Riktlinjer syftande till att minimera exponering av tjänster

Enligt föreskrifter från MSB gällande IT-säkerhet (1) så gäller följande för Stockholms universitet:

  • Samtliga nätverksanslutna system eller enheter ska använda brandvägg.
  • Samtliga portar i brandväggen ska hållas stängda för inkommande trafik såvida inte tjänsten kräver att en port hålls öppen.
  • Endast på förhand godkänd inkommande trafik ska accepteras.
  • Endast nödvändiga portar för inkommande trafik ska vara öppna och ska dokumenteras.
  • Externa anslutningar till interna system(2) ska ske på säkert vis, exempelvis via VPN.
  • Externa anslutningar till administrationsgränssnitt eller verktyg ska ske på säkert vis, exempelvis via VPN.
  • Fjärrstyrning (3) av klientdatorer och servrar bör undvikas men om det görs ska det ske på säkert vis, primärt via VPN.
  • Verksamhetskritiska servrar, servrar med känsliga personuppgifter eller annan särskilt skyddsvärd information rekommenderas att även begränsa utgående trafik till nödvändiga portar och destinationer.

 
(1) MSBFS (2020:7) 4 kap. 2§ ("Myndigheten ska filtrera nätverkstrafiken så att endast nödvändiga dataflöden förekommer mellan olika nätverkssegment")

(2) Interna system inkluderar all form av verktyg och system riktade till personal och på annat sätt endast för internt bruk på institutionen eller universitetet.

(3) Exempel på fjärrstyrning inkluderar exempelvis anslutning via SSH, RDP, ARD och VNC.