A KFKI telephely kutatói hálózatának számítástechnikai biztonsági szabályzata
	(Elfogadták a KFKI telephelyen működő kutatóintézetek igazgatói 2000. november 21-én)

A KFKI telephely kutatói hálózatának biztonsági szabályzata az ezen hálózatra kapcsolt számítógépek működtetési szabályait írja le. A telephelyi kutatói hálózatra telefonvonalon keresztül bekapcsolódók a hálózat részévé válnak.

1. A kutatói hálózat használatának általános szabályai

A KFKI telephely kutatói hálózata a tudományos kutatói munka, valamint a hazai és a nemzetközi tudományos együttműködésekben való részvétel céljait szolgálja. Ennek figyelembe vételével a telephelyen kívüli és telephelyen belüli számítógépekről nyújtott hálózati szolgáltatások használata során mindenki köteles betartani az NIIF Program Felhasználói Szabályzatát (AUP, ).
A továbbiakban a "hálózat", "telephelyi hálózat" kifejezéseket a telephelyi kutatói hálózat szinonimájaként használjuk.

2. Számítástechnikai és hálózati eszközök technikai védelme

A számítástechnikai eszközökhöz való illetéktelen fizikai hozzáférést technikai eszközökkel meg kell akadályozni (felügyelet, biztonságos zár, a helyiségek zárva tartása, stb.).
A telephelyi számítógép-hálózat kábelrendezői zárt helyiségekben, ill. zárt szekrényekben vannak elhelyezve. Ezekhez csak a Számítógép Hálózati Központ illetékes munkatársai férhetnek hozzá. A számítógép-hálózat aktív eszközei (routerek, hub-ok, repeaterek, bridge-ek, kapcsolóberendezések) ugyancsak zárt helyiségekben, zárt szekrényekben, egyes helyeken munkaszobákban, ill. a folyosón, a mennyezet közelében magasan elhelyezett, könnyen hozzá nem férhető polcon vannak. Ezeken beavatkozást csak a Számítógép Hálózati Központ, ill. az egyes intézetek illetékes munkatársai végezhetnek.

3. Adatok védelme, jelszó

A felhasználóknak saját adataik védelméről a rendelkezésre álló eszközök megfelelő használatával kell gondoskodnia.
A számítógépekbe való bejelentkezéshez használt jelszavaikat (password) úgy kell megválasztaniuk és kezelniük, hogy ahhoz más ne juthasson hozzá. A jelszó megválasztásának fő szempontja, hogy az ne legyen könnyen kitalálható: legyen a software rendszer által megengedett hosszúságon belül lehetőleg hosszú; ne tartalmazzon olyan, személyhez fűződő adatot, melyet más könnyen kitalálhat (családtag neve, családi dátum, gépkocsi rendszáma, stb.); betűkön kívül tartalmazzon más megengedett karaktert (számjegyet stb.) is. A jelszót mással nem szabad közölni, és nem szabad olyan helyen (számítógépen, elektronikus levélben, más által hozzáférhető írásos feljegyzésben stb.) tárolni, ahol más hozzáférhet, és azt elolvashatja. Különösen ügyelniük kell az otthonról, modemes hozzáféréssel rendelkező felhasználóknak arra, hogy illetéktelenek ne jelentkezhessenek be a telephelyi hálózatba az ő felhasználónevük és jelszavuk felhasználásával. A jelszavakat rendszeres időközönként -- legalább néhány havonta -- meg kell változtatni.
A felhasználóknak saját adataik védelme érdekében körültekintően kell megválasztaniuk azokat a jogosultságokat, amelyekkel másoknak saját file-jaikhoz, könyvtáraikhoz (directory) való hozzáférését engedélyezik (olvasási, írási, végrehajtási jogosultság, stb.)
Az adatok és programok védelméről azok rendszeres mentésével kell gondoskodni. A mentések gyakoriságát úgy kell megállapítani, hogy az adatok esetleges műszaki hiba, vagy más ok miatt való sérülése, megsemmisülése esetén azok lehetőleg minimális veszteséggel visszaállíthatók legyenek. Különös gondossággal, és megfelelően sűrűn kell menteni a több kutató által használt, illetve több intézet kutatói által is használt központi szerver gépek programjait és adatállományait. A mentésekről az ezzel megbízott munkatársnak naplót kell vezetnie.
A beszerzett szoftverek disztribúciós anyagait a megfelelő adathordozókon gondosan kell tárolni, és ­amennyiben ezt a szoftver licensz feltételei lehetővé teszik ­ azokról biztonsági másolatot kell készíteni.
A személyi adatok tárolásánál gondoskodni kell arról, hogy azokhoz illetéktelenek hozzá ne férhessenek.

4. Személyi számítógépek vírusvédelme

Az intézetekben, valamint a munkatársak által otthonukban, az intézeti hálózatra való modemes csatlakozással használt valamennyi, DOS/Windows rendszer alatt működő személyi számítógépen használni kell a vírusok ellen védő programokat, és azokat rendszeresen frissíteni kell.
Mivel a vírusok jelentős része elektronikus levelek mellékleteként (attachment) továbbítódik, különös gondossággal kell eljárni mind elektronikus levelek küldésekor, mind pedig azok fogadásakor. Ha egy felhasználó tudomására jutott, hogy akaratlanul is vírust továbbított, akkor köteles figyelmeztetni a levelek címzettjeit erre.

5. Nyilvános (publikus) szolgáltatások nyújtása

Telephelyi számítógépen futó, hálózaton keresztül telephelyen kívülről elérhető szolgáltatásokat nyilvános (publikus) szolgáltatásoknak, a szolgáltatást nyújtó számítógépeket kapugépeknek nevezzük. A telephelyi kutatói hálózatról - a 6. pontban felsorolt kivételek figyelembevételével - nyilvános (publikus) szolgáltatást csak kijelölt kapugépek nyújthatnak.
Egy kapugép működtetéséhez annak felelős rendszergazdával kell rendelkeznie, és a következő feltételeknek kell eleget tennie:

1. a kapugép felelőse a következő alap-adatokat a biztonsági csoport részére eljuttatja, bármilyen változás esetén azokat pontosítja:
   

   a) a gép típusa, például: Intel Pentium PC, SUN Ultra 1, SGI Indy

   b) a gépen működtetett operációs rendszer(ek) a verziószámmal együtt, például: Windows NT SP4, Linux 2.2.17, IRIX 5.3

   c) a gép neve, az összes hálózati interface-nek a fizikai címe (MAC address) és IP címe.

   d) hol található a számítógép (épület, szoba)

   e) a felelős adatai (név, telefonszám, E-mail cím)

   f) mely nyilvános (publikus) szolgáltatást kívánják nyújtani,

   g) milyen szoftverrel, annak mi a verziószáma, például: WWW, apache 1.3.12; ssh, open-ssh 2.2.0

2. A felelős feliratkozott a pman-l@lists.kfki.hu levelezési listára és követi azt. A listán a biztonsági csoport a telephelyi kapugépeket érintő aktuális biztonsági problémákat és javításaikat foglalja össze. A felelős a rendszerére vonatkozó javításokat a lehető legrövidebb idő alatt (maximum öt munkanap) köteles elvégezni.
3. A felhasználói azonosító és jelszó megadásával vagy interaktív belépéssel kapcsolatos nyilvános és nem-nyilvános szolgáltatásokat (telnet, ssh, ftp, POP, IMAP, stb.) a kapugépén naplózza, és a naplóbejegyzéseket átirányítja a logger.kfki.hu központi naplózógépre is.
4. Az egyéb nyilvános szolgáltatásokat naplózza, és a naplóbejegyzéseket átirányítja a logger.kfki.hu gépre is. Az alábbi nyilvános szolgáltatások esetén a naplóbejegyzéseknek elegendő egy meghatározott részét átirányítani:HTTP: csak a CGI script-ek meghívásáról készült naplóbejegyzések szükségesek.

