安全性简介.ppt

Systemi安全性简介 ThomasBarlenbarlen 认证咨询IT专家IBM系统和技术集团 ESP08 鸣谢 本演示由IBM德国公司的ThomasBarlen制作 议程 为什么需要安全系统 企业的需求安全系统在不同层面上的实施安全策略iSeries网络级的安全功能iSeries系统级的安全功能iSeries应用级的安全功能 议程 为什么需要安全系统 企业的需求安全系统在不同层面上的实施安全策略iSeries网络级安全性功能iSeries系统级安全性功能iSeries应用级安全性功能 为什么安全如此重要 人力资源数据 资源和商业资产的保护防止未授权数据及资源的访问建立信任机制对于电子商务非常重要供应商和生意伙伴之间 公司的成功要依赖安全性 如果您的个人网络连接了因特网 对于您的电子商务环境来说安全就应该是您的首要任务 安全应该在以下两个方面实施 在网络上传输的数据连接到网络中的电脑 然而 即使您的私有网络没有连入因特网 安全仍然是需要被考虑的 以下的例子来源于SANS的电子邮件 SystemAdministration NetworkingandSecurity Institute 计算机安全协会10月31号在华盛顿举办的信息安全会议中得出一个重要结论 人的因素在信息安全中起着至关重要的作用 只有公司及人员在网络和数据安全方面做出了明确的决策 系统才能得到有效的保护 注 安全策略的考量与需求 在许多公司里 安全策略被认为是花钱的更重要的是 公司的哪些资产和数据需要保护如果这些资产和数据未采取适当的保护措施 存在的威胁是什么 从安全系统的开支以及图片所示可以看出潜在的损失是什么 在有安全系统的情况下 预期的损失是什么 采用什么样的方式可以衡量减少了潜在威胁 具有相当高保护级别的系统可以通过i5 OS内建的安全机制以及所提供的服务来实现目标 利用产品和服务使得管理的执行和开支最小化 保护 开支 加密的必要性 为什么您需要关注加密 保护敏感信息防止商业间谍防止未被授权的使用或盗取在拷贝介质中存储因为这些是必要 含蓄的或明确的表现出来的 通过法律和政府的规章制度支付卡行业 PCI 数据安全的标准HIPPA 医疗保险信息交换与保密法案 SarbanesOxley法案 加密是最后一道保护机制 因为即使有人突破了保护机制并且获取了加密数据 在没有破解加密算法的情况下 他也无法读懂数据来源 PCI数据安全标准 保护存储的数据 注 现在 很多公司仍然没有加密硬盘或拷贝介质中的数据 然而 多项法律或行业准则明确的或含蓄的要求数据加密 例如 VISA信用卡行业说明的第三段四小节 3 4汇报持卡用户的敏感数据时要采用以下几种任何无法读取的方式 包括便携式存储器 拷贝存储器 日志与从无线网络中获得信息 单项的杂乱信号 例如SHA 1 切断 索引令牌和PDA PDA被安全存放 强大的密码系统 例如Triple DES128 bit或AES256 bit结合密钥管理程序 信用卡的账号是通过加密传递的最小量的信息3 5保护加密密钥以防止泄密及滥用 3 5 1严格控制 使尽量少的管理者有权限获得密钥 3 5 2把密钥以最不引人注意的形式存放在最不引人注意的地方3 6密钥管理的程序与手续的全文包括 3 6 1功能强大的密钥的更新换代 3 6 2安全的分发密钥 3 6 3安全的存储密钥 3 6 4周期性的更换密钥 3 6 5销毁过期密钥 3 6 6密钥的分离保管与密钥的双重控制 例如要求两到三人 每一个人知道密钥的一部分 然后重组成一个完整的密钥 3 6 7禁止使用未授权的替代密钥 3 6 8更换或弃用可疑的密钥来源 visapci标准医疗保险信息交换与保密法案是另一个需要使用加密数据的例子 层次化的系统安全执行 为了完成最高级别的保护 需要在各个层面执行 公司安全性 客户教育 安全性策略 物理层安全 网络层安全 系统层安全 应用层加密套接字协议层 出口程序 锁 访问控制 不间断电源 备份 命令行 防火墙 虚拟个人网络网关 入侵检测 局域网界面 对象访问 客户端 应该达到安全目的 认证 授权 完整性 机密性 审计 日志 在这条链中安全只和其中最薄弱的环境相连接 注 层次化的安全策略执行 简单的运行防火墙是无法阻止未授权的访问您系统里机密数据的 在您的电子商务环境里执行安全策略必须从您的公司层开始 在您决定什么样的安全计划将执行时 您必须鉴别其是否适合您的系统环境 在各层里执行的安全策略必须符合以下的一条或更多的安全目标 认证 确定是用户的身份 最常用的认证方法是用户身份和密码 授权 允许一个用户访问资源和进行操作 一个授权的例子如OS 400系统的许可方式 机密性 只有授权用户才可以看到数据 对于在网络中传输的数据有两种方式可以实现 确保只有授权用户才可以访问网络 加密数据 完整性 只有授权用户可以修改数据 并且只能在经审计批准的情况下修改 数据不会在意外情况或故意的情况下被更改 对于在网络中传输的数据 有两种方式可以实现 确定只有授权用户才可以访问网络 不是像互联网这样可随意访问的公共网络 数字签名数据 安全策略 安全策略是一种高级计划 用于描述要保护的内容以及保护的方式需要文件记录是管理员和使用者强迫执行适当策略的基石需要被更高一级的管理核准无需描述在任一部署平台的执行细则例如 对于用数据传输线连接的策略 模拟 ISDN 