安全加固手冊

1、安全加固手冊8.2 系統(tǒng)安全 值設(shè)置8.2.1 查看目前系統(tǒng)值 :WRKSYSV AL 一個一個順序在終端上顯示或者 DSPSYSVAL SYSVAL （system value）8.2.2 系統(tǒng)安全級別 推薦設(shè)置為 40QSECURITY 4010 沒有用戶認(rèn)證，沒有資源保護(hù)20 用戶使用密碼認(rèn)證，沒有資源保護(hù)30 用戶認(rèn)證和默認(rèn)的資源保護(hù)40 跟 30 相似，但是控制了特權(quán)指令和設(shè)備的接口（在客戶端被認(rèn)為具有高的風(fēng)險(xiǎn)的時候應(yīng)用安全級別40。他會限制對對象，其他工作的數(shù)據(jù)和系統(tǒng)內(nèi)部程序的直接訪問）50 增強(qiáng)型的安全訪問控制，達(dá)到真正的 C2 級安全控制8.2.3建議設(shè)置口令復(fù)雜度策略QPWD

2、VLDPGM *NONE 無密碼檢測8.2.4密碼長度最小密碼長度QPWDMINLEN 6最大密碼長度QPWDMAXLEN 108.2.5設(shè)置帳戶最大嘗試登陸次數(shù)QMAXSIGN3（默認(rèn)值）達(dá)到最大嘗試次數(shù)措施QMAXSGNACN 3（默認(rèn)值）1 禁用終端2 禁用用戶配置文件3 全部（注 :建議根據(jù)自己的情況選擇，禁用終端后，可能會給別人的造成誤解，懷疑設(shè)備損壞。 管理員要十分清楚該參數(shù)的含義）8.2.6設(shè)置密碼有效期QPWDEXPITV 30-90*NOMAX 不限1-366 天QPWDRQDDIF 10 可以和以前的歷史記錄中的 32 個密碼一樣1 必須和以前的歷史記錄中的 32 個密碼不

3、同8.2.7限制安全設(shè)備登陸QLMTSECOFR 10 允許所有有 *ALLOBJ 授權(quán)的用戶在任意顯示終端登陸，有 *SERVICE 授權(quán)的用戶可以使 用*CHANGE公開認(rèn)證手段登陸到任意顯示終端1 不允許有 *ALLOBJ 或 *SERVICE 的用戶登陸到任一顯示終端上（主控制臺除外） ，除 非他們有特別的授權(quán)允許訪問8.2.8設(shè)置超時策略QINACTITV 無活動的任務(wù)超時*NONE: 無超時5-300 超時最大允許時間（分鐘）推薦 15非授權(quán)用戶在某個時間段無操作，系統(tǒng)將會根據(jù)該參數(shù)值決定是否斷開當(dāng)前的session。認(rèn)證用戶通過再次登陸，可以繼續(xù)以前sessio n所保留的屏幕。

4、當(dāng)設(shè)置中斷連接任務(wù)（*DSCJOB ）值去中斷任意交互式登陸。8.2.9 限制設(shè)備 sessionsQLMTDEVSSN0 不限制一個終端的特定用戶 ID 的在同一時刻的使用數(shù)1 限制同一時刻只能有一個特定用戶登錄到這臺工作站8.2.10用戶登錄信息是否顯示在屏幕上QDSPSGNINF0 在用戶登錄時 ,登陸信息不顯示1 以下信息會被顯示 最后登陸時間 從上次登陸以來的失敗登陸 密碼 7 天或之內(nèi)密碼將要過期的警告8.2.11改變虛擬設(shè)備的自動配置值QAUTOVRT值控制系統(tǒng)自動配置虛擬設(shè)備會話（比如 5250telnet）的數(shù)量QAUTOVRT 值建議設(shè)置為 *nomax8.2.12改變遠(yuǎn)程

5、登陸值QRMTSIGN 值控制是否當(dāng)工作站支持顯示終端或工作站支持功能，允許用戶略過在遠(yuǎn)端系統(tǒng)的登陸提示。（pas&through類似于unix的rlogin功能）可能值如下 :FRCSIGNON:所有系統(tǒng)的passthrough sessions必須通過正常的登錄（sign-on）過程SAMEPRF:僅允許遠(yuǎn)端系統(tǒng) profile名與本地系統(tǒng)一致的用戶進(jìn)行不通過登錄（sign-on）過程的 passthrough sessionsVERIFY:如果 QSECURITY 設(shè)置為10，沒有通過正常的登錄（sign-on）過程的passthrough sessions允許所有的pass t

