UNIVERSITÀ DEGLI STUDI DI FERRARA NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE

Transcript

1 UNIVERSITÀ DEGLI STUDI DI FERRARA NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE Art. 1 - Oggetto e ambito di applicazione...2 Art. 2 - Definizioni...2 Art. 3 - Classificazione dei dati...2 Art. 4 - Classificazione dei soggetti...3 Art. 5 - Classificazione dei luoghi d accesso...3 Art. 6 - Topologia di rete e relativa numerazione...3 Art. 7 - Architettura di sicurezza per accessi senza login e indirizzi pubblici...4 Art. 8 - Architettura sistema accessi con login...5 Art. 9 - Servizi di rete disponibili...6 Art Modalità generali di accesso...6 Art Assegnazione di indirizzi IP e di domini...7 Art Organizzazione degli indirizzi...8 Art Server di rete Internet...8 Art Server di rete intranet...9 Art Filtri sui router intranet...9 Art Filtri sul router di bordo...10 Art Monitoraggio e controllo...10 Art Servizi...10 Art Fase preparatoria...11 Art Fase di attuazione...11 Art Fase di verifica...11 Art Rilevazione e gestione degli incidenti per la sicurezza...11 Art Sanzioni...12 Art Modalità di revisione

2 Art. 1 - Oggetto e ambito di applicazione Il presente documento, di seguito indicato con il termine Norme di attuazione, contiene la descrizione dell'architettura di sicurezza dei servizi di rete di Ateneo e le norme tecniche per l'attuazione del Regolamento di accesso ai servizi di rete dell'ateneo di Ferrara, di seguito indicato con il termine Regolamento, e ha quindi lo stesso ambito di applicazione. Art. 2 - Definizioni Si definiscono, per gli scopi del presente regolamento, i seguenti elementi di rete: Client: un host che utilizza un servizio di rete. Host: un computer connesso alla rete. Applicazioni ad alto impatto sulla rete: programmi che richiedano una significativa disponibilità di banda sulla dorsale di Ateneo (es. videoconferenza su IP, multimedialità, realtà virtuale, etc.). Dispositivo di rete: router, switch, hub, convertitori elettro-ottici, modem, access point wireless o qualunque apparecchiatura che permetta di estendere la rete di Ateneo. Internet: l'insieme mondiale di tutte le reti interconnesse tra di loro. Internet è per definizione untrusted e nell'ambito delle Norme di attuazione coincide con tutte le reti diverse da quelle dell Ateneo. Indirizzi pubblici: l'insieme di tutti gli indirizzi pubblici registrati al NIC: /20, /24, /24, 2001:0760:0204::/48. Accesso con login: l accesso alla rete di Ateneo o a suoi servizi mediante una coppia di credenziali composta da username e password. Accesso senza login: l accesso alla rete di Ateneo senza credenziali Intranet: la rete di trasmissione dati che interconnette tutti gli insediamenti dell'ateneo con piano di numerazione privato /8 per gli accessi senza login e /8 per gli accessi con login. Rete di backbone: l insieme delle infrastrutture di rete, composto da dispositivi di rete, fibre ottiche, cavi, collegamenti diretti numerici, xdsl, in grado di interconnettere sia a livello fisico che a livello di rete tutti gli insediamenti presenti nell Ateneo. Router intranet : un dispositivo con funzioni di routing per l interconnessione intranet tra tutti gli insediamenti dell Ateneo mediante la rete di backbone. Router di bordo: router e in generale un sistema di interconnessione tra la rete intranet e Internet. Rete di Ateneo: l insieme di tutti le reti e i dispositivi descritti nelle Norme di attuazione. Server Internet: un Server di rete accessibile da Internet. Server intranet : un Server di rete visibile solo all'interno della rete intranet. Art. 3 - Classificazione dei dati Si definiscono, per gli scopi del presente regolamento, le seguenti tipologie di dati: dati personali: tutte le informazioni che riguardano la persona, sia strutturati che studenti dell'ateneo; in particolare ogni messaggio di posta elettronica contenente informazioni riguardanti il mittente e il destinatario (nome, indirizzo IP, ora dell'invio del messaggio); 2

3 dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; dati scientifici: le informazioni riguardanti l'attività didattica e di ricerca dell'ateneo; dati amministrativi: informazioni e comunicazioni riguardanti l'amministrazione dell'ateneo per il conseguimento dei propri fini istituzionali; dati riservati: dati amministrativi a uso interno o coperti dal segreto d'ufficio; dati critici: le informazioni, le applicazioni informatiche o i sistemi operativi relativi agli host fornitori di servizi di rete e a quelli che possono compromettere significativamente la sicurezza della rete di Ateneo. Art. 4 - Classificazione dei soggetti Si rimanda all Art. 2 del Regolamento di accesso ai servizi di rete per la classificazione dei soggetti. Art. 5 - Classificazione dei luoghi d accesso Si definiscono, per gli scopi delle presenti Norme di attuazione, i seguenti luoghi di accesso: Uffici e studi: luoghi riservati al personale strutturato dell'ateneo ed eventualmente a collaboratori temporanei; Laboratori didattici: luoghi dedicati alle esercitazioni didattiche; Laboratori di ricerca: luoghi dedicati all'attività di ricerca; Biblioteche: luoghi di consultazione di materiale librario, cartaceo o digitale; Spazi comuni: luoghi di passaggio o di incontro dove siano installati terminali di accesso ai servizi di rete. Art. 6 - Topologia di rete e relativa numerazione La rete di backbone dell Ateneo connette le sedi universitarie distribuite in ambito metropolitano, tramite un doppio anello in fibra ottica. Il doppio anello ha connessioni fornite con fibra monomodale spenta, che vengono accesi da dispositivi di rete gestiti dal CDT. Dei due anelli ne viene acceso uno solo, con velocità pari a 1Gbps. L anello viene gestito dai dispositivi di rete mediante il protocollo spanning tree per evitare loop di instradamento. L anello non acceso viene tenuto come backup e i suoi segmenti sono utilizzati solo in caso di malfunzionamento dei segmenti utilizzati normalmente. La rete di backbone viene utilizzata sia per la trasmissione dati che per la fonia. Tutti i centralini di Ateneo sono dotati di schede Voice over IP e utilizzano la rete di backbone sia per instradare le chiamate interne che per ottimizzare l accesso alla rete telefonica pubblica. I centralini telefonici sono gestiti dall Ufficio Tecnico dell Ateneo. A ogni sede, identificata da un numero progressivo (N) e da nome di riferimento composto dalla via più il numero civico, compete uno spazio di indirizzamento intranet per accesso senza login su rete 10.A.0.0/12, con A = 16 x N, fornendo localmente uno spazio di indirizzamento pari a 20 bit. Viene inoltre assegnato per usi futuri uno spazio di indirizzamento IPv6 sulla rete 2001:0760:0204:Z::/60, con Z uguale ad A, ma espresso in esadecimale. I meccanismi per la sicurezza della rete con accesso 3

4 senza login sono riportati nell Art. 7. La topologia e i piani di numerazione della rete con accesso con login sono riportati nell Art. 8. Le attuali 11 sedi sono dislocate secondo lo schema seguente: 1. Saragat1 - Polo Tecnologico, Via Saragat 1, /12, da sino a , 2001:0760:0204:0010::/60; 2. ErcoleDEste32 - Palazzo del Bagno, C.so Ercole I D Este 32, /12, da sino a , 2001:0760:0204:0020::/60; 3. ErcoleDeste37 - Giurisprudenza, C.so Ercole I D Este 37, /12, da sino a , 2001:0760:0204:0030::/60; 4. Gregorio13 - Economia, Via Gregorio 13, /12, da sino a ; 2001:0760:0204:0040::/60; 5. Machiavelli35 - Matematica, Via Macchiavelli 35, /12, da sino a , 2001:0760:0204:0050::/60; 6. Mortara64b - Vecchi e Nuovi Istituti Biologici, Farmacia, Biblioteca S.M delle Grazie e Cliniche, Via Fossato di Mortara 64b, /12, da sino a , 2001:0760:0204:0060::/60; 7. Mortara74 - Ex Macello, Via Fossato di Mortara 74, /12, da sino a , 2001:0760:0204:0070::/60; 8. Muratori9 - Palazzo Manfredini, Via Muratori 9, /12, da sino a , 2001:0760:0204:0080::/60; 9. Savonarola9 - Rettorato, Savonarola 9, /12, da sino a , 2001:0760:0204:0090::/60; 10. Paradiso12 - Fisica, Via Paradiso 12, /12, da sino a , 2001:0760:0204:00A0::/60; 11. Quartieri8 - Architettura, Via Quartieri 8, /12, da sino a , 2001:0760:0204:00B0::/60; Il CDT ha a disposizione lo spazio di indirizzamento intranet /12 (da sino a ) per realizzare il controllo e il monitoraggio di tutti gli apparati di rete. Art. 7 - Architettura di sicurezza per accessi senza login e indirizzi pubblici L accesso senza login alla rete di Ateneo è permesso solo all interno di locali ad accesso non libero, in particolare: Uffici e Studi, Laboratori di ricerca e Biblioteche. Possono accedere senza login solo gli utenti strutturati e non strutturati, mentre tale accesso è vietato agli studenti. L accesso senza login prevede un meccanismo di sicurezza a livello di rete che viene descritto in dettaglio nel seguito di questo Articolo. L accesso senza login prevede: l interconnessione a Internet mediante la conversione degli indirizzi IP sorgenti intranet nello spazio di indirizzamento degli indirizzi pubblici. Tale conversione, detta Network Address Translation (NAT), è un servizio realizzato dal CDT sul router di bordo, che è direttamente collegato a Internet. Una scelta oculata della durata dell associazione tra indirizzo intranet e Internet, creata in modo da mantenere continuità di connessione sulle applicazioni e contemporaneamente minimizzare il rischio di attacco dall esterno. Un meccanismo di assegnazione degli indirizzi pubblici a rotazione. 4

5 Un meccanismo di assegnazione degli indirizzi pubblici che può prevedere l associazione di più indirizzi intranet allo stesso indirizzo Internet, utilizzando la mappatura anche della porta applicativa sorgente secondo le tecniche denominate NAT con Overload (o PAT). Un meccanismo di assegnazione permanente di alcuni indirizzi intranet verso alcuni indirizzi pubblici e viceversa per i server, verificata la sicurezza di tali macchine secondo i requisiti specificati nell Art. 13. La memorizzazione di ogni traslazione intranet-internet effettuata da parte del CDT, in modo da poter risalire al mittente e responsabile della comunicazione. L implementazione di meccanismi di filtraggio dei pacchetti intranet realizzati tramite access list configurate sul router di bordo e sui dispositivi di rete degli 11 insediamenti. La chiusura di tutte le comunicazioni provenienti dall esterno, a condizione che non siano dirette verso un particolare servizio autorizzato di un server autorizzato, secondo i requisiti specificati nell Art.13. L apertura delle comunicazioni da Internet a intranet per uno specifico Client solo in corrispondenza di una simmetrica comunicazione realizzata da intranet verso Internet, lasciando a quest ultima il ruolo guida di aprire la comunicazione dall esterno. Lasciando la possibilità di effettuare comunicazioni da Internet verso un Client intranet per un tempo atto a garantire la continuità dell applicazione, a non caricare eccessivamente il router di bordo e a garantire che non si possa effettuare un attacco dall esterno. La traslazione di indirizzi avviene cercando di mantenere l attribuzione originaria degli indirizzi Internet alle varie strutture, secondo lo schema sotto riportato: La traslazione di indirizzi avviene cercando di mantenere l attribuzione originaria degli indirizzi Internet alle varie strutture, secondo lo schema sotto riportato: /24, sede Saragat1 Polo Tecnologico /24, sede ErcoleDEste32 Palazzo di Bagno /24, sede ErcoleDEste37 - Giurisprudenza /24, sede Gregorio13 - Economia /24, sede Machiavelli35 - Matematica /24, sede Mortara64b Polo Biologico, Biblioteca S.M. delle Grazie /24, sede Mortara64b - Cliniche /24, sede Mortara74 Ex Macello /27, sede Muratori9 Palazzo Manfredini /24, sede Savonarola9 - Rettorato /24, sede Paradiso12 - Fisica /24, sede Quartieri8 - Architettura Art. 8 - Architettura sistema accessi con login L accesso con login alla rete di Ateneo è permesso all interno di tutte le strutture dell Ateneo. Possono accedere mediante l accesso con login gli utenti e studenti di cui all art. 4 in possesso di codice e password rilasciata dal CDT. Il sistema di accesso con login, sviluppato dal CDT inizialmente per il sistema wireless denominato WIFE, prevede che ogni comunicazione avvenga nello spazio di indirizzamento /8 e sia 5

6 veicolata da un tunnel in grado di incapsulare i pacchetti, in modo protetto o non protetto, a seconda delle disponibilità hardware. Tutti i tunnel sono terminati presso il CDT che provvede, previa una fase di autenticazione, a consentire l accesso all utente verso intranet e Internet. L accesso a Internet viene effettuato mediante una conversione degli indirizzi con tecnica NAT. Il traffico della rete con accesso con login è sempre mantenuto separato da quello della rete con accesso senza login. L autenticazione viene eseguita mediante la ridirezione verso un apposita pagina Web di autenticazione indipendentemente dalla richiesta Web effettuata. L autenticazione avviene utilizzando lo username e la password utilizzate per accedere alla posta elettronica di Ateneo e rilasciati dal CDT. Gli indirizzi vengono assegnati dinamicamente da un sistema DHCP e variano a ogni connessione. Presso il CDT viene mantenuta traccia sia dell associazione tra utente e indirizzo dinamico assegnato, che di tutte le attività verso Internet mediante la memorizzazione delle conversioni NAT. Il sistema consente una elevata mobilità dell utente, garantendo accesso in ogni struttura e garantendo la continuità della comunicazione al variare dei punti di accesso wireless e cablati. All atto dell autenticazione solo un ristretto numero di servizi vengono resi disponibili. L installazione di accessi wireless in qualsiasi punto della rete deve essere fatta con le modalità di questo articolo. Art. 9 - Servizi di rete disponibili I servizi disponibili sulla rete di backbone dell'ateneo sono quelli specifici della suite di protocolli TCP/IP. Per sopravvenute esigenze di sicurezza o di necessità, alcuni servizi possono essere soppressi. Altre suite di protocolli di comunicazione devono essere mantenute all'interno delle LAN interessate o incapsulate in TCP/IP. Per applicazioni ad alto impatto di rete è necessaria l'autorizzazione del CDT. Art Modalità generali di accesso Gli studenti hanno diritto di accedere alle risorse telematiche disponibili tramite il meccanismo con autenticazione descritto nell Art. 8. La password per l accesso viene fornita agli studenti direttamente all atto dell iscrizione e ha validità per il corso degli studi. Gli studenti non possono per alcun motivo utilizzare la procedura di accesso alla rete di Ateneo senza login descritta dall Art. 7. Gli utenti strutturati e non strutturati hanno diritto di accedere ai servizi di rete sia senza login così come definito dall Art. 7 che con login così come definito all Art. 8. L accesso nativo alla rete consentito dall Art. 7 si consegue effettuando una richiesta all Amministratore di rete della propria struttura. In caso di richiesta l Amministratore di rete provvede a verificare che l utente abbia preso conoscenza del Regolamento e delle Norme di attuazione. L utente richiedente, dichiarato di aver preso visione e di accettare quanto previsto dal Regolamento e dalle Norme di attuazione, manifesta all Amministratore di rete la sua volontà di volere essere connesso alla rete di Ateneo e gli comunica l indirizzo MAC del Client. L Amministratore provvede all inserimento nel database centrale dei dati identificativi del Client (indirizzo MAC e altre caratteristiche utili) e del nome del richiedente, che da questo momento è a 6

7 tutti gli effetti responsabile per il traffico generato dal Client stesso. L amministratore di rete provvede a comunicare al richiedente l avvenuta configurazione dei dispositivi di rete per ammettere la connessione del nuovo Client. E inoltre predisposta dal CDT una procedura automatica per la registrazione dei dati identificativi del Client, utilizzabile direttamente dall utente. Questa procedura prevede: l autenticazione dell utente tramite il sistema di verifica delle credenziali per l accesso ai servizi di Ateneo, l accettazione da parte dell utente del regolamento e delle norme per l accesso ai servizi di rete. Art Assegnazione di indirizzi IP e di domini L'assegnazione degli indirizzi IP per la rete con accesso senza login avviene da parte dell Amministratore di rete, che opera direttamente sul database di Ateneo, indicando per ogni Client l indirizzo IP assegnato, l indirizzo MAC e il nome dell utente richiedente e responsabile del traffico generato da quel Client. Tutti gli indirizzi assegnati vengono erogati da un sistema DHCP centralizzato, in cui l indirizzo da associare viene determinato sulla base dell indirizzo MAC ed eventualmente della posizione in cui l host si trova all interno dell Ateneo. Le associazioni MAC indirizzo IP sono memorizzare in un database accessibile solo agli Amministratori di rete. Il sistema DHCP implementato non prevede l attribuzione di indirizzi dinamici per accedere ai servizi di rete, che invece è attiva sul sistema di accesso con login. Unica eccezione è nella procedura di registrazione automatica, nella quale viene fornito un indirizzo dinamico, con l unico scopo di poter accedere al sistema di autenticazione e senza possibilità di effettuare altre tipologie di traffico o accessi. E facoltà degli Amministratori di rete effettuare controllo sugli indirizzi MAC nei vari dispositivi di rete presenti, bloccando tutte le comunicazioni provenienti da Client non registrati. E vietato assegnare a un host un indirizzo IP senza averlo richiesto all Amministratore di rete e senza aver utilizzato la procedura per ottenere l indirizzo in modo automatico dal sistema centralizzato di DHCP Tutti i Client hanno un nome unico a livello di Ateneo e sono registrati in automatico sul sistema di risoluzione dei nomi, sia per la risoluzione diretta che per quella inversa. In caso di omonimia per il secondo richiedente verrà formulata una diversa definizione del nome. Ogni richiesta di attivazione di dominio di terzo livello (per unife.it) deve essere effettuata da uno strutturato e deve essere controfirmata dal Responsabile della struttura. La richiesta di dominio deve essere indirizzata al CDCDT indicando le motivazioni della richiesta, la durata presunta di utilizzo del dominio (eventualmente anche a tempo illimitato) e il nome dello strutturato richiedente che deve dichiarare di assumersi la responsabilità del dominio richiesto. Il CDCDT o una sua Commissione può non accogliere la richiesta, motivando la decisione. E' fatto divieto alle strutture di intraprendere autonomamente procedure di richiesta alle autorità internazionali di ulteriori numerazioni o domini senza l'autorizzazione del CDCDT. La registrazione di nuovi domini è regolata dalle norme emanate dal GARR-NIC. Le norme sono consultabili all'indirizzo: 7

8 Art Organizzazione degli indirizzi Ognuno degli insediamenti della rete metropolitana ha a disposizione 20 bit per effettuare l indirizzamento delle varie strutture afferenti. Lo spazio di indirizzamento viene quindi gestito tramite la realizzazione di 16 reti di classe B date in gestione ai relativi Amministratori di rete. A ognuna delle reti di classe B citate è abbinata, per usi futuri, una rete IPv6 del tipo 2001:0760:0204:K::/64, con K = Z + n, dove Z rappresenta il numero distintivo delle Sede (Art. 6) ed n è compreso tra 0 ed f (0 e 15 in decimale). Il criterio di definizione di ognuna delle classi B è legato alla topologia di connessione della LAN e alla afferenza di diverse strutture allo stesso punto di interconnessione. La suddivisione dello spazio di indirizzamento è mantenuta aggiornata e accessibile a tutti sull indirizzo Ogni singola rete di classe B, di tipo 10.A.X.Y/16, deve prevedere: tutti i dispositivi di rete collocati nello spazio 10.A.0.Y; il default gateway deve essere 10.A.0.1; tutti i server accessibili da Internet con NAT statico devono essere nello spazio 10.A.1.Y; la numerazione 10.A.255.Y è riservata a meccanismi di supporto alla configurazione; la numerazione 10.A.254.Y è riservata all infrastruttura per i servizi wireless; la numerazione 10.A.253.Y è riservata ad apparati gestiti dal CDT; tutto lo spazio restante viene gestito e organizzato a totale discrezione dell Amministrazione di rete. Art Server di rete Internet I server devono essere autorizzati dal CDCDT previa richiesta effettuata da uno strutturato e controfirmata dal Responsabile della struttura. La richiesta deve essere indirizzata al CDCDT indicando i parametri di funzionamento, la durata presunta di funzionamento del server e il nome dello strutturato richiedente che deve dichiarare di assumersi la responsabilità del funzionamento del Server. Il CDCDT o una sua commissione può non accogliere la richiesta, motivando la decisione. La richiesta deve contenere: le specifiche del sistema operativo e le metodologie con cui verranno effettuati sia gli aggiornamenti del sistema operativo che dell eventuale software applicativo; l identificazione precisa dei servizi di rete che si intendono offrire, indicando le porte TCP e UDP di cui si richiede l apertura verso Internet; il nome delle persone che hanno accesso privilegiato al sistema e le modalità con cui avviene l accesso; l adozione di una adeguata e rigorosa normativa di gestione delle password di accesso; la configurazione dei meccanismi di logging, in particolare per gli accessi e i servizi, con un meccanismo di mantenimento delle informazioni di logging per un periodo di tempo non inferiore a 6 mesi; un meccanismo di accesso alle informazioni di logging da parte del personale del CDT; la protezione contro virus informatici e da accessi fisici incontrollati. 8

