TU Graz - ZID: Klassifizierung

Klassifizierung

Alle Informationen sollten betreffend Vertraulichkeit (Confidentiality), Unversehrtheit (Integrity) und Verfügbarkeit (Availability) - CIA - klassifiziert werden, damit die Informationen angemessen geschützt werden können.

Vertraulichkeit

TLP ist ein gängiges Einstufungsmodell:

TLP:WHITE
Eine derart klassifizierte Information darf uneingeschränkt weitergegeben werden.
TLP:GREEN
Das sind Informationen, die innerhalb der TU Graz weitergegeben werden dürfen.
TLP:AMBER
Diese Informationen dürfen nur in der eigenen OE weitergegeben werden.
TLP:RED
Diese Klassifizierung bedeutet, daß die Information vom Empfänger nicht weiter gegeben werden darf.

Umsetzung anhand eines Beispiels mit Apache

Zum Einsatz kommt unser SSO (AuthType shibboleth), Details (z. B. zur Gruppenabfrage) mit dem ZID klären!


  <VirtualHost *:80>
   ServerName ihr_server.tugraz.at
   Redirect permanent / https://ihr_server.tugraz.at/
  <VirtualHost>
  <VirtualHost ihr_server.tugraz.at:443>
   ServerName ihr_server.tugraz.at
   …
   DocumentRoot /path/to/white
   …
   <Directory "/path/to/green/">
    AuthType shibboleth
    ShibRequireSession On
    <RequireAll>
     Require shib-attr STATUS ~ BEDIENSTETE:OK
    </RequireAll>
   </Directory>
   <Directory "/path/to/amber/">
    AuthType shibboleth
    ShibRequireSession On
    <RequireAll>
     Require shib-attr groupMembership "CN=,OU=OE,OU=TUGRAZ,DC=tugraz,DC=local"
    </RequireAll>
   </Directory>
  </VirtualHost>
 

Die als TLP:RED klassifizierten Daten sollten am besten gar nicht auf einem Webserver landen, wenn dieser aber als Archiv dient, sollte der Zugriff auf den eigenen User eingeschränkt werden:


   <Directory "/path/to/red/">
    AuthType shibboleth
    ShibRequireSession On
    require valid-user
    <RequireAll>
     Require shib-attr USERNAME mein_username
    </RequireAll>
   </Directory>
 

Verfügbarkeit

Je nach geforderten Verfügbarkeit werden die Daten auf einem Stand-Alone-System (mit/ohne gespiegelten Platten), einem redundant ausgelegten System oder einem redundanten, dislozierten System gespeichert werden müssen.

Integrität