Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
JAVA SECURITY<br />
1.2.3. Gute <strong>Security</strong> Praktiken<br />
Da die meisten Rechner mit e<strong>in</strong>em Intranet oder dem Internet verbunden s<strong>in</strong>d, wurde das<br />
Thema Rechnersicherheit <strong>in</strong> den letzten Jahrzehnten zunehmend wichtiger. Zudem wurde das<br />
Thema Sicherheit auch wesentlich komplexer durch neue Zugriffsarten (Modem, Kabelnetz,<br />
VPN) und neue Möglichkeiten unerlaubt auf Rechner zuzugreifen und neuartige<br />
Sicherheitsverletzungen. Die meisten Experten s<strong>in</strong>d sich jedoch e<strong>in</strong>ig, dass e<strong>in</strong>e gute<br />
Sicherheitspraktik sich um folgende Themen kümmern muss:<br />
• Identifikation und Authentifizierung / Bestätigung / Beglaubigung<br />
• Autorisation<br />
• Ressourcen Kontrolle und Beherrschung<br />
• Vertraulichkeit und Integrität<br />
• Unleugbarkeit<br />
• Prüfen / Audit<strong>in</strong>g<br />
Um e<strong>in</strong> zuverlässiges Sicherheitsmodell implementieren zu können muss sich der Benutzer<br />
der Streitpunkte bewusst se<strong>in</strong> und Vorsichtsmassnahmen und Sicherheitspläne sollten<br />
def<strong>in</strong>iert se<strong>in</strong>. Effektive Sicherheit kann nur durch folgende Massnahmen erreicht werden:<br />
• Schulung der Benutzer (Mitarbeiter und Angestellte) über Sicherheitsbelange und<br />
Taktiken / Policies.<br />
• Implementation e<strong>in</strong>es E<strong>in</strong>bruchabwehrplans, <strong>in</strong> dem festgehalten wird, wann Auditdateien<br />
nachgeschaut werden müssen und auf was geachtet werden muss.<br />
• Implementation e<strong>in</strong>es Rettungsplans / Wiederherstellungsplans / Recovery Plans für den<br />
Fall e<strong>in</strong>es E<strong>in</strong>bruchs und Festlegung wer was zu tun hat, wer für was verantwortlich ist.<br />
Identifikation und Authentifizierung legen die Legitimierung / Rechtmässigkeit e<strong>in</strong>es Knoten<br />
oder e<strong>in</strong>es Benutzers fest, bevor der Zugriff auf e<strong>in</strong>en Rechner oder benötigte Informationen<br />
freigegeben wird. Im Verlaufe dieses Prozesses muss unter Umständen e<strong>in</strong> Benutzer e<strong>in</strong>en<br />
Benutzernamen oder e<strong>in</strong>e Kontonummer (Identifikation) und Passwort (Authentifizierung)<br />
e<strong>in</strong>geben, bevor ihm der Zugriff zum Rechner gestattet wird.<br />
Nachdem das System den Benutzer identifiziert und authentifiziert hat, erwartet er, dass falls<br />
er e<strong>in</strong>e Kommunikation zu e<strong>in</strong>em andern Rechner aufbaut:<br />
• dieser (andere) Rechner ke<strong>in</strong> Betrüger ist<br />
• die Dateien, die er herunter lädt das enthalten, was er erwartet, <strong>in</strong>sbesondere ke<strong>in</strong>e Viren,<br />
trojanische Pferde oder Code, der die Integrität oder Sicherheit se<strong>in</strong>es Systems<br />
bee<strong>in</strong>trächtigen könnte.<br />
Das <strong>Java</strong> <strong>Security</strong> Package enthält die Werkzeuge keytool und jarsigner (und ab JDK 1.1<br />
javakey), mit deren Hilfe digitale Signaturen und Zertifikate gehandhabt werden können.<br />
Digitale Signaturen identifizieren Programmquellen, nicht aktuelle Benutzer. Auf der Browser<br />
Ebene hängt die <strong>Java</strong> <strong>Security</strong> von der Benutzerauthentifizierung auf Betriebsystemebene ab.<br />
Danach schützt e<strong>in</strong>e digitale Signatur den Benutzer.<br />
Autorisierung ist der Prozess zur Bestimmung der erlaubten Aktivitäten für e<strong>in</strong>en<br />
authentifizierten Benutzer. Nachdem der Benutzer authentifiziert ist, kann er für<br />
unterschiedliche Zugriffe oder Aktivitäten autorisiert werden. Adm<strong>in</strong>istratoren können über<br />
den Level der Zugriffsrechte für autorisierte Benutzer entscheiden. Die Granularität /<br />
Körnigkeit dieser Zugriffsberechtigungen ist e<strong>in</strong> wichtiger Bestandteil der Autorisierung.<br />
4 / 134<br />
© J.M.<strong>Joller</strong>