Academisch Computer Security Policy
Security beleid kan hebben weinig details, of veel. De explicietheid van een veiligheidsbeleid hangt af van de omgeving waarin het bestaat. Een onderzoek lab of kantoor milieu kunnen hebben een ongeschreven beleid. Een bank heeft behoefte aan een zeer expliciet beleid. In de praktijk, beleid beginnen als generieke uitspraken van beperkingen op de leden van de organisatie. Deze verklaringen zijn afgeleid uit een analyse van de bedreigingen. Zoals vragen (of incidenten) ontstaan, het beleid wordt gezuiverd om een specifieke dekken. Als voorbeeld geven we een academische veiligheidsbeleid. Algemeen University BeleidDit beleid is een "Acceptable Use Policy (AUP) voor de Davis campus van de Universiteit van Californië. Omdat computing diensten variëren van campus naar campus eenheid eenheid, heeft het beleid niet bepalen hoe de specifieke middelen kunnen worden gebruikt. In plaats daarvan presenteert generieke beperkingen die de individuele eenheden kunnen scherpen. Het beleid presenteert eerste de doelstellingen van de campus computing: om toegang tot hulpbronnen en om de gebruikers te communiceren met anderen over de hele wereld. Het bepaalt vervolgens de verantwoordelijkheden die verband houden met het privilege van het gebruik van de campus computers. Alle gebruikers moeten respecteren de rechten van andere gebruikers, de eerbiediging van de integriteit van de systemen en de daarmee samenhangende materiële middelen, en observeren alle relevante wetten, regelgeving en contractuele verplichtingen. Het beleid bepaalt de intentie ten grondslag liggen aan de regels, en merkt op dat het systeem beheerders en gebruikers moeten zich houden aan de wet (bijvoorbeeld Aangezien elektronische informatie is vluchtig en gemakkelijk gereproduceerd, moeten gebruikers zorgvuldigheid in het erkennen en respecteren het werk van anderen door middel van strikte naleving van software licentie-overeenkomsten en wetten op het auteursrecht). De handhavingsmechanismen in dit beleid zijn procedurele. Voor kleine overtredingen, ofwel de eenheid zelf het probleem is opgelost (bijvoorbeeld door te vragen de dader niet opnieuw te doen) of formele waarschuwingen gegeven. Voor meer ernstige overtredingen kan de administratie krachtiger actie ondernemen, zoals het ontzeggen van toegang tot systemen campus computer. In zeer ernstige gevallen kan de universiteit een beroep disciplinaire maatregelen. De Dienst Studentenzaken Justitiële Zaken hoort dergelijke gevallen en bepaalt passende consequenties. Het beleid somt vervolgens concrete voorbeelden van acties die worden geacht te zijn onverantwoord gebruik. Onder deze zijn illegaal toezicht anderen, spam, en het opsporen en exploiteren beveiligingsproblemen. Dit zijn voorbeelden, ze zijn niet exhaustief. Het beleid wordt afgesloten met verwijzingen naar andere documenten van belang. Dit is een typisch AUP. Het is informeel geschreven en is gericht op de gebruiker gemeenschap die is te houden heeft. De e-mail beleid vormt een interessant contrast met de AUP, waarschijnlijk omdat het AUP is voor UC Davis alleen, en de e-mail beleid geldt voor alle negen Universiteit van Californië campussen. Electronic Mail PolicyDe universiteit heeft verschillende hulp-beleid, die ondergeschikt zijn aan de algemene universitaire beleid. De e-mail beleid beschrijft de opgelegde beperkingen inzake de toegang tot en het gebruik van elektronische post. Het voldoet aan de algemene universitaire beleid, maar de details extra beperkingen op zowel gebruikers als systeembeheerders. De e-mail beleid bestaat uit drie delen. De eerste is een korte samenvatting voor het grote gemeenschap van gebruikers, net zoals de AUP voor UC Davis is bestemd voor de algemene gebruikers. Het tweede deel is het volledige beleid voor alle universitaire campussen en is geschreven zo nauwkeurig mogelijk. De laatste document wordt beschreven hoe de Davis campus implementeert de algemene universitaire e-mail beleid. De Electronic Mail Policy SamenvattingDe samenvatting waarschuwt eerste gebruikers dat hun e-mail niet prive is. Het kan per ongeluk worden gelezen, in het kader van normaal onderhoud, of op andere manieren vermeld in het volledige beleid. Het waarschuwt ook gebruikers die e-mail kan worden vervalst of gewijzigd, alsmede doorgestuurd (en dat doorgestuurde berichten kan worden gewijzigd). Dit onderdeel is interessant omdat het beleid zelden gebruikers te waarschuwen voor de bedreigingen waarmee zij worden geconfronteerd; beleid zich gewoonlijk richten op de corrigerende technieken. De volgende twee delen zijn lijsten van wat zouden de gebruikers, en mag doen. Zij kunnen worden samengevat als "Denk na voordat je sturen; worden beleefd en met respect voor anderen en niet interfereren met het gebruik van anderen van elektronische post." Zij benadrukken dat toezichthouders het recht hebben om e-mail werknemers die betrekking heeft op de baan te onderzoeken. Verrassend genoeg heeft de universiteit geen verbod op persoonlijk gebruik van elektronische post, waarschijnlijk in de erkenning dat de handhaving mensen