RFC1281 日本語訳
1281 Guidelines for the Secure Operation of the Internet. R. Pethia,S. Crocker, B. Fraser. November 1991. (Format: TXT=22618 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
RFC一覧
英語原文
Network Working Group R. Pethia
Request for Comments: 1281 Software Engineering Institute
S. Crocker
Trusted Information Systems, Inc.
B. Fraser
Software Engineering Institute
November 1991
Pethiaがコメントのために要求するワーキンググループR.をネットワークでつないでください: 情報システムInc.B.フレーザソフトウェア工学研究所1991年11月に信じられた1281年のソフトウェア工学研究所S.医者
Guidelines for the Secure Operation of the Internet
インターネットの安全な操作のためのガイドライン
Status of this Memo
このMemoの状態
This memo provides information for the Internet community. It does not specify an Internet standard. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはインターネット標準を指定しません。 このメモの分配は無制限です。
Preamble
序文
The purpose of this document is to provide a set of guidelines to aid in the secure operation of the Internet. During its history, the Internet has grown significantly and is now quite diverse. Its participants include government institutions and agencies, academic and research institutions, commercial network and electronic mail carriers, non-profit research centers and an increasing array of industrial organizations who are primarily users of the technology. Despite this dramatic growth, the system is still operated on a purely collaborative basis. Each participating network takes responsibility for its own operation. Service providers, private network operators, users and vendors all cooperate to keep the system functioning.
このドキュメントの目的はインターネットの安全な操作で支援するためにマニュアルを提供することです。 歴史の間、インターネットは、かなり成長して、現在、かなり多様です。 関係者は主として技術のユーザである産業組織の政府機関、政府機関、アカデミック、そして、研究団体、商業ネットワーク、電子メールキャリヤー、非営利のリサーチセンター、および増加する配列を入れます。 この劇的な成長にもかかわらず、システムは純粋に協力的なベースでまだ操作されています。 それぞれの参加ネットワークはそれ自身の操作への責任を取ります。 サービスプロバイダー、個人的なネットワーク・オペレータ、ユーザ、およびベンダーは皆、協力して、システムを機能させ続けます。
It is important to recognize that the voluntary nature of the Internet system is both its strength and, perhaps, its most fragile aspect. Rules of operation, like the rules of etiquette, are voluntary and, largely, unenforceable, except where they happen to coincide with national laws, violation of which can lead to prosecution. A common set of rules for the successful and increasingly secure operation of the Internet can, at best, be voluntary, since the laws of various countries are not uniform regarding data networking. Indeed, the guidelines outlined below also can be only voluntary. However, since joining the Internet is optional, it is also fair to argue that any Internet rules of behavior are part of the bargain for joining and that failure to observe them, apart from any legal infrastructure available, are grounds for sanctions.
インターネット・システムの自発的の本質が両方の強さと恐らくその最もこわれやすい局面であると認めるのは重要です。 エチケットの規則のように、操作の規則は、自発的であり、主に「非-実施でき」されます、それらがたまたま、それの違反が起訴につながることができる国内法令と一致しているところを除いて。 インターネットのうまくいっていてますます安全な操作のための一般的なセットの規則はせいぜい自発的である場合があります、様々な国の法がデータネットワークに関して一定でないので。 本当に、以下に概説されたガイドラインも自発的であるだけである場合があります。 しかしながら、インターネットを接合するのが任意であるので、また、振舞いのどんなインターネット規則も接合するための掘り出し物の一部と利用可能などんな法的基盤は別としてそれらを観測しないそのことが制裁の根拠であるということであると主張するのも公正です。
Pethia, Crocker, & Fraser [Page 1] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[1ページ]RFC1281ガイドライン
Introduction
序論
These guidelines address the entire Internet community, consisting of users, hosts, local, regional, domestic and international backbone networks, and vendors who supply operating systems, routers, network management tools, workstations and other network components.
これらのガイドラインは全体のインターネットコミュニティを扱います、ユーザ、ホスト、地方的、そして、地方的、そして、ドメスティックで国際的なバックボーンネットワーク、およびオペレーティングシステム、ルータ、ネットワークマネージメントツール、ワークステーション、および他のネットワーク要素を供給するベンダーから成って。
Security is understood to include protection of the privacy of information, protection of information against unauthorized modification, protection of systems against denial of service, and protection of systems against unauthorized access.
セキュリティが不正アクセスに対して情報のプライバシーの保護、権限のない変更に対する情報の保護、サービスの否定に対するシステムの保護、およびシステムの保護を含めるのが理解されています。
These guidelines encompass six main points. These points are repeated and elaborated in the next section. In addition, a bibliography of computer and network related references has been provided at the end of this document for use by the reader.
これらのガイドラインは6つの要点を取り囲みます。 これらのポイントは、次のセクションに繰り返されて、詳しく説明されます。 さらに、コンピュータの、そして、ネットワーク関連する参照の図書目録は使用のためのこのドキュメントの端で読者によって提供されました。
Security Guidelines
安全ガイドライン
(1) Users are individually responsible for understanding and
respecting the security policies of the systems (computers and
networks) they are using. Users are individually accountable
for their own behavior.
(1) ユーザは個別にそれらが使用しているシステム(コンピュータとネットワーク)の安全保障政策を理解して、尊敬するのに責任があります。 ユーザはそれら自身の振舞いについて個別に責任があります。
(2) Users have a responsibility to employ available security
mechanisms and procedures for protecting their own data. They
also have a responsibility for assisting in the protection of
the systems they use.
(2) ユーザには、それら自身のデータを保護するための利用可能なセキュリティー対策と手順を使う責任があります。 また、彼らには、それらが使用するシステムの保護を助けることへの責任があります。
(3) Computer and network service providers are responsible for
maintaining the security of the systems they operate. They are
further responsible for notifying users of their security
policies and any changes to these policies.
(3) コンピュータとネットワークサービスプロバイダーはそれらが操作するシステムのセキュリティを維持するのに原因となります。 彼らはこれらの方針への彼らの安全保障政策とどんな変化についてもユーザに通知するのにさらに原因となります。
(4) Vendors and system developers are responsible for providing
systems which are sound and which embody adequate security
controls.
(4) ベンダーとシステム開発者は健全であり、十分な安全性コントロールを具体化する提供システムに責任があります。
(5) Users, service providers, and hardware and software vendors are
responsible for cooperating to provide security.
(5) ユーザ、サービスプロバイダー、ハードウェア、およびソフトウェアベンダーは協力して、セキュリティを提供するのに原因となります。
(6) Technical improvements in Internet security protocols should be
sought on a continuing basis. At the same time, personnel
developing new protocols, hardware or software for the Internet
are expected to include security considerations as part of the
design and development process.
(6) インターネットセキュリティプロトコルの技術革新はずっと継続する形態で求められるべきです。 同時に、インターネットのための新しいプロトコル、ハードウェアまたはソフトウェアを開発する人員がデザインと開発過程の一部としてセキュリティ問題を含んでいると予想されます。
Pethia, Crocker, & Fraser [Page 2] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[2ページ]RFC1281ガイドライン
Elaboration
労作
(1) Users are individually responsible for understanding and
respecting the security policies of the systems (computers and
networks) they are using. Users are individually accountable
for their own behavior.
(1) ユーザは個別にそれらが使用しているシステム(コンピュータとネットワーク)の安全保障政策を理解して、尊敬するのに責任があります。 ユーザはそれら自身の振舞いについて個別に責任があります。
Users are responsible for their own behavior. Weaknesses in
the security of a system are not a license to penetrate or
abuse a system. Users are expected to be aware of the security
policies of computers and networks which they access and to
adhere to these policies. One clear consequence of this
guideline is that unauthorized access to a computer or use of a
network is explicitly a violation of Internet rules of conduct,
no matter how weak the protection of those computers or networks.
ユーザはそれら自身の振舞いに責任があります。 システムのセキュリティにおける弱点はシステムを理解するか、または誤用するライセンスではありません。 ユーザは、それらがアクセスするコンピュータとネットワークの安全保障政策を意識していて、これらの方針を固く守ると予想されます。 このガイドラインの1つの明確な結果はネットワークのコンピュータか使用への不正アクセスが明らかに、インターネットの違反が行為を統治します、それらのコンピュータかネットワークの保護がどんなに弱くてもことであるということです。
There is growing international attention to legal prohibition
against unauthorized access to computer systems, and several
countries have recently passed legislation that addresses the
area (e.g., United Kingdom, Australia). In the United States,
the Computer Fraud and Abuse Act of 1986, Title 18 U.S.C.
section 1030 makes it a crime, in certain situations, to access
a Federal interest computer (federal government computers,
financial institution computers, and a computer which is one of
two or more computers used in committing the offense, not all of
which are located in the same state) without authorization.
