Bundesamt für Sicherheit in der Informationstechnik

M 2.171 Geeignete Auswahl eines Systemmanagement-Produktes

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Nach Aufnahme der aktuellen Systemsituation (siehe M 2.168 IT-System-Analyse vor Einführung eines Systemmanagement-Systems ) und Festlegung der Managementstrategie (siehe M 2.169 Entwickeln einer Systemmanagementstrategie ) muss ein geeignetes Systemmanagement-System ausgewählt werden. Je nach Größe des zu verwaltenden Systems können hier unterschiedliche Realisierungen zweckmäßig sein:

  • Für kleine Systeme kann das Systemmanagement von der Systemadministration "von Hand" erledigt werden.
  • Für kleine und mittlere Systeme kann das Systemmanagement auch durch eine Sammlung von einzelnen Tools durchgeführt werden.
  • Für große Systeme sollte ein Systemmanagement-System benutzt werden.

Moderne netzfähige Betriebssysteme sind in der Regel schon mit Funktionen ausgestattet, die eine zentrale Verwaltung z. B. von Benutzern und Benutzergruppen erlauben. Für den Unix-Bereich kann hier z. B. NIS oder NIS + genannt werden, im Windows-Bereich erlaubt das Windows Domänen-Konzept eine zentrale Benutzerverwaltung über den Domain Controller. In der Regel existieren zudem auch Möglichkeiten, ein netzweites Policymanagement zu betreiben.

In kleineren und mittleren Netzen stellen daneben das Softwaremanagement, das Management der Rechnerkonfigurationen sowie das Überwachen von Systemkomponenten die drängendsten Problembereiche dar. Hier können dann zusätzliche Softwaretools eingesetzt werden, die die Aufgaben einzeln übernehmen können. Insbesondere in den Bereichen, die auch durch das Netzmanagement abgedeckt sind (Konfigurationsmanagement, Überwachung), kann der Einsatz eines Netzmanagement-Tools in Betracht gezogen werden.

Für den Windows-Bereich lassen sich z. B. Tools wie die "Microsoft Management Console", die eine einheitliche zentrale Sicht auf alle Administrationstools anbietet, sowie den "Microsoft System Center Configuration Manager (SCCM)" nennen. So bietet z. B. das Produkt SCCM dem Administrator folgende Möglichkeiten:

  • Inventarisieren von Hard- und Software-Komponenten
  • Installieren und Verteilen von Daten und Applikationen auf Netzrechnern
  • Fernwartung
  • Unterstützung bei der Fernadministration von Rechnern über das Netz

Für den Unix-Bereich kann z. B. zur Verwaltung und Verteilung von Software das Programm "rdist" eingesetzt werden, mit dem auf entfernten Rechnern Software installiert oder aktualisiert werden kann. Dabei ist es möglich, aus einem zentralen Softwarepool genau die Produkte auf den jeweiligen Rechnern zu installieren, die von den Mitarbeitern für die Erledigung ihrer Aufgaben benötigt werden. Weitere, auch kostenfrei, erhältliche Zusatzprogramme (meist aus dem universitären Umfeld) erlauben z. B. die Überwachung des Netzes über SNMP .

Die so zusammengestellten Lösungen bieten für kleinere und mittlere Netze eine kostengünstige Alternative. Allerdings setzen sie in der Regel einen versierten Administrator voraus, der auch unter Umständen durch Eigenprogrammierung Anpassungen an lokale Gegebenheiten vornimmt oder Zusatzfunktionalität integriert.

Für größere und große Netze sind solche Lösungen jedoch ungeeignet, da die Funktionalitäten in verschiedenen, nicht integrierten Tools angesiedelt ist. Für große Unternehmens- oder Behördennetze kommen nur Systemmanagement-Systeme in Frage. Vor der Einführung eines solchen Systems sollte beachtet werden, dass dies in der Regel einen beträchtlichen Eingriff in das laufende System darstellt und gut geplant werden muss. Die Wahl des richtigen Managementsystems ist deshalb wichtig. Folgende Kriterien sollten bei der Wahl des zu beschaffenden Systems beachtet werden:

