安全性简介课件.pptx

2006 IBM Corporation International Technical Support Othe power of oneIBM Confidential until announcedIBM System i5ITSO Technical Forum 2006 System i 安全性简介安全性简介Thomas B认证咨询 IT 专家IBM ESP08 2006 IBM C Barlen .International Technical Support Organization议程为什么需要安全系统?企业的需求安全系统在不同层面上的实施安全策略iSeries 网络级的安全功能iSeries 系统级的安全功能iSeries 应用级的安全功能 2006 IBM C Barlen .International Technical Support Organization议程为什么需要安全系统?企业的需求安全系统在不同层面上的实施安全策略iSeries 网络级安全性功能iSeries 系统级安全性功能iSeries 应用级安全性功能 2006 IBM C Barlen .International Technical Support Organization为什么安全如此重要?人力资源数据，资源和商业资产的保护防止未授权数据及资源的访问 建立信任机制对于电子商务非常重要供应商和生意伙伴之间 2006 IBM C Barlen .International Technical Support Organization层次化的系统安全执行为了完成最高级别的保护，需要在各个层面执行公司安全性公司安全性 客户教育客户教育安全性策略安全性策略物理层安全物理层安全网络层安全网络层安全系统层安全系统层安全应用层应用层 加密套接字加密套接字协议层，协议层，出出口程序口程序锁，锁，访问控制访问控制不间断电源，不间断电源，备份备份，命令行，命令行防火墙，虚拟个人网络网关防火墙，虚拟个人网络网关入侵检测入侵检测局域网界面局域网界面 对象访问对象访问客户端客户端应该达到安全目的认证认证授权授权 完整性完整性机密性机密性审计审计/日志日志在这条链中安全只和其中最薄弱的环境相连接在这条链中安全只和其中最薄弱的环境相连接 2006 IBM C Barlen .International Technical Support Organization议程为何强调安全性企业的要求在各个层面实施安全性安全性策略iSeries 网络级安全功能iSeries 系统级安全功能iSeries 应用级安全功能 2006 IBM C Barlen .International Technical Support Organization说明市面上的几种技术在保护数据在网络中传输的安全方面是有效的数据保护必须能够防止敏感信息被攻击者读取在默认情况下，IP网络通信，如Telnet或FTP，不受阻碍地传输用户名/密码信息25 R 88 23:29:33.252584 00096BAEABDC 00D0D32BFF44 ETHV2 Type:0800 Frame Type:IP DSCP:0 ECN:00-NECT Length:88 Protocol:TCP Datagram ID:82C8 Src Addr:172.17.1.5 Dest Addr:172.17.17.40 Fragment Flags:DONT，LAST IP Header :4500005882C840003F064E88AC110105AC111128 IP Options:NONE TCP .:Src Port:53358，Unassigned Dest Port:23，TELNET SEQ Number:1717623935(6660DC7FX)ACK Number:2957957869(B04EDAEDX)Code Bits:ACK PSH Window:7496 TCP Option:NO OP TCP Header:D06E00176660DC7FB04EDAED80181D486FA100000101080A40479A7B5943F784 Data:002212A000000-.-1D9D3C5D5F2110735C2C1D5F5D5C1*.1.BARLEN2.BAN5NA*D5C5FFEF *NA.*2006 IBM C Barlen .International Technical Support Organization数据在网络上传输的安全性保护数据传输的协议是建立在i5/OS 上的包含所有部件，没有额外开支认证认证完整性完整性机密性机密性互联网分支办公室公共网络分支办公室供应商虚拟个人网络通道SSH 通道通道虚拟个人网络通道虚拟个人网络通道加密套接字协议层i5/OS 提供:-加密套接字协议层(SSL)，传输层安全协议(TLS)-虚拟个人网络(VPN)IPSec 协议标准-通过i5/OS可移植实用程序的开源安全性(Openssh，Openssl)2006 IBM C Barlen .International Technical Support OrganizationChart created by Thomas Barlen在LPAR环境下的防火墙LinuxLinuxi5/OSAIXi5/OSi5/OS防火墙 VPN GW防火墙 邮件扫描网络服务器网络应用 服务器TBTBTB互联网互联网TBTBIXS商业应用1开发分区虚拟 I/O产品分区商业应用企业内部互联网企业内部互联网 在随需应变的基础架构上应用灵活的防火墙 2006 IBM C Barlen .International Technical Support Organization硬件选件两种加密硬件可以应用于i5/OS加密加速器2058(#4805)采用简易设置适配器提高握手SSL成绩(最高可达 1000 RSA 操作/秒)没有安全密钥的存储可以用加密服务的APIs来加密每个系统总共有四个适配器，每一个含有五个加密引擎IBM密码协处理器 4758-023(#4801)-CP/Q 操作系统-生成随机数和MACs-安全地复制主密钥-支持金融的PIN-处理-生成有效的数字签名-支持EMV 2000(Europay/MasterCard/Visa)标准-加密解密数据-改善SSL握手进程(优先存储安全密钥，但是比2058慢)-安全的输入输出DES密码和Triple-DES 密钥-安全密钥存储安全密钥存储-符合联邦信息处理标准(FIPS)PUB 140-1，第三级别的要求-每个分区总最多支持八个适配器干预响应模块 2006 IBM C Barlen .International Technical Support Organization硬件选件（续）PCI-X 密码协处理器 4764(#4806)对于大多数的任务有最大可达PCI协处理器4758-023性能的4到5倍符合FIPS 140-2四级认证支持4758-023的特性和功能支持EMV 2000(Europay/MasterCard/Visa)标准需要密码设备管理器(5733-CY1)为协处理器卡提供操作系统基于Linux在i5/OS采用无 IOP适配器特性V5R3 和 POWER5 服务器是必要的对于新发展的系统应用4764，2058 和 4758 已经不再销售了 2006 IBM C Barlen .International Technical Support Organization入侵检测V5R4加入了基于入侵检测能力的 TCP/IP栈不是入侵防护入侵的目的是:获取未授权的信息(信息盗取)致使网络、系统和应用程序不可用，从而造成经济损失(拒绝服务)获得未授权系统的使用权以任意进行进一步的入侵入侵大多数是按照一定的顺序实现:收集网络分布和用户的信息IP地址和端口扫描网络嗅探 试图利用收集的信息进入网络和系统资源展开破坏攻击 2006 IBM C Barlen .International Technical Support Organization入侵检测入侵检测事件包含:扫描事件端口扫描攻击拒绝服务攻击不良数据包互联网协议段受限制的IP选择权受限制的IP协议因特网控制信息协议(ICMP)信息重定位用户数据报协议（UDP）7端口(回复端口)的永久回复攻击 2006 IBM C Barlen .International Technical Support Organization线上线下的数据与程序的完整性特洛伊木马的潜在威胁，数据和程序在传输中的蓄意操作总部BP/ISV软件发送软件发送分公司我正在改变代我正在改变代码码.来自于总来自于总部的新软部的新软件，我要件，我要马上安装。马上安装。完整性完整性i5/OS提供:-数字签名以校验信息的完整性和原始性-从 V5R1开始整合在OS/400中-在恢复或CL命令CHKOBJITG检查对象完整性时检测签名 2006 IBM C Barlen .International Technical Support Organization议程为何需要安全系统?企业的需求安全系统在不同层面上的实施安全策略iSeries 网络级的安全功能iSeries 系统级的安全功能iSeries 应用级的安全功能 2006 IBM C Barlen .International Technical Support Organization用户配置用户配置l认证强迫用户签名，并对其进行认证系统值QPWDEXPITV，QPWDLMTAJC，QPWDLMTCHR，QPWDLMTREP，QPWDLVL，QPWDMAXLEN，QPWDMINLEN，QPWDPOSDIF，QPWDRQDDGT，QPWDRQDDIF，QPWDVLDPGM，QMAXSIGN，QMAXSGNACNl授权给用户一个特定的授权，用户将被授权不同的对象和运行不同的功能。对象许可对象许可l授权在认定用户是否需要访问该对象后给予访问权利或收回访问权利系统值QSECURITY 确保对象授权和特有的证书其他系统值来控制对象许可，例如QALWUSRDMN 和QUSEADPAUTi5/OS 安全认证认证授权授权授权授权 2006 IBM C Barlen .International Technical Support OrganizationQSECURITY 系统值系统值l五个可能值 10-50l默认值 40QSECURITY 评估评估1020304050用户/密码认证 XXXX对象许可 XXX预防限制使用(MI)XX程序恢复确认/ALLOBJDIF(*NONE)-Public/Private auth.*EXCLUDE XX作业描述授权(如果用户配置用了用户参数和加入了带有JOBD的 WSE)XX强制用户/密码，签名(JOBD in SBSD)XX系统域对象只有命令和APIs才有权访问 XC2 美国政府定义的安全政策是适用的 X用户保留的系统状态程序参数确认(用户接口)X限制消息处理 Xi5/OS 安全 系统 2006 IBM C Barlen .International Technical Support Organization审计/记录保存审计日志并记录所有的安全相关时间是很多法律和规定的要求i5/OS 提供安全审计日志功能审计日志由系统值控制包括精细选项和对象级日志 设置审计日志的原因包括以下内容（不限于以下内容）：接收未授权访问企图的通知具有高级用户输入的无缝审计跟踪命令向审计人员提供安全审核所需的信息i5/OS 安全性 审计/记录审计审计/记录记录 2006 IBM C Barlen .International Technical Support Organizationi5/OS 安全性 审计/记录审计审计/记录记录系统值QAUDCTL*AUDLVL*NOQTEMP*OBJAUD系统值QAUDLVL QAUDLVL2*SECCFG*AUTFAIL*DELETEi5/OS 对象 1OBJAUD(*NONE)审计日志日志接收器JRNLIB/AUDRCV134i5/OS 对象 2OBJAUD(*ALL)5审计日志日志QSYS/QAUDJRN2i5/OS 对象 3OBJAUD(*USRPRF)实施概述i5/OS 用户配置文件OBJAUD(*CHANGE)AUDLVL(*CMD *CREATE)56分析设计日志DSPJRNCPYAUDJRNE*1*1=V5R4 2006 IBM C Barlen .International Technical Support Organization安全性报告为 i5/OS 提供安全性工具(SECBATCH)认证列表授权用户配置文件授权提供大量不同的报告用于控制 i5/OS 用户配置文件环境的安全性工具(SECTOOLS)分析默认密码分析配置文件活动（如果用户不活动的时间超过 xx 天，那么.)活动日程表 过期日程表更多i5/OS 安全性 安全性工具 2006 IBM C Barlen .International Technical Support Organizationl防止高级用户更改安全性相关的系统值l控制添加新验证(QYDOADDV)API 的使用或证明，以及存储的密码能否重置l控制服务工具用户的行为及其密码STRSST 选项选项 7 允许用户管理允许用户管理 V5R2 或更高版本中的总体系统安全性或更高版本中的总体系统安全性功能功能i5/OS 安全性 锁定系统值授权授权完整性完整性 2006 IBM C Barlen .International Technical Support Organization退出程序退出程序可用于：向 OS/400 功能或应用添加新的功能作为用户输入或请求和OS/400 应用的接口认证用户使用多个TCP/IP 应用时，可用于执行认证过程中的附加检查，包括Telnet、FTP 等等授权可用于大量 TCP/IP 应用中用户对特定对象/功能的授权，包括Telnet、FTP、REXEC、TFTP 等。从 V5R1 开始，可以将Operations Navigator（操作导航器）作为Application Administration（应用管理）(AppAdmin)使用，以授予和取消系统（在使用 FTP）内外单独用户或群组用户对 FTP 功能和命令的访问。例如，LS、CWD、PUT、GET 等等。.认证认证授权授权 2006 IBM C Barlen .International Technical Support Organization退出程序（续）记录退出程序是实施定制记录机构的理想方式，例如：为每个用户记录所有提到的 FTP 子命令跟踪登录的用户和他们所使用的设备/IP 地址退出程序在退出点注册WRKREGINF 命令经销商工具退出，允许控制退出点市面上有大量的第三方经销商工具经销商包括：POWERTECH、NetIQ、RAZ-LEE、Bsafe Information Systems、Busch&Partner在互联网上查找有关其他经销商工具的信息审计审计/记录记录 2006 IBM C Barlen .International Technical Support Organization示例：示例：FTP退出点：退出点：QIBM_QTMF_SERVER_REQ(FTP 服务器服务器)QIBM_QTMF_CLIENT_REQ(FTP 客户机客户机)退出点格式：退出点格式：VLRQ0100TCP/IP 应用应用退出点接口退出点接口用户退出程序用户退出程序应用退出点应用退出点参数参数返回代码返回代码 检查授权检查授权12345授权信息授权信息DB1=FTP 服务器接收到客户机请求，并将参数传递到退出点服务器接收到客户机请求，并将参数传递到退出点QIBM_QTMF_SERVER_REQ 2=已注册的退出点将请求的参数传递到注册用户的退出程序已注册的退出点将请求的参数传递到注册用户的退出程序3=退出程序处理请求，即，使用用户退出程序处理请求，即，使用用户/请求类型（请求类型（GET）和文件名检查数据库，确定用户是否有权接收此文件）和文件名检查数据库，确定用户是否有权接收此文件4=退出程序将返回代码发送到退出点退出程序将返回代码发送到退出点5=退出点将结果返回到服务器应用退出点将结果返回到服务器应用退出程序使用示例 