MAGAZIN
MAGAZIN
MAGAZIN
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
alle User generell freizugeben oder zu<br />
beschränken. Viel differenzierter agieren<br />
jedoch Exit-Programme: Sie regeln<br />
abgestufte Zugangsrechte und Übertragungsmöglichkeiten<br />
für einzelne Dateien.<br />
Durch ein modernes Sicherheitssystem<br />
lassen sich solche Exit-Programme<br />
kontrollieren.<br />
6. Den Sicherheitslevel<br />
auf 40 erhöhen<br />
Der Systemwert QSECURITY sollte<br />
mindestens 40 betragen. Auf tieferen Sicherheitslevels<br />
besteht die Gefahr, dass<br />
wertvolle User-Profile bekannt werden.<br />
Mit Hilfe von Security Audits kann das<br />
verhindert werden. Zunächst ist jedoch<br />
zu prüfen, ob es Anwendungen gibt, die<br />
auf einem Sicherheitslevel von 40 versagen<br />
würden. Auch solche Anwendungen<br />
lassen sich durch Audits identifizieren.<br />
7. Inaktive Accounts beseitigen<br />
Wenn ein Mitarbeiter das Unternehmen<br />
verlässt, sollte sein Systemzugang gelöscht<br />
werden. Wenn das nicht geschieht,<br />
kann der „Ehemalige“ ungehindert<br />
in das System eindringen und dort<br />
großen Schaden anrichten. Auch Hacker<br />
können solche Profile für ihre Zwecke<br />
nutzen. Durch Security Audits können<br />
alle Accounts aufgespürt werden,<br />
die seit einem beliebig bestimmbaren<br />
Zeitraum nicht aktiv waren. Die betreffenden<br />
Benutzerprofile können automatisch<br />
deaktiviert oder gelöscht werden.<br />
Anzeige<br />
Midrange <strong>MAGAZIN</strong> Januar 2002<br />
8. Umgang mit<br />
sensiblen Daten kontrollieren<br />
In den iSeries- und AS/400-Umgebungen<br />
stehen zwar standardmäßig Tools<br />
zur Verfügung, die den Zugang zu unternehmenskritischen<br />
Daten beschränken,<br />
doch in den meisten Fällen reichen diese<br />
nicht aus. OS/400 lässt den Usern die<br />
Möglichkeit, unbemerkt auf solche Daten<br />
zuzugreifen und Änderungen vorzunehmen,<br />
ohne Spuren zu hinterlassen.<br />
Durch Security Audits lassen sich dagegen<br />
alle Aktivitäten, die ein einzelnes<br />
Objekt, eine Gruppe von Objekten oder<br />
ein ganzes Verzeichnis betreffen, bis auf<br />
die unterste Ebene nachverfolgen.<br />
9. Object Ownerships regeln<br />
Zu den schwierigeren Aufgaben des Security<br />
Officers gehört der Umgang mit<br />
Object Ownerships und mit Zugangsberechtigungen<br />
zu diesen Objekten. Oft<br />
sind die Programmierer, die eine Anwendung<br />
entwickelt haben, auch die Owner.<br />
Wenn deren Benutzerprofile gelöscht<br />
werden, funktionieren die entsprechenden<br />
Anwendungen nicht mehr richtig.<br />
Deshalb sollten einzelne Benutzer nie<br />
Object Owner sein; stattdessen empfiehlt<br />
es sich, eigene Benutzerprofile für<br />
Object Ownerships zu erstellen.<br />
Da die manuelle Eingabe einer größeren<br />
Zahl von Objekten sehr aufwändig ist,<br />
bietet es sich an, ein automatisches „Object<br />
Authority Management“ zu ver-<br />
Technik & Integration<br />
wenden. Dazu definiert der Security Officer<br />
Templates für Object Ownerships<br />
oder Zugangsberechtigungen. Das Programm<br />
vergleicht diese Vorgaben automatisch<br />
mit den tatsächlichen Gegebenheiten<br />
und erstellt einen Report über die<br />
Ausnahmen, die dann je nach Bedarf<br />
modifiziert werden können.<br />
10. Systeme<br />
miteinander synchronisieren<br />
Weil sich Logical Partitioning (LPAR)<br />
immer mehr durchsetzt, müssen Security<br />
Officer häufig mehrere iSeries- und<br />
AS/400-Systeme betreuen. Das ist sehr<br />
zeitintensiv, zumal das Betriebssystem<br />
keine Methode zur Verwaltung von<br />
Mehrfachsystemen anbietet. Damit<br />
mehrere Systeme aufeinander abgestimmt<br />
bleiben, empfiehlt es sich, ein<br />
Programm einzusetzen, das die Verwaltung<br />
von Profilen und Passwörtern synchronisiert.<br />
Kommt es in einem System<br />
zur Veränderung von Profilen, so werden<br />
sie sofort auf die anderen Systeme<br />
übertragen. Die Funktionen können individuell<br />
auf die jeweiligen Umgebungen<br />
abgestimmt werden.<br />
Wayne O. Evans<br />
PentaSafe Security<br />
Technologies GmbH<br />
D-63263 Neu-Isenburg<br />
� (+49) 06102/247600<br />
� www.pentasafe.com<br />
29