6、hrough請求并且不檢查密碼。QSECURITY 設(shè)置為30的時候必須進(jìn)行登錄。REJECT: 不允許系統(tǒng)支持 passthrough sessions8.2.13創(chuàng)建系統(tǒng)認(rèn)證參數(shù)值檢查系統(tǒng)值報(bào)告里面的 QCRTAUT 參數(shù)，并且確認(rèn)已經(jīng)改變默認(rèn)的值 *CHANGE 為 *USE 或更少權(quán)限。檢查產(chǎn)品數(shù)據(jù)庫和產(chǎn)品源代碼被放在一個有合適的訪問權(quán)限的庫里維護(hù)?；蛘呤褂每梢曊J(rèn) 證組件命令（ Display Object Authority command ）并且檢查每一個重要的產(chǎn)品數(shù)據(jù)庫和源 代碼的公共認(rèn)證訪問 （ PUBAUT ） 訪問參數(shù)設(shè)置為 *EXCLUDE 并且都設(shè)置了合適的訪問 控制。

7、8.3用戶、組配置8.3.1 顯示所有用戶和組的 profileDSPAUTUSR SEQ （*GRPPRF） wrkusrprf *all8.3.2檢查每個重要的組的 profile ，保證是由管理 人員賦予的8.3.3檢查系統(tǒng)內(nèi)的用戶，保證是都由管理人員賦 予的，并且他們的設(shè)置與他們的需要的功能一致8.3.4系統(tǒng)安裝時，已經(jīng)預(yù)定義了許多用戶的 profile ，這些用戶的 profile 的密碼可以從用戶的 profile 名判斷QSRVBAS 和 QSRV 推薦在每次時候后改變。任何商業(yè)軟件廠商安裝時用的密碼也應(yīng)該更 改。8.3.5 使用以下命令取得用戶和組的 profile:取得文件

8、:輸入 DSPUSRPRF，按(PF4)，選擇輸出文件和文件名，將此文件傳輸?shù)絇C或XCOMM到一個大型機(jī)( where Office Services will copy the file/s to audits cc 0820 G drive )。DSPUSRPRF USRPRF(profile name) TYPE(*BASIC)每個 profile 檢查以下設(shè)置 :8.3.5.1 G R O U P (Group Profile)檢查每個組里面的用戶是否應(yīng)具有此權(quán)限8.3.5.2 P W D E X P I T V ( 密碼 過期周期)*SYSVAL: 系統(tǒng)默認(rèn)值為 QPWDEXPIT

9、V 如果已經(jīng)設(shè)置為一個數(shù)字，則表示此用戶已經(jīng)設(shè)置密碼過期周期。8.3.5.3 CURLIB( 當(dāng)前庫)檢查用戶是否指定了合適的庫( library )。并且保證庫足夠的安全8.3.5.4 L M T C P B (限制權(quán)限 )指定是否用戶可以更改初始程序，初始菜單，當(dāng)前庫和attention-key -handling 程序值。*NO: 用戶可以使用 CHGPRF 命令改變自己用戶 profile 里面的所有值。*PARTIAL:初始化程序和當(dāng)前庫值不能改變。初始菜單可以改變(使用CHGPRF)并且可以在菜單命令行處輸入命令。*YES: 初始程序，初始菜單和當(dāng)前庫不能改變。菜單命令行處可以運(yùn)行

10、部分命令。推薦值 :產(chǎn)品用戶設(shè)置為 *YES8.3.5.5 S P C A U T (特殊權(quán)限 )*ALLOBJ - 幾乎所有對象允許無限訪問*SECADM-允許管理用戶 profile*SAVSYS-保存和恢復(fù)系統(tǒng)和數(shù)據(jù)*JOBCTL - 允許操作工作隊(duì)列和子系統(tǒng)*SERVICE-允許一些沒有控制的功能*SPLCTL-允許控制池（spool）功能*USRCLS -授予用戶對他所在的級別（class）特別的授權(quán)*NONE- 沒有特別的授權(quán)檢查是否每個用戶級別特別的授權(quán)是否適當(dāng)。一般來說，用戶和程序不應(yīng)該有任何特殊授權(quán)。默認(rèn) SECADM, QSECOFR,和 SYSOPR 具有 *SAVSYS