2006 IBM C Barlen .International Technical Support Organization应用管理应用管理可以实施高精细的安全性限制，适用于各种系统接口，例如：限制 ODBC 对系统的访问控制文件上传和下载控制由谁访问哪个 iSeries Navigator 功能本示例将告诉您怎样设置对 i5/OS 中用户 FTP 客户机命令授权的限制从 V5R3 版以后，功能也可以通过WRKFCNUSG CL 进行控制 2006 IBM C Barlen .International Technical Support Organization（FTP 客户机）“LCD”命令的访问权专授给 Barlen特别禁止Bigblue对 （FTP 客户机）“LCD”命令的访问权应用管理（续）2006 IBM C Barlen .International Technical Support Organization病毒扫描加入了基础结构支持，用于集成文件系统（IFS）的防毒扫描能力允许第三方经销商开放可插入到 i5/OS中的防毒扫描软件，例如：Bytware Standguard AntiVirus随系统提供试用版在对象打开或关闭时提供用于各种目的的扫描支持完整性完整性传播病毒传播病毒W32/Cidu-AW32/BabyBearAPhantom 1病毒每天都会对业务产生极大的损害NetServerFTP、NFS 2006 IBM C Barlen .International Technical Support Organization防毒扫描i5/OS 能跟踪所有的变更，而且只在文件或病毒定义文件有变化的时候才调用扫描软件。使用了独立辅助存储器池(IASP)且病毒定义在系统间同步的时候，移动 IASP 不会导致重新扫描。扫描行为可以通过 IFS 对象属性和系统值控制。只扫描 IFS*TYPE2 in/root、QOpenSys 和 UDFS 文件系统。某些开放实例退出对象的情况下，只在最后标识符接收到关闭请求时才执行扫描。对象设置为写开放的时候不会进行扫描。完整性完整性 2006 IBM C Barlen .International Technical Support Organization防毒扫描病毒扫描产品可以注册到以下输出点：QIBM_QP0L_SCAN_OPEN：集成文件系统扫描开放退出程序 QIBM_QP0L_SCAN_CLOSE：集成文件系统扫描关闭退出程序通过两个系统值控制系统级行为完整性完整性系统值QSCANFSCTL系统值QSCANFS 2006 IBM C Barlen .International Technical Support Organization防毒扫描对哪个文件进行扫描将通过 IFS 属性进一步控制。加入了以下两个新属性，它们可由Change Attribute(更改属性)(CHGATR)命令进行控制：*CRTOBJSCAN：指定是否扫描目录中创建的对象*SCAN：指定是否扫描特定的对象完整性完整性CHGATR OBJ(/home/quser/envar)ATR(*SCAN)VALUE(*NO)文件属性文件属性 2006 IBM C Barlen .International Technical Support Organization单点登录只对网络进行一次登录，例如用户 ID 和密码随后的应用服务和资源请求即可进行认证，而无需提示输入用户 ID 或密码网络认证协议，例如用于执行认证的 Kerberos无需管理密码减少了管理员的负担密码重置 为各种应用选择不同的身份，然后合并为单个实体是非常有效的垂直垂直 SSO水平水平 SSO 2006 IBM C Barlen .International Technical Support OrganizationEIM 和 Kerberos 相互协作 SSLi5/OS 单点登录涉及：单点登录涉及：Kerberos企业身份映射企业身份映射 EIM 域控制器注册信息：用户：类型DomainServerJohn SmithKerberosServerAJOHNSOS/400ServerBJSMITHRACFIntraNetJohnSAIXSysAJOSMITHOS/400密钥分派中心(KDC)ASTGS标识符：标识符：John N.Smith Source ID Type我能得到一张SysA的票吗？Sure.这是我的票.可以让我进去吗？Hey，who is this 是 John Smith 吗？我知道，是 JOSMITHOh，欢迎 JOSMITH123456目标 IDTarget目标目标IDJohnSysA请求 TGT 的步骤未显示 2006 IBM C Barlen .International Technical Support OrganizationKerberos 和 EIM 授权应用主机服务器（iSeries Access for Windows 使用）由 iSeries Access、WebSphere Host On-Demand V8、iSeries Access for Linux V1.8 PC5250 5250 仿真器所使用的 Telnet 服务器Q分布式相关数据库架构(DRDA)、开放数据库连接性(ODBC)、Java 数据库连接性(JDBC)iSeries HTTP 服务器（Apache 提供)集中管理轻型目录访问协议(LDAP)服务器（只能通过只能通过 Kerberos 认证认证)Windows 整合FTP 服务器(只适用于使用证书或使用只适用于使用证书或使用 FTP 登录输出点程序的登录输出点程序的 EMI)NetServer 2006 IBM C Barlen .International Technical Support Organization议程为何讨论安全性？