Sicherheitsprüfung 
für HP NonStop Systeme 
Vertraulichkeit, Integrität 
und Verfügbarkeit 
optimieren!
Summary 
 Lessons learned einer Sicherheitsprüfung im 
vergangenen Jahr kombiniert mit einigen 
neuen Ideen, um HP NonSto...
“Sicherheitsprüfung eines NonStop Rechenzentrums” 
 „NonStop Rechenzentrum“ 
 „Prüfung“ 
 „Sicherheit“ 
 Prüfungsverfa...
NonStop Rechenzentrum 
 Zentrum mit mehreren NonStop Systemen 
 Guardian, Pathway, TMF, Enscribe, SQL/MP 
 Externer inf...
Prüfung 
 Teil eines Audit einer Bank Anwendung 
 Kontrolle der outsourced Datenverarbeitung 
 Gem. BDSG sind 8 Bereich...
Sicherheit 
 Verfügbarkeit 
 NonStop und RDF 
 Replication Tools für non-audited files 
 Notfall-Planung 
 The Denial...
Prüfungsverfahren 
 Projekt-Management 
 Vor dem Start der Prüfung 
 Richtlinien für die Dokumentation 
 Tools für Prü...
Checklisten für die Prüfung 
Verfügbarkeit Integrität Vertraulichkeit Notfallplanung 
Inventar HW, SW, 
Subsysteme, 
Datei...
Audit Trail Analyse 
 Lang laufende Transaktionen 
 Fehlerhafte Transactionen 
 Spezifische Datenfeld/column Änderungen...
Risiko: Denial of Service 
 Compiler, Binder, Debugger auf Produktionssystem 
 TAL Beispiele: 
 corrupting a cpu 
 ?So...
Risiko: Malware 
 Security der Dateien, 
die einem „functional user“ gehören 
 Daten- und Programn-Dateien 
 Insbesonde...
Risiko: Spyware 
 LINKMON auf „server class“ - Zugriffssicherheit 
SET SERVER OWNER <group>, <user> 
SET SERVER SECURIT...
Referenzen 
 Produkt CS-TP-SPY (Audit Trail Analysis) 
CS-Software Gmbh 
Dr. Werner Alexi 
Schiersteiner Straße 31, 65187...
Peter Haase 
 Programmierer, Trainer, Berater für HP NonStop seit 1981 
 D-56820 Mesenich/Mosel , Kirchstr. 12 
 +49-26...
Nächste SlideShare
Wird geladen in …5
×

Sicherheitsprüfung für HP NonStop Systeme

571 Aufrufe

Veröffentlicht am

Vertraulichkeit, Integrität und Verfügbarkeit optimieren!

Veröffentlicht in: Leadership & Management
1 Kommentar
0 Gefällt mir
Statistik
Notizen
  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
571
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
7
Aktionen
Geteilt
0
Downloads
0
Kommentare
1
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sicherheitsprüfung für HP NonStop Systeme

