Tujuan Dasar
Dasar ini bertujuan untuk:
i. memastikan pengawalan dan pengurusan keselamatan ke atas perkakasan, perisian, aplikasi dan operasi komputer; dan
ii. menerangkan perlaksanaan keselamatan rangkaian Kampus.Net / Kolej.Net yang merupakan infrastruktur rangkaian setempat (LAN) untuk penyambungan bagi tujuan komunikasi dan perkongsian maklumat/sumber.
Skop Dasar
Skop dasar merangkumi
i. aspek keselamatan perkakasan, perisian sistem, pangkalan data dan sistem aplikasi; dan
ii. aspek reka bentuk keselamatan rangkaian.
Dasar Keselamatan Sistem Komputer / Server
Kawalan Capaian Fizikal
i. melindungi pengkabelan dalam kawasan awam dengan pemasangan conduit atau lain-lain mekanisma perlindungan
ii. Kawalan terhadap individu/kakitangan yang masuk ke Bilik Komputer dan juga kawalan akses kepada semua server serta sumber ICT lain; dan
iii. Mewujudkan mekanisma kawalan capaian fizikal untuk kakitangan/individu mencapai server yang berkenaan.
Kawalan Capaian Logikal
Kawalan dibuat semasa instalasi agar hanya mereka yang dibenarkan sahaja boleh mencapai sistem Mekanisma kawalan capaian adalah seperti berikut:
i. Identifikasi Pengguna
Pengguna sistem boleh terdiri daripada individu atau kumpulan pengguna yang berkongsi akaun kumpulan pengguna yang sama. Dalam keduadua keadaan, pengguna perlu bertanggungjawab ke atas keseLamatan sistem yang digunakan. Langkah yang diambil untuk mengenalpasti pengguna yang sah ialah:
a. memberi satu ID yang unik kepada setiap pengguna individu;
b. menyimpan dan menyelenggara semua ID pengguna yang bertanggungjawab untuk setiap aktiviti;
c. memastikan adanya kemudahan ‘auditing’ untuk menyemak semua aktiviti pengguna;
d. memastikan semua ID pengguna yang diwujudkan adalah berdasarkan permohonan dan tiada ID pengguna
yang tidak diperlukan; dan
e. perubahan ID pengguna untuk sistem aplikasi perlu mendapat kebenaran daripada pemilik sistem tersebut.
Bagi memastikan ID pengguna yang tidak aktif tidak disalahgunakan
a. menggantung semua kemudahan ID yang tidak digunakan selama 30 hari dan menghapuskan ID berkenaan selepas dari tempoh 30 hari tersebut; dan
b. menghapus semua kemudahan untuk pengguna yang berpindah atau tamat perkhidmatan. Audit trail untuk setiap aktiviti pengguna hendaklah disimpan dan diarkib sekiranya keperluan storan adalah mencukupi terutamanya untuk pengguna yang boleh mencapai maklumat sulit agar dapat dikenalpasti sekiranya berlakunya pencerobohan maklumat.
Autentikasi Pengguna
Proses bertujuan mengenalpasti hanya pengguna yang sah dibenarkan menggunakan sistem melalui penggunaan kata laluan. Sistem mestilahboleh menyediakan kemudahan bagi
a. kata laluan dimasukkan dalam bentuk yang tidak boleh dilihat;
b. panjang kata laluan sekurang-kurangnya 8 aksara;
c. merupakan kombinasi daripada aksara,angka dan simbol-simbol lain;
d. kata laluan dienkrip semasa penghantaran;
e. fail kata laluan disimpan berasingan daripada data sistem aplikasi utama; dan
f. cubaan capaian dihadkan kepada tiga (3) kali sahaja. ID pengguna berkenaan perlu digantung selepas tiga
(3) kali cubaan gagal yang berturut.