  • Welchen Funktionsumfang bietet das Produkt an?
  • Kosten
    • für die Anschaffung der Software
    • für die Anschaffung zusätzlicher Hardware (Bei einigen Systemen müssen ein oder mehrere zentrale Managementserver angeschafft werden.)
    • für Installations- und Betriebsaufwand (unter Umständen müssen sogar Externe engagiert werden.)
    • für die Schulung der Mitarbeiter
    • andere ( z. B. Migrationskosten bei einer existierenden Plattform, Anpassung/Neuentwicklung lokaler Software, bauliche Maßnahmen z. B. gesicherter Serverraum)
  • Investitionssicherung
    • Inwieweit ist das Systemmanagement-Produkt skalierbar ( z. B. Anzahl der Rechner erweiterbar)?
    • Kann die Plattform mit dem Unternehmen wachsen ( z. B. Anzahl der möglichen Managementdomänen, Delegation von Aufgaben)?
    • Wie sind die Migrationspfade zur Plattform?
    • Wie sind die Migrationspfade von dieser Plattform zu einer anderen Plattform?
  • Integrationsmöglichkeit mit anderen Produkten
    • Welche Server- bzw. Client-Systemplattformen werden unterstützt?
    • Kann ein bestehendes Netzmanagement-System integriert werden?
    • Kann ein bestehendes Datensicherungssystem integriert werden?
    • Welche Applikationen von Drittanbietern gibt es für dieses Produkt?
  • Zuverlässigkeit und Ausfallsicherheit
    • Gibt es Aussagen oder sogar Garantien über maximale Ausfallzeiten?
    • Ist ein Hotswap für zentrale Komponenten möglich?
    • Existiert ein systemeigener Backup- und Recovery-Mechanismus? Bei einem Ausfall des Managementsystems müssen innerhalb des Managementsystems Mechanismen zum geregelten Wiederanlaufen existieren. Dies umfasst unter Umständen das Einspielen von Daten aus einer Datensicherung und die automatische Konsistenzprüfung - idealerweise mit Konfliktauflösung bei der Feststellung von Inkonsistenzen.
    • Werden regelmäßig Updates zur Verfügung gestellt? Sind sie einfach einspielbar?
  • Sicherheit: Zugriffsbeschränkungen auf die Managementfunktionen
    • Kann der Zugriff auf Benutzer- ID -Ebene (Welcher Benutzer darf was?) eingeschränkt werden?
    • Kann der Zugriff auf Komponentenebene (Welcher Rechner darf was?) eingeschränkt werden?
    • Kann der Zugriff auf die ausführbaren Kommandos Benutzer- oder Systemabhängig eingeschränkt werden?
    • Kann eine Aufteilung der Administrationstätigkeiten vorgenommen werden? Kann also z. B. die Verwaltung von Komponenten auf bestimmte Bereiche eingeschränkt werden ( z. B. nur die Abteilungsrechner)?
  • Sicherheit: Administration von Rechnern über das Netz
    • Wie sind Fernzugriffe abgesichert?
    • Können Fernzugriffe verschlüsselt erfolgen?
    • Ist sichergestellt, dass eine (starke) Authentisierung vor einer Fernadministration erforderlich ist?
    • Ist es möglich, die Berechtigung für Fernadministration auf bestimmte Personen oder Rollen einzuschränken?
    • Wird der Benutzer automatisch über Fernzugriffe informiert?
  • Sicherheit: Datensicherheit, Datenschutz
    • Werden die gesammelten Daten sicher abgelegt (Zugriffsbeschränkungen, Verschlüsselung)?
    • Findet die Datenübertragung zwischen den Managementkomponenten gesichert statt (Authentisierung, Verschlüsselung, Integritätssicherung)?
    • Kann die Art der gesammelten Informationen reguliert werden (Anonymisierung, Rückverfolgung, Beweisbarkeit)?
    • Ist die Integration von Virensuchprogrammen möglich?
    • Welche Protokollierungsmöglichkeiten werden angeboten?
    • Kann die lokale Softwareeinspielung überwacht oder verhindert werden?
  • Benutzerfreundlichkeit
    • Gibt es ein graphisches Benutzungsinterface ?
    • Wie einfach ist die Navigation?
    • Wird die lokale Sprache oder auch mehrere Sprachen (bei globalem Einsatz) unterstützt?
    • Lassen sich Programme einfach ausführen (auch auf entfernten Rechnern)?
    • Wie einfach lässt sich das Interface vom Benutzer umgestalten?
    • Werden Ausnahmen und Alarmierungen geeignet angezeigt?
    • Ist das Monitoring, auch im Detailgrad, einstellbar?
    • Wird die Komplexität von Netzkomponenten geeignet "versteckt" (So dass der Benutzer nicht ein Experte für die jeweilige Komponente, die verwaltet werden soll, sein muss)?
    • Können alle Funktionen über das gleiche Benutzungsinterface erreicht werden?
    • Sind Onlinehilfen und Anleitungen vorhanden?
  • Ergonomie beim Management komplexer Systeme
    • Werden verschiedene Netzprotokolle, Netzkomponenten und Betriebssysteme unterstützt?
    • Wie geht die Plattform mit geographisch verteilten Systemen um und wie ist deren Repräsentation?
    • Wie einfach ist es, neue Komponenten zu integrieren oder aus dem System zu entfernen (Autodiscovery, manuell)?
  • Konformität zu Standards (je nach Umgebung kann die Konformität zu mindestens einem Standard erforderlich sein)
    • Plattformen
      • Distributed Management Environment (DME) von der Open Software Foundation (OSF)
      • Spezifikation der Desktop Management Task Force ( DMTF )
    • Datenbank
      • Welche DBMS e (Data Base Management Systeme) werden unterstützt?
      • Wird SQL als Anfragesprache unterstützt, für den Fall, dass die Managementsoftware eine eigene Datenbank enthält?
    • CORBA (Common Object Request Broker Architecture) der Object Management Group ( OMG )
    • Application Program Interface ( API ), für den Fall, dass eigene Erweiterungen des Managementsystems notwendig sind ( z. B. API s für SNMP , XMP, DMI).

Die hier angeführten Aspekte sind als Anhaltspunkte bei der Bewertung von Managementsystemen zu verstehen. Je nach lokalen Gegebenheiten sollten aufgrund der aktuellen Systemsituation (siehe M 2.168 IT-System-Analyse vor Einführung eines Systemmanagement-Systems ) und aufgrund der Managementstrategie (siehe M 2.169 Entwickeln einer Systemmanagementstrategie ) Anforderungen an das Managementsystem formuliert werden, die als "K.O.-Kriterien" bei der Entscheidung herangezogen werden können. Die obigen Kriterien sollten immer eine Gewichtung erfahren, die die lokalen Präferenzen wiedergeben.

Die Anforderungen an das Managementsystem und die Leistungen des ausgewählten Managementsystems sind in der Regel nicht vollständig in Einklang zu bringen. Dies macht es notwendig, die erstellte Managementstrategie nach Auswahl des konkreten Produktes an dessen Funktionsumfang anzupassen.

Prüffragen:

  • Erfolgt die Auswahl eines geeigneten Systemmanagement-Systems auf Grundlage der zuvor festgestellten Anforderungen?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK