1 HOME

2 VERBUND

3 PROJEKT

4 EVENTS

5 PUBLIKATIONEN

6 SITEMAP & IMPRESSUM

3.1 ORGANISATION

3.2 RECHT

3.3 IT-LÖSUNG

3.4 SZENARIEN

3.5 DEMO

 

 

ARCHITEKTUR

DOKSCHUTZ

MS AD RMS

 

3.3 IT-Architektur

Der abstrakte Netzplan der IT-Architektur ist in folgender Abbildung dargestellt.

Komponenten der IT-Architektur

Die wesentlichen logischen und technologischen Komponenten der IT-Architektur sind folgende:

  • Es werden allgemein drei abstrakt beschriebene Firmen mit z.T. unterschiedlichen Rollen betrachtet: Firma A, Firma B und Firma C
  • Der SkiDentity Server stellt die korrekte Authentifizierung der Nutzer sicher und stellt das Bindeglied zwischen verschiedenen Firmen und Außenstellen dar. U.a. wird
  • Zum Schutz sensibler Firmendaten hat Microsoft die Active Directory Rights Management Services (AD RMS) entwickelt. Diese sind im Active Directory Server integriert und erlauben eine feingranulare Rechteverwaltung von Dokumenten. Schutz bedeutet in diesem Zusammenhang, dass nur berechtigte Nutzer Dokumente beispielsweise lesen, bearbeiten, drucken oder exportieren können. Der Verfasser setzt dafür die Personen und die jeweiligen Rechte, der Nutzers, auf dieses Dokument fest.
  • Das vertrauenswürdige Betriebssystem, welches beim Start geladen wird, ist der sogenannte TURAYA Sicherheitskern mit einem Trusted Plattform Module (TPM). Dieser stellt mehrere Sicherheitsdienste bereit, implementiert die Systemvirtualisierung für sogenannte „Compartments“ (s.u.), und verwaltet Policy Enforcement Points (PEPs), welche die Durchsetzung der Sicherheitsrichtlinie garantieren.
  • Jede Plattform kann Compartments ausführen. Dies sind virtualisierte Betriebssysteme, in denen Anwendungen unterschiedlicher Trusted Virtual Domains (TVDs) (s.u.) ausgeführt werden. In jedem Compartment werden nur Anwendungen einer TVD ausgeführt. Auf einer Plattform können verschiedene Betriebssysteme gleichzeitig virtualisiert werden. Eine Plattform kann Compartments mehrerer TVDs gleichzeitig ausführen. Der Sicherheitskern garantiert die gegenseitige Isolierung der TVDS und die strikte Kontrolle der Datenflüsse zwischen Compartments.
  • Durch das Konzept der Trusted Virtual Domains (TVDs) können IT-Infrastrukturen in unterschiedliche logische Sicherheitsbereiche eingeteilt werden. Ferner können Informationsflüsse zwischen TVDs definiert werden, welche genau steuern, ob Informationen zwischen vordefinierten TVDs ausgetauscht werden dürfen oder nicht. Die vertrauenswürdige Infrastruktur sichert TVD-Grenzen mittels kryptografischer Mechanismen ab und lässt dabei beispielsweise Daten transparent verschlüsseln sobald sie eine TVD verlassen. Außerdem ist die Netzwerkkommunikation innerhalb einer TVP über VPN geschützt. Hierdurch wird sichergestellt, dass nicht-autorisierter Datenabfluss aus einer TVD verhindert wird.
  • Bei Trusted Desktop (TD) handelt es sich um eine Sicherheitsplattform, die eine Desktop-Umgebung unter Nutzung von Trusted Computing Technologien bereitstellt, auf der verschiedene virtualisierte Betriebssysteme laufen.
  • Der Trusted Objects Manager (TOM) ist der zentrale Managementserver, in der globale Richtlinien definiert werden. Diese werden automatisch in Regeln für die die darunter liegende technische Infrastruktur übersetzt. Darüber hinaus können die angeschlossenen TURAYA-Instanzen, wie Trusted Desktop, einfach und intuitiv administriert werden.
  • In zahlreichen Projekten eines Unternehmens wird ein zentrales Daten-Managementsystem (ZMS) eingesetzt. In der Entwicklung ist dies häufig ein Produktdatenmanagementsystem (PDM) und ggf. einem übergeordneten Product Lifecycle Management System (PLM) oder einem Dokumentenmanagementsystem (DMS).
  • Der Enterprise Rights Management (ERM) Server führt die lokale unternehmensinterne Rechteverwaltung zum Schutz kritischer Daten durch.
  • Der Legacy Server bezeichnet ein langjährig verwendetes, ggf. veraltetes und etabliertes Datenverarbeitungssystem, welches historisch gewachsen und zumeist unzureichend dokumentiert ist.
  • Ein Gateway dient der geeigneten Umwandlung und Kapselung von Kommunikationsprotokollen über verschiedene IT-Netzgrenzen hinaus. Ein VPN-Gateway tunnelt Daten eines privaten Netzes mit passenden Schutzmaßnahmen durch ein öffentliches Netz.

 

BMBFLogo