安全性秘訣和指引 - HIS
下列各節所包含的資訊會詳細說明保護主機整合伺服器環境,包括企業單一登錄。
如需單一登錄的相關信息,請參閱 企業單一 Sign-On 基本概念。
SQL Server
當您存取 SQL Server 資料庫時:
僅使用 Windows 整合式安全性,並限制僅存取具特殊許可權的 Windows 帳戶。
僅使用主機整合伺服器組態精靈所建立的主機整合伺服器安全組。
一般考量
除了本節中其他位置的一般指導方針之外,下列特定建議可協助您增加主機整合伺服器部署的安全性。 由於所有這些動作都是在部署或設定期間執行,因此程式位於本文件的適當章節中。 雖然這些建議適用於整個產品,但 交易整合器威脅防護 一節也會特別提供 TI 用戶的資訊。
當您透過 SNA 通訊協定進行連線時:
線上到上游主機整合伺服器電腦時,請使用用戶端/伺服器加密。
使用安全令牌通道、乙太網路、總線和標籤道或 ESCON 光纖通道附件,在資料中心內找出上游主機整合伺服器電腦。
當您透過 TCP/IP 通訊協定進行連線時:
使用上游 Windows 軟體路由器電腦或硬體路由器來加密 TCP/IP 流量。
使用與主機的安全令牌通道或乙太網路連線,找出數據中心內的上游路由器。
將 SNA LU6.2 網路連線到大型主機或 IBM i 時,將主機整合伺服器電腦部署為 SNA 閘道至下游主機整合伺服器電腦時,請使用主機整合伺服器伺服器對伺服器數據加密。
針對與大型主機的 SNA LU6.2 網路連線,請使用 IP-DLC 連結服務搭配 IPsec。
使用屬於主機整合伺服器伺服器對伺服器和客戶端對伺服器連線的加密。
聯機到 z/OS 的大型主機 DB2 時,請在IP-DLC上使用IPsec,並在目標系統上使用NS,利用直接連線到 DLUS 和APPN對等資源。
若要保護 com.cfg 檔案中未加密的數據和認證:
實作 IPsec。
在隔離的網路區段中部署主機整合伺服器計算機。
在用於會話安全性的主機帳戶上增加安全性設定。
使用 TN3270 伺服器時:
每當下載新的 CRL 時,停止並重新啟動 TN3270 伺服器。 否則,您將使用過期的CRL,這可能會允許對主機進行不必要的存取。
伺服器對主機安全性
下列動作會增加伺服器對主機安全性,特別是在 HPR/IP 通訊協定流量的 APPN 網路或 UDP 套接字上:
在安全的網路區段中部署主機整合伺服器,並使用屬於主機整合伺服器伺服器對伺服器和客戶端對伺服器連線的加密。
在IP-DLC連線上使用IPsec。
使用目標系統上的NS,利用與 DLUS 和 APPN 對等資源的直接連線。
使用直接IP-DLC連線至 CS/390 (DLUS) 和 NNS,或直接IP-DLC 連線至對等APPN節點。
其他安全性建議
最後,如下列建議所示,請小心存取每個檔案、連線或其他產品元件:
使用交易整合器時,請將任何物件放在需要企業單一登錄的遠端環境中,移至 CICS 或 IMS。
請對 ACL) (訪問控制清單保持警覺。 雖然可以安裝主機整合伺服器並繼承先前的 ACL,但您應該移除任何現有的 ACL,並將其取代為新的 ACL。
將印表機定義資料表儲存 (PDT) 和印表機定義檔案 (PDF) 安全位置,以防止將其取代為惡意檔案。
由於追蹤檔案可能包含非加密的數據,請一律將它們儲存在安全的位置,並在追蹤分析完成時立即將其刪除。
藉由在與其服務的應用程式相同的計算機上執行,將重新同步服務的垃圾存取降到最低。
為主機啟用 LUA Security for TN3270 存取權,然後將服務帳戶新增至 [已設定的使用者] 資料夾。 此外,如果 TN3270 服務在另一部伺服器上使用 RU,這會提供加密。
啟用對主機的 LUA 安全性進行 TN5250 存取。 這會增加安全性,方法是要求明確指派 RU 給用戶記錄。
使用與 TN3270 伺服器相關聯的印表功能時,請重新設定顯示器和印表機以使用相同的埠。 這是必要的,因為這兩個專案是個別設定的,所以通常會不小心設定為不同的埠,後續會有不同的安全性設定。
使用 TN3270 或 TN5250 伺服器時,一律使用 IPsec。 雖然數據在用戶端與伺服器之間可能安全,但沒有IPsec,但相同的數據可能會在伺服器與主機之間變得容易遭受攻擊。 使用 IPsec 可減少受攻擊面、確保數據加密,並僅提供授權使用者的存取權。