IBM i访问控制解决方案

随着黑客技术变得越来越复杂, 数据泄露的成本和后果继续上升, 简单的密码策略不再足以保护IBM i系统. 多因素身份验证(MFA)通过要求用户提供密码以外的另一种形式的身份验证来加强登录安全性. 几个 遵守法规 今天需要MFA，而且在未来很可能会变得更加普遍.

多因素身份验证的工作原理是要求用户提供两种(或更多)形式的证据来验证其身份. 这些身份验证因素可以是用户知道的东西(例如.g. 密码或个人识别码)，他们拥有的东西(例如.g. 身份验证令牌或手机)，或者它们是生物特征数据(例如.g. 生物特征数据，如指纹或虹膜扫描).

由硬件令牌或软件程序交付的一次性密码通常用作身份验证因素. 一次性密码可以由各种身份验证服务提供. 您的IBM i MFA解决方案应该与为其他平台提供令牌的现有解决方案集成, 例如RSA SecurID或其他与radius兼容的验证器，如Duo和微软Azure验证器. 您还可以选择在IBM i上生成令牌的MFA解决方案，而不需要在其他平台上使用软件.

有效的IBM i多因素身份验证解决方案还应该提供基于上下文和用户身份验证以多种方式调用的灵活性. 例如, 你的MFA解决方案应该允许你配置这些情况, 用户, 或需要MFA的用户组. 它还应该能够从登录屏幕上调用，或者集成到其他工作流中.

最后, IBM i MFA解决方案必须记录任何身份验证失败, 在多次尝试失败后禁用帐户，并可选择向管理员警告潜在的安全问题.

从precise了解Assure多因素身份验证如何满足您的IBM i MFA需求.

当IBM i系统上有太多用户配置文件拥有强大的权限时, 它使系统及其数据暴露在漏洞和其他形式的网络犯罪面前. 像SOX这样的法规, HIPAA, 联邦和北美信息实践法案, 和GDPR要求IT组织限制对强大特权的访问，并监控拥有这些特权的人.

在IBM i系统上，特殊权限定义了用户特权. 它们授权用户创建/更改/删除用户配置文件, 修改系统配置, 更改/限制用户访问, 和更多的. 像*ALLOBJ和*SECADM这样的特殊权限因造成严重破坏而臭名昭著，因为这些权限提供对系统上所有数据的完全访问.

遵从性审核员建议只给予用户完成其工作所需的最低权限集. 当需要特殊权限时, 他们应该只在需要的时候被授予，并且在有限的时间内. 和, 而用户拥有更高的权限, 应该维护他们的行为的审计日志.

手动管理授予权限和在所需期限后撤销权限的过程, 容易出错. 因此，用户配置文件通常不受高度特权的监视. 有效的权限管理工具可以在需要时自动化授予更高权限的过程, 维护特权用户所采取的操作的全面日志, 并在规定期限结束时撤销权力. 与帮助台解决方案的集成可以实现对权限请求的端到端管理.

通过自动化管理提升权限和生成警报, 由提升档案执行的活动的报告和审计跟踪, 您可以降低拥有过多权限的帐户所带来的风险, 作为安全最佳实践，演示合规性并成功地执行职责隔离.

了解有关Assure Elevated Authority Manager如何自动管理IBM i系统上的用户权限的更多信息.

入侵者将寻找任何访问您的系统和数据的方法, 无论是通过网络, com端口, 开源数据库协议, 或者命令行. 潜在的接触点只会继续扩大, 以及SOX等法规, HIPAA, GDPR, 还有一些要求您采取措施控制对数据的所有形式的访问.

幸运的是IBM i商店, IBM允许为各种与操作系统相关的操作调用用户编写的程序. 可以附加程序的点称为“退出点”,，这些程序被称为“退出程序”.“退出计划提供了控制访问的有力手段. 通过将它们附加到各种操作系统操作, 您可以检查访问尝试，并根据用户的身份和请求的上下文允许或拒绝它们.

例如, 退出程序可能监视和记录所有FTP活动，并允许或拒绝特定用户传输文件的能力, 根据配置文件等参数进行设置, IP地址, 对象权限, 时间/日期窗口, 和更多的.

阅读完整的案例研究.

考虑到访问IBM i数据的现代方法的广度以及创建和维护退出程序所需的技能程度, 第三方解决方案对于确保进入IBM i系统的入口点的安全是必要的. 必须不断扩展和增强有效的第三方解决方案，以解决新的出口点和访问方法.

退出程序可以按粒度编写, 基于规则的逻辑，在特定情况下控制细微差别的访问, 与环境相关的安全方法.

除了控制访问, 退出程序必须维护所有访问尝试的日志, 生成报告并发出警报. 这使安全人员可以完全看到系统访问尝试, 执行职责分离, 并提供审计人员所需的合规信息.

了解Assure System Access Manager如何提供强大、全面的IBM i出口点安全性.