Die Sicherheit von DV Systemen umfaßt ein recht breites Spektrum. Die Grundbedrohungen, denen durch Sicherheitsmaßnahmen begegnet sein sollte, sind, wie z.B. in der Publikation "IT-Sicherheitskriterien" der Bundesanzeiger Verlagsgesellschaft beschrieben:
Die Forderungen, die sich aus diesen Bedrohungen ableiten lassen, sind also beispielsweise, daß bei Betriebsstörungen wie Rechnerausfall, Programmabstürzen etc. der Zeit- und Datenverlust möglichst gering bleibt, Desweiteren muß sichergestellt werden, daß die Daten der einzelnen Benutzer vor unbefugtem Zugriff anderer Benutzer geschützt sind.
Diesen Aspekten ist in L3 auf unterschiedlichen Ebenen Rechnung getragen worden. Im folgenden soll Ihnen zunächst dargelegt werden, wie der Schutz vor Datenverlust in L3 realisiert ist. Danach werden Ihnen die Möglichkeiten aufgezeigt, wie Sie Ihr L3 System umfassend gegen Datenmißbrauch schützen können.
Grundlage von L3 ist die Fixpunkt-Rerun Logik. Ein Fixpunkt ist eine Sicherung des Systemzustandes auf die Festplatte. Das L3 System wird in sich durch eine Vielzahl von unabhängigen Tasks gebildet. Diese Tasks lassen sich auch als (recht komplizierte) Datenstruktur auffassen. Diese Betrachtungsweise macht sich der L3 Systemkern zu eigen. Er schreibt in regelmäßigen Zeitintervallen zunächst alle seit dem letzten Fixpunkt veränderten Daten und dann eine Beschreibung dieser neuen Systemstruktur auf die Festplatte. Der Zeitpunkt, zu dem diese Aktion abgeschlossen wurde und die damit vorgenommene Systembeschreibung als aktuell und gültig genommen wird, wird als ein Fixpunkt bezeichnet. Der Systemkern beginnt sofort wieder mit der Protokollierung der Systemaktivitäten für den nächsten Fixpunkt. Diese Vorbereitung und der Fixpunkt selbst führen übrigens zu den scheinbar unmotivierten Aktivitäten der Festplatte.
Die Tatsache, daß auf der Festplatte stets eine konsistente Beschreibung des gesamten Systems ist, bewirkt, daß nach einer Störung immer mit dem konsistenten Systemzustand des letzten Fixpunktes weitergearbeitet werden kann. Insbesondere können nur die Daten verloren gehen, die seit dem letzten Fixpunkt verändert wurden. Die Situation, daß irgendwelche Daten seit Stunden im Arbeitsspeicher sind, ohne je auf Platte gesichert zu werden, ist bei einem sinnvoll gewählten Fixpunkt-Intervall nicht möglich.
Da der Zeitraum zwischen zwei Fixpunkten im System einstellbar ist, können Sie ihn den individuellen Erfordernissen Ihrer Arbeitsumgebung anpassen. Der minimale Zeitraum zwischen zwei Fixpunkten beträgt 5 Minuten, in der Praxis hat sich ein Zeitraum zwischen 10 und 30 Minuten als sinnvoll erwiesen.
Einstellen können Sie das Intervall der automatischen Fixpunktsicherung im Menü der Task OPERATOR, die bekanntlich für solche Aufgaben der Systemverwaltung zuständig ist. Koppeln Sie diese Task an, wählen Sie den Menüpunkt
OPERATOR - Verwaltung - Fixpunktintervall setzen
und stellen Sie mit den Cursortasten das gewünschte Intervall ein.
Fixpunkte können auch explizit ausgelöst werden. Dies kann z.B. sinnvoll sein, wenn Ihr System einen Speicherengpaß meldet. Das erwartete Löschen von überflüssigen Dateien oder Tasks hat aber erst dann eine Auswirkung, wenn vorhergehend eine sogenannte Müllabfuhr der gelöschten Daten (garbage collection) durchgeführt wurde. Zunächst muß also der Müll eingesammelt werden, anschließend wird das bereinigte System gültig gesetzt:
OPERATOR - Verwaltung - Müllabfuhr durchführen
OPERATOR - Verwaltung - Fixpunkt schreiben
Bei Mehrplatzinstallationen sollten diese Eingriffe in die Systemfunktion dem Systemverwalter vorbehalten sein. Demzufolge sollte auch diese Task durch ein Paßwort geschützt werden.
Das Prinzip der Fixpoint-Rerun-Logik ist zwar ein sicheres Hilfsmittel, um Datenverluste aus dem Hauptspeicher zu verhindern, es nützt Ihnen jedoch nichts mehr, wenn Daten auf dem externen Speicher, also Ihrer Festplatte, aus irgendeinem Grund nicht mehr verfügbar sind. Sie müssen deshalb in regelmäßigen Abständen eine Sicherung Ihrer wichtigen Daten auf Archivmedien durchführen.
Das einfachste und preiswerteste Mittel der Datensicherung sind immer noch Disketten. Obwohl ihre Kapazität recht begrenzt ist, kann ihre regelmäßige Benutzung doch eine Menge Überstunden ersparen. Um die Kapazität von Disketten beträchtlich zu steigern, kann man im übrige kleine Sicherungsroutinen entwickeln, die eines der verbreiteten und kostengünstigen DOS Komprimier- Programme, wie "PKZIP" oder "LHARC" enthalten.
Für die Sicherung größerer Datenmengen kann ein Bandlaufwerk benutzt werden. Das L3 System enthält alle benötigte Software für Wangtek Laufwerke der Typen 5099 (60 MByte) und 5150 (150/250 MByte, je nach Bandsorte). Wenn ein solches Laufwerk eingebaut und konfiguriert ist, besteht auch die Möglichkeit, das gesamte L3 System auf Band zu sichern. Im OPERATOR steht dann ein entsprechender Menüpunkt zur Auswahl:
OPERATOR - Verwaltung - System auf Band sichern
Nach Auslösen dieser Aktion werden die Aktivitäten aller angeschlossenen Plätze gestoppt und das L3 System mit seinem vollen Datenbestand und natürlich auch allen Einstellungen auf Band geschrieben.
Zu beachten bei dieser Art der Sicherung:
Als 'große, schnelle' Diskette kann auch ein Wechsel-Festplattenlaufwerk Syquest benutzt werden. Voraussetzung ist jedoch ein Adaptec 1542B SCSI Festplatten-Controller, an den dieses Laufwerk mit angeschlossen wird. Das Laufwerk muß unter DOS konfiguriert werden und die Platten müssen unter DOS formatiert werden. Sie werden dann unter L3, entsprechend der unter DOS vorgenommenen Konfiguration, z.B. als ARCHIVE E: erkannt und benutzt.
Wie Sie bereits wissen, sind Daten im L3 System ausschließlich tasklokale Objekte. Stellt eine Task ihre Daten nicht freiwillig anderen Tasks zur Verfügung, ist ein Zugriff auf die Daten nur durch Ankoppeln der Task möglich. Auch im Rahmen komplexer Systeme gilt dieses: eine Datenbankanwendung wird typischerweise nicht nur aus einer Task bestehen, sondern aus mehreren kooperierenden. Die eigentlichen Datenbankfunktionen und -Daten liegen in Tasks, die ohne Terminalanschluß (»im Hintergrund«) laufen. Der Benutzerzugriff geschieht durch besondere Tasks, die mit der eigentlichen Datenbank kommunizieren.
Die Daten können also unberechtigtem Zugriff geschützt werden, indem das Ankoppeln einer Task an ein Terminal verhindert wird.
Durch Vergabe eines Task-Paßwortes ist der Zugang zu dieser Task für jeden verwehrt, der dieses Paßwort nicht kennt. Dies gilt auch für den eigentlich Berechtigten, wenn er das Paßwort vergessen hat!
Die Vergabe eines Task-Paßwortes erreichen Sie auf Kommandoebene wie folgt:
meine task:\ (PRIVAT)
task password
Anschließend erfolgt eine zweimalige Abfrage des neuen Paßworts.
Bitte geben Sie das neue Passwort ein:
Bitte geben Sie das neue Passwort noch einmal ein:
Da Ihre Eingabe unsichtbar bleibt, ist die Forderung nach nochmaliger Eingabe eine zusätzliche Sicherung, daß Sie tatsächlich das gewünschte Paßwort eingegeben und sich nicht verschrieben haben.
War die Task bereits mit einem Paßwort geschützt, müssen Sie vor Vergabe eines neuen Paßwortes zunächst das alte eingeben. Damit wird verhindert, daß Sie den alten Paßwortschutz durch Vergabe eines neuen Paßwortes aufheben.
Nach Vergabe des Paßwortes ist ein Ankoppeln der Task nur nach Eingabe des korrekten Paßwortes möglich.
Wollen Sie ein Paßwort wieder löschen, geben Sie auf Anfrage zunächst das alte Paßwort ein und drücken statt der Eingabe eines neuen Paßwortes einfach die Taste ENTER .
In eigene Programmen kann diese Paßwordmimik wie vorhanden oder auch mit eigenen Erweiterungen/Verschärfungen verwandt werden.
Im Systemzweig von L3 werden Funktionen zur Verfügung gestellt, deren Ausführung nicht jedem Benutzer gestattet sein sollte. So kann man z.B. aus jeder Task des Systemzweiges heraus jede Task des Benutzerzweiges löschen. Käme etwa ein Benutzer auf die Idee, die Task PUBLIC zu löschen, wären damit auch alle Sohntasks von PUBLIC gelöscht und wohl der größte Teil der Anwenderdaten verloren.
Um so etwas zu verhindern, ist die Vergabe eines Task-Paßwortes für alle bestehenden Tasks des Systemzweiges noch kein ausreichender Schutz, da es weiterhin möglich wäre, neue Tasks als Söhne einer Systemtask anzulegen, die dann alle Eigenschaften und Fähigkeiten der Vatertask geerbt hätten. Aus diesem Grund kann auch die Neuanlage einer Task von der vorherigen Eingabe eines Paßwortes abhängig gemacht werden.
Die Vergabe eines begin-Paßwortes erreichen Sie wie folgt:
NETZ:\ (FREI)
begin password
Bei jedem Versuch, eine neue Task als Sohn der Task NETZ anzulegen, wird nun das Paßwort abgefragt und nur nach korrekter Eingabe eine neue Task angelegt.
Das Löschen eines begin-Paßwortes geschieht analog zum Löschen eines Task-Paßwortes. Bei der Frage nach dem neuen begin-Paßwort wird kein neues Paßwort eingegeben, sondern lediglich die Taste ENTER gedrückt.
ACHTUNG: Beim Anlegen einer neuen Task unter einer Task, in der ein begin-Paßwort vergeben wurde, wird dieses begin-Paßwort der Vatertask zum Task-Paßwort der neuen Sohntask. Wenn Sie nun das begin-Paßwort der Vatertask ändern oder löschen, bleibt das Task-Paßwort der Sohntask erhalten.