AIX V6.1 安全性和法规遵从性

概况

IBM® AIX® Version 6.1 增强了安全性。其中许多特性可以满足联邦政府、金融和医疗方面法规遵从性的安全性需求。本文讨论 AIX V6.1 安全特性以及它们与遵从性所需的安全标准之间的对应关系。本文帮助相关人员分类了解这些特性以及 AIX V6.1 系统为什么有助于企业实现遵从性。

Sandeep Patil, 软件工程师, EMC

Sandeep Ramesh Patil 是 IBM India Software Lab 的软件咨询工程师。他已在 IBM 工作了七年,着重研究分布式技术,包括 DCE、SARPC 以及安全产品,比如 IBM Network Authentication Services (IBM Kerberos)。目前,他正在开发新的特性,并在为 IBM Network Authentication Services 实现与安全有关的 RFC 及其产品支持。Sandeep 拥有 University of Pune,India 的计算机科学与工程学士学位。


developerWorks 大师作者

2010 年 2 月 22 日

简介

医疗、联邦政府和金融服务是法规遵从性要求最严格的三个主要领域。法规遵从性是由政府或行业颁布的一系列规范或法律。它们不但有助于实现最佳实践,而且确保相关企业以安全可靠的方式运营,帮助防止欺诈和恶意行为、管理风险和外部威胁以及帮助保护投资者和消费者。法规遵从性的一个关键方面是安全性,包括数字信息安全。在保护数字信息时,实现全程安全性是很重要的。为了实现全程安全性,必须对安全需求进行分类并评估可用的产品。

本文描述法规遵从性的需求,定义 Common Criteria 的重要性,分类讨论法规遵从性的一些安全性需求,以及 AIX V6.1 如何帮助实现这些需求。本文帮助相关人员了解一些 AIX V6.1 特性以及它们如何满足法规遵从性的安全需求。

请注意,本文不是法规遵从性的正式指南或参考资料。建议您通过正式的遵从性文档了解完整的详细信息。


法规遵从性

一般来说,遵从性是指遵守政府或行业组织制订的规范、法律或标准。不同的行业需要不同的法规遵从性:

  • 美国医疗行业要遵守美国国会于 1996 年通过的 Health Insurance Portability and Accountability Act (HIPAA)。其中包含了 2003 年颁布的安全规则,医疗行业必须遵守这些安全标准。
  • Payment Card Industry Data Security Standard (PCI DSS) 是全世界广泛采用的安全标准。处理信用卡支付的所有企业(换句话说,不只是金融服务部门)都必须遵守这个标准,从而帮助避免信用卡欺诈。
  • Federal Financial Institutions Examination Council (FFIEC) 为在线银行等金融服务部门定义一套标准。
  • SOX Compliance (Sarbanes-Oxley Act of 2002) 规定了一套过程,用以确保准确的财务信息披露,这有助于防止重大的企业会计丑闻。

大多数遵从性需求(但不是全部)都涉及信息安全性和相关的业务风险。另外,根据 Gartner 公司(世界领先的信息技术调查咨询公司)的结论,“各个行业的高级管理人员都非常关注遵从性问题,因为这会影响企业运营的所有方面。要想满足法规需求,必须有适当的 IT 系统支持” (见 参考资料)。

因为满足法规遵从性是强制性的,所以一定要选择适当的 IT 系统和产品来确保企业符合要求。运行 AIX V6.1 的 IBM® Power Systems™ 是一种非常安全的系统,有助于保护其中运行的业务应用程序。


Common Criteria 认证

什么是 Common Criteria?

Common Criteria 有助于向购买者保证计算机安全系统或包含安全特性的系统在设计、开发和评估阶段经历了严格的标准化过程。IBM 对 Common Criteria 的正式定义是“Common Criteria 是一个国际认可的(ISO/IEC 15408)标准,世界各地的企业和政府使用它评估技术产品的安全性和开发过程的可靠性。根据 Common Criteria 的要求,按照严格的标准评估产品,检验产品的设计过程、开发环境、功能、漏洞处理、测试和文档。20 多个国家认可 Common Criteria 标准所定义的安全认证”(见 参考资料)。世界各地的联邦交易通常要求 Common Criteria 认证。尽管 Common Criteria 是非常一般化的,但是它也可以帮助企业选择能够满足业务和遵从性需求的计算机系统或产品。

AIX V6.1 通过 Common Criteria 认证了吗?