企业要求不同层面上的安全性实施安全性策略iSeries 网络级安全功能iSeries 系统级安全功能iSeries 应用级安全功能 2006 IBM C Barlen .International Technical Support Organization认证和授权ISV 和自有应用可以利用 i5/OS 用于用户认证的功能和服务用户/密码数字证书Kerberos/EIM 单点登录对象许可和访问模式还应该用于业务应用对象和数据许可群组配置文件和授权列表采用授权 交换配置文件认证认证授权授权程序 AUSRPRF(*USER)程序 BUSRPRF(*OWNER)USRADPAUT(*NO)程序 CUSRPRF(*USER)USRADPAUT(*YES)2006 IBM C Barlen .International Technical Support Organization完整性、机密性和记录自我编写应用的对象也可使用数字签名优势：检测对象操作DB/2 数据库加密或加密 API 可用于加密（保护）存储在磁盘上的数据优势：在系统受到入侵或备份媒体被盗的情况下保护重要业务和敏感数据退出程序和 i5/OS 审计日志可用于交易记录和审计跟踪优势：访问和交易的审计证据记录完整性完整性审计审计/记录记录机密性机密性顶级机密E$2!l5#ds+43#!?32jda#f+34#顶级机密加密解密密文明文明文 2006 IBM C Barlen .International Technical Support OrganizationDB2 加密选项i5/OS 中提供了各种加密功能和服务密码服务 API公共密码架构(CCA)API5722-CR1 内的密码 API AS/400 密码支持支持 CCA API 提供的功能子集仍然可用，但建议根据要求通过协处理器使用 CCA API、密码服务 APIV5R4 的后续版本将撤回此支持DB2 内置加密/解密服务Java IBMJCE 和 IBMJCEFIPS 支持密码硬件选项可用于：从执行密码功能中卸除主 CPU提供安全密钥存储提供更高的安全性加密/解密不是自动执行的。应该由程序员来负责此服务的实施。完整性完整性机密性机密性 2006 IBM C Barlen .International Technical Support Organization总结i5/OS 集成安全性特性让公司能够用一种非常高效的方式整合安全特性，从而保护以下层面的重要业务数据和资源：网络层系统层应用层无附加产品成本基本操作系统中整合的所有特性开放标准提供了互操作性i5/OS QSYS.LIB 文件系统中不含已知的病毒i5/OS本质安全性本质安全性i5/OS 已获得已获得 EAL4认可认可1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Wednesday,March 29,20232、阅读一切好书如同和过去最杰出的人谈话。23:00:1723:00:1723:003/29/2023 11:00:17 PM3、越是没有本领的就越加自命不凡。3月-2323:00:1723:00Mar-2329-Mar-234、越是无能的人，越喜欢挑剔别人的错儿。23:00:1723:00:1723:00Wednesday,March 29,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2323:00:1723:00:17March 29,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。29 三月 202311:00:17 下午23:00:173月-237、最具挑战性的挑战莫过于提升自我。三月 2311:00 下午3月-2323:00March 29,20238、业余生活要有意义，不要越轨。2023/3/29 23:00:1723:00:1729 March 20239、一个人即使已登上顶峰，也仍要自强不息。11:00:17 下午11:00 下午23:00:173月-2310、你要做多大的事情，就该承受多大的压力。3/29/2023 11:00:17 PM23:00:1729-3月-2311、自己要先看得起自己，别人才会看得起你。3/29/2023 11:00 PM3/29/2023 11:00 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。29-Mar-2329 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Wednesday,March 29,202329-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2323:00:1729 March 202323:00谢谢大家谢谢大家