Studiu de Caz - Auditarea IBM AS400

Obiective

Obiectivele declaratiilor privind functionalitatile legate de Securitatea sistemului AS/400 sunt de a furniza informatii generale privind functionalitatile cheie si impactul pe care il are controlul asupra acestor functionalitati. Selectia si implementarea acestor facilitati de securitate (security features) ar trebui in asa fel orchestrate astfel incat mediul controlat va fi in concordanta cu politica de business a companiei, va fi eficient, ne-interuptibil si usor de administrat.

( obiective ce trebuiesc indeplinite de mediu (AS/400):

i) suport ptr bussiness

ii) eficient

iii) ne-interuptibil

iv) usor de administrat )

Nivelul si masura in care aceste functionalitati vor fi selectate si implementate vor depinde de locatia mediului de procesare (exemplu de factori ce vor influenta functionalitatile de implementare sunt : conexiune LAN/ MAN /WAN, numar de utilizator si nevoile lor de procesare, “sensibilitatea” aplicatiilor, dimensiunea departamentelor etc)

Exemplu de alegere a functionalitatilor de securitate:

1. Ptr Medii Mici de Procesare - se poate alege combinatia de functionalitati specifice nivelului 30 sau nivelului 40 ( PS: aceste nivele vor fi explicate mai jos) de securitate cu logarea actiunilor, securizarea la nivel de Meniu disponibil pe profil de user. Setarile sistemului si ale utilizatorilor ar fi indicat sa controleze un mediu in care utilizatorii nu trebuie sa execute batch-uri sau functii si comenzi speciale ale sistemului AS/400.

Datorita numarului redus de utilizatori, se poate acorda acces nivel larg ( broad access) catre toate resursele sistemului AS/400 (access nerestrictionat/limitat la capacitatea de procesare a masinii AS/400 sau diverse prioritizari implementate).

Nota: In acele medii unde este solicitat acces “broad” de catre operatori, functionalitatile de securitate ale AS/400 ar trebui complementate cu controale la nivel de user si rapoarte “system audit trails”.

2. Pentru medii Medii si Mari de procesare - corespunsatoare ar fi urmatoarele setari combinate : nivelul 40 de securitate cu logarea activitatii, securizarea la nivel de Meniu disponibil pe profil de user, securizarea resurselor ( prioritizarea cererilor lansate de diferite profile de useri) si setarea sistemului si profilele userilor pentru o implementare eficienta a securitatii sistemului si a datelor.

Intr-un asemenea mediu, accesul la sistem si la date se va face pe principiul minimului de informatie necesara ( “need-to-know basis” ).

Este important de evidentiat ca planificarea adecvata este cheia catre implementarea eficienta si “prietenoasa” pentru utilizator (“user-friendly”) a unui sistem securizat.

Sistemul AS/400 este furnizat de catre IBM cu diverse functionalitati de securitate care asista administratorul in prevenirea si impiedicarea accesului in sistem sau catre date (la tabele concrete sau view-uri ) pe care nu au fost autorizati diversi useri.

Eficienta securitatii sistemului AS/400 este cel mai bine descrisa chiar de catre IBM in Clausa de Securitate, dupa cum urmeaza :

“Masurile de securitate furnizate de sistemul AS/400 poate reduce riscul ca utilizatorii sa modifice sau sa distruga accidental resurse, dar nu il previne. Pentru ca masurile de securitate sa fie eficiente trebuie ca si controalele resurselor sa fie combinate cu securitate fizica si cu impartirea responsabilitatilor. Daca aceste tipuri de controale nu sunt folosite, atunci sistemul este expus catre posibile accesari din partea unor persoane neautorizate”

Functionalitatile cheie ale AS/400 care sunt furnizate de IBM cu scopul de a asista la implementarea securitatii sistemului si datelor sunt completate mai jos.

(Aceste functionalitati sunt astfel concepute sa permita activarea si customizarea securitatii sistemului in functie de scopul si nevoile specifice)

Functionalitatile cheie ale AS/400 pot fi grupate in urmatoarele categorii pentru a simplifica prezentarea :

I. Valorile Sistemului legate de Securitate

II. Securitatea profilelor userilor

III. Functii pentru controlul accesului

IV. Controale fizice si hardware

Nota: AS/400 este funizat de catre IBM fara a fi securizat. Prin setare default oricine se poate loga si accesa resursele sistemnului deoarece nivelul de securitate default este 10