Netpolicy
Verwaltungsanordnung des Regionalen Rechenzentrums vom 19. Januar 2005
Als Direktor des Regionalen Rechenzentrums erlasse ich die nachstehenden Richtlinien für den Betrieb und die Verwendung der Kommunikationsinfrastruktur der Universität Hamburg (Net-Policy der Universität Hamburg), der das Präsidium am 16.12.2004 zugestimmt hat, als Verwaltungsanordnung.
Prof. Dr. Karl Kaiser
Richtlinien für den Betrieb und die Verwendung der Kommunikationsinfrastruktur der Universität Hamburg
Präambel
Forschung, Lehre und die unterstützenden Querschnittsfunktionen der Verwaltung sind die Basis universitärer Entwicklungen. Sie werden in immer stärkerem Maße abhängig von sicheren und hoch verfügbaren Kommunikationsstrukturen. Von großer Bedeutung ist deshalb die Aufgabe, digitale Informationsflüsse und globale Kommunikation funktional zu erhalten, zu sichern und bedarfsgerecht auszubauen. Hierfür müssen organisatorische Maßnahmen getroffen und flankierend funktionale und technisch-infrastrukturelle Komponenten bereitgestellt werden. Störungs- und unterbrechungsfreier Betrieb, flächendeckende und einheitliche Grundversorgung sowie die Einführung neuer, innovativer Dienste stehen deshalb im Vordergrund.
Die hier formulierten grundsätzlichen Regeln für Planung, Ausbau und Betrieb der Kommunikationsinfrastruktur sind notwendig, um einen möglichst störungsfreien Ablauf dieser dringend benötigten Dienste zu ermöglichen und dem ständig wachsenden Gefahrenpotential begegnen zu können.
1 Geltungsbereich
Diese Net-Policy ist verbindlich für alle an das Kommunikationsnetz der Universität Hamburg (UHH) angeschlossenen oder über dieses Netz indirekt versorgten Institutionen, Fachbereiche und sonstigen Einrichtungen (im Folgenden Institutionen genannt). Die Net-Policy wird automatisch bindend für Institutionen, die zukünftig über das Kommunikationsnetz der UHH angeschlossen werden.
Das Kommunikationsnetz der UHH umfasst alle passiven und aktiven Komponenten der Primär-, Sekundär- und Tertiär-Verkabelung sowie die Netzbasisdienste (Domain Name System (DNS), „Dynamic Host Configuration Protocol (DHCP)“, „Remote Authentication Dial In User Service (RADIUS)“, IP-Routing und Netzmanagement) zur Unterstützung und Aufrechterhaltung der IT-Kommunikation und alle Schnittstellen zu Übergängen in andere (außeruniversitäre) Kommunikationsnetze.
2 Aufgaben des RRZ
2.1 Planung und Betrieb des Kommunikationsnetzes
Verantwortlich für das Kommunikationsnetz der UHH, dessen Außenanbindungen und Zugänge ist ausschließlich das Regionale Rechenzentrum der Universität Hamburg (RRZ). Diese Verantwortung umfasst Planung, Ausbau, Wartung und Betrieb des Kommunikationsnetzes. Hierzu gehören insbesondere folgende Aufgaben
a. Betrieb des Kommunikationsnetzes; zu diesem Zweck: Verwaltung der Netzressourcen und Bereitstellung von Netzbasisdiensten für die Rechnerkommunikation.
- Planung und Koordination des Ausbaus und der Wartung.
- Unterstützung der Institutionen bei der Benutzung des Kommunikationsnetzes.
- Bearbeitung von sicherheitsrelevanten Vorfällen im Kommunikationsnetz der UHH und Koordination der Abwehrmaßnahmen.
- Kontrolle der vertraglichen Verpflichtungen, die im Zusammenhang mit dem Kommunikationsnetz gegenüber Providern und anderen Vertragspartnern bestehen.
2.2 Priorität der Aufgaben
Beim Einsatz von personellen und finanziellen Mitteln gilt grundsätzlich folgende Priorität
- Bereitstellung des Kommunikationsnetzes und Aufrechterhaltung eines weitgehend störungs- und unterbrechungsfreien Netzbetriebs.
- Planung und Koordination des Ausbaus und der Wartung des Kommunikationsnetzes mit dem Ziel einer möglichst breiten und einheitlichen Grundversorgung.
- Planung und Koordination des Ausbaus und der Wartung des Kommunikationsnetzes mit dem Ziel, die vorhandenen Netzbasisdienste zu erweitern.
- Sonderaufgaben für die UHH sowie Dienstleistungen für Dritte.
2.3 Konkretisierung der Aufgaben
Die oben formulierten Aufgaben können vom RRZ durch zusätzlich zu erlassende Anordnungen und Regeln genauer spezifiziert werden.
2.4 Delegation von Aufgaben
Teilaufgaben können vom RRZ an Institutionen delegiert werden; dies geschieht nur nach Absprache und auf Antrag der Institutionen bei der Leitung des RRZ. Die Richtlinienkompetenz verbleibt auch in diesen Fällen beim RRZ. Falls die übertragenen Aufgaben unzulänglich wahrgenommen werden und dadurch der Betrieb des Kommunikationsnetzes gefährdet ist, sind die Mitarbeiter des RRZ jederzeit und informell zur Rücknahme der Delegierung berechtigt, bis eine Klärung bzw. ein erneuter Beschluss durch die Leitung des RRZ herbeigeführt wird.
2.5 Fortschreibung der Net-Policy und Übergangsbestimmungen
Die Net-Policy wird bei Bedarf vom SenA-DV überarbeitet und in Abstimmung mit dem RRZ verabschiedet. In dringenden Fällen erlässt das RRZ Übergangsbestimmungen.
3 Aufgaben der am Kommunikationsnetz angeschlossenen Institutionen
3.1 Anerkennung der Net-Policy
Durch die Benutzung des Kommunikationsnetzes der UHH wird diese Net-Policy anerkannt. Dies bedeutet insbesondere die Verpflichtung, in ihrem Sinne zu handeln und alles zu unterlassen und zu unterbinden, das der Umsetzung der oben genannten Aufgaben entgegenwirkt.
3.2 Kooperation mit dem RRZ
Die Institutionen verpflichten sich darüber hinaus, bei den delegierten Aufgaben mit dem RRZ zu kooperieren. Insbesondere ist die aktive Mithilfe der Institutionen für Planungs- und Wartungsarbeiten, für die Beseitigung von Störungen und zur Verfolgung von Sicherheitsvorfällen erforderlich.
3.3 Bearbeitung delegierter Aufgaben
Institutionen, an die Aufgaben vom RRZ delegiert wurden, sind für die Umsetzung dieser Aufgaben verantwortlich. Darüber hinaus informieren sie das RRZ unverzüglich über Probleme, insbesondere wenn es um eine Störung des Netzbetriebs geht. Das RRZ wird dann im Rahmen seiner Möglichkeiten bei der Erfüllung der delegierten Aufgaben helfen oder diese selbst übernehmen. Die Weiter-Delegation von Aufgaben an Dritte ist nur mit Genehmigung des RRZ gestattet.
Institutionen, an die Aufgaben delegiert wurden, verpflichten sich darüber hinaus, durch geeignete personelle, organisatorische und technische Maßnahmen die mit der Aufgabenerfüllung betreuten Personen zu unterstützen.
3.4 Beratung ihrer Benutzerinnen und Benutzer
Alle am Kommunikationsnetz der UHH angeschlossenen Institutionen verpflichten sich, ihre Mitglieder (Institutsangehörige, Studierende) und Gäste über den Inhalt dieser NetPolicy zu informieren. Den Benutzenden ist zu verdeutlichen,
- welche Maßnahmen sie nach Stand der Technik zu ergreifen haben, um die oben genannten Ziele (Ziele im Sinne von Unterstützung bei der Erfüllung der Aufgaben) zu unterstützen,
- welche Handlungen grundsätzlich zu unterlassen sind, um diese Ziele nicht zu gefährden, und
- dass Verstöße gegen diese Net-Policy ein Nutzungsverbot für das Kommunikationsnetz der UHH zur Folge haben kann.
