IBM Compliance Expert 确保 AIX 安全

本文概述 IBM Compliance Expert，详细介绍基于规则的配置策略以及它们如何与 DoD 和 PCI 遵从性需求的配置、监视和审计相关联。

IT 遵从性标准有助于实现更好的治理、更强的系统安全性和更有弹性的业务运营。但是，公司和组织面对许多强制性的遵从性标准。关键是高效地处理这些需求，尽可能减少对业务的影响。尽可能减少影响并增加获益的解决方案是采用自动化的过程。自动化的过程会提高业务的成熟度和 IT 操作的效率。为此，IBM 发布了一个高度自动化的工具，它可以配置、监视和审计 AIX 系统的安全性和遵从性。

IBM Compliance Expert Express Edition 的设计目的是帮助客户更有效地管理与外部标准遵从性（比如 U.S. Department of Defense (DoD) Security Technical Implementation Guide (STIG) 和 Payment Card Industry Data Security Standard (PCI-DSS) version 1）相关联的系统需求。它预配置的遵从性配置文件解释遵从性文档并把这些标准实现为特定的系统配置参数。IBM Compliance Expert Express Edition 可以在当前可用的所有 AIX 6 和 AIX V5.3 Technology Level 上运行。

STIG 遵从性概述

正如您能够想到的，DoD 需要极其安全的计算机系统。这种安全性和质量水平符合现有的 AIX on Power Systems 客户的安全性需求。即使是 AIX 这样高度安全的操作系统，也必须正确地配置，才能实现这些安全目标。DoD 认识到了这一点，为此制订了策略并责成 US Defense Information Security Agency (DISA) 负责提供安全配置指导。

DISA 奉命开发了 UNIX STIG 中的原则和方针，这份指南提供一个高度安全的环境，可以满足甚至超过在 Mission Assurance Category (MAC) II Sensitive 级别上运行的包含敏感信息的 DoD 系统的安全需求。

尽管它看起来包含大量军用术语和需求，但是对于一般水平的系统管理员来说不难理解。DoD 有非常严格的 IT 安全需求。他们列举并详细描述了保证系统安全运行所需的数百个配置设置。您可以借鉴这份专家指南。更重要的是，有了 IBM Compliance Expert Express，就可以通过单一命令自动地配置数百个设置，长期准确地监视系统配置，生成遵从性报告。

DoD STIG 遵从性配置文件

DoD.xml 是为 DoD STIG 预配置的遵从性配置文件，它提供的设置全面覆盖与限制 UNIX 系统的安全漏洞相关联的需求和步骤。DoD STIG 和 DoD.xml 之间的映射与 DoD STIG 需求和 IBM AIX 安全配置设置之间的映射紧密相关。每个 XML 规则映射到 UNIX STIG 文档中的一个或多个一般性操作条目。使用这些规则调用 Korn shell (KSH) 脚本，可以用这个脚本配置和维护 UNIX 环境中的安全控制。

DoD STIG 还提供 security readiness review (SRR) 脚本，可以用来评估任何已知的（“Open Findings”）安全漏洞。应用 DoD.xml 配置文件之后，通过执行 SRR 脚本根据 DoD STIG 指南寻找任何缺失的安全配置。IBM Compliance Expert Express Edition 的这个版本支持大约 95% 的 Category I 和 II 需求。用于满足 STIG 需求的 XML 规则示例请参见 “Compliance Details”。

PCI-DSS 遵从性概述

PCI-DSS 被称为 PCI 12 戒律，它把 IT 安全问题分类为以下几个部分：

1. 安装和维护防火墙配置以保护持卡人数据。

2. 对于系统密码和其他安全参数，不要使用厂商提供的默认设置。

3. 保护存储的持卡人数据。

4. 对通过公共网络传输的持卡人数据进行加密。

5. 使用并定期更新杀毒软件或程序。

6. 开发并维护安全的系统和应用程序。

7. 把对持卡人数据的业务访问限制在必需的最小范围。

8. 给具有计算机访问权的每个人分配惟一的 ID。

9. 限制对持卡人数据的物理访问。

10. 跟踪和监视对网络资源和持卡人数据的所有访问。

11. 定期测试安全系统和过程。

12. 维护一个解决职员和承包人的信息安全性的策略。

IBM Compliance Expert 可以大大简化满足 PCI-DSS 所需的配置管理。但是，它无法把整个过程自动化。例如，第 7 条要求把对持卡人数据的业务访问限制在必需的最小范围。尽管 AIX OS 提供基于角色的访问控制等强大的安全技术，但是 IBM Compliance Expert 无法判断哪些人需要访问数据，所以不能自动完成这个配置步骤。

但是，IBM Compliance Expert 可以通过单一命令自动地配置许多其他安全设置，让它们与 PCI 需求保持一致。还可以通过单一命令把系统恢复到最初的配置。与 DoD 配置相似，可以通过单一命令执行监视和生成报告。

PCI-DSS 遵从性配置文件

IBM Compliance Expert 附带一个用于满足 PCI 需求的 XML 规则文件，其中包含 PCI 所需的许多安全设置。PCI.xml 包含的规则根据 PCI-DSS 指南中列出的需求配置安全设置。每个规则对 AIX OS 应用一个或一组命令以配置设置。

自动实现遵从性

遵从外部标准是一项艰难的任务和责任，它给 AIX 系统管理员带来的工作负担越来越重了。IBM Compliance Expert Express Edition 的设计目的是简化标准遵从性所需的 OS 设置和报告管理。

IBM Compliance Expert Express Edition 提供的预配置的遵从性配置文件能够解释遵从性文档并把这些标准实现为特定的系统配置参数，从而减轻管理员的工作负担。这些功能有助于客户更有效地管理系统需求，可以在提高遵从性的同时降低成本。

所有外部安全标准都包含系统配置设置之外的方面。IBM Compliance Expert Express Edition 这样的工具本身不能确保标准遵从性。但是，Compliance Expert 可以简化系统配置设置的管理，让管理员可以把更多精力放在标准遵从性的其他方面。