home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-90may.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  8.3 KB  |  221 lines
  1.  
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6.  
  7. Reported by Richard Pethia/ CERT
  8.  
  9. Mintues of the SPWG Meeting of April 17, 1990
  10.  
  11. The purpose of the April 17 meeting was to review the spwg chater,
  12. making any necessary changes, and to begin the activity of producing a
  13. policy framework.
  14.  
  15. The initial discussion at the April 17 meeting focused on the utility of
  16. producing a security policy for the Internet, an internetwork of many
  17. networks sharing common name and address spaces.  Since the ``Internet''
  18. has no single controlling entity, and since its components are owned,
  19. operated, and administered by a variety of organizations, there was a
  20. concern that it would not be possible to enforce an Internet Security
  21. Policy in any useful way.
  22.  
  23. Despite the concerns, the attendees at this meeting decided that a
  24. formal written policy, issued by the IAB as a recommendation in the form
  25. of an RFC, could act as a vehicle to build concensus among the
  26. organizations that own and operate components of the Internet.  While it
  27. was concluded that uniform policy enforcement was probably not possible,
  28. the effort of producing and promoting a security policy would benefit
  29. the Internet community by focusing attention on Internet security issues
  30. and by encouraging the component owners to take steps to improve the
  31. security of those components.  In addition, the recommended policy could
  32. act as a vehicle to establish expectations of community behavior and
  33. could act as an enabling document for the development and implementation
  34. of local policy.
  35.  
  36. The group then decided that the policy should address various audiences:
  37. Internet users, host operators, network operators (including local
  38. networks, regional networks, national backbones, and international
  39. backbones), host vendors, and network vendors.  For each of these
  40. audiences, the policy should speak to legal issues, technical issues,
  41. and administrative issues.  Finally, the policy should, for each of the
  42. audiences, deal with the following issues:  unauthorized access to data,
  43. destruction of data, modification of data, unauthorized use of service,
  44. and denial of service.
  45.  
  46. Attention then turned to the distinction between a policy and a
  47. framework to be used in developing a policy.  It was generally felt that
  48. the final result of the spwg effort should be a short, succinct document
  49. that address the issues listed above.  The activity of developing the
  50. policy, however, should proceed using some sort of framework that would
  51. support the policy developers' efforts.  This ``Internet Security Policy
  52. Development Framework'' should be structured to insure all key issues
  53. are addressed and act as a working document that is elaborated over time
  54. and serves to capture the work of the policy developers.  The initial
  55. outline of the document is:
  56.  
  57.                                    1
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.   1. Introduction
  65.      (a) Definitions and references (terms used in the balance of the
  66.          document)
  67.      (b) Internet definition
  68.      (c) Scope of policy
  69.      (d) Applicability
  70.      (e) Authority
  71.      (f) Focus and emphasis
  72.   2. Inventory of existing policies.  A survey of existing policies,
  73.      directives and laws that would influence an Internet security
  74.      policy.
  75.   3. Needed policy and architecture A description of the audiences and
  76.      issues an Internet Security policy should address.
  77.   4. Security Services Covers such areas as:  Service classes,
  78.      information classes, subscribers and users, current architectural
  79.      approaches, availability, etc.
  80.   5. Certification and Accreditation Covers possible certification and
  81.      accreditation activities including:  who are the authorities,
  82.      certification of components, accreditation of facilities.
  83.   6. Security Administration and Responsibilities Discusses issues as:
  84.      overall security policy coordination, facility administration,
  85.      component security administration, risk management, security
  86.      training and awareness.
  87.  
  88.  
  89. Minutes of the SPWG meeting of May 1, 1990
  90.  
  91. The purpose of the May 1st meeting was to discuss the policy development
  92. framework created at the April meeting and to begin work documenting
  93. areas of concern and key issues.
  94.  
  95. The framework was presented and there was general agreement that it
  96. could be used as a vehicle to develop a proposed Internet security
  97. policy.  Discusson focused on section 4 (Security Services) of the
  98. outline and it was decided that the following three dimensions of the
  99. problem should be considered
  100.  
  101.  
  102.    o Security Threats/Services
  103.       -  Confidentiality (theft of data)
  104.       -  Integrity (destruction)
  105.       -  Authentication (masquerade)
  106.       -  Assured Service (denial of service)
  107.    o Domains of Implementation
  108.       -  Administrative
  109.       -  Technical
  110.       -  Legal
  111.    o Who's Responsible
  112.       -  Users
  113.       -  Host Operators
  114.       -  Router/Network operators
  115.       -  Host Vendors
  116.       -  Router vendors
  117.  
  118.                                    2
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125. Finally, attendees brainstormed to produce the key issues listed below.
  126. Several attendees (named on individual items below) agreed to draft
  127. brief position statements on specific items in the early June time
  128. frame.
  129.  
  130.  
  131.    o Internet infrastructure assured service (Mike StJohns)
  132.    o User Identification - including authentication, email, remote
  133.      login, ftp (Vint Cerf)
  134.    o Plugging Holes - individual responsibility (Tracy Laquey)
  135.    o Incident Handling rules (Tracy Laquey)
  136.    o Identification of resources (Tony Hain)
  137.    o Lines of responsibility
  138.    o User/Host/Network responsibilities (Paul Holbrook)
  139.    o Proper usage; network ethics (James Van Bokkelen)
  140.    o Configuration control
  141.    o Audit trail
  142.    o Confidentiality
  143.    o Bad Press
  144.    o User Identification - restricted access
  145.    o Denial of Service - network service
  146.    o Unauthorized access
  147.    o Adequate response when being challenged about being a source of
  148.      attacks (especially when cooperating with an investigation)
  149.    o Known chain of responsibile authorities
  150.    o Export restrictions - limitations enforcement
  151.  
  152.  
  153. Attendees of the April Meeting
  154.  
  155.  
  156.     Branstad, Dennis          dkb@ecf.ncsl.nist.gov
  157.     Crocker, Steve            crocker@tis.com
  158.     Elliott, Oma              oelliott@ddn1.dca.mil
  159.     Ellis, James              ellis@psc.edu
  160.     Gross, Phill              pgross@nri.reston.va.us
  161.     Holbrook, Paul            ph@cert.sei.cmu.edu
  162.     Hollingsworth, Greg       gregh@mailer.jhuapl.edu
  163.     Jacobs, Joel              jdj@mitre.org
  164.     Mills, Kevin              mills@osi3.ncsl.nist.gov
  165.     Pethia, Rich              rdp@cert.sei.cmu.edu
  166.     Shirey, Rob               shirey@mitre.org
  167.     Tabacchi, Len
  168.     Vaudreuil, Greg           Gvaudre@nri.reston.va.us
  169.  
  170.  
  171.  
  172.                                    3
  173.  
  174.  
  175.  
  176.  
  177.  
  178.  
  179. Attendees of the May meeting
  180.  
  181.  
  182.     Stan Ames                 sra@mbunix.mitre.org
  183.     Tom Bajzek                twb@andrew.cmu.edu
  184.     Alison Brown              alison@maverick.osc.edu
  185.     Jeffrey S. Carpenter      jjc@unix.cis.pitt.edu
  186.     Vinton Cerf               vcerf@NRI.Reston.VA.US
  187.     Richard Colella           colella@osi3.ncsl.nist.gov
  188.     Steve Crocker             crocker@tis.com
  189.     James Davin               jrd@ptt.lcs.mit.edu
  190.     Hunaid Engineer           hunaid@opus.cray.com
  191.     James Galvin              galvin@tis.com
  192.     Ella Gardner              epg@gateway.mitre.org
  193.     Tony Hain                 hain@nmfecc.arpa
  194.     Robert Hoffman            hoffman@cs.pitt.edu
  195.     Paul Holbrook             ph@SEI.CMU.EDU
  196.     Greg Hollingsworth        gregh@mailer.jhuapl.edu
  197.     Phil Karn                 Karn@Thumper.Bellcore.Com
  198.     Tracy Laquey              tracy@emx.utexas.edu
  199.     Keith McCloghrie          sytek!kzm@hplabs.hp.com
  200.     Gerald K Newman           gkn@sds.sdsc.edu
  201.     Lee Oattes                oattes@utcs.utoronto.ca
  202.     David Perkins             dave_perkins@3com.com
  203.     Marsha Perrott            mlpt@andrew.emu.edu
  204.     Richard Pethia            rdp@sei.cmu.edu
  205.     Ted Pike                  tgp@sei.cmu.edu
  206.     Paul Pomes                paul_pomes@uiuc.edu
  207.     Joyce Reynolds            jkrey@venera.isi.edu
  208.     Robert J. Reschly Jr.     reschly@brl.mil
  209.     Milt Roselinsky           cmcvax!milt@hub.vcsb.edu
  210.     Jonathan Saperia          saperia%tcpjon@decwrl.dec.com
  211.     Robert W. Shirey          shirey@mitre.org
  212.     Tim Seaver                tas@mcnc.org
  213.     Michael StJohns           stjohns@umd5.umd.edu
  214.     Cal Thixton               cthixton@next.com
  215.     C. Philip Wood            cpw@lanl.gov
  216.     Sze-Ying Wuu              wuu@nisc.junc.net
  217.  
  218.  
  219.  
  220.                                    4
  221.