Detailansicht
Wiederherstellung einer homogenen Information Security Policy aus proprietär gewachsenen Berechtigungsverwaltungen in einer großen öffentlichen Institution
Harald Wöhrnschimmel
Art der Arbeit
Diplomarbeit
Universität
Universität Wien
Fakultät
Fakultät für Informatik
Betreuer*in
Thomas Grechenig
DOI
10.25365/thesis.2898
URN
urn:nbn:at:at-ubw:1-30105.61657.716559-1
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
Zugriffskontrolle ist ein wesentliches Sicherheitsmerkmal moderner Datenverarbeitung. Aktuelle EDV-Systeme bieten spezifische Möglichkeiten, Berechtigungen festzulegen. Die Entscheidung, welcher Benutzerkreis über welche Berechtigungen in einem System verfügt, kommt aus organisatorischer, beziehungsweise fachlicher Ebene und wird in Form von Sicherheitsrichtlinien festgehalten. Das Umsetzen und Administrieren obliegt in Folge technischem Fachpersonal. Aufgrund dieser physischen Trennung und oftmals fehlendem Fachwissen ist es den für die Berechtigungsfestlegung verantwortlichen Mitarbeitern schwer bis unmöglich, aktuell vergebene Berechtigungen zu kontrollieren. Ein einfacher Export und Weitergabe der Berechtigungsinformationen scheitert an den proprietären Zugriffskontrollmechanismen ebenso wie an den bei manchen Systemen gar nicht vorgesehenen Exportfunktionen. Nach einer umfassenden und strukturierten Beschreibung aller erforderlichen theoretischen Grundlagen werden im Zuge dieser Arbeit unterschiedliche Berechtigungsstrukturen am Beispiel einiger Geschäftsapplikationen eines Großunternehmens analysiert und Gemeinsamkeiten gefunden. Diese bilden ein Schema einer vereinheitlichten Darstellung aller in den Systemen vergebenen Berechtigungen. Somit können nach entsprechender Aufarbeitung der einzelnen Berechtigungsdaten diese in einer einheitlichen Form in einer zentralen Datenbank abgelegt werden und für weitere Analysen und Visualisierungen den für die Richtigkeit der Berechtigungen verantwortlichen Personen zur Verfügung gestellt werden.
Abstract
(Englisch)
Access Control is one of the crucial security features in modern computing. Todays information systems provide specific ways to define access rights. The decision, what right is granted to which user of a system is met on organizational or functional level and is described by information security policies. The implementation and administration shall be done by technical experts. Due to this physical separation and often lack of know-how it is hardly possible for the security staff in charge to know the actual rights. Since every system implements its own proprietary export or no export at all, comparison of access right information is very difficult. This also becomes an obstacle when rights are to be consolidated. After a broad, structured description of relevant theoretical concepts this work will analyse and compare access control structures on hand of business applications of a large enterprise. This will lead to the composition of a schema of an uniform representation of the assigned rights. Using this schema a database is constructed where the security staff in charge is able to access and analyse the aggregated information. This work provides a broad theoretical base in respect of access control.
Schlagwörter
Schlagwörter
(Englisch)
Access Control information security policy
Schlagwörter
(Deutsch)
Zugriffskontrolle Sicherheitsrichtlinie Sicherheitsmodell Berechtigungsverwaltung
Autor*innen
Harald Wöhrnschimmel
Haupttitel (Deutsch)
Wiederherstellung einer homogenen Information Security Policy aus proprietär gewachsenen Berechtigungsverwaltungen in einer großen öffentlichen Institution
Publikationsjahr
2008
Umfangsangabe
VII, 83, IX S. : graph. Darst.
Sprache
Deutsch
Beurteiler*in
Thomas Grechenig
Klassifikationen
54 Informatik > 54.38 Computersicherheit ,
54 Informatik > 54.80 Angewandte Informatik
AC Nummer
AC07471063
Utheses ID
2522
Studienkennzahl
UA | 175 | | |