对于加密保护的商业关键数据的策略对于应用了反病毒扫描软件的策略密码策略 安全策略 策略必须被职员所了解 在规章制度里简要说明职员了解C级管理人员负责IT安全策略执行IT首席安全官检查部署的产品是否满足安全策略在日常运行中必须确保IT安全策略的执行必须由高级的管理员指定 代表 政府的相关部门建议并要求发布典型的IT策略 当执行一个安全计划时 必须首先确定什么是要保护的 基于先前的讨论 我们了解计算机系统和数据并且知道数据的传输是在一个开放的可能存在安全突破口的环境中进行的 安全计划不仅仅要包括防火墙的运行 有些您私人网络里的数据 例如薪水数据 其他个人数据 不愿意被其他人所看到 无论这些人在您所处的内部网或互联网里 当不可能任何时候都锁住所有数据的时候 可以限制访问的授权用户 当数据在系统里存储或在网络里传输的时候也可以把机密数据加密 建立的安全策略应该不断地检测并且升级以提高现有的安全 一旦安全策略建立 最后的用户必须被告知他们的责任 他们必须知道把数据和系统处于非安全状态的后果 如果用户偏离了共有网络安全策略必须采取相应的措施进行制裁 CERT警告CA 2003 27 MicrosoftWindows和MicrosoftExchange存在多个漏洞 2003 16 10MicrosoftWindows和MicrosoftExchange有大量的漏洞 以至于攻击者可以获得脆弱的系统管理员控制权 大量的漏洞导致未经认证的远程黑客在受攻击者没有任何反映的情况下运行代码 详情见下面的漏洞记录 VU 575892 MicrosoftWindowsMessengerService缓冲区溢出 在大多数的近期MicrosoftWindows版本中在Messengerservice有一个缓冲区溢出使得攻击者可以执行任意代码 其他来源 MS03 043 CAN 2003 0717 VU 422156 MicrosoftExchangeServer会在获取SMTP的扩展动词的时候失效 MicrosoftExchange会在获取SMTP的扩展动词时失败 在Exchange5 5 会导致出现拒绝服务状态 在Exchange2000中则会导致攻击者运行任意代码 其他来源 MS03 046 CAN 2003 0714 注 iSeries安全性 iSeries在安全认证领域中的成就其ServicePack3在SUSELinuxEnterpriseServer8在IBMEserveriSeries pSeries zSeries和xSeries平台上均达到通用标准EAL3 首个使用EAL3 设置的开源操作系统发布于2004年1月IBM4758PCI密码协处理器世界上第一个达到美国国家标准与技术研究院 NIST 联邦信息处理标准140 1Level3的产品IBM4764PCI X密码协处理器在2005年四月被美国国家标准与技术研究院认证 通过联邦信息处理标准140 1Level4i5 OS的安全认证在2005年8月10日通过拥有广泛认可的ALC FLR 2的EAL4规范 注 iSeries安全性 TheiSeries服务器以及它的前一代的操作系统和功能 在开发时 都重点放在安全方面 OS 400曾经认可了几种安全认证 例如在1995 1997和1998年的C2级认证 随着新的安全认证标准的诞生 所有的IBMEserver平台和它们的操作系统以及硬件部分依据这个新的标准来评判 对于特殊的工业部门 安全认证就好像ISO9000认证一样重要 在前面的图表中列出了以下当前的成绩以及承诺 拥有servicepack3的SUSELinux企业服务器V8 在IBMEserveriSeries pSeries zSeries拥有certification sles eal3 packageRC4 并且在2004年1月13日xSeries被ALC FLR 2采用了评估保证级别3 该认证是2004年1月21日由LinuxWorldinNewYork颁发给SUSE和IBM的 您可以在这个网址找到该认证的报告 http www bsi bund de zertifiz zert reporte 0234a pdf IBM4758PCI密码协处理器适用于iSeries pSeries xSeries和老版本的zSeries 是第一个采用美国国家标准 NIST 与技术研究院的联邦信息处理标准认证 FIPS 140 1Level4的产品 iSeries上的4758 023是采用FIPS140 1Level3的认证 i5 OS通过EAL4AugmentedALC FLR 2使用安全评估共同准则评估 控制访问保护规范采用时间为2005年8月10日 可以在以下地址中找到更多的关于信息技术与安全评估共用准则的信息 http csrc nist gov cc index html 议程 为何强调安全性企业的要求在各个层面实施安全性安全性策略iSeries网络级安全功能iSeries系统级安全功能iSeries应用级安全功能 说明 市面上的几种技术在保护数据在网络中传输的安全方面是有效的数据保护必须能够防止敏感信息被攻击者读取在默认情况下 IP网络通信 如Telnet或FTP 不受阻碍地传输用户名 密码信息 25R8823 29 33 25258400096BAEABDC00D0D32BFF44ETHV2Type 