安全性秘訣和指導方針-HIS

下列各節所包含的資訊會詳細說明 Host Integration Server 環境的保護,包括企業單一登入。

如需單一登入的詳細資訊,請參閱Enterprise 單一 Sign-On 基本概念

SQL Server

當您存取 SQL Server 資料庫時:

  • 僅使用 Windows 整合式安全性,並限制只能存取特殊許可權的 Windows 帳戶。

  • 只使用 Host Integration Server Configuration Wizard 所建立 Host Integration Server 安全性群組。

一般考量

除了本節中其他位置的一般指導方針之外,下列特定的建議可協助您提升 Host Integration Server 部署的安全性。 因為所有這些動作都是在部署或設定期間執行,所以程式位於本檔的適當章節。 雖然這些建議適用于整個產品,但交易整合器 威脅 防護一節也會特別提供 TI 使用者的相關資訊。

當您透過 SNA 通訊協定連接時:

  • 連接到上游 Host Integration Server 電腦時,請使用用戶端/伺服器加密。

  • 使用安全權杖環、乙太網路、匯流排和標記通道,或 ESCON 光纖通道附件,找出資料中心內的上游 Host Integration Server 電腦。

    當您透過 TCP/IP 通訊協定連接時:

  • 使用上游 Windows 軟體路由器電腦或硬體路由器來加密 tcp/ip 流量。

  • 使用安全的權杖環或與主機的乙太網路連線,找出資料中心內的上游路由器。

  • 當將 sna lu 6.2 網路連線到大型主機或 AS/400 時,若將 Host Integration Server 電腦部署為 sna 閘道至下游 Host Integration Server 電腦,請使用 Host Integration Server 伺服器對伺服器的資料加密。

  • 若為 SNA LU 6.2 與大型主機之間的網路連線,請使用與 IPsec 搭配使用的 IP-DLC 連結服務。

  • 使用屬於 Host Integration Server 伺服器對伺服器和用戶端對伺服器連線的加密。

  • 連接至大型主機 DB2 for z/OS 時,請在 IP-DLC 上使用 IPsec,並同時在目標系統上使用 NNS,以使用與 DLU 和 APPN 對等資源的直接連線。

    若要在 .com 檔案中保護未加密的資料和認證:

  • 執行 IPsec。

  • 將 Host Integration Server 電腦部署在隔離的網路區段中。

  • 在用於會話安全性的主機帳戶上提高安全性設定。

    使用 TN3270 伺服器時:

  • 每當有新的 CRL 下載時,請停止並重新啟動 TN3270 伺服器。 否則,您將會使用過期的 CRL,這可能會允許對主機進行不必要的存取。

伺服器對主機安全性

下列動作會增加伺服器對主機安全性,尤其是針對 HPR/IP 通訊協定流量的 APPN 網路或 UDP 通訊端:

  • 將 Host Integration Server 部署在安全的網路區段中,並使用屬於 Host Integration Server 伺服器對伺服器和用戶端對伺服器連線的加密。

  • 在 IP-DLC 連接上使用 IPsec。

  • 在目標系統上使用 NNS,以利用與 DLU 和 APPN 對等資源之間的直接連接。

  • 使用與 CS/390 (DLU) 和 NNS 的直接 IP-DLC 連線,或是對等 APPN 節點的直接 IP-DLC 連接。

    額外的安全性建議

    最後,如下列建議,請務必小心存取每個檔案、連線或其他產品元件:

  • 使用交易整合器時,請將任何物件放到需要企業單一登入的遠端環境中的 CICS 或 IMS。

  • 請小心 (ACL) 的存取控制清單。 雖然可以安裝 Host Integration Server 並繼承先前的 acl,但您應該移除任何現有的 acl,並將其取代為新的 acl。

  • 在安全的位置中儲存印表機定義表格 (PDTs) 和印表機定義檔案 (Pdf) ,以防止以 rogue 檔案取代這些檔案。

  • 由於追蹤檔案可能包含未加密的資料,請一律將它們儲存在安全的位置,並在追蹤分析完成時立即加以刪除。

  • 在與應用程式服務相同的電腦上執行重新同步處理服務,以將不想要的存取權降到最低。

  • 針對 TN3270 的主機存取啟用 LUA 安全性,然後將服務帳戶新增至 [已設定的使用者] 資料夾。 除此之外,如果 TN3270 服務在另一部伺服器上使用 Lu,這會提供加密功能。

  • 為 TN5250 的主機存取啟用 LUA 安全性。 這會藉由要求將 Lu 明確指派給使用者記錄來提高安全性。

  • 使用與 TN3270 伺服器相關聯的列印功能時,請將顯示器和印表機重新設定為使用相同的埠。 這是必要的,因為這兩個專案是分開設定的,因此通常會不慎設定為不同的埠,以及後續的不同安全性設定。

  • 使用 TN3270 或 TN5250 伺服器時,請一律使用 IPsec。 雖然在不含 IPsec 的用戶端與伺服器之間的資料可能是安全的,但相同的資料在伺服器和主機之間可能會變得很容易。 使用 IPsec 可減少受攻擊面、確保資料加密,並僅供授權的使用者存取。

更多好東西

(安全性) 的網路整合

(安全性) 的資料整合

(安全性) 的應用程式整合