DE10123501A1 - Verfahren sowie System zum Zugriffschutz in einem Netzwerk - Google Patents
Verfahren sowie System zum Zugriffschutz in einem NetzwerkInfo
- Publication number
- DE10123501A1 DE10123501A1 DE2001123501 DE10123501A DE10123501A1 DE 10123501 A1 DE10123501 A1 DE 10123501A1 DE 2001123501 DE2001123501 DE 2001123501 DE 10123501 A DE10123501 A DE 10123501A DE 10123501 A1 DE10123501 A1 DE 10123501A1
- Authority
- DE
- Germany
- Prior art keywords
- access
- data
- user
- computer
- profile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Social Psychology (AREA)
- Storage Device Security (AREA)
Abstract
Verfahren zum Zugriffschutz in einem Netzwerk, zum Verhindern eines nicht autorisierten Zugriffs eines Benutzers über eine Netzwerkverbindung auf Daten, die in einer Speichereinrichtung eines Server-Computers gespeichert sind. Das Verfahren umfasst die folgenden Schritte: Erzeugen von Protokolldaten, die das Zugriffsverhalten des Benutzers auf Daten, die in dem Server-Computer gespeichert sind, repräsentieren; Analysieren der Protokolldaten zum Erstellen eines Zugriffsprofils; Bestimmen anhand des Zugriffsprofils, ob der Zugriff autorisiert ist und für den Fall, dass der Zugriff nicht autorisiert ist, Ausführen einer Schutzmaßnahme.
Description
Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Zugriffschutz in ei
nem Netzwerk, sowie auf ein entsprechendes System.
In sogenannten offenen Systemen werden Daten in einer Speichereinrichtung eines
Server-Computers gespeichert und einer Vielzahl von Benutzern mittels Client-
Computern zugänglich gemacht. Hierbei kann eine Vielzahl von Server-Computern
verwendet werden, die, ebenso wie eine Vielzahl von Client-Computern, an ein
Netzwerk angeschlossen ist. Ein Benutzer kann mittels eines Client-Computers eine
Netzwerkverbindung zu einem Server-Computer aufbauen, um aus der Spei
chereinrichtung des betreffenden Server-Computers bereitgestellte Daten auszule
sen.
Die Server-Computer und die Client-Computer können über ein globales Netzwerk,
wie das Internet, oder über ein lokales Netzwerk, wie ein Intranet, miteinander in
Verbindung stehen. Derzeit gebräuchliche Server-Computer, die im Internet bzw.
Intranet Anwendung finden, werden als Web-Server bezeichnet, d. h. als Server, die
HTML-Dokumente und andere Internet/Intranet-Resourcen speichern und über
HTTP versenden bzw. entgegennehmen. Eine andere Möglichkeit des Datenaus
tauschs besteht in der Verwendung von sogenannten File-Servern, die einen Da
tenaustausch mittels FTP ermöglichen.
Web-Server bzw. File-Server, wie sie derzeit im Internet und in Intranets von Unter
nehmen verwendet werden, enthalten häufig sensible und wertvolle Informationen.
Auf der einen Seite ist ein Unternehmen bestrebt, dem zugreifenden Mitarbeiter im
Intranet oder einem Kunden oder Lieferanten im Internet gewünschte und benötigte
Informationen bereitzustellen. Auf der anderen Seite wünscht das betreffende Un
ternehmen jedoch nicht, dass die Gesamtmenge aller verfügbaren Daten global
kopiert und beispielsweise der Konkurrenz übermittelt wird.
Ein einfaches Beispiel für die Bereitstellung von Informationen mittels des Internets
sind sogenannte Online-Wörterbücher, die derzeit im Internet frei verfügbar sind.
Zwar ist der kostenlose Gebrauch derartiger Wörterbucher jedem Benutzer gestat
tet, allerdings ist es nicht gestattet, alle Daten, die ein komplettes Wörterbuch rep
räsentieren, über das Internet herunterzuladen.