Audit Trail
i. Universiti bertanggungjawab menyedia dan menyimpan rekod audit trail bagi mengenalpasti
akauntabiliti pengguna dan keselamatan. Penggunaan ‘audit trail’ untuk sistem komputer
dan manual operasi perlu diwujudkan untuk:
a. capaian kepada maklumat yang kritikal;
b. capaian kepada perkhidmatan rangkaian; dan
c. keistimewaan atau kebenaran tertentu yang melebihi kebenaran sebagai pengguna biasa digunakan seperti arahan keselamatan dan fungsi ‘superuser.’
ii. Maklumat audit trail merangkumi
a. identifikasi (ID) pengguna;
b. fungsi, sumber dan maklumat yang digunakan atau dikemaskini;
c. tarikh dan masa penggunaan;
d. alamat IP client atau stesen kerja; dan
e. transaksi dan program yang dijalankan secara khusus.
iii. Universiti akan mengambil tindakan berikut semasa penyediaan audit trail:
a. meneliti dan melaporkan sebarang aktiviti yang diragui dengan segera;
b. meneliti audit trail secara berjadual;
c. meneliti dan melaporkan sebarang masalah keselamatan dan kejadian luar biasa;
d. menyimpan maklumat audit trail untuk jangka masa tertentu bagi keperluan operasi dan keselamatan; dan
e. mengawal maklumat audit trail daripada dihapus, diubahsuai, ditipu atau disusun semula.
Penyalinan (Backup) Maklumat
i. Universiti bertanggungjawab memulihkan sistem sepenuhnya jika berlaku masalah atau kerosakan.
ii. Proses penyalinan dibuat secara berjadual dan semasa perubahan konfigurasi pada sistem. Backup perlu disimpan di tempat berasingan dan selamat.
iii. Universiti akan mengambil tindakan berikut semasa penyediaan penyalinan:
a. mendokumen prosedur penyalinan dan pemulihan;
b. menyimpan tiga (3) generasi salinan; dan
c. menguji media salinan dan prosedur pemulihan dua (2) kali setahun.
Penyelenggaraan
i. Universiti melaksana kawalan dan penyelenggaraan bagi memastikan integriti sistem pengoperasian daripada terdedah kepada sebarang pencerobohan keselamatan
a. Patches dan Kelemahan Sistem (Vulnerabitities) - Mengemaskini patches dan mengatasi kelemahan sistem yang berlaku daripada agensi keselamatan berdaftar.
b. Naik taraf - Menaiktaraf sistem pengoperasian kepada versi terkini sesuai dengan spesifikasi peralatan ICT yang ada.
Dasar Keselamatan Sistem Aplikasi
Universiti bertanggungjawab melaksana dan mengawal tahap capaian sistem aplikasi
Perisian Aplikasi
i. Kawalan keselamatan dilaksana untuk mengelakkan berlakunya capaian oleh pengguna yang tidak sah, pengubahsuaian, pendedahan atau penghapusan maklumat. Universiti bertanggungjawab menyedia kawalan dan kemudahan seperti berikut:
a. sistem keselamatan berpusat dengan kawalan capaian penggunaan satu ID dan kata laluan untuk semua aplikasi;
b. profil capaian yang menghad tahap capaian maklumat serta fungsi berdasarkan peranan pengguna;
c. kawalan peringkat sistem aplikasi yang menentukan akauntabiliti tertentu kepada pengguna; dan
d. penetapan pemilik maklumat.
Pangkalan Data
i. Universiti bertanggungjawab mengadakan kawalan capaian kepada pangkalan data. Integriti maklumat yang disimpan dalam pangkalan data dikekal dan dijamin secara:
a. sistem pengurusan pangkalan data memastikan integriti dalam pengemaskinian dan capaian maklumat; dan
b. kawalan capaian kepada maklumat ditentukan oleh Pentadbir Pangkalan Data.
Pengujian Aplikasi
i. Universiti bertanggungjawab menguji aturcara, modul, sistem aplikasi dan integrasi sistem aplikasi bagi memastikan sistem berfungsi mengikut spesifikasi yang ditetapkan. Universiti mengambil langkah berikut semasa pengujian aplikasi
a. menggunakan data ujian (dummy) atau data lapuk (historical);
b. mengawal penggunaan data terpilih (classified);
c. menghadkan capaian kepada kakitangan yang terlibat sahaja;
d. menghapuskan maklumat yang digunakan setelah selesai pengujian (terutamanya apabila menggunakan data lapuk); dan
e. menggunakan persekitaran yang berasingan untuk pembangunan dan pengoperasian sistem aplikasi.
Perisian Berkod Jahat (Malicious) dan Rosak (Defective)
i. Atur cara sistem aplikasi terdedah kepada kod jahat dan kod rosak. Universiti bertanggungjawab mengurangkan kemungkinan perisian yang rosak melalui kawalan berikut:
a. kod sumber (source code) daripada pembangun sistem aplikasi yang bereputasi baik, rekod prestasi perkhidmatan yang baik dan mempunyai kepakaran teknikal yang tinggi;
b. mewujud dan melaksana program jaminan kualiti dan prosedur untuk semua sistem aplikasi yang dibangunkan secara dalaman dan luaran; dan
c. memastikan semua sistem aplikasi didokumen, diuji, disah fungsinya, tahan Iasak (robustness) dan menepati spesifikasi.