  1. 1. Sicherheitsprüfung für HP NonStop Systeme Vertraulichkeit, Integrität und Verfügbarkeit optimieren!
  2. 2. Summary  Lessons learned einer Sicherheitsprüfung im vergangenen Jahr kombiniert mit einigen neuen Ideen, um HP NonStop Anwendungen gegen Malware und Spyware zu schützen
  3. 3. “Sicherheitsprüfung eines NonStop Rechenzentrums”  „NonStop Rechenzentrum“  „Prüfung“  „Sicherheit“  Prüfungsverfahren  Checklisten für die Prüfung  Audit Trail Analyse  Risiko: Denial of Service  Risiko: Malware  Risiko: Spyware  Referenzen
  4. 4. NonStop Rechenzentrum  Zentrum mit mehreren NonStop Systemen  Guardian, Pathway, TMF, Enscribe, SQL/MP  Externer infrastructue-as-a-service Provider
  5. 5. Prüfung  Teil eines Audit einer Bank Anwendung  Kontrolle der outsourced Datenverarbeitung  Gem. BDSG sind 8 Bereiche zu kontrollieren:  Zutritt zu Gebäude und Räumen  Zugriff auf Hardware und Betriebssystem  Zugriffsrechte  Daten-Übertragung und -Transport  Daten Eingabe  Provider / Dienstleister  Verfügbarkeit  Daten-Trennung
  6. 6. Sicherheit  Verfügbarkeit  NonStop und RDF  Replication Tools für non-audited files  Notfall-Planung  The Denial-of-Service problem  Integrität  TMF und audited files  Audit Trail Analyse  Verfügbarkeit  Guardian Security und SAFEGUARD  SECOM ID Mapping und command level security  Schutz gegen Malware und Spyware
  7. 7. Prüfungsverfahren  Projekt-Management  Vor dem Start der Prüfung  Richtlinien für die Dokumentation  Tools für Prüfungen  Checklisten und Standards  Start der Prüfung  Aufbauorganisation der beteiligten Unternehmen  Bisherige Dokumentation  Ergebnisse aus früheren Prüfungen  Besondere Risken  Prüfung  Design und Betrieb
  8. 8. Checklisten für die Prüfung Verfügbarkeit Integrität Vertraulichkeit Notfallplanung Inventar HW, SW, Subsysteme, Dateien SW Version, Data Dictionary PROGID, LICENSE, System Interfaces Planung Monitoring HW, SW, kritische Ereignisse Audited DB, Audit Trail Analysis, Runtime Lib, ENSCRIBE data Session Log, 4-Augen-prinzip, SAFEGUARD audit, SECOM log Tests und Training Control Performanz und Tuning, DoS Risk System und subsystem Konfiguration, Malware Risk Deleted data files, Backup data, Users: super.* and *.super, Spyware Risk Vertrauliche Daten
  9. 9. Audit Trail Analyse  Lang laufende Transaktionen  Fehlerhafte Transactionen  Spezifische Datenfeld/column Änderungen  Fehler in Anwendungen  Nicht-autorisierte Transactionen
  10. 10. Risiko: Denial of Service  Compiler, Binder, Debugger auf Produktionssystem  TAL Beispiele:  corrupting a cpu  ?Source $system.system.extdecs0 (alter_priority_) Proc Test Main; Begin While 1 do begin alter_priority_(199); End;  corrupting a volume  ?Source $system.system.extdecs0 (file_create_) Proc Test Main; Begin String .system[0:35] := „$system“; Int Len := 7; While 1 do begin file_Create_(SYSTEM:36,Len); End  Aber, die gleichen Effekte lassen sich auch mittels TACL-Programmierung erreichen.
  11. 11. Risiko: Malware  Security der Dateien, die einem „functional user“ gehören  Daten- und Programn-Dateien  Insbesondere: *CSTM und *LOCL und *CTL files  Default „no echo“ von FUP  Kommando „Password“ in TACLCSTM löscht aktuelles Passwort.  Nutzer und security Einstellungen für PATHWAY Management  SET PATHWAY OWNER <group>, <user>  SET PATHWAY SECURITY “<O or U>"
  12. 12. Risiko: Spyware  LINKMON auf „server class“ - Zugriffssicherheit SET SERVER OWNER <group>, <user> SET SERVER SECURITY “<O or U>"  Aber, der Zugriff auf Sever-Prozesse ist noch möglich. Default: Jeder Prozess kann einen anderen Prozess öffnen und eine Nachricht senden.  Mögliche Lösungen:  Logik im Server Program, um Requestoren zu prüfen  SAFEGUARD ACLs auf den Prozessnamen  SAFEGUARD und Tool PS-Shell
  13. 13. Referenzen  Produkt CS-TP-SPY (Audit Trail Analysis) CS-Software Gmbh Dr. Werner Alexi Schiersteiner Straße 31, 65187 Wiesbaden, Germany E-Mail: info@cs-software-gmbh.de  Einige Ideen und Tools GreenHouse Software & Consulting Ingenieurbuero Karl-Heinz Weber Heinrichstrasse 12, 45711 Datteln-Horneburg, Germany E-Mail: info@greenhouse.de  Gegen Visitenkarte: Liste der 117 Greenhouse Tools per E-Mail als Geschenk
  14. 14. Peter Haase  Programmierer, Trainer, Berater für HP NonStop seit 1981  D-56820 Mesenich/Mosel , Kirchstr. 12  +49-2673-98600  +49-171-8442242  info@peterhaase.de  www.peterhaase.de

×