Most of the 50 states in the U.S have similar laws.
法的な禁止への増加している国際的な注目はコンピュータ・システムへの不正アクセスに反対しています、そして、数カ国は最近、領域が(例えば、イギリス(オーストラリア))であると扱う法案を可決しました。 1986年の合衆国、コンピュータFraud、およびAbuse条例では、Title18米国C.部1030は、承認なしで連邦政府の関心コンピュータ(連邦政府コンピュータ、金融機関コンピュータ、およびすべてではなく、犯罪を遂行する際に使用されるそれのコンピュータが同じ州に位置している2以上の1つであるコンピュータ)にアクセスするためにそれをある状況における犯罪にします。 U.Sの50の州の大部分には、同様の法があります。
Another aspect of this part of the policy is that users are
individually responsible for all use of resources assigned to
them, and hence sharing of accounts and access to resources is
strongly discouraged. However, since access to resources is
assigned by individual sites and network operators, the
specific rules governing sharing of accounts and protection of
access is necessarily a local matter.
方針のこの部分のもう一つの側面はユーザが個別にそれらに割り当てられたリソースのすべての使用に責任があるということです、そして、したがって、リソースとのアカウントとアクセスの共有は強くお勧めできないです。 しかしながら、リソースへのアクセスが割り当てられるので、個々のサイトとネットワーク・オペレータ、特定の規則によって、アクセスのアカウントと保護を共有しながら治めるのは、必ず地域にかかわる事柄です。
(2) Users have a responsibility to employ available security
mechanisms and procedures for protecting their own data. They
also have a responsibility for assisting in the protection of
the systems they use.
(2) ユーザには、それら自身のデータを保護するための利用可能なセキュリティー対策と手順を使う責任があります。 また、彼らには、それらが使用するシステムの保護を助けることへの責任があります。
Users are expected to handle account privileges in a
responsible manner and to follow site procedures for the
security of their data as well as that of the system. For
systems which rely upon password protection, users should
select good passwords and periodically change them. Proper
use of file protection mechanisms (e.g., access control lists)
so as to define and maintain appropriate file access control
ユーザは、責任ある態度でアカウント特権を扱って、システムのものと同様にそれらのデータのセキュリティのためのサイト手順に従うと予想されます。 パスワード保護を当てにされるシステムのために、ユーザは、良いパスワードを選択して、定期的にそれらを変えるべきです。 ファイル保護メカニズム(例えば、アクセスコントロールリスト)の適切な使用、適切なファイルアクセス制御を定義して、維持します。
Pethia, Crocker, & Fraser [Page 3] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[3ページ]RFC1281ガイドライン
is also part of this responsibility.
この責任も部分もありますか?
(3) Computer and network service providers are responsible for
maintaining the security of the systems they operate. They are
further responsible for notifying users of their security
policies and any changes to these policies.
(3) コンピュータとネットワークサービスプロバイダーはそれらが操作するシステムのセキュリティを維持するのに原因となります。 彼らはこれらの方針への彼らの安全保障政策とどんな変化についてもユーザに通知するのにさらに原因となります。
A computer or network service provider may manage resources on
behalf of users within an organization (e.g., provision of
network and computer services with a university) or it may
provide services to a larger, external community (e.g., a
regional network provider). These resources may include host
computers employed by users, routers, terminal servers, personal
computers or other devices that have access to the Internet.
コンピュータかネットワークサービスプロバイダーが組織(例えば、大学とのネットワークの、そして、コンピュータサービスの支給)の中のユーザを代表してリソースを管理するかもしれませんか、またはそれは、より大きくて、外部の共同体(例えば、地域ネットワークプロバイダー)に対するサービスを提供するかもしれません。 これらのリソースはインターネットに近づく手段を持っているユーザ、ルータ、ターミナルサーバ、パーソナルコンピュータまたは対向機器によって使われたホストコンピュータを含むかもしれません。
Because the Internet itself is neither centrally managed nor
operated, responsibility for security rests with the owners and
operators of the subscriber components of the Internet.
Moreover, even if there were a central authority for this
infrastructure, security necessarily is the responsibility of
the owners and operators of the systems which are the primary
data and processing resources of the Internet.
インターネット自体が中心で管理されないで、また操作されないので、セキュリティへの責任はインターネットの加入者コンポーネントの所有者とオペレータに責任があります。 そのうえ、このインフラストラクチャのための主要な権威があったとしても、セキュリティは、必ず所有者の責任と、プライマリデータであるシステムのオペレータとインターネットに関する処理リソースでしょうに。
There are tradeoffs between stringent security measures at a
site and ease of use of systems (e.g., stringent security
measures may complicate user access to the Internet). If a site
elects to operate an unprotected, open system, it may be
providing a platform for attacks on other Internet hosts while
concealing the attacker's identity. Sites which do operate
open systems are nonetheless responsible for the behavior of
the systems' users and should be prepared to render assistance
to other sites when needed. Whenever possible, sites should
try to ensure authenticated Internet access. The readers are
directed to appendix A for a brief descriptive list of elements
of good security.
厳しい安全策の間には、システムのサイトと使いやすさに見返りがあります(例えば、厳しい安全策はインターネットへのユーザアクセスを複雑にするかもしれません)。 サイトが、保護のないオープンシステムを操作するのを選ぶなら、それは攻撃者のアイデンティティを隠している間、他のインターネット・ホストに対する攻撃にプラットホームを提供しているかもしれません。 オープンシステムを操作するサイトは、それにもかかわらず、システムのユーザの振舞いに責任があって、必要であると、他のサイトに支援を提供するように準備されるべきです。 可能であるときはいつも、サイトは認証されたインターネット・アクセスを確実にしようとするべきです。 読者は優れた警備体制の要素の簡潔な描写的であるリストのために付録Aに向けられます。
Sites (including network service providers) are encouraged to
develop security policies. These policies should be clearly
communicated to users and subscribers. The Site Security
Handbook (FYI 8, RFC 1244) provides useful information and
guidance on developing good security policies and procedures
at both the site and network level.
サイト(ネットワークサービスプロバイダーを含んでいる)が安全保障政策を開発するよう奨励されます。 これらの方針は明確にユーザと加入者に伝えられるべきです。 Site Security Handbook(FYI8、RFC1244)はサイトとネットワークレベルの両方における展開している優れた警備体制方針と手順で役に立つ情報と指導を提供します。
(4) Vendors and system developers are responsible for providing
systems which are sound and which embody adequate security
controls.
(4) ベンダーとシステム開発者は健全であり、十分な安全性コントロールを具体化する提供システムに責任があります。
Pethia, Crocker, & Fraser [Page 4] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[4ページ]RFC1281ガイドライン
A vendor or system developer should evaluate each system in
terms of security controls prior to the introduction of the
system into the Internet community. Each product (whether
offered for sale or freely distributed) should describe the
security features it incorporates.
ベンダーかシステム開発者がシステムの導入の前にセキュリティコントロールに関して各システムをインターネットコミュニティに評価するべきです。 各製品(販売のために提供するか、または自由に分配することにかかわらず)はそれが取り入れるセキュリティ機能について説明するはずです。
Vendors and system developers have an obligation to repair
flaws in the security relevant portions of the systems they
sell (or freely provide) for use in the Internet. They are
expected to cooperate with the Internet community in
establishing mechanisms for the reporting of security flaws and
in making security-related fixes available to the community in
a timely fashion.
ベンダーとシステム開発者には、それらがインターネットでの使用のために販売する(自由に提供してください)システムのセキュリティの関連部分で欠点を修理する義務があります。 彼らがセキュリティー・フローの報告のためにメカニズムを確立して、直ちにセキュリティ関連のフィックスを共同体に利用可能にする際にインターネットコミュニティに協力すると予想されます。
(5) Users, service providers, and hardware and software vendors are
responsible for cooperating to provide security.
(5) ユーザ、サービスプロバイダー、ハードウェア、およびソフトウェアベンダーは協力して、セキュリティを提供するのに原因となります。
The Internet is a cooperative venture. The culture and
practice in the Internet is to render assistance in security
matters to other sites and networks. Each site is expected to
notify other sites if it detects a penetration in progress at
the other sites, and all sites are expected to help one another
respond to security violations. This assistance may include
tracing connections, tracking violators and assisting law
enforcement efforts.
インターネットは共同事業です。 インターネットの文化と習慣はセキュリティの件に関する支援を他のサイトとネットワークに提供することになっています。 他のサイトの進行中の侵入を検出するなら各サイトが他のサイトに通知すると予想されて、すべてのサイトが、お互いが安全の侵害に応じるのを助けると予想されます。 違反者を追跡して、法施行取り組みを補助して、この支援は、接続をつけるのを含むかもしれません。
There is a growing appreciation within the Internet community
that security violators should be identified and held
accountable. This means that once a violation has been detected,
sites are encouraged to cooperate in finding the violator and
assisting in enforcement efforts. It is recognized that many
sites will face a trade-off between securing their sites as
rapidly as possible versus leaving their site open in the hopes
of identifying the violator. Sites will also be faced with the
dilemma of limiting the knowledge of a penetration versus
exposing the fact that a penetration has occurred. This policy
does not dictate that a site must expose either its system or
its reputation if it decides not to, but sites are encouraged
to render as much assistance as they can.
特定されて、責任があるように保たれて、セキュリティ違反者がそうするべきであるインターネットコミュニティの中に増加している感謝があります。 これは、違反がいったん検出されると、サイトが違反者を見つけて、実施取り組みを助けるのに協力するよう奨励されることを意味します。 多くのサイトが早急に違反者を特定するという望みでそれらのサイトを開いた状態でおくことに対してそれらのサイトを保証することの間のトレードオフに直面すると認められます。 また、サイトは侵入が起こったという事実を暴露することに対して侵入に関する知識を制限するジレンマに直面するでしょう。 この方針は、そうしないと決めるならサイトがシステムかその評判のどちらかを暴露しなければなりませんが、サイトができるだけ多くの支援をレンダリングするよう奨励されると決めません。
(6) Technical improvements in Internet security protocols should be
sought on a continuing basis. At the same time, personnel
developing new protocols, hardware or software for the Internet
are expected to include security considerations as part of the
design and development process.
(6) インターネットセキュリティプロトコルの技術革新はずっと継続する形態で求められるべきです。 同時に、インターネットのための新しいプロトコル、ハードウェアまたはソフトウェアを開発する人員がデザインと開発過程の一部としてセキュリティ問題を含んでいると予想されます。
The points discussed above are all administrative in nature,
but technical advances are also important. Existing protocols
上で議論したポイントはすべて現実に管理ですが、また、技術の進歩も重要です。 既存のプロトコル
Pethia, Crocker, & Fraser [Page 5] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[5ページ]RFC1281ガイドライン
and operating systems do not provide the level of security that
is desired and feasible today. Three types of advances are
encouraged:
そして、オペレーティングシステムは今日必要で可能なセキュリティのレベルを提供しません。 3つのタイプの進歩は奨励されます:
(a) Improvements should be made in the basic security
mechanisms already in place. Password security is
generally poor throughout the Internet and can be
improved markedly through the use of tools to administer
password assignment and through the use of better
authentication technology. At the same time, the
Internet user population is expanding to include a
larger percentage of technically unsophisticated users.
Security defaults on delivered systems and the controls
for administering security must be geared to this growing
population.
(a) 適所で基本的なセキュリティー対策で既に改良をするべきです。 パスワードセキュリティは、一般に、インターネット中で貧しく、パスワード課題を管理するツールの使用を通して、より良い認証技術の使用を通して著しく向上できます。 同時に、インターネットユーザ人口は、より大きい百分率の技術的に世慣れていないユーザを含むように広がります。 セキュリティは提供されたシステムを怠ります、そして、セキュリティを管理するためのコントロールをこの増加している人口に適合しなければなりません。
(b) Security extensions to the protocol suite are needed.
Candidate protocols which should be augmented to improve
security include network management, routing, file
transfer, telnet, and mail.
(b) プロトコル群へのセキュリティ拡大が必要です。 セキュリティを向上させるために増大するべきである候補プロトコルはネットワークマネージメント、ルーティング、ファイル転送、telnet、およびメールを含んでいます。
(c) The design and implementation of operating systems should
be improved to place more emphasis on security and pay
more attention to the quality of the implementation of
security within systems on the Internet.
(c) オペレーティングシステムの設計と実装は、より多くの強調をセキュリティに置いて、インターネットのシステムの中でセキュリティの実装の品質により多く注意を向けるために改良されるべきです。
APPENDIX A
付録A
Five areas should be addressed in improving local security:
5つの領域が地方のセキュリティを向上させる際に扱われるべきです:
(1) There must be a clear statement of the local security policy,
and this policy must be communicated to the users and other
relevant parties. The policy should be on file and available
to users at all times, and should be communicated to users as
part of providing access to the system.
(1) ローカルの安全保障政策の明確な声明があるに違いありません、そして、ユーザと他の関係者にこの方針を伝えなければなりません。 方針は、いつもファイルの上にあって、ユーザにとって利用可能であるべきです、そして、システムへの提供アクセスの一部としてユーザとコミュニケートされるべきです。
(2) Adequate security controls must be implemented. At a minimum,
this means controlling access to systems via passwords,
instituting sound password management, and configuring the
system to protect itself and the information within it.
(2)十分な安全性管理は実施されなければなりません。 最小限では、これは、パスワードでシステムへのアクセスを制御することを意味します、それの中にそれ自体と情報を保護するために音のパスワード管理を設けて、システムを構成して。
(3) There must be a capability to monitor security compliance and
respond to incidents involving violation of security. Logs of
logins, attempted logins, and other security-relevant events
are strongly advised, as well as regular audit of these logs.
Also recommended is a capability to trace connections and other
events in response to penetrations. However, it is important
for service providers to have a well thought out and published
(3) セキュリティコンプライアンスをモニターして、インシデントに応じるセキュリティの違反にかかわる能力があるに違いありません。 ログイン、試みられたログイン、および他のセキュリティ関連しているイベントに関するログはこれらのログの定期的な会計検査と同様に強く教えられます。 また、推薦されているのは、ペネトレーションに対応して接続と他のイベントをつける能力です。 しかしながら、サービスプロバイダーが井戸が考え抜かれて、発行されるのをさせるのは、重要です。
Pethia, Crocker, & Fraser [Page 6] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[6ページ]RFC1281ガイドライン
policy about what information they gather, who has access to it
and for what purposes. Maintaining the privacy of network
users should be kept in mind when developing such a policy.
彼らがどんな情報を集めるかに関する方針。(その方針は、それに近づく手段を持って、どんな目的のためにそうであるか)。 そのような方針を開発するとき、ネットワーク利用者のプライバシーを維持するのは覚えておかれるべきです。
(4) There must be an established chain of communication and control
to handle security matters. A responsible person should be
identified as the security contact. The means for reaching the
security contact should be made known to all users and should
be registered in public directories, and it should be easy for
computer emergency response centers to find contact information
at any time.
(4) 件は、コミュニケーションの設立されたチェーンであり、ハンドルセキュリティに制御されなければなりません。 セキュリティが連絡するように責任者は特定されるべきです。 セキュリティ接触に達するための手段は、すべてのユーザに知らせられるべきであり、公共のディレクトリに登録されるべきです、そして、コンピュータ非常時の応答センターがいつでも問い合わせ先を見つけるのは、簡単であるはずです。
The security contact should be familiar with the technology and
configuration of all systems at the site or should be able to
get in touch with those who have this knowledge at any time.
Likewise, the security contact should be pre-authorized to make
a best effort to deal with a security incident, or should be
able to contact those with the authority at any time.
セキュリティ接触は、サイトのすべてのシステムの技術と構成になじみ深いはずであるか、またはいつでもこの知識を持っている人に連絡を取ることができるべきです。 同様に、セキュリティ接触は、セキュリティインシデントに対処するためにaをベストエフォート型にするのがあらかじめ認可されるべきであるか、またはいつでも、権威があるそれらに連絡できるべきです。
(5) Sites and networks which are notified of security incidents
should respond in a timely and effective manner. In the case
of penetrations or other violations, sites and networks should
allocate resources and capabilities to identify the nature of
the incident and limit the damage. A site or network cannot be
considered to have good security if it does not respond to
incidents in a timely and effective fashion.
(5) セキュリティインシデントについて通知されるサイトとネットワークはタイムリーで効果的な方法で応じるべきです。 ペネトレーションか他の違反の場合では、サイトとネットワークはリソースとインシデントの自然を特定して、損害を制限する能力を割り当てるべきです。 タイムリーで効果的なファッションでインシデントに応じないなら、サイトかネットワークには優れた警備体制があると考えることができません。
If a violator can be identified, appropriate action should be
taken to ensure that no further violations are caused. Exactly
what sanctions should be brought against a violator depend on
the nature of the incident and the site environment. For
example, a university may choose to bring internal disciplinary
action against a student violator.
違反者を特定できるなら、さらなる違反が全く引き起こされないのを保証するために適切な行動を取るべきです。 まさにどんな制裁が違反者に対してもたらされるべきであるかはインシデントの自然とサイト環境に依存します。 例えば、大学は、学生の違反者に対して内部の懲戒免職をもたらすのを選ぶかもしれません。
Similarly, sites and networks should respond when notified of
security flaws in their systems. Sites and networks have the
responsibility to install fixes in their systems as they become
available.
同様に、それらのシステムのセキュリティー・フローについて通知されると、サイトとネットワークは応じるべきです。サイトとネットワークには、利用可能になるのに従ってそれらのシステムにフィックスをインストールする責任があります。
Pethia, Crocker, & Fraser [Page 7] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[7ページ]RFC1281ガイドライン
A Bibliography of Computer and Network Security Related Documents
コンピュータとネットワークセキュリティの図書目録はドキュメントについて話しました。
United States Public Laws (PL) and Federal Policies
合衆国公法(PL)と連邦政府の方針
[1] P.L. 100-235, "The Computer Security Act of 1987", (Contained in
Appendix C of Citation No. 12, Vol II.), Jan. 8, 1988.
[1]P.L.100-235、(引用No.12(Vol II)の付録Cで含まれている)の「1987年のコンピュータセキュリティ条例」1988年1月8日。
[2] P.L. 99-474 (H.R. 4718), "Computer Fraud and Abuse Act of 1986",
Oct. 16, 1986.
[2] P.L.99-474(H.R.4718), 1986年10月16日の「1986年のコンピューター詐欺濫用防止法。」
[3] P.L. 99-508 (H.R. 4952), "Electronic Communications Privacy Act
of 1986", Oct. 21, 1986.
[3] P.L.99-508(H.R.4952), 1986年10月21日の「1986年の電子通信プライバシー法。」
[4] P.L. 99-591, "Paperwork Reduction Reauthorization Act of 1986",
Oct. 30, 1986.
[4]P.L.99-591、「1986年の文書業務減少Reauthorization条例」、1986年10月30日。
[5] P.L. 93-579, "Privacy Act of 1984", Dec. 31, 1984.
[5] P.L.93-579、「1984年のプライバシー保護法」、1984年12月31日。
[6] "National Security Decision Directive 145", (Contained in
Appendix C of Citation No. 12, Vol II.).
[6] 「国家安全保障決定指示145」、(引用No.12、Vol IIの付録Cでは、含まれています。)
[7] "Security of Federal Automated Information Systems", (Contained
in Appendix C of Citation No. 12, Vol II.), Appendix III of,
Management of Federal Information Resources, Office of Management
and Budget (OMB), Circular A-130.
[7] (Citation No.12(Vol II)のAppendix Cで含まれている)の「連邦政府の自動化された情報システムのセキュリティ」、Appendix III、連邦政府の情報源のManagement、行政管理予算庁(OMB)(Circular A-130)
[8] "Protection of Government Contractor Telecommunications",
(Contained in Appendix C of Citation No. 12, Vol II.), National
Communications Security Instruction (NACSI) 6002.
[8] (引用No.12(Vol II)の付録Cで含まれている)の、そして、国家の「御用商人テレコミュニケーションの保護」通信秘密保全指示(NACSI。)6002
Other Documents
他のドキュメント
[9] Secure Systems Study Committee, "Computers at Risk: Safe
Computing in the Information Age", Computer Science and
Technology Board, National Research Council, 2101 Constitution
Avenue, Washington, DC 20418, December 1990.
[9] 安全なシステムが委員会を研究する、「危険なコンピュータ:」 「情報化時代の安全なコンピューティング」とコンピュータサイエンスと技術ボード、調査評議会、2101Constitutionアベニュー、ワシントン、DC 20418、1990年12月。
[10] Curry, D., "Improving the Security of Your UNIX System", Report
No. ITSTD-721-FR-90-21, SRI International, 333 Ravenswood Ave.,
Menlo Park, CA, 94025-3493, April 1990.
[10] 「あなたのUNIXシステムのセキュリティを向上し」て、カレー、D.は、いいえと報告します。 ITSTD-721-FR-90-21、SRIインターナショナル、333レーヴンズウッドAve、メンローパーク、カリフォルニア94025-3493、4月1990
[11] Holbrook P., and J. Reynolds, Editors, "Site Security Handbook",
FYI 8, RFC 1244, CICNet, ISI, July 1991.
[11]ホルブルックP.、およびJ.レイノルズ、エディターズ、「サイトセキュリティハンドブック」、FYI8、RFC1244、CICNet、ISI、1991年7月。
[12] "Industry Information Protection, Vols. I,II,III", Industry
Information Security Task Force, President's National
Telecommunications Advisory Committee, June 1988.
