home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.intel.com / 2015-02-03.ftp.intel.com.tar / ftp.intel.com / Pub / papers / horses.txt

< prev

next >

Wrap

Text File  |  2010-04-27  |  36KB  |  864 lines

---

1. This ascii version of the paper is missing the graph which
2. shows the growth of our Internet usage.  This growth mirrors
3. the growth of Internet usage in general.  The text is the
4. same as the Postscript version.
5.  
6.  
7.  
8.                             Horses and Barn Doors: 
9.               Evolution of Corporate Guidelines for Internet Useage
10.  
11.  
12.                                 Sally Hambridge
13.                               Jeffrey C. Sedayao
14.  
15.                                   Intel Corp.
16. **********************************************************************
17. cc:Mail is a registered trademark of Lotus Corporation.
18. **********************************************************************
19.  
20. Abstract:  
21.  
22.     Intel's Internet usage policy evolved from practically
23. non-existant to explicitly defined - all in reaction to
24. changing conditions and security threats.  This paper covers
25. the evolution of Intel Internet access policy, a continual
26. struggle to close the barn doors before the horses get out.
27. Throughout the paper, we outline key lessons we have
28. learned during the policy-making process.
29. It discusses Intel's first taste of the Internet,  
30. Intel's policy-making process, the open access policy of
31. that period, and the resulting security challenges.
32. It then covers the imposition of a stricter
33. policy and implementing a firewall to enforce that policy.
34. The paper proceeds to describe today's problems, the majority
35. of which center around Intel people accessing the Internet.
36. In response to this problem and growing numbers of people wanting 
37. to use the Internet, Intel has drawn up explicit corporate guidelines 
38. on Internet use.  These guidelines are then compared to various
39. Acceptable Use Policies and Netiquette guides.  The paper concludes
40. with some additional tasks Intel is planning in order to keep the barn
41. doors closed.  
42.  
43. Intel's Introduction to the Internet: 
44.  
45. Intel Corporation has had access to the Internet since 1987.
46. At that time, we had a dial-up connection to the now defunct CSNET. 
47. We dialed Boston from Santa Clara, California several times a day 
48. to pick up and drop off mail.  We did not have any kind of Internet 
49. access policy.  We felt secure in having complete copies of all
50. messages sent in and out and having our modems block dial-ins. 
51.  
52. While the dial-up connection provided much-needed mail access 
53. to and from customers, vendors, and research partners, functionality 
54. was too limited.  Delivery was so slow at times (days!) that paper 
55. proved a quicker and more reliable communication medium.  Users
56. complained that carrier pigeons would deliver mail faster.  
57. The long distance calls grew to be expensive.
58. Because of these concerns and the desire for direct FTP and telnet 
59. access to the Internet, in 1989 we traded our CSNET dial-up connection 
60. for one with direct IP access over a leased line.  An increase in 
61. functionality always means an increase in risk, as we will see in 
62. the next section.
63.  
64.  
65. The Challenges of an open door:
66.  
67. Our first policy was this:  anyone in the company could go out on the
68. Internet, and rlogin, telnet and FTP access into Intel would be blocked. 
69. WE were the access providers, and so we imposed this policy
70. unilaterally.  The only place this was written down was in the router
71. access list configuration.
72.  
73. What were the results of our (wide) open door?  We received many
74. complaints about Internet access from various system administrators
75. around the company.  They did not like the gaping door.  Later, with 
76. unsolicited help from federal agents, we found some crackers who did.
77.  
78. Key Lesson #1 - Research Policy Issues
79.  
80. Key Lesson #2 - Consult with users and stakeholders on policy decisions
81.  
82. Key Lesson #3 - Make the policy available and readable.
83.  
84. Our policy was incredibly naive.  We did not think it through in
85. depth and did not realize how easy it would be for intruders to exploit
86. gaping holes.  Furthermore, we did not have buy-in to our policy.
87. System administrators weren't comfortable with it.  Even worse, they
88. were uncomfortable with a policy they couldn't even read.  Things had to
89. change.
90.  
91.  
92. Shutting the door part way:
93.  
94. The problems we encountered forced us to realize our mistakes.  We looked
95. into Internet access schemes implemented at other companies.  We wrote
96. down and proposed a limited access policy.  This document was circulated
97. for comment by electronic mail and presented at various user forums within
98. Intel.  Finally, we had the policy approved by an internal change
99. control group.  This was an official stamp that gave us legitimacy.
100.  
