Akademische Computer-Sicherheit Politik

Share

|

Sicherheit politische Richtlinien können wenige Details oder viele haben. Die Deutlichkeit einer Sicherheit Politik hängt vom Klima ab, in dem sie besteht. Ein Forschung Labor- oder Büroklima kann eine ungeschriebene Politik haben. Eine Bank benötigt eine sehr ausdrückliche Politik. In der Praxis fangen politische Richtlinien als generische Aussagen über Begrenzungen auf den Mitgliedern der Organisation an. Diese Aussagen werden von einer Analyse von Drohungen abgeleitet. Während Fragen (oder Ereignisse) entstehen, wird die Politik verfeinert, um Besonderen zu umfassen. Als Beispiel stellen wir eine akademische Sicherheit Politik dar.

Allgemeine Universitätspolitik

Diese Politik ist ein "Acceptable Use Policy" (AUP) für den Davis Campus der Universität von Kalifornien. Weil rechnende Dienstleistungen von der Campusmaßeinheit schwanken, um, Maßeinheit zu verbieten, schreibt die Politik nicht vor, wie die spezifischen Betriebsmittel benutzt werden können. Stattdessen stellt sie generische Begrenzungen dar, die die einzelnen Maßeinheiten festziehen können.

Die Politik stellt zuerst die Ziele des Campusrechnens dar: Zugang zu den Betriebsmitteln zur Verfügung stellen und den Benutzern erlauben, mit anderen weltweit zu verständigen. Es gibt dann die Verantwortlichkeiten an, die mit dem Privileg des Verwendens der Campuscomputer verbunden sind. Alle Benutzer müssen die Rechte anderer Benutzer respektieren, die Vollständigkeit der Systeme und der bezogenen körperlichen Betriebsmittel respektieren, und alle relevanten Gesetze, Regelungen und Vertragsverpflichtungen beobachten.

Die Politik gibt die zugrundeliegende Absicht die Richtlinien an und merkt, daß die System Manager und die Benutzer das Gesetz unterwerfen müssen (zum Beispiel, da elektronische Informationen löschbar und leicht reproduziert sind, müssen Benutzer Obacht in dem Bestätigen und der Arbeit von anderen respektierend ausüben durch strenge Haftfähigkeit zu Lizenzvereinbarungen der Software und zu den Urheberrechtsgesetzen).

Die Durchführungeinheiten in dieser Politik sind Verfahrens. Für kleine Verletzungen entweder die Maßeinheit selbst behebt das Problem (zum Beispiel, indem sie den Übeltäter, bittet es nicht zu wiederholen), oder formale Warnungen werden gegeben. Für ernstere Verletzungen kann die Leitung stärkere Maßnahmen wie Verweigern des Zuganges zu den Campuscomputersystemen ergreifen. In den sehr ernsten Fällen kann die Universität Disziplinärmaßnahme hervorrufen. Das Büro der Kursteilnehmer-Gerichtsangelegenheiten hört solche Fälle und stellt passende Konsequenzen fest.

Die Politik zählt dann spezifische Beispiele der Tätigkeiten auf, die betrachtet werden, unverantwortlicher Gebrauch zu sein. Unter diesen überwachen unerlaubt andere, Spamming und lokalisieren und nutzen Sicherheit Verwundbarkeit aus. Diese sind Beispiele; sie sind nicht vollständig. Die Politik folgert mit Hinweisen auf anderen Dokumenten des Interesses.

Dieses ist ein typisches AUP. Es wird formlos geschrieben und wird der Benutzergemeinschaft angestrebt, die durch es bleiben soll. Die Politik der elektronischen Post stellt einen interessanten Kontrast dem AUP, vermutlich dar, weil das AUP für nur UC Davis ist, und die Politik der elektronischen Post trifft auf alle Universität neun von Kalifornien Campus zu.

Elektronische Post-Politik

Die Universität hat einige zusätzliche Politik, die zur allgemeinen Universitätspolitik unterstellt sind. Die Politik der elektronischen Post beschreibt die Begrenzungen, die Zugang auferlegt werden, und Gebrauch, von zu der elektronischen Post. Sie paßt sich an die allgemeine Universitätspolitik aber die zusätzlichen Begrenzungen der Details auf Benutzern und Systemverwaltern an.