Ein wesentlich komplexeres Beispiel betrifft den Bereich des Wissensmanagements
technologieorientierter Unternehmen. Einerseits bringt ein effektives Wissensmana
gement enorme Synergien zwischen den verschiedenen technischen Abteilungen
des Unternehmens. Insbesondere kann durch das Unternehmen entwickeltes Wis
sen und Know-How allen Mitarbeitern zugänglich gemacht werden, wodurch die
Suche nach Information und der hierfür benötigte Zeitaufwand reduziert werden
können. Andererseits sind in diesem Beispiel die zur Verfügung stehenden Informa
tionen in der Regel sehr sensibel, d. h. die Transparenz und Kohärenz der Informa
tion kann einem Wettbewerber wichtige Einblicke in den Entwicklungsstand des
Unternehmens geben. Des weiteren kann die Verfügbarkeit der Information über ein
Netzwerk Wettbewerber des Unternehmens dazu verleiten, technische Lösungen
systematisch zu recherchieren und, da sie im Wissensmanagement detailliert und
verständlich dargestellt werden, ebenfalls zu kopieren.
Ziel vieler Unternehmen ist es deshalb zu verhindern, dass insbesondere Wettbe
werber Zugang zu ihrem Wissensmanagement bekommen. Des weiteren soll ver
hindert werden, dass Mitarbeiter des Unternehmens ohne großen technischen Auf
wand entsprechende Daten, die das gesamte Wissensmanagement des Unterneh
mens repräsentieren, unberechtigt herunterladen.
Heutzutage schützen sich die meisten Unternehmen mittels eigens hierfür vorgese
henen Anwendungen bzw. Applikationen vor nicht zugangsberechtigten Personen,
die insbesondere über das Internet Zugang zu unternehmenseigenen Informationen
suchen. Direkte Angriffe von sogenannten Hackern auf das Netzwerk eines Unter
nehmens werden von einer sogenannten Firewall abgewehrt. Der Zugang für nicht
zugangsberechtigte Personen ist somit im Normalfall gut durch Applikation und Fi
rewall gesichert.
Ein weiterer Zugriffschutz besteht darin, dass auch zugelassenen Benutzern nicht
erlaubt wird, Daten, die die gelesenen Informationen repräsentieren, herunterzula
den und auszudrucken. Allerdings kann ein zugelassener Benutzer seinen Zugang
zu einem Server-Computer in einem Netzwerk missbrauchen und mit verfügbaren
Software-Tools beispielsweise alle Web-Sites des Unternehmens herunterladen.
Ausgehend von dem bekannten Stand der Technik liegt der vorliegenden Erfindung
die Aufgabe zugrunde, einen Zugriffschutz in einem Netzwerk bereitzustellen, der
auch bezüglich berechtigter Benutzer Missbrauch zuverlässig verhindert.
Diese Aufgabe wird durch die Gegenstände der Patentansprüche 1, 16 und 32 ge
löst. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprü
che.
Insbesondere wird die Aufgabe der vorliegenden Erfindung durch ein Verfahren
zum Zugriffschutz in einem Netzwerk, zum Verhindern eines nicht autorisierten
Zugriffs eines Benutzers über eine Netzwerkverbindung auf Daten, die in einer
Speichereinrichtung eines Server-Computers gespeichert sind, gelöst. Das Verfah
ren umfasst die folgenden Schritte: Erzeugen von Protokolldaten, die das Zugriffs
verhalten des Benutzers auf Daten, die in dem Server-Computer gespeichert sind,
repräsentieren; Analysieren der Protokolldaten zum Erstellen eines Zugriffsprofils;
Bestimmen anhand des Zugriffsprofils, ob der Zugriff autorisiert ist; und für den Fall,
dass der Zugriff nicht autorisiert ist, Ausführen einer Schutzmaßnahme.
In dem erfindungsgemäßen Verfahren kann insbesondere der Server-Computer als
Sicherheits-Computer ausgebildet werden.
Darüber hinaus wird die Aufgabe der vorliegenden Erfindung gelöst durch ein Sys
tem gemäß dem Gegenstand des Patentanspruchs 16 sowie durch ein Computer-
Programm gemäß dem Gegenstand des Patentanspruchs 32.
Das Zugriffsprofil repräsentiert beispielsweise ein schnelles, manuell nicht erzeug
bares Wechseln zwischen verschiedenen zu lesenden Dateninhalten. Das Zugriffsprofil
kann ebenfalls ein Auslesen kompletter Datenstrukturen repräsentieren. Ge
mäß einer anderen Variante kann das Zugriffsprofil eine Dauer der Netzwerkverbin
dung zu dem Server-Computer repräsentieren. Gemäß einer weiteren Variante
kann das Zugriffsprofil das Verhältnis zwischen Tastenbedienung und Zugriffsver
halten des Benutzers repräsentieren. Gemäß einer weiteren Variante kann das
Zugriffsprofil eine heruntergeladene Datenmenge in einem vorgegebenen Zeitrah
men repräsentieren. Des weiteren kann das Zugriffsprofil das Verhältnis zwischen
einer vorab den Daten zugeordneten Sicherheitsstufe und einer vorab dem Benut
zer zugeordneten Zugriffsberechtigungsstufe repräsentieren.
