home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1993 July / Disc.iso / inet / isoc / isocnews / issue1_4 / 040.333 < prev    next >
Encoding:
Internet Message Format  |  1993-02-08  |  3.8 KB
  1. Subject: N-1-4-040.33.3
  2.  
  3. Security is YOUR responsibility
  4. by Jeffrey I. Schiller <jis@mit.edu>
  5.  
  6. As the manager of a University network, I have occasioned
  7. upon other network managers who have requested that I
  8. implement controls to limit access from my students to their
  9. network.
  10.  
  11. Although on the surface this may seem like a reasonable
  12. request, let's look a little deeper. The other network
  13. manager is assuming that by placing limitations on my users,
  14. I would increase her security. Is this true? Well perhaps it
  15. is. However is the increase in security significant? The
  16. answer to this question has to be no.
  17.  
  18. The Internet by its very nature is an anarchistic entity.
  19. There exists no central management authority and certainly
  20. no common operating policy. In such an environment, the
  21. network manager who attempts to protect her systems by
  22. requesting (requiring?) other network managers to take
  23. action, will have a never ending job of contacting and
  24. convincing other managers. In fact, so many new networks are
  25. being connected to the Internet every day that our paranoid
  26. network manager would be busy for the rest of her life!
  27.  
  28. The first step to securing your environment, is to secure
  29. YOUR environment against outside intrusion. This isn't to
  30. say that others have no responsibility. However the security
  31. of your network is primarily your responsibility!
  32.  
  33. One of the first, and perhaps most important, steps to
  34. securing your network is developing a local security policy.
  35. The purpose of the policy is to clearly present to network
  36. administrators and users, what their responsibilities are.
  37. It should define what type of behavior is acceptable and
  38. what isn't. For example a local site policy may require that
  39. passwords on systems at the site be constructed of words not
  40. locatable in a dictionary. On a policy level, the site
  41. security policy may establish various procedural as well as
  42. technical requirements on systems that handle certain types
  43. of information. For example in the U.S., Universities are
  44. required by law to handle certain student information in a
  45. secure fashion to ensure student privacy.
  46.  
  47. Another important component of a security policy is a code
  48. of ethics and behavior. Although I said earlier that you are
  49. responsible for your own security, which implies that others
  50. are responsible for theirs, all sites bear a responsibility
  51. toward each other. Your users should not attempt to "break
  52. in" to other sites. Your security policy should make this
  53. clear!
  54.  
  55. A security policy is also an important way for network
  56. operators to inform their users of what security measures
  57. are in place. This is important in order to set appropriate
  58. expectations on the part of the users toward the network
  59. operators.
  60.  
  61. RFC1281, Guidelines for the Secure Operation of the
  62. Internet, sets out a series of six main guidelines. They are
  63. (in summary):
  64.  
  65. (1) Users are individually responsible for respecting the
  66. security policy of the systems they use.
  67.  
  68. (2) Users are responsible for protecting their own data.
  69.  
  70. (3) Network Operators (and other related service providers)
  71. are responsible for the security of the systems they
  72. operate.
  73.  
  74. (4) Vendors and developers are responsible for providing
  75. technically sound systems which embody adequate security
  76. controls.
  77.  
  78. (5) Network users and operators are responsible for
  79. cooperating with each other to provide security.
  80.  
  81. (6) Protocol designers should keep security in mind and
  82. strive for continued improvement.
  83.  
  84. Keep in mind that the above points are not an enforceable
  85. security policy for the entire Internet. They are strictly
  86. voluntary.
  87.  
  88. I encourage you to read the original RFC1281 for the exact
  89. wording of these points as well as insightful explanations
  90. and background material.
  91.  
  92. RFC1244, the Site Security Policy Handbook, is also an
  93. invaluable resource to aid you in the development of not
  94. only security policies, but in the technical areas of
  95. providing good security on the network as well.
  96.