Perubahan Versi
Universiti bertanggungjawab mengawal versi sistem aplikasi apabila perubahan atau peningkatan dibuat dan mematuhi prosedur kawalan perubahan.
Penyimpanan Kod Sumber (Source Code)
Universiti bertanggungjawab mengurus dan melaksana kawalan penyimpanan kod sumber bagi sistem aplikasi yang dibangunkan secara dalaman atau luaran untuk tujuan penyelenggaraan dan peningkatan yang merangkumi:
a. mewujudkan prosidur penyelenggaraan versi terkini; dan
b. mewujudkan perjanjian untuk keadaan di mana berlakunya kerosakan atau bencana dan kod sumber tidak ada.
Perisian Tidak Berlesen
Universiti bertanggungjawab memastikan semua penggunaan perisian adalah berlesen serta mengawal dan menyimpan lesen serta kawalan fizikal ke atas lokasi perisian berlesen dan salinan lesen yang dikeluarkan.
Kawalan Kod Jahat (Malicious Code)
i. Universiti bertanggungjawab memastikan integriti maklumat daripada pendedahan atau kemusnahan akibat malicious code seperti virus seperti berikut:
a. melaksanakan prosedur untuk mengurus kod jahat;
b. mewujudkan peraturan berkaitan memuat turun, penerimaan dan penggunaan perisian percuma (freeware dan shareware);
c. menyebarkan arahan dan maklumat untuk mengesan kod jahat kepada semua pengguna; dan
d. mengambil langkah pencegahan atau pemulihan serangan kod jahat seperti berikut:
• mengimbas dan menghapus kod jahat menggunakan perisian anti virus yang diluluskan Universiti;
• menyemak status proses imbasan dalam laporan log; dan
• tidak melaksanakan (run) atau membuka fail kepilan (attachment) daripada e-mel yang meragukan.
Dasar Keselamatan Penggunaan Emel
Akaun Emel
Akaun emel bukan hak mutlak kakitangan/pelajar tetapi kemudahan yang disediakan tertakluk kepada peraturan Universiti dan boleh ditarik balik jika melanggar Dasar Penggunaan Internet
Menyenggara Kotak Mel (Mail Box)
i. Kandungan dan penyelenggaraan kotak mel pada komputer peribadi adalah menjadi tanggungjawab pengguna.
ii. Pengguna hendaklah sentiasa mengimbas fail dalam kotak mel dengan perisian anti-virus bagi
memastikan fail yang dihantar/diterima melalui lampiran (attachment) bebas daripada virus.
iii. Emel hendaklah tidak mengandungi maklumat rahsia atau sulit yang boleh disalah guna untuk merosakkan akaun, stesen kerja, komputer server dan rangkaian Kampus.Net /Kolej.Net
Penggunaan Perisian Mel
i. Pengguna hendaklah mengguna perisian mel rasmi UKM yang lebih selamat daripada ancaman dan penyebaran kod jahat berbanding perisian lain seperti Microsoft Outlook, IncrediMail dan lain-lain.
ii. Pengguna yang tidak menggunakan perisian mel rasmi UKM hendaklah sentiasa membuat penyalinan terhadap data emel.
Dasar Keselamatan Peralatan Rangkaian
Keselamatan Fizikal
i. Peralatan rangkaian hendaklah ditempatkan di tempat yang bebas daripada risiko di luar jangkaan seperti banjir, kilat, gegaran, kekotoran dan sebagainya.
ii. Suhu hendaklah terkawal di dalam had suhu peralatan rangkaian berkenaan dengan memasang sistem penghawa dingin sepanjang masa.
iii. Memasang Uninterruptible Power Supply (UPS) dengan minimum 15 minit masa beroperasi jika terputus bekalan elektrik dan perlindungan daripada kilat dan menyokong penutupan (shut
down) server secara automatik.