101. Our new policy restricted outbound Internet access to specific systems.  
102. Inbound access was limited to certain protocols going to dedicated servers.
103. The outbound systems, controlled by site administrators, would be tightly
104. controlled.  Applications for Internet access systems would have to be signed 
105. by site network managers, the system administrator's manager, and our internal 
106. Information Security group.  Applicants promised to read and obey 
107. our policy, which was circulated with the application forms.
108.  
109. Key Lesson #4 - Get key people to buy into a policy.  Better yet, get some
110.                 kind of official stamp of approval.
111.  
112. Key Lesson #5 - Forms with signature loops are a way of making sure that
113.                 people are serious about wanting something.  It is also a
114.                 way to inform key parties of change and get 
115.                 their buy-in.
116.  
117. We managed to get people involved in making our policy.  They bought
118. into it, and we got an official stamp of approval from a internal group.
119. By using forms, we weeded out people who weren't serious about managing
120. Internet access systems.  Moreover, we gave our Information
121. Security group a chance to review and buy into the decision of 
122. who would want access.
123.  
124. Key Lesson #6 - Provide metrics on usage and quality of service.
125.  
126. We made the decision that we would track how much the gateway was used
127. and who was using it.  We look at sheer volume, such as how many bytes 
128. each access system exchanges with the Internet and how many messages 
129. are exchanged through the gateway mail servers.  We also decided to 
130. track some service metrics like mail delay through the gateway.  
131. An Internet gateway status and usage report is produced and widely
132. distributed every quarter.
133.  
134. Keeping metrics has proven to be a good decision.  We can track 
135. utilization, which helps us with capacity planning and with justifying
136. new equipment.  Management, initially unsure about funding our 
137. gateway, is
138. usually persuaded when they see how much their people are using the
139. Internet.  Finally, keeping metrics gives us some idea how well we are
140. managing the gateway.
141.  
142. Ironically, by shutting the door part way, usage boomed.
143. Throughout the 6 years we have had mail capability,
144. we have witnessed an exponential growth in the amount of mail
145. coming into and going out of the company.  This growth
146. is consistent with Internet growth trends industry
147. wide. (See figures 1 and 2.) [1]  Since Intel is a multi-site, 
148. multinational operation, almost all Intel sites dedicated 
149. a number of machines to provide ftp and telnet capability
150. for groups within the site.  
151.  
152. With growth in the number of Internet knowledgeable employees, 
153. (as well as those who have heard of the Internet but know little) 
154. we've seen demands for accounts on these machines skyrocket.  
155. We've also seen a corresponding growth in different kind of
156. security problems - from Intel instead of to Intel.  Most of these 
157. problems stem from people attempting logins to defunct accounts,
158. or naively trying to telnet to ftp machines and vice versa.
159. Still, even these innocent mistakes mean time and trouble.
160. This is time and trouble for the system manager of the machine 
161. where the "break-in" is attempted as well as Intel's Internet 
162. contact and the system administrator of the internal Intel machine 
163. from which the "attempt" occurred. Intel personnel must then check 
164. system logs to determine who was logged in at the time, then 
165. contact those people to find out whether intent was indeed malicious.  
166. All of this takes time from resources which function better as 
167. network and system managers than High School Vice Principals.
168.  
169. We discovered that almost all of our policy focused on system and network
170. administrators and not on users.  Although we put conditions on how the
171. access systems should be administered, we did not provide any tools or
172. help to do so.  We should not have been surprised that some of the
173. Internet access systems were far more open than we liked.  The 
174. incidents with misguided users sparked another fear.  We could
175. conceive scenarios [2] where a user could create an incident severe enough 
176. to cause Intel to shut down or tremendously restrict our Internet connection.
177.  
178.  
179. Getting the horses to behave: 
180.  
181. To combat these problems, an Internet Security Task Force was
182. formed.  This ad hoc group consists of representatives from Corporate 
183. Information Security and system managers and users. 
184. We had learned from past experience that
185. only by getting people involved could we create workable policies.
186.  
187. Corporate Information Security bears the responsibility of protecting 
188. Intel's intellectual property assets.  This group sets policy and 
189. procedures for Information Security, publishes a yearly summary of 
190. those policies, and has recently developed a class on information 
191. security for Intel employees.   
192.  
193. In its Internet Policies, the Task Force has tried 
194. to maintain a balance between getting people to information (and 
195. information to people) and maintaining reasonable security.  
