大型机基础6___川大计科.ppt

第六章 主机系统的安全概述 四川大学IBM技术中心 肖政灵 本章学习内容 6.1 大型主机系统安全面临的威胁 6.2 大型主机是企业安全性管理的中心 6.3 z/OS安全服务器 6.4 RACF 6.5 RACF功能 6.6 操作员控制台安全 6.7 完整性 6.8 总结 6.1大型主机系统安全面临的威胁 ?人类对高性能计算的需要，永远没有止境；受其驱动的大型主机的发展，也永远不会停息—— ?大型计算机四十几年的发展并不一帆风顺，影响力却极为强大 ?大型计算机能维持长时间旺盛的生命力在信息技术领域是史无前例的 计算机安全 “为数据处理系统建立和采取技术的和管理的安全保护，保护计算机硬件和软件，数据不因偶然的或恶意的原因而遭破坏、更改、显露。” 计算机安全包括：实体安全，软件安全，数据安全和运行安全。从内容来看，包括计算机安全技术、计算机安全管理、计算机安全评价、计算机犯罪与侦查、计算机安全法律以及计算机安全理论与政策等内容。 大型主机系统安全 ①实体安全。主要是大型主机系统及其附属设备的安全，是大型计算机安全的基础。计算机机房地理环境的选择，各种设施的安全位置，防火、防水、防震、防雷、防静电、防电磁干扰、防盗、防尘等方面都有一整套比较成熟的规范和参数 ②软件安全。主要是保证大型主机软件的完整性，堵塞软件中存在的漏洞，防止软件的非法复制、泄漏和修改。它是计算机安全中研究得不够充分的部分，但大型主机在这方面比流行的微型计算机有着较大的优势。 ③数据安全。主要是保证存储在大型计算机系统中或在大型主机系统间或大型主机与其他计算机系统间传输的数据不受非法删改或意外事件的破坏，保证敏感信息的机密性。它是计算机安全的核心，大型主机在这方面是采取了有利的措施。 ④运行安全。运行安全不仅依赖于设备，更依赖于管理机构、制度和工作人员。有效的安全组织管理机构，严格可操作的管理制度，人的安全意识、职业道德和维护技巧，对大型计算机安全有重大作用。 安全机制 ①加密机制。加密可提供数据保护和信息保密，也可作为其它安全机制的补充，同时必须有密钥管理机制。 ②数字签名机制。对网络传递的信息签名，防止发送者或接收者否认、伪造、篡改和冒充。 ③访问控制机制。按照事先确定的规则判断主体对客体的访问是否合法。 ④数据完整性机制。发送实体在数据单元上增加经过加密的标记，接收实体产生对应的标记，与接收到的标记相比较，以确定在传输过程数据是否被修改。 ⑤鉴别交换机制。利用口令等鉴别信息，由发送方根据密码技术或实体的特征和所有权对接收方进行检测。 ⑥路由控制机制。可使信息发送者选择特殊的路由申请，以保证数据安全。 目前计算机系统在以下方面存在着有关安全的问题 （1）计算机信息泄漏。计算机及其附属电子和机电设备在工作时发出电的、磁的、声的杂散辐射，这些辐射如被截取，经过处理分析，可复现出原有信息，造成信息失密 （2）计算机黑客。又称计算机窃贼，非法进入计算机网络存取数据的人，是计算机网络最难对付的威胁之一 （3）计算机犯罪。以计算机为主要工具或以计算机资产为对象实施的犯罪行为 （4）计算机病毒。具有破坏性，能自我繁衍的计算机程序。它依附在正常程序的某一段程序，等到特定时间或条件才触发。 大型主机容易受到以下三大威胁的危害 （1）恶意访问：随着大型主机系统开放性的增强，由于大型主机系统大多是处理大型企业核心业务，黑客和内部恶意用户访问大型主机核心数据的途径越来越多，破坏的也可能性越来越大。保护数据完整性和防止核心信息不被非法访问对任何系统都十分重要，对大型主机系统也不例外。 （2）人为错误：熟悉大型主机技术的技术人才正在迅速减少，没有资格或缺少经验的技术人员可能会无意改动大型主机设置，从而无意打开进入系统的漏洞或者给予非法访问者进入系统的授权和机会。 （3）软件老化：继续运行可靠的老软件，而不需进行太多维护一向是大型主机系统的优点，然而即使如此，大型主机软件仍然需要及时进行检查、修补和升级，以减少漏洞和改进安全性。 改进大型主机安全性 （1）创建安全状态表：在专业技术人员越来越少，安全威胁越来越多的情况下，大型主机用户必须创建大型主机安全状态表，以显示安全计划的进展，安全状态表的内容包括显示访问大型主机的人员概要，哪些数据被访问得最多，访问是否违反了企业的安全政策？添加和删除的用户的数量、挂起账户的规则等。 （2）明智的集中：用户必须通过集中大型主机的某些安全功能(尤其是管理和审计功能)，以更好地利用已有的知识库。 （3）审计新内容：用户需要重视配置登录大型主机的操作，以确保网管员可以跟踪访问者接触了哪些数据，系统分析关键文件(数据集合)的安全状态，尤其是那些涉及公司机密的文件，保证安全政策得到贯彻执行。 （4）强化控制：对大型主机系统加强安全控制，用户需要考虑在大型主机系统中