Die Politik der elektronischen Post besteht aus drei Teilen. Das erste ist eine kurze Zusammenfassung, die für die allgemeine Benutzergemeinschaft, viel bestimmt ist, da das AUP für UC Davis für die allgemeine Benutzergemeinschaft bestimmt ist. Das zweite Teil ist die volle Politik für alle Universitätscampus und wird so genau geschrieben, wie möglich. Das letzte Dokument beschreibt, wie der Davis Campus die allgemeine Politik der Universitätselektronischen Post einführt.

Die Elektronische Post-Politik-Zusammenfassung

Die Zusammenfassung warnt zuerst Benutzer, daß ihre elektronische Post nicht privat ist. Es kann anderen Weisen versehentlich, im Verlauf der normalen System Wartung oder in gelesen werden, die in der vollen Politik angegeben werden. Es warnt auch Benutzer, daß elektronische Post geschmiedet werden oder geändert werden kann, sowie nachgeschickt worden (und daß nachgeschickte Anzeigen geändert werden können). Dieser Abschnitt ist interessant, weil politische Richtlinien selten Benutzer zu den Drohungen alarmieren, die sie gegenüberstellen; politische Richtlinien konzentrieren normalerweise auf die fehlerbehebenden Techniken.

Die folgenden zwei Abschnitte sind Listen von welchen Benutzer sollten, und sollten nicht, zu tun. Sie können zusammengefaßt werden, wie "denken Sie, bevor Sie senden; seien Sie höflich und von anderen respektvoll; und nicht andere behinderen Gebrauch von elektronischer Post." Sie heben hervor, daß Inspektoren das Recht haben, elektronische Post der Angestellten zu überprüfen, die auf dem Job bezieht. Überraschend verbietet die Universität nicht persönlichen Gebrauch von elektronischer Post, vermutlich in der Anerkennung, daß Durchführung Leute demoralisieren würde und daß die Unkosten des Tragens der persönlichen Post in einem Universitätsklima minimal sind. Die Politik erfordert, daß Benutzer nicht persönliche Post benutzen, in dem Ausmass, daß sie ihre Arbeit behindert oder die Universität veranläßt, sich auf Extraunkosten zu nehmen.

Schließlich folgert die Politik mit einer Aussage über seine Anwendung. In Privatunternehmen würde dieses nicht notwendig sein, aber die Universität von Kalifornien ist eine Quasiregierungsanstalt und da so gesprungen wird, um Teile der Vereinigte Staaten Beschaffenheit und der Kalifornien Beschaffenheit zu respektieren, daß Privatunternehmen nicht zum Respekt gesprungen werden. Auch als pädagogische Anstalt, nimmt die Universität die Ausgaben sehr, die ernsthaft Freiheit des Ausdruckes und der Anfrage umgeben. Würde ein Besuchercampus durch diese politischen Richtlinien gesprungen? Der abschließende Abschnitt sagt ja. Würde ein Angestellter Lawrence Livermore der nationalen Labors, Durchlauf für die Abteilung von Energie durch die Universität von Kalifornien, auch durch diese politischen Richtlinien gesprungen? Hier schlägt die Zusammenfassung vor, daß sie sein würden, aber, ob die Angestellten des Labors sind, Abteilung der Energieangestellter oder der Universität der Kalifornien Angestellter dieses beeinflussen könnte. So drehen wir vollständig Politik.

Die Volle Politik

Die volle Politik fängt auch mit einer Beschreibung des Kontextes der Politik, sowie seinen Zweck und Bereich an. Der Bereich hier ist weites ausdrücklicheres als der in der Zusammenfassung. Z.B. trifft die volle Politik nicht auf E-mail Services der Abteilung der Energielabors zu, die durch die Universität, wie Lawrence Livermore Staatsangehörig-Labors laufen gelassen werden. Außerdem trifft diese Politik nicht auf gedruckte Kopien der E-mail zu, weil andere Universitätspolitische Richtlinien auf solche Kopien zutreffen.

Die allgemeinen Maßnahmen folgen. Sie geben an, daß E-mail Dienstleistungen und Infrastruktur Universitätseigenschaft sind und daß alle, die sie verwenden, erwartet werden zu bleiben durch das Gesetz und durch Universitätspolitische Richtlinien. Nichtbeachten kann Zugang zur E-mail ergeben, die widerrufen wird. Die Politik reiteriert, daß die Universität Grundregeln der akademischen Freiheit und Freiheit der Rede in seiner Behandlung der E-mail anwendet, und also wird Zugang zur E-mail ohne die Erlaubnis des Halters nur unter extremen Umständen, die aufgezählt werden, und nur mit der Zustimmung eines Campusvizekanzlers oder des Universitätsvizepräsidenten suchen (im Wesentlichen, der zweite Klassifizierungoffizier eines Campus oder des Universitätssystems). Wenn dieses infeasible ist, kann die E-mail nur gelesen werden, wie erforderlich ist, die Dringlichkeit zu beheben, und dann muß Ermächtigung nach der Tatsache gesichert werden.

Der folgende Abschnitt bespricht gesetzmaßigen und ungesetzlichen Gebrauch von der E-mail der Universität. Die Politik erlaubt Anonymität zu den Absendern, vorausgesetzt daß sie nicht Gesetze oder andere politische Richtlinien verletzt. Sie mißbilligt mit Post, andere, wie, indem sie Spam oder Buchstabebomben zu behinderen senden. Sie auch ermöglicht ausdrücklich den Gebrauch von Universitäts-Service für das Senden der persönlichen E-mail, vorausgesetzt daß so tun nicht Universitätsgeschäft behindert; und sie warnt, daß solche persönliche E-mail wie eine "Universitätsaufzeichnung" abhängig von Freigabe behandelt werden kann.

Die Diskussion über Sicherheit und Vertraulichkeit hebt hervor, daß, obgleich die Universität nicht von seiner Weise, E-mail zu lesen erlischt, sie zu den gesetzmaßigen Geschäft Zwecken so tun und E-mail Service robust und zuverlässig halten kann. Der Abschnitt auf dem Archivieren und Zurückhalten sagt, daß Leute in der LageSEIN können, E-mail von Endsystemen zu erholen, in denen sie als Teil einer regelmäßigen Unterstützung archiviert werden kann.

Die letzten drei Abschnitte besprechen die Konsequenzen von Verletzungen und beauftragen den Kanzler jedes Campus, Verfahren zu entwickeln, um die Politik einzuführen.

Ein interessantes sidelight tritt in Anhang A, "Definitionen." auf Die Definition "der E-mail" schließt alle mögliche Computeraufzeichnungen ein, die mit E-mail Systemen oder Dienstleistungen angesehen werden, und die "transactional Informationen, die mit solchen Aufzeichnungen [ E-mail ] verbunden sind, wie Überschriften, Zusammenfassungen, Adressen und Empfänger." Dieses scheint, die Netzpakete umzugeben, die benutzt werden, um die E-mail von einem Wirt zu anderen zu tragen. Diese Mehrdeutigkeit veranschaulicht das Problem mit politischen Richtlinien. Die Sprache ist ungenau. Dieses motiviert den Gebrauch von mathematischeren Sprachen, wie DTEL, für das Spezifizieren von von politischen Richtlinien.

Implementierung bei UC Davis

Diese Deutung der Politik spezifiziert einfach jene Punkte, die zum Campus beauftragen werden. Spezifisch "beiläufiger persönlicher Gebrauch" wird, wenn dieser persönliche Gebrauch eine Nichtuniversitätsorganisation fördert, nicht wenn einige spezifische Ausnahmen in der Politik aufgezählt sind erlaubt. Dann werden Verfahren für das Kontrollieren, die Überwachung und das Freigeben des Inhalts der E-mail gegeben, wie Anklangverfahren. Der Abschnitt auf Unterstützungen gibt an, daß der Campus nicht alle E-mail archiviert, und selbst wenn E-mail unterstützte Nebensächlichkeit zur üblichen Aushilfspraxis ist, braucht er, nicht gemacht zu werden zugänglich für den Angestellten.

Diese Deutung fügt Campus-spezifische Anforderungen und Verfahren der Politik der Universität hinzu. Die lokale Vermehrung verstärkt die System Politik; sie widerspricht sie nicht oder begrenzt sie. In der Tat würde was geschehen, wenn die Campuspolitik mit der Politik des Systems widersprach? Im allgemeinen würde die höhere (system-wide) Politik vorherschen. Der Vorteil des Überlassens von von Implementierung die Campus ist, daß sie lokale Veränderungen und Gewohnheiten in Betracht ziehen können, sowie alle mögliche Eigenheiten in der Weise die Leitung und der akademische Senat regeln diesen Campus.