Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Übersicht über die Domino-Sicherheit
Die Einrichtung der Sicherheitsfunktionen für Ihre Organisation ist eine wichtige Aufgabe. Ihre Sicherheitsinfrastruktur trägt entscheidend dazu bei, die IT-Ressourcen und Assets Ihrer Organisation zu schützen. Als Administrator müssen Sie die Sicherheitsanforderungen Ihrer Organisation gründlich überdenken, bevor Sie mit der Einrichtung von Servern oder Benutzern beginnen. Eine gute Planung im Vorfeld zahlt sich später aus, da das Risiko von Sicherheitslücken minimiert wird.

Die folgende Liste kann als Leitfaden für die Planung von Sicherheitsfunktionen dienen:

Informationen über Aufbau, Abläufe und Ziele des Unternehmens sammeln
Assets und Sicherheitsrisiken bestimmen (Risikoanalyse)
Strategien zum Schutz der Computer-Infrastruktur entwickeln
Prozeduren als Maßnahme bei Vorfällen entwickeln
Mitarbeiterschulungen planen und veranstalten
Prozesse aktuell halten

Informationen über Aufbau, Abläufe und Ziele des Unternehmens sammeln

In diesem Schritt verschaffen Sie sich einen Überblick über die Geschäftsanforderungen der Organisation und die zu erbringenden Service Levels. Bestimmen Sie alle Komponenten des Unternehmens, auch solche, die nicht in Ihre direkte Zuständigkeit fallen. Berücksichtigen Sie dabei auch alle jüngsten Anschaffungen und Verkäufe oder Auslagerungen. Ermitteln Sie im Rahmen dieser Aufgabe auch das vertrauenswürdige und nicht vertrauenswürdige Netzwerk. In einigen Fällen dient möglicherweise ein Extranet als Erweiterung eines vertrauenswürdigen Netzwerks.

Wenn Sie über die Geschäftsanforderungen Bescheid wissen, können Sie mit der Planung der spezifischen Aspekte Ihrer Domino-Infrastruktur beginnen, indem Sie beispielsweise folgende Fragen beantworten:

Werden mehrere Domino-Domänen benötigt oder muss die neue Domäne mit vorhandenen Domänen interagieren?
Welche Methode eignet sich am besten, um Domino-Daten im Internet zur Verfügung zu stellen?
Welche Service Levels sind erforderlich, um das Unternehmen angemessen zu unterstützen?
Welche Zugriffsebene benötigen die einzelnen Benutzer für das Domino-Verzeichnis?

Assets und Sicherheitsrisiken bestimmen (Risikoanalyse)

Ermitteln Sie den Wert der Assets, die Sie schützen möchten. Die Anwendungen in Ihrer Organisation haben unterschiedliche Werte. In den meisten Organisationen ist beispielsweise die Verfügbarkeit der E-Mail-Infrastruktur ein entscheidender Geschäftsfaktor, die sofortige Verfügbarkeit bereits empfangener und gesendeter E-Mail-Nachrichten ist jedoch weniger wichtig. Bestimmen Sie anschließend die Sicherheitsrisiken, sowohl aus interner als auch aus externer Sicht. Stellen Sie sicher, dass Ihnen bekannt ist, welcher Verlust Ihrer Organisation entstehen kann, falls eine dieser Bedrohungen Realität wird. Zum Schluss bestimmen Sie die Wahrscheinlichkeit der Bedrohung. Beispiel: Ein automatisierter Angriff von einem infizierten System tritt mit an Sicherheit grenzender Wahrscheinlichkeit ein, der Ausfall eines Serverraums aufgrund eines Wasserschadens stellt eine entfernte Möglichkeit dar, während der Diebstahl einer Serverfestplatte aus dem Serverraum höchst unwahrscheinlich ist.

Jede Computer-Infrastruktur ist vielen verschiedenen Arten von Bedrohungen ausgesetzt:

Physische Beschädigung durch das direkte Umfeld
Automatisierte Angriffe oder Hacker im Internet
Automatisierte Angriffe von infizierten Systemen in Ihrem Intranet
Schnittstellen mit weniger sicheren Systemen
Fehler ungeschulter oder schlecht geschulter Benutzer und Administratoren
Abfangen oder Manipulieren von Daten in krimineller Absicht
Böswillige Handlungen ehemaliger Angestellter

Sie sollten außerdem Kenntnisse über das Domino-Sicherheitsmodell besitzen, um die zu schützenden Domino-Assets besser ermitteln und festlegen zu können, wie diese am besten zu schützen sind.

