通过

安全提示和指南 - HIS

  • 项目

以下部分中包含的信息详细介绍了如何保护 Host Integration Server 环境,包括企业单一登录。

有关单一登录的信息,请参阅 企业单一 Sign-On 基础知识

SQL Server

访问SQL Server数据库时:

  • 仅使用 Windows 集成安全性,并将访问权限限制为仅特权 Windows 帐户。

  • 仅使用使用 Host Integration Server 配置向导创建的 Host Integration Server 安全组。

一般注意事项

除了本部分其他部分中的一般准则外,以下特定建议还有助于提高主机集成服务器部署的安全性。 由于所有这些操作都是在部署或配置期间执行的,因此本文档的相应部分提供了过程。 虽然这些建议适用于整个产品,但 事务集成商威胁缓解 部分还提供专为 TI 用户提供的信息。

通过 SNA 协议进行连接时:

  • 连接到 上游 Host Integration Server 计算机时,请使用客户端/服务器加密。

  • 使用安全令牌环、以太网、总线和标记通道或 ESCON 光纤通道附件在数据中心内查找上游主机集成服务器计算机。

    通过 TCP/IP 协议进行连接时:

  • 使用 上游 Windows 软件路由器计算机或硬件路由器来加密 TCP/IP 流量。

  • 使用与主机的安全令牌环或以太网连接在数据中心内找到上游路由器。

  • 将 SNA LU6.2 网络连接到大型机或 IBM i 时,将 Host Integration Server 计算机部署为下游 Host Integration Server 计算机的 SNA 网关时,请使用 Host Integration Server 服务器到服务器数据加密。

  • 对于与大型机的 SNA LU6.2 网络连接,请将 IP-DLC 链接服务与 IPsec 结合使用。

  • 使用主机集成服务器服务器到服务器和客户端到服务器连接的一部分的加密。

  • 连接到大型机 DB2 for z/OS 时,请在 IP-DLC 上使用 IPsec,并在目标系统上使用 NNS 来利用与 DLUS 和 APPN 对等资源的直接连接。

    若要保护 com.cfg 文件中的未加密数据和凭据,请执行以下操作:

  • 实现 IPsec。

  • 在隔离的网段中部署 Host Integration Server 计算机。

  • 在用于会话安全的主机帐户上增加安全设置。

    使用 TN3270 服务器时:

  • 每当下载新的 CRL 时,停止并重启 TN3270 服务器。 否则,将使用过期的 CRL,这可能允许对主机进行不必要的访问。

服务器到主机安全性

以下操作将提高服务器到主机的安全性,尤其是在 HPR/IP 协议流量的 APPN 网络或 UDP 套接字上:

  • 在安全网段中部署 Host Integration Server,并使用作为 Host Integration Server 服务器到服务器和客户端到服务器连接的一部分的加密。

  • 在 IP-DLC 连接上使用 IPsec。

  • 在目标系统上使用 NNS 来利用与 DLUS 和 APPN 对等资源的直接连接。

  • 使用与 CS/390 (DLUS) 和 NNS 的直接 IP-DLC 连接,或与对等 APPN 节点的直接 IP-DLC 连接。

    其他安全建议

    最后,如以下建议所示,请警惕访问每个文件、连接或其他产品组件:

  • 使用事务集成器时,请将任何要转到 CICS 或 IMS 的对象置于需要企业单一登录的远程环境中。

  • 请警惕访问控制列表 (ACL) 。 尽管可以安装 Host Integration Server 并继承以前的 ACL,但应删除任何现有的 ACL 并将其替换为新的 ACL。

  • 将打印机定义表 (PDT) 和打印机定义文件 (PDF) 存储在安全的位置,以防止它们被恶意文件替换。

  • 由于跟踪文件可能包含非加密数据,因此请始终将它们存储在安全的位置,并在跟踪分析完成后立即将其删除。

  • 通过在 Resync Service 所服务的应用程序所在的计算机上运行 Resync Service,最大程度地减少对 Resync 服务的不必要访问。

  • 启用 LUA Security for TN3270 对主机的访问,然后将服务帐户添加到“已配置的用户”文件夹。 此外,如果 TN3270 服务在另一台服务器上使用 LU,则会提供加密。

  • 为 TN5250 启用对主机的 LUA 安全性访问。 这要求将 LU 显式分配给用户记录,从而提高安全性。

  • 使用与 TN3270 服务器关联的打印功能时,请将显示器和打印机重新配置为使用相同的端口。 这是必要的,因为这两个项是单独配置的,因此它们通常会无意中配置为不同的端口,随后会有不同的安全设置。

  • 使用 TN3270 或 TN5250 服务器时,始终使用 IPsec。 尽管没有 IPsec 的客户端和服务器之间的数据可能是安全的,但相同的数据可能会在服务器和主机之间变得易受攻击。 使用 IPsec 可减少攻击面,确保数据加密,并仅向授权用户提供访问权限。

更多出色内容

网络集成 (安全)

数据集成 (安全)

应用程序集成 (安全)