Anhand der Zugriffsprofile kann bestimmt werden, ob der Zugriff des Benutzers
autorisiert ist. Hierzu werden die Zugriffsprofile hinsichtlich vorbestimmter Kriterien
ausgewertet, die vorzugsweise in einer Datenbank in dem Sicherheits-Computer
gespeichert sind. Bevorzugterweise repräsentieren diese Kriterien Referenzprofile,
die beispielsweise Schwellwerte darstellen. Vorzugsweise bei Überschreiten eines
Schwellwertes wird der entsprechende Zugriff als nicht autorisiert eingestuft.
Gemäß einem besonderen Aspekt der vorliegenden Erfindung wird eine Vielzahl
von verschiedenen Zugriffsprofilen erstellt, und anhand dieser Zugriffsprofile wird
bestimmt, ob der Zugriff autorisiert ist. Hierbei wird vorzugsweise mindestens an
hand von zwei verschiedenen Zugriffsprofilen bestimmt, ob der Zugriff autorisiert ist.
Gemäß einem weiteren besonderen Aspekt der vorliegenden Erfindung werden er
stellte Zugriffsprofile in einer Speichereinrichtung des Sicherheits-Computers ge
speichert, um als Referenzprofile verfügbar gemacht zu werden.
Die Schutzmaßnahme kann beispielsweise in einem Abbrechen der Netzwerkver
bindung bestehen. Des weiteren kann die Schutzmaßnahme in einem Verweigern
des Zugriffs bestehen. Die Schutzmaßnahme kann ebenfalls in einem Entziehen
einer Zugriffsberechtigung bestehen für den Fall, dass der Benutzer berechtigt ist,
auf die Daten, die in dem Server-Computer gespeichert sind, zuzugreifen. Gemäß
einer anderen Variante kann die Schutzmaßnahme in einem Senden einer Nach
richt an einen Vorgesetzten des Benutzers bestehen für den Fall, dass der Benutzer
identifiziert werden kann. Gemäß einer weiteren Variante kann die Schutzmaßnah
me in einem Senden einer Nachricht an eine Sicherheitsstelle bestehen.
Das beschriebene Verfahren weist insbesondere den Vorteil auf, dass ein effizienter
Zugriffschutz in einem Netzwerk bereitgestellt werden kann unter Ausnutzung
messbarer Zugriffsgrößen bzw. Protokolldaten, wie z. B. Dauer einer Netzwerkver
bindung, heruntergeladene Datenmenge, Zeitraum zwischen verschiedenen
Zugriffen etc. Besonders vorteilhaft ist hierbei, dass diese Größen bereits im Stand
der Technik in sogenannten Logbüchern bzw. -dateien protokolliert werden, die in
dem erfindungsgemäßen Verfahren zum Zugriffschutz verwendet werden.
Bevorzugte Ausführungen der vorliegenden Erfindung werden im folgenden unter
Bezugnahme auf die beiliegende Zeichnung näher erläutert. Dabei zeigt:
Fig. 1 ein erfindungsgemäßes System zum Zugriffschutz in einem Netzwerk.
Fig. 1 zeigt ein System zum Zugriffschutz in einem Netzwerk mit einem Client-
Computer 1, einem Server-Computer 4 und einem Sicherheits-Computer 6.
Der Client-Computer 1 dient dazu, eine Netzwerkverbindung 2, 3 zu dem Server-
Computer 4 herzustellen, der eine Speichereinrichtung aufweist, in dem die Daten
gespeichert sind. Hierbei können der Client-Computer 1 und der Server-Computer 4
beispielsweise über ein globales Netzwerk, wie das Internet, oder ein lokales Netz
werk, wie ein Intranet, miteinander in Verbindung stehen. Nach Erstellen der Netz
werkverbindung 2, 3 dient der Client-Computer 1 einem Benutzer dazu, die Daten
aus der Speichereinrichtung des Server-Computers 4 auszulesen.
Der Server-Computer 4 steht vorzugsweise ununterbrochen über die Netzwerkver
bindung 5 mit dem Sicherheits-Computer 6 in Verbindung. Der Sicherheits-
Computer 6 dient dazu, die Netzwerkverbindung 2, 3 zwischen dem Client-
Computer 1 und dem Server-Computer 4 zu überwachen und erzeugt hierzu Proto
kolldaten 7, die das Zugriffsverhalten des Benutzers auf Daten, die in dem Server-
Computer 4 gespeichert sind, repräsentieren. Beispielsweise werden der Zeitpunkt
des Zugriffs, die Datenmenge heruntergeladener Daten, der Zeitabstand zu einem
vorherigen/nachfolgenden Zugriff, Benutzer-kennzeichnende Daten wie z. B. eine
dem Benutzer zugeordnete Zugriffsberechtigungsstufe, die Adresse der herunter
geladenen Daten sowie eine den Daten zugeordnete Sicherheitsstufe protokolliert.
Ausgehend von den Protokolldaten werden mittels spezifischer Algorithmen
Zugriffsprofile erstellt 8.
Ein Zugriffsprofil kann beispielsweise ein schnelles, manuell nicht erzeugbares
Wechseln zwischen verschiedenen zu lesenden Dateninhalten repräsentieren. Des
weiteren kann ein Zugriffsprofil ein Auslesen kompletter Datenstrukturen repräsen
tieren. Ein anderes Zugriffsprofil kann eine Dauer der Netzwerkverbindung 2, 3 zwi
schen dem Client-Computer 1 und dem Server-Computer 4 repräsentieren. Ein
Zugriffsprofil kann ebenfalls das Verhältnis zwischen Tastenbedienung und
Zugriffsverhalten des Benutzers repräsentieren. Gemäß einer weiteren Variante
kann das Zugriffsprofil eine heruntergeladene Datenmenge in einem vorgegebenen
Zeitrahmen repräsentieren. Des weiteren kann das Zugriffsprofil das Verhältnis zwi
schen einer vorab den Daten zugeordneten Sicherheitsstufe und einer vorab dem
Benutzer zugeordneten Zugriffsberechtigungsstufe repräsentieren.
Zum Erstellen der Zugriffsprofile werden Zugriffsgrößen bzw. Protokolldaten, wie
z. B. Dauer einer Netzwerkverbindung, heruntergeladene Datenmenge, Zeitraum
zwischen verschiedenen Zugriffen etc. verwendet. Besonders vorteilhaft ist hierbei,
dass diese Größen in sogenannten Logbüchern bzw. -dateien protokolliert werden,
so dass ein effizienter Zugriffschutz in einem Netzwerk bereitgestellt werden kann
unter Ausnutzung messbarer Zugriffsgrößen bzw. Protokolldaten, die vorwiegend
aus gemäß dem Stand der Technik erzeugten Logbüchern extrahiert werden kön
nen.
Anhand der Zugriffsprofile kann bestimmt werden, ob der Zugriff des Benutzers
autorisiert ist. Hierzu werden die Zugriffsprofile ausgewertet 9 hinsichtlich vorbe
stimmter Kriterien, die vorzugsweise in einer Datenbank 10 in dem Sicherheits-
Computer 6 gespeichert sind. Bevorzugterweise repräsentieren diese Kriterien Re
ferenzprofile, die beispielsweise Schwellwerte darstellen, bei deren Überschreiten
der Zugriff als nicht autorisiert erkannt werden kann. Diese Schwellwerte können
bevorzugterweise von einer berechtigten Person, wie einem Systemadministrator
oder einer Sicherheitsstelle, anwendungsspezifisch festgelegt werden.
Um mit möglichst großer Sicherheit feststellen zu können, ob der Zugriff eines Be
nutzers autorisiert ist oder nicht, wird gemäß der bevorzugten Ausführungsform der
vorliegenden Erfindung eine Vielzahl von Zugriffsprofilen erstellt, wobei mindestens
anhand von zwei verschiedenen Zugriffsprofilen bestimmt wird, ob der entspre
chende Zugriff autorisiert ist oder nicht. So kann beispielsweise ein Zugriff als nicht
autorisiert bestimmt werden, in dem ein Benutzer große Datenmengen von dem
Server-Computer 4 herunterlädt und hierzu die Netzwerkverbindung 2, 3 über einen
langen Zeitraum aufrechterhält. Des weiteren kann beispielsweise ein Zugriff als
nicht autorisiert bestimmt werden, in dem in sehr kurzen Zeitabständen auf unter
schiedliche Daten zugegriffen wird, wobei die Zeitabstände derart gering sind, dass
der entsprechende Auslesevorgang ohne Verwenden eines hierzu bestimmten
Software-Programmes nicht möglich wäre. Insbesondere kann beispielsweise ein
Zugriff, in dem ein Benutzer, dessen Zugriffsberechtigungsstufe ausreichend ist, um
Daten einer bestimmten Sicherheitsstufe herunterzuladen, als nicht autorisiert be
stimmt werden für den Fall, das der Benutzer eine große Datenmenge innerhalb
eines vorab bestimmten Zeitrahmens herunterlädt.
Gemäß einer weiteren Variante wird nur ein einziges Zugriffsprofil erstellt, anhand
dessen bestimmt wird, ob der Zugriff autorisiert ist. Beispielsweise wird nur ein
Zugriffsprofil erstellt, das das Verhältnis zwischen einer vorab den Daten zugeord
neten Sicherheitsstufe und einer vorab dem Benutzer zugeordneten Zugriffsberech
tigungsstufe repräsentiert. Anhand dieses Zugriffsprofils kann ein Zugriff eines Be
nutzers auf Daten mit einer bestimmten Sicherheitsstufe als nicht autorisiert erkannt
werden für den Fall, dass die Zugriffsberechtigungsstufe des Benutzers nicht zu
mindest der minimalen Zugriffsberechtigungsstufe entspricht, die gemäß der Si
cherheitsstufe für einen Zugriff notwendig ist. Gemäß einem weiteren Beispiel wird
nur ein Zugriffsprofil erstellt, das die heruntergeladene Datenmenge in einem vor
gegebenen Zeitrahmen repräsentiert. Anhand dieses Zugriffsprofils kann ein Zugriff
eines Benutzers auf Daten als nicht autorisiert erkannt werden für den Fall, dass
der Benutzer beispielsweise innerhalb von 72 Stunden eine Datenmenge von 2 GB
heruntergeladen hat. Der Zeitrahmen und die Größe der Datenmenge können bei
spielsweise von der Sicherheitsstufe und/oder der Zugriffsberechtigungsstufe des
Benutzers abhängig gemacht werden.
Anhand des Ergebnisses der Auswertung 11 erfolgt für den Fall, dass der Zugriff
nicht autorisiert ist, ein Ausführen einer Schutzmaßnahme, wobei vorzugsweise
über eine Netzwerkverbindung 12 von dem Sicherheits-Computer 6 zu dem Server-
Computer 4 die Daten übertragen werden, die die auszuführende Schutzmaßnah
me repräsentieren.
Das bzw. die Zugriffsprofile, anhand deren bestimmt wurde, dass der Zugriff nicht
autorisiert ist, werden vorzugsweise in der Datenbank 10 gespeichert, um als Refe
renzprofile verfügbar gemacht zu werden. Es ist ebenfalls möglich, alle erstellten
Zugriffsprofile als Referenzprofile abzuspeichern.
Die auszuführende Schutzmaßnahme kann beispielsweise in einem Abbrechen der
Netzwerkverbindung 2, 3 zwischen dem Client-Computer und dem Server-
Computer 4 bestehen. Des weiteren kann dem Benutzer bzw. dem entsprechenden
Client-Computer 1 jeder weitere Zugriff verweigert werden. Für den Fall, dass der
Benutzer des Client-Computers 1 berechtigt ist, auf die Daten, die in dem Server-
Computer gespeichert sind, zuzugreifen, kann die Schutzmaßnahme in einem Ent
ziehen der Zugriffsberechtigung bestehen. Insbesondere kann für den Fall, dass der
Benutzer identifiziert werden kann, die Schutzmaßnahme in einem Senden einer
Nachricht an einen Vorgesetzten des Benutzers bestehen. Gemäß einer weiteren
Variante kann die Schutzmaßnahme in einem Senden einer Nachricht an eine Si
cherheitsstelle bestehen, die geeignet ist, weitere Maßnahmen einzuleiten.
Gemäß einem weiteren besonderen Aspekt der vorliegenden Erfindung wird der
Server-Computer 4 als Sicherheits-Computer 6 ausgebildet, so dass ein und der
selbe Computer verwendet werden kann, um sowohl Daten für Benutzer bereitzu
stellen als auch ein effizientes Verfahren zum Zugriffschutz durchzuführen.
