Política Academic Da Segurança Do Computador

Share

|

As políticas da segurança podem ter poucos detalhes, ou muitos. O explicitness de uma política da segurança depende do ambiente em que existe. Um ambiente do laboratório ou do escritório de pesquisa pode ter uma política unwritten. Um banco necessita uma política muito explícita. Na prática, as políticas começam como indicações genéricas dos confinamentes nos membros da organização. Estas indicações são derivadas de uma análise das ameaças. Enquanto as perguntas (ou os incidents) se levantam, a política está refinada para cobrir específicos. Como um exemplo, nós apresentamos uma política academic da segurança.

Política Geral Da Universidade

Esta política é um "Acceptable Use Policy" (AUP) para o campus de Davis da universidade de Califórnia. Porque os serviços computando variam da unidade do campus para reter a unidade, a política não dita como os recursos específicos podem ser usados. Instead, apresenta os confinamentes genéricos que as unidades individuais podem apertar.

A política apresenta primeiramente os objetivos de computar do campus: para fornecer o acesso aos recursos e para permitir que os usuários comuniquem-se com os outros durante todo o mundo. Indica então as responsabilidades associadas com o privilégio de usar computadores do campus. Todos os usuários devem respeitar as direitas de outros usuários, respeitar a integridade dos sistemas e dos recursos físicos relacionados, e observar todas as leis relevantes, regulamentos, e obrigações contractual.

A política indica a intenção subjacente as réguas, e anota que os gerentes e os usuários do sistema devem abide pela lei (para o exemplo, desde que a informação eletrônica é temporária e reproduzida fàcilmente, os usuários devem exercitar o cuidado em reconhecer e em respeitar o trabalho de outro com o adherence estrito aos acordos licenciando do software e às leis de copyright).

Os mecanismos de enforcement nesta política são processuais. Para violações menores, ou a unidade própria resolve o problema (para o exemplo, pedindo que o offender não o faça outra vez) ou os avisos formais são dados. Para uns infractions mais sérios, a administração pode fazer exame de uma ação mais forte tal como negar o acesso aos sistemas computatorizados do campus. Em casos muito sérios, a universidade pode invocar a ação disciplinary. O escritório de casos judiciais do estudante ouve tais casos e determina conseqüências apropriadas.

A política enumerates então exemplos específicos das ações que são consideradas ser uso irresponsible. Entre estes estão monitorando illicitly outros, o Spamming, e estão encontrando e estão explorando vulnerabilities da segurança. Estes são exemplos; não são exhaustive. A política concli com referências a outros originais do interesse.

Este é um AUP típico. Escreve-se informal e é visado a comunidade de usuário que deve abide por ele. A política do correio eletrônico apresenta um contraste interessante ao AUP, provavelmente porque o AUP é para Davis UC somente, e a política do correio eletrônico aplica-se a todas as universidade nove de campuses de Califórnia.

Política Do Correio Eletrônico

A universidade tem diversas políticas auxiliares, que são subordinadas à política geral da universidade. A política do correio eletrônico descreve os confinamentes impostos no acesso, e o uso, do correio eletrônico. Conforma-se à política geral da universidade mas aos confinamentes adicionais dos detalhes em usuários e em administradores de sistema.

A política do correio eletrônico consiste em três porções. O primeiro é um sumário curto pretendido para a comunidade de usuário geral, muito porque o AUP para Davis UC é pretendido para a comunidade de usuário geral. A segunda parte é a política cheia para todos os campuses da universidade e é escrita tão precisamente como possível. O último original descreve como o campus de Davis executa a política geral do correio eletrônico da universidade.

O Sumário Da Política Do Correio Eletrônico

O sumário adverte primeiramente usuários que seu correio eletrônico não é confidencial. Pode-se ler acidentalmente, no curso da manutenção normal do sistema, ou em outras maneiras indicadas na política cheia. Adverte também usuários que o correio eletrônico pode ser forjado ou alterado assim como enviado (e que as mensagens enviadas podem ser alteradas). Esta seção é interessante porque as políticas alertam raramente usuários às ameaças que enfrentam; as políticas focalizam geralmente nas técnicas corretivas.

As duas seções seguintes são as listas do que usuários devem, e não devem, para fazer. Podem ser sumariados como "pense antes que você emita; seja courteous e respectful de outros; e não interfere com o outros o uso do correio eletrônico." Emfatizam que os supervisores têm a direita examinar o correio eletrônico dos empregados que se relaciona ao trabalho. Surprisingly, a universidade não proíbe o uso pessoal do correio eletrônico, provavelmente no recognition que o enforcement demoralize povos e que as despesas gerais de carregar o correio pessoal são mínimas em um ambiente da universidade. A política requer que os usuários não usam o correio pessoal a tal extensão que interfere com seu trabalho ou faz com que a universidade incorra a despesa extra.