Capaian Fizikal
i. Capaian Pengkabelan Rangkaian
ii. Langkah yang perlu diambil untuk melindungi kabel rangkaian daripada di capai oleh yang tidak berkenaan
a. melindungi pengkabelan di dalam kawasan awam dengan cara memasang conduit atau lain-lain mekanisma perlindungan; dan
b. pusat pendawaian terletak di dalam ruang atau bilik yang berkunci dan hanya boleh dicapai oleh kakitangan yang dibenarkan sahaja.
Capaian Peralatan Rangkaian
i. Peralatan hendaklah ditempatkan di tempat yang selamat dan terkawal.
ii. Peralatan rangkaian hanya boleh dicapai oleh kakitangan yang dibenarkan sahaja.
Capaian Logikal
i. ID dan kata laluan diperlukan untuk mencapai perisian rangkaian. Capaian hanya boleh dibuat
oleh kakitangan yang dibenarkan sahaja.
ii. Komposisi kata laluan mestilah konsisten dengan garis panduan yang telah ditetapkan.
iii. Maklumat capaian ke router hendaklah direkodkan - pegawai, tarikh, masa dan aktiviti. Maklumat mestilah disimpan sekurangkurangnya selama 90 hari.
iv. Rangkaian hanya menerima trafik daripada alamat IP dalaman yang berdaftar sahaja. Semua perubahan konfigurasi suis rangkaian hendaklah dilogkan termasuk pengguna yang membuat perubahan, pengesahan, tarikh dan masa.
v. Perubahan perisian konfigurasi mestilah direkodkan - pegawai yang membuat perubahan, pegawai yang membenarkan perubahan dibuat dan tarikh.
vi. Perubahan konfigurasi hendaklah dikendalikan secara berpusat.
Penggunaan Peralatan Tanpa Kebenaran
i. Mengadakan kawalan capaian logikal
ii. Menempatkan peralatan di tempat yang selamat dan terkawal.
iii. Bilik pendawaian atau wiring closet hanya boleh dicapai oleh pegawai yang dibenarkan sahaja.
iv. menyelenggara inventori peralatan dan membuat semakan secara berkala.
Konfigurasi Peralatan
i. Mengaktifkan (enable) perkhidmatan yang diperlukan sahaja.
ii. Menghadkan capaian konfigurasi kepada nod atau alamat IP yang dibenarkan sahaja.
iii. Mematikan (disable) penyiaran trafik (broadcast).
iv. Menggunakan kata laluan yang selamat.
v. Dilaksanakan oleh kakitangan yang terlatih dan dibenarkan sahaja.
Penyelenggaraan Peralatan
i. Peralatan hendaklah dipasang, dioperasi dan diselenggarakan mengikut spesifikasi pengilang.
ii. Dibaiki dan diselenggara hanya oleh kakitangan yang terlatih dan dibenarkan sahaja.
iii. Mengemaskini rekod penyelenggaraan.
Dasar Kebolehcapaian Pengguna (User Accessibility)
Rangkaian Setempat (Local Area Network)
i. Hanya kakitangan dan pelajar UKM dibenarkan membuat penyambungan ke rangkaian UKM
ii. Pengguna luar perlu mendapatkan kebenaran Pengarah Pusat Komputer sebelum membuat
capaian ke rangkaian UKM
iii. pengguna yang disahkan sahaja dibenarkan membuat capaian kepada sistem pengkomputeran UKM
iv. Perisian pengintip (sniffer) atau penganalisis rangkaian (network analyzer) tidak dibenar digunakan pada sebarang komputer kecuali setelah mendapat kebenaran daripada Pengarah Pusat Komputer atau Pegawai Keselamatan ICT. Status komputer hendaklah disemak setiap tahun
Dasar Sambungan Dengan Lain-Lain Rangkaian
Capaian Yang Tidak Digalakkan
i. Penggunaan protokol rangkaian seperti NetBIOS dan IPX/SPX.
ii. Penggunaan workgroup kerana menyokong share-level security.
Firewall
i. Semua trafik rangkaian daripada dalam ke luar UKM dan sebaliknya mestilah melalui firewall dan hanya trafik yang disahkan sahajadibenarkan untuk melepasinya berasaskan kepada Dasar Rangkaian ICT .
ii. Reka bentuk firewall hendaklah mengambilkira perkara berikut:
a. keperluan audit dan arkib;
b. kebolehsediaan;
c. kerahsiaan; dan
d. melindungi maklumat/Universiti.
iii. PTJ penyedia komputer server boleh menyedia firewall khusus untuk tujuan keselamatan.
Dasar ini bertujuan untuk:
i. memastikan pengawalan dan pengurusan keselamatan ke atas perkakasan, perisian, aplikasi dan operasi komputer; dan
ii. menerangkan perlaksanaan keselamatan rangkaian Kampus.Net / Kolej.Net yang merupakan infrastruktur rangkaian setempat (LAN) untuk penyambungan bagi tujuan komunikasi dan perkongsian maklumat/sumber.
Skop Dasar
Skop dasar merangkumi
i. aspek keselamatan perkakasan, perisian sistem, pangkalan data dan sistem aplikasi; dan
ii. aspek reka bentuk keselamatan rangkaian.
Dasar Keselamatan Sistem Komputer / Server
Kawalan Capaian Fizikal
i. melindungi pengkabelan dalam kawasan awam dengan pemasangan conduit atau lain-lain mekanisma perlindungan
ii. Kawalan terhadap individu/kakitangan yang masuk ke Bilik Komputer dan juga kawalan akses kepada semua server serta sumber ICT lain; dan
iii. Mewujudkan mekanisma kawalan capaian fizikal untuk kakitangan/individu mencapai server yang berkenaan.
Kawalan Capaian Logikal
Kawalan dibuat semasa instalasi agar hanya mereka yang dibenarkan sahaja boleh mencapai sistem Mekanisma kawalan capaian adalah seperti berikut:
i. Identifikasi Pengguna
Pengguna sistem boleh terdiri daripada individu atau kumpulan pengguna yang berkongsi akaun kumpulan pengguna yang sama. Dalam keduadua keadaan, pengguna perlu bertanggungjawab ke atas keseLamatan sistem yang digunakan. Langkah yang diambil untuk mengenalpasti pengguna yang sah ialah:
a. memberi satu ID yang unik kepada setiap pengguna individu;
b. menyimpan dan menyelenggara semua ID pengguna yang bertanggungjawab untuk setiap aktiviti;
c. memastikan adanya kemudahan ‘auditing’ untuk menyemak semua aktiviti pengguna;
d. memastikan semua ID pengguna yang diwujudkan adalah berdasarkan permohonan dan tiada ID pengguna
yang tidak diperlukan; dan
e. perubahan ID pengguna untuk sistem aplikasi perlu mendapat kebenaran daripada pemilik sistem tersebut.
Bagi memastikan ID pengguna yang tidak aktif tidak disalahgunakan
a. menggantung semua kemudahan ID yang tidak digunakan selama 30 hari dan menghapuskan ID berkenaan selepas dari tempoh 30 hari tersebut; dan
b. menghapus semua kemudahan untuk pengguna yang berpindah atau tamat perkhidmatan. Audit trail untuk setiap aktiviti pengguna hendaklah disimpan dan diarkib sekiranya keperluan storan adalah mencukupi terutamanya untuk pengguna yang boleh mencapai maklumat sulit agar dapat dikenalpasti sekiranya berlakunya pencerobohan maklumat.
Autentikasi Pengguna
Proses bertujuan mengenalpasti hanya pengguna yang sah dibenarkan menggunakan sistem melalui penggunaan kata laluan. Sistem mestilahboleh menyediakan kemudahan bagi
a. kata laluan dimasukkan dalam bentuk yang tidak boleh dilihat;
b. panjang kata laluan sekurang-kurangnya 8 aksara;
c. merupakan kombinasi daripada aksara,angka dan simbol-simbol lain;
d. kata laluan dienkrip semasa penghantaran;
e. fail kata laluan disimpan berasingan daripada data sistem aplikasi utama; dan
f. cubaan capaian dihadkan kepada tiga (3) kali sahaja. ID pengguna berkenaan perlu digantung selepas tiga
(3) kali cubaan gagal yang berturut.
Audit Trail
i. Universiti bertanggungjawab menyedia dan menyimpan rekod audit trail bagi mengenalpasti
akauntabiliti pengguna dan keselamatan. Penggunaan ‘audit trail’ untuk sistem komputer
dan manual operasi perlu diwujudkan untuk:
a. capaian kepada maklumat yang kritikal;
b. capaian kepada perkhidmatan rangkaian; dan
c. keistimewaan atau kebenaran tertentu yang melebihi kebenaran sebagai pengguna biasa digunakan seperti arahan keselamatan dan fungsi ‘superuser.’
ii. Maklumat audit trail merangkumi
a. identifikasi (ID) pengguna;
b. fungsi, sumber dan maklumat yang digunakan atau dikemaskini;
c. tarikh dan masa penggunaan;
d. alamat IP client atau stesen kerja; dan
e. transaksi dan program yang dijalankan secara khusus.
iii. Universiti akan mengambil tindakan berikut semasa penyediaan audit trail:
a. meneliti dan melaporkan sebarang aktiviti yang diragui dengan segera;
b. meneliti audit trail secara berjadual;
c. meneliti dan melaporkan sebarang masalah keselamatan dan kejadian luar biasa;
d. menyimpan maklumat audit trail untuk jangka masa tertentu bagi keperluan operasi dan keselamatan; dan
e. mengawal maklumat audit trail daripada dihapus, diubahsuai, ditipu atau disusun semula.
Penyalinan (Backup) Maklumat
i. Universiti bertanggungjawab memulihkan sistem sepenuhnya jika berlaku masalah atau kerosakan.
ii. Proses penyalinan dibuat secara berjadual dan semasa perubahan konfigurasi pada sistem. Backup perlu disimpan di tempat berasingan dan selamat.
iii. Universiti akan mengambil tindakan berikut semasa penyediaan penyalinan:
a. mendokumen prosedur penyalinan dan pemulihan;
b. menyimpan tiga (3) generasi salinan; dan
c. menguji media salinan dan prosedur pemulihan dua (2) kali setahun.
Penyelenggaraan
i. Universiti melaksana kawalan dan penyelenggaraan bagi memastikan integriti sistem pengoperasian daripada terdedah kepada sebarang pencerobohan keselamatan
a. Patches dan Kelemahan Sistem (Vulnerabitities) - Mengemaskini patches dan mengatasi kelemahan sistem yang berlaku daripada agensi keselamatan berdaftar.
b. Naik taraf - Menaiktaraf sistem pengoperasian kepada versi terkini sesuai dengan spesifikasi peralatan ICT yang ada.
Dasar Keselamatan Sistem Aplikasi
Universiti bertanggungjawab melaksana dan mengawal tahap capaian sistem aplikasi
Perisian Aplikasi
i. Kawalan keselamatan dilaksana untuk mengelakkan berlakunya capaian oleh pengguna yang tidak sah, pengubahsuaian, pendedahan atau penghapusan maklumat. Universiti bertanggungjawab menyedia kawalan dan kemudahan seperti berikut:
a. sistem keselamatan berpusat dengan kawalan capaian penggunaan satu ID dan kata laluan untuk semua aplikasi;
b. profil capaian yang menghad tahap capaian maklumat serta fungsi berdasarkan peranan pengguna;
c. kawalan peringkat sistem aplikasi yang menentukan akauntabiliti tertentu kepada pengguna; dan
d. penetapan pemilik maklumat.
Pangkalan Data
i. Universiti bertanggungjawab mengadakan kawalan capaian kepada pangkalan data. Integriti maklumat yang disimpan dalam pangkalan data dikekal dan dijamin secara:
a. sistem pengurusan pangkalan data memastikan integriti dalam pengemaskinian dan capaian maklumat; dan
b. kawalan capaian kepada maklumat ditentukan oleh Pentadbir Pangkalan Data.
Pengujian Aplikasi
i. Universiti bertanggungjawab menguji aturcara, modul, sistem aplikasi dan integrasi sistem aplikasi bagi memastikan sistem berfungsi mengikut spesifikasi yang ditetapkan. Universiti mengambil langkah berikut semasa pengujian aplikasi
a. menggunakan data ujian (dummy) atau data lapuk (historical);
b. mengawal penggunaan data terpilih (classified);
c. menghadkan capaian kepada kakitangan yang terlibat sahaja;
d. menghapuskan maklumat yang digunakan setelah selesai pengujian (terutamanya apabila menggunakan data lapuk); dan
e. menggunakan persekitaran yang berasingan untuk pembangunan dan pengoperasian sistem aplikasi.
Perisian Berkod Jahat (Malicious) dan Rosak (Defective)
i. Atur cara sistem aplikasi terdedah kepada kod jahat dan kod rosak. Universiti bertanggungjawab mengurangkan kemungkinan perisian yang rosak melalui kawalan berikut:
a. kod sumber (source code) daripada pembangun sistem aplikasi yang bereputasi baik, rekod prestasi perkhidmatan yang baik dan mempunyai kepakaran teknikal yang tinggi;
b. mewujud dan melaksana program jaminan kualiti dan prosedur untuk semua sistem aplikasi yang dibangunkan secara dalaman dan luaran; dan
c. memastikan semua sistem aplikasi didokumen, diuji, disah fungsinya, tahan Iasak (robustness) dan menepati spesifikasi.
