Dokumentet beskriver regler, forventninger og krav som stilles til IT brugere samt IT driftsgrupper under TEKNAT+SUND i tillæg til gældende for AAU IT tjenester AAU, Minimumskrav for alle hovedområderne (J.nr.: 2008 055/01 0003) og IKT sikkerhedsbog. 1. TEKNAT og SUND fakulteter it organisation Dekan SUND Dekan TekNat IST styregruppe IT chef TekNAT og SUND fakulteter TekNAT og SUND Fakultetskontor hh IST Kontaktudvalg Institut/område leder Institut/område leder Institut/område leder Institutter IT driftsgruppe IT driftsgruppe IT driftsgruppe Styregruppens rolle er beskrevet i kommissorium for IST styregruppen (se bilag). Kontaktudvalget skal forbedre informations flow og øge samarbejdet mellem IST og de decentrale IT driftsgrupper. 2. IT services opgavefordeling Grundlæggende it behov hos slutbrugere defineret i IT tjenester AAU, Minimumskrav for alle hovedområderne (e mail, fil deling etc.) samt kalenderservice dækkes af fælles TEKNAT+SUND Information Service Technology afdeling (IST). IT opgaver der kræver en faglig ekspertise og nærhed til forsknings undervisningsmiljøerne varetages på institut/områdeniveau. Page 1
Support for de services som leveres af IST varetages mht. level 2 og 3 af IST, imens 1. level varetages på på institut/områdeniveau. Page 2
3. Grundlæggende IT services som leveres af IST afdelingen a. Microsoft Active Directory (AD) multidomæne forest hvor hvert enkelt institut vil få oprettet ét domæne (for eksempel dpt.aau.dk). Alle studerende samles i ét fælles domæne: student.aau.dk. Institutterne ejer AD objekter i sit domæne (for eksempel brugere eller grupper) og har pligt til at ajourføre disse objekter (lokale, telefonnr, o.l) via de procedurer og værktøjer som IST stiller til rådighed. Institutterne skal opfylde AD retningslinjerne som udarbejdes af IST i samarbejde med de øvrige involverede IT driftsorganisationer. Følgende domæner er oprettet for TekNat + Sund institutter: Domænenavn civil.aau.dk create.aau.dk es.aau.dk m tech.aau.dk learning.aau.dk nano.aau.dk et.aau.dk cs.aau.dk math.aau.dk bio.aau.dk plan.aau.dk hst.aau.dk staff.aau.dk ist.aau.dk Institut I6 Institut for Byggeri og Anlæg I7 Institut for Arkitektur, Design & Medieteknologi I8 Institut For Elektroniske Systemer I9 Institut for Mekanik & Produktion I10 Institut for Uddannelse, Læring og Filosofi I13 Institut for Fysik og Nanoteknologi I14 Institut for Energiteknik I16 Institut for datalogi I17 Institut for Matematiske Fag I18 Institut for Kemi, Miljø og Bioteknologi I20 Institut for Samfundsudvikling og Plan. I21 Institut for Sundhedsvidenskab og Teknologi AAU ansatte som ikke hører til under andre domæner IST afdeling Yderligere TekNat + Sund tilhørende domæner kan oprettes i AD efter godkendelse af IST styregruppen. Domæner for andre områder på AAU oprettes efter godkendelse af AAU s IT chef gruppen. Følgende domæner er yderligere oprettet: Domænenavn Institut adm.aau.dk AAU s administration aub.aau.dk Aalborg Universitets Bibliotek id.aau.dk Hum + Samf fakulteterne student.aau.dk Samtlige studerende på AAU (STADS styret) sbi.aau.dk SBI AD domænerne bruges blandt andet til brugerens login og primære mail adresse. Page 3
b. MS Exchange (mail + kalender) til ansatte og studerende. c. MS Distributed File Service (fil deling hjemmekataloger, projektkataloger for de studerende, forskning og administrativt relaterede fileshares). d. Backupservice (sikkerhedskopiering). e. Printerservice som kan benyttes af Windows, Mac og andre Unix klienter. Institutterne skal stille et antal printere til rådighed som tilkobles systemet. f. Web servere til personlige web sites. g. Software licenser for følgende produkter: Produkt AAU ejet PC Privat ejet PC Maple Ja Ja Matlab/Simulink + 50 Ja Ja toolboxes MS Campus (Desktop, SharePoint Designer, Project Pro, Visio Pro, Visual Studio Pro, Enterprise CAL, MDOP) Ja Nej 4. Tillægsservices som leveres af IST IST afdeling kan ud over de grundlæggende IT services levere yderligere services afhængig af efterspørgsel. IST skal opbygge og vedligeholde et servicekatalog på web. 