gms | German Medical Science

49. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds)
19. Jahrestagung der Schweizerischen Gesellschaft für Medizinische Informatik (SGMI)
Jahrestagung 2004 des Arbeitskreises Medizinische Informatik (ÖAKMI)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie
Schweizerische Gesellschaft für Medizinische Informatik (SGMI)

26. bis 30.09.2004, Innsbruck/Tirol

Integration von Sicherheitsdiensten durch formale Modellierung

Meeting Abstract (gmds2004)

Suche in Medline nach

  • corresponding author presenting/speaker Bernd Blobel - Universitätsklinikum, IBMI, Magdeburg, Deutschland
  • Peter Pharow - Universitätsklinikum, IBMI, Magdeburg, Deutschland

Kooperative Versorgung - Vernetzte Forschung - Ubiquitäre Information. 49. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds), 19. Jahrestagung der Schweizerischen Gesellschaft für Medizinische Informatik (SGMI) und Jahrestagung 2004 des Arbeitskreises Medizinische Informatik (ÖAKMI) der Österreichischen Computer Gesellschaft (OCG) und der Österreichischen Gesellschaft für Biomedizinische Technik (ÖGBMT). Innsbruck, 26.-30.09.2004. Düsseldorf, Köln: German Medical Science; 2004. Doc04gmds308

Die elektronische Version dieses Artikels ist vollständig und ist verfügbar unter: http://www.egms.de/de/meetings/gmds2004/04gmds308.shtml

Veröffentlicht: 14. September 2004

© 2004 Blobel et al.
Dieser Artikel ist ein Open Access-Artikel und steht unter den Creative Commons Lizenzbedingungen (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.de). Er darf vervielf&aauml;ltigt, verbreitet und &oauml;ffentlich zug&aauml;nglich gemacht werden, vorausgesetzt dass Autor und Quelle genannt werden.


Gliederung

Text

Einleitung

Zukunftssichere Gesundheitsinformationssysteme und Gesundheitsnetze werden zunehmend auf der Basis von Komponentensystemen entwickelt, wobei die Spezifikation der Komponenten sowie ihre Aggregation durch generische Modelle beschrieben, plattformspezifisch spezialisiert und schließlich werkzeuggestützt implementiert werden. Diese verteilten, offenen, skalierbaren, flexiblen und portierbaren Informationssysteme müssen fortgeschrittene Datenschutz- und Datensicherheitsdienste aufweisen, die in die Systemarchitektur integriert sind. Dazu sind für die Sicherheitsdienste dieselben Architekturprinzipien basierend auf formalen Modellen anzuwenden, die für das Systemdesign gültig sind.

Problemstellung

Das generische Sicherheitsmodell weist neben den Konzepten Safety und Quality die Konzepte Security und Privacy auf. Aus den beiden letzteren werden die Konzepte von Kommunikationssicherheit und Anwendungssicherheit abgeleitet. Kommunikationssicherheitsdienste sind die wechselseitige starke Identifikation bzw. Authentifikation, die Principal-Zugriffskontrolle, die Sicherung von Integrität, Vertraulichkeit, Verbindlichkeit und Verfügbarkeit der kommunizierten Informationen sowie weitere Notariats-Services. Anwendungssicherheit dient z.B. der Realisierung der Autorisierung und Zugriffskontrolle einschließlich der Definition und dem Management von Rollen und der Entscheidungsunterstützung. Des Weiteren beinhaltet die Anwendungssicherheit Basisdienste wie die Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit der erfassten, verarbeiteten und gespeicherten Informationen sowie die Autitierung der Daten und Prozesse. Kommunikationssicherheit kann über sichere Objekte oder über sichere Kanäle realisiert werden. Kommunikationssicherheitsdienste sind in der Regel nicht gesundheitssystemspezifisch. Lediglich die policyabhängigen Aspekte weisen eine Domänenspezifität auf, die aber insbesondere mit der Verwendung der Informationen und somit mit Anwendungssicherheitsdiensten verknüpft ist. Traditionsgemäß sind die Definition, Verhandlung und das Management von Sicherheitsdiensten, die die Policy spezifizieren, mit informellen Mitteln beschrieben. Das betrifft auch ihre rechtlichen Grundlagen sowie die ethischen Rahmenbedingungen. Die Herausforderung besteht darin, diese Spezifikationen zu formalisieren.

Methoden

Ein Modell ist eine Beschreibung der Realität unter beschränkten Aspekten oder Constraints. Deshalb spricht man auch von Constraint Models, die unter Verwendung spezieller Modellierungs- und Spezifikationssprachen wie UML und XML beschrieben werden. Diese Sprachen, auch Metasprachen genannt, erlauben nicht nur die Beschreibung der Modelle, sondern auch die Beschreibung, wie solche Modellbeschreibungen aussehen müssen. Metasprachen spezifizieren Sprachen. Folglich können die Modelle auf unterschiedlichen Meta-Levels sowie auch als Instanzen repräsentiert werden. Die Abstraktion eines Modells gegenüber der Realität kann zum einen die Komplexität der Systeme bzw. ihrer Komponenten im Sinne der Granularität oder Detailliertheit betreffen. Zum anderen kann das Modell zur Verringerung der Systemkomplexität auf bestimmte Systemaspekte, Zweckbindungen, Bedingungen oder Funktionalitäten fokussiert werden (Constraint Models).