11、 和 *JOBCTL 特殊授權(quán)。 推薦設(shè)置 *PUBLIC 默認(rèn)設(shè)置為 *EXCLUDE 。8.3.5.6 I N L P G M （初始程序 ）*NONE: 沒有初始程序，用戶直接進(jìn)入命令行。初始程序，除了注銷（sig n-off）之外不會提供程序的退出手段。 如果在初始菜單參數(shù)中指定了具體菜單名的話，菜單將會被顯示。 保證沒有菜單 /子菜單中沒有退出選項(xiàng)到命令行級。8.3.5.7 I N L M E N U （ 初始菜單）*SIGNOFF: 當(dāng)初始程序結(jié)束會從系統(tǒng)中注銷用戶 菜單安全限制一個用戶的權(quán)力，并且限制這個用戶使用一個安全的環(huán)境變量。 初始菜單在初始程序結(jié)束后顯示。確保用戶被設(shè)置了

12、菜單，并且菜單的選項(xiàng)適合用戶的工 作運(yùn)行。菜單安全的好處是它容易去執(zhí)行，會降低安全管理的開銷；并且會改善使用界面。 推薦設(shè)置 :當(dāng)訪問庫和對象的時候限制權(quán)限。8.3.5.8L M T D E V S S N （限制設(shè)備 session）*SYSVAL:如果用戶被限制在一個終端session的時候選擇此系統(tǒng)值*NO: 不限制訪問一個用戶 id 訪問設(shè)備的 session*YES: 限制一個用戶 id 訪問一個終端的 session.推薦值 : *YES 或者 *SYSVAL and QLMTDEVSSN - 設(shè)置為選項(xiàng)一 （limit number of device sessionsto on

13、e）.8.3.5.9 S T A T U S （ 用戶 profile 的狀態(tài)）設(shè)置用戶 profile 是否使用。*ENABLED:使用*DISABLED:不使用推薦值 : 無用的和暫不使用的用戶 profile 應(yīng)設(shè)置為 *DISABLE 以防止未經(jīng)授權(quán)的訪問 注意系統(tǒng)用戶 profiles 如 QSYS, QSECOFR, 等，必須設(shè)置為 *ENABLE.并且作如下檢查 :a確認(rèn)所有的用戶和組被單獨(dú)賦予權(quán)限b. 確認(rèn)是否所有的用戶授權(quán)均基于部門間已有的管理授權(quán)機(jī)制c. 確認(rèn)所有的用戶均處在雇傭狀態(tài)。8.3.5.11 確認(rèn)是否存在未經(jīng)授權(quán)的用戶從他們 的菜單可以訪問重要的進(jìn)程或執(zhí)行重 要的

14、操作8.3.6 列出所有采用 QSECOFR 授權(quán)的程序DSPPGMADP USRPRF(QSECOFR) optional OUTPUT(*PRINT) to print 執(zhí)行此命令可能會消耗大量系統(tǒng)資源。確認(rèn)安全管理員知道這些程序，以及是否應(yīng)在添加新的用戶考慮是否應(yīng)對他們設(shè)置授權(quán)。 推薦設(shè)置 :安全管理員應(yīng)監(jiān)控 QSECOFR 授權(quán)賦予權(quán)限的程序。8.3.7 確認(rèn)采用以下安全和密碼策略 :a. 安全的賦予和分發(fā)密碼b. 選擇密碼標(biāo)準(zhǔn)c. 在雇員離職后更改密碼或刪除用戶(可以從前面的登陸日期得到報(bào)告)d. 定期更改密碼e培訓(xùn)用戶密碼保密的必要性和在不用時注銷工作站f.當(dāng)發(fā)現(xiàn)違反安全規(guī)定時候的

15、處置措施8.3.8 使用以下命令取得授權(quán)用戶列表DSPAUTUSR 列表包括用戶profile，上次更改密碼日期和用戶 profile說明。 可以從上次更改密碼日期判斷是否在一個合理的周期內(nèi)更改密碼。8.4 庫安全( Libraries )8.4.5 取得系統(tǒng)所有庫的列表DSPOBJD OBJ(QSYS/*ALL) OBJTYPE(*LIB) OUTPUT(*PRINT)判斷產(chǎn)品對象 productio no bjects被從開發(fā)對象 developme nt objects中分割在單獨(dú)的庫里8.4.6選擇一個重要產(chǎn)品的的庫 ,列出所選擇庫的 內(nèi)容(對象)DSPLIB (Library Nam

