进入。
• 安装端点保护软件以保护您的设备免受病毒、间谍软件和其他恶意行为的侵害。
• 如果你的电脑或移动设备上有对大学运作很重要的信息，请定期备份这些数据。
• 应该定期测试数据备份的有效性，并且应该离线存储，这样操作系统就不能修改它们。限制使用数据的备份应该使用在传输和静态中提供加密的解决方案。
• 如果从校外地点连接，在通过网络访问任何机密或限制使用的数据之前，通过验证以https://开头的web url和/或建立VPN或其他安全网络通道来确保数据在传输过程中是加密的。
• 包含敏感信息的设备必须使用本地磁盘加密功能（例如，Windows的Bitlocker， Mac的FileVault或智能手机或平板电脑上的本地加密）加密静态数据。
• 对于支持它的电子设备，请确保您可以远程擦除设备。
• 所有无线连接都必须使用强大的加密——wpa2或同等或更好的加密——比如波士顿大学的802.1x无线网络提供的加密，或者在无线网络上使用VPN。

注意：如果您使用的电子设备无法配置或无法确认其配置是否安全（例如，公共信息亭计算机或酒店中的计算机），则不应使用该设备进行BU业务。

Non-Endpoint设备

本节包含大学（包括但不限于IS&T）运行或安排的所有设备和服务的详细安全要求。

• 用于存储或处理数据（特别是机密或限制使用数据）的软件必须得到供应商的支持。不支持的软件，包括过时的操作系统（例如，Windows XP、Windows 7、Windows Server 2003、Windows Server 2008、CentOS 5、RedHat Enterprise Linux 5），不应使用。对于已经部署的无法升级的系统，补偿控制必须到位。
• 系统更新不应该要求系统管理员对每台机器进行干预。使用自动应用更新的工具。如果没有补丁管理程序，服务器必须在30天内安装安全补丁和更新。
• 任何默认密码或供应商提供的密码必须更改为符合大学最低密码复杂度标准的非默认值。
• 应该在合理的情况下使用基于系统/设备的防火墙，建议用于具有机密数据的系统，并且对于具有限制使用数据的系统是必需的。
• 对大学运作至关重要的数据应予以备份，以防丢失使用。详情请参阅大学记录保留政策（FA-002）。
• 在使用VPN、SSL或类似技术合理的情况下，敏感信息应在传输过程中进行加密。强烈建议对机密数据进行传输加密，并要求限制使用。
• 所有对操作系统和应用程序的身份验证尝试，无论成功还是失败，都必须在本地记录。在可能的情况下，应该将这些审计日志转发到企业日志存储库。
• 在多用户设备上，应该实现文件系统访问控制，以确保数据不会被未经授权的用户访问。用于处理或存储机密或限制使用信息的系统不应承载任何允许访问浏览文件系统的未经身份验证的服务，例如匿名ftp或通过web服务器进行目录索引。
• 存储大量机密数据或任何限制使用数据的服务器应保存在具有强大物理访问控制的安全房间中。应考虑两个因素，即对这些地区进行物理访问控制和视频监视。
• 限制使用的数据必须在休息时加密；在合理的情况下，应该对其他数据进行加密，最好使用操作系统自带的全磁盘加密等技术。
• 可重复使用的介质（磁盘驱动器）应从服务中删除时应安全擦除。当涉及限制使用数据时，如果无法擦除，则未加密（即使在保修期内）的故障介质不能退还给制造商。这些驱动器必须通过我们的媒体销毁服务销毁。
• 应该定期扫描系统的漏洞，并迅速修复发现的漏洞。
• 包含来自多个个人的限制使用信息的网络可访问系统应在技术上可行的情况下要求双因素识别，包括个人对其自己数据的访问。
• 应该安装端点保护软件，并将其绑定到企业管理和报告实用程序。
• 应该禁用没有相关需求的网络服务。
• 非端点设备应该配置为同步时间信息（网络时间协议）从一个建立的，可靠的来源。
• 如果设备用于存储或处理对大学业务很重要的数据，则应制定灾难恢复和业务连续性计划，以恢复和恢复服务。
• 非生产系统（例如Dev、TEST）不应该存储生产受限使用数据，除非相当于生产环境的安全控制已经到位。
• 在可能的情况下，对非端点设备或软件的身份验证应该来自经批准的企业身份验证服务（例如Active Directory、Kerberos、Shibboleth）。

异常

信息安全部门被授权对本文件中规定的要求给予例外。批准的任何例外情况都需要对情况进行彻底审查并实施适当的补偿控制。

此外，信息安全可以发布旨在澄清标准意图的指令，以帮助解释本政策。

重要的

不遵守数据保护标准可能会对个人、组织或波士顿大学造成伤害。未经授权或不可接受地使用大学数据，包括未能遵守这些标准，构成违反大学政策，并可能使用户撤销使用大学数据或信息技术的特权或纪律处分，直至并包括终止雇用。

---