9 Art Server di rete intranet I Server intranet non richiedono l autorizzazione del CDCDT. È comunque facoltà del CDT chiedere l immediata chiusura di qualunque Server intranet contattando il responsabile qualora si venga a verificare una qualsiasi violazione del regolamento. Art Filtri sui router intranet I router intranet costruiscono la topologia di interconnessione a partire dall anello mediante un meccanismo di spanning tree che prevede come root il dispositivo collegato al CDT. I router intranet gestiscono l instradamento mediante protocollo OSPF. Le singole porte dei router intranet non hanno di norma nessuna access list relativa ai protocolli, mentre prevedono di bloccare tutti i pacchetti che hanno un indirizzo sorgente che non appartiene alla classe B di origine. Opzionalmente è possibile configurare il blocco di tutti i pacchetti che hanno un indirizzo MAC non registrato nel sistema. Questa opzione sarà attivata ogniqualvolta l hardware presente lo consenta. 9

10 Art Filtri sul router di bordo Le regole di filtraggio sul router di bordo sono le seguenti: nessun pacchetto è ammesso in ingresso a condizione che non vi sia una corrispondente comunicazione in uscita oppure che non sia esplicitamente ammesso in quanto indirizzato a un Server ; i servizi, IP, TCP e UDP indirizzati a un Server devono essere esplicitamente richiesti e autorizzati; in tutti i casi non sono ammesse come destinatarie le porte specificate sul sito e periodicamente aggiornate in funzione delle esigenze; La porta 25/TCP per il servizio smtp è aperta in uscita solo per i Server di posta autorizzati. Non è quindi possibile da proprio Client inviare direttamente una senza usufruire del servizio offerto dagli opportuni Server di posta. Sono ammesse deroghe alle regole di filtro purché opportunamente documentate e approvate dal CDCDT o da una sua Commissione. Le informazioni relative alle connessioni da e per Internet (tipo della connessione, mittente e destinatario) vengono registrate e conservate su apposito supporto per almeno 12 mesi, presso il CDT. Art Monitoraggio e controllo Il CDT provvede al monitoraggio di tutti i pacchetti uscenti ed entranti dal router di bordo, memorizzando l indirizzo IP intranet e Internet sorgente e l indirizzo IP destinatario, in modo da poter risalire al sorgente della comunicazione. La memorizzazione di tali dati viene mantenuta per 12 mesi presso le strutture informatiche del CDT ed è disponibile per la consultazione da parte del CDCDT tramite opportune interfacce definite dal personale del CDT. Questo monitoraggio deve consentire l identificazione di ogni originario di ogni comunicazione, indipendentemente che sia stata effettuata sulla rete con accesso con o senza login. Solo i router ufficiali possono avere attivati i servizi di routing. L'installazione di router deve armonizzarsi con le strategie adottate dal CDT e devono essere monitorabili tramite protocolli SNMP. Art Servizi Il Server ufficiale di posta elettronica è installato al CDT: ogni utente strutturato e non strutturato è generalmente reperibile all'indirizzo nome.cognome@unife.it, mentre gli studenti sono reperibili all indirizzo cognome.nome@student.unife.it; ulteriori possibili indirizzi di posta elettronica sono riportati nel portale dell Ateneo. E possibile installare ulteriori Server di posta presso le strutture dell Ateneo con le specifiche tipiche dei Server riportate nell Art. 13. I Server di posta devono avere adeguati meccanismi di sicurezza, in particolare antispamming ed evitare il mail-relay per host esterni alla rete dell Ateneo. Ogni messaggio di posta elettronica viene considerato personale ed è vietata ogni intercettazione non autorizzata, fatte salve esigenze specifiche del CDCDT. La trasmissione non cifrata di informazioni personali o sensibili a mezzo di posta elettronica è subordinata all'accettazione da parte del mittente della loro vulnerabilità. 10

