EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />
Wegen <strong>der</strong> zweiten Beson<strong>der</strong>heit muss die gängige Firewall-Topologie, die vor allem<br />
zwischen Kunden-Eing<strong>an</strong>g und Personal-Eing<strong>an</strong>g unterscheidet, bei uns doppelt realisiert<br />
werden, nämlich auf zwei inein<strong>an</strong><strong>der</strong>geschachtelten Ebenen. Nur so k<strong>an</strong>n die<br />
universitätsinterne Öffentlichkeit berücksichtigt werden, <strong>der</strong>en Angehörige als Mitglie<strong>der</strong> <strong>der</strong><br />
<strong>Universität</strong> zwar „Personal“ sind, aber gegenüber den meisten Instituten als „Kunden“ gelten<br />
müssen.<br />
Fazit: Diese gen<strong>an</strong>nten Beson<strong>der</strong>heiten machen kosten- und personalintensive<br />
Son<strong>der</strong>maßnahmen zusätzlich zu den gängigen <strong>Sicherheit</strong>s-Konzepten notwendig, die<br />
bek<strong>an</strong>ntlich ihrerseits schon unmodifiziert als außerordentlich aufwändig gelten.<br />
In diesem Sinne wurden im BelWü-AK (L<strong>an</strong>desforschungsnetz in Baden-Württemberg) unter<br />
Mitwirkung von Mitarbeitern des URZ <strong>Sicherheit</strong>sempfehlungen erarbeitet, die wir im<br />
Rahmen eines <strong>Sicherheit</strong>skonzeptes für das HD-Net umgesetzt haben. Dieses Konzept<br />
enthält verschiedene <strong>Sicherheit</strong>sstufen, die mit zunehmen<strong>der</strong> <strong>Sicherheit</strong> aber auch<br />
zunehmende Einschränkungen bei <strong>der</strong> Anbindung <strong>an</strong> das Internet und <strong>der</strong> Bereitstellung von<br />
Diensten (WWW-Server etc.) bedeuten.<br />
Im Wesentlichen sind die im folgenden gen<strong>an</strong>nten Maßnahmen möglich und teilweise schon<br />
rudimentär realisiert:<br />
1. Uni-Firewall für den allgemeinen Datenverkehr<br />
Im allgemeinen werden „interne Firmennetze“ als sogen<strong>an</strong>ntes „Intr<strong>an</strong>et“ durch Firewalls<br />
vom Internet abtrennt und damit gesichert. Beim HD-Net entspräche dies <strong>der</strong> Einführung<br />
einer Uni-Firewall wie in Abb. 1.<br />
6<br />
Internet<br />
Uni-Firewall<br />
HD-Net<br />
Rechner<br />
Abb. 1 Uni-Firewall: Der gesamte ein- (blau) und ausgehende (grün) Datenverkehr wird<br />
am Eing<strong>an</strong>g zum <strong>Universität</strong>snetz (HD-Net) nach vorgegebenen Regeln erlaubt<br />
o<strong>der</strong> verboten<br />
Eine technische Umsetzung existiert bereits, nur wird diese bisl<strong>an</strong>g sehr eingeschränkt<br />
verwendet. Wir empfehlen - insbeson<strong>der</strong>e für von außen neu einkommenden Datenverkehr,