A Pécsi Tudományegyetem VPN szolgáltatásának általános felhasználási feltételei

A szolgáltatás célja

A Pécsi Tudományegyetem (PTE) polgárainak és az Egyetemmel szerződéses viszonyban álló külső partnerek részére biztonságos, hálózaton keresztül történő távoli hozzáférés biztosítása a lehető legmagasabb biztonsági szint megtartása mellett.

A távoli hozzáférés komoly biztonsági kockázatot jelent, melyet minden rendelkezésre álló eszköz felhasználásával minimalizálni kell. Az szabályzat tartalmazza a VPN végpontok

  • engedélyezési, létesítési, nyilvántartási és ellenőrzési eljárásainak,
  • valamint a használatra és a működtetésre vonatkozó előírásoknak a részletes szabályozását.

Az alapelvek és szabályok figyelmen kívül hagyása miatt bekövetkező szándékos, vagy nem szándékos károkozás miatt a felhasználók tartoznak felelősséggel. A külső partnerek részére biztosított hozzáférések tekintetében a továbbiakban 7/2017. számú kancellári utasítás rendelkezései az irányadóak.

Fogalmak, meghatározások

A távoli hozzáférés

Távoli hozzáférésnek nevezünk minden olyan tevékenységet, amellyel a felhasználók egy nem egyetemi informatikai hálózatról elérik az egyetem védett, belső informatikai rendszereit, és az eléréshez nem kizárólag az egyetem által üzemeltetett adatátviteli hálózatot használják. A továbbiakban a távoli elérést VPN elérésnek, VPN rendszernek is nevezzük. 

A VPN valójában egy virtuális magánhálózati csatorna a publikus hálózati infrastruktúrán, azaz az Interneten. Ezen csatornában a felhasználó eszköze és az egyetemi hálózatok között az adatok a többi internetes forgalomtól elkülönülten, titkosított formában haladnak.

Az informatikai biztonság alapfogalmai

  • Adatbiztonság: Adatbiztonságon az adatok és megfelelő megjelenítésüket végző alkalmazások sértetlenségének, bizalmasságának és rendelkezésre állásának megfelelő színvonalú biztosítását értjük.
  • Informatikai biztonsági kockázat: Az informatikai biztonsági kockázat arányos az informatikai rendszer elemeit képező értékek (adatok, eszközök) sérülésének mértékével és a sérülés valószínűségével. 
  • Bizalmasság: Azon követelmény, amely meghatározza azt a kört, akik számára az adott információ megismerhető. Az információt védeni kell a jogosulatlan hozzáféréstől vagy közzétételtől.
  • Sértetlenség: Az információ pontosságára, teljességére, valamint érvényességére vonatkozik az üzleti értékeknek és várakozásoknak megfelelően. Az információs sértetlenségének nem teljesülését jogosulatlan hozzáférésből eredő szándékos módosítás vagy az információ véletlen sérülése okozhatja. 
  • Elszámoltathatóság: Minden tevékenységet egyértelműen hozzá kell rendelni az adott tevékenység végrehajtójához, így a végrehajtó személy felelős azaz elszámoltatható az elvégzett tevékenységért.
  • Letagadhatatlanság: Követelmény, hogy a felhasználók egy későbbi időpontban ne tudják, valamilyen okból önkényesen megtagadni az előzőekben általuk végrehajtott tranzakciót. 

VPN hozzáférés igénylése és megszüntetése

Igénylés

VPN kapcsolat használatára csak az a személy jogosult, akinek igényét munkahelyi vezetője jóváhagyta, és a távmunkával kapcsolatos, ezen szabályzatban rögzített felhasználási feltételeket tudomásul vette, elfogadta, és ennek tényét az igénylőlapon aláírásával igazolta. A VPN hozzáférésre vonatkozó igényt az http://sm.pte.hu oldalon az Informatikai igénylések menüpontban található „VPN hozzáférés igénylés” webes formanyomtatványon kell bejelenteni. Segítség az Informatikai Igazgatóság Ügyfél-támogatási Osztályán kérhető (sd@pte.hu, tel.: 36006)

Az elektronikus űrlapon a következő VPN csatornákhoz lehetséges hozzáférést igényelni:

  • PTEPROXY (A proxy szolgáltatás eléréséhez)
  • PTESZKK (A Szentágothai János Kutatóközpont belső hálózatának eléréséhez)
  • PTECENTRAL (A központi szolgáltatások eléréséhez. Például Neptun, SAP, Personline)
  • PTEKK (A Klinikai Központ belső hálózatának eléréséhez. Pl. e-Medsolution rendszer)

Az igénylés teljesítése kizárólag abban az esetben történhet meg amennyiben az egyetemi alkalmazott szervezeti egységének vezetője az igénylési formanyomtatványt aláírta.

Az hozzáférés engedélyezése az igénylési folyamat lezárása után jön létre.

Megszüntetés

A VPN kapcsolat megszűntetésére vonatkozó igényt az SD Osztályon keresztül kell bejelenteni. Külső partnerek hozzáférésének megszüntetése a hozzáférést igénylő feladata és felelőssége.

  • Dolgozó kilépése esetén: A felhasználó munkaviszonyának megszűnése esetén minden VPN hozzáférése automatikusan megszűnik.
  • Dolgozó belső áthelyezése esetén: Amennyiben a felhasználót más munkakörbe helyezik, úgy a VPN hozzáférése automatikusan megszűnik. Áthelyezés során az új munkahelyi vezetőnek lehetősége van a VPN hozzáférés megtartását kérni.
  • Biztonsági incidens esetén: biztonsági incidens esetén az érintett felhasználó hozzáférése automatikusan megszűnik, a hozzáférés újbóli engedélyezése leghamarabb a biztonsági incidens kivizsgálását követően történhet meg.
  • A PTE által biztosított VPN hozzáférést kizárólag munkavégzés céljából szabad használni. Az ettől eltérő felhasználás szigorúan tilos.
  • A PTE által biztosított VPN hozzáférést a felhasználó más személynek semmilyen formában nem engedheti át.
  • Naplózás: A felhasználó tudomásul veszi, hogy a VPN csatornán keresztül bonyolított minden hálózati forgalma, a technológia sajátosságai miatt naplózásra kerül.
  • A felhasználó VPN szolgáltatással érintett munkaállomását minden esetben zárolni kell, ha a felhasználó – akár rövid időre is – elhagyja a munkaállomást.

A VPN használata, használatának körülményei

Felhasználó hozzáférés, azonosítás működése

Kapcsolódás a rendszerhez

A felhasználók kapcsolódása két lépésben történik:

  • A felhasználónak első lépésben a szolgáltató Internet hálózatához kell kapcsolódnia, ennek technikai lebonyolítása a felhasználói feladata és felelőssége.
  • Amennyiben az Internet kapcsolat sikeresen felépült, megkezdődhet a PTE rendszeréhez történő kapcsolódás. A felhasználói név és jelszó megegyezik a PTE belső hálózatában használt, Active Directory címtárban használt azonosítóval és jelszóval (EHA/Neptun kód, vagy külső partner esetén egyedi azonosító).
  • A VPN rendszer használatához szükséges jelszót a felhasználónak szigorúan bizalmasan kell kezelnie. A jelszót tilos másokkal közölni! A jelszót tilos bárhova leírni!
  • Ha a felhasználói jelszó illetéktelen személy tudomására jut, az súlyos biztonsági incidensnek minősül és erről haladéktalanul értesíteni kell az IIG Service Desket, amely intézkedik a felhasználói azonosító letiltásáról.
  • Elfelejtett jelszó esetén új jelszó csak a jelszókezelési eljárásnak megfelelően adható.

Jelszókezelés

Sértetlenség, elszámoltathatóság

Az elszámoltathatóság biztonsági feltétele érdekében a következő tevékenységek naplózása történik meg:

  • VPN felhasználó ki/bejelentkezése
  • VPN felhasználó adatforgalma
  • VPN felhasználó által forgalmazott adatmennyiség
  • VPN adminisztrátor ki/bejelentkezés
  • VPN konfigurációs módosítás
  • Szűrési feltétel megsértése

Vírusvédelem

Valamennyi, VPN szolgáltatást igénybe vevő klienst vírusvédelmi rendszerrel kell ellátni, amelyet kikapcsolni tilos. Tilos a VPN szolgáltatást kliensoldali vírusvédelmi rendszer nélkül használni.

Rendelkezésre állás, elérhetőség

A VPN rendszer rendelkezésre állását, elérhetőségét a rendszer központi elemei és az elérési hálózat rendelkezésre állása határozza meg. Elérési hálózat alatt a felhasználó által használt internet kapcsolatot értjük, melynek rendelkezésre állását az előfizetői szerződés garantálja a felhasználó részére.

A VPN rendszer IIG által üzemeltetett része éves szinten 99,8%-os rendelkezésre állással üzemel.

Biztonsági incidensek

Biztonsági incidensek azok az események, amelyek során sérülnek a biztonsági követelmények (bizalmasság, sértetlenség, rendelkezésre állás). 

Abban az esetben, ha a felhasználó tudomására jut, hogy: 

  • kitudódott a jelszava,
  • elfelejtette a jelszavát,
  • rajta kívül más, illetéktelen személy használta a VPN kapcsolatot az ő nevében,
  • vírusfertőzés történt a kliens gépén,
  • számítógépét, vagy annak valamely komponensét eltulajdonították,
  • rendellenes működést tapasztal a VPN használata során
  • olyan egyéb esemény történt, amely sérti a biztonsági követelményeket, a következőket kell tennie:
  1. Amennyiben még nem tette meg, úgy azonnal meg kell szakítani a VPN kapcsolatot, és ki kell kapcsolni a számítógépet, annak érdekében, hogy a szükséges napló adatok rendelkezésre álljanak az incidens kivizsgálás esetén.
  2. Értesíteni kell az IIG Service Desket a történtekről.
  3. Követni kell az IIG Service Desk munkatársának utasításait.

VPN kliens alkalmazások elérhetősége, beállítások leírása

A PTE VPN szolgáltatásához használható kliens alkalmazást a http://swlib.pte.hu:8080 az címről lehet letölteni. Az egyes VPN alrendszerekhez történő csatlakozáshoz szükséges kliens beállítások leírásai a http://kancellaria.pte.hu/szervezet/informatikai_igazgatosag/vpn címen érhetők el.