196. First, although most of us eschew bureaucracy, we ask those
197. users requesting accounts on machines which have Internet 
198. telnet and ftp access to justify having an account.  We have found 
199. that many people think they need direct access to the Internet in 
200. order to send Internet mail.  Since sending Internet mail is possible from 
201. any networked machine at Intel, we inform the user how to send mail and this
202. eliminates the need for the account.  We do ask that the user
203. have a legitimate business reason for telnet and ftp access before we
204. grant the account.  
205.  
206. Second, accounts on Internet accessible machines are set to expire 
207. at 6 months.  If a user doesn't use the account enough to 
208. notice it has expired, it will not be an open door.
209. This is a minor inconvenience to users who need 
210. their accounts (especially compared to the benefits). 
211.  
212. Key Lesson #7 - User education is critical
213.  
214. Key Lesson #8 - Create explicit and enforceable policies
215.  
216. Third, Intel has created a set of Internet Etiquette
217. Guidelines for Internet users (contained in appendix A).  
218. The Task Force felt it needed
219. a distinct set of guidelines for a number of reasons:  First,
220. policies need to be explicit.  Tradition and word-of-mouth fail
221. to carry any legal consequence.  Second, existing Acceptable
222. Use Policies [3,4] are too generic.  Although most of these provide
223. good general guidelines, they do not deal with circumstances
224. specific to Intel or even specific to a business environment. 
225. Third, we've found that Netiquette Guides [5] are good for beginning 
226. users, but may not necessarily address behavior problems of the more 
227. knowledgeable. 
228.  
229. Increasingly, we have found that Intel employees fall
230. into 3 camps: those that know everything about the Internet;
231. those that know about the Internet but feel it's "just like
232. the computer bulletin boards I've used from home";
233. and those that have heard of it, know
234. that "good stuff is out there," but have no idea how
235. to proceed.  Although these groups
236. have very different levels of understanding all
237. indulge in behaviors which need governance.
238.  
239. The experienced user may have had access to the
240. Internet in previous jobs or in college.  That previous
241. experience may have been in an environment less demanding  than
242. Intel's, since the Corporation emphasizes a stringent work ethic
243. and places heavy demands on employee time.  Those employees
244. familiar with bulletin boards may have no clue as to the
245. global community in which they now find themselves,
246. and those new to the 'Net just have no clue.  Each needs help
247. understanding the environment.
248.  
249. Experienced users should be informed that Internet
250. use should indeed be work related.  Wanting to get to
251. Usenet Newgroups to keep up with discussions on rec.whatever is
252. not an acceptable reason for 'Net access, although needing to
253. stay current with comp.sys.intel certainly is.  Experienced
254. users should also understand that their role and responsibility
255. has changed.  As students at Wherever.edu no one cared what
256. they said in postings, but people form opinions of a company
257. based on its employee's communications.  Disclaimers don't
258. seem to matter, no matter how sincerely stated.  Strongly offended
259. readers focus on "intel.com" in mail and article headers.
260.  
261. Half-way knowledgable users need to be educated to
262. the ways of the Internet.  These users may be familiar with
263. other forums of computer communication, most likely PC-type
264. bulletin boards, or Prodigy/Compuserve models.  These users need
265. to know that their postings span countries and continents,
266. rather than a local community or even the US.
267. They need to learn the jargon and the context of
268. discussion groups.  They should "lurk" for a while before
269. jumping into discussions.
270.  
271. Inexperienced users need all the help available. 
272. They need to know what kinds of  services are available, what
273. the community is, and how to interact with it. 
274. With these communities in mind, the guidelines Intel provides
275. fall roughly into those covering technical/security issues,
276. those covering etiquette, and those to help new users. They are
277. broken into categories for electronic mail, mailing lists and
278. newsgroups, ftp, and telnet. 
279.  
280. The electronic mail section covers such new user
281. concerns as SENDING MESSAGES IN CAPITALS, use of the smiley face
282. :-),  and watching punctuation and spelling while not
283. criticizing others' mistakes.  Etiquette, such as letting a
284. sender know a message was received (especially when one cannot
285. respond immediately) and having a signature file, is also
286. defined.  Issues such as taking care when sending replies,
287. sending plain ascii text (as many Intel users often
288. send PC file attachments in cc:Mail (r) ), and being aware 
289. of system etiquette on their native system comprise the 
290. technical issues addressed.  Finally we remind users that 
291. electronic mail is unencrypted  and easily readable.
292.  
