Politica Accademica Di Sicurezza Del Calcolatore

Share

|

Le politiche di sicurezza possono avere pochi particolari, o molti. La chiarezza di una politica di sicurezza dipende dall'ambiente in cui esiste. Un ambiente del laboratorio o dell'ufficio di ricerca può avere una politica non scritta. Una banca ha bisogno di una politica molto esplicita. In pratica, le politiche cominciano come dichiarazione generiche dei vincoli sui membri dell'organizzazione. Queste dichiarazione sono derivate da un'analisi delle minacce. Mentre le domande (o avvenimenti) si pongono, la politica è raffinata per riguardare gli specifics. Come esempio, presentiamo una politica accademica di sicurezza.

Politica Generale Dell'Università

Questa politica è "un Acceptable Use Policy" (AUP) per la città universitaria del Davis dell'università di California. Poiché i servizi di calcolo variano dall'unità della città universitaria per campus l'unità, la politica non detta come le risorse specifiche possono essere usate. Invece, presenta i vincoli generici che le diverse unità possono stringere.

La politica in primo luogo presenta gli obiettivi di computazione della città universitaria: per fornire accesso alle risorse e permettere che gli utenti comunichino con altri nel mondo intero. Allora dichiara le responsabilità connesse con il privilegio di per mezzo dei calcolatori della città universitaria. Tutti gli utenti devono rispettare i diritti di altri utenti, rispettare l'integrità dei sistemi e delle risorse fisiche riferite ed osservare tutti i leggi relative, regolazioni ed obblighi contrattuali.

La politica dichiara il di fondo attento le regole e nota che i responsabili e gli utenti del sistema devono attenersi alla legge (per esempio, poiché le informazioni elettroniche sono volatili e riprodotte facilmente, gli utenti devono esercitare la cura nel riconoscimento e nel rispetto del lavoro di altri con aderenza rigorosa ai contratti di licenza di brevetti del software ed alle leggi di copyright).

I meccanismi di esecuzione in questa politica sono procedurali. Per le violazioni secondarie, o l'unità in se risolve il problema (per esempio, chiedendo all'offensore di non ripeterlo) o gli avvertimenti convenzionali sono dati. Per le infrazioni più serie, la gestione può intraprendere l'azione più forte come negare l'accesso ai sistemi di elaborazione della città universitaria. Nei casi molto serii, l'università può invocare l'azione disciplinare. L'ufficio degli affari giudiziari dell'allievo sente tali casi e determina le conseguenze adatte.

La politica allora enumera gli esempi specifici delle azioni che sono considerate come uso irresponsabile. Fra questi stanno controllando illecitamente altri, lo Spamming e stanno individuando e sfruttando le vulnerabilità di sicurezza. Questi sono esempi; non sono esaurienti. La politica conclude con i riferimenti ad altri documenti di interesse.

Ciò è un AUP tipico. È scritto senza formalità ed è puntato su l'associazione di utenti che deve attenersi esso. La politica della posta elettronica presenta un contrasto interessante al AUP, probabilmente perché il AUP è per Davis UC soltanto e la politica della posta elettronica si applica a tutta e università nove le di città universitarie della California.

Politica Della Posta Elettronica

L'università ha parecchie politiche ausiliarie, che sono secondarie alla politica generale dell'università. La politica della posta elettronica descrive i vincoli imposti ad accesso a e l'uso, di posta elettronica. È conforme alla politica generale dell'università ma ai vincoli supplementari dei particolari sia sugli utenti che sui coordinatori di sistema.

La politica della posta elettronica consiste di tre parti. Il primo è un sommario corto destinato all'associazione di utenti generale, molto poichè il AUP per Davis UC è inteso per l'associazione di utenti generale. La seconda parte è la politica completa per tutte le città universitarie dell'università ed è scritta precisamente come possibile. L'ultimo documento descrive come la città universitaria del Davis effettua la politica generale della posta elettronica dell'università.

Il Sommario Di Politica Della Posta Elettronica

Il sommario in primo luogo avverte gli utenti che la loro posta elettronica non è riservata. Può essere letto casualmente, nel corso di manutenzione normale del sistema, o in altri sensi dichiarati nella politica completa. Inoltre avverte gli utenti che la posta elettronica può essere forgiata o alterata come pure spedita (e che i messaggi spediti possono essere alterati). Questa sezione è interessante perché le politiche avvertono raramente gli utenti alle minacce ch'affrontano; le politiche mettono a fuoco solitamente sulle tecniche correttive.

Le due sezioni seguenti sono liste delle che utenti dovrebbero e non dovrebbero, fare. Possono essere ricapitolate come "pensi prima che trasmettiate; sia courteous e rispettoso di altri; e non interferisce con altri l'uso di posta elettronica." Danno risalto a che i soprintendenti hanno la destra esaminare la posta elettronica degli impiegati che si riferisce al lavoro. Sorprendentemente, l'università non vieta l'uso personale di posta elettronica, probabilmente nel riconoscimento che l'applicazione demoralizzerebbe la gente e che le spese generali di trasportare la posta personale sono minime in un ambiente dell'università. La politica richiede che gli utenti non usano la posta personale a tal punto che interferisce con il loro lavoro o induce l'università a subire la spesa supplementare.

Per concludere, la politica conclude con una dichiarazione circa la relativa applicazione. In un'azienda riservata, questo sarebbe inutile, ma l'università di California è un'istituzione quasi-governativa e come tale è limitata per rispettare le parti del unito Dichiara la costituzione e la costituzione della California che le aziende riservate non sono limitate a rispetto. Inoltre, come istituto scolastico, l'università prende le edizioni che circondano molto seriamente la libertà dell'espressione e dell'inchiesta. Una città universitaria dell'ospite sarebbe limitata da queste politiche? La sezione finale dice sì. Un impiegato dei laboratori nazionali del Lawrence Livermore, funzionamento per il Dipartimento per l'energia dall'università di California, inoltre sarebbe limitato da queste politiche? Qui, il sommario suggerisce che sarebbero, ma se gli impiegati del laboratorio sono il Dipartimento per l'energia gli impiegati o l'università di impiegati della California potrebbe interessare questo. Così giriamo al massimo la politica.

Politica Completa

La politica completa inoltre comincia con una descrizione del contesto della politica, così come il relativi scopo e portata. La portata qui è molto più esplicito di quella nel sommario. Per esempio, la politica completa non si applica ai servizi di E-mail del Dipartimento per l'energia i laboratori diretti dall'università, quali i laboratori del cittadino del Lawrence Livermore. Inoltre, questa politica non si applica alle copie stampate del E-mail, perché altre politiche dell'università si applicano a tali copie.

Le disposizioni generali seguono. Dichiarano che i servizi e l'infrastruttura di E-mail sono proprietà dell'università e che tutti che li usino si pensano che rimangano dalla legge e dalle politiche dell'università. L'omissione di fare così può provocare l'accesso al E-mail che è revocato. La politica ripete che l'università applicherà i principii della libertà accademica e la libertà di discorso nella relativa manipolazione del E-mail ed in modo da cercherà l'accesso al E-mail senza il permesso del supporto soltanto in circostanze estreme, che sono enumerate e soltanto con l'approvazione di un cancelliere vice della città universitaria o di un vice presidente dell'università (essenzialmente, il secondo ufficiale di posto di una città universitaria o del sistema universitario). Se questo è infeasible, il E-mail può essere letto soltanto come è necessario risolvere l'emergenza ed allora l'autorizzazione deve essere assicurata dopo il fatto.

La sezione seguente discute l'uso legittimo ed illegitimate del E-mail dell'università. La politica permette l'anonimato ai mittenti a condizione che non viola le leggi o altre politiche. Respinge usando la posta per interferire con altre, come trasmettendo le bombe della lettera o dello Spam. Inoltre espressamente consente l'uso delle facilità dell'università per la trasmissione del E-mail personale, a condizione che fare così non interferisce con il commercio dell'università; ed ammonisce che tale E-mail personale può essere trattare come "un'annotazione dell'università" conforme alla rilevazione.

La discussione su sicurezza e su riservatezza dà risalto a che, anche se l'università non uscirà del relativo senso leggere il E-mail, può fare così per gli scopi legittimi di affari e mantenere il servizio di E-mail robusto e certo. La sezione sull'archiviatura e sul ritegno dice che la gente può potere recuperare il E-mail dai sistemi di estremità in cui può essere archiviato come componente di un sostegno normale.

Le ultime tre sezioni discutono le conseguenze delle violazioni e dirigono il cancelliere di ogni città universitaria elaborare le procedure per effettuare la politica.

Un sidelight interessante si presenta nell'appendice A, "definizioni." La definizione "del E-mail" include tutte le annotazioni di calcolatore osservate con i sistemi o i servizi di E-mail e "le informazioni transactional connesse con tali annotazioni [ E-mail ], quali le intestazioni, sommari, indirizzi ed i destinatari." Ciò sembra comprendere i pacchetti della rete usati per trasportare il E-mail da un ospite ad un altro. Questa ambiguità illustra il problema con le politiche. La lingua è imprecisa. Ciò motiva l'uso delle lingue più matematiche, quale DTEL, per specificare le politiche.

Esecuzione a Davis UC

Questa interpretazione della politica specifica semplicemente quei punti delegati la città universitaria. Specificamente, "l'uso personale fortuito" non è permesso se quell'uso personale avvantaggia un'organizzazione dell'non-università, con alcune eccezioni specifiche enumerate nella politica. Allora le procedure per il controllo, il controllo e la rilevazione del contenuto del E-mail sono date, come sono le procedure di appello. La sezione sui sostegni dichiara che la città universitaria non archivia tutto il E-mail ed anche se il E-mail è caso fortuito sostenuto alle pratiche di riserva abituali, non deve essere messa a disposizione dell'impiegato.

Questa interpretazione aggiunge i requisiti e le procedure di campus-specifico alla politica dell'università. L'incremento locale amplifica la politica del sistema; non lo contraddice o non lo limita. Effettivamente, che cosa accadrebbe se la politica della città universitaria fosse in conflitto con la politica del sistema? In generale, l'più alta (system-wide) politica prevarrebbe. Il vantaggio di affidare l'esecuzione alle città universitarie è che possono considerare le variazioni e le abitudini locali, così come tutte le caratteristiche nel senso la gestione ed il senato Accademico governa quella città universitaria.