安全加固手册

安全加固手册

8.2 系统安全值设置

8.2.1 查看目前系统值:

WRKSYSV AL 一个一个顺序在终端上显示

或者 DSPSYSVAL SYSV AL （system value）

8.2.2 系统安全级别推荐设置为40

QSECURITY 40

10 没有用户认证，没有资源保护

20 用户使用密码认证，没有资源保护

30 用户认证和默认的资源保护

40 跟 30 相似，但是控制了特权指令和设备的接口

（在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问）

50 增强型的安全访问控制，达到真正的 C2 级安全控制

8.2.3 建议设置口令复杂度策略

QPWDVLDPGM *NONE 无密码检测

8.2.4 密码长度

最小密码长度

QPWDMINLEN 6

最大密码长度

QPWDMAXLEN 10

8.2.5 设置帐户最大尝试登陆次数

QMAXSIGN 3（默认值）

达到最大尝试次数措施

QMAXSGNACN 3（默认值）

1 禁用终端

2 禁用用户配置文件

3 全部

（注 :建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义）

8.2.6 设置密码有效期

QPWDEXPITV 30-90

*NOMAX 不限

1-366 天

QPWDRQDDIF 1

0 可以和以前的历史记录中的 32 个密码一样

1 必须和以前的历史记录中的 3

2 个密码不同

8.2.7 限制安全设备登陆

QLMTSECOFR 1

0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆，有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端

1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问

8.2.8 设置超时策略

QINACTITV 无活动的任务超时 *NONE: 无超时

5-300 超时最大允许时间（分钟）推荐 15

非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。

认证用户通过再次登陆，可以继续以前session 所保留的屏幕。当设置中断连接任务

（*DSCJOB ）值去中断任意交互式登陆。

8.2.9 限制设备sessions

QLMTDEVSSN

0 不限制一个终端的特定用户 ID 的在同一时刻的使用数

1 限制同一时刻只能有一个特定用户登录到这台工作站

8.2.10 用户登录信息是否显示在屏幕上

QDSPSGNINF

0 在用户登录时 ,登陆信息不显示

1 以下信息会被显示最后登陆时间

从上次登陆以来的失败登陆

密码 7 天或之内密码将要过期的警告

QAUTOVRT

QAUTOVRT

8.3.1 显示所有用户和组

的

profile

8.3.2 检查每个重要的组的profile ,保证是由管理人

8.2.11 改变虚拟设备的自动配置值

值控制系统自动配置虚拟设备会话（比如 5250telnet ）的数量值建议设置为 *nomax

8.2.12 改变远程登陆值

QRMTSIGN 值控制是否当工作站支持显示终端或工作站支持功能，允许用户略过在远端系统的登陆提示。（ pass-through 类似于 unix 的 rlogin 功能）可能值如下 :

FRCSIGNON:所有系统的 pass through sessio ns必须通过正常的登录（sig n-on）过程

SAMEPRF:仅允许远端系统 profile名与本地系统一致的用户进行不通过登录（ sign-on）过程的 pass through sessions

VERIFY:如果 QSECURITY 设置为10,没有通过正常的登录（sign-on）过程的pass through sessions 允许所有的pass through请求并且不检查密码。QSECURITY 设置为30的时候必

须进行登录。

REJECT: 不允许系统支持 pass through sessions

8.2.13 创建系统认证参数值

检查系统值报告里面的 QCRTAUT 参数,并且确认已经改变默认的值 *CHANGE 为 *USE 或更少权限。

检查产品数据库和产品源代码被放在一个有合适的访问权限的库里维护。或者使用可视认证

组件命令（Display Object Authority command ）并且检查每一个重要的产品数据库和源代码的公共认证访问（ PUBAUT ）访问参数设置为 *EXCLUDE 并且都设置了合适的访问控制。

8.3 用户、组配置

DSPAUTUSR SEQ (*GRPPRF) wrkusrprf *all

员赋予的

8.3.3 检查系统内的用

户,

保证是都由管理人员赋

予

的,并且他们的设置与他们的需要的功能一致

*ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL 8.3.4 系统安装时，已经预定义了许多用户的profile ，这些用户的profile 的密码可以从用户的profile 名判断

QSRVBAS 和 QSRV 推荐在每次时候后改变。任何商业软件厂商安装时用的密码也应该更改。

8.3.5 使用以下命令取得用户和组的profile:

取得文件 :

输入［DSPUSRPRF］，按(PF4)，选择输出文件和文件名，将此文件传输到 PC或XCOMM 到

一个大型机( where Office Services will copy the file/s to audits cc 0820 G drive )。DSPUSRPRF USRPRF(pro) TYPE(*BASIC)

每个 profile 检查以下设置 :

8.3.5.1 G R O U P (Group Profile)

检查每个组里面的用户是否应具有此权限

8.3.5.2 P W D E X P I T V ( 密码过

期周期)

*SYSVAL: 系统默认值为QPWDEXPITV 如果已经设置为一个数字，则表示此用户已经设置密码过期周期。

8.3.5.3 CURLIB （当前库）

检查用户是否指定了合适的库( library )。并且保证库足够的安全

8.3.5.4 L M T C P B （限制权限）

指定是否用户可以更改初始程序，初始菜单，当前库和attention-key-handling 程序值。

*NO: 用户可以使用 CHGPRF 命令改变自己用户 profile 里面的所有值。

*PARTIAL:初始化程序和当前库值不能改变。初始菜单可以改变(使用CHGPRF)并且可以

在菜单命令行处输入命令。

*YES: 初始程序，初始菜单和当前库不能改变。菜单命令行处可以运行部分命令。

推荐值 :产品用户设置为 *YES

8.3.5.5 S P C A U T （特殊权限）

- 几乎所有对象允许无限访问

- 允许管理用户 profile

- 保存和恢复系统和数据

- 允许操作工作队列和子系统

- 允许一些没有控制的功能

- 允许控制池( spool )功能

*USRCLS -授予用户对他所在的级别(class)特别的授权

*NONE - 没有特别的授权