Erläuterungen zum IT-Konzept der Fachgruppe
Grundlage des IT-Konzeptes unserer Fachgruppe ist das Grundsatzpapier der Steuerungsgruppe Integriertes IKT-Management der Bergischen Universität Wuppertal, die vor Installation des CIO-Board die uniweite CIO-Funktion ausgeübt hat.
Dieses Grundsatzpapier sieht insbesondere vor:
- Integriertes Informationsmanagement
- Zentralisierung kritischer IT-Dienst im ZIM
- SOA als Architekturprinzip für zentral angebotene Dienste
Für die Systemgruppe unserer Fachgruppe bedeutet das vor allem, dass wir dezentrale Dienste nur noch in den Fällen bereitstellen und unterstützen, in denen keine Alternative durch das ZIM angeboten wird. Die Lösungen des ZIM entsprechen i.d.R. in Bezug auf Verfügbarkeit und Güte den aktuellen professionellen Standards. Für unsere Fachgruppe spezifische und nur dezentral realisierbare Dienste sind von diesem Zentralisierungsparadigma natürlich nicht betroffen.
Die IT-Organisationsstruktur innerhalb unserer Fachgruppe ist dezentral in dem Sinne, dass Arbeitsgruppen bei Bedarf eigene Systembetreuer für Installation und Administration der Arbeitsgruppenrechner einsetzen.
Weitere Informationen zu unserem IT-Management
Unser IT-Konzept impliziert folgende konkreten Maßnahmen:
- Nutzung des E-Mail-Service des ZIM (mail.uni-wuppertal.de) statt eigener Server.
=> Die Server imap.math und imap2.math werden nur noch auslaufend betrieben. User dieser Server sollten nach Möglichkeit zum E-Mail-Dienst des ZIM wechseln.
Hinweis: Dies hat keinerlei Einfluss auf unsere generischen E-Mail-Adressen *@math.uni-wuppertal.de, die wir auch weiterhin selbst administrieren. - Nutzung von Typo3-Instanzen im ZIM statt eigener dezentraler Web-Server.
=> Der Webserver www2.math.uni-wuppertal.de wird für persönliche Homepages weiterhin durch die Fachgruppe betrieben. Arbeitsgruppen wird empfohlen, mit ihren AG-Seiten auf Typo3 zu wechseln. - Server-Hosting statt eigener (physischer) Server.
=> Migration selbst verwalteter Webserver auf ZIM-Hosts
=> Migration eigener Standardserverdienste auf ZIM-Hosts - Nutzung von ZIM-Shares für Homeverzeichnisse.
Hinweis: NFS-Speicherbereiche beim ZIM bieten neben hoher Verfügbarkeit z.B. eine Snapshot-Funktionalität sowie den Vorteil, dass wir uns nicht selbst um Backups kümmern müssen. Größere Datenvolumen sind allerdings nicht umsonst.
Zur IT-Sicherheit:
Unsere zentrale Systemgruppe praktiziert seit vielen Jahren sehr erfolgreich ein IT-Sicherheitkonzept, das uns - im Gegensatz zu anderen Fachgruppen unserer Fakultät - weitgehend vor Einbrüchen und Exploits bewahrt hat.
Auf folgende Punkte sei an dieser Stelle explizit hingewiesen:
- In den Subnetzen unserer Fachgruppe dürfen ausschließlich Dienstrechner betrieben werden, die von der zentralen Systemadministration oder von den verantwortlichen Systembetreuern in den einzelnen Arbeitsgruppen professionell installiert und konfiguriert wurden und laufend zeitnah mit aktuellen Sicherheitspatches versehen werden.
=> private Laptops oder PCs sowie Rechner, die z.B. auch von Familienmitgliedern genutzt werden, dürfen nicht per Ethernet-Kabel mit den Netzwerken unserer Fachgruppe verbunden werden. Dies gilt aufgrund der hohen Gefahr der Verseuchung mit Malware insb. für Windows-Plattformen!
Hinweis: Durch das flächendeckend verfügbare, durch das ZIM betriebene WLAN-Netz ist es innerhalb der Uni möglich, sämtliche, also auch private Rechner mit der Internet zu verbinden.
Die jeweiligen dezentralen Systemadministratoren sollten, insb. als Ansprechpartner für neue Fachgruppenmitglieder, mit dieser Funktion auf den Webseiten der jeweiligen Arbeitsgruppe genannt sein. Bei Wunsch besteht auch die Möglichkeit, die lokalen Systemadministratoren auf den Webseiten des IT-Managements unserer Fachgruppe aufzulisten. - Der Zugriff auf unsere Etagendrucker darf ausschließlich über unsere drei Druckerserver wmlpd[1-3] erfolgen. Da in letzter Zeit der direkte Zugriff auf Etagendrucker von innerhalb der Mathematik-Subnetze immer wieder zu Problemen geführt hat (z.B. durch nicht identifizierbare Druckjobs, die einzelne Drucker blockieren), ist der Zugriff auf diese Drucker nun nur noch via Druckerserver möglich. Auf andere Regelungen für den Betrieb AG-eigener Drucker hat dies keinen Einfluss.
- Durch die in letzter Zeit massiv erfolgenden SSH-Angriffe insb. aus dem ostasiatischen Bereich (vornehmlich China), die zwar zumeist nicht erfolgreich sind, aber unsere Rechner oft erheblich verlangsamen, sollten alle SSH-Zugriffe (also SSH-Serverdienste) so konfiguriert werden, dass sie nur von innerhalb der Uni möglich sind.Für den SSH-Zugriff von außerhalb der Uni muss dann zunächst eine VPN-Verbindung hergestellt werden. Die zentral administrierten Rechner der Fachgruppe werden derzeit sukzessive auf diese doppelte Zugriffssicherung umgestellt.
- Anstelle der Nutzung externer Cloud-Speicher-Dienste (DropBox, ...) mit der Garantie der Auswertung eigener Daten durch US-Geheimdienste sollte die Campus-Cloud Sciebo genutzt werden. Die Bergische Universität ist Teil des NRW-weiten Konsortiums dieses Dienstes.
Weitere Informationen: