IBM i的解决方案

IBM i访问控制解决方案

IBM i访问控制需要强大的密码安全性, 对高层权力的谨慎管理, 并全面分析所有系统访问尝试,以确保合规和保护您的数据

控制系统和数据访问

IBM i系统包含驱动业务的数据, 包括金融交易信息, 医疗记录, 以及客户的其他个人身份信息, 合作伙伴和员工.

这些数据大多受SOX、PCI DSS、HIPAA和GDPR等法规的约束. 因此, 任何数据泄露都可能导致监管罚款, 收入损失, 修复的成本, 法律费用, 生产力损失, 品牌的伤害, 和更多的.

充分保护数据安全,遵守法规, 您需要重叠的安全层来检测和响应威胁,并解决不断发展的需求.

除了, 监控系统事件和加密数据,以保护其隐私, 您需要能够控制对IBM i及其数据访问的工具.

访问控制解决方案允许您解决三个关键领域:

  • 谁可以登录到您的IBM i;
  • 他们有权做什么;
  • 他们可以运行什么命令,可以访问什么数据.

IBM i访问控制

随着黑客技术变得越来越复杂, 数据泄露的成本和后果继续上升, 简单的密码策略已不足以保护IBM i系统. 多因素身份验证(MFA)通过要求用户提供密码之外的另一种身份验证来加强登录安全性. 几个 遵守法规 今天需要MFA,它可能会在未来变得更广泛.

多因素身份验证要求用户提供两种(或更多)形式的证据来验证其身份. 这些身份验证因素可能是用户知道的(e.g. 密码或PIN),他们有的东西(e.g. 一个认证令牌或手机),或一些生物特征数据(例如.g. 指纹或虹膜扫描等生物识别数据).

由硬件令牌或软件程序交付的一次性密码通常用作身份验证因素. 一次性密码可以通过各种身份验证服务提供. 您的IBM i MFA解决方案应该与为其他平台提供令牌的现有解决方案集成, 比如RSA SecurID或者其他与radius兼容的验证器,比如Duo和微软Azure Authenticator. 您还可以选择在IBM i上生成令牌的MFA解决方案,而不需要其他平台上的软件.

有效的IBM i多因素身份验证解决方案还应该提供基于上下文和用户身份验证以多种方式调用的灵活性. 例如, 你的MFA解决方案应该允许你配置情况, 用户, 或需要MFA的用户群体. 它还应该能够从登录屏幕调用或集成到其他工作流中.

最后, IBM i MFA解决方案必须记录任何身份验证失败, 在多次尝试失败后禁用帐户,并可选择警告管理员潜在的安全问题.

了解如何从precise确保多因素身份验证能够满足您的IBM i MFA要求.

当IBM i系统上有太多的用户配置文件拥有强大的权限时, 它使系统及其数据暴露于入侵和其他形式的网络犯罪. 规定像袜, HIPAA, 联邦和北美信息实践法案, 和GDPR要求IT组织限制对强大特权的访问,并监视拥有这些特权的人.

在IBM i系统上,特殊的权限定义用户特权. 它们授权用户创建/更改/删除用户配置文件, 改变系统配置, 更改/限制用户访问, 和更多的. 像*ALLOBJ和*SECADM这样的特别机构因造成严重破坏而臭名昭著,因为这些机构提供了对系统上所有数据的完全访问权.

遵从性审计员建议只给用户提供完成其工作所需的最小权限集. 当需要特殊特权时, 它们应该只在需要的时候发放,而且时间有限. 和, 而用户拥有更高的权力, 应维护其操作的审核日志.

手动管理授予权限的过程,并在规定的时间之后撤销权限, 容易出错. 因此,用户配置文件通常不受监控,具有很高的权限. 一个有效的权限管理工具可以在需要时自动授予更高权限, 维护特权用户操作的全面日志, 并在规定期限结束时撤销授权. 与帮助台解决方案集成可以实现对权限请求的端到端管理.

通过自动化管理高级权限和生成警报, 升级概要文件执行的活动的报告和审计跟踪, 您可以降低权限过大的帐户所带来的风险, 作为安全最佳实践,演示遵从性并成功地执行职责隔离.

了解关于Assure Elevated Authority Manager如何自动管理IBM i系统上的用户权限的更多信息.

入侵者会寻找任何访问您的系统和数据的方法, 是否通过网络, 一个com端口, 开源数据库协议, 或者命令行. 潜在的接入点只会继续扩大, 以及SOX等法规, HIPAA, GDPR, 还有一些要求您采取措施控制对数据的所有形式的访问.

幸运的是IBM i商店, IBM允许为各种与操作系统相关的操作调用用户编写的程序. 可以附加程序的点称为“退出点”,,这些程序被称为“退出程序”.“退出程序为控制访问提供了强大的手段. 通过将它们附加到各种操作系统操作, 您可以检查访问尝试,并根据用户的身份和请求的上下文允许或拒绝它们.

例如, 退出程序可能监视和记录所有FTP活动,并允许或拒绝特定用户传输文件的能力, 基于配置文件设置等参数, IP地址, 对象权限, 时间/日期窗口, 和更多的.

阅读完整的案例研究.

考虑到访问IBM i数据的现代方法的广度以及创建和维护退出程序所需的技能程度, 第三方解决方案是确保进入IBM i系统的入口点安全所必需的. 有效的第三方解决方案必须不断扩展和增强,以解决新的出口点和访问方法.

退出程序可以写细粒度, 基于规则的逻辑,控制在特殊情况下的访问, 安全的上下文方法.

除了控制访问, 退出程序必须维护所有访问尝试的日志, 生成报告并发出警报. 这使安全人员对系统访问尝试具有完全的可见性, 强制职责分离, 并提供审核员所需要的合规信息.

了解Assure System Access Manager如何提供强大、全面的IBM i出口点安全性.

丰田材料处理澳大利亚

澳大利亚丰田物料搬运公司(TMHA)需要建立有效的内部控制体系来维持财务报告的可靠性, 基于金融工具和交易法(所谓的日本萨班斯-奥克斯利法案或J-SOX).  经过一段时间的增长,TMHA被要求满足更严格的审计和治理需求.

其中一个挑战是定期授予外部供应商对其Infor M3应用程序的访问权限. 使用精确的保证提升的权力管理器, TMHA授予供应商在指定期间所需的访问级别. 在那段时间结束的时候, 访问被自动撤销, 虽然它可以很容易地扩展, 再次修改或授予, 如果有必要的话.

阅读完整的案例研究.

 

确保安全

合规法规的网络安全要求在很大程度上是为了迫使公司采用技术和流程,防止未经授权的用户进入系统, 同时严格控制授权用户登录后的行为. 确保您的IBM i系统是安全的和兼容的是复杂的,需要一个 多方面的方法. 必须加强登录安全性, 管理用户在系统中的权限,并限制他们访问数据的方式, 系统设置, 和命令行选项.

实现IBM i多因素身份验证, 高权限管理, 系统访问控制对于确保您的组织保持合规和安全,防止数据泄露和其他网络犯罪大有裨益.

重要的是要记住,遵守法规并不等于坚如磐石的安全,因为法规并不总是关注全面保护所需的所有安全层. 要将违规的可能性降到最低,需要对所有潜在的漏洞有充分的了解.

IBM i安全的基本层  以了解如何保护您的IBM i系统,该路线图将指导您完成六个安全最佳实践和技术层.