Zum Inhalt springen

Projektantrag: Schwachstellenmanagement - Vulnerability Scanner


fisili

Empfohlene Beiträge

Freunde der Informatik :)

jetzt ist es auch bei mir langsam soweit, die Prüfung naht und der Projektantrag muss abgegeben werden.
Ich hab echt lange überlegt was ich mache und jetzt hab ich was cooles gefunden, dass sich auch in meinem Betrieb umsetzen lässt.

Evaluieren will ich OpenVAS, Nessus und Nexpose. Ich weiß noch nicht was ich auswähle. OpenVAS eventuell, weil es frei verfügbar ist. Bei den anderen will ich mal nachfragen, ob man als "Student" eine längere Testversion bekommen kann (die bieten nur 7 bzw. 14 Tage Test an, das ist mir zuwenig).

Ich würde mich sehr freuen, wenn Ihr Euch das mal anschaut und mit Kritik nicht spart !
Die Anlagen muss ich mir auch noch überlegen (irgendwie doof, dass man im Vorfeld schon wissen soll, was man beifügt)

-->

Thema der Projektarbeit

 

Evaluierung, Installation und Test eines Schwachstellen-Management-Systems (Vulnerability Management) zur Überwachung, Analyse und Dokumentation von Software- und Netzwerkschwachstellen

Geplanter Bearbeitungszeitraum

 

06.04 – 14.04

Projektumfeld

 

Das Universitätsklinikum XXXXX ist ein Krankenhaus der höchsten Versorgungsstufe. Es arbeiten mehr als 3.400 Mitarbeiter, Ärzte, Krankenschwestern, Pfleger sowie Angestellte der Verwaltung dort. Die Einrichtung gliedert sich in 21 Kliniken und 17 Institute.

 

Alle Klinikbereiche werden vom Dezernat IT betreut, das eine umfangreiche heterogene IT-Landschaft mit vielen Servern und mehr als 4.500 Endgeräten betreibt und bereitstellt.

Das Dezernat IT gliedert sich weiter in die Unterbereiche Projektmanagement, Service, Infrastruktur und Anwendungsbetreuung.

Die Abteilung IT-Infrastruktur betreut eine Vielzahl von Server mit verschiedenen Betriebssystemen (Win2000 bis Windows Server 2012 R2, versch. Linux-Server) und stellt das Netzwerk (Kabelgebunden und WLan) bereit. Ein Großteil dieser Server ist bereits über VMWare virtualisiert, es gibt aber auch noch dedizierte Server. Weiterhin wird aktuell eine Citrix-Serverfarm zum Betrieb von Thin-Clients aufgebaut und ständig erweitert.

System und Betriebssicherheit der IT-Systeme ist eines der wichtigsten Themen, da nahezu alle Bereiche des Klinikums von der IT-Infrastruktur abhängig sind. Durch geeignete Maßnahmen, wie z.B. Firewall, Spam-Mail-Erkennung, Intrusion-Detection-Systemen, Virenchecker usw. wird die  IT-Sicherheit gewährleistet.

Projektbeschreibung

 

Ziel dieses Projektes ist die Netzwerk- und Systemsicherheit durch den Einsatz eines Schwachstellen-Management-Systems (Vulnerability Management, Vulnerbility Scanner) weiter zu verbessern.

Das Schwachstellen-Management-System soll Server und Geräte der IT-Infrastruktur regelmäßig auf bekannte Sicherheitslücken oder Misskonfigurationen testen und entsprechend das Risiko bewerten. Die Ergebnisse und Maßnahmen soll das System nachvollziehbar dokumentieren und archivieren.

Durch eine Marksichtung ist eine geeignete Software zu evaluieren.
Die gewählte Software wird testweise auf einer virtuellen Maschine installiert und innerhalb eines Testnetzwerkes an verschiedenen Systemen getestet.

Die Vorgehensweise bei der Installation und die Ergebnisse des Testscans werden dokumentiert. Die verantwortlichen Mitarbeiter der Abteilung Infrastruktur erhalten am Ende des Projekts eine Einführung in das neue System als Präsentation.