0800FrameType IPDSCP 0ECN 00 NECTLength 88Protocol TCPDatagramID 82C8SrcAddr 172 17 1 5DestAddr 172 17 17 40FragmentFlags DON T LASTIPHeader 4500005882C840003F064E88AC110105AC111128IPOptions NONETCP SrcPort 53358 UnassignedDestPort 23 TELNETSEQNumber 1717623935 6660DC7F X ACKNumber 2957957869 B04EDAED X CodeBits ACKPSHWindow 7496TCPOption NOOPTCPHeader D06E00176660DC7FB04EDAED80181D486FA100000101080A40479A7B5943F784Data 002212A000000 1D9D3C5D5F2110735C2C1D5F5D5C1 1 BARLEN2 BAN5NA D5C5FFEF NA 注 说明 许多公司已经执行了互联网协议 IP 网络 使用IP网络是希望使用开放的通信标准并且能从不同的经销商那里交易产品 IP协议是在上世纪60年代最初发展起来的 在那时和后来的发展中 没有人真正想到执行数据加密传输 在默认状态下 所有的IP网络服务不受阻碍传输数据 无论是发票数据或是用户名与密码 随着加密套接字协议的发明 例如Telnet或FTP 便可以在加密信息的保护下安全传输数据 数据在网络上传输的安全性 保护数据传输的协议是建立在i5 OS上的包含所有部件 没有额外开支 认证 完整性 机密性 互联网 公共网络 分支办公室 供应商 虚拟个人网络通道 SSH通道 虚拟个人网络通道 加密套接字协议层 i5 OS提供 加密套接字协议层 SSL 传输层安全协议 TLS 虚拟个人网络 VPN IPSec协议标准 通过i5 OS可移植实用程序的开源安全性 Openssh Openssl 注 在iSeries服务器上 OS 400和i5 OS通过SSL TLS与VPN提供数据加密支持 两种技术都提供数据加密 确保了数据的完整性 并且支持认证 这些技术都是基于开放的标准因此允许客户在来自于不同经销商的设备产品间建立安全的通信 随着SSL在应用层实施 程序员不得不写出它的应用以支持SSL套接字API 对于操作系统服务 例如Telnet FTP或LDAP服务 操作系统经销商必须使这些服务支持SSL 然而 当独立的软件经销商想要写IP 套接字应用时问题出现了 他不得不使用不同的操作系统平台 大多数情况下 不同的SSL套接字API存在于不同的平台 需要把它们的应用代码通过ISV转换以在不同的平台上运行 注 IBM通过GlobalSecureToolkit提供一个通用的接口 适用个人虚拟网络来保护网络传输是很好的选择 但是它不能适应每一种情况 有时 当使用网络地址翻译 NAT 时 个人虚拟网络的通信网关或终端不支持通过防火墙传输 在另一种情况下 终端系统甚至不支持个人虚拟网络 如果不适合您 使用i5 OS可以有第三种选择 它就是OpenSecureShell OpenSSH SecureShell SSH 最初设计用来进行安全的远程登录和与远程计算机进行安全的文件传输 通信协议是运行于TCP顶层的SSH协议 目前 有两种协议支持SSH1和SSH2 这两种协议完全不同 因此不兼容 现在 一家名为SSH通信安全的公司仍然保留这些协议 它们也是最早的SSH开放者 SSH传输层协议在以下网址可以找到相关信息 http www ietf org internet drafts draft ietf secsh transport 24 txt 开放的SSH是SSH的开放源码版本 并且提供工具以允许在两个通信伙伴间通过SSH协议进行安全通信 ChartcreatedbyThomasBarlen 在LPAR环境下的防火墙 Linux Linux i5 OS AIX i5 OS i5 OS 防火墙VPNGW 防火墙邮件扫描 网络服务器网络应用服务器 互联网 商业应用1 开发分区虚拟I O 产品分区商业应用 企业内部互联网 在随需应变的基础架构上应用灵活的防火墙 注 基于Linux的防火墙支持 在一个有若干逻辑分区的稳定环境中运行的独立系统 需要对不同的分区考虑应用特别的保护 特别是DMZ服务的主机在Linux分区可以配置基于开源代码或经销商防火墙的产品 硬件选件 两种加密硬件可以应用于i5 OS加密加速器2058 4805 采用简易设置适配器提高握手SSL成绩 最高可达1000RSA操作 秒 没有安全密钥的存储可以用加密服务的APIs来加密每个系统总共有四个适配器 每一个含有五个加密引擎IBM密码协处理器4758 023 4801 CP Q操作系统生成随机数和MACs安全地复制主密钥支持金融的PIN 处理生成有效的数字签名支持EMV2000 Europay MasterCard Visa 标准加密解密数据改善SSL握手进程 优先存储安全密钥 但是比2058慢 安全的输入输出DES密码和Triple DES密钥安全密钥存储符合联邦信息处理标准 FIPS PUB140 1 第三级别的要求每个分区总最多支持八个适配器 干预响应模块 硬件选件 续 PCI X密码协处理器4764 4806 对于大多数的任务有最大可达PCI协处理器4758 023性能的4到5倍符合FIPS140 2四级认证支持4758 023的特性和功能支持EMV2000 Europay MasterCard Visa 标准需要密码设备管理器 5733 CY1 为协处理器卡提供操作系统基于Linux在i5 OS采用无IOP适配器特性V5R3和POWER5服务器是必要的 对于新发展的系统应用4764 2058和4758已经不再销售了 注 三种基于密码的解决方案可以应用于iSeries 分别是IBM4764密码协处理器 FC4806 IBM2058密码协处理器 FC4805 和IBM4758密码协处理器 FC4801 所有的这些分担主CPU中的部分密码处理进程 主CPU的发出请求需要有加速器 协处理 这些硬件执行加密功能并把结果返回主CPU 因为这些加密是非常消耗CPU资源的 主CPU被解放支持其他系统活动 SSL网络通信可以动态的使用这些硬件加密卡的功能来建立SSL会话 IBM4764密码协处理器在一个PCI X卡上提供密码协处理和安全密钥加密加速功能 协处理功能目的在于银行和金融应用 安全密钥加速器功能目的在于改善SSL 安全套接字层 与TLS 传输层安全性 在处理过程中的性能 4764密码协处理器在安全存储方面符合FIPS140 2四级安全要求的支持密钥的防止入侵篡改模式 参见http csrc nist gov cryptval 140 1 1401val2005 htm 新的密码卡提供支持电子商务和生成数字签名应用所需的安全和性能 对于银行和金融业则应用了4764密码协处理器 大大改善了T DES RSA和金融PIN处理 IBMCCA 通用密码构架 API提供金融和其他应用 可以访问协处理器的服务 对于银行和金融业应用 4764协处理器替代当前的4758 023 LEEDS 2 密码协处理器 iSeries特性代码4801 4764密码协处理器也用作改善应用SSL和TLS协议的大量交易安全网站应用程序的高速处理 4764密码协处理器的密码分担处理与SSL TLS的部分建立相关联 因此在其他处理中解除该服务 当只对SSL使用密码加速器时 4764密码协处理器会替代当前的2058 LEEDS Lite 密码加速器 iSeries特性代码4805 注 一个提供支持IBMi5密码协处理器 4806A特性的设备 当您购买该协处理器时 这个支持IBMeServeriSeries的密码设备管理 5733 CY1 也列入您的订单 设想您应用e config 密码设备管理对于eServeri5协处理器 4806硬件特性的先决条件并且必须在使用协处理器之前安装 安装机密协处理器的方式和4758 023密码协处理器一样 当被用做密码加速器的时候 需要一个平台来通过iSeries任务页完成整个安装 现在有计划撤回市场上4758和2058加密硬件的销售 入侵检测 V5R4加入了基于入侵检测能力的TCP IP栈不是入侵防护入侵的目的是 获取未授权的信息 信息盗取 致使网络 系统和应用程序不可用 从而造成经济损失 拒绝服务 获得未授权系统的使用权以任意进行进一步的入侵入侵大多数是按照一定的顺序实现 收集网络分布和用户的信息IP地址和端口扫描网络嗅探试图利用收集的信息进入网络和系统资源展开破坏攻击 注 入侵检测涉及了收集未授权使用的信息和TCP IP上网络攻击 安全管理者能够分析记录 使得iSeries网络远离这些类型的攻击 入侵包含很多不利行为 例如信息盗取和拒绝服务攻击 入侵的目的可能是获取未授权的信息 信息盗取 入侵的目的可能是致使网络 系统 应用程序不可用 从而造成经济损失 拒绝服务 或者可能是获得未授权系统的使用权以任意进行进一步的入侵 大多数的入侵有一个特定的信息搜集 试图访问和破坏攻击的流程 一些攻击可以被目标系统检测到并制止 但有些攻击 目标系统检测不到 大多数的攻击也会使用欺骗包 使得不容易追查到他们的真正来源 大多数的攻击使用未授权的不知情的第三方计算机或网络隐藏自己的身份 因为这些原因 入侵检测至关重要的部分是获取信息 试图访问检测和攻击行为 在iSeries文件中有两种入侵检测的条件 第一种 入侵检测涉及安全漏洞方面的预防与检测 例如 黑客试图使用一个无效的用户ID 或者一个拥有大部分授权可以改变系统库中重要对象的不常使用的用户名 第二种情况 入侵检测涉及新的入侵检测功能 应用策略监视系统上的可疑通讯 为完成入侵检测 需要对IP网络工作有很好的了解 入侵检测 入侵检测事件包含 扫描事件端口扫描攻击拒绝服务攻击不良数据包互联网协议段受限制的IP选择权受限制的IP协议因特网控制信息协议 ICMP 信息重定位用户数据报协议 UDP 7端口 回复端口 的永久回复攻击 注 可以创建一个入侵检测策略审计通过TCP IP网络的可疑入侵事件 例如入侵检测功能寻找的内容包括 扫描事件入侵检测系统检测扫描端口 通过搜集和审计统计 入侵检测系统就能确定系统是否扫描对象 当TCP IP栈检测到入侵事件的时候 栈会调用入侵检测功能和生成列表与审计记录 端口扫描就是一个扫描事件示例 攻击事件不良数据包当不良数据包执行时会引起系统冲突或暂停 