1964年4月推出的System/360是自1952年大型機(jī)701出現(xiàn)以來IBM的第一個基本電子計算機(jī)重組。雖然現(xiàn)在的大型機(jī)比1980年代少，但大型機(jī)仍然是最大型企業(yè)(特別是零售商)核心IT基礎(chǔ)設(shè)施的重大組成部分，然而很少有人了解大型機(jī)數(shù)據(jù)安全的重要性。

[[121498]]

現(xiàn)在大型機(jī)應(yīng)用的廣泛程度?讓我們看看IBM提供的數(shù)據(jù)：在2013年，65家全世界最大銀行以及世界最大零售商(但前25名美國零售商只有一家)都在使用大型機(jī);世界上80%的企業(yè)數(shù)據(jù)仍然由大型機(jī)管理;三分之二的美國銀行業(yè)務(wù)交易在大型機(jī)上運(yùn)行。

PCI DSS合規(guī)性評估

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的主要重點(diǎn)是對持卡人數(shù)據(jù)的保護(hù)。PCI DSS為在任何平臺存儲、處理或傳輸?shù)某挚ㄈ藬?shù)據(jù)提供所需的控制。然而，很多商家目前沒有針對PCI DSS合規(guī)性對很多大型機(jī)進(jìn)行正確地評估。

現(xiàn)在，很多QSA、商家和服務(wù)提供商對大型機(jī)的PCI DSS評估采取混亂的做法。他們要么認(rèn)為大型機(jī)不在范圍內(nèi)—由于其始終安全，或者如果他們無法因?yàn)樗灰暈闃s耀文件服務(wù)器而將其排除在評估范圍外，他們會決定所有應(yīng)用環(huán)境現(xiàn)在都在范圍內(nèi)。

讓我們來討論大型機(jī)的固有安全控制，以及如何對持卡人數(shù)據(jù)環(huán)境內(nèi)的大型機(jī)應(yīng)用PCI DSS要求。

外部安全管理系統(tǒng)

大型機(jī)有三個外部安全管理系統(tǒng)(ESM)用于數(shù)據(jù)和訪問保護(hù)：IBM的RACF、CA-TopSecret和CA-ACF2。沒有經(jīng)過培訓(xùn)或者很少接觸大型機(jī)平臺的評估者會運(yùn)行RACF DSMON、TopSecret TSSAAUDIT報告或ACF SHOW ALL命令—在操作系統(tǒng)水平提供全球安全選項，但這樣做仍然無法為持卡人數(shù)據(jù)提供足夠的保護(hù)。第三方安全監(jiān)控和保護(hù)產(chǎn)品(例如來自Vanguard或CA的產(chǎn)品)可以提供幫助，但即使如此，這些產(chǎn)品主要運(yùn)行在操作系統(tǒng)水平，可能無法足以對持卡人數(shù)據(jù)進(jìn)行全面的PCI DSS合規(guī)性評估。

為什么大型機(jī)安全控制審查很重要?現(xiàn)在大多數(shù)支付都會接觸大型機(jī)或者在大型機(jī)處理，無論商家或服務(wù)提供商是否意識到這一點(diǎn)。

自20世紀(jì)80年代以來，針對大型機(jī)的ESM已經(jīng)變得功能豐富、強(qiáng)大以及昂貴。因此，很多QSA較少關(guān)注大型機(jī)上的PCI持卡人數(shù)據(jù)。他們認(rèn)為大型機(jī)因?yàn)镋SM而非常安全，他們更愿意專注于無處不在的服務(wù)器環(huán)境，服務(wù)器環(huán)境誠然需要關(guān)注。然而，ESM安全功能是安裝可選的。這意味著安裝可以選擇激活它們，或者不激活。安全專家和執(zhí)行大型機(jī)ESM評估的IT審計員往往會發(fā)現(xiàn)這些功能被關(guān)閉，出于性能、成本和不便等原因。這不僅影響PCI合規(guī)性，而且讓這些系統(tǒng)中的持卡人數(shù)據(jù)處于危險之中。

了解PCI DSS大型機(jī)要求

忽視并不是一種控制。沒有了解大型機(jī)安全架構(gòu)并不是忽視它們或者證明不安全大型機(jī)中持卡人數(shù)據(jù)風(fēng)險很小的有效理由。假設(shè)沒有多少人知道如何利用大型機(jī)漏洞是不明智的做法，這可能預(yù)示著壞事情的發(fā)生。大多數(shù)QSA和滲透測試人員沒有大型機(jī)的背景，因此不知道如何利用哪怕是最簡單的漏洞。但請記住，攻擊者需要的只是一次成功漏洞利用。

下面是PCI DSS對大型機(jī)的要求以及應(yīng)該如何在持卡人數(shù)據(jù)環(huán)境內(nèi)的z\OS子系統(tǒng)應(yīng)用這些要求。這并不是詳盡的清單，但這代表著被忽視z\OS環(huán)境的各個方面：

總結(jié)

PCI DSS并沒有對安全采取全面的做法。在前PCI DSS信息安全世界，這12個要求涵蓋了被認(rèn)為是全面而基本的安全要求。PCI DSS提出的持卡人數(shù)據(jù)保護(hù)不應(yīng)該被有條件地排除，因?yàn)槌挚ㄈ藬?shù)據(jù)環(huán)境尚未完全了解。這還包括發(fā)行和收購金融機(jī)構(gòu)，其支付處理主要是大型機(jī)，但這又是一個被忽略的話題。