ISEWIS

Forschungsprojekt P 14029ISEWIS - Integrierte Sicherheit für unternehmensweite InformationssystemeRoland WAGNER08.05.2000 Viele der heutigen Unternehmen verwalten Ihre Daten in unterschiedlichen Informationssystemen auf verschiedenen Plattenformen. Jede Organisationseinheit verfügt oftmals über eigene Informationssysteme, ein Zustand, der zu einer großen Anzahl von isolierten Anwendungen innerhalb eines Unternehmens führt. Die meisten der Informationssysteme verfügen über proprietäre Sicherheitssysteme welche bestimmte Sicherheitskonzepte unterstützen und dafür ihre eigenen Sicherheitsinformationen verwalten. Die Folge daraus ist, daß Sicherheitsinformationen eines Unternehmens über eine große Zahl von Anwendungen und Informationssystemen verstreut sind und sich dadurch eine verteilte und heterogene Sicherheitsinfrastruktur ergibt. Da isolierte Sicherheitslösungen nur sehr schwierig zu warteten sind, ist die Entwicklung einer integrierten Sicherheitsinfrastruktur notwendig, welche es erlaubt, daß Sicherheitskonzepte und Sicherheitsinformationen (die Sicherheitspolitik) global für ein ganzes Unternehmen spezifiziert werden. Durch eine entsprechende Abbildung der Sicherheitspolitik von lokalen Informationssystemen kommt es zur integrierten Sicherheit für unternehmensweite Informationssysteme (ISEWIS). Folgende Funktionalitäten müssen unterstützt werden: *zentrale Überwachung von Sicherheitsinformationen: ermöglicht die zentrale Überwachung der gesamten in einem Unternehmen verfügbaren Sicherheitsinformationen. * zentrale Verwaltung von Sicherheitsinformationen: stellt eine homogene Schnittstelle zur Verwaltung von verteilten und heterogenen Sicherheitssystemen zur Verfügung. * unternehmensweite Sicherheitspolitik: ermöglicht die Definition einer globalen Sicherheitspolitik welche sowohl unternehmensweiten wie auch lokale Sicherheitskonzepte und Sicherheitsinformationen integriert. * unternehmensweites Sicherheitssystem: stellt Sicherheitsmechanismen wie Authentifizierung, Autorisierung und Zugriffskontrolle, Protokollieren, Verschlüsselung etc. auf einer globalen, unternehmensweiten Ebene zur Verfügung. * anwendungsspezifische Sicherheitspolitik: erlaubt die Definition von anwendungsspezifische Sicherheitskonzepten und Sicherheitsinformationen. * anwendungsspezifische Sicherheitssysteme: ermög1icht einer Anwendungen die Benutzung der globalen Sicherheitsmechanismen zur Umsetzung der eigenen Sicherheitspolitik im Einklang mit der unternehmensweiten Sicherheitspolitik.