当IDS策略检测到不良数据包时 做审计记录 TCP IP栈删除该不良数据包 段限制事件无效的段覆盖IP或传输头文件试图绕过防火墙的检测 在iSeries系统上 是不可能覆盖IP头文件的 TCP IP栈检测确认第一个最小为576字节的数据段的第一小段 该栈也检测相对于第一小段偏移量大于256字节的小段 IDS策略审计有效的IP段 IP选项限制位于数据包中的IP选择是一个不定长度的选择信息 部分IP选择 例如自由源路径 可以用于网络攻击 可以应用IDS策略限制那些适合的包进站 例如 可以说明有哪些限制的进站IP选择包被放弃或审计 您也可以生成进站受限IP选择数据包列表的统计 注 IP协议限制IP协议是位于IP头文件的八个字节 未定义的IP协议可能会用于后门攻击 可以用IDS策略限制包含的进站数据包 该策略说明带有限制IP协议的进站数据包是否被审计 也可以生成一个带有IP限制协议的进站数据包的列表统计 同步信号溢出事件TCP同步信号溢出事件产生了大量的半开的插口 这些溢出事件填满了插口 限制了应用程序和来自与无效连接的连接 同步信号溢出事件利用一个不可到达的系统地址欺骗了源IP地址 IDS策略签名同步信号溢出事件并且写入审计记录 控制消息协议重定向事件可以用控制消息协议 重定向信息而不考虑已经确定的网络路由 可以在IDS策略文件中说明对忽略或处理控制消息协议重定向信息选用忽略重定向选项 UDP端口的永久回复用称为回复端口的7号端口测试UDP连接 源端口和目标端口都定义在7号端口 引发各自端口回复它们收到的信息 无论什么数据都被回复 永久回复攻击是攻击UDP7号端口的 TCP IP栈检测是否源端口与目标端口对等 如果有针对攻击类型的IDS策略 无论何时检测到UDP端口的永久回复攻击 系统都会编写审计记录 输出数据大多数网络攻击需要修改数据包不能被相应的协议执行建立 这项功能能让您检测预防大多数的欺骗尝试 以使您的系统不被当作首个攻击源 入侵检测 i5 OS执行 入侵检测系统 IDS 的检测行为策略写在一个策略文件里i5 OSIDS结合服务质量 QoS 服务器提供入侵检测服务 注 在i5 OS 入侵检测使用IDS策略配置文件 包含设置好的入侵事件 每一个策略都有相关的条件与操作 但是也存在几种条件关联同一个操作 TCP IP栈报告最普遍的潜在入侵事件并审计它们 以使您能够写一个分析数据的应用程序 并且在入侵进行时 向安全管理员报告 入侵检测系统如前面图表所示的执行并且描述如下 编辑IDC策略文件检测指定类型的入侵 并且启动服务质量服务器 是否被认为是入侵的事件在策略文件中被定义 条件是对端口进行定义的 当条件满足时 在策略里定义的操作就会启动 服务质量策略代理从idspolicy conffile中读取入侵策略文件 服务质量策略代理向服务质量管理器发送机器入侵信息 服务质量管理器解释机器入侵 并发送到TCP IP栈的入侵检测系统 TCP IP栈管理网络中的输出通信 输入通信和网络中其他计算机的路由请求 入侵检测系统在端口表中创建了策略 端口表显示了从0号端口到65535的全部端口 在前面的图里所示的示例中 在1号端口定义有三种条件和两种操作 当条件一或二满足时 二操作就会进行 当条件三满足时一操作就会进行 可以定义复合条件对应同一个操作 0号端口是一个无效端口 对于0号端口的所有的条件和操作都适用于所有端口 1 65535 当TCP IP检测到入侵时 在端口列表里查找相应的条件和执行操作 例如 创建IM审计记录或系统列表 系统创建描述入侵事件类型的IM审计记录 系统管理员需要在例行的入侵检测审计记录类型和采取的措施的基础上分析审计日志 例如 通过IP包过滤来关闭一个端口 线上线下的数据与程序的完整性 特洛伊木马的潜在威胁 数据和程序在传输中的蓄意操作 总部BP ISV 软件发送 分公司 我正在改变代码 来自于总部的新软件 我要马上安装 完整性 i5 OS提供 数字签名以校验信息的完整性和原始性 从V5R1开始整合在OS 400中 在恢复或CL命令CHKOBJITG检查对象完整性时检测签名 注 对象签名 对象签名和签名认证是用来证实多种iSeries对象完整性的安全能力 用数字证书签署一份私有密钥 用这个证书 包含有相应的公钥 来确认数字签名 数字签名确保您签名的对象时间和内容上的完整 签名是一种非批判的证据和授权 它可以用作证明原始性和检测篡改 通过签名对象 确定对象源和提供检测对象被篡改的方法 当您认证了对象的签名 就可以确定从签名过后对象的内容是否被更改过 您也可以认证源签名以确定对象的原始可靠性 在使用DCM认证对象签名之前 必须确认满足特定的先决条件 SIGNATUREVERIFICATION库必须要创建管理您的数字认证证书 SIGNATUREVERIFICATION库必须包含签名对象的证书拷贝 SIGNATUREVERIFICATION库必须包含签名对象发行的CA证书 使用管理中心来签名对象是iSeriesNavigator加在V5R2的一个功能 使用管理中心签名打包对象减少了您花在分配签名对象到您的公司的iSeries服务器上所需的时间 它还减少了您展示签名对象的步骤 因为签名处理是打包处理的一部分 签名一个打包的对象使您更轻松地判断是否对象在签名过后被更改 这样可以降低今后追踪到问题应用程序的错误率 在V5R2里 