Perubahan Versi
Universiti bertanggungjawab mengawal versi sistem aplikasi apabila perubahan atau peningkatan dibuat dan mematuhi prosedur kawalan perubahan.
Penyimpanan Kod Sumber (Source Code)
Universiti bertanggungjawab mengurus dan melaksana kawalan penyimpanan kod sumber bagi sistem aplikasi yang dibangunkan secara dalaman atau luaran untuk tujuan penyelenggaraan dan peningkatan yang merangkumi:
a. mewujudkan prosidur penyelenggaraan versi terkini; dan
b. mewujudkan perjanjian untuk keadaan di mana berlakunya kerosakan atau bencana dan kod sumber tidak ada.
Perisian Tidak Berlesen
Universiti bertanggungjawab memastikan semua penggunaan perisian adalah berlesen serta mengawal dan menyimpan lesen serta kawalan fizikal ke atas lokasi perisian berlesen dan salinan lesen yang dikeluarkan.
Kawalan Kod Jahat (Malicious Code)
i. Universiti bertanggungjawab memastikan integriti maklumat daripada pendedahan atau kemusnahan akibat malicious code seperti virus seperti berikut:
a. melaksanakan prosedur untuk mengurus kod jahat;
b. mewujudkan peraturan berkaitan memuat turun, penerimaan dan penggunaan perisian percuma (freeware dan shareware);
c. menyebarkan arahan dan maklumat untuk mengesan kod jahat kepada semua pengguna; dan
d. mengambil langkah pencegahan atau pemulihan serangan kod jahat seperti berikut:
• mengimbas dan menghapus kod jahat menggunakan perisian anti virus yang diluluskan Universiti;
• menyemak status proses imbasan dalam laporan log; dan
• tidak melaksanakan (run) atau membuka fail kepilan (attachment) daripada e-mel yang meragukan.
Dasar Keselamatan Penggunaan Emel
Akaun Emel
Akaun emel bukan hak mutlak kakitangan/pelajar tetapi kemudahan yang disediakan tertakluk kepada peraturan Universiti dan boleh ditarik balik jika melanggar Dasar Penggunaan Internet
Menyenggara Kotak Mel (Mail Box)
i. Kandungan dan penyelenggaraan kotak mel pada komputer peribadi adalah menjadi tanggungjawab pengguna.
ii. Pengguna hendaklah sentiasa mengimbas fail dalam kotak mel dengan perisian anti-virus bagi
memastikan fail yang dihantar/diterima melalui lampiran (attachment) bebas daripada virus.
iii. Emel hendaklah tidak mengandungi maklumat rahsia atau sulit yang boleh disalah guna untuk merosakkan akaun, stesen kerja, komputer server dan rangkaian Kampus.Net /Kolej.Net
Penggunaan Perisian Mel
i. Pengguna hendaklah mengguna perisian mel rasmi UKM yang lebih selamat daripada ancaman dan penyebaran kod jahat berbanding perisian lain seperti Microsoft Outlook, IncrediMail dan lain-lain.
ii. Pengguna yang tidak menggunakan perisian mel rasmi UKM hendaklah sentiasa membuat penyalinan terhadap data emel.
Dasar Keselamatan Peralatan Rangkaian
Keselamatan Fizikal
i. Peralatan rangkaian hendaklah ditempatkan di tempat yang bebas daripada risiko di luar jangkaan seperti banjir, kilat, gegaran, kekotoran dan sebagainya.
ii. Suhu hendaklah terkawal di dalam had suhu peralatan rangkaian berkenaan dengan memasang sistem penghawa dingin sepanjang masa.
iii. Memasang Uninterruptible Power Supply (UPS) dengan minimum 15 minit masa beroperasi jika terputus bekalan elektrik dan perlindungan daripada kilat dan menyokong penutupan (shut
down) server secara automatik.
Capaian Fizikal
i. Capaian Pengkabelan Rangkaian
ii. Langkah yang perlu diambil untuk melindungi kabel rangkaian daripada di capai oleh yang tidak berkenaan
a. melindungi pengkabelan di dalam kawasan awam dengan cara memasang conduit atau lain-lain mekanisma perlindungan; dan
b. pusat pendawaian terletak di dalam ruang atau bilik yang berkunci dan hanya boleh dicapai oleh kakitangan yang dibenarkan sahaja.
Capaian Peralatan Rangkaian
i. Peralatan hendaklah ditempatkan di tempat yang selamat dan terkawal.
ii. Peralatan rangkaian hanya boleh dicapai oleh kakitangan yang dibenarkan sahaja.
Capaian Logikal
i. ID dan kata laluan diperlukan untuk mencapai perisian rangkaian. Capaian hanya boleh dibuat
oleh kakitangan yang dibenarkan sahaja.
ii. Komposisi kata laluan mestilah konsisten dengan garis panduan yang telah ditetapkan.
iii. Maklumat capaian ke router hendaklah direkodkan - pegawai, tarikh, masa dan aktiviti. Maklumat mestilah disimpan sekurangkurangnya selama 90 hari.
iv. Rangkaian hanya menerima trafik daripada alamat IP dalaman yang berdaftar sahaja. Semua perubahan konfigurasi suis rangkaian hendaklah dilogkan termasuk pengguna yang membuat perubahan, pengesahan, tarikh dan masa.
v. Perubahan perisian konfigurasi mestilah direkodkan - pegawai yang membuat perubahan, pegawai yang membenarkan perubahan dibuat dan tarikh.
vi. Perubahan konfigurasi hendaklah dikendalikan secara berpusat.
Penggunaan Peralatan Tanpa Kebenaran
i. Mengadakan kawalan capaian logikal
ii. Menempatkan peralatan di tempat yang selamat dan terkawal.
iii. Bilik pendawaian atau wiring closet hanya boleh dicapai oleh pegawai yang dibenarkan sahaja.
iv. menyelenggara inventori peralatan dan membuat semakan secara berkala.
Konfigurasi Peralatan
i. Mengaktifkan (enable) perkhidmatan yang diperlukan sahaja.
ii. Menghadkan capaian konfigurasi kepada nod atau alamat IP yang dibenarkan sahaja.
iii. Mematikan (disable) penyiaran trafik (broadcast).
iv. Menggunakan kata laluan yang selamat.
v. Dilaksanakan oleh kakitangan yang terlatih dan dibenarkan sahaja.
Penyelenggaraan Peralatan
i. Peralatan hendaklah dipasang, dioperasi dan diselenggarakan mengikut spesifikasi pengilang.
ii. Dibaiki dan diselenggara hanya oleh kakitangan yang terlatih dan dibenarkan sahaja.
iii. Mengemaskini rekod penyelenggaraan.
Dasar Kebolehcapaian Pengguna (User Accessibility)
Rangkaian Setempat (Local Area Network)
i. Hanya kakitangan dan pelajar UKM dibenarkan membuat penyambungan ke rangkaian UKM
ii. Pengguna luar perlu mendapatkan kebenaran Pengarah Pusat Komputer sebelum membuat
capaian ke rangkaian UKM
iii. pengguna yang disahkan sahaja dibenarkan membuat capaian kepada sistem pengkomputeran UKM
iv. Perisian pengintip (sniffer) atau penganalisis rangkaian (network analyzer) tidak dibenar digunakan pada sebarang komputer kecuali setelah mendapat kebenaran daripada Pengarah Pusat Komputer atau Pegawai Keselamatan ICT. Status komputer hendaklah disemak setiap tahun
Dasar Sambungan Dengan Lain-Lain Rangkaian
Capaian Yang Tidak Digalakkan
i. Penggunaan protokol rangkaian seperti NetBIOS dan IPX/SPX.
ii. Penggunaan workgroup kerana menyokong share-level security.
Firewall
i. Semua trafik rangkaian daripada dalam ke luar UKM dan sebaliknya mestilah melalui firewall dan hanya trafik yang disahkan sahajadibenarkan untuk melepasinya berasaskan kepada Dasar Rangkaian ICT .
ii. Reka bentuk firewall hendaklah mengambilkira perkara berikut:
a. keperluan audit dan arkib;
b. kebolehsediaan;
c. kerahsiaan; dan
d. melindungi maklumat/Universiti.
iii. PTJ penyedia komputer server boleh menyedia firewall khusus untuk tujuan keselamatan.
No comments:
Post a Comment