Finalmente, a política concli com uma indicação sobre sua aplicação. Em uma companhia confidencial, isto seria desnecessário, mas a universidade de Califórnia é uma instituição quasi-governamental e porque tal está limitada para respeitar partes do constitution unido dos estados e do constitution de Califórnia que as companhias confidenciais não estão limitadas ao respeito. Também, como uma instituição educacional, a universidade faz exame das edições que cercam a liberdade da expressão e do inquérito muito seriamente. Um campus do visitante seria limitado por estas políticas? A seção final diz sim. Um empregado de laboratórios nacionais de Lawrence Livermore, funcionamento para o departamento de energia pela universidade de Califórnia, seria limitado também por estas políticas? Aqui, o sumário sugere que seriam, mas se os empregados do laboratório são o departamento de empregados da energia ou de universidade de empregados de Califórnia poderia afetar este. Assim nós giramos para a política cheia.

A Política Cheia

A política cheia começa também com uma descrição do contexto da política, as.well.as seus finalidade e espaço. O espaço aqui é mais explícito distante do que aquele no sumário. Para o exemplo, a política cheia não se aplica aos serviços do E-mail do departamento dos laboratórios da energia funcionados pela universidade, tal como laboratórios do nacional de Lawrence Livermore. Além disso, esta política não se aplica às cópias impressas do E-mail, porque outras políticas da universidade se aplicam a tais cópias.

As provisões gerais seguem. Indicam que os serviços e o infrastructure do E-mail são propriedade da universidade, e que todos que os usam se esperam abide pela lei e por políticas da universidade. A falha fazer assim pode resultar no acesso ao E-mail que está sendo revogado. A política reiterates que a universidade aplicará princípios da liberdade academic e liberdade do discurso na sua manipulação do E-mail, e assim que procurará o acesso ao E-mail sem a permissão do suporte somente sob as circunstâncias extremas, que enumerated, e somente com a aprovaçã0 de um chanceler vice do campus ou de um vice-presidente da universidade (essencialmente, o segundo oficial do ranking de um campus ou do sistema de universidade). Se isto for infeasible, o E-mail pode ser lido somente como é needed resolver a emergência, e então a autorização deve ser fixada após o fato.

A seção seguinte discute o uso legitimate e illegitimate do E-mail da universidade. A política permite o anonymity aos remetentes contanto que não violate leis ou outras políticas. Disallows usando o correio interferir com o outro, como pela emissão de bombas do Spam ou da letra. Também permite expressa o uso de facilidades da universidade para emitir o E-mail pessoal, contanto que fazer assim não interfere com o negócio da universidade; e adverte que tal E-mail pessoal pode ser tratado como da "um assunto record universidade" à divulgação.

A discussão da segurança e do confidentiality emfatiza que, embora a universidade não saia de sua maneira ler o E-mail, pode fazer assim para finalidades legitimate do negócio e manter o serviço do E-mail robust e de confiança. A seção em archiving e em retenção diz que os povos podem poder recuperar o E-mail dos sistemas de extremidade onde pode archived como a parte de um apoio regular.

As últimas três seções discutem as conseqüências das violações e dirigem o chanceler de cada campus desenvolver procedimentos para executar a política.

Um sidelight interessante ocorre no apêndice A, "definições." A definição do "E-mail" inclui todos os registros de computador vistos com sistemas ou serviços do E-mail, e "a informação transactional associada com tais registros [ E-mail ], como encabeçamentos, sumários, endereços, e os destinatários." Isto parece abranger os pacotes da rede usados carregar o E-mail de um anfitrião a outro. Esta ambigüidade ilustra o problema com políticas. A língua é imprecise. Isto motivates o uso de umas línguas mais matemáticas, tais como DTEL, para especificar políticas.

Execução em Davis UC

Esta interpretação da política especifica simplesmente aqueles pontos delegados ao campus. Especificamente, "o uso pessoal incidental" não é permitido se esse uso pessoal beneficiar uma organização da non-universidade, com algumas exceções específicas enumerated na política. Então os procedimentos para inspecionar, monitorar, e divulgar os índices do E-mail são dados, como são os procedimentos da apelação. A seção em apoios indica que o campus não archive todo o E-mail, e mesmo se o E-mail é incidente backed-up às práticas backup usuais, não necessita ser feito disponível ao empregado.

Esta interpretação adiciona exigências e procedimentos campus-específicos à política da universidade. O aumento local amplifica a política do sistema; não contradict o nem não o limita. Certamente, que aconteceria se a política do campus opusesse à política do sistema? No general, (system-wide) a política mais elevada prevaleceria. A vantagem de deixar a execução aos campuses é que podem fazer exame em variações e em costumes locais do cliente, as.well.as todos os peculiarities na maneira a administração e o senate academic governa esse campus.