Das ISO Reference Model - Open Distributed Processing (RM-ODP) definiert dabei die 5 Sichten Enterprise View, Information View, Computational View, Engineering View und Technology View. Der Enterprise View beschreibt den Verwendungszweck (Use Cases, Scenarios, Policies) eines ODP Systems und seiner Komponenten. Der Information View betrachtet ihren Inhalt und ihre Funktion (Attributes, Operations) und der Computational View ihre logisch sinnvolle Komposition bzw. Dekomposition. Der Engineering View beschreibt die physische Verteilung des Systems und seiner Komponenten und der Technology View ihre technische Umsetzung (einschließlich Training etc.). Komponenten können zu verschiedenen Domänen gehören, d.h. Funktionen aus verschiedenen Domänen realisieren. Die Domänenmodelle, für die die Komplexität hinsichtlich der Granularität und der Fragestellung (Views) wie beschrieben reduziert und die Teilmodelle dann aggregiert werden können, lassen sich zunächst unabhängig voneinander entwickeln.

Modellgetriebene Analyse und Design beinhalten die Spezifikation von Anforderungen und Lösungen als erforderliche oder realisierte Services. Diese Services werden durch spezifische Mechanismen implementiert, die verschiedene Algorithmen nutzen, welche auf unterschiedliche Daten angewendet werden.

Sicherheitsdienste können individuellen Akteuren oder Gruppen von Akteuren, die die gleiche Rolle spielen, zugeordnet werden. Akteure, die mit Systemkomponenten interagieren, werden Principals genannt. Principals können z.B. Personen, Organisationen, Systeme, Geräte, Anwendungen, Komponenten oder Objekte sein.

Für die Sicherheitsmodellierung sind die beteiligten Entitäten sowie die durchgeführten Geschäftsprozesse oder Aktivitäten zu beschreiben, wobei die Rollen der Entitäten (Structural Roles, HL7 Roles) und die Form ihrer Beteiligung an der Aktion (Functional Roles, HL7 Participations) spezifiziert werden müssen. Im Kontext der Anwendungssicherheit sind die Acts Policy Management, Principal Management, Privilege Management, Authentifizierung, Autorisierung, Zugriffskontroll-Management, Zugriffskontrolle und Audit zunächst generisch zu modellieren.

Ergebnisse

Im Rahmen internationaler Programme und Projekte wurden die erforderlichen plattformunabhängigen Views der Konzepte auf den verschiedenen Granularitätslevels werkzeuggestützt unter Verwendung von UML modelliert. Das betrifft generische Use Cases, die Informatonsmodelle und ihre Referenzen sowie die zu Grunde liegenden Regeln und Wissenskonzepte sowohl für die angesprochenen Kommunikations- als auch die entsprechenden Anwendungssicherheitsdienste. Die resultierenden Use Case Modelle, hierarchischen Policy-Modelle, Rollenmodelle, Privilegierungsmodelle, Zugriffkontrollmodelle und Audit-Modelle wurden und werden international standardisiert. Dabei wurden insbesondere die strukturellen Aspekte und das Basisverhalten berücksichtigt. Gegenwärtig erfolgt die formale Beschreibung des geschäftsprozessbezogenen dynamischen Verhaltens unter Verwendung von Constraint Languages, insbesondere von OCL. Vorhandenes Wissen wird dabei adaptiert, was eine Herausforderung auf Grund des unterschiedlichen Vokabulars (verschiedene Constraint Languages, Syntaxen für die Beschreibung von Wissen, Prädikaten-Logik, etc.) darstellte. Alle Ergebnisse werden ausführlich diskutiert.

Diskussion

Die Entwicklung hochkomplexer, verteilter, intelligenter Informationssysteme ist nur in der konsequenten Verfolgung sich etablierender Basis-Paradigmen möglich. Dazu gehören die strikte Komponentenorientierung, die modellgetriebene Systementwicklung, die Integration von Sicherheitsdiensten und Mechanismen als immanenter Teil der Architektur, die automatische Implementierung der Spezifikationen, u.s.w. Spezifikation, Implementierung und Wartung der Anwendungssysteme folgen dem Paradigma der modellgetriebenen Architektur. Deshalb ist die Entwicklung formaler Modelle für die sicherheitsrelevanten Entitäten und Aktionen eine entscheidende Voraussetzung für derartige Systeme.

Der beschriebene Weg der formalen Modellierung von Sicherheitsdiensten ist unabdingbar, um diese Dienste optimal in moderne Systemarchitekturen zu integrieren und zu verwalten. Dabei waren zunächst grundsätzliche methodologische Fragestellungen zu lösen. Die Aufgabenstellung erfordert eine besondere Expertise sowohl auf dem Gebiet moderner Architekturparadigmen als auch dem von Datenschutz und Datensicherheit.

Die Ergebnisse sind in bedeutende Projekte wie dem nationalen HealthePeople Project (USA), dem nationalen Healthnet (Australien), dem bIT4Health Projekt für eine deutsche Gesundheitstelematik-Plattform unter direkter und verantwortlicher Einbindung des Erstautors eingeflossen und verifiziert worden. Sie sind inzwischen Bestandteile internationaler Standards.

Danksagung

Die Autoren sind den Kollegen der sicherheitsbezogenen Arbeitsgruppen von ISO TC 215 und CEN TC 251 sowie insbesondere den amerikanischen Kollegen vom ASTM E31 und von Department of Defense ePeople Project zu Dank verpflichtet.


Literatur

1.
Blobel B: Analysis, Design and Implementation of Secure and Interoperable Distributed Health Information Systems. Series Studies in Health Technology and Informatics, Vol. 89. IOS Press, Amsterdam 2002.