IBM i访问控制解决方案

随着黑客技术变得越来越复杂, 数据泄露的成本和后果持续上升, 简单的密码策略已不足以保护IBM i系统. 多因素身份验证(MFA)通过要求用户提供除密码之外的另一种形式的身份验证来增强登录安全性. 几个 遵守法规 今天需要MFA，它可能会在未来变得更加普遍.

多因素身份验证要求用户提供两种(或更多)形式的证据来验证其身份. 这些身份验证因素可以是用户知道的东西(例如.g. 密码或PIN)，他们拥有的东西(e.g. 身份验证令牌或手机)，或者是生物识别数据(例如.g. 生物识别数据(如指纹或虹膜扫描).

由硬件令牌或软件程序提供的一次性密码通常用作身份验证因素. 一次性密码可以由多种身份验证服务提供. 您的IBM i MFA解决方案应该与为其他平台提供令牌的现有解决方案集成, 例如RSA SecurID或其他兼容radius的身份验证器，如Duo和微软Azure身份验证器. 您还可以选择在IBM i上生成令牌而不需要其他平台上的软件的MFA解决方案.

一个有效的IBM i多因素身份验证解决方案还应该提供基于上下文和用户身份验证以多种方式调用的灵活性. 例如, 您的MFA解决方案应该允许您配置这些情况, 用户, 或需要MFA的用户组. 它还应该能够从登录屏幕上调用或集成到其他工作流中.

最后, IBM i MFA解决方案必须记录任何身份验证失败, 在多次尝试失败后禁用帐户，并可选择提醒管理员潜在的安全问题.

了解exact如何确保多因素身份验证能够满足您的IBM i MFA要求.

当IBM i系统上有太多的用户配置文件拥有强大的权限时, 它使系统及其数据暴露于入侵和其他形式的网络犯罪之下. 像SOX这样的法规, HIPAA, 《联邦和北美信息实践法, GDPR要求IT组织限制对强大特权的访问，并监控拥有这些特权的人.

在IBM i系统上，特殊的权限定义了用户特权. 它们授权用户创建/更改/删除用户配置文件, 更改系统配置, 更改/限制用户访问, 和更多的. 像*ALLOBJ和*SECADM这样的特殊权限以造成严重破坏而臭名昭著，因为这些权限提供对系统上所有数据的完全访问.

遵从性审计员建议只给予用户完成其工作所需的最低权限集. 当需要特殊特权时, 他们应该只在需要的时候被授予，并且是在有限的时间内. 和, 当用户拥有更高的权限时, 他们的行为的审计日志应该保持.

手动管理授予权限和在规定期限后撤销权限的过程, 容易出错. 因此，用户配置文件通常不受高级特权的监视. 有效的权限管理工具可以在需要时自动授予提升的权限, 维护特权用户所执行操作的全面日志, 并在规定期限结束时撤销授权. 与帮助台解决方案的集成支持对权限请求进行端到端的管理.

通过自动管理提升的权限和生成警报, 由提升的概要文件执行的活动的报告和审计跟踪, 您可以降低权限过大的账户带来的风险, 作为安全最佳实践，演示遵从性并成功地执行职责分离.

了解有关Assure Elevated Authority Manager如何自动管理IBM i系统上的用户权限的更多信息.

入侵者会寻找任何方法来访问您的系统和数据, 是否通过网络, com端口, 开源数据库协议, 或者命令行. 潜在的访问点只会继续扩大, 以及SOX等法规, HIPAA, GDPR, 另一些则要求您采取措施控制对数据的所有形式的访问.

幸运的是，IBM i商店, IBM允许为各种与操作系统相关的操作调用用户编写的程序. 程序可以附加的点被称为“出口点”,这些项目被称为“退出项目”.“退出程序提供了一种控制访问的有力手段. 通过将它们附加到各种操作系统操作, 您可以检查访问尝试，并根据用户的身份和请求的上下文允许或拒绝它们.

例如, 退出程序可能监视和记录所有FTP活动，并允许或拒绝特定用户传输文件的能力, 根据配置文件设置等参数, IP地址, 对象权限, 时间/日期窗口, 和更多的.

阅读完整的案例研究.

考虑到访问IBM i数据的现代方法的广度，以及创建和维护退出程序所需的技能程度, 第三方解决方案对于确保进入IBM i系统的入口是必要的. 有效的第三方解决方案必须不断扩展和增强，以应对新的出口点和访问方法.

退出程序可以用粒度编写, 基于规则的逻辑，用于控制特定情况下的访问, 上下文安全方法.

除了控制访问权限, 退出程序必须保存所有访问尝试的日志, 生成报告并发出警报. 这使安全人员能够完全了解系统访问尝试, 执行职责分离, 并提供审计人员所需的合规性信息.

了解Assure System Access Manager如何提供强大、全面的IBM i出口点安全性.