Verwechseln Sie bitte nicht das Dabeisein mit dem Erleben! ProdukteService | ... können wir auch machenPhilosophie | ...deshalb macht man es mit unsProfil | ...macht eben den Unterschied
Die meisten Menschen verwechseln das Dabeisein mit dem Erleben!
_home /_Produktportfolio /_2intra.net /_Sicherheitskonzept
Das Sicherheitskonzept Sicherheitskonzept | sollte vorhanden sein

Sicherheit ist ein Kostenfaktor, der in der IT stets unterschätzt und gerne vergessen wird. Bis es einmal zu Schäden und Ausfällen gekommen ist, die auf mangelnde Sicherheit zurückzuführen waren und man feststellt: "Ach... hätten wir damals die Sicherheitsvorschläge ernst genommen und Geld dafür bereitgestellt, dann wäre uns das nicht passiert". Nun, dann ist es eben zu spät!

Viele Menschen meinen unter Sicherheit versteht man lediglich, die Zugriffsbeschränkung auf Daten. Doch das ist lediglich nur ein Aspekt bei diesem umfangreichen Thema in der heutigen IT Welt.

Sicherheit ist immer ein Kompromiss zwischen finanziellem & zeitlichem Aufwand, Anwenderfreundlichkeit und Schnelligkeit der Anwendung und setzt sich meist aus folgenden Bereichen zusammen.

Der Zugriffsauthentifizierung (Wer darf wann, wie, von wo, womit auf was wie oft zugreifen?), der Sicherheit der Übertragungswege (Wurde z.B. verschlüsselt mit SSL kommuniziert oder nicht? Welches Protokoll wurde verwendet? Wurde die Übertragung getunnelt?....), der Sicherheit der Hardware die eingesetzt wird (Ausfall, Instabilität aufgrund von billigen Komponenten, veraltete Firmware, falsch konfiguriert...) sowie der Sicherheit der Daten vor (Wo und in welchem Format werden die Daten gespeichert? Sind diese verschlüsselt? Gibt eine Zugriffsauthentifizierung & Protokollierung? Gibt es ein Backup?), während (Was passiert wenn ein Fehler eintritt? Was passiert beim Stromausfall? Was passiert bei einem Benutzerfehler? Gibt es Dateninkonsistenz? Muss synchronisiert werden?.....) und nach der Bearbeitung (Gehen Daten verloren? Werden diese auch wirklich gelöscht, geändert bzw. gespeichert? Gab es ein Änderungslogbuch? Wer hat was wann gemacht?....) immer im Zusammenspiel mit den bereits installierten und betriebenen anderen Softwarekomponenten (Welche Version ist das Betriebssystem, ein Treiber o.ä.? Gibt es Zugriffs- oder Rechtekonflikte zwischen einzelnen Programmen?...).

Doch der größte Teil der Verantwortung im Bezug auf Sicherheit liegt bei den Anwendern selbst. Diese können aufgrund Ihrer Leichtsinnigkeit, Nachlässigkeit oder mangels Wissen die größten Schäden verursachen (Frei- / Unfreiwillige Bekanntgabe von Zugangsdaten. Verwendung von zu kurzen und einfachen Passwörtern. Zu lange Verwendung von gleichen Passwörtern. Fahrlässiges infizieren durch Viren, Trojanische Pferde. Sicherheitslöcher in anderen verwendeten Komponenten wie Handy, PDA & Co. Hinterlassen der Zugangsdaten auf öffentlichen Rechnern beim externen Anmelden vom Internetcafe aus. usw..). Die Programmierer sind aus zeitlichen, finanziellen und physikalischen Gründen meist nicht in der Lage jede nur erdenkliche Konstellation die ein Anwender verursachen oder falsch machen kann abzufangen bzw. vorauszusehen!

Um es vorweg zu sagen, eine völlige Sicherheit gab und wird es auch nie geben und schon gar nicht in der IT Welt. Dennoch sollte man sich intensiv mit dem Thema befassen und bei der Planung und Umsetzung dafür Raum schaffen. Aufgrund der netzwerkorientierten Client-Serverarchitektur sowie der öffentlichen Erreichbarkeit der Anwendung über das Internet haben wir ein mehrstufiges Sicherheitssystem in die Anwendung implementiert.

  • Sitzungsbasiertes, zeitbegrenztes Arbeiten.
    Jeder Anwender muss sich vor Nutzung anmelden und wird nach einer bestimmten Zeit in der er nichts tut automatisch ausgeloggt. Damit wird die interne und externe Fremdnutzung von Benutzerkonten größtenteils vermieden.

  • Umfangreiche Protokollierung
    Alle Anmeldevorgänge, Benutzeraktionen und Fehler werden im System protokolliert und können nach Bedarf ausgewertet werden. Dadurch ist es möglich festzustellen, wer, wann, was von wo aus getan hat.

  • Keine Vielfachsitzung möglich
    Ein mehrfaches oder gleichzeitiges Einlogen von Benutzern ist ausgeschlossen. Falls Jemand also Ihre Zugangsdaten nutzt und sich versucht einzuloggen während Sie bereits eingeloggt sind, werden beide Sitzungen geschlossen und alle merken über eine entsprechende Fehlermeldung, dass etwas nicht stimmt.

  • Sitzungsliste
    Die aktuelle Sitzungsliste erlaubt allen angemeldeten Benutzern zu sehen, wer gerade angemeldet ist und erlaubt dadurch in tatsächlich bekannten Abwesenheitsfällen wie Urlaub, Krankheit usw.. sofort zu sehen, dass Jemand angemeldet ist, der eigentlich gar nicht angemeldet sein sollte.

  • Verschlüsselung
    Zugangsdaten werden verschlüsselt gespeichert und nach Groß- und Kleinschreibung unterschieden. Zudem müssen Zugangsdaten eine Mindestlänge haben sowie nicht bereits von anderen Benutzern verwendet werden. Damit wird ein erraten oder ausprobieren der Zugangsdaten erschwert und sichergestellt, dass es keine Verwechselungen bei den Nutzerdaten eintritt.

  • Eingabenverschleierung
    Die Anmeldemaske verschleiert nach verlassen eines Eingabefeldes sowohl die Länge als auch die eingegebenen Zeichen. Damit wird es für Außenstehende schwer, beim Beobachten der Zugangsdateneingabe anhand von Länge oder der sichtbaren Zeichen die Zugangsdaten zu erspähen.

  • Verschlüsselte Übertragung
    Die Übertragung der Daten sollte über das SSL Protokoll verschlüsselt erfolgen. Sie merken es am https:// anstatt von http:// in der Adresszeile bzw. in der Anzeige auf der Anmeldemaske. Sollte dies nicht der Fall sein, verlangen Sie unbedingt die Installation eines SSL Serverzertifikates für eine verschlüsselte Übertraguing bei Ihrem Administrator.

  • Rechteüberprüfung vor der Ausführung
    Vor jedem Funktionsaufruf bzw. Seitenaufruf wird überprüft, ob der angemeldete Benutzer eine noch aktive Sitzung hat und sich demnach vorher ordnungsgemäß angemeldet hat und ob die Aktion, die er ausführen möchte vorher protokolliert werden konnte und er das erforderliche Recht dazu besitzt. Dies verhindert ein direktes aufrufen von Funktionen aus dem Internet, ohne einer vorherigen Anmeldung oder den Seitenaufruf aus dem Browsercache durch einfaches zurückklicken nach dem abmelden. Es protokolliert ferner die ausgeführte Aktion und unterbindet unprotokolliertes ausführen von Funktionen. Ist dies nicht der Fall, oder tritt ein Fehler auf wird die Funktion unterbunden und es erfolgt eine Umleitung zur Anmeldeseite.

  • SQL-Injection Schutz
    Jede Benutzereingabe wird vorher auf gewisse verbotene bzw. gefährliche Syntax hin überprüft und gegebenenfalls unterbunden. Dies unterbindet größtenteils ein direktes Hacken der Anwendung durch angemeldete Benutzern über die SQL Schnittstelle (SQL Injections).

  • Zustandsmeldungen und Bestätigung
    Bei jeder Funktion werden alle möglichen Fehler abgefangen und protokolliert. Benutzer erhalten so eine klare Information darüber, was mit den Eingaben bzw. der Funktion im Endeffekt passiert ist. Bei Fehlern wird nicht nur ausgegeben was mit den Eingaben wirklich passiert ist und ob diese gespeichert bzw. verändert werden konnten, sondern auch was für ein Fehler eingetreten ist uns was getan werden muss um diesen Fehler zu umgehen.

  • Schutz vor Dateninkonsistenz
    Bei der Dateneingabe in Katalogen wird stets überprüft, ob ein gleicher oder ähnlicher Eintrag nicht schon enthalten ist und die Option angeboten den Eintrag dennoch zu speichern. Damit soll Dateninkonsistenz und doppelte Daten vermieden werden. Ferner wird dabei bei längeren Antwortzeiten des Servers, die der Benutzer gemeinhin als "aufhängen" interpretieren könnte und über ein erneutes klicken des Absendeknopfes oder das Aktualisieren im Browser die Folge eines erneuten speicherns der Eingaben vermieden.

  • Reinheit der Daten
    Meist wird die Eingabe von Leerwerten unterbunden, was eine saubere Datenhaltung bewirkt und spätere Verwechselungen und Fehler unterbindet. Die Trennung von Leestellen vor und nach der Eingabe wurde im Hinblick auf saubere Datenhaltung ebenfalls implementiert.

  • Datenschutz durch mehrstufiges Rechtesystem
    Der Zugriff auf Module, Kataloge und Funktionen ist über das interne Rechtesystem, welches auf Gruppen-, Benutzer- und sogar Funktionsebene heruntergebrochen werden kann beschränkt. Jeder Anwender bekommt also nur das zu sehen, was er auch ausführen bzw. nutzen darf.
..zum geschützten Kundenbereich..mit uns Kontakt aufnehmen..diese Seiten auf Deutsch anzeigen
360° Produktfotografie
360° Panoramafotografie
Analysen
2intra.net
Version
Vor- & Nachteile
Sicherheitskonzept
Navigation
Rechtesystem
Loggingsystem
Optionen & Einstellungen
Support & Hilfesystem
Nachrichtensystem
Übersicht aktive Sitzungen
Modul Kataloge
Modul Administration
Web Hosting
Domainregistrierung
 
Seite durchsuchen nach:

NewAgePiano - promoting modern piano artists and new age piano music

© appio.net    Impressum     Stand: 10.05.2010
Diese Seiten entsprechen technisch dem internationalem w3c Standard XHTML 1.0 Diese Seiten entsprechen technisch dem internationalem w3c Standard für CSS Cascading Style Sheets