Claims (32)
1. Verfahren zum Zugriffschutz in einem Netzwerk, zum Verhindern eines nicht auto
risierten Zugriffs eines Benutzers über eine Netzwerkverbindung auf Daten, die in
einer Speichereinrichtung eines Server-Computers gespeichert sind, umfassend
die folgenden Schritte:
Erzeugen von Protokolldaten, die das Zugriffsverhalten des Benutzers auf Daten, die in dem Server-Computer gespeichert sind, repräsentieren;
Analysieren der Protokolldaten zum Erstellen eines Zugriffsprofils;
Bestimmen anhand des Zugriffsprofils, ob der Zugriff autorisiert ist; und
für den Fall, das der Zugriff nicht autorisiert ist, Ausführen einer Schutzmaßnah me.
Erzeugen von Protokolldaten, die das Zugriffsverhalten des Benutzers auf Daten, die in dem Server-Computer gespeichert sind, repräsentieren;
Analysieren der Protokolldaten zum Erstellen eines Zugriffsprofils;
Bestimmen anhand des Zugriffsprofils, ob der Zugriff autorisiert ist; und
für den Fall, das der Zugriff nicht autorisiert ist, Ausführen einer Schutzmaßnah me.
2. Verfahren nach Anspruch 1, wobei das Zugriffsprofil ein schnelles, manuell nicht
erzeugbares Wechseln zwischen verschiedenen, zu lesenden Dateninhalten rep
räsentiert.
3. Verfahren nach Anspruch 1, wobei das Zugriffsprofil ein Auslesen kompletter Da
tenstrukturen repräsentiert.
4. Verfahren nach Anspruch 1, wobei das Zugriffsprofil eine Dauer der Netzwerkver
bindung zu dem Server-Computer repräsentiert.
5. Verfahren nach Anspruch 1, wobei das Zugriffsprofil das Verhältnis zwischen
Tastenbedienung und Zugriffsverhalten des Benutzers repräsentiert.
6. Verfahren nach Anspruch 1, wobei das Zugriffsprofil das Verhältnis zwischen ei
ner vorab den Daten zugeordneten Sicherheitsstufe und einer vorab dem Be
nutzer zugeordneten Zugriffsberechtigungsstufe repräsentiert.
7. Verfahren nach Anspruch 1, wobei das Zugriffsprofil eine heruntergeladene Da
tenmenge in einem vorgegebenen Zeitrahmen repräsentiert.
8. Verfahren nach einem der Ansprüche 1 bis 7, wobei eine Vielzahl von Zugriffs
profilen erstellt wird und anhand der entsprechenden Zugriffsprofile bestimmt
wird, ob der Zugriff autorisiert ist.
9. Verfahren nach Anspruch 8, wobei mindestens anhand von zwei verschiedenen
Zugriffsprofilen bestimmt wird, ob der Zugriff autorisiert ist.
10. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Schutzmaßnahme in ei
nem Abbrechen der Netzwerkverbindung besteht.
11. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Schutzmaßnahme in ei
nem Verweigern des Zugriffs besteht.
12. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Schutzmaßnahme in ei
nem Entziehen einer Zugriffsberechtigung besteht für den Fall, dass der Benutzer
berechtigt ist auf die Daten, die in dem Server-Computer gespeichert sind, zu
zugreifen.
13. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Schutzmaßnahme in ei
nem Senden einer Nachricht an einen Vorgesetzten des Benutzers besteht für
den Fall, dass der Benutzer identifiziert werden kann.
14. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Schutzmaßnahme in ei
nem Senden einer Nachricht an eine Sicherheitsstelle besteht.
15. Verfahren nach einem der Ansprüche 1 bis 14, umfassend den Schritt des Spei
cherns des Zugriffsprofils.
16. System zum Zugriffschutz in einem Netzwerk, zum Verhindern eines nicht autori
sierten Zugriffs eines Benutzers auf Daten, mit:
einem Server-Computer, der zumindest eine Speichereinrichtung aufweist, in der die Daten gespeichert sind;
einem Client-Computer, der Kommunikationseinrichtungen aufweist, die das Erstellen einer Netzwerkverbindung zu dem Server-Computer ermöglichen, zum
Zugreifen auf die Daten; und
einem Sicherheits-Computer, der Einrichtungen aufweist zum:
Erzeugen von Protokolldaten, die das Zugriffsverhalten des Benutzers auf Da ten, die in dem Server-Computer gespeichert sind, repräsentieren;
Analysieren der Protokolldaten zum Erstellen eines Zugriffsprofils;
Bestimmen anhand des Zugriffsprofils, ob der Zugriff autorisiert ist; und
für den Fall, das der Zugriff nicht autorisiert ist, Ausführen einer Schutzmaß nahme.