4 Verstöße gegen die Net-Policy
4.1 Maßnahmen des RRZ
Zur Beseitigung von Störungen und zur Durchsetzung von geltenden Vorschriften, Anordnungen und Gesetzen kann das RRZ einzelne Systeme, Benutzer, Gruppen oder Institutionen von der Nutzung des Kommunikationsnetzes ausschließen. Das RRZ informiert in solchen Fällen die Betroffenen (ggf. mittelbar); in schweren Fällen erfolgt eine schriftliche Benachrichtigung der Institution.
4.2 Maßnahmen bei delegierten Aufgaben
Institutionen, an die Aufgaben vom RRZ delegiert wurden, sorgen durch geeignete Maßnahmen dafür, dass die ihr angehörigen Personen weder die Institution an der Aufgabenerfüllung hindern noch anderweitig gegen die Ziele dieser Net-Policy verstoßen. Die Leitung des RRZ ist bei Verstößen zu informieren.
4.3 Zusammenarbeit mit Strafverfolgungsbehörden
Im Rahmen der gesetzlichen Bestimmungen koordiniert das RRZ in Abstimmung mit dem Rechtsreferat der Universität Hamburg die Zusammenarbeit mit den Strafverfolgungsbehörden. Wird ein Vorfall direkt von einer betroffenen Institution bearbeitet, ist das RRZ zu informieren.
4.4 Einspruchsmöglichkeiten
Bei Meinungsverschiedenheiten über die Ziele, die Prioritäten oder die Aufgaben dieser NetPolicy sowie die sich daraus ergebenden Maßnahmen kann eine angeschlossene Institution Beschwerde bei der Leitung des RRZ einreichen. Die Leitung des RRZ oder der SenA-DV entscheiden über Beschwerden und Sonderregelungen.
Wenn Institutionen der UHH oder ihr nahe stehende Einrichtungen, die noch nicht am Kommunikationsnetz angeschlossen sind, diese Net-Policy nicht anerkennen wollen und ihnen deshalb der Anschluss vom RRZ verweigert wird, können sie hiergegen ebenfalls Beschwerde bei der Leitung des RRZ oder beim SenA-DV einreichen.
Bei nicht auflösbaren Meinungsverschiedenheiten entscheidet der CIO der UHH.
Ausführungsbestimmungen zur Net-Policy der UHH
Einleitung
Auf Grundlage von Nr. 2.3 der Net-Policy vom 19.01.2005 erfolgen mit diesem Papier die ersten Konkretisierungen zur Umsetzung der Richtlinien. Zur Strukturierung dieser Richtlinien werden vier Bereiche unterschieden:
Personal
Es wird davon ausgegangen, dass der IT-Betrieb an der UHH in einer verteilten Form umgesetzt wird. Die zentrale Verantwortung liegt beim RRZ, das Teilaufgaben an Institutionen übertragen kann. Für die Wahrnehmung dieser Teilaufgaben müssen die Institutionen entsprechend qualifiziertes Personal abstellen. Nur so ist es möglich, die hohen Anforderungen an eine sichere IT-Infrastruktur zu erfüllen. Für diese Personen – im Folgenden Administratoren genannt – gilt:
1. Die Administratoren sollten durch die Institutionen dem RRZ benannt werden (offizielle Ansprechpartner).
2. Sie sollten IT-Verantwortungsbereichen in den Institutionen zugeordnet werden (für welche Betriebssysteme, IP-Adressbereiche, Geräteklassen, Dienste zuständig?).
3. Die Administratoren müssen über entsprechende Kenntnisse und Qualifikationen verfügen; eine ständige Fortbildung ist erforderlich.
4. Es besteht die Verpflichtung zur Teilnahme am Informationsaustausch zum Aufgabenbereich (Arbeitstreffen, Verteilerlisten, usw. werden vom RRZ koordiniert).
Endgerätesicherheit
Ziel ist der Betrieb von ausschließlich sicheren Endgeräten am Netz der UHH. Daher sollen Endgeräte ausschließlich durch hierfür qualifizierte Administratoren (s.o.) verwaltet werden (nicht durch Endnutzer).