[12] 「産業情報保護、Vols。」 「I、II、III」、産業情報セキュリティ特別委員会、社長の国家のテレコミュニケーション諮問委員会、6月1988
Pethia, Crocker, & Fraser [Page 8] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[8ページ]RFC1281ガイドライン
[13] Jelen, G., "Information Security: An Elusive Goal", Report No.
P-85-8, Harvard University, Center for Information Policy
Research, 200 Akin, Cambridge, MA. 02138, June 1985.
[13]Jelen、G.、「情報セキュリティ:」 「とらえどころのない目標」、レポートNo. P-85-8、ハーバード大学、情報方針研究、200における、同系のセンター、ケンブリッジ、MA。 02138 1985年6月。
[14] "Electronic Record Systems and Individual Privacy", OTA-CIT-296,
Congress of the United States, Office of Technology Assessment,
Washington, D.C. 20510, June 1986.
[14] 「電子記録的なシステムと個人のプライバシー」、OTA-CIT-296、合衆国(技術評価局、ワシントンDC20510 1986年6月)議会
[15] "Defending Secrets, Sharing Data", OTA-CIT-310, Congress of the
United States, Office of Technology Assessment, Washington, D.C.
20510, October 1987.
[15] 「データを共有して、シークレットを防御します」、OTA-CIT-310、合衆国、技術評価局、ワシントンDC20510 1987 10月番目の議会
[16] "Summary of General Legislation Relating to Privacy and Computer
Security", Appendix 1 of, COMPUTERS and PRIVACY: How the
Government Obtains, Verifies, Uses and Protects Personal Data,
GAO/IMTEC-90-70BR, United States General Accounting Office,
Washington, DC 20548, pp. 36-40, August 1990.
[16] 「プライバシーとコンピュータセキュリティに関連する一般法律の概要」、Appendix1、コンピュータとPRIVACY: どのように、政府ObtainsとVerifiesとUsesとProtectsパーソナルData、IMTEC-90-70BR、カオ/合衆国会計検査院のワシントン、DC 20548、ページ 36-40と、1990年8月。
[17] Stout, E., "U.S. Geological Survey System Security Plan - FY
1990", U.S. Geological Survey ISD, MS809, Reston, VA, 22092, May
1990.
[17] スタウト、E.、米国地質調査所ISD、MS809、レストンヴァージニア 「FY米国地質調査所システム警備計画--1990」、22092は1990がそうするかもしれません。
Security Considerations
セキュリティ問題
If security considerations had not been so widely ignored in the Internet, this memo would not have been possible.
セキュリティ問題がインターネットでそれほど広く無視されなかったなら、このメモは可能ではありませんでした。
Pethia, Crocker, & Fraser [Page 9] RFC 1281 Guidelines for the Secure Operation November 1991
安全な操作1991年11月のためのPethia、クロッカー、およびフレーザ[9ページ]RFC1281ガイドライン
Authors' Addresses
作者のアドレス
Richard D. Pethia Software Engineering Institute Carnegie Mellon University Pittsburgh, Pennsylvania 15213-3890
リチャード・D.Pethiaソフトウェア工学研究所カーネギーメロン大学ピッツバーグ、ペンシルバニア15213-3890
Phone: (412) 268-7739 FAX: (412) 268-6989
以下に電話をしてください。 (412) 268-7739 Fax: (412) 268-6989
EMail: rdp@cert.sei.cmu.edu
メール: rdp@cert.sei.cmu.edu
Stephen D. Crocker Trusted Information Systems, Inc. 3060 Washington Road Glenwood, Maryland 21738
スティーブン・D.クロッカーは情報システムInc.3060ワシントン道路グレンウッド、メリーランド 21738を信じました。
Phone: (301) 854-6889 FAX: (301) 854-5363
以下に電話をしてください。 (301) 854-6889 Fax: (301) 854-5363
EMail: crocker@tis.com
メール: crocker@tis.com
Barbara Y. Fraser Software Engineering Institute Carnegie Mellon University Pittsburgh, Pennsylvania 15213-3890
バーバラ・Y.フレーザ・ソフトウェア工学研究所カーネギーメロン大学ピッツバーグ、ペンシルバニア15213-3890
Phone: (412) 268-5010 FAX: (412) 268-6989
以下に電話をしてください。 (412) 268-5010 Fax: (412) 268-6989
EMail: byf@cert.sei.cmu.edu
メール: byf@cert.sei.cmu.edu
Pethia, Crocker, & Fraser [Page 10]
Pethia、クロッカー、およびフレーザ[10ページ]
一覧
スポンサーリンク
