You are here: aktuelles » en » networksecurity
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revision | Next revisionBoth sides next revision | ||
| en:networksecurity [2017-04-11 15:06] – [I. Security policy] Torsten Steinhäuser | en:networksecurity [2017-04-11 16:34] – [II. Sicherheitsprogramm] Torsten Steinhäuser | ||
|---|---|---|---|
| Line 158: | Line 158: | ||
| The rules defined by the security program are implemented by the proper support groups, which also enforce compliance with said rules. Each department names a technical contact, together with the aforementioned administrative coordinators they coordinate specific security measures. The technical contact is responsible for the implementation of these measures in his department. | The rules defined by the security program are implemented by the proper support groups, which also enforce compliance with said rules. Each department names a technical contact, together with the aforementioned administrative coordinators they coordinate specific security measures. The technical contact is responsible for the implementation of these measures in his department. | ||
| - | ====II. | + | ====II. |
| - | Das Sicherheitsprogramm legt im einzelnen fest, welche organisatorischen und technischen Maßnahmen getroffen werden sollen, um die in der Sicherheitspolitik des Instituts vorgegebenen Ziele umzusetzen. Die technischen Details werden durch die im vorstehenden Abschnitt genannten administrativen Koordinatoren und technischen Ansprechpartner erarbeitet und den technischen Entwicklungen laufend angepasst. | + | The security program defines in detail, which organizational and technical measures should be taken, to accomplish the goals defined by the institute' |
| - | Zunächst werden die Aufgabenfelder identifiziert, die vom Sicherheitsprogramm adressiert werden müssen. Die Festlegung der im Netz angebotenen Dienste, die je nach Sicherheitszone variieren können, steht dabei zu Beginn. Damit eng verbunden ist die Regelung, wie unzulässige Netzzugriffe erkannt werden und wie darauf reagiert werden soll. Die Erkennung solcher Zugriffe setzt eine laufende Kontrolle des Netzverhaltens voraus. Hier sind geeignete Mechanismen zu definieren. Weiterhin muss geklärt werden, wie dabei die Datenschutzbestimmungen eingehalten werden und wie die Wirksamkeit der getroffenen Maßnahmen überprüft wird. Die Festlegung von Prioritäten für die Implementierung, eine Abschätzung des Finanz- und Personalbedarfs sowie die Planung für den Schadensfall schließen diesen Teil ab. | + | Firstly, the scopes of duty to be addressed by the security program will be identified. The definition of services provided in the network, which may vary depending on the security zone, marks the beginning. Regulations for detecting and dealing with prohibited network access are tightly interwoven with this. Detecting such accesses requires constant monitoring of network activity. Proper mechanisms are to be defined here. Furthermore, compliance with data privacy and effectiveness of the measures have to be ensured. Defining priorities for implementation, estimation of financial and staff requirements as well as planing for the event of damage concludes this part. |
| - | ==Dienste== | + | ==Services== |
| - | Grundsätzlich sind alle Dienste vorab zu registrieren, die innerhalb des Netzes mit Ausnahme der experimentellen Netzbereiche eingesetzt werden. Im folgenden wird für die sechs Sicherheitszonen festgelegt, welche Dienste dort angeboten werden und welche Kommunikationsschnittstellen zu den anderen Bereichen bestehen. Dabei wird als generelles Prinzip verfolgt, dass keine direkten Zugriffe aus Zonen mit niedrigerem Sicherheitsniveau auf Daten in höheren Zonen möglich sind. Andererseits ist es zulässig, dass Daten von Server aus sicheren Zonen heraus exportiert werden, sofern die betreffenden Daten niedrigeren Schutzanforderungen genügen. | + | All services used inside the network, with the exception of experimental areas, are to be registered preemptively. Following are the definitions, which services are provided in each of the six security areas and which communication interfaces to other areas exist. General rule is, that no direct access from lower security zones to data in higher security zones is possible. Other than that, exporting data from servers in secure zones is permitted, as long as the data in question is suitable for the lower security standards. |
| - | ==· | + | ==Closed Security Zones== |
| - | ==· | + | ==Core area== |
| - | Im Kernbereich sind nur diejenigen Dienste zulässig, die zwingend zum Betrieb der in diesem Bereich angesiedelten Rechner notwendig sind. Die Festlegung im einzelnen erfolgt durch den administrativen Netzkoordinator | + | In the core area, only services that are necessary for the operation of the computers |
| - | ==· | + | ==Public security area== |
| - | Hier sind alle Rechner angesiedelt, | + | Here are all computers which require immediate access to the internet. This includes the following services: |
| - | a) Mail-Server | + | a) Mail Server |
| - | b) Web- und Proxy-Server mit HTTP Protokoll nach innen und außen. Web-Server exportieren Daten ausschließlich in den Kernbereich. | + | b) Web- and proxy-server using HTTP protocol to the inside and outside. Web-server only export data to the core area. |
| - | c) FTP-Server mit FTP-Protokoll. Der Server bietet nur anonymen Zugang bzw. Zugang unter speziellen, lokalen Benutzerkennungen. Unter Institutskennungen ist kein FTP möglich. | + | c) FTP-server using FTP protocol. The server offers anonymous access only, or access via specific, local user accounts. CS accounts can not be used for FTP access. |
| - | d) Login-Server bieten Nutzern mit Institutskennungen die Möglichkeit, | + | d) Login-server offer users with cs accounts to use telnet and FTP services with encrypted password transmission. The login-server offers a special home folder, which allows transfer of data to the core area (see above). |
| - | e) | + | e) Special systems for specific tasks. This includes for example database systems which access network resources. |
| - | ==· | + | ==Differentiated area== |
| - | In diesem Bereich werden nur die Dienste freigegeben | + | In this area, only services registered with the proper coordinators are permitted. The is no unlimited access to the network. Computers with special tasks are discerned from regular work computers via extended |
| - | ==· | + | ==Experimental zone== |
| - | In experimentellen Sicherheitszonen erhalten Nutzer unmittelbaren Zugang zu Netzressourcen. Grundsätzlich ist jeder Rechner, dessen privilegierte Kennungen von Personen genutzt werden, die nicht am Institut angestellt sind, in einem experimentellen Bereich aufzustellen. In solche Bereiche hinein werden nur solche Daten exportiert, die keine besonderen Schutzanforderungen haben. Soweit im Rahmen der experimentellen Arbeiten auch Zugriff auf aktive Netzkomponenten benötigt wird, sind diese durch geeignete Schutzmaßnahmen, | + | In the experimental zones, users have immediate access to network resources. Every computer, whose privileged accounts are to be used by persons not employed by the institute are to be placed |
| + | |||
| + | == Global == | ||
| + | The global area only allows services which transfer user passwords in encrypted form. All computers in the entire institute network are considered belonging to this zone. | ||
| - | ==· | ||
| - | Im gesamten Netz sind ausschließlich nur solche Dienste zulässig, bei denen Passworte für Benutzerkennungen von Institutsangehörigen verschlüsselt übertragen werden. Alle Rechner des Gesamtnetzes sind einer der vorstehenden Sicherheitszonen zuzuordnen. | ||
| ===Zugangsregelungen=== | ===Zugangsregelungen=== | ||