Systemaufbau
| Sicherheit
| Verbindungsaufbau
zur Feldebene
Die Datensicherheit
In einer vernetzten Infrastruktur
sollen Daten aus der Feldebene nur einem begrenzten Publikum
zugänglich gemacht werden. Da im Internet grundsätzlich
jeder Server mit einer IP-Adresse ansprechbar ist, müssen
auf verschiedenen Ebenen Maßnahmen ergriffen werden
um den Zugang zu Informationen einzuschränken.
Sicherheit auf der Leitebene
Als Client im Internet ist die
Leitebene durch die gleichen Maßnahmen vor Zugriffen
geschützten wie jeder Arbeitsplatz mit Internet-Zugang:
eine Firewall wehrt Attacken auf die Leitebene wirkungsvoll
ab. Soll die Leitebene bestimmte Daten im Internet publizieren
oder sogar als Alarmserver Meldungen über das Internet
entgegen nehmen, ist der Aufwand für den Schutz entsprechend
höher. Auf dem IT - Markt gibt es eine Vielzahl von
Lösungen die zur Anwendung kommen können.
Datenübertragung im
Internet
Daten Feldebene werden als Datenpakete über verschiedene
Server an die Leitebene weiter gegeben. Der Weg, den diese
Datenpakete zurück legen, ist nicht fest gegeben, vielmehr
hängt er vom aktuellen Zustand des Internets ab.
Auf dem Weg durch das Internet können diese Datenpakete
"abgehört", umgeleitet oder verändert
werden. Um sich vor solchen Angriffen zu schützen,
werden zwei Ansätze verfolgt:
Die Verschlüsselung der Datenpakete. Alle Daten, die
mit dem Protokoll http übertragen werden, können
auch verschlüsselt auch mit dem Protokoll shttp übertragen
werden. Die Verschlüsselung erfordert eine gewisse
Rechenleistung die entweder vom Portal oder vom Gerät
in der Feldebene erbracht werden muss. Mit dieser Technologie
wird unter anderem auch der Datenverkehr für das Internet
- Banking verschlüsselt.
In bestimmten Fällen ist die Anwendung anderer Protokolle
notwendig oder durch bestehende Installationen gegeben.
Für diese Fälle können alternative Lösungen
wie der Aufbau eines VPN (Virtuell Privat Network) zwischen
Leitebene und Portal oder die Datenverschlüsselung
auf der Feldebene einen erhöhten Sicherheitsbedarf
befriedigen.
Sicherheit des Portals
Der Schutz von einem Portal ist etwas komplexer: Der Zugriff
vom Internet auf das Portal muß für die Anwender
offen sein, auch die Feldebene muß Zugriff auf das
Portal haben. Hier kommt deshalb eine etwas komplexeres
Firewall zur Anwendung. Basierend auf eine generelle Verschlüsselung
aller Daten sind je nach Anwender nur bestimmte Datenbereiche
und klar definierte Protokolle zugänglich. Deshalb
müssen sich sowohl die Leitebene als auch die Feldebene
für den Zugang zum Portal zuerst identifizieren und
korrekt anmelden. Die Kommunikation mit dem Portal selbst
wird auf http und shttp eingeschränkt. Kommt in einem
Feldgerät ein anderes Protokoll zur Anwendung, wird
dieses Protokoll ausschließlich für das Betroffene
Unterverzeichnis und den Definierten Anwenderkreis freigegeben.
Die Feldebene
Die Schutzmechanismen auf der Feldebene unterscheiden sich
aufgrund der Unterschiedlichen Zugriffsmechanismen:
Für paketvermittelte
Datenverbindungen, deren Adressierung über eine
Internetadresse erfolgt, gilt grundsätzlich das gleiche
wie für das Portal selbst: Über die Identifikation
und Passwortschutz sowie die Datenverschlüsselung wird
der Zugang eingeschränkt. In einigen Fällen wird
der Zugriff auf ein Gerät zum Schutz vor Mißbrauch
durch die Netzwerkbetreiber selber eingeschränkt. Z.B.
ist der Zugriff auf ein Gerät am GPRS Netz nur unter
bestimmten Bedingungen zugelassen.
Bei leitungsvermittelten
Datenverbindungen kann auf der Ebene der Leitungsvermittlung
ein sehr wirksamer Zugangsschutz aufgebaut werden: Mit der
Telefonnummernerkennung des Anrufers kann der Zugang auf
die Verbindung mit einem Portal eingeschränkt werden,
eine Alternative stellt das Call-Back Verfahren dar: die
Feldebene erkennt den eingehenden Anruf des Portals und
baut anschliessend die eigenliche Datenverbindung zum Portal
auf.
Das Sicherheitsmanagement
Eine der wichtigsten Komponenten der Datensicherheit ist
die regelmäßige Aenderung von Passworten und
eine sorgfältige Systempflege. Entsprechende Funktionen
und Werkzeuge stellen die eigesetzten Firewalls und das
Portal zur Verfügung, aber auch der Ebene der Feldgeräte
darf die Administration nicht vernachlässigt werden.
|