1. Folgende Verfahren und Mindestanforderungen gelten für stationäre Endgeräte:
a. Betriebssysteme: Es sollten nur Betriebssysteme verwendet werden, die von den jeweiligen Herstellern mit offiziellen (Sicherheits-)“Patches“ versorgt werden. Die Betriebssysteme sollten mit diesen „Patches“ regelmäßig aktualisiert werden.
b. Virenschutz: Es muss grundsätzlich ein aktueller Virenscanner mit automatischer Aktualisierung eingesetzt werden; das RRZ bietet zurzeit eine uniweite Campuslizenz für den Sophos-Virenscanner.
c. Personal Firewall: Die Endgeräte sollten durch eine „personal firewall software“ derart geschützt werden, dass nur vom Administrator explizit freigegebene Dienste und Verbindungen verwendet werden können. Ein minimaler Satz von Filterregeln wird vom RRZ vorgegeben, um Betriebsstörungen durch „personal firewall software“ auszuschließen. Insbesondere müssen ans Netz angeschlossene Rechner auf ICMP-Echo Requests antworten. Es wird empfohlen, die im Betriebssystem integrierten Firewall-Funktionen zu verwenden.
d. IP-Registrierung: Grundsätzlich dürfen nur Geräte am UHH-Netz angeschlossen werden, die beim RRZ oder bei vom RRZ hierfür Beauftragte mit ihren IP- und MAC-Adressen registriert sind.
e. Rechner, die durch Störungen des Netzbetriebs oder andere Vorfälle auffallen, werden gesperrt und müssen von den Administratoren untersucht und repariert werden, bevor sie wieder am Netz der UHH freigeschaltet werden.
2. Die oben genannten Verfahren gelten ebenso für mobile Endgeräte.
3. Der Betrieb von privaten Notebooks am Netz der UHH ist außerhalb der hierfür explizit vorgesehenen Netze nur gestattet, wenn
a. der/die Benutzer/in sich bereit erklärt, den Anordnungen der Administratoren in allen Belangen des IT-Betriebs zu folgen, auch bzw. insbesondere wenn die Sicherheit des IT-Betriebs durch das private Gerät beeinträchtigt werden könnte.
b. Zusätzlich gelten die Regelungen aus „Private Notebooks am Netz der UHH“.
4. Bei der Beschaffung von Endgeräten und Software, die nicht dem Standard entsprechen und Sicherheitsbelange berühren, ist eine Absprache mit dem RRZ erforderlich.
Netzkomponenten
Für den Netzbetrieb gelten die folgenden Regeln:
1. Grundsätzlich dürfen Netzkomponenten nur vom RRZ oder durch vom RRZ beauftragte Administratoren in das Netz der UHH integriert werden.
2. Insbesondere dürfen keinerlei aktive Netzkomponenten zur Einwahl in das Netz der UHH (z.B. WLAN-Access Points, Modem- und ISDN-Geräte, VPN-Geräte) von nicht autorisierten Personen betrieben werden.
3. Sicherheitskomponenten (NAT, Firewall, VPN….) werden auf Antrag vom RRZ bereitgestellt und ggf. betrieben. In Ausnahmefällen kann bei begründetem Antrag eine spezielle Komponente nach Vorgaben/in Absprache mit/des RRZ durch einen Administrator betrieben werden.
4. Bei Beschaffungen von Netzkomponenten durch vom RRZ beauftragte Administratoren ist eine vorherige Absprache/Abstimmung mit dem RRZ dringend empfohlen (Ziel ist es, eine möglichst kostengünstige (Rahmenverträge) und betriebssichere IT-Infrastruktur für die UHH zu schaffen).
Dienste
Der Zugriff auf IT-Ressourcen der UHH darf nur vom RRZ oder durch vom RRZ autorisierte Institutionen freigegeben werden.
-
Insbesondere ist der Betrieb von Netzbasisdiensten (DNS, DHCP, Radius) ausschließlich durch Administratoren und nach Genehmigung durch das RRZ erlaubt.
-
Für die essentiellen Kommunikationsdienste (WWW, E-Mail, FTP, usw.) sollten möglichst zentrale Lösungen angestrebt werden.
Durch dieses Antragsverfahren wird sichergestellt, dass es zu keinen Betriebsstörungen durch unkoordinierte Betriebsmodelle kommt und im Fehlerfall die Zuständigkeiten offen liegen.