安全提示和指南-HIS

  • 项目

以下部分中包含的信息详细说明了如何保护 Host Integration Server 环境,包括企业单一登录。

有关单一登录的信息,请参阅Enterprise 单个 Sign-On 基础知识

SQL Server

在访问 SQL Server 数据库时:

  • 仅使用 Windows 集成安全性,并将访问权限限制为仅限特权 Windows 帐户。

  • 仅使用通过 Host Integration Server 配置向导创建 Host Integration Server 安全组。

一般注意事项

除了本部分其他内容的常规指导原则之外,以下具体建议可帮助你提高 Host Integration Server 部署的安全性。 由于所有这些操作都是在部署或配置过程中执行的,因此过程位于本文档的相应部分。 尽管这些建议适用于整个产品,但 事务集成器威胁缓解 部分也提供专门为 TI 用户提供的信息。

通过 SNA 协议连接时:

  • 连接到上游 Host Integration Server 计算机时,请使用客户端/服务器加密。

  • 使用安全令牌环、以太网、总线和标记通道或 ESCON 光纤通道附件,在数据中心内查找上游 Host Integration Server 计算机。

    通过 TCP/IP 协议进行连接时:

  • 使用上游 Windows 软件路由器计算机或硬件路由器对 tcp/ip 通信进行加密。

  • 使用安全令牌环或到主机的以太网连接,在数据中心内查找上游路由器。

  • 将 SNA lu 6.2 网络连接到大型机或 AS/400 时,将 Host Integration Server 计算机作为 SNA 网关部署到下游 Host Integration Server 计算机上,请使用 Host Integration Server 服务器到服务器的数据加密。

  • 对于 SNA LU 6.2 到大型机的网络连接,请将 IP-DLC 链接服务与 IPsec 结合使用。

  • 使用 Host Integration Server 服务器到服务器连接和客户端到服务器连接中的加密。

  • 连接到大型机 DB2 for z/OS 时,请在 IP-DLC 上使用 IPsec,并使用目标系统上的 NNS 来利用与 DLU 和 APPN 对等资源的直接连接。

    保护 .com 文件中的未加密数据和凭据:

  • 实施 IPsec。

  • 将 Host Integration Server 计算机部署到隔离的网络段。

  • 增加用于会话安全的主机帐户的安全设置。

    使用 TN3270 服务器时:

  • 每当下载新的 CRL 时,停止并重新启动 TN3270 服务器。 否则,你将使用过期的 CRL,这可能会允许不必要的主机访问。

服务器到主机的安全性

以下操作将增加服务器到主机的安全性,特别是在 APPN 网络或用于 HPR/IP 协议通信的 UDP 套接字上:

  • 将 Host Integration Server 部署在安全的网络段中,并使用作为 Host Integration Server 服务器到服务器和客户端到服务器连接的一部分的加密。

  • 在 IP-DLC 连接上使用 IPsec。

  • 在目标系统上使用 NNS 来利用与 DLU 和 APPN 对等资源的直接连接。

  • 使用直接 IP-DLC 连接到 CS/390 (DLU) 和 NNS,或直接连接到对等 APPN 节点的 IP-DLC 连接。

    其他安全性推荐

    最后,如以下建议所述,请务必警惕访问每个文件、连接或其他产品组件:

  • 使用事务集成器时,请将任何对象置于需要企业单一登录的远程环境中的 CICS 或 IMS。

  • 请警惕 (ACL) 的访问控制列表。 尽管可以安装 Host Integration Server 并继承以前的 acl,但应删除任何现有的 acl,并将其替换为新 acl。

  • 将打印机定义表 (PDTs) 和打印机定义文件 (Pdf) 在安全位置,以防止将其替换为恶意文件。

  • 由于跟踪文件可能包含非加密数据,因此应始终将它们存储在安全位置,并在跟踪分析完成后立即将其删除。

  • 通过在与应用程序服务的应用程序相同的计算机上运行重新同步服务,从而最大程度地减少不必要的

  • 为 TN3270 访问主机启用 LUA 安全性,然后将该服务帐户添加到已配置的用户文件夹。 除此之外,如果 TN3270 服务在另一台服务器上使用 Lu,则会提供加密。

  • 为 TN5250 访问主机启用 LUA 安全性。 这会要求向用户记录显式分配 Lu,从而提高安全性。

  • 使用与 TN3270 服务器关联的打印功能时,请将显示器和打印机重新配置为使用同一端口。 这是必需的,因为这两项是单独配置的,因此通常不会在无意中将其配置为不同的端口,并随后将不同的安全设置。

  • 使用 TN3270 或 TN5250 服务器时,请始终使用 IPsec。 尽管在不具有 IPsec 的客户端和服务器之间数据可能是安全的,但相同的数据可能会在服务器和主机之间变得容易受到攻击。 使用 IPsec 可减少攻击面,确保数据加密,并使访问仅对授权用户可用。

更多出色内容

安全) 的网络集成 (

数据集成 (安全性)

(安全) 的应用程序集成