确保系统安全.PDFVIP

确保系统安全 使用 IBM Compliance Expert 有效地管理 AIX 安全设置 Jay Kruemcke 2010 年 4 月 12 日 程序主管 IBM 本文概述 IBM Compliance Expert，详细介绍基于规则的配置策略以及它们如何与 DoD 和 PCI 遵 从性需求的配置、监视和审计相关联。 IT 遵从性标准有助于实现更好的治理、更强的系统安全性和更有弹性的业务运营。但是，公司和组 织面对许多强制性的遵从性标准。关键是高效地处理这些需求，尽可能减少对业务的影响。尽可能 减少影响并增加获益的解决方案是采用自动化的过程。自动化的过程会提高业务的成熟度和 IT 操作 的效率。为此，IBM 发布了一个高度自动化的工具，它可以配置、监视和审计 AIX 系统的安全性和 遵从性。 IBM Compliance Expert Express Edition 的设计目的是帮助客户更有效地管理与外部标准遵从性（比 如 U.S. Department of Defense (DoD) Security Technical Implementation Guide (STIG) 和 Payment Card Industry Data Security Standard (PCI-DSS) version 1）相关联的系统需求。它预配置的遵从性配 置文件解释遵从性文档并把这些标准实现为特定的系统配置参数。IBM Compliance Expert Express Edition 可以在当前可用的所有 AIX 6 和 AIX V5.3 Technology Level 上运行。 STIG 遵从性概述 正如您能够想到的，DoD 需要极其安全的计算机系统。这种安全性和质量水平符合现有的 AIX on Power Systems 客户的安全性需求。即使是 AIX 这样高度安全的操作系统，也必须正确地配置，才能 实现这些安全目标。DoD 认识到了这一点，为此制订了策略并责成 US Defense Information Security Agency (DISA) 负责提供安全配置指导。 DISA 奉命开发了 UNIX STIG 中的原则和方针，这份指南提供一个高度安全的环境，可以满足甚至超 过在 Mission Assurance Category (MAC) II Sensitive 级别上运行的包含敏感信息的 DoD 系统的安全需 求。 尽管它看起来包含大量军用术语和需求，但是对于一般水平的系统管理员来说不难理解。DoD 有非 常严格的 IT 安全需求。他们列举并详细描述了保证系统安全运行所需的数百个配置设置。您可以借 鉴这份专家指南。更重要的是，有了 IBM Compliance Expert Express，就可以通过单一命令自动地配 置数百个设置，长期准确地监视系统配置，生成遵从性报告。 © 版权所有 IBM 公司 2010 商标 确保系统安全 第 1 页，共 5 developerWorks® /developerWorks/cn/ DoD STIG 遵从性配置文件 DoD.xml 是为 DoD STIG 预配置的遵从性配置文件，它提供的设置全面覆盖与限制 UNIX 系统的安全 漏洞相关联的需求和步骤。DoD STIG 和 DoD.xml 之间的映射与 DoD STIG 需求和 IBM AIX 安全配置 设置之间的映射紧密相关。每个 XML 规则映射到 UNIX STIG 文档中的一个或多个一般性操作条目。 使用这些规则调用 Korn shell (KSH) 脚本，可以用这个脚本配置和维护 UNIX 环境中的安全控制。 DoD STIG 还提供 security readiness review (SRR) 脚本，可以用来评估任何已知的（“Open Findings”）安全漏洞。应用 DoD.xml 配置文件之后，通过执行 SRR 脚本根据 DoD STIG 指南寻找任 何缺失的安全配置。IBM Compliance Expert Express Edition 的这个版本支持大约 95% 的 Category I 和 I