Auftraggeber ist die Abteilung Infrastruktur des Dezernates IT der Universitätsklinik XXXXXX. Leiter der Abteilung ist Herr XXXX

Projektphasen mit Zeitplanung in Stunden

 

1.      Projektplanung                  (9)

1.1.   Ist-Analyse                                                                                       (1)

1.2.   Soll-Konzept                                                                                    (1)

1.3.   Informationsbeschaffung und Evaluierung geeigneter Software      (4)

1.4.   Kostenanalyse und Auswahl                                                            (1)

1.5.   Planung der Installation, Konfiguration und des Funktionstests       (2)

 

 

2.      Projektdurchführung         (13)

2.1.   Vorbereitung virtuelle Maschine                                                      (1)

2.2.   Installation der gewählten Software                                                 (3)

2.3.   Grundkonfiguration der Software                                                    (2)

2.4.   Konfiguration von Scans und Alarmen                                             (1)

2.5.   Behebung von Fehlern und Problemen                                          (2)

2.6.   Einrichten einer virtuellen Testumgebung                                        (2)

2.7.   Testen der Scans innerhalb des Testnetzwerks                                (2)

 

 

3.      Projektabschluss               (13)

3.1.   Dokumentation der Installation                                                        (1)

3.2.   Dokumentation der Testscans                                                         (1)      

3.3.   Ergebnisanalyse und Fazit                                                               (1)

3.4.   Erstellen der Projektdokumentation                                                 (7)

3.5.   Erstellen der Präsentation                                                                (2)

3.6.   Präsentation der Ergebnisse für die Abteilung Infrastruktur             (1)

Gesamt: 35 Stunden

Link zu diesem Kommentar
Auf anderen Seiten teilen

Vielen Dank erstmal,

ja da soll noch eine interne Präsentation stattfinden.
Aber du hast recht, ich werde den Zeitplan nochmal etwas verändern ... Vielleicht nur 1h für die Präsi und die Stunde noch in der Durchführung unterbringen ...

Bearbeitet von fisili
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ja ... 1 Stunde für das Sollkonzept ist wirklich etwas wenig...
Die interne Präsentation ist vielleicht zu viel des Guten ... Ist auch optional.
Ich denke ich werde die 3 Stunden lieber noch auf das Sollkonzept und in die Ausführung fließen lassen ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Grundsätzlich finde ich den Antrag super und auch das Thema ist sehr gut geeignet!

Ein für die IHK wichtiger Punkt fehlt aus meiner Sicht allerdings noch:

Wie sieht es mit der Wirtschaftlichkeit des Projekts aus?

Du hast bereits die Kostenanalyse in deiner Zeitplanung mit drinnen, das ist schon mal top. Vielleicht bringst du in einem Satz noch mit ein warum ihr das nun (mit einem neuen Tool?) machen wollt, bzw. wie sich das auf die Kosten auswirkt. Sind zuvor Pentests von (teuren) externen Firmen gemacht worden, die dadurch (vielleicht) abgelöst werden können? Müssen Lizenzen von alten Tools verlängert werden? Können damit Risiken minimiert werden um so hohe Schadenssummen im Worst Case zu vermeiden?

Bearbeitet von licklake
Link zu diesem Kommentar
Auf anderen Seiten teilen

Danke, dass ist ein guter Tip. Ich werde mal gucken, ob ich da noch was in den Umfeldtext rein schreibe.
Allerdings muss ich mir ja für die Projektarbeit auch noch ein bißchen was "übrig" behalten :)

Dazu kommt, dass dieses Thema eigentlich sehr umfangreich ist und vielleicht in Gänze betrachtet auch zu Fett ist für die 35 Stunden.

Einen Pentest wird man mit solchen Systemen eher nicht ablösen, aber man kann natürlich sein Patchmanagement dadurch verbessern und überwachen. Oft ergeben sich ja Lücken aus dem Zusammenhang, den so ein Schwachstellenscan nicht sieht (oder nicht sehen kann). Aber es hilft sich die Spielkinder vom Hals zu halten ;)

 

Ja Prima ! Ich danke Euch allen für die Mühe, ich denke ich werden die Woche noch vergehen lassen und dann die Finale Version in Richtung IHK schicken !

Viele Grüße von der Ostseeküste !


 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hab doch noch eine Frage. In dem Antragsformular von der IHK Rostock gibt es ein Feld "Geplante Dokumentation".

Wie detailiert muss das sein ? Muss ich jetzt schon wissen, was für Anlagen ich beifüge ?

In meinem Fall würde ich schreiben: Projektdokumentation gedruckt im Schnellhefter, Dokumentation Installation, Dokumentation Testscans

Die Projektdokumentation wird aber sicher noch Anlagen haben (z.B. aus der Ist-Anaylse oder eine Funktionsmatrix)

VulnerabilitySystem-Antrag-IHK_leer.pdf

Bearbeitet von fisili
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...