5. Betalingsprincipper Personlige ressourcer (hjemmekatalog, mailboks) samt projektkataloger (studerende) leveres af IST uden betaling så længe de er under følgende grænser: Ressourcer Ansatte Studerende Gæster Hjemmekatalog 10 GB 1 GB 1 GB Mailboks 2 GB 0,5 GB 0,5 GB Projektkatalog studerende 6 GB Institutterne kan, mod betaling, godkende udvidelse af grænser for deres ansatte, gæster samt projektkataloger for de studerende. Udvidelse af grænser samt tilkøb af andre disk baserede services udløser årlig betaling: Ressourcer 1 GB disk plads med backup (mailboks, hjemmekatalog, fileshare, projektkatalog) 1 GB disk plads med høj ydeevne uden backup (særlig aftale) 1 GB disk plads med normal/lav ydeevne uden backup (særlig aftale) Pris i DKK/år 20 15 4 Page 4
Pris for tillægsservices fastsættes af IT chefen sammen med IST styregruppen. 6. Mail system Mail systemet skal sikre at hver mail skannes for vira før den leveres til en mailboks. Mail systemet skal benytte moderne antispam foranstaltninger. Mails som udgøre sikkerhedstrussel kan fjernes fra systemet eller modificeres. Modificerede mails skal indeholde beskrivelse af alle modifikationer. Mail systemet kan afvise mails som ikke overholder gældende mail sikkerhedspolitik. Mail sikkerhedspolitikken skal beskrives på IST web sider. Størrelse af enkelt mails begrænses til 50 Mbytes. 7. Kalender system Som udgangspunkt har alle adgang til free/busy informationer for andre brugere. Studerende må ikke have adgang til ansattes kalender (ej heller free/busy informationer) med mindre ejeren giver tilladelse dertil. 8. Hjemmekataloger Som udgangspunkt har ingen adgang til andres hjemmekataloger. Den enkelte bruger kan give andre brugere tilladelse til tilgå hans egne filer/kataloger. 9. Backup Der skal foretages automatisk backup af alle hjemmekataloger, projektkataloger og mailbokse. Backup skal foretages dagligt (arbejdsdag) og opbevares i mindst 2 måneder. Der skal foretages periodisk test om backup data rent faktisk kan bruges til restore. 10. Adgang til IT services efter fri bevægelsesprincip Man bør sikre at flest mulige IT services er tilgængelige uanset hvor slutbrugeren befinder sig på Campus (Aalborg, Esbjerg, Ballerup)og Internettet. Fri bevægelsesprincip omfatter: a. Adgang til IT services (leveret af IST eller andre organisationer) fra AAU Campus klient netværk. Klient netværk skal eksistere de steder hvor brugeren forventes at kunne tilslutte sin PC. Dvs. i kontorer, grupperum, mødelokaler og seminarrum samt fra trådløst netværk. Som udgangspunkt skal klientnetværkene give adgang til alle AAU Campus baserede tjenester (alle sites) og Internet. Som udgangspunkt bør adgang til AAU Campus baserede tjenester kun være muligt efter autentificering. I de tilfælde hvor der i kontorer findes net tilslutninger til både klient og ikke klient netværk skal net tilslutninger til klient netværk markeres tydeligt. Klientnetværk leveres af AAU netværkgruppen. Decentrale IT driftsorganisationer anmoder om klient netværk og placerer net tilslutninger på disse netværk. Markering af net tilslutninger varetages af institutterne selv. Page 5
b. Adgang til AAU Campus baserede tjenester fra Internettet dog kun efter autentificering og via stærke krypterede godkendte kommunikationskanaler. 11. Brugernavne og kodeord Brugernavne for ansatte og gæster oprettes af enkelte institutter/områder (for AD konti skal der bruges et system leveret af IST). Brugernavne for de studerende oprettes automatisk på baggrund af oplysninger i STADS. Hvis muligt skal der benyttes så kaldte domæne brugernavne, for eksempel bruger@dpt.aau.dk. Studerendes brugernavne afsluttes med årstal (2 cifre) for uddannelses start. For eksempel david09@student.aau.dk. Man bør undgå at anvende brugernavne som afsluttes med 2 cifre til andre formål. Skulle man få brug for at oprette brugernavne for de studerende på specifikke systemer på institut niveauer bør man bestræbe sig på at bruge det samme brugernavn som i student.aau.dk domænet. Ansatte (værter) kan anmode om oprettelse at gæste brugernavne for deres samarbejdspartnere (dog højst 6 måneder af gangen). Ansatte kan anmode om oprettelse af kortvarige (højst 6 dage af gangen) gæstebrugernavne som kun giver adgang til AAU trådløs infrastruktur, herunder internettet. Alle brugernavne knyttet til personer skal være tidsbegrænsede. Studerende skal bevare brugernavnet i student.aau.dk domænet gennem hele studietiden. Nedlæggelse sker automatisk. Detaljerede procedurer vurderes af AAU s informationssikkerhedsudvalg og godkendes af AAU s IT chef udvalg. Brugere skal modtage et varsel om lukning af deres brugernavne mindst 14 dage før automatisk lukning finder sted. IT ressourcer allokeret til brugernavnet og rettigheder til andre ressourcer fjernes i forbindelse med nedlæggelsen af brugernavnet. For nærmere regler se AAUs Politik for personlige og eller private mapper. Systemer skal sikre at kodeord har tilstrækkelig kompleksitet (tegn fra tre forskellige klasser, mindst 8 tegn). Der stilles ikke krav til periodisk ændring af kodeord. IT driftsgrupper på AAU kan anvende forskellige metoder (for eksempel ordbog baseret forsøg for at gætte kodeord) for at sikre høj kvalitet af kodeord. IT driftsgrupper kan forlange ændring af kodeord eller midlertidig suspendere brugernavnet skulle der opstå en sikkerhedstrussel. Kodeord er strengt personligt og må ikke videregives. Kodeord må ikke oplyses via e mail. Ved begrundet mistanke om at andre personer kunne have fået adgang til ens kodeord skal kodeord ændres omgående. Lokal sikkerhedsansvarlige skal orienteres om hændelsen. 12. Mail aliases/mail distributionslister Page 6
Mail adressen dpt staff@dpt.aau.dk skal omfatte alle ansatte i pågældende AAU institut/område (dpt). Adressen må ikke indeholde andre brugere. Ændring af indhold skal ske automatisk på baggrund af informationer i relevante databaser. 13. Ressourcer knyttet til en persons brugernavn a. Alle ansatte og studerende skal oprettes som brugere i Active Directory. b. Alle ansatte og studerende skal have én mail konto med tilhørende kalender. Domæne brugernavne skal bruges som primær mail adresser. Mail konto og tilhørende kalender leveres af IST på en MS Exchange løsning. Der implementeres quota på mailen. Private mails skal opbevares i en mail folder med et navn private eller privat. c. Der skal oprettes et hjemmekatalog (netværksdrev) for hver bruger. Hjemmekataloget leveres af IST som MS Distributed File System løsning. Der skal implementeres quota for filsystemer (hjemmekataloger, projektkataloger, ). Private filer skal opbevares i et katalog med et navn private eller privat. For de ansatte kan enkelte institutter i en overgangsperiode efter nærmere aftale supplere med hjemmekataloger baseret på alternative teknologier. d. Printere Ansatte, gæster og studerende skal have adgang til printere. Det skal være muligt at opgøre printforbrug per bruger. e. Personlige web sites. Web sites som oprettes af enkelte personer (ansatte eller studerende) med henblik på at præsentere personen og dennes aktiviteter i relation til AAU samt at understøtte personen i sit daglige arbejde på AAU. Det er personen selv som bærer det fulde ansvar i enhver henseende for web sitet og dets indhold. Personlige web sites oprettes på de af IT driftsorganisationen anviste web servere. Web servere som huser personlige web sites må af sikkerhedsmæssige grunde ikke give direkte adgang til personlige hjemmekataloger (netværksdrev). 14. Ressourcer knyttet til en projektgruppe studerende a. Projektgrupperne dannes på institutniveau ved at vælge studerende fra student.aau.dk domænet. b. Projektgrupperne og ressourcer knyttet til dem skal altid have tidsbegrænset levetid som udgangspunkt ét semester. c. Der skal oprettes et projektkatalog (netværksdrev) for hver projektgruppe. Projektkataloger leveres af IST som MS Distributed File System løsning. Der skal implementeres quota for projektkataloger. Enkelte institutter kan supplere med projektkataloger baseret på andre teknologier. d. Der skal oprettes en mail adresse for hver enkelt projektgruppe. 15. Genbrug af brugernavne og mail adresser Nedlagte persons brugernavne må ikke genbruges (knyttes til anden person) i 2 år efter nedlæggelse. Nedlagt mail adresser må ikke genbruges (bruges til andet formål) i 2 år efter nedlæggelse. 16. Forskningsdata Det gælder AAU Politik for forskningsdata af 8. september 2009. Page 7
17. Netværk Netværk skal opdeles i segmenter. Hvert enkelt netværk skal beskyttes via firewall/filter. Slutbruger netværk hvor brugere kan tilslutte eget udstyr skal separeres fra de øvrige netværk. Slutbruger netværk skal være beskyttet mod uopfordret kommunikation fra omverden inklusiv andre slutbruger netværk. Filtrering for øvrige netværk skal anvendes, hvis muligt efter minimal nødvendig adgang princip. 18. Support (HelpDesk) system Alle IT driftsgrupper under TekNAT + SUND skal anvende det samme helpdesk system ifht. grundlæggende IT services. It chefen í samarbejde med IT driftsgrupper beslutter hvilket system der skal anvendes. Systemet skal understøtte ITIL procedurer. Helpdesken er åben indenfor normal arbejdstid (09.00 15.00 mandag fredag) tlf. 9940 3456, mail: help@ist.aau.dk. 19. Kommunikation med brugere IST er ansvarlig for udarbejdelse og vedligeholdelse af IST supportsider på web (på engelsk). IST skal varsle om planlagte IT drift forstyrrelser eller væsentlig ændringer ved at anvende annonceringssystem. Annonceringer skal være tilgængeligt via web og RSS. IST skal annoncere om væsentlige ikke planlagte driftsforstyrrelser efter hændelser har fundet sted. Brugere forventes at holde sig orienteret om IST drift annonceringer. 20. Procedurer i tilfælde af misbrug Man skal følge proceduren beskrevet i IKT sikkerhedshåndbog. I tilfældet af misbrug som generer andre eller påvirker driftsstabilitet af IT tjenester har IST ret til at stoppe misbrug hurtigst muligt (også ved at suspendere brugernavne). 21. Logningspolitik for IST IST beslutter hvilke oplysninger der logges og hvor længe log filerne opbevares. Logningsdata benyttes til driftsrelaterede aktiviteter. Der skal logges hændelser relateret til autentificering og misbrug. Generelt bør logningsdata ikke være tilgængelig for andre end IST. Logningsdata som kan afsløre adfærdsmønstrer af konkrete personer må ikke gøres tilgængelige for andre. 22. Beredskabsplaner a. IT relaterede problemer IST udarbejder beredskabsplaner til egen brug. IST sørger for at undgå personafhængigheder. Page 8
Beredskabsplaner bør være tilgængelige også i tilfælde hvor IT ressourcer ikke er tilgængelige. IST bør vælge (inden for økonomiske rammer) teknologiske løsninger som garanterer en hurtigt reetablering af IT tjenester i tilfældet af nedbrud. b. Brand, eksplosion, ulykke Følg alarmering instruks (se bilag). c. Ikke IT relaterede problemer Andre problemer som el svigt, vandskader, bygningsskader og lignende bør rapporteres til: i arbejdstid bygningsbetjent udenfor arbejdstid (15.30 08.30 + hele lørdag, søndag og helligedage) Teknisk Forvaltning vagt mobil 20 45 88 24 (der svares ikke på denne telefon indenfor normal arbejdstid) Page 9
Bilag 1 Oversigt over grænseværdier Hvad automatisk lukning af brugernavne uden EDB erklæring backupdata opbevaringsperiode enkelt mail maksimumsstørrelse genbrug af brugernavne eller mail adresser tilladt gyldighedsperiode for gæstebrugernavne logningsdata opbevaringsperiode varsel om automatisk lukning af et brugernavn Værdi 14 dage efter oprettelsen minimum 2 måneder 50 MBytes 2 år efter nedlæggelsen op til 6 måneder 6 måneder 14 dage Oversigt over services og processer IST og infrastruktur active directory Net Infrastruktur ADM IT ad underdomæne via trust anskaffelse af printere anskaffelse af AP anskaffelse af switche (access) (andre) anskaffelse af software (Matlab, Maple, MS Campus) institut/områdeniveauet brugersupport fileshares (alternativ teknologi) forsknings/undervisnings systemer hjemmekatalog særlig aftale infrastruktur (DNS, DHCP, PKI) mail + kalender personlige web sider SharePoint switch konfiguration trådløs infrastruktur særlig aftale Windows installation service (SCCM server) (klient) Page 10