Strategien zum Schutz der Computer-Infrastruktur entwickeln

Sobald Sie sich der potenziellen Bedrohungen für Ihre Domino-Umgebung bewusst sind, können Sie Richtlinien ausarbeiten, um die einzelnen Teile der Domino-Computer-Infrastruktur zu schützen. Hierzu kann das Entwickeln von Richtlinien für folgende Bereiche zählen:

Einschränkungen im Hinblick auf den physischen Zugriff auf die Server
Netzwerkzugriff und -schutz
Messaging-Infrastruktur durch Verwendung von Ausführungskontrolllisten (ECLs) und Antiviren-Programmen
Anwendungssicherheit durch Verschlüsselung und ACL-Verwaltung
Verwaltung von Verschlüsselungsschlüsseln, einschließlich ID-Wiederherstellung
Änderungsmanagement durch Verwendung des Domino-Änderungsmanagers (oder alternativ einer selbst erstellten Anwendung)
Benutzerschulungen zum Thema organisationsbezogene Sicherheitsregeln und -technologie
Berichterstattung über Sicherheitsvorfälle

Weitere Informationen zum Änderungsmanagement finden Sie in den Referenzinformationen.

Prozeduren als Maßnahme bei Vorfällen entwickeln

Ein Vorfall ist ein ungeplantes und unerwartetes Ereignis, das einer sofortigen Handlung bedarf, um den Verlust von Geschäftsabschlüssen, Assets oder Kundenvertrauen zu vermeiden. Alle Sicherheitspläne müssen eine Komponente mit Maßnahmen zur Vorfallbehandlung enthalten sowie eine Feedback-Komponente, in der erfasst wird, wie Vorfälle gehandhabt wurden. Das Feedback hilft dabei, die Sicherheitspläne und -richtlinien auf dem neuesten Stand zu halten.

Anmerkung: Ein hervorragendes Dokument, in dem die Bedeutung der Vorfallbehandlung erläutert wird, ist die Veröffentlichung Contingency Planning Guide for Information Technology Systems des National Institute of Standards and Technology (NIST Special Publication 800-34).

Zur Vorfallbehandlung zählt Folgendes:

Vorfallbericht: Pläne und Methoden
Reaktionsprozeduren für jeden einzelnen Vorfalltyp
Vorfallreaktionstests

Nachdem Sie einen Vorfallbehandlungsplan aufgestellt haben, wird es Ihnen leichter fallen, die Anforderungen für Folgendes zu ermitteln:

Domino-Protokollierung
Domino-HTTP-Protokollierung
Domino-Backup und Wiederherstellung
Parameter für die Domino-Ereignisüberwachung

Mitarbeiterschulungen planen und veranstalten

Stellen Sie sicher, dass sich die Benutzer darüber im Klaren sind, dass jeder Einzelne im Unternehmen Verantwortung für die Sicherheit trägt. Schulen Sie die Benutzer basierend auf den Geschäftsanforderungen in folgenden Bereichen:

Grundlagen der Domino-Sicherheit
Notes-IDs und entsprechende Schutzmaßnahmen
Notes-Ausführungskontrolllisten und Sicherheitsalarme
Verwendung der Verschlüsselung und Vorgehensweise beim Verschlüsseln von Mailnachrichten
Ansprechpartner im Fall eines Problems oder Sicherheitsvorfalls

Anmerkung: Das National Institute of Standards and Technology hat ein Dokument veröffentlicht, in dem die Beziehung zwischen Sicherheitsbewusstsein, Schulung und Ausbildung dargelegt wird. Das Dokument liegt in englischer Sprache vor und trägt den Titel Information Technology Security Training Requirements: A Role- and Performance-Based Model (NIST Special Publication 800-16).

Prozesse aktuell halten

Dieser Schritt ist normalerweise der schwierigste, jedoch ist er genauso wichtig wie die anderen Aufgaben. Nehmen Sie sich die Zeit, ein Programm auszuarbeiten, in dem Sicherheitsprozesse und -prozeduren regelmäßig überprüft und gegebenenfalls überarbeitet werden. Achten Sie darauf, die Überprüfung mit der Mitarbeiterschulung zu verknüpfen. Werden Änderungen vorgenommen, muss möglicherweise auch die Mitarbeiterschulung aktualisiert werden.

Zugehörige Konzepte
Das Domino-Sicherheitsmodell
Domino-Änderungsmanager
Die Domino-Server-Protokolldatei (LOG.NSF)
Das Domino-Web-Serverprotokoll (DOMLOG.NSF)
Ereignisse auf dem Domino-System überwachen

Zugehörige Tasks
Backup des Domino-Servers erstellen

Zugehörige Informationen
Contingency Planning Guide for IT Systems auf csrc.nist.gov

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe