Se sei un'azienda bancaria, assicurativa o di intermediazione  devi attuare pratiche specifiche di sicurezza informatica. E' richiesta dal GDPR La crittografia delle informazioni non pubbliche richiede la crittografia di informazioni non pubbliche. O forse hai altri motivi per voler crittografare le tue unità IBM i. Questo articolo si concentra sulla crittografia a riposo delle unità disco dei sistemi IBM i che utilizzano l'opzione 57XX-SS1 45 - Abilitazione ASP crittografata, dove si finisce con un ASP 1 non crittografato e un ASP crittografato. Un ASP è un lotto di memoria ausiliario. Il nostro partner IBM, Rob Wise di UCG Technologies, ha installato la funzione di crittografia, rimosso le unità dal sistema ASP, aggiunto le unità al nuovo ASP crittografato e ci ha fornito indicazioni sul processo generale. Il resto abbiamo gestito internamente.

Guida lo spazio

WRKDSKSTS mostra la memoria utilizzata in ciascuna unità. Se si crittografa una grande percentuale del sistema, potrebbe essere necessario eseguire diversi cicli di spostamento di unità nel nuovo ASP e spostamento dei dati nel nuovo ASP. Tieni d'occhio questo. La percentuale utilizzata non deve superare l'85 percento. Potrebbe essere necessario aggiungere nuove unità al sistema. Qui le unità sono state spostate tre volte - inizialmente per impostare l'ASP2 crittografato, una seconda volta dopo che una grande quantità di dati era stata spostata da ASP1 a ASP2 e un'ultima volta dopo che tutta la crittografia era stata completata per bilanciare la percentuale utilizzata tra i due ASP.

Crittografia: cosa fa e cosa non funziona

La crittografia rende l'unità rimossa da un sistema IBM i illeggibile. Drive encryption ti protegge fondamentalmente da qualcuno che ruba le tue unità disco e prova a leggerle. Dovresti essere molto più preoccupato dagli  gli hacker o per le minacce interne, perchè il rischio di furto del disco è molto basso. Chiunque abbia un accesso e autorizzazioni validi ai dati è comunque in grado di utilizzare Client  Access  Solutions per scaricare dati crittografati su file Excel non crittografati o utilizzare qualsiasi altro metodo che funzioni prima che la crittografia acceda a crittografato dati, eccetto per la fuga con le tue unità disco. Mentre la minaccia di furto di unità può essere piccola, lo sforzo di crittografare non lo è. Consiglio vivamente di eseguire questa procedura per prima cosa in un test LPAR.

Cosa crittografare

La prima attività che richiede tempo è determinare cosa crittografare. Le librerie IBM Q non possono essere crittografate: il sistema operativo gestisce la crittografia, pertanto non devono essere crittografate. Il nostro partner IBM consiglia vivamente di non crittografare tutte le librerie non IBM. Ciò che per crittografare comporta la revisione di tutte le librerie in tutte le tue LPAR per determinare quali librerie contengono informazioni non pubbliche del cliente - informazioni non generalmente disponibili al pubblico. Nella produzione principale LPAR qui, avevamo oltre 700 librerie. Mentre stiamo utilizzando un sistema Power7 recente su IBM i versione 7.3, l'applicazione ha 20 anni e è stata spostata su un nuovo sistema ogni pochi anni. Non c'è mai stato un incentivo a passare e ripulire ciò che si è accumulato in molti anni - fino ad ora. RTVDSKINF è un processo di lunga durata che raccoglie informazioni sullo spazio di archiviazione.Questo dovrebbe essere inviato a batch, a una coda di lavoro che non reggerà altri lavori. È meglio eseguire quando ci sarà poca attività sul sistema. Ecco il comando:

  JOBQ SBOBJOB CMD (RTVDSKINF) JOBQ (QBATCH2) (RTVDSKINF)

PRTDSKINF utilizza i dati raccolti da RTVDSKINF. Qui l'abbiamo eseguito un giorno dopo RTVDSKINF. PRTDSKINF * LIB per ottenere il report delle informazioni della libreria.

  • Tieni premuto o salva il file di spool.
  • Ho utilizzato le soluzioni Client di accesso, Output stampante, per convertire il file di spool in un PDF salvato sull'unità di rete.
  • Con Word, ho convertito il PDF in testo.
  • Con Excel, Utilizzo dei dati, Da testo a colonna e creato un elenco di tutte le librerie, quindi ordinate in base alla dimensione dal più alto al più basso.
  • In Excel, ho aggiunto colonne per "Elimina?" E "Encrypt?"

L'IT Operations Manager è presente da oltre 30 anni. L'ho incontrato diverse volte per recensire le biblioteche. Potrebbe essere cancellato? In caso contrario, la biblioteca conteneva informazioni non pubbliche? In tal caso, la libreria deve essere crittografata. Guardando quali file erano in una libreria, o per alcuni, usando DBU per esaminare il contenuto dei file, abbiamo determinato se la libreria doveva essere crittografata. Delle 764 librerie nella LPAR di produzione principale, abbiamo trovato 288 che potrebbero essere salvati su nastro e cancellati. Per salvare ed eliminare queste librerie, ho creato un programma CL per fare un SAVLIB per ogni libreria e un altro CL per fare un DLTLIB per ogni libreria. Copiando la linea sorgente CL per il numero di librerie necessarie e quindi copiando le librerie da Excel in CL, uno schermo alla volta ha risparmiato un sacco di digitazione. L'eliminazione di queste librerie ha accorciato in modo significativo i nostri backup completi del sistema, cosa che ha molto soddisfatto l'IT Operations Manager.

Riviste, PF e LF

I prossimi grandi ostacoli riguardavano riviste e file fisici e logici (PF e LF).

  • Un diario, tutti gli oggetti registrati da esso e i suoi destinatari devono risiedere nello stesso ASP.
  • Tutti i file logici devono risiedere nello stesso ASP del loro file fisico.

WRKJRN * all * all, 8 per lavorare con gli attributi del journal, F19 (shift F7) e poi 1 Files o 30 All Objects ci ha mostrato che avevamo un po 'di confusione da pulire. Diversi sviluppatori che erano venuti e andati nel corso degli anni avevano copiato i file inseriti in diario in altre librerie per il test.Questo espanso il diario per includere questi nuovi file. Le librerie di produzione erano state copiate negli ambienti di sviluppo e test nella stessa LPAR. Questo copiò anche i diari. Usando ENDJRN, ENDJRNAP, ENDJRNLIB, ENDJRNOBJ e ENDJRNPF, ho ridotto le riviste e ciò che stavano inserendo nel diario solo per quello che voleva il responsabile delle operazioni IT. Se si verificano errori durante il tentativo di eliminare una libreria con ricevitori di giornale non salvati, (per i diari che non avrebbero mai dovuto essere creati), aggiungere il messaggio CPA7025 all'elenco delle risposte del sistema con WRKRPYLE. Quindi, in un comando SBMJOB, utilizzare INQMSGRPY (* SYSRPYL).

Salvataggio, eliminazione e ripristino su ASP crittografato

Per crittografare una libreria, è necessario salvarla, verificare che sia stata salvata, eliminarla e ripristinarla nell'ASP crittografato. Non è possibile eliminare una libreria se è presente nell'elenco delle librerie, quindi accedere come utente con un elenco di librerie minime o RMVLIBLE per qualsiasi libreria da eliminare. Per i periodici che coprono oggetti da più librerie, tutte queste librerie devono essere cancellate, prima di ripristinarle in ASP crittografato. Elimina la libreria contenente il diario scorso. Ripristina prima la libreria che contiene il journal. I comandi di ripristino hanno un parametro RSTASP per ASP #. RSTLIB F4 per richiedere, F9 per tutti i parametri, ripristinare il numero ASP RSTASP (2) o qualsiasi # è stato utilizzato per creare l'ASP crittografato. È possibile che si verifichino alcuni errori di ripristino del file logico a causa del file fisico non esistente. Se lo stai facendo in una LPAR di test che è una copia di una LPAR di produzione, in Production, apri LF con DBU, shift F2 mostrerà i file fisici su cui è basato. Dopo aver ripristinato la libreria con i file fisici, è necessario tornare indietro e ripristinare i file logici che hanno restituito errori.Continuare questo processo fino a quando tutte le librerie da crittografare sono state salvate, eliminate e ripristinate nell'ASP crittografato. A seconda del proprio ambiente potrebbe essere necessario includere PVTAUT (* YES) e SPLFDTA (* ALL; * NEW) sui comandi di salvataggio e ripristino.

Elenchi delle librerie dei valori di sistema

Con WRKSYSVAL, consultare QSYSVAL - l'elenco di librerie di sistema e QUSRLIBL - l'elenco di librerie utente. Se una delle librerie elencate deve essere crittografata, saranno necessari passaggi aggiuntivi. Per QURSLIBL, è necessario rimuovere la libreria da questo elenco di librerie per rimuovere il blocco oggetto da QSYSARB. WRKOBJLCK probabilmente mostrerà molti altri blocchi, che impediscono l'eliminazione della libreria. Salva la libreria in un file di salvataggio (SAVF). ENDSBS SBS (* ALL) DELAY (30) rimuoverà i restanti blocchi di oggetti. Quindi, dalla console, eliminare la libreria, ripristinarla da SAVF a ASP2, aggiungerla nuovamente al valore di sistema QUSRLIBL e quindi portare il sistema su o PWRDWNSYS DELAY (30) RESTART (* YES). Se si dispone di una libreria che deve essere crittografata nell'elenco delle librerie QSYSVAL, è necessario rimuoverla dall'elenco delle librerie e quindi eseguire un IPL.

Il file system integrato

Usi IFS, Integrated File System su IBM i? Qui IFS viene utilizzato per molte cose: per un repository di documenti scansionato con Webdocs da 300 GB con oltre mezzo milione di file, per i file ACH prima e dopo essere stati inviati alla banca con GoAnywhere, per l'esportazione / importazione di file correlati alla contabilità tra IBM ie un server Windows Sistema di contabilità con GoAnywhere e VisualCron, ecc. Ho creato un elenco di Excel di tutte le cartelle IFS. Con Navigator per i, ho controllato le proprietà in queste cartelle per ottenere le dimensioni e l'ho aggiunto in Excel. Aggiunta una colonna "Encrypt?". È andato attraverso ogni cartella IFS per determinare se aveva bisogno di essere crittografato (se avesse informazioni sui clienti non pubbliche).

Crea IFS su ASP crittografato

Se hai creato un nuovo ASP, il sistema deve essere IPLed prima che IFS riconosca il nuovo ASP.Creare un file system definito dall'utente (eseguito una sola volta):

  CRTUDFS UDFS ('/ DEV / QASP02 / ASP02.UDFS') DTAAUT (* RWX) OBJAUT (* ALL) CASE (* MONO)

Crea la cartella IFS principale su ASP2 in cui risiedono tutte le cartelle crittografate (esegui solo una volta): MKDIR DIR ('/ IFSASP2') (usa il nome che preferisci - IFSASP2 è stato il più significativo per me). Per utilizzare il file system definito dall'utente, deve essere montato:

  TIPO DI MONTAGGIO (* UDFS) MFS ('/ DEV / QASP02 / ASP02.UDFS') MNTOVRDIR ('/ IFSASP2')

Ripetere questi passaggi per ogni cartella IFS da crittografare:

  CRTSAVF mysavflib / myfolder
 DEV SAV ('/ QSYS.LIB / mysavflib.LIB / myfolder.FILE') OBJ (('/ myfolder'))

