HjemReferanserPartnereProduktdemonstrasjonAndre produkterOm WebSite
Kontakt oss
Produktinfo


 
  Event SystemProduktinformasjonSikkerhet og adgangskontrollSikkerhet og adgangskontroll  
   
 

Sikkerhet og adgangskontroll i Web123

Kompleksiteten øker
Adgangskontrollsystemene blir stadig mer komplekse. Tidligere var det tilstrekkelig å sørge for at systemene spurte brukerne om akkreditering (vanligvis bruker-id og passord), og aksepterte eller forhindret tilgang basert på responsen. Men etter hvert som internettet og bedriftenes datasystemer modnes, har behovet for mer avanserte adgangskontrollsystemer økt tilsvarende. Og med dette økende behovet har vi fått en stadig økende kompleksitet.

Identitetsbasert adgangskontroll (’IBAC’)
Dette er fortsatt den mest brukte mekanisme for adgangskontroll (først og fremst av historiske årsaker; mange av applikasjonene som fortsatt brukes ble utviklet på en tid hvor det ikke fantes andre alternativer). Men å bestemme den enkelte brukers spesifikke adgang til hvert program som finnes, og til funksjoner, data og andre ressurser, medfører en stor administrativ byrde. Når antallet brukere og ressurser øker, vil slike løsninger enten gå ut over bunnlinjen direkte (gjennom administrasjonskostnadene, om systemene faktisk blir brukt), eller indirekte (gjennom risikoeksponering og sikkerhetsbrudd, fordi systemene er så innfløkte at de ikke lenger blir brukt). (Men merk at for meget små virksomheter vil allikevel IBAC være den mest kosteffektive adgangskontrollmekanismen).

Rollebasert adgangskontroll (’RBAC’)
Den moderne løsningen på dette er rollebasert adgangskontroll (’RBAC’). I rollebasert adgangskontroll etableres det aksessmønstre for virksomhetens ulike roller. Rollen som lege gir ett sett av tilganger, mens rollen som sykepleier gir et annet sett, og rollen som pasient et tredje sett. Mens legen kan se samtlige pasientjournaler, får sykepleieren bare se journalene på egen avdeling, og pasienten får kun se sin egen. Administrasjon av et slikt system er betydelig enklere og billigere enn et identitetsbasert system selv for relativt små virksomheter/organisasjoner.

De mest moderne løsningene omfatter regel- eller policy-basert adgangskontroll. I slike systemer er adgangen i stor grad bestemt av virksomhetens generelle retningslinjer og regler. Slike systemer er enda mer kosteffektive, ettersom de er enda enklere å administrere i virksomheten. Regelbaserte adgangskontroll-systemer tar hensyn ikke bare til rollen og rolleinnholdet, samt hvem som skal inneha rollen, men også til omstendighetene rundt prosessene rollen er tilknyttet til enhver tid. Om virksomheten har en regel som tilsier at ”en nattoperasjonssykepleier får kun tilføye kirurgisk informasjon til en pasientjournal når det skjer fra en terminal i operasjonssalen, og kun i tidsrommet 24:00 til 07:00”, kan dette ganske enkelt legges inn i et regelbasert adgangskontrollsystem. Å legge inn slike regler i et rent rollebasert adgangskontrollsystem, eller i et identitetsbasert adgangskontrollsystem, vil være vanskelig eller umulig, og uansett relativt kostbart. I de fleste av dagens aktive systemer blir dette derfor ikke gjort, men det blir brukt papirprosedyrer i tillegg. Dette gir høgere kostnad og lavere kvalitet enn et regelbasert adgangskontrollsystem.

Flere studier innen utvikling av sikkerhetsarkitektur for IKT-løsninger har vist at det ikke er mulig for IKT-leverandøren å avgjøre at en av disse mekanismene vil være den rette for kundene – kundenes virksomheter er rett og slett alt for ulike. For Web123 har vi i stedet utviklet en sikkerhetsarkitektur som gjør det mulig for kundene å velge hvilken løsning som passer best – ettersom arkitekturen inneholder elementene som muliggjør så vel identitetsbasert som rollebasert og regelbasert sikkerhet. Websites kunder kan derfor starte med den arkitektur som passer virksomheten best i øyeblikket, og siden endre aksesskontrollarkitekturen i tråd med endrede forutsetninger i virksomheten, uten at det er nødvendig med betydelige inngrep i løsningen. Grunnfilosofien bak Web123 gjelder også her: Tilpasningen gjøres på 1-2-3.

Også andre sikkerhetsaspekter er umulige for en leverandør å ha en entydig løsning for på kundens vegne. Mens noen virksomheter bruker en ’behov for å beskytte’-strategi (alt er åpent for alle, med unntak for de tingene det er behov for å beskytte), bruker andre en ’behov for tilgang’- strategi (alt er stengt for alle, med unntak for de tingene den enkelte har behov for i sitt arbeid). Web123 sin sikkerhetsarkitektur omfatter begge strategiene, og Web123-løsningene bygges om fra støtte for den ene strategien til støtte for den andre gjennom ett enkelt tastetrykk. Enklere enn 1-2-3, faktisk!
 
Nyheter                          

Kommunenes Sentralforbund

IDG Magazines Norge AS

Progress AS

Destination Norway AS

Travel & Event AS

[Arkiv]



Artikler                          

Restplass.no

Star Tour AS

SMS Modul

Nye moduler til Event123 og Web123

Én person kan melde på flere deltakere til ett arrangement.

[Arkiv]


Abonnér på nyhetsbrev
En utsendelse pr. måned


  
WebSite AS - Hetlandsgt. 9 (Høyhuset), Boks 323, 4349 BRYNE - Telefon 958 92 010 - Telefaks 904 43 935 - E-mail: info@website.no