Tips dan panduan keamanan - HIS
Informasi yang terkandung di bagian berikut merinci mengamankan lingkungan Server Integrasi Host Anda, termasuk Akses Menyeluruh Perusahaan.
Untuk informasi tentang Akses Menyeluruh, lihat Dasar-Dasar Sign-On Tunggal Perusahaan.
SQL Server
Saat Anda mengakses database SQL Server:
Gunakan hanya keamanan terintegrasi Windows, dan batasi akses hanya ke akun Windows istimewa.
Gunakan hanya grup keamanan Server Integrasi Host yang dibuat dengan Wizard Konfigurasi Server Integrasi Host.
Pertimbangan Umum
Selain panduan umum di tempat lain di bagian ini, rekomendasi spesifik berikut dapat membantu Anda meningkatkan keamanan penyebaran Server Integrasi Host Anda. Karena semua tindakan ini dilakukan selama penyebaran atau konfigurasi, prosedur terletak di bagian yang sesuai dari dokumentasi ini. Sedangkan rekomendasi ini berlaku di seluruh produk, bagian Mitigasi Ancaman Integrator Transaksi juga menawarkan informasi khusus untuk pengguna TI.
Saat Anda terhubung melalui Protokol SNA:
Saat menyambungkan ke komputer Server Integrasi Host upstream, gunakan enkripsi klien/server.
Temukan komputer Server Integrasi Host upstream di dalam pusat data menggunakan Ring Token aman, Ethernet, Bus, dan Saluran Tag, atau lampiran saluran serat ESCON.
Saat Anda terhubung melalui protokol TCP/IP:
Gunakan komputer router perangkat lunak Windows upstream atau router perangkat keras untuk mengenkripsi lalu lintas TCP/IP.
Temukan router upstream dalam pusat data menggunakan Cincin Token aman atau koneksi Ethernet ke host.
Saat menyambungkan jaringan SNA LU6.2 ke mainframe atau IBM i, dengan komputer Server Integrasi Host yang disebarkan sebagai gateway SNA ke komputer Server Integrasi Host hilir, gunakan enkripsi data server-ke-server Integrasi Host.
Untuk koneksi jaringan SNA LU6.2 ke mainframe, gunakan Layanan Tautan IP-DLC bersama dengan IPsec.
Gunakan enkripsi yang merupakan bagian dari server-ke-server Integrasi Host dan koneksi klien-ke-server.
Saat menyambungkan ke mainframe DB2 untuk z/OS, gunakan IPsec pada IP-DLC, dan juga gunakan NNS pada sistem target untuk menggunakan koneksi langsung ke sumber daya DLUS dan APPN Peer.
Untuk melindungi data dan kredensial yang tidak terenkripsi dalam file com.cfg:
Menerapkan IPsec.
Sebarkan komputer Host Integration Server di segmen jaringan yang terisolasi.
Tingkatkan pengaturan keamanan pada akun host yang digunakan untuk keamanan sesi.
Saat menggunakan Server TN3270:
Hentikan dan mulai ulang Server TN3270 setiap kali CRL baru diunduh. Jika tidak, Anda akan menggunakan CRL kedaluarsa, yang dapat mengizinkan akses yang tidak diinginkan ke host.
Keamanan Server-ke-Host
Tindakan berikut akan meningkatkan keamanan server-to-host, terutama pada soket APPN Network atau UDP untuk Lalu Lintas Protokol HPR/IP:
Sebarkan Server Integrasi Host di segmen jaringan yang aman, dan gunakan enkripsi yang merupakan bagian dari server-ke-server Integrasi Host dan koneksi klien-ke-server.
Gunakan IPsec pada koneksi IP-DLC.
Gunakan NNS pada sistem target untuk menggunakan koneksi langsung ke sumber daya DLUS dan APPN Peer.
Gunakan Koneksi IP-DLC langsung ke CS/390 (DLUS) dan NNS, atau Koneksi IP-DLC langsung ke simpul APPN serekan.
Rekomendasi Keamanan Tambahan
Terakhir, seperti dalam rekomendasi berikut, waspadalah terhadap akses ke setiap file, koneksi, atau komponen produk lainnya:
Saat menggunakan Integrator Transaksi, tempatkan objek apa pun yang masuk ke CICS atau IMS di lingkungan jarak jauh yang memerlukan Akses Menyeluruh Perusahaan.
Waspadalah terhadap daftar kontrol akses (ACL) Anda. Meskipun dimungkinkan untuk menginstal Server Integrasi Host dan mewarisi ACL sebelumnya, Anda harus menghapus ACL yang ada dan menggantinya dengan yang baru.
Simpan Tabel Definisi Printer (PDT) dan File Definisi Printer (PDF) di lokasi yang aman untuk mencegahnya diganti dengan file nakal.
Karena file pelacakan mungkin berisi data yang tidak dienkripsi, selalu simpan di lokasi yang aman, dan hapus segera setelah analisis pelacakan selesai.
Minimalkan akses yang tidak diinginkan ke Layanan Sinkronisasi Ulang dengan menjalankannya di komputer yang sama dengan aplikasi yang dilayankan.
Aktifkan Keamanan LUA untuk akses TN3270 ke host, lalu tambahkan akun layanan ke folder Pengguna yang Dikonfigurasi. Antara lain, ini menyediakan enkripsi jika layanan TN3270 menggunakan LUs di server lain.
Aktifkan Keamanan LUA untuk akses TN5250 ke host. Ini meningkatkan keamanan dengan mengharuskan penetapan eksplisit LUs ke catatan pengguna.
Saat menggunakan fitur pencetakan yang terkait dengan Server TN3270, konfigurasi ulang tampilan dan printer untuk menggunakan port yang sama. Ini diperlukan karena, karena kedua item ini dikonfigurasi secara terpisah, kedua item ini sering dikonfigurasi secara tidak sengaja ke port yang berbeda, dan kemudian pengaturan keamanan yang berbeda.
Selalu gunakan IPsec saat menggunakan Server TN3270 atau TN5250. Meskipun data mungkin aman antara klien dan server tanpa IPsec, data yang sama mungkin menjadi rentan antara server dan host. Menggunakan IPsec mengurangi permukaan serangan, memastikan enkripsi data, dan membuat akses hanya tersedia untuk pengguna yang berwenang.