16、e) 確認(rèn)產(chǎn)品庫中只有產(chǎn)品的對象8.4.7列出重要產(chǎn)品庫中對象的授權(quán)DSPOBJAUT OBJ(QSYS/library name) OBJTYPE(*LIB) 確認(rèn)僅有授權(quán)的用戶和組可以訪問。開發(fā)用戶應(yīng)該沒有產(chǎn)品庫的訪問權(quán)限。并且檢查庫的 所有者是否恰當(dāng)。8.4.8檢查訪問重要庫的管理和授權(quán)過程推薦 :強(qiáng)烈推薦使用庫的安全分級，它將會使對象和庫的變得容易并且有效。8.5對象安全 (Objects)8.5.5取得當(dāng)權(quán)對象訪問授權(quán)列表選擇產(chǎn)品多項(xiàng)中的敏感對象(數(shù)據(jù)文件或源代碼)并且打印他們的指定的對象授權(quán) DSPOBJAUT OBJ(library/file) OBJTYPE(*FILE) (f

17、or files), and DSPOBJAUT OBJ(library/program) OBJTYPE (*PGM) (for programs).8.5.6保證只有授權(quán)用戶或組可以訪問敏感對象8.5.7查敏感對象管理和授權(quán)的過程8.6 系統(tǒng)工具安全系統(tǒng)中提供了以下功能強(qiáng)大的工具SSTDSTDFUSEUSDAPDMQUERYSystem Service ToolsDedicates Service ToolsData File UtilitySource Entry UtilityScreen Design AidProgramming Development ManagerQuery L

18、anguage確定誰有以上工具的訪問權(quán)限 :DSPOBJAUT OBJ(QSYS/STRDFU) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRSEU) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRSDA) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRPDM) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRQRY) OBJTYPE (*CMD). 只有授權(quán)的程序員才可訪問以上工具。推薦設(shè)置 :*PUBLIC 訪問應(yīng)該設(shè)置為 *EXCLUDE 而不是 *USE 。8.7 系

19、統(tǒng)命令 安全系統(tǒng)中有以下功能比較強(qiáng)的系統(tǒng)命令CRTUSRPRFCreate User ProfileCHGUSRPRF DLTUSRPRF RSTUSRPRF CHGDSTPWD RSTAUT STRSST CRTAUTHLR DLTAUTHLR SAVSYS CHGSYSLIBL CHGSYSV ALChange User ProfileDelete User ProfileRestore User ProfileChange Dedicated Service Tool PasswordRestore AuthoritySystem Service ToolsCreate Authorit

20、y HolderDelete Authority HolderSave the SystemChange System LibraryChange System Value限制只有安全管理員 (QSECADM) 和安全長官 (QSECOFR) 可以訪問。應(yīng)該拒絕 PUBLIC 訪問。一個用戶當(dāng)他擁有 *ALLOBJ 授權(quán)的時候，應(yīng)該不能使用以上命令。 限制為僅允許服務(wù)工程師 (OSRV) 。限制為僅允許安全長官 (QSECOFR) 。更改 DST 密碼需要 DST 安全密碼( DST security password ) 限制為 *SAVSYS 所有者。*PUBLIC 應(yīng)設(shè)置為 *EXCLU

21、DE 。檢查以上重要安全相關(guān)的命令的對象授權(quán) DSPOBJAUT OBJ(QSYS/cmd) OBJTYPE(*CMD) 保證僅有授權(quán)的用戶可以使用這些命令。 推薦設(shè)置 :Public 授權(quán)應(yīng)設(shè)置為 *EXCLUDE 。8.8 系統(tǒng)日志A. 取得系統(tǒng)日志，并檢查訪問用戶的的初始化、注銷等信息，一般來說應(yīng)該是系統(tǒng)管理 員或安全長官一般不看全部的系統(tǒng)日志(太大) 。 使用以下命令查看歷史紀(jì)錄中顯示的消息DSPLOG LOG(QHST) PERIOD (start-time start-date) (end-time end-date) MSGID (messageidentifier) OUTPUT(*PRINT)of OUTPUT(*)DSPLOG 按 F4 獲得更多的參數(shù)列表安全信息大部分在 CPF2201到CPF2299的范圍內(nèi)。如果需要查看所有的信息就需要輸入 信息號CPF2200。例如CPF2234表示錯誤的密碼，C