einem Server-Computer, der zumindest eine Speichereinrichtung aufweist, in der die Daten gespeichert sind;
einem Client-Computer, der Kommunikationseinrichtungen aufweist, die das Erstellen einer Netzwerkverbindung zu dem Server-Computer ermöglichen, zum
Zugreifen auf die Daten; und
einem Sicherheits-Computer, der Einrichtungen aufweist zum:
Erzeugen von Protokolldaten, die das Zugriffsverhalten des Benutzers auf Da ten, die in dem Server-Computer gespeichert sind, repräsentieren;
Analysieren der Protokolldaten zum Erstellen eines Zugriffsprofils;
Bestimmen anhand des Zugriffsprofils, ob der Zugriff autorisiert ist; und
für den Fall, das der Zugriff nicht autorisiert ist, Ausführen einer Schutzmaß nahme.
17. System nach Anspruch 16, wobei das Zugriffsprofil ein schnelles, manuell nicht
erzeugbares Wechseln zwischen verschiedenen, zu lesenden Dateninhalten rep
räsentiert.
18. System nach Anspruch 16, wobei das Zugriffsprofil ein Auslesen kompletter Da
tenstrukturen repräsentiert.
19. System nach Anspruch 16, wobei das Zugriffsprofil eine Dauer der Netzwerkver
bindung zu dem Server-Computer repräsentiert.
20. System nach Anspruch 16, wobei das Zugriffsprofil das Verhältnis zwischen Tas
tenbedienung und Zugriffsverhalten des Benutzers repräsentiert.
21. System nach Anspruch 16, wobei das Zugriffsprofil das Verhältnis zwischen einer
vorab den Daten zugeordneten Sicherheitsstufe und einer vorab dem Benut
zer zugeordneten Zugriffsberechtigungsstufe repräsentiert.
22. System nach Anspruch 16, wobei das Zugriffsprofil eine heruntergeladene Da
tenmenge in einem vorgegebenen Zeitrahmen repräsentiert.
23. System nach einem der Ansprüche 16 bis 22, wobei der Sicherheits-Computer ein
Erstellen einer Vielzahl von Zugriffsprofilen bewirkt und anhand der entsprechen
den Zugriffsprofile bestimmt wird, ob der Zugriff autorisiert ist.
24. System nach Anspruch 23, wobei der Sicherheits-Computer bewirkt, das min
destens anhand von zwei verschiedenen Zugriffsprofilen bestimmt wird, ob der
Zugriff autorisiert ist.
25. System nach einem der Ansprüche 16 bis 24, wobei der Sicherheits-Computer als
Schutzmaßnahme ein Abbrechen der Netzwerkverbindung bewirkt.
26. System nach einem der Ansprüche 16 bis 24, wobei der Sicherheits-Computer als
Schutzmaßnahme ein Verweigern des Zugriffs bewirkt.
27. System nach einem der Ansprüche 16 bis 24, wobei der Sicherheits-Computer als
Schutzmaßnahme ein Entziehen einer Zugriffsberechtigung bewirkt, für den Fall,
dass der Benutzer berechtigt ist auf die Daten, die in dem Server-Computer ge
speichert sind, zuzugreifen.
28. System nach einem der Ansprüche 16 bis 24, wobei der Sicherheits-Computer als
Schutzmaßnahme ein Senden einer Nachricht an einen Vorgesetzten des Benut
zers bewirkt, für den Fall, dass der Benutzer identifiziert werden kann.
29. System nach einem der Ansprüche 16 bis 24, wobei der Sicherheits-Computer als
Schutzmaßnahme ein Senden einer Nachricht an eine entsprechende Sicher
heitsstelle bewirkt.
30. System nach einem der Ansprüche 16 bis 29, wobei das Zugriffsprofil in der Spei
chereinrichtung des Sicherheits-Computers gespeichert wird.
31. System nach einem der Ansprüche 16 bis 30, wobei der Server-Computer als
Sicherheits-Computers ausgebildet ist.
32. Computer-Programm mit Instruktionen, die ein Ausführen des Verfahrens nach
einem der Ansprüche 1 bis 15 bewirken.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001123501 DE10123501A1 (de) | 2001-05-15 | 2001-05-15 | Verfahren sowie System zum Zugriffschutz in einem Netzwerk |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001123501 DE10123501A1 (de) | 2001-05-15 | 2001-05-15 | Verfahren sowie System zum Zugriffschutz in einem Netzwerk |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10123501A1 true DE10123501A1 (de) | 2002-11-21 |
Family
ID=7684791
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2001123501 Withdrawn DE10123501A1 (de) | 2001-05-15 | 2001-05-15 | Verfahren sowie System zum Zugriffschutz in einem Netzwerk |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10123501A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009060328A1 (en) * | 2007-11-07 | 2009-05-14 | Sandisk Il Ltd | Method and device for digital rights protection |
CN101187965B (zh) * | 2006-11-16 | 2010-12-15 | 思科技术公司 | 用于过滤对数据对象的访问的方法和装置 |
-
2001
- 2001-05-15 DE DE2001123501 patent/DE10123501A1/de not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101187965B (zh) * | 2006-11-16 | 2010-12-15 | 思科技术公司 | 用于过滤对数据对象的访问的方法和装置 |
WO2009060328A1 (en) * | 2007-11-07 | 2009-05-14 | Sandisk Il Ltd | Method and device for digital rights protection |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2843585B1 (de) | Verfahren und System zum Bereitstellen von anonymisierten Daten aus einer Datenbank | |
DE69817176T2 (de) | Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen | |
DE69730321T2 (de) | Verfahren und vorrichtung zum schützen von daten mit mehreren auf datenelementebene anwendbaren verschlüsselungsstufen | |
DE69531082T2 (de) | Verfahren und Vorrichtung mit einem Verschlüsselungskopfteil, die es ermöglicht, Software zu erproben | |
DE60123672T2 (de) | Computersystemschutz | |
DE60102555T2 (de) | Verhinderung der map-aktivierten modulmaskeradeangriffe | |
DE60308489T2 (de) | Anwendungsfensterschließung als Reaktion auf ein Ereignis in einem Parent-Fenster | |
DE112013007160T5 (de) | Entwicklungsumgebungssystem, Entwicklungsumgebungsvorrichtung, Entwicklungsumgebungsbereitstellungsverfahren und Programm | |
DE19953055C2 (de) | Vorrichtung und Verfahren zur geschützten Ausgabe eines elektronischen Dokuments über ein Datenübertragungsnetz | |
DE60221861T2 (de) | Server mit dateiverifikation | |
DE19717900C2 (de) | Verfahren und Applet-Applikationsmaschine zur Verarbeitung eines Computer-Applets sowie ein Computersoftware-Applet | |
DE19962902A1 (de) | Vorrichtung zum Passwort-geschützten Handhaben eines elektronischen Dokuments | |
DE60017438T2 (de) | System zur betriebsmittelzugriffsteuerung | |
DE10123501A1 (de) | Verfahren sowie System zum Zugriffschutz in einem Netzwerk | |
EP1953654A1 (de) | Verfahren zur Ermittlung von zumindest zwei ähnlichen Webseiten | |
DE19734585C2 (de) | Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen | |
DE69907236T2 (de) | Verfahren zur herstellung einer unlösbaren verknüpfung zwischen einem elektronischen dokument und ole objekten | |
EP3266185A1 (de) | System und verfahren zum analysieren von forensischen daten in einem cloudsystem | |
DE10108564A1 (de) | Verfahren zur Suche nach in einem verteilten System aktuell oder früher gespeicherten Daten oder Daten enthaltenden Ressourcen unter Berücksichtigung des Zeitpunkts ihrer Verfügbarkeit | |
DE102005049510A1 (de) | Verfahren zum Verwalten eines Sicherheitssystems | |
DE4103173C2 (de) | Vorrichtung zum Schutz gegen unautorisierte Benutzung von Software | |
WO2015155037A1 (de) | Verfahren zur zerstörung von dateiinhalten | |
DE10134093C2 (de) | Verfahren und Anordnung zum Entfernen von Verbindungen aus einem Netzwerk mit Knoten und Verbindungen | |
DE10017121C2 (de) | Datenverarbeitungsanlage mit Zugriffsfilter | |
DE102004037183B4 (de) | Rechnersystem, umfassend wenigstens einen Server und mehrere Clients, die über ein Intranet miteinander verbunden sind |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8139 | Disposal/non-payment of the annual fee |