293. The section of the guidelines on Internet mailing lists and 
294. Usenet News groups references the section on electronic mail.  
295. This is by far the longest section of the guidelines since 
296. all employees can send and receive Internet mail.  They are also 
297. most likely to make
298. mistakes in this area, although in general these mistakes will
299. be less catastrophic than in telnet or ftp.  Here, we inform
300. users to disclaim speaking for Intel, and that even if they do,
301. they will represent the company de facto through having "Intel"
302. in the mail header.  Along with that technical warning, we
303. direct users to watch verbosity since many Internet sites pay by
304. the byte, to obey copyright law, and to be careful using
305. auto-reply features in mail.  We also tell them to change their
306. addresses with mailing lists when they change accounts.  There
307. are many guidelines covering straight etiquette: Monitor any
308. group you join for a while, No advertising of Intel products,
309. Don't re-post without permission, Summarize if you survey,
310. Indicate quoted material, No anonymous postings, and No postings
311. about that dying child in England (he got better)!  New users 
312. are cautioned to make sure the subject of messages is clear in 
313. the Subject: line, to think about how much time mailing lists or 
314. news groups will absorb, to read the FAQs, to be careful of 
315. flaming, and not to go overboard if they're flamed.
316.  
317. The section on ftp leans heavily toward technical
318. issues.  The only point of etiquette is that users should type
319. in real Internet addresses for passwords when accessing
320. anonymous ftp sites.  The other issues covered: do not
321. deliberately ftp to machines without ftp access, random
322. net-hunting is not approved; observe working or posted hours for
323. ftp sites and observe any restrictions posted at those sites;
324. look locally for ftp materials (where items are posted more than
325. once); and finally don't ftp on the "off chance you'll need the
326. information someday."  
327.  
328. The telnet section is even more succinct, covering
329. posted restrictions, using only authorized ports, not not
330. deliberately telnetting into machines with no guest account.  
331.  
332. There is a final section, listing a bibliography of
333. Internet resources for beginners.  It lists Kehoe [6], Krol [7] , 
334. LaQuey [8], and Tennant, et al [9].  Hopefully, the beginning 
335. users armed with the Guidelines, and one of these publications, 
336. can survive on the 'Net.
337.  
338. There is another section of the Guidelines listing 
339. behavior which is subject to disciplinary action.   Here is where 
340. our Guidelines differ most dramatically from generic Netiquette
341. guides, since these are areas where we do more than recommend
342. behavior.  The guidelines promise action for sending chain letters,
343. for using Intel equipment for personal gain, for sending sexually
344. or racially harassing messages, for unauthorized attempts to break
345. into any system (since Corporate Information Security occasionally 
346. gets authorization to attempt break-ins), theft, or copying electronic
347. files without permission, sending Intel confidential materials 
348. outside of Intel, and refusing to cooperate with a reasonable security 
349. investigation.  These guidelines were specifically derived from the
350. Corporate Information Security guideline on mail and from the Human
351. Resources general guidelines.  Since this is policy and not procedure, 
352. it does not include specific disciplinary actions which might be taken
353. but leaves that for Human Resources to sort out at the time of the incident.
354.  
355. The guidelines were drafted by one person and submitted to an
356. internal mailing list which included the Internet Security Task Force
357. and system managers of machines which have Internet access.  This draft
358. gathered comments from "It's fine the way it is" to "Change everything 
359. about it".  Comments were incorporated into a second draft, which was
360. again circulated to the group.  Comments on this draft were minor, although
361. Corporate Information Security made a few specific requests, most having to
362. do with making implicit statements more explicit. (MAIL ON THE INTERNET
363. IS NOT SECURE being the major one.)  The final version was sent to the
364. internal mailing list of system managers for distribution to their users.
365. It was also made available for anonymous ftp within the company.
366.  
367. Finally, the policy was adopted as a formal Intel Policy.  
368. We did have to get it approved by Intel's
369. legal staff.  Now we'd had our policies ratified.
370.  
371.  
372. Keeping the Barn Doors Closed:
373.  
374. Key Lesson #9 - Policy transitions can be hard, especially when you have
375.                 to take something away.
376.  
377. Although we have drawn up new "official" policies, we find that it 
378. can be hard to get people to transition to them.  It is especially 
379. difficult when people lose privileges they once had.  For example,
380. we would like to reduce the number of Internet access machines at each
381. site.  Getting groups to give up their access is not easy, especially if
382. they have had their own access system for several years.  We have found
383. the best time to get people to implement policy changes is after 
384. an incident has occurred.  While this truly is closing the barn doors 
385. after the horses are out, it definitely prevents any more horses from leaving.