6. Kivételek

6. 1 Nyilvános (publikus) E-mail (SMTP) szolgáltatás

Nyilvános (publikus) E-mail (SMTP) szolgáltatást csak az RMKI SZHK központi SMTP kapugépei szolgáltatnak.

6. 2 X ablakkezelő rendszer

A belső X ablakkezelő rendszerek védelme érdekében nem telephelyi gépről indított X kliensek használata korlátozottan lehetséges. Az általánosan javasolt módszer, hogy a felhasználó az X kliens indításához a távoli gépbe először ssh segítségével jelentkezzen be, majd ez után indítsa el az alkalmazást.

6. 3 Kivételes szolgáltatás-nyújtás nem kapugépről

A telephelyi kutatói hálózatban egyes kutatási együttműködések, projektek, mérések, stb. időszakonként szükségessé tehetik, hogy egyes kapugépnek nem kijelölt gépek is szolgáltatást nyújtsanak telephelyen kívüli gépek számára, mert a megfelelő szolgáltatást egy kapugép sem tudja ellátni.
Az ilyen, külső gép számára nyújtott szolgáltatási szándékról az adott gép rendszergazdájának a biztonsági csoportot értesíteni kell, megadva az adott szolgáltatás okát, időtartamát, módját és a külső felhasználói kört. A külső szolgáltatást nyújtó nem kapugép adatait a gép rendszergazdájának az 5. pontban a kapugépekről leírt formában és tartalommal kell a biztonsági csoport számára megadni.

7. Veszélyhelyzetek és betörések kezelése

A biztonsági csoportnak joga és kötelessége, hogy az általa észlelt vagy tudomására jutott veszély-helyzetnek (például időben nem javított biztonsági probléma) vagy betörésnek a méretétől, várható következményeitől függően a megfelelő ideiglenes védekező lépéseket meghozza: az adott gép(ek) külső elérhetőségének a letiltása, az adott gép(ek)nek a hálózatról való eltávolítása, vagy más, az esetnek megfelelő mértékű intézkedés. A biztonsági csoport minden betörésről és más nagyobb, a biztonságot érintő incidensről a Számítástechnikai Bizottság következő ülésére összefoglaló beszámolót készít.
Minden felhasználónak kötelessége, hogy ha betörésgyanús esetet észlel, ezt azonnal jelentse a biztonsági csoportnak, és a szükséges mértékben működjön együtt a csoporttal a károk elhárítása érdekében.

(Példaként felsorolunk néhány olyan jelenséget, amelyek bekövetkezése esetén egy rendszergazda vagy felhasználó számítógépes betörésre gyanakodhat:

- file-ok vagy könyvtárak között ismeretlen nevűt talál,

- korábban létezett file vagy könyvtár eltűnik,

- egy file mérete ismert ok nélkül megváltozik,

- egy felhasználó helyfoglalása a diszken ismert ok nélkül megnő,

- ismert programok szokatlanul viselkednek (szokatlan üzenetek stb.).

- a rendszerbejegyzések (system log) szerint egy felhasználó olyan helyről/időpontban jelentkezett be, ahonnan, és amikor ismereteink szerint nem jelentkezhetett volna be.

8. Szankciók

A biztonsági csoport az eset súlyosságától függően ezen szabályzat megsértőjének a feletteséhez fordulhat annak hivatalos felelősségre vonása érdekében.

9. A biztonsági csoport

A biztonsági csoport tagjainak elérhetősége (telefonszámok, E-mail címek), a csoport ajánlásai és más dokumentumai a http://www.kfki.hu/campus/sg/ Web-oldalon találhatók.
A csoport E-mail címe: sg@mail.kfki.hu.

Budapest, 2000. november 21.