IBM AIX V6 已经得到了 Common Criteria 最高安全认证。根据 IBM 的声明,“AIX V6.1 和基于 Power6™ 处理器的 Power 570 系统已经经过认证,符合 Common Criteria for Information Security Evaluation (CC) 下的 Controlled Access Protection Profile,采用的级别为 Evaluation Assurance Level 4 Augmented(通常称为 CAPP/EAL4+)”(见 参考资料)。


AIX V6.1 安全特性分类表

下面的表格归纳了常见法规遵从性的一些安全需求。这个表格按安全标准分类并指出其在 AIX V6.1 系统中的可用性。

表 1. 安全需求检查表
安全标准特性在 AIX V6.1 中的可用性说明
保护静止数据
文件系统级加密YesEncrypted File System (EFS) 支持
设备级加密Yes通过 ISV 实现
备份加密Yes磁带加密支持
保护传输的数据
全程 Kerberos 支持(所有登录通道)Yes使用 Kerberos 的 telnet、集成的 login、ftp、ssh
IPV6 支持Yes关于 AIX 上的 IPV6 的更多信息见 参考资料
IPsec 支持Yes-
NFS V4Yes支持使用 Kerberos 的 NFS,可以对消息进行加密
集中的身份验证
LDAP 身份验证Yes详细信息见 参考资料
Kerberos 身份验证Yes提供 Kerberos 服务器设施,支持 Active Directory
两因素身份验证 No-
一次性密码 No-
长密码支持YesAIX V6.1 支持用长密码和密码短语进行用户身份验证。最大密码长度为 255 字符。
单点登录支持Yes详细信息见 参考资料
授权和访问控制
基于角色的访问控制Yes属于 AIX V6.1 多层安全性
强制性访问控制 Yes可信的 AIX 支持 MAC(强制性访问控制)
强制性完整性控制Yes可信的 AIX 支持 MIC(强制性完整性控制)
审计
集中式定制策略YesAIX Security Expert 特性提供此功能
自动的审计支持YesAIX Security Expert 特性为管理员/审计员提供此功能
日志警报 No可以方便地与第三方审计警报软件集成
节点保护和可用性
入侵预防YesAIX 通过 AIX IPsec 特性预防入侵
反病毒支持Yes通过第三方反病毒产品实现
管理特权程序YesAIX V6.1 File Permission Manager 帮助管理特权程序
完整性检查YesAIX V6.1 Trusted Execution 提供完整性检查
系统保护
受保护的安装YesAIX V6.1 支持 Secure by Default,这是一个有助于保护操作系统的安装选项
不可变文件支持
用于文件/文档的防篡改支持Yes最新的文件系统将会包含这个特性
用于文件/文档的一次写多次读(WORM)支持Yes最新的文件系统将会包含相似的特性
Common Criteria
Common Criteria 认证YesAIX V6.1 已经经过 CAPP/EAL4+ 认证(见 参考资料
其他
AES 加密支持YesAIX V6.1 的几乎所有相关模块都支持 Advanced Encryption Standard (AES)
数据残留/安全删除No可以通过第三方工具实现

AIXPert (AIX Security Expert) 是一个网络和安全增强工具。它把许多功能集中在一个系统中,包含超过 300 个安全配置设置。这个工具非常适合那些必须满足 Sarbones-Oxley (SOX)-COBIT 等法规要求的 AIX 管理员使用(更多信息见 参考资料)。

前面的检查表并不是完整的列表,从遵从性或 AIX V6.1 安全特性的角度来看并不全面。关于 AIX V6.1 安全特性的全面信息,请参考 AIX V6.1 文档或 IBM Redbook(见 参考资料)。


结束语

本文讨论了法规遵从性的重要性,以及安全性对于满足这些遵从性的意义。还讨论了 Common Criteria 认证的作用,最后列出一些 AIX V6.1 安全特性和相关的遵从性需求,从而说明 AIX V6.1 是一种有助于实现遵从性的系统。

参考资料

学习

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=468964
ArticleTitle=AIX V6.1 安全性和法规遵从性
publish-date=02222010