11 Il sito ufficiale Web dell'ateneo è e viene gestito dal CDT e dal CSI ognuno per le pagine di competenza. E possibile installare ulteriori Server Web a cura delle varie strutture, con le specifiche tipiche dei Server riportate nell Art. 13. I Server Web non devono coinvolgere attività commerciali, attività a scopo di lucro o private e non devono costituire potenziale fonte di rischio informatico o compromettere l immagine dell'ateneo. Le connessioni in chiaro entranti da Internet sono consentite solo in fase transitoria, limitatamente ai soli servizi ftp, telnet, pop3 e imap. Gradualmente i protocolli non cifrati dovranno essere sostituiti a favore di quelli cifrati. Art Fase preparatoria Tutte le strutture che accedano ai servizi di rete devono comunicare al CDCDT le informazioni relative ai servizi Internet e intranet erogati alla data di emanazione del Regolamento, secondo le modalità previste da queste Norme di attuazione. Contestualmente verranno attivati i sistemi di comunicazione per gli Amministratori di sistema e di rete, creando un unica lista denominata netadmin@unife.it. Nella fase preparatoria verrà effettuato un censimento dei vari servizi di rete e delle connessioni alla rete con accesso senza login, riempiendo il database di ateneo. Tutte le informazioni relative alla rete verranno raccolte nel sito Tali strumenti di comunicazione vengono considerati primari e ufficiali per il coordinamento tra gli Amministratori di sistema e di rete e il CDCDT. Art Fase di attuazione Ogni Amministratore deve provvedere alla corretta configurazione dei servizi erogati, con l'adozione dei criteri di sicurezza previsti dalle Norme di attuazione e dal Regolamento. Art Fase di verifica Gli Amministratori di sistema dovranno trasmettere annualmente al CDCDT una relazione riepilogativa contenente tutte le informazioni organizzative e tecniche dei dispositivi e dei servizi di rete erogati. Il CDT su richiesta e/o autorizzazione del CDCDT può effettuare in qualsiasi momento operazioni di censimento, monitoraggio e verifica dei servizi di rete erogati dall'ateneo, anche attraverso scansioni automatiche non invasive su tutti i dispositivi connessi alla rete. Art Rilevazione e gestione degli incidenti per la sicurezza E' compito degli Amministratori di rete e di sistema predisporre meccanismi tecnici e organizzativi per il monitoraggio periodico, anche quotidiano, dei servizi di rete. In caso di rilevazione di incidente, il CDCDT e il Responsabile della struttura devono essere avvisati tempestivamente; a loro volta informeranno il Rettore e le altre strutture potenzialmente coinvolte e predisporranno le contromisure necessarie. Gli Amministratori devono provvedere nel più breve tempo possibile al ripristino del servizio a meno che, di comune accordo con il CDCDT e con il Responsabile di struttura, non si decida 11

12 prioritariamente di individuare la causa dell'incidente interrompendo temporaneamente il servizio stesso. L'Amministratore di sistema deve salvare i file modificati prima del loro ripristino e comunque mantenere adeguatamente le informazioni utili per la descrizione dell'incidente. Art Sanzioni Il mancato rispetto delle Norme di attuazione e del Regolamento comporterà per i trasgressori la temporanea sospensione dei servizi di rete. Se la situazione di conflitto generata dalla non osservanza delle Norme di attuazione e del Regolamento persisterà per tempi ritenuti non giustificati a giudizio del CDCDT, si provvederà a darne opportuna comunicazione al Rettore. Qualora il conflitto generato dalla non osservanza delle Norme di attuazione e del Regolamento abbia ripercussioni esterne o possa comportare anche sanzioni civili e/o penali da parte delle Autorità competenti, l'ateneo si riserva di adottare tutte le misure previste dalla legislazione vigente per l'individuazione delle responsabilità. Art Modalità di revisione Le Norme di attuazione possono essere modificate dal CDCDT. I Responsabili di struttura verranno in tal caso avvisati con ragionevole preavviso, affinché possano predisporre le eventuali variazioni necessarie per l'accesso ai servizi. Le Norme di attuazione entreranno in vigore trascorsi 30 giorni dalla data di comunicazione delle variazioni apportate. 12