有一些新的用于对象签名和签名认证的新的API 一个特别有趣的是添加证实 QYDOADDV QydoAddVerifier API 这个API添加了一个认证到系统的签名认证存储区 系统可以用这个加入的认证来认证对象的签名使得证书创建 认证签名使得系统认证签名对象的真实性以确保对象被签名后没有被更改 如果证书存储不存在了 这个API会创建添加证书 注意 出于安全原因 API不应该允许您将认证授权证书插入签名认证证书 当您加入CA证书在认证存储区时 系统认为CA是一个值得信赖的原始证书 后果是 系统对待CA发布的证书像来自于一个原始的信任源 因此 不能用API创建安装退出程序加入CA证书在认证存储里 必须使用数字证书管理器添加CA证书到证书存储 以确保必须特定的和手动的控制CA系统信任 对可能发生的做了预防 系统可以从源输入证书使得管理者不需要知道值得信任的说明信息 议程 为何需要安全系统 企业的需求安全系统在不同层面上的实施安全策略iSeries网络级的安全功能iSeries系统级的安全功能iSeries应用级的安全功能 用户配置认证强迫用户签名 并对其进行认证系统值QPWDEXPITV QPWDLMTAJC QPWDLMTCHR QPWDLMTREP QPWDLVL QPWDMAXLEN QPWDMINLEN QPWDPOSDIF QPWDRQDDGT QPWDRQDDIF QPWDVLDPGM QMAXSIGN QMAXSGNACN授权给用户一个特定的授权 用户将被授权不同的对象和运行不同的功能 对象许可授权在认定用户是否需要访问该对象后给予访问权利或收回访问权利系统值QSECURITY确保对象授权和特有的证书其他系统值来控制对象许可 例如QALWUSRDMN和QUSEADPAUT i5 OS安全 认证 授权 授权 注 i5 OS安全 用户配置建立在同意用户进入系统的基础之上 它们被同意使用或收回 访问i5 OS中所有文件系统里对象的权限 用户配置需要强制获得只有在很多指定授权必要的前提下 不幸的是 在很多公司太多的用户配置授予了太多的权限 因此降低了商业应用程序和数据的安全性 例如 用户的认证仍然是依靠账户和密码 目前 密码是否需要周期性的更换 一个字母长的密码是否可以使用已经没有讨论的意义了 应该建立特定的密码规则以加强密码质量 但同时密码规则也不能太严格以至于用户要把它们写下来 i5 OS提供大量的高质量的相关密码系统 能控制用户配置密码的规则 注意密码规则只是当密码通过CHGPWDCL命令改变时才强制执行 有权使用应用程序和数据也应该有严格规定 只有用户需要使用一个应用时才有权使用 i5 OS提供一个非常有条理的机制 可以严格地控制访问数据表的列级别 所有对象都存储在完整的文件系统里 IFS 确定QSYS对象是安全的 一般商业 确定在Unix中的Unix文件是安全的 通过NFS访问 确定通过NT的NT文件是安全的 通过QNTC访问 确定文件和文件夹也是安全的保护所有在根目录下的本地IFS文件系统通过以下步骤来审计用户的授权 用户 ALLOBJ 全对象 特别授权用户特定对象特别授权用户在授权表上的授权保护对象群组 ALLOBJ 全对象 的特别授权群组特定对象授权群组在授权表上的授权保护对象对于对象或授权认可表的公共授权保护对象授权采用 AdoptingAuthority 不支持IFS的授权 i5 OS对象安全性 授权 OBJEXIST 需要删除 保存和恢复对象 OBJMGT 需要移动 重命名或在许可下工作 OBJALTER 不可用 OBJREF 不可用 OBJOPR RWX是打开的情况下打开 基本上不使用的 映射IFS授权到OS 400QSYS LIB授权读 R OBJOPR和 READ写 W OBJOPR ADD UPD DLT执行 X OBJOPR和 EXECUTEIFS文件的属性只读 隐藏 存档等 可以通过CHGATR命令设置 V5R1 如果设置只读 即使是QSECOFR也不能删除文件 i5 OS对象安全 QSECURITY系统值五个可能值10 50默认值40 QSECURITY评估 10 20 30 40 50 用户 密码认证 X X X X 对象许可 X X X 预防限制使用 MI X X 程序恢复确认 ALLOBJDIF NONE Public Privateauth EXCLUDE X X 作业描述授权 如果用户配置用了用户参数和加入了带有JOBD的WSE X X 强制用户 密码 签名 JOBDinSBSD X X 系统域对象只有命令和APIs才有权访问 X C2美国政府定义的安全政策是适用的 X 用户保留的系统状态程序参数确认 用户接口 X 限制消息处理 X i5 OS安全 系统 QSECURITY控制系统的安全级别 iSeries安全性共提供五个级别的安全性 级别10 没有用户认证或资源保护 登录无需密码 此级别下运行的系统应该立即进行修改 最好为30或更高 如果希望改动到30以上的级别 首选应该测试级别30的安装 级别20 通过用户配置文件和密码检查进行密码 用户认证 无资源保护 级别30 密码和资源 用户认证和资源保护 用户需要授权才能访问对象 级别40 密码 资源和操作系统完整性 用户认证 资源保护和机器界面保护 在安全级别40和50 用户状态程序不能直接更改程序对象的相关空间 在此级别上 