Verifica che sia stato salvato. WRKLNK 4 su myfolder, F4, sottostruttura * all (per eliminare la cartella) Se gli attributi di sola lettura impediscono la cancellazione, modificare gli attributi con WRKLNK, 13, ATR (* READONLY) VALUE (* NO) SUBTREE (* ALL). Quindi riprova ad eliminare. MKDIR DIR ('/ IFSASP2 / myfolder') crea la cartella nella cartella IFS crittografata principale. DEV RST ('/ QSYS.LIB / mysavflib.LIB / myfolder.FILE') OBJ (('/ myfolder' * INCLUDE '/ IFSASP2 / myfolder'))) Il comando RST ripristina la cartella su ASP IFS crittografato.

  ADDLNK OBJ ('/ IFSASP2 / myfolder') NEWLNK ('/ myfolder')

Il passo addlnk crea un collegamento simbolico, in modo che tutti i programmi che stavano usando quella cartella funzionino senza modificare il codice sorgente. Con WRKLNK, fai un 8 per vedere gli attributi delle cartelle che hai creato. Dovresti vedere il tipo DIR, ASP 2 su quelli criptati. Per quelli creati con ADDLNK, dovresti vedere il tipo SYMLNK, ASP 1.

Programma di avvio

Il comando mount deve essere eseguito dopo ogni IPL, quindi dovrebbe essere aggiunto al tuo programma di avvio. WRKSYSVAL QSTRUPPGM mostra il programma di avvio.

  TIPO DI MONTAGGIO (* UDFS) MFS ('/ DEV / QASP02 / ASP02.UDFS') MNTOVRDIR ('/ IFSASP2')

Il programma di avvio si avvia automaticamente con il profilo utente QPGMR, basato su JOBD QSTRUPJD. QPGMR non ha l'autorizzazione per i comandi di montaggio e smontaggio. Aggiungi l'autorità con:

  GRTOBJAUT OBJ (MOUNT) OBJTYPE (* CMD) UTENTE (QPGMR) AUT (* USE)
    GRTOBJAUT OBJ (UNMOUNT) OBJTYPE (* CMD) UTENTE (QPGMR) AUT (* USE)

BRMS - Backup di IFS crittografati

Per salvare l'IFS crittografato, devi prima smontarlo. Per terminare i mapping delle unità di Windows su IFS, eseguire ENDTCPSVR SERVER (* NETSVR).Quindi eseguire UNMOUNT TYPE (* UDFS) MNTOVRDIR ('/ IFSASP2') Nei gruppi di controllo di backup BRMS, ho aggiunto i comandi * EXIT per chiamare 2 programmi CL: il primo a eseguire i 2 comandi sopra riportati per terminare i mapping e lo smontaggio dell'unità Windows; e l'altro per montare e avviare netserver per i mapping di unità con i due comandi seguenti.

  TIPO DI MONTAGGIO (* UDFS) MFS ('/ DEV / QASP02 / ASP02.UDFS') MNTOVRDIR ('/ IFSASP2')
 STRTCPSVR SERVER (* NETSVR).

Se si sta eseguendo un backup completo del sistema con TCP disattivato, STRTCPSVR emetterà un errore se viene eseguito prima che TCP sia attivo.

WRKJOBSCDE - Lavori pianificati

È anche possibile aggiungere il comando mount e il comando start netserver come un processo WRKJOBSCDE con una data di invio nel 2035 o in attesa. Quindi un operatore può facilmente eseguire un 10 da inviare immediatamente, senza dover cercare i parametri corretti. Se si verificano errori quando qualcuno tenta di utilizzare l'IFS crittografato, probabilmente ha bisogno di essere installato e / o netserver avviato per i mapping delle unità di Windows.

Coda di uscita

Controlla le code di output con WRKOUTQ. Tutti i file di spool contenenti report contenenti informazioni non pubbliche del cliente devono essere contenuti in una libreria crittografata. Le librerie IBM Q come QUSRSYS e QGPL non possono essere crittografate. Creare una libreria per le code di output utente in ASP2. Aggiungere questo alla lista della libreria di sistema prima di QUSRSYS con WRKSYSVAL QSYSLIBL. Per tutte le code di output che devono essere crittografate, crearle in questa nuova libreria con CRTOUTQ. Usa MOVSPLFBRM per spostare i file di spool su nuovo outq. Cambia tutti i profili utente in modo che abbiano un'impostazione OUTQ per un outq in una libreria crittografata. Se si dispone solo di un'impostazione STAMPANTE, questo invierà a outq con lo stesso nome della stampante nella libreria QUSRSYS che non può essere crittografata.Controllare le code di lavoro con WRKJOBQ per qualsiasi lavoro pianificato, (che recupera l'utente outq al momento dell'invio, non il tempo di esecuzione). Potrebbe essere necessario eseguire la scansione del codice sorgente per eventuali code di output codificate e controllare le aree di configurazione dell'applicazione. Cambia il tuo programma di avvio per avviare gli scrittori di stampanti dal nuovo outq crittografato. Controlla i tuoi outq non criptati per i file di spool che dovrebbero essere criptati. È possibile trovare lavori specifici che richiedono una modifica al codice sorgente, alla descrizione del lavoro o al profilo utente, per mettere l'output in un outq crittografato. Se si desidera pulire le code di output prima della crittografia, consultare il programma di esempio Delete Old Spool Files di IBM: http://www-01.ibm.com/support/docview.wss?uid=nas8N1019285 Se lo usi, modifica il recapito della coda dei messaggi a livello di gravità superiore a 80. In caso contrario, viene visualizzato un messaggio di interruzione per ogni file di spool cancellato.

  CHGMSGQ MSGQ (* USRPRF) DLVRY (* BREAK) SEV (85)
 DLTOLDSPLF USRPRFNME (* ALL) OUTQUEUE (QUSRSYS / myoutq) DELETEDATE ('12 / 31/2017 ')

In alternativa, esiste un comando di cancellazione dei file di spool scaduti (DLTEXPSPLF), ma funziona solo se è stata modificata la data di scadenza predefinita prima della creazione del file di spool.

Test, Test, Test

Prendi appunti mentre esegui questi processi nella tua prova LPAR. Testare tutte le applicazioni dopo aver completato la crittografia delle librerie e delle cartelle IFS.

Produzione

Crea un piano per la crittografia della produzione LPAR. Potrebbe essere necessario includere il tempo per più iterazioni di spostamenti del disco da ASP non crittografato a crittografato. La disponibilità del sistema di produzione, del personale e dello spazio su disco può determinare la necessità di suddividerla in diverse fasi, come la crittografia di raggruppamenti di librerie basate su riviste e dipendenze PF e LF e cartelle IFS, in diverse sere o nei fine settimana.

Politica ed educazione per la creazione di nuovi oggetti

Per chiunque sia in grado di creare una nuova libreria, file, cartella IFS, file IFS o coda di output, assicurarsi che siano consapevoli dell'importanza e della procedura per l'inserimento di qualsiasi cosa che possa contenere informazioni non pubbliche del cliente nell'ASP crittografato. ARTICOLO CORRELATO: NY Cybersecurity Requisito: https://dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf Tom Woolaway ha oltre 20 anni di esperienza come amministratore e programmatore su IBM i e predecessori iSeries, AS400 e System / 38. È stato direttore IT globale per un totale di 16 anni per due aziende manifatturiere fino a quando non sono stati acquistati da società più grandi. Ha guidato l'integrazione IT di 40 aziende manifatturiere acquisite. Tom ha una laurea in Informatica presso la Penn State. Attualmente lavora nel settore finanziario, assicurativo, delle rendite. Tom può essere contattato a tom.woolaway@gmail.com . tratto da articolo

https://www.itjungle.com/2018/09/17/adventures-in-ibm-i-encryption/