Ziele:

• Erfahrungen austauschen
• zum Aufbau eines Dokumenten- und Publikationsservice animieren
• mit der Problematik vertraut machen
• Lösungsansätze/Vorschläge aufweisen
• Zertifizierung 2007 befördern

Basis:

Statistik

• 15 Teilnehmer aus 15 Verschiedenen Einrichtungen
• Mehrzahl dieser Einrichtungen betreibt einen Dokumenten- und Publikationsservice
• Zweiteilung des Tutoriums
1. Sicherheit, ...
2. Langzeitarchivierung
• Leitung des Tutoriums "Sicherheit, ..."
• Christoph Ziegler, TU Chemnitz
• Niels Fromm, Humboldt-Universität zu Berlin
  

DINI Zertifikat 2007

Mindeststandards für Server (2.5.1)

1. Dokumentation technisches System

• unbedingt notwendig, vor allem in Form einer (internen) policy als Handlungsrichtlinie (auch im Vertretungsfall)
  
• Aktualisierung wichtig
  
• unterschiedliche Auffassungen über Veröffentlichung
  
• Beispiel HU Berlin: http://edoc.hu-berlin.de/e_info/dokumentation.php
• Beispiel TU Chemnitz: http://archiv.tu-chemnitz.de/cgi-monarch/loader.pl?page=technologie

2. Zugangsregelung

• Zuordnung von Verantwortung bzw. Teilverantwortung
• schriftlich
  

3. Wartung des Systems

• Wer? Wann?
• Benachrichtigung/Ankündigung
• Ausfall-/Wartungszeiten
• Aktualisierung, Sicherheitspatches
• evtl. Redundanz herstellen durch Einsatz von zwei Servern, z.B. mittels Level-4-switching Netztechnologie
  

4. Sicherung und Wiederherstellung

• sowohl System als auch Daten, dies betrifft Dokumente und Metadaten
  
• geeignete Technologie aufbauen (Sicherungen möglichst automatisch)
• (Raid nicht gleich Datensicherung -> Ausfallsicherung)
• existierende Technologien der Einrichtung nutzen
  

5. Installation von System und Software

• identische/wiederholbare Installationen
• nur benötigte Komponenten
• Stabilität (kein Testen ...)
• Aktualisierung
• für Aufbau und Betrieb unbedingt auf die vorhandene IT-Kompetenz  in der Einrichtung zurückgreifen (nicht alles selbst machen bzw. das  Rad neu erfinden)
  

6. kontrollierte und nachweisbare Aufnahme von Dokumenten

• Festlegung von Geschäftsgängen
• möglichst nachweisbare Durchführung
• Zugang von Dokumenten technisch nachweisbar

Mindeststandards für Dokumente (2.5.2)

1. Persistent Identifier

• URN, DOI, ...
• langfristige Adressierung eines Dokuments (auch bei Änderung des Speicherortes)
• Adressregistrierung, Resolving (Auflösbarkeit) der Adresse -> aktueller Speicherort
• http://www.persistent-identifier.de
  

2. Unveränderbarkeit eines Dokuments

• neues Dokument, neue Adresse
• Diskussion, in welchen Situationen eine neue Version notwendig ist
• Vergleich mit Buch (Papier): dort selbst kleinere Korrekturen nur in einer neuen Auflage sichtbar
• Kein Löschen von Dokumenten! Wenn unbedingt notwendig, dann über modifizierte Zugriffsrechte den Zugang verweigern.
  
• Beispiel: http://archiv.tu-chemnitz.de/pub/2003/0110/index.html
• dcterms:isReplacedBy - dcterms:replaces
• Verweis, Rückverweis
• neue Adressen, URNs!
  

3. Archivierung Ablieferungsformat

• siehe Langzeitarchivierung
  

4. Dokumentation der Mindeststandards in policies / Leitlinien

Empfehlungen für Dokumente (2.5.2)

1. Unversehrtheit der Dokumente

• Beispiel: siehe Punkt Unversehrtheit in http://archiv.tu-chemnitz.de/pub/2007/0002
  

2. Signatur

   Vortrag: Signatur von Herrn Niels Fromm/ CMS HU-Berlin
   

3. Präsentationsformat

• Archivierung im Präsentationsformat
• oder Visualisierungssoftware nennen/anbieten
  

1. SSL - Zertifizierung
   

• mit vertrauenswürdigem Zertifikat für verschlüsselte Kommunikation
• Sicherheit bei der Kommunikation, wenn vertrauliche Daten übertragen werden (z.B. Passwörter bei Authentifizierung)
• gesicherte (verschlüsselte) Übertragung zwischen Browser und Web-Server
• Zugriff mittels https:... ("Schloss")
• Mit dem Zertifikat des angesprochenen Servers  wird sichergestellt, dass dies der richtige Server ist.
• Zertifikat = Digitales Zertifikat oder Public-Key-Zertifikat (PKI)
• Zuordnung einer Identität, hier Web-Server für Dokumenten- und Publikationsservice
• Ausstellung eines Zertifikats erfolgt durch eine vertrauenswürdige Instanz (Verisign, ..., DFN)
• unbedingt Fachleute in der Einrichtung kontaktieren
  

2. Monitoring

• Real-Time Monitoring
• Überwachung der Funktionalität bzw. von Komponenten
• Benachrichtigung, bei Ausfall
• (evtl. automatisch reparieren)
  

3. Havarie-/Notfallplan

• Ausfall
• Redundanz
• Wiederherstellung

Resüme

• intensive und interessante Diskussionen
• verfügbarer Zeitraum von zwei Stunden  leider zu eng ( drei Stunden sinnvoller)
• Vorschlag: Die Empfehlung "Einsatz eines Verfahrens zum Nachweis der Unversehrtheit der Dokumente
  (Hash-Wert) sowie Veröffentlichung von Verfahren und Hash-Werten." sollte im nächsten Zertifikat als Mindeststandard gefordert werden.
• Es gibt Interesse an den Themen Hash-Werte, digitale Signaturen und SSL-Zertifikate. Über eine Vermittlung von Kenntnissen zu diesen Themen, evtl. im Rahmen eines Tutoriums/Workshops, sollte nachgedacht werden.