386. After implementing the policy on some of the major access nodes, we have
387. had a drop in reported incidents from them.
388.  
389. We need to improve our user education.  Although we have created
390. guidelines and even an Intel Internet user guide, it is obvious to us 
391. (as indicated by gross violations of Netiquette) that this information
392. has not propagated widely.  Getting users to read and understand the
393. policies is a major challenge.  One bright spot is a class that
394. Intel has created on Information Security for its employees.  Information
395. Security is planning to include the policy in the next edition of its 
396. booklet distributed to all employees.
397.  
398. Unfortunately, closing the door to the Internet means keeping some of
399. those resources unavailable to Intel employees. 
400. Intel still needs to maintain a competitive edge.  In order to allow 
401. additional access to Internet resource, we are considering 
402. and implementing alternatives.  We have implemented an 
403. internal ftp machine, which holds internal information for the 
404. company, provides mailing list capability, 
405. and caches and mirrors external archives.  This capability allows us 
406. to fill many information needs without having to grant full internet 
407. access to the entire company (it also helps us to conserve the
408. bandwidth of our Internet connection).  Employees who have one-time 
409. needs can send mail to an ftp-admin account with their request and the 
410. ftp administrator will search the Internet and mail the results to 
411. the employee.
412.  
413. Key Lesson #10 - Policies are exist to serve.  They should be changed
414.                  when circumstances warrant.
415.  
416. Many employees still find our policies limiting.
417. Having someone else search for you is never as satisfying as
418. searching for something yourself.  Users have been clamoring 
419. to run Gopher, WAIS, World Wide Web clients from their own PCs.  
420. We are looking at alternatives like proxy agents for these services.  
421. We are also evaluating easing some of our policies for WAIS and Gopher
422. access.  The Internet is a constantly changing environment, with new
423. services springing up all the time.  We will need to make changes to our
424. policies, but when we do so, we will not ignore the many lessons we learned.
425.  
426.  
427.                      FIGURE 1
428.  
429. RFC 1296              Internet Growth (1981-1991)           January 1992
430.  
431.  
432.                         Number of Internet Hosts (linear)
433. 800|
434. 780|
435. 760|
436. 740|                                                                  *
437. 720|
438. 700|
439. 680|                                                                 .
440. 660|
441. 640|
442. 620|
443. 600| T                                                              *
444. 580| h
445. 560| o
446. 540| u
447. 520| s                                                             *
448. 500| a
449. 480| n                                                            .
450. 460| d
451. 440| s
452. 420|                                                             .
453. 400| o
454. 380| f
455. 360|                                                            *
456. 340| H                                                         .
457. 320| o
458. 300| s                                                        *
459. 280| t
460. 260| s                                                       .
461. 240|                                                        .
462. 220|                                                       .
463. 200|                                                      .
464. 180|                                                     .
465. 160|
466. 140|                                                    *
467. 120|                                                   *
468. 100|                                                 ..
469.  80|                                                *
470.  60|                                               .
471.  40|                                              *
472.  20|                                       ..*...*
473.   0|...*....*......*......*.....*.*....*...
474.     -------------------------------------------------------------------
475.     8     8     8     8     8     8     8     8     8     9     9     9
476.     1     2     3     4     5     6     7     8     9     0     1     2
477.                                    Date
478.     "*"  = data point,  "." = estimate
479. This graph is a linear plot of the number of Internet hosts.  [1]
480.  
481.  
482.                      FIGURE 2
483.  
484.     [Figure 2 is a Postscript file.  It is available from
485.      Jeff Sedayao.]
486.  
487.  
488.  
489.  
490. References
491.  
492. [1]  Lotor, Mark.  "Internet Growth (1981-1991); RFC 1296," January
493.      1992.  Available via anonymous ftp at ftp.nisc.sri.com
494.      rfc/rfc1296.txt.
495.  
496. [2]  Holbrook, J.P.; Reynolds, J.K. "Site Security Handbook; RFC 1244,"
497.      July 1991.  Available via anonymous ftp at ftp.nisc.sri.com
498.      rfc/rfc1244.txt.
499.  
500. [3]  "Acceptable Use Policy for NSFNET Backbone".  February 1992. 
501.      Available via anonymous ftp at is.internic.net  
502.      infosource/nsf-nren-nii-info/ nsfnet/acceptable-use-policy.
503.  
504. [4]  "Corporation for Research and Educational Networking (CREN)
505.      Acceptable Use Policy".  January 1993.  Available via anonymous 
506.      ftp at cren.net
507.      pub/cren-doc/cren.net_use.
508.  
509. [5]  Von Rospach, Chuq, Gene Spafford. "A Primer on How to Work 
510.      with the Usenet Community".  January, 1991.  Available via 
511.      anonymous ftp at ftp.eff.org 
512.      pub/internet-info/usenet.etiquette. 
513.  
514. [6]  Kehoe, Brendan P. _Zen and the Art of the Internet: A Beginner's
515.      Guide_.  Englewood Cliffs, NJ: Prentice Hall, 1993.
516.  
517. [7]  Krol, Ed.  _The Whole Internet: User's Guide and Catalog_.
518.      Sebastopol, CA: O'Reilly & Associates, 1992.
519.  
520. [8] LaQuey, Tracy.  _The Internet Companion: A Beginner;s Guide to
521.     Global Networking_.  Reading, MA: Addison-Wesley, 1993.
522.  
523. [9] Tennant, Ron, John Ober & Anne G. Lipow.  _Crossing the Internet
524.     Threshold: An Instructional Handbook_.  Berkeley, CA: Library
525.     Solutions Press: 1993.
526.  
527.  
528.                 Appendix A
529.  
530.  
531.      
532.         |
533.   intel |     cover sheet                                    No. 193016
534.         |                                     Rev.1          Page 1 of 6 
535. -------------------------------------------------------------------------------
536. TITLE: INTERNET GUIDELINES
537. -------------------------------------------------------------------------------
538.  
539. EFFECTIVE DATE OF CURRENT REVISION: 6/93
540.  
541. LATEST REVIEW APPROVE DATE:
542.  
543. NEXT DATE TO BE REVIEWED:
544.  
545. SOURCE FUNCTION:    Internet Security Task Force
546.  
547. KEYWORDS/PHRASES:    Internet; Netiquette; Acceptable Use Policy
548.  
549. IPP'S REFERENCED:       184912, 191008, 182607
550.  
551. Revisions:
552.  
553.  
554.  
555.  
556.  
557.  
558.  
559.  
560.  
561. THIS DOCUMENT APPLIES TO:
562.  
563.     FUNCTIONS:    All
564.  
565.     OPERATIONS:    All
566.  
567.     SITES:        All
568.  
569. COORDINATOR: Internet Education
570.  
571. RESPONSIBLE REVIEW MANAGER: Intel Security
572.  
573. 1.0  PURPOSE/SCOPE
574.  
575. These guidelines set the standards for appropriate behavior of an Intel
576. employee when accessing the Internet.  These guidelines apply to all
577. Intel employees.  Intel specifically reserves the right to modify, 
578. change or discontinue any portion of the Internet guidelines from 
579. time to time at its sole discretion.
580.  
581. 2.0 DEFINITIONS
582.  
583. o Cracking - attempting to break into another system on which you
584.              have no account, and is treated as malicious intent. 
585.  
586. o Netiquette - a word made from combining "Network Etiquette."
587.            The practice of good manners in a network environment.    
588.  
589. o MIME - Multipurpose Internet Mail Extension.  The format for Internet
590.          mail which includes objects other than just text.
591.  
592.  
593. 3.0 GENERAL
594.  
595. 4.0 GUIDELINES
596.  
597.     4.1    Behavior resulting in disciplinary action.
598.  
599.         The following behaviors are examples of actions
600.         or activities which can result in disciplinary
601.         action.  Because all possible actions cannot be
602.         contemplated, the list is necessarily incomplete.
603.         Thus, disciplinary action may occur after other
604.         actions when the circumstances warrant it.
605.         Disciplinary actions range from verbal warnings
606.          to termination; the severity of the mis-behavior   
607.         governs the severity of the disciplinary action.
608.  
609.         o  Unauthorized attempts to break into any computer whether    
610.            of Intel or another organization.  (Cracking).
611.  
612.         o  Using Intel time and resources for personal gain.
613.  
614.         o  Sending threatening messages.
615.  
616.         o  Sending racially and/or sexually
617.            harrassing messages.
618.  
619.         o  Theft, or copying electronic files without
620.            permission.
621.  
622.         o  Sending or posting Intel confidential materials
623.            outside of Intel, or posting Intel confidential 
624.            materials inside Intel to non-authorized personnel.
625.  
626.         o  Refusing to cooperate with a reasonable security
627.            investigation. 
628.  
629.         o  Sending chain letters through electronic mail.
630.  
631.  
632.     4.2    Behavior considered prudent, good manners, etiquette.
633.  
634.         The following behaviors are recommended for sending
635.         Internet mail, participating in Internet mailing
636.                 lists and Usenet groups, ftp, and telnet.  Lack
637.         of conformance may result in loss of Internet access.
638.         These guidelines have been gleaned from a variety of
639.           Internet Guides.  A bibliography follows these guidelines,
640.           and we recommend you acquire one (or more) of these guides.
641.  
642.  
643.         4.2.1    Electronic Mail (Email)    
644.             The following guidelines cover the sending
645.             of electronic mail outside of Intel.
646.             
647.             o MAIL ON THE INTERNET IS NOT SECURE.
648.               Never include in a Email message anything which
649.               you want to keep private and confidential.  Email
650.               is sent unencrypted, and is easily readable.
651.  
652.             o Be cognizant of any system etiquette.  The computer
653.               on which you reside may have quotas on disk space
654.               usage.  Mail takes up space.  It's best not to
655.               save every message you receive.
656.  
657.             o Do not attempt to send anything but plain ascii
658.               text as mail.  Recipients may not have the ability
659.               to translate Word or WP documents. MIME format
660.               messages are encouraged. (MIME=Multipurpose 
661.               Internet Mail Extension).
662.  
663.              o Be careful when sending replies - make
664.               sure you're sending to a group when you
665.               want to send to a group, and to an individual
666.               when you want to send to an individual.  
667.               It's best to address directly rather
668.               than use the reply command.
669.  
670.             o Include a signature which contains
671.               methods by which others can contact you.
672.               (Usually your Email address.)  
673.  
674.             o Let senders know you've received their mail, even
675.               if you can't respond in depth immediately.  They'll
676.               need to know their mail hasn't gotten lost.
677.  
678.             o Watch punctuation and spelling.
679.             
680.             o Remember that the recipient is a human being.
681.               Since they can't see you, they can't tell when
682.               you're joking.  Be sure to include visual clues.
683.               Convention indicates the use of the smiley face.
684.               :-) (Look sideways).  
685.  
686.             o DO NOT SEND MESSAGES ALL IN CAPITALS.  It looks
687.               as if you're shouting.  Use capitals for emphasis
688.               or use some other symbol for emphasis.  That IS
689.               what I meant.  That *is* what I meant.
690.  
691.  
692.         4.2.2    Internet mailing lists and Usenet News Groups.
693.             All the guidelines covering Email should apply
694.             here as well.
695.  
696.             o Actively disclaim speaking for Intel.  
697.               Note that if you use an Intel system
698.               to post an article, Intel's name is carried
699.               along with what you post in (at least)
700.               the headers.  The "standard" disclaimers
701.               attached to many articles are meaningless
702.               if the reader finds the article offensive. 
703.  
704.             o Remember that some people have to pay for each byte
705.               of data they receive.  Keep messages to the point
706.               without being so terse as to be rude.
707.  
708.             o Obey copyright laws.
709.  
710.             o Be sure to change your mailing address if your
711.               account changes.  Do not simply forward your
712.                    mail from your old account to your new one.
713.               This creates a burden on Intel machines.
714.  
715.             o Be careful using auto-reply features in mail
716.               when you belong to mailing lists.  These replies
717.               are often sent to the entire list, and most don't
718.               care that you're on vacation.
719.  
720.             o As a new member of a group, monitor the messages
721.               for a while to understand the history and personality
722.               of the group.  Jumping right into the discussion
723.               may make you look foolish if you have no context. 
724.  
725.             o Do not advertise Intel products.  This violates
726.               the Internet Acceptable Use Policy. 
727.  
728.             o Do not re-post any messages without permission.
729.  
730.             o Avoid cross-posting whenever possible.  When not,
731.               apologize, especially if the groups seem to have
732.               a lot of overlap.  Of course, apologize for any
733.               mistakes in posting.
734.  
735.             o Do not post personal messages to a group.
736.  
737.             o If you survey the group, post a summary.
738.  
739.             o Indicate quoted material.
740.  
741.             o Do not post any messages anonymously.  This
742.               is viewed as bad form by the Usenet community
743.               and system managers are asked to track down
744.               offenders.  This wastes Intel's time and
745.               resources.
746.  