zouden demoraliseren en dat de overhead van de uitvoering persoonlijke mail is minimaal in een universitaire omgeving. Het beleid is vereist dat de gebruikers geen gebruik maken van persoonlijke mail aan een dergelijke mate dat het interfereert met hun werk of oorzaken van de universiteit om extra kosten maken. Ten slotte, het beleid wordt afgesloten met een verklaring over de toepassing ervan. In een particuliere onderneming zou dit overbodig, maar de universiteit van Californië is een quasi-gouvernementele instelling en als zodanig gebonden is aan delen van de Verenigde Staten Grondwet en de Californische grondwet respect dat particuliere bedrijven niet verplicht zijn te respecteren. Ook als een educatieve instelling, de universiteit neemt de kwesties rond de vrijheid van meningsuiting en onderzoek zeer serieus. Zou een bezoeker van de campus worden gebonden door dit beleid? Het laatste deel zegt ja. Zou een medewerker van Lawrence Livermore National Laboratories, lopen voor het Ministerie van Energie van de Universiteit van Californië, ook gebonden zijn door dit beleid? Hier de samenvatting blijkt dat zij zouden worden, maar of de medewerkers van het lab zijn Ministerie van Energie werknemers of de Universiteit van Californië werknemers van invloed kunnen zijn. Dus we draaien het volledige beleid. The Full BeleidHet volledige beleid begint ook met een beschrijving van de context van het beleid, evenals het doel en reikwijdte. Het toepassingsgebied is hier veel explicieter dan in de samenvatting. Bijvoorbeeld, het volledige beleid niet van toepassing op e-mail diensten van het Ministerie van Energie laboratoria uitgevoerd door de universiteit, zoals Lawrence Livermore National Laboratories. Bovendien is dit beleid niet van toepassing op gedrukte exemplaren van de e-mail, omdat andere universitaire beleid van toepassing op dergelijke kopieën. De algemene bepalingen te volgen. Zij stellen dat e-mail diensten en infrastructuur zijn universitaire eigendom, en dat iedereen die ze gebruiken wordt verwacht dat zij zich aan de wet en door universitaire beleid. Niet om dit te doen kan leiden tot toegang tot e-mail worden ingetrokken. Het beleid herhaalt dat de universiteit beginselen van academische vrijheid en de vrijheid van meningsuiting in de behandeling van toepassing zal zijn e-mail, en dus zal trachten toegang tot e-mail zonder toestemming van de houder slechts onder extreme omstandigheden, die zijn ondervraagd, en alleen met de goedkeuring van een campus vice-kanselier of een universiteit Vice President (in wezen de tweede officier van een campus van de universiteit of een systeem). Als dit onhaalbaar is, e-mail kan worden gelezen de enige die nodig is om de noodsituatie op te lossen, en vervolgens vergunning moet worden beveiligd na het feit. De volgende sectie bespreekt legaal en illegaal gebruik van de e van de universiteit-mail. Het beleid kunt anonimiteit te afzenders op voorwaarde dat deze niet in strijd zijn wetten of andere beleidsmaatregelen. Het verbiedt het gebruik mail te bemoeien met anderen, zoals door het versturen van spam of brief bommen. Ook uitdrukkelijk staat het gebruik van universitaire voorzieningen voor het versturen van persoonlijke e-mail, mits daarbij niet interfereert met de universiteit het bedrijfsleven, en het waarschuwt dat een dergelijke persoonlijke e-mail kan worden behandeld als een "University record" onderworpen aan openbaarmaking. De discussie over de veiligheid en vertrouwelijkheid benadrukt dat, hoewel de universiteit niet uit te gaan van zijn manier om te lezen e-mail, kunnen zij dit doen voor legitieme zakelijke doeleinden en bewaren van e-maildienst robuust en betrouwbaar. Het gedeelte over archivering en retentie zegt dat mensen in staat zijn om te herstellen e-mail van end systemen waar zij kunnen worden gearchiveerd als onderdeel van een regelmatige back-up. Een interessante zijlicht komt in Bijlage A, "Definities". De definitie van "E-mail" omvat elke computer records bekeken met e-mail systemen of diensten, en de "transactionele informatie in verband met dergelijke records [E-mail], zoals kopteksten, samenvattingen, adressen en geadresseerden." Dit lijkt te omvatten de netwerk pakketten gebruikt om de e-mail van de ene host naar de andere. Deze dubbelzinnigheid illustreert het probleem met beleid. De taal is onnauwkeurig. Dit motiveert het gebruik van wiskundige talen, zoals DTEL, voor het opgeven van beleid. Uitvoering op UC DavisDeze interpretatie voegt campus-specifieke eisen en procedures om het beleid van de universiteit. De lokale augmentatie versterkt het systeem beleid; het niet tegenspreken of beperken het. Inderdaad, wat zou er gebeuren als de campus beleid in strijd met het beleid van het systeem? In het algemeen geldt hoe hoger (system-wide) beleid zou zegevieren. Het voordeel van het verlaten van de uitvoering aan de campussen is dat ze kunnen rekening houden met lokale variaties en gebruiken, evenals alle eigenaardigheden in de manier waarop de administratie en de Academische Senaat regelen dat de campus. een artikel afkomstig van Meden Reece
|
|||||
|