home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-90may.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  9KB  |  221 lines

---

1.  
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6.  
7. Reported by Richard Pethia/ CERT
8.  
9. Mintues of the SPWG Meeting of April 17, 1990
10.  
11. The purpose of the April 17 meeting was to review the spwg chater,
12. making any necessary changes, and to begin the activity of producing a
13. policy framework.
14.  
15. The initial discussion at the April 17 meeting focused on the utility of
16. producing a security policy for the Internet, an internetwork of many
17. networks sharing common name and address spaces.  Since the ``Internet''
18. has no single controlling entity, and since its components are owned,
19. operated, and administered by a variety of organizations, there was a
20. concern that it would not be possible to enforce an Internet Security
21. Policy in any useful way.
22.  
23. Despite the concerns, the attendees at this meeting decided that a
24. formal written policy, issued by the IAB as a recommendation in the form
25. of an RFC, could act as a vehicle to build concensus among the
26. organizations that own and operate components of the Internet.  While it
27. was concluded that uniform policy enforcement was probably not possible,
28. the effort of producing and promoting a security policy would benefit
29. the Internet community by focusing attention on Internet security issues
30. and by encouraging the component owners to take steps to improve the
31. security of those components.  In addition, the recommended policy could
32. act as a vehicle to establish expectations of community behavior and
33. could act as an enabling document for the development and implementation
34. of local policy.
35.  
36. The group then decided that the policy should address various audiences:
37. Internet users, host operators, network operators (including local
38. networks, regional networks, national backbones, and international
39. backbones), host vendors, and network vendors.  For each of these
40. audiences, the policy should speak to legal issues, technical issues,
41. and administrative issues.  Finally, the policy should, for each of the
42. audiences, deal with the following issues:  unauthorized access to data,
43. destruction of data, modification of data, unauthorized use of service,
44. and denial of service.
45.  
46. Attention then turned to the distinction between a policy and a
47. framework to be used in developing a policy.  It was generally felt that
48. the final result of the spwg effort should be a short, succinct document
49. that address the issues listed above.  The activity of developing the
50. policy, however, should proceed using some sort of framework that would
51. support the policy developers' efforts.  This ``Internet Security Policy
52. Development Framework'' should be structured to insure all key issues
53. are addressed and act as a working document that is elaborated over time
54. and serves to capture the work of the policy developers.  The initial
55. outline of the document is:
56.  
57.                                    1
58.  
59.  
60.  
61.  
62.  
63.  
64.   1. Introduction
65.      (a) Definitions and references (terms used in the balance of the
66.          document)
67.      (b) Internet definition
68.      (c) Scope of policy
69.      (d) Applicability
70.      (e) Authority
71.      (f) Focus and emphasis
72.   2. Inventory of existing policies.  A survey of existing policies,
73.      directives and laws that would influence an Internet security
74.      policy.
75.   3. Needed policy and architecture A description of the audiences and
76.      issues an Internet Security policy should address.
77.   4. Security Services Covers such areas as:  Service classes,
78.      information classes, subscribers and users, current architectural
79.      approaches, availability, etc.
80.   5. Certification and Accreditation Covers possible certification and
81.      accreditation activities including:  who are the authorities,
82.      certification of components, accreditation of facilities.
83.   6. Security Administration and Responsibilities Discusses issues as:
84.      overall security policy coordination, facility administration,
85.      component security administration, risk management, security
86.      training and awareness.
87.  
88.  
89. Minutes of the SPWG meeting of May 1, 1990
90.  
91. The purpose of the May 1st meeting was to discuss the policy development
92. framework created at the April meeting and to begin work documenting
93. areas of concern and key issues.
94.  
95. The framework was presented and there was general agreement that it
96. could be used as a vehicle to develop a proposed Internet security
97. policy.  Discusson focused on section 4 (Security Services) of the
98. outline and it was decided that the following three dimensions of the
99. problem should be considered
100.  
101.  
102.    o Security Threats/Services
103.       -  Confidentiality (theft of data)
104.       -  Integrity (destruction)
105.       -  Authentication (masquerade)
106.       -  Assured Service (denial of service)
107.    o Domains of Implementation
108.       -  Administrative
109.       -  Technical
110.       -  Legal
111.    o Who's Responsible
112.       -  Users
113.       -  Host Operators
114.       -  Router/Network operators
115.       -  Host Vendors
116.       -  Router vendors
117.  
118.                                    2
119.  
120.  
121.  
122.  
123.  
124.  
125. Finally, attendees brainstormed to produce the key issues listed below.
126. Several attendees (named on individual items below) agreed to draft
127. brief position statements on specific items in the early June time
128. frame.
129.  
130.  
131.    o Internet infrastructure assured service (Mike StJohns)
132.    o User Identification - including authentication, email, remote
133.      login, ftp (Vint Cerf)
134.    o Plugging Holes - individual responsibility (Tracy Laquey)
135.    o Incident Handling rules (Tracy Laquey)
136.    o Identification of resources (Tony Hain)
137.    o Lines of responsibility
138.    o User/Host/Network responsibilities (Paul Holbrook)
139.    o Proper usage; network ethics (James Van Bokkelen)
140.    o Configuration control
141.    o Audit trail
142.    o Confidentiality
143.    o Bad Press
144.    o User Identification - restricted access
145.    o Denial of Service - network service
146.    o Unauthorized access
147.    o Adequate response when being challenged about being a source of
148.      attacks (especially when cooperating with an investigation)
149.    o Known chain of responsibile authorities
150.    o Export restrictions - limitations enforcement
151.  
152.  
153. Attendees of the April Meeting
154.  
155.  
156.     Branstad, Dennis          dkb@ecf.ncsl.nist.gov
157.     Crocker, Steve            crocker@tis.com
158.     Elliott, Oma              oelliott@ddn1.dca.mil
159.     Ellis, James              ellis@psc.edu
160.     Gross, Phill              pgross@nri.reston.va.us
161.     Holbrook, Paul            ph@cert.sei.cmu.edu
162.     Hollingsworth, Greg       gregh@mailer.jhuapl.edu
163.     Jacobs, Joel              jdj@mitre.org
164.     Mills, Kevin              mills@osi3.ncsl.nist.gov
165.     Pethia, Rich              rdp@cert.sei.cmu.edu
166.     Shirey, Rob               shirey@mitre.org
167.     Tabacchi, Len
168.     Vaudreuil, Greg           Gvaudre@nri.reston.va.us
169.  
170.  
171.  
172.                                    3
173.  
174.  
175.  
176.  
177.  
178.  
179. Attendees of the May meeting
180.  
181.  
182.     Stan Ames                 sra@mbunix.mitre.org
183.     Tom Bajzek                twb@andrew.cmu.edu
184.     Alison Brown              alison@maverick.osc.edu
185.     Jeffrey S. Carpenter      jjc@unix.cis.pitt.edu
186.     Vinton Cerf               vcerf@NRI.Reston.VA.US
187.     Richard Colella           colella@osi3.ncsl.nist.gov
188.     Steve Crocker             crocker@tis.com
189.     James Davin               jrd@ptt.lcs.mit.edu
190.     Hunaid Engineer           hunaid@opus.cray.com
191.     James Galvin              galvin@tis.com
192.     Ella Gardner              epg@gateway.mitre.org
193.     Tony Hain                 hain@nmfecc.arpa
194.     Robert Hoffman            hoffman@cs.pitt.edu
195.     Paul Holbrook             ph@SEI.CMU.EDU
196.     Greg Hollingsworth        gregh@mailer.jhuapl.edu
197.     Phil Karn                 Karn@Thumper.Bellcore.Com
198.     Tracy Laquey              tracy@emx.utexas.edu
199.     Keith McCloghrie          sytek!kzm@hplabs.hp.com
200.     Gerald K Newman           gkn@sds.sdsc.edu
201.     Lee Oattes                oattes@utcs.utoronto.ca
202.     David Perkins             dave_perkins@3com.com
203.     Marsha Perrott            mlpt@andrew.emu.edu
204.     Richard Pethia            rdp@sei.cmu.edu
205.     Ted Pike                  tgp@sei.cmu.edu
206.     Paul Pomes                paul_pomes@uiuc.edu
207.     Joyce Reynolds            jkrey@venera.isi.edu
208.     Robert J. Reschly Jr.     reschly@brl.mil
209.     Milt Roselinsky           cmcvax!milt@hub.vcsb.edu
210.     Jonathan Saperia          saperia%tcpjon@decwrl.dec.com
211.     Robert W. Shirey          shirey@mitre.org
212.     Tim Seaver                tas@mcnc.org
213.     Michael StJohns           stjohns@umd5.umd.edu
214.     Cal Thixton               cthixton@next.com
215.     C. Philip Wood            cpw@lanl.gov
216.     Sze-Ying Wuu              wuu@nisc.junc.net
217.  
218.  
219.  
220.                                    4
221.