Politique De Degré de sécurité D'Ordinateur D'Universitaire
Les politiques de sécurité peuvent avoir peu de détails, ou beaucoup. L'explicité d'une politique de sécurité dépend de l'environnement dans lequel elle existe. Un environnement de laboratoire ou de bureau de recherches peut avoir une politique non écrite. Une banque a besoin d'une politique très explicite. Dans la pratique, les politiques commencent en tant que rapports génériques des contraintes sur les membres de l'organisation. Ces rapports sont dérivés d'une analyse des menaces. Pendant que les questions (ou les incidents) se posent, la politique est raffinée pour couvrir des détails. Comme exemple, nous présentons une politique de sécurité d'universitaire. Politique Générale D'UniversitéCette politique est un "Acceptable Use Policy" (AUP) pour le campus de Davis de l'université de la Californie. Puisque les services de calcul changent à partir de l'unité de campus pour consigner l'unité, la politique ne dicte pas comment les ressources spécifiques peuvent être employées. Au lieu de cela, elle présente les contraintes génériques que les différentes unités peuvent serrer. La politique présente d'abord les buts du calcul de campus : pour permettre d'accéder aux ressources et pour permettre aux utilisateurs de communiquer avec d'autres dans le monde entier. Il énonce alors les responsabilités liées au privilège d'utiliser des ordinateurs de campus. Tous les utilisateurs doivent respecter les droites d'autres utilisateurs, respecter l'intégrité des systèmes et des ressources physiques reliées, et observer tous les lois appropriées, règlements, et engagements contractuels. La politique énonce l'intention sous-tendante les règles, et note que les directeurs et les utilisateurs de système doivent respecter la loi (par exemple, puisque l'information électronique est volatile et facilement reproduite, les utilisateurs doivent prendre le soin à reconnaître et à égard du travail de d'autres par l'adhérence stricte aux accords de licence de logiciel et aux lois de copyright). Les mécanismes d'application dans cette politique sont procéduraux. Pour des violations mineures, ou l'unité elle-même résout le problème (par exemple, en demandant au contrevenant de ne pas le faire encore) ou des avertissements formels sont donnés. Pour des infractions plus sérieuses, l'administration peut prendre une mesure plus forte telle que nier l'accès aux systèmes informatiques de campus. Dans des cas très sérieux, l'université peut appeler l'action disciplinaire. Le bureau des affaires juridiques d'étudiant entend de tels cas et détermine des conséquences appropriées. La politique énumère alors des exemples spécifiques des actions qui sont considérées comme utilisation irresponsable. Parmi ces derniers surveillent illicitement d'autres, le Spamming, et localisent et exploitent des vulnérabilités de sécurité. Ce sont des exemples ; ils ne sont pas approfondis. La politique conclut avec des références à d'autres documents d'intérêt. C'est un AUP typique. On lui écrit officieusement et est visé la communauté d'utilisateur qui doit respecter lui. La politique de courrier électronique présente un contraste intéressant à l'AUP, probablement parce que l'AUP est pour Davis UC seulement, et la politique de courrier électronique s'applique à chacune des université neuf des campus de la Californie. Politique De Courrier ÉlectroniqueL'université a plusieurs politiques auxiliaires, qui sont subalternes à la politique générale d'université. La politique de courrier électronique décrit les contraintes imposées à l'accès, et l'utilisation, derrière le courrier électronique. Elle se conforme à la politique générale d'université mais aux contraintes additionnelles de détails sur des utilisateurs et des interfaces gestionnaire. La politique de courrier électronique se compose de trois parts. Le premier est un sommaire court destiné à la communauté d'utilisateur générale, beaucoup car l'AUP pour Davis UC est prévu pour la communauté d'utilisateur générale. La deuxième partie est la pleine politique pour tous les campus d'université et est écrite aussi avec précision comme possible. Le dernier document décrit comment le campus de Davis met en application la politique générale de courrier électronique d'université. Le Sommaire De Politique De Courrier ÉlectroniqueLe sommaire avertit d'abord des utilisateurs que leur courrier électronique n'est pas privé. Il peut lire accidentellement, au cours de l'entretien normal de système, ou d'autres manières indiquées dans la pleine politique. Il avertit également des utilisateurs que le courrier électronique peut être forgé ou changé comme expédié (et que des messages expédiés peuvent être changés). Cette section est intéressante parce que les politiques alertent rarement des utilisateurs aux menaces qu'elles font face ; les politiques se concentrent habituellement sur les techniques réparatrices. Les deux prochaines sections sont des listes quels utilisateurs devraient, et ne devraient pas, faire. Elles peuvent être récapitulées comme "pensez avant que vous envoyiez ; soyez courtois et respectueux de d'autres ; et n'interfèrent pas d'autres l'utilisation du courrier électronique." Ils soulignent que les surveillants ont le droit d'examiner le courrier électronique des employés qui se relie au travail. Étonnamment, l'université n'interdit pas l'utilisation personnelle du courrier électronique, probablement dans l'identification que l'application démoraliserait des personnes et que les frais généraux de porter le courrier personnel sont minimaux dans un environnement d'université. La politique exige que les utilisateurs pas emploient le courrier personnel à tel point qu'il interfère leur travail ou fait encourir l'université des dépenses supplémentaires. En conclusion, la politique conclut avec un rapport au sujet de son application. À une entreprise privée anonyme, ce serait inutile, mais l'université de la Californie est un établissement quasi-gouvernemental et car telle est liée pour respecter des parties de la constitution des Etats-Unis et de la constitution de la Californie que des entreprises privées anonymes ne sont pas liées au respect. En outre, en tant qu'établissement éducatif, l'université prend les issues entourant la liberté d'expression et d'enquête très sérieusement. Est-ce que un campus de visiteur serait lié par ces politiques ? La section finale indique oui. Est-ce que un employé des laboratoires nationaux de Laurent Livermore, course pour le ministère de l'énergie par l'université de la Californie, serait également lié par ces politiques ? Ici, le sommaire suggère qu'elles soient, mais si les employés du laboratoire sont le ministère de l'énergie les employés ou l'université des employés de la Californie pourrait affecter ceci. Ainsi nous tournons entièrement la politique. La Pleine PolitiqueLa pleine politique commence également par une description du contexte de la politique, aussi bien que son but et portée. La portée ici est plus explicite bien que cela en sommaire. Par exemple, la pleine politique ne s'applique pas aux services de E-mail du ministère de l'énergie des laboratoires dirigés par l'université, telle que des laboratoires de national de Laurent Livermore. D'ailleurs, cette politique ne s'applique pas aux copies imprimées du E-mail, parce que d'autres politiques d'université s'appliquent à de telles copies. Les dispositions générales suivent. Ils déclarent que les services et l'infrastructure de E-mail sont propriété d'université, et qu'on s'attend à ce que tous ce qui les emploient respectent la loi et par des politiques d'université. Le manque de faire ainsi peut avoir comme conséquence l'accès au E-mail étant retiré. La politique réitère que l'université appliquera des principes de la liberté d'universitaire et la liberté de discours dans sa manipulation du E-mail, et ainsi cherchera l'accès au E-mail sans permission du support seulement dans les circonstances extrêmes, qui sont énumérées, et seulement avec l'approbation d'un chancelier vice de campus ou d'un vice-président d'université (essentiellement, le deuxième officier de rang d'un campus ou du système d'université). Si c'est infaisable, le E-mail peut être lu seulement de même que nécessaire pour résoudre l'urgence, et alors l'autorisation doit être fixée après le fait. La prochaine section discute l'utilisation légitime et illégitime du E-mail de l'université. La politique permet l'anonymat aux expéditeurs à condition que elle ne viole pas des lois ou d'autres politiques. Elle rejette en utilisant le courrier pour interférer d'autres, comme par envoyer des bombes de Spam ou de lettre. Elle permet également expressément l'utilisation des équipements d'université pour envoyer le E-mail personnel, à condition que faire ainsi n'interfère pas des affaires d'université ; et elle avertit qu'un tel E-mail personnel peut être traité comme "disque d'université" sujet à la révélation. La discussion de la sécurité et de la confidentialité souligne que, bien que l'université ne sorte pas de sa manière de lire le E-mail, elle peut faire ainsi pour des affaires légitimes et maintenir le service de E-mail robuste et fiable. La section sur archiver et conservation indique que les gens peuvent pouvoir récupérer le E-mail des systèmes d'extrémité où il peut être archivé en tant qu'élément d'une protection régulière. Les trois dernières sections discutent les conséquences des violations et dirigent le chancelier de chaque campus développer des procédures pour mettre en application la politique. Un sidelight intéressant se produit dans l'annexe A, des "définitions." La définition du "E-mail" inclut tous les documents mécanographiques vus avec des systèmes ou des services de E-mail, et "l'information transactionnelle liée à de tels disques [ E-mail ], comme des en-têtes, des sommaires, des adresses, et des destinataires." Ceci semble entourer les paquets de réseau employés pour porter le E-mail d'un centre serveur à l'autre. Cette ambiguïté illustre le problème avec des politiques. La langue est imprécise. Ceci motive l'utilisation des langues plus mathématiques, telles que DTEL, pour indiquer des politiques. Exécution chez Davis UCCette interprétation de la politique indique simplement ces points délégués au campus. Spécifiquement, "on ne permet pas l'utilisation personnelle fortuite" si cette utilisation personnelle bénéficie une organisation d'non-université, à quelques exceptions spécifiques énumérées dans la politique. Puis des procédures pour inspecter, surveiller, et révéler le contenu du E-mail sont données, de même que les procédures d'appel. La section sur des protections déclare que le campus n'archive pas tout l'E-mail, et même si le E-mail est chose fortuite soutenue aux pratiques de secours habituelles, il n'a pas besoin d'être rendu disponible à l'employé. Cette interprétation ajoute des conditions et des procédures campus-spécifiques à la politique de l'université. L'augmentation locale amplifie la politique de système ; elle ne la contredit pas ou ne la limite pas. En effet, que se produirait si la politique de campus était en conflit avec la politique du système ? En général, (au niveau système) la politique plus élevée régnerait. L'avantage de laisser l'exécution aux campus est qu'ils peuvent tenir compte des variations et des coutumes locales, aussi bien que toutes les particularités de la manière l'administration et le sénat d'Universitaire régissent ce campus. c'est un article supplémentaire par Meden Reece
|
|||||
|