安全性简介

©2006IBMCorporationInternationalTechnicalSupportOrganizationibm.comthepowerofoneIBMConfidentialuntilannouncedInternationalTechnicalSupportOrganizationIBMSystemi5ITSOTechnicalForum2006Systemi安全性简介ThomasBarlenbarlen@de.ibm.com认证咨询IT专家IBM系统和技术集团ESP08©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization议程▪为什么需要安全系统?–企业的需求–安全系统在不同层面上的实施–安全策略▪iSeries网络级的安全功能▪iSeries系统级的安全功能▪iSeries应用级的安全功能©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization议程▪为什么需要安全系统?–企业的需求–安全系统在不同层面上的实施–安全策略▪iSeries网络级安全性功能▪iSeries系统级安全性功能▪iSeries应用级安全性功能©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization为什么安全如此重要?▪人力资源数据，资源和商业资产的保护▪防止未授权数据及资源的访问▪建立信任机制–对于电子商务非常重要–供应商和生意伙伴之间©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization层次化的系统安全执行为了完成最高级别的保护，需要在各个层面执行公司安全性客户教育安全性策略物理层安全网络层安全系统层安全应用层加密套接字协议层，出口程序锁，访问控制不间断电源，备份，命令行防火墙，虚拟个人网络网关入侵检测局域网界面对象访问客户端应该达到安全目的认证授权完整性机密性审计/日志在这条链中安全只和其中最薄弱的环境相连接©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization议程▪为何强调安全性–企业的要求–在各个层面实施安全性–安全性策略▪iSeries网络级安全功能▪iSeries系统级安全功能▪iSeries应用级安全功能©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization说明▪市面上的几种技术在保护数据在网络中传输的安全方面是有效的▪数据保护必须能够防止敏感信息被攻击者读取▪在默认情况下，IP网络通信，如Telnet或FTP，不受阻碍地传输用户名/密码信息25R8823:29:33.25258400096BAEABDC00D0D32BFF44ETHV2Type:0800FrameType:IPDSCP:0ECN:00-NECTLength:88Protocol:TCPDatagramID:82C8SrcAddr:172.17.1.5DestAddr:172.17.17.40FragmentFlags:DON'T，LASTIPHeader:4500005882C840003F064E88AC110105AC111128IPOptions:NONETCP...:SrcPort:53358，UnassignedDestPort:23，TELNETSEQNumber:1717623935('6660DC7F'X)ACKNumber:2957957869('B04EDAED'X)CodeBits:ACKPSHWindow:7496TCPOption:NOOPTCPHeader:D06E00176660DC7FB04EDAED80181D486FA100000101080A40479A7B5943F784Data:002212A000000-……..-1D9D3C5D5F2110735C2C1D5F5D5C1*............1...BARLEN2...BAN5NA*D5C5FFEF*NA..*©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization数据在网络上传输的安全性▪保护数据传输的协议是建立在i5/OS上的▪包含所有部件，没有额外开支认证完整性机密性互联网分支办公室公共网络分支办公室供应商虚拟个人网络通道加密套接字协议层i5/OS提供:-加密套接字协议层(SSL)，传输层安全协议(TLS)-虚拟个人网络(VPN)IPSec协议标准-通过i5/OS可移植实用程序的开源安全性(Openssh，Openssl)©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganizationChartcreatedbyThomasBarlen在LPAR环境下的防火墙LinuxLinuxi5/OSAIXi5/OSi5/OS防火墙•VPNGW防火墙•邮件扫描•网络服务器•网络应用服务器TBTBTB互联网TBTBIXS•商业应用1开发分区虚拟I/O产品分区•商业应用企业内部互联网在随需应变的基础架构上应用灵活的防火墙©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization硬件选件▪两种加密硬件可以应用于i5/OS–加密加速器2058(#4805)•采用简易设置适配器•提高握手SSL成绩(最高可达1000RSA操作/秒)•没有安全密钥的存储•可以用加密服务的APIs来加密•每个系统总共有四个适配器，每一个含有五个加密引擎–IBM密码协处理器•4758-023(#4801)-CP/Q操作系统-生成随机数和MACs-安全地复制主密钥-支持金融的PIN-处理-生成有效的数字签名-支持EMV2000(Europay/MasterCard/Visa)标准-加密解密数据-改善SSL握手进程(优先存储安全密钥，但是比2058慢)-安全的输入输出DES密码和Triple-DES密钥-安全密钥存储-符合联邦信息处理标准(FIPS)PUB140-1，第三级别的要求-每个分区总最多支持八个适配器干预响应模块©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization硬件选件（续）▪PCI-X密码协处理器4764(#4806)–对于大多数的任务有最大可达PCI协处理器4758-023性能的4到5倍–符合FIPS140-2四级认证–支持4758-023的特性和功能–支持EMV2000(Europay/MasterCard/Visa)标准–需要密码设备管理器(5733-CY1)•为协处理器卡提供操作系统•基于Linux–在i5/OS采用无IOP适配器特性–V5R3和POWER5服务器是必要的对于新发展的系统应用4764，2058和4758已经不再销售了©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization入侵检测▪V5R4加入了基于入侵检测能力的TCP/IP栈–不是入侵防护▪入侵的目的是:–获取未授权的信息(信息盗取)–致使网络、系统和应用程序不可用，从而造成经济损失(拒绝服务)–获得未授权系统的使用权以任意进行进一步的入侵▪入侵大多数是按照一定的顺序实现:–收集网络分布和用户的信息•IP地址和端口扫描•网络嗅探–试图利用收集的信息进入网络和系统资源–展开破坏攻击©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization入侵检测▪入侵检测事件包含:–扫描事件•端口扫描–攻击•拒绝服务攻击•不良数据包•互联网协议段•受限制的IP选择权•受限制的IP协议•因特网控制信息协议(ICMP)信息重定位•用户数据报协议（UDP）7端口(回复端口)的永久回复攻击©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization线上线下的数据与程序的完整性▪特洛伊木马的潜在威胁，数据和程序在传输中的蓄意操作总部BP/ISV软件发送分公司我正在改变代码….来自于总部的新软件，我要马上安装。完整性i5/OS提供:-数字签名以校验信息的完整性和原始性-从V5R1开始整合在OS/400中-在恢复或CL命令CHKOBJITG检查对象完整性时检测签名©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization议程▪为何需要安全系统?–企业的需求–安全系统在不同层面上的实施–安全策略▪iSeries网络级的安全功能▪iSeries系统级的安全功能▪iSeries应用级的安全功能©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganization用户配置认证–强迫用户签名，并对其进行认证–系统值QPWDEXPITV，QPWDLMTAJC，QPWDLMTCHR，QPWDLMTREP，QPWDLVL，QPWDMAXLEN，QPWDMINLEN，QPWDPOSDIF，QPWDRQDDGT，QPWDRQDDIF，QPWDVLDPGM，QMAXSIGN，QMAXSGNACN授权–给用户一个特定的授权，用户将被授权不同的对象和运行不同的功能。对象许可授权–在认定用户是否需要访问该对象后给予访问权利或收回访问权利–系统值QSECURITY确保对象授权和特有的证书其他系统值来控制对象许可，例如QALWUSRDMN和QUSEADPAUTi5/OS安全认证授权授权©2006IBMCorporationibm.com/redbooksThomasBarlen–barlen@de.ibm.com.InternationalTechnicalSupportOrganizationQSECURITY系统值五个可能值10-50默认值40QSECURITY评估1020304050用户/密码认证XXXX对象许可XXX预防限制使用