747.             o Do not re-post any requests for a dying child
748.               in England to get postcards to get into the 
749.               Guiness Book of World Records.  The child got
750.               well, and the category has been removed from 
751.               Guiness.
752.  
753.             o Make sure the subject of your message is clear 
754.               in the Subject: line.
755.  
756.             o Join lists or monitor newsgroups giving thought
757.               to how much time these activities absorb.  Also
758.               for Usenet, look at the news.announce.newusers
759.               group.  It contains good information on getting
760.               started.  There are also local Intel groups which
761.               are good for new people.
762.  
763.             o Be sure to read the FAQs (Frequently Asked
764.               Questions) for your group(s).
765.  
766.             o If provoked, do not send angry messages (flames)
767.               without waiting overnight.  If you still think
768.               a flame is warranted, label your message with
769.               "flame on".  If you receive a flame, don't
770.               go overboard in reaction.  Remember that not 
771.               everyone is as polite as you are.
772.  
773.  
774.         4.2.3    FTP
775.             These guidelines cover file transfer protocol.
776.  
777.             o Do not ftp to any machines on which you do
778.               not have an account, or which doesn't 
779.               advertise anonymous ftp services.  Random
780.               net-hunting is not approved.
781.             
782.             o Observe working hours or posted hours for
783.               ftp sites.  Most sites request you NOT 
784.               ftp between their local hours of 8-5.
785.  
786.             o Don't ftp during your site's prime hours
787.               as well.
788.  
789.             o Look locally before ftping something from
790.               a site geographically remote.  Your system
791.               manager can help you find the closest site.
792.               
793.  
794.             o Don't ftp on the off chance you'll "need
795.               it someday." Conversly, don't hunt around
796.               for "neat stuff" to ftp.  If you discover
797.               that you don't need what you've ftp'ed,
798.               delete it.  You can always get it again if
799.               you discover you do need it.
800.  
801.             o Observe any posted restrictions on the ftp
802.               server.
803.  
804.             o Use your real username and node as your password
805.               on anonymous ftp servers.
806.  
807.     
808.         4.2.4    TELNET
809.             These guidelines cover telnetting to remote 
810.             systems.
811.  
812.             o Do not telnet to machines on which you have
813.               no account, or there is no guest account.
814.               Do not attempt to telnet deliberately into
815.               anonymous ftp servers.
816.  
817.             o Observe any posted restrictions on the machine
818.               to which you're telnetted.
819.  
820.             o Do not try to telnet into miscellaneous ports;
821.               use only authorized ports for access.
822.  
823.  
824.  
825. 5.0    Selected Bibliography
826.  
827.         LaQuey, Tracy.  _The Internet Companion_.  Reading, MA:
828.            Addison-Wesley, 1993.
829.  
830.         Kehoe, Brendan.  _Zen and the Art of the Internet_.  
831.           Englewood Cliffs, NJ: Prentice-Hall, 1992.
832.  
833.         Krol, Ed.  _The Whole Internet: User's Guide and
834.           Catalog_.  Sebastopol, CA: O'Reilly & Associates,
835.           1992.
836.  
837.         Tennant, Ron, John Ober & Anne G. Lipow.  _Crossing
838.           the Internet Threshold: An Instrustional Handbook_.
839.           Berkeley, CA: Library Solutions Press, 1993.
840.  
841.  
842.  
843.  
844.  
845. BIOGRAPHIES
846.  
847. Sally Hambridge received her BA in English from UCLA in 1970 and
848. her MLS also from UCLA in 1979.  She worked as a contract employee
849. for Xerox. Joining USC/ISI in 1980, she got her first taste of the
850. Internet.  She moved to Atari in 1982, then joined Intel in 1984.
851. There, she has been librarian, database analyst, currently runs
852. an internal ftp server.  Reach her via U.S. Mail at Intel Corp;
853. SC3-15; 2880 Northwestern Parkway; Santa Clara, CA 95052-8119.
854. Reach her electronically at sallyh@ludwig.intel.com. 
855.  
856. Jeff Sedayao received a B.S.E in Computer Science from Princeton
857. University in 1986 and a M.S. in Computer Science from the University of
858. California at Berkeley in 1989.  He has worked at Intel Corporation 
859. since 1986, spending most of his time running Intel's main Internet 
860. gateway.  Reach him at Intel Corp; SC9-37; 2250 Mission College
861. Boulevard; Santa Clara, CA 95052-8119.  Reach him electronically at
862. sedayao@argus.intel.com.
863.  
864.