用户状态程序不能获取系统中另一个作业的地址 因此 用户状态程序不能直接定位与其他作业相关的对象 增强的硬件存储器保护允许将硬盘中的系统信息块定义为读 写 只读或不能访问 在安全级别40和50 由系统控制 USER状态程序对这些受保护块的访问 此支持在低于40的安全级别不可用 级别50 密码 资源和增强操作系统完整性 用户认证 资源保护和机器界面保护 安全级别50针对iSeries服务器的高安全性要求并满足C2安全性要求 多数系统对象类型都在系统区域内创建 在安全级别40或50运行系统时 系统域对象只能用提供的命令和API访问 操作系统的用户界面是用户域中的系统状态程序 换言之 它们是可由用户直接调用的程序 参数在用户状态和系统程序间传递时 这些参数必须验证 以确保无效的参数不会导致系统执行意外的功能或无意中修改系统域对象 而且 也不允许无效的参数打乱其他用户的正常系统操作 以此确保系统的完整性 程序间发送的消息会导致潜在的完整性暴露风险 用户状态程序可以向其他用户状态程序发送任何种类的消息 但如果系统状态程序是请求处理器或系统状态程序调用用户状态程序 则不包括键入的消息 状态 通知或退出 注 i5 OS安全性 用户配置构建构成了iSeries服务器认证和授权的基础 OS 400中多数安全相关设置都由系统值控制 以下列表描述了某些与用户配置文件相关的值 QPWDEXPITV 指定密码有效的天数 指定天数后要求用户更改密码 从而提供密码安全性 如果密码没有在指定的天数内修改 那么除非更改密码 否则用户将不能登录 QPWDLMTAJC 指定在密码中是否允许相邻的数字 通过禁止将日期或社会安全数字用作密码来增加猜测密码的难度 QPWDLMTCHR 通过防止在密码中出现特定字符 例如元音字母 来提供密码安全性 这就防止用户将普通的单词或姓名用作密码 从而提高了猜测密码的难度 QPWDLMTREP 防止用户在一个密码中多次使用相同的字符 QPWDLVL 指定系统上的密码支持级别 QPWDMAXLEN 指定密码的最大长度 QPWDMINLEN 指定密码的最小长度 QPWDPOSDIF 控制新密码的字符位置 防止用户在两个密码的相同位置使用相同的字符 QPWDRQDDGT 指定新密码中是否需要数字 防止用户只使用文字字符 QPWDRQDDIF 限制用户重复使用密码的频率 注 i5 OS安全性 QPWDVLDPGM 提供用户手写程序能力 进一步增强密码验证 QMAXSIGN 以下情况下会发生对安全系统 系统级别为20或更高 的登录企图 不正确的用户ID不正确的密码用户配置文件没有输入用户ID的设备授权QMAXSGNACN 指定系统在达到最大不正确的登录企图 系统值为QMAXSIGN 后将如何反应 要获取所有安全相关系统值的完整列表及其含义 请参考IBMiSeriesSecurityReference SC41 5302 本参考可在iSeries信息中心获取 注 i5 OS安全性 审计 记录保存审计日志并记录所有的安全相关时间是很多法律和规定的要求i5 OS提供安全审计日志功能审计日志由系统值控制包括精细选项和对象级日志设置审计日志的原因包括以下内容 不限于以下内容 接收未授权访问企图的通知具有高级用户输入的无缝审计跟踪命令向审计人员提供安全审核所需的信息 i5 OS安全性 审计 记录 审计 记录 注 i5 OSSecurity 审计 记录 保存审计日志的原因如下 用于评估安全计划是否完整 为了确保规划安全性控制就位和正常工作 此审计类型由安全性管理人员作为日程安全性管理来执行 某些时候 它还会由内部或外部审计人员更详细地作为定期安全性回顾的一部分执行 为了确保系统安全性能跟上系统环境改变的步伐 以下是一些影响安全性的系统变化示例 由系统用户创建的新对象新用户进入系统更改对象所有权 认证未调整 变更责任 更改了用户组 临时授权 没有及时撤回 安装新产品为将来的事件作准备 例如安装新的应用 移动到更高的安全性级别或设置通讯网络 i5 OS安全性 审计 记录 审计 记录 系统值QAUDCTL AUDLVL NOQTEMP OBJAUD 系统值QAUDLVLQAUDLVL2 SECCFG AUTFAIL DELETE i5 OS对象1 OBJAUD NONE 审计日志 日志接收器JRNLIB AUDRCV 1 3 4 i5 OS对象2 OBJAUD ALL 5 审计日志 日志QSYS QAUDJRN 2 i5 OS对象3 OBJAUD USRPRF 实施概述 i5 OS用户配置文件 OBJAUD CHANGE AUDLVL CMD CREATE 5 6 分析设计日志 DSPJRNCPYAUDJRNE 1 1 V5R4 注 i5 OS安全性 审计 记录 为了在i5 OS中实施审计日志 需要执行以下步骤 为审计日志创建日志接收器 最好为日志接收器创建单独的库 可能需要将库放在不同的辅助存储器池 ASP 在库QSYS中创建审计日志QAUDJRN 并附加到先前创建的日志接收器中 通过QAUDCTL系统值启用系统级审计 在系统级别定义用户希望设计记录写入QAUDLVL系统值的内容 QAUDLVL系统值参数最多可以保存16个值 如果需要定义多于16个值 QAUDLVL的最后一个值必须为 AUDLVL2 这就让您可以在QAUDLVL2系统值中定义余下的值 