Hintergrund der Arbeit:
Am Leibniz-Rechenzentrum (LRZ) wurde eine Dokumentenvorlage für Sicherheitskonzepte erstellt, die von den Administratoren bzw. Verantwortlichen der einzelnen LRZ-IT-Dienste ausgefüllt werden soll. In den einzelnen Sicherheitskonzepten werden beispielsweise Ansprechpartner benannt, dienstspezifische Sicherheitsrisiken erläutert und installierte technische Sicherheitsmaßnahmen beschrieben.
Bei der praktischen Anwendung treten jedoch folgende Probleme auf:
- Die erstellten Sicherheitskonzepte liegen als PDF-Dateien vor, die nur manuell ausgewertet werden können. Es lässt sich also beispielsweise nicht effizient nach Diensten suchen, die bestimmte Kriterien nicht erfüllen, und es können keine Statistiken erstellt werden.
- Je nach Art des Dienstes müssen unterschiedliche Kapitel/Abschnitte der Dokumentenvorlage ausgefüllt werden; die Bearbeitung mit Texteditor bzw. Textverarbeitung ist unbequem.
- Der Stand der Dokumentation veraltet gegenüber der Realität schnell; es gibt keinen zentralen Ablageort für alle Sicherheitskonzepte und es fehlt ein einheitlicher Erstellungs-, Kontroll- und Freigabeprozess.
Die Dokumentenvorlage ist zudem stark auf softwarebasierte Netzdienste (z.B. Web- bzw. E-Mail-Server) zugeschnitten und derzeit noch nicht universell für beliebige IT-Dienste verwendbar.
Ziel der Arbeit:
Für die Verwaltung von Sicherheitskonzepten auf Template-Basis soll eine Webanwendung konzipiert und implementiert werden, die insbesondere die folgenden Anforderungen abdeckt:
- Die Inhalte der LRZ-Vorlage werden als dynamisches Web-/HTML-Formular aufbereitet. Dynamik bedeutet hier, dass Teile des Formulars aus-/eingeblendet werden, je nachdem, welche Angaben der Benutzer während des Ausfüllens macht bzw. welche Optionen er bei Teilfragen macht. Zudem sollen bereits während der Eingabe Plausibilitätsprüfungen vorgenommen werden, um den Nutzer möglichst zeitnah auf potentielle Fehler hinzuweisen.
- Die Sicherheitskonzepte werden serverseitig z.B. in einer Datenbank gespeichert.
- Auf Basis einer einfachen rollenbasierten Berechtigungsverwaltung sollen die gespeicherten Sicherheitskonzepte überarbeitet, eingesehen, genehmigt und statistisch ausgewertet werden können.
- Sicherheitskonzepte sollen in verschiedenen Formaten (HTML, PDF, Text, XML) exportiert werden können.
- Flexible Erweiterbarkeit, z.B. bzgl. Einbringen neuer Inhalte in das Sicherheitskonzept-Template.
Die Konzeption der Webanwendung und die Datenmodellierung müssen plattform-/produktneutral erfolgen. Die Implementierung muss auf einem am LRZ unter Linux betriebenen Web- bzw. Application-Server lauffähig sein; dabei kann eine Programmiersprache nach freier Wahl (z.B. Perl, PHP, Ruby, Java) mit entsprechenden Funktionsbibliotheken verwendet werden.
Aufgabensteller:
Priv. Doz. Dr. W. Hommel
Anforderungen:
- Kenntnisse in Bereich Software Engineering
- Programmiererfahrung im Umfeld von Webanwendungen
- Empfehlenswert: Vorlesung IT-Sicherheit
Dauer der Master- bzw. Diplomarbeit:
6 Monate
Anzahl Bearbeiter:
1
Betreuer: