FAQ angående framtida datorpolicy för ISY - Forskningsnät
(tolkning av det som står i förslaget till datorpolicy)


Datornät:

Datorer för anställda vid ISY är anslutna till ISYs datornät bla för att ge vidare access ut på internet. I datorpolicyn beskrivs att anställdas datorer ska kunna anslutas till två olika nätsegment. Ett lågrisknät där tus-gruppen (och ev. ytterligare några personer) har totalansvar för datorerna och ett högrisknät dit datorer som inte administreras av tus-gruppen kan anslutas. Tus-gruppen ska ha ett grundansvar för säkerhet och support på båda näten, men samma säkerhetsnivåerna kan inte garanteras i högrisknätet.
Utöver de föreslagna högrisk- och lågrisknäten finns också Netlogon. Netlogon är avsett i första hand för studenter som behöver internet-access för sina bärbara datorer. Privata (ej LiU-ägda) datorer som gäster och ISYs anställda använder hänvisas till Netlogon.
Hela arbetet med flytt av datorer, automatinistallationer och applikationsservrar beräknas vara klart till sommaren 2006.
(I den rapport som skrivits benämns näten som ett slutet resp ett öppet nät, benämningar som inte är bra och i fortsättningen benämns de högrisk- resp. lågrisknät.)

Hur kommer man att märka att man är på högrisknätet när man sitter på ISY?
Vissa tjänster fungerar inte, exempelvis nfs. I ett första skede är det i stort sett samma sak som dagens forskningsnät. Vilka tjänster som berörs är ännu inte klart.

Hur är säkerheten inom högrisknätet?
Ungefär som säkerheten på nätet hos dina lokala internetleverantör hemma , dvs du vet inte.
I och med att de som sitter på högrisknätet själva administrerar sin dat or och ansvarar för att alla säkerhetspatchar appliceras så kommer högrisknätet att vara lika säkert som lågrisknätet om alla ser till att den egna datorn uppda teras. Om någon inte gör detta så kan andra "drabbas", exempelvis vid datorintr ång.

Kommer ni på något sätt att övervaka datorerna på högrisknätet så att operativsystemet och virusskydden uppdateras eller blir det upp till den som ad ministrerar datorn att hantera den korrekt?
Viss form av övervakning måste ske, men det är svårt att kontrollera att tex. alla patchar är inlagda om man inte har administratörslösenord. Den som ad ministrerar datorn har huvudansvar för att det blir gjort.
Vi kan inte hantera många olika lösenord, utan använder oss av exempelvis windowsdomäner. Ev kan script utvecklas för att hjälpa till i övervakningen, men det kommer inte i ett första steg.
Vi har tänkt att ordna en web-sida med goda råd som bör följas.

Kommer det att gå att logga in med ssh på datorer på högrisknätet från datorer utanför ISY?
Inloggning via tex. ssh.isy.liu.se eller någon annan dator.

Hur ska datorer som administreras av datoransvariga som hör till ett ämnesområde (t.ex. forskningsingenjörer som inte hör till tus) att behandlas?
De forskningsingenjörer som har kunskap om och arbetar mot samma mål och med samma rutiner som tus kan administrera datorer på lågrisknätet under förutsättning att de skriver under det dokument som heter "Användning av dator-, nät- och systemresurser vid Linköpings universitet - ansvar, rättigheter och skyldigheter för systemadministratörer", LiU 666/02-14.

Behöver jag som användare bry mig om vilket nät jag sitter på?
Neej, inte om du inte själv administrerar din dator. Har du valt att administrera datorn själv måste du se till att datorn patchas och att anti-viruspprogramvaran uppdateras (se tex "Åtgärder för ökad IT-säkerhet: Säkerhet för enskilda datorsystem" dnr LiU 1687/02-14 och "Åtgärder för ökad IT-säkerhet: Virusskydd" dnr LiU 1691/02-14 i LiUs regelsamling). Dessutom bör du ha brandväggen i Windows påslagen (om du kör Windows) samt endast i undantagsfall "köra som" systemadministratör på din dator (Windowsanvändare kan använda "run as" för att slippa logga in/ut).

Inköpsrutiner:

I förslaget på datorpolicy rekommenderas att inköpet av datorer begränsas till 2 gånger per termin. Hur gör vi då vi behöver ytterligare en dator?
Det som står i datorpolicyn är en rekommendation för att förenkla och förbilliga hanteringen av datorutrustning. Behövs ytterligare utrustning vid andra tillfällen så måste den givetvis köpas in då den behövs. Men grundförutsättningen är planering och framförhållning för att arbetet ska fungera smidigt.

En PC är inte speciellt dyr, så jag ser ingen anledning till att krångla till det med upphandlingar?
Vi talar inte om upphandling av datorer (en process som tar tid eftersom det bara annonsen måste ligga ute i en eller flera databaser minst tre veckor beroende på upphandlingsform). Vi talar om samordnade inköp, i det här fallet avrop från befintliga ramavtal.
Den största vinsten är inte priset på datorer utan på att vi får enhetliga datorer så att vi kan göra automatinstallationer. Automatinstallationer till enstaka datorer är rätt meninglöst, ger bara en massa jobb. Men en trevlig bieffekt är att oftast får man bättre priser om man gör "storinköp". Med en pris och produktkontroll mot flera leverantörer så pressas priserna.

Om inköpen görs två gånger per termin så måste man köpa in mer datorer än vad som behövs just då. Detta är slöseri med pengar.
Varför då??? Vi behöver inte köpa fler datorer än vi behöver. Med lite planering och framförhållning köper vi in det antal datorer vi behöver. Någon eller några reservdatorer behövs i vilket fall som helst så inte någon står utan vid en exempelvis en diskkrasch.

Laptop:

Hur hanteras bärbara datorer? Får man t.ex. ansluta jobb-laptopen till andra nät (exempelvis hemma och/eller allmänna trådlösa nät vid konferenser etc)?
En svår nöt att knäcka.... Givetvis måste man få ansluta en jobb-laptop till andra nät, det är ju oftast därför man har den. Grundkraven att Windows update körs regelbundet och att antivirus (som uppdateras) finns installerat måste vara uppfyllt. I praktiken får nog laptops sitta på högrisknätet, ev. skapas en egen windowsdomän för laptops som tus administrerar. I ett längre perspektiv kan tex script för att kontrollera patchnivåer utvecklas. Laptops måste klara högrisknätet eftersom de flyttas runt.

Netlogon:

Kan en person som nästan uteslutande använder en privat laptop kunna få ett Netlogon-uttag i sitt rum via Ethernet istället för via WLAN? Det ger högre prestanda än WLAN.
Varför använder inte personen en isy dator?
Ska vi lägga arbete på att sätta upp speciella netlogon-uttag? Det ger mer administration om det är många som vill ha tjänsten. Vi bygger ut trådlöst netlogon så att det finns över hela ISY och med nya accesspunkter som klarar upp till 54MB/s

Vem ser till att det trådlösa nätet är säkert? Att studenter inte kommer åt information de inte ska ha tillgång till? Att personer utanför universitetet inte kommer åt information de inte ska ha?
Det trådlösa nätet är inte säkert, men det är inte övriga netlogon heller.... Nätverken är inte så mycket säkrare för att det är en tråd bitarna går i. Netlogon-uttag finns i korridorerna och vem som helst kan koppla in sig där.
Netlogon drivs av Unit så det är Unit som ansvaret för säkerheten.

Programvaror:

Jag vill kunna installera en del egna programvaror, men för övrigt har jag inget intresse av att vara administratör på min dator. Hur löser man det?
Har du licens på programvaran och om den går att installera som "vanlig" användare är det fritt fram. Behöver en administratör installera programvaran så kontakta någon i tus-gruppen eller motsvarande för hjälp med själva installationen. Ev. hjälp med handhavande kan vi inte ställa upp med om det är en okänd programvara.

Systemadministration:

Det är ingen skillnad om personen som använder datorn är administratör eller inte. Säkerhetshålen är lika stora i alla fall!
Jaa, säkerhetshålen är lika stora, men oftast är skadan mindre om den som använder maskinen inte är administratör då han/hon exempelvis surfar.

Vad är skillnaden mellan en dualboot dator och en dator som inte varit igång på ett tag?
Minimal skillnad. Men kan vi minska antalet datorer som inte är igång på ett tag och säkerhetsuppdateras så kommer vi en bit på väg i säkerhetsarbetet.

Tunna klienter:

Jag ser ingen större skillnad på personalkostnaden på en vanlig dator eller en tunn klient. En vanlig PC uppsatt på rätt sätt ger inget mer arbete.
Inte en PC, men många PC ger mer arbete.
För tunna klienter sätter man upp en eller flera (om det är många tunna klienter) servrar och systemarbete görs på servrarna inte på klienterna. Utöver systemarbetet så är det också en del arbete med hårdvara. Ju fler PC man har desto fler fläktar, hårddiskar, grafikkort osv kan gå sönder. För tunna klineter så kan det hända något med servern och/eller klienten., men mängden hårdvara att underhålla är väsentligt mindre.

Övrigt:

Hur kommer Calendar manager att fungera? Läsbarhet för alla?, PalmPilot synkning.
Än så länge finns en "test" av en web-kalender som verkar fungera bra. Man kan se "publika" noteringar hos alla som använder kalendern. Synkning av PalmPiloter fungerar inte. Kalendern är användbar om man inte behöver synkning av sin Palm. De som vill testa kan höra av sig till Kristina.

Vilken e-posthantering får vi (PC/Windows)? Hur hanteras gamla 'mail-folders'?
Används imap så spelar det inte så stor roll vilken e-post-klient som används.Adressböcker kan bli problem.