Beveiliging
Breed
Beveiliging is een breed allesomvattend proces waarvan software slechts een onderdeel vormt.
ISO/IEC 27002
OpenIMSadviseert voor beveiliging ISO/IEC 27002. Deze standaard heeft een meervoudige insteek:
- Beleid.
- Organisatorisch (verantwoordelijkheden).
- Assets (laptops, telefoons, ...).
- Personeel (fouten, diefstal, fraude, misbruik).
- Fysiek (sloten, brandbeveiliging, ...).
- Communicatie en operatie (processen en procedures).
- Toegangscontrole (passwords, bio-metrie, ...).
- Systeemontwikkeling en onderhoud.
- Continuïteit (back-up en restore, fallback systemen, ...).
- Regelgeving (web bescherming persoonsgegevens, ...).
Wat regelt OpenIMS hierin
Een aantal aspecten dievoor beveiliging van belang zijn worden door OpenIMSafgedekt:
- Zowel de sourcecode van OpenIMS als van het platform waar OpenIMS op draait (Apache, PHP en eventueel Linux) is volledig beschikbaar voor inspectie. Het merendeel van deze sourcecode is dankzij het Open Source beginsel al door duizenden ontwikkelaars getoetst op beveiligingsaspecten. Dit is overigens nooit een absolute garantie.
- Indien de OpenIMS native user database gebruikt wordt (en niet bijvoorbeeld LDAP) worden wachtwoorden in de vorm van een crypto hash (SHA-512, 5000 rounds) opgeslagen.
- Elk toegankelijk te maken object (bijvoorbeeld documenten) worden gecodeerd met een crypto hash gebaseerd GUID (global unique id), dit maakt het raden van deze code vrijwel onmogelijk (dit is dezelfde methodiek die wordt gebruikt voor digitale handtekeningen).
- VPN en/of SSL kan worden gebruikt om de verbinding tussen OpenIMS en de eindgebruiker te beveiligen.
- Daarnaast is het ook mogelijk om speciale controles uit te voeren als bijvoorbeeld IP range detectie voor extra gevoelige informatie.
- In een Linux omgeving kan het Transparent Cryptographic File System gebruikt worden om zelfs bij diefstal van hardware nog steeds de documenten ontoegankelijk te houden. Dit verhoogt wel de eisen aan de hardware.
- OpenIMS heeft standaard controles voor de kwaliteit van wachtwoorden welke naar eigen inzicht kunnen worden uitgebreid.
- De audit trails van OpenIMS kunnen worden gebruikt om per document of webpagina te bekijken wie wanneer welke wijzigingen heeft aangebracht.
- Mits het onderliggende platform goed is geconfigureerd vormt OpenIMS de enige toegang naar de in OpenIMS opgeslagen data. Hiervoor is van belang dat zowel op operating systeem als op webserver niveau de zogenaamde directory rechten zijn uitgeschakeld.
- Mogelijkheid tot replicatie om beschikbaarheid te verhogen indien er bijvoorbeeld een hardware storing is.
Op verzoek is uitgebreidere documentatie over dit onderwerp beschikbaar. Deze wordt ook standaard beschikbaar gesteld aan al onze klanten.
We adviseren om voor alle gebruikte elementen te zorgen dat de security patches up to date zijn.
We noemden het eerder maar herhalen het hier nogmaals. Software is slechts een onderdeel van de beveiliging. Als het systeem goede wachtwoorden afdwingt maar de gebruiker deze met het bekende gele briefje op de monitor plakt kan geen software in de wereld daar wat tegen doen.