如果QAUDCTL系统值包含值 OBJAUD 您就可以为单独的对象启用审计 在对象属性中 可以定义无审计占位 审计值只在对象更改或发现对象访问尝试时被写 无论读或更改 您还可以为单独的用户配置文件定义附加的审计值 例如 可以定义对象删除时希望获得审计记录的QAUDLVL系统值 但对于特定用户配置文件 还需要在用户创建新对象时获取通知 此外 也可以指定是否获取特定用户的所有命令记录 最后 还需要分析审计日志 在某些情况下 可能值保存了日志和事故分析条目 另一些情况下 可能希望日志经过一段时间的验证 确保系统依然符合安全性策略 可以使用系统提供的命令 例如DSPJRN或CPYAUDJRNE V5R4和更高版本 以及查询或SQL来评估日志或使用来自经销商的工具 安全性报告为i5 OS提供安全性工具 SECBATCH 认证列表授权用户配置文件授权提供大量不同的报告用于控制i5 OS用户配置文件环境的安全性工具 SECTOOLS 分析默认密码分析配置文件活动 如果用户不活动的时间超过xx天 那么 活动日程表过期日程表更多 i5 OS安全性 安全性工具 注 i5 OS安全性 安全性工具 安全性工具有两个菜单 SECTOOLS 安全性工具 菜单 用于交互运行命令 除了很多安全性报告命令 它还提供其他CL命令 用于控制用户配置文件活动 ANZDFTPWD使用AnalyzeDefaultPasswords 分析默认密码 命令报告并处理带有用户密码和用户文件名相同的用户 DSPACTPRFL使用DisplayActiveProfileList 显示活动配置文件列表 命令显示或打印ANZPRFACT处理中免除的用户配置文件 CHGACTPRFL使用ChangeActiveProfileList 更改活动配置文件列表 命令从ANZPRFACT命令的免除列表中添加和删除用户配置文件 活动配置文件列表上的用户配置文件是永久活动的 直到从列表中删除 ANZPRFACT命令不能禁用活动配置文件列表上的配置文件 无论该配置文件的闲置时间多长 ANZPRFACT使用AnalyzeProfileActivity 分析配置文件活动 命令禁用那些指定天数内没有使用的用户配置文件 使用ANZPRFACT命令指定天数后 系统会一直运行ANZPRFACT作业 可以用CHGACTPRFL命令防止用户配置文件被禁用 DSPACTSCD使用DisplayProfileActivationSchedule 显示配置文件激活安排 命令显示或打印有关启用和禁用用户配置文件的日程信息 可以用CHGACTSCDE命令创建日程 CHGACTSCDE使用ChangeActivationScheduleEntry 更改激活安排条目 命令限制用户配置文件的登录时间 一天或一周中的时间 对于规划的每个用户配置文件 系统会为启用和禁用的时间创建日程条目 注 i5 OS安全性 安全性工具 SECTOOLS 安全性工具 菜单选项 续 DSPEXPSCDE使用DisplayExpirationSchedule 显示过期安排 命令显示或打印将来已安排要用系统中禁用或删除的用户配置文件列表 可以使用CHGEXPSCDE命令设置用户配置文件的过期时间 CHGEXPSCDE使用ChangeExpirationScheduleEntry 更改过期安排条目 命令安全用户配置文件的删除时间 可以暂时删除 禁用 或从系统中删除 此命令使用的作业安排条目每天在00 01 午夜后一分钟 该作业会查看QASECEXP文件 确定某个用户配置是否设置为在当日过期 使用DSPEXPSCD命令显示预定要过期的用户配置文件 SECBATCH 提交或安排批处理安全性报告 菜单用于批处理运行报告命令 SECBATCH菜单含有两个部分 菜单的首个部分是使用SubmitJob 提交作业 SBMJOB 命令提交报告 以立即进行批处理 该菜单的第二部分是使用AddJobScheduleEntry 添加作业安排条目 ADDJOBSCDE 命令 可以用此命令来安排在指定日期和时间运行的安全性报告 防止高级用户更改安全性相关的系统值控制添加新验证 QYDOADDV API的使用或证明 以及存储的密码能否重置控制服务工具用户的行为及其密码 STRSST选项7允许用户管理V5R2或更高版本中的总体系统安全性功能 i5 OS安全性 锁定系统值 授权 完整性 从V5R2开始 就能够通过SST设置控制用户是否能更改安全性相关的系统值 如果设置为No 否 用户就不能更改以下值 可锁系统值审计系统值激活操作审计QAUDLVL激活对象审计QAUDCTL审计日志错误操作QAUDENACN针对新创建对象的默认审计QCRTOBJAUD辅助存储器中的最大日志条目数QAUDFRCLVL设备系统值本地控制器和设备QAUTOCFG经过设备和TelnetQAUTOVRT发生设备错误时进行的操作QDEVRCYACN远程控制器和设备QAUTORMT作业系统值超时间隔QDSCJOBITV作业到达超时的时间QINACTMSGQ密码系统值密码过期QPWDEXPITV限制连续数QPWDLMTAJC受限字符QPWDLMTCHR限制重复字符QPWDLMTREP密码级别QPWDLVL最大密码长度QPWDMAXLEN最小密码长度QPWDMINLEN在每个位置都需要新的字符QPWDPOSDIF需要至少一个数字Q