Nächste Seite: 3.7 Folgerungen für ein
Aufwärts: 3. Risikoanalyse für MASA
Vorherige Seite: 3.5 Zusätzliche Dienste
Inhalt
Unterabschnitte
3.6 Ansätze für Sicherungsmaßnahmen
Nachdem durch die Schnittstellen-Sicht klar geworden ist, daß
Sicherungsmaßnahmen für Endsystem, Agentensystem und Agenten
erforderlich sind, sollen, für eine erste Einschätzung, die Vor- und
Nachteile aufgezeigt werden, wenn die jeweilige Entität
eigenverantwortlich für die Überprüfung und Durchsetzung von
Sicherungsmaßnahmen zuständig ist.
Abbildung 3.2:
Sicherung durch das Endsystem
|
|
Jegliche Sicherungsmaßnahmen werden durch das Endsystem bzw. das
darauf ablaufende Betriebssystem vorgenommen. Dabei erscheint das
gesamte Agentensystem mit den darauf ablaufenden Agenten als ``Black
Box''.
Ein Beispiel für solches Vorgehen wäre die Nutzung von Zugriffsrechten
des Betriebssystems auf Dateien, um das (lokale) Dateisystem des
Endsystems zu sichern.
- Sicherheitseigenschaften können völlig unabhängig von
Agentensystem und Agenten zugesichert werden.
- Einfach zu implementieren, da Agentensystem und Agenten
nicht verändert werden müssen.
- Es ist nur ein Schutz des Endsystems erreichbar, der
wechselseitige Schutz der anderen Entitäten des Modells ist
nicht möglich, da diese vom Endsystem durch die ``Black
Box''-Sicht auf das Agentensystem nicht unterschieden werden
können.
- Die dynamische Anpassung der Sicherheitsmaßnahmen ist
faktisch unmöglich, da die Dynamik innerhalb des Agentensystems
verborgen bleibt.
- Unterschiedliche Eigentumsverhältnisse von Agenten sind
nicht mehr erkennbar, alle Agenten erscheinen als wären sie dem
Eigentümer des Agentensystems zugeordnet.
- Ebenso durch die ``Black Box''-Sicht bedingt, kann ein
semantischer Zusammenhang von Einzelaktionen nicht hergestellt
werden.
- Die Menge der möglichen Sicherungsmaßnahmen und ihre
Ausprägung ist abhängig vom der Plattform des Endsystem. Dies
stellt besonders für das Management von heterogenen Systemen, wie
dies im Netz- und Systemmanagement gefordert ist, eine große
Einschränkung dar.
- Die Sicherungsmaßnahmen sind selbst schlecht managebar, da
sich die Management-Schnittstellen und Mechanismen zwischen
verschiedenen Endsystem-Plattformen unterscheiden.
Somit sind Sicherungsmaßnahmen durch das Endsystem höchstens geeignet
um das Endsystem selbst vor dem Agentensystem und dessen Agenten zu
schützen. Für die restlichen Teile eines SmA kann damit kein Schutz
gewährleistet werden.
Abbildung 3.3:
Sicherung durch Agenten
|
|
Jegliche Sicherung wird durch die Agenten selbst vorgenommen. Diese sind
alleinig für Überwachung und Durchsetzung von Zusicherungen
verantwortlich.
- Ein Agent kann sich bezüglich seiner Semantik optimal selbst
schützen.
- Feingranular: Schutzfunktionen können optimal auf die
Semantik des Agenten abgestimmt werden.
- Ein Agent kann sich nie vollständig selbst schützen, da
er unter der Kontrolle des Agentensystems steht.
- Die möglichen Schutzmaßnahmen sind immer nur so gut, wie die
eigene Implementierung dieser Maßnahmen.
- Agentensysteme und Endsysteme müssen Agenten voll vertrauen.
- Es können keine allgemeinen Zusicherungen gemacht werden.
- Es existiert keine zentrale Management-Komponente.
Werden Sicherungsmaßnahmen ausschließlich durch Agenten ergriffen, so
ist ein Schutz des Agentensystems und des Endsystems nur dann
gewährleistet, wenn alle Agenten deren Schutz realisieren.
Die Sicherungsmaßnahmen werden durch das Agentensystem überwacht und
durchgesetzt. Dabei wird die Eigenschaft genutzt, daß das Agentensystem
die Laufzeitumgebung der Agenten implementiert, um Sicherungen
zwischen Agenten durchzusetzen.
Abbildung 3.4:
Sicherung durch das Agentensystem
|
|
- Agenten können wechselseitig voreinander geschützt werden,
unabhängig davon, ob diese eigene Sicherungsmaßnahmen ergreifen.
- Mit dem Agentensystem steht eine im gesamten SmA
vereinheitlichte (und damit plattformunabhängige) Schnittstelle zu
Verfügung, die für das Management der Sicherheitsarchitektur
genutzt werden kann.
- Sicherheitsmaßnahmen für das Endsystem können
plattformunabhängig im Agentensystem realisiert werden, ohne auf
spezielle Eigenheiten von Endsystemen eingehen zu müssen.
- Die Semantik der Schutzfunktionen kann keine Rücksicht auf
spezielle Semantiken von Agenten nehmen.
- Endsysteme und Agenten müssen auf die Schutzmaßnahmen im
Agentensystem vertrauen.
Nächste Seite: 3.7 Folgerungen für ein
Aufwärts: 3. Risikoanalyse für MASA
Vorherige Seite: 3.5 Zusätzliche Dienste
Inhalt
harald@roelle.com
![\includegraphics [width=0.60\textwidth]{sec_by_es}](roel99-img7.gif)
![\includegraphics [width=0.60\textwidth]{sec_by_agent}](roel99-img8.gif)
![\includegraphics [width=0.60\textwidth]{sec_by_as}](roel99-img9.gif)