1964年4月推出的System/360是自1952年大型机701出现以来IBM的第一个基本电子计算机重组。虽然现在的大型机比1980年代少,但大型机仍然是最大型企业(特别是零售商)核心IT基础设施的重大组成部分,然而很少有人了解大型机数据安全的重要性。
现在大型机应用的广泛程度?让我们看看IBM提供的数据:在2013年,65家全世界最大银行以及世界最大零售商(但前25名美国零售商只有一家)都在使用大型机;世界上80%的企业数据仍然由大型机管理;三分之二的美国银行业务交易在大型机上运行。
PCI DSS合规性评估
支付卡行业数据安全标准(PCI DSS)的主要重点是对持卡人数据的保护。PCI DSS为在任何平台存储、处理或传输的持卡人数据提供所需的控制。然而,很多商家目前没有针对PCI DSS合规性对很多大型机进行正确地评估。
现在,很多QSA、商家和服务提供商对大型机的PCI DSS评估采取混乱的做法。他们要么认为大型机不在范围内—由于其始终安全,或者如果他们无法因为它被视为荣耀文件服务器而将其排除在评估范围外,他们会决定所有应用环境现在都在范围内。
让我们来讨论大型机的固有安全控制,以及如何对持卡人数据环境内的大型机应用PCI DSS要求。
外部安全管理系统
大型机有三个外部安全管理系统(ESM)用于数据和访问保护:IBM的RACF、CA-TopSecret和CA-ACF2。没有经过培训或者很少接触大型机平台的评估者会运行RACF DSMON、TopSecret TSSAAUDIT报告或ACF SHOW ALL命令—在操作系统水平提供全球安全选项,但这样做仍然无法为持卡人数据提供足够的保护。第三方安全监控和保护产品(例如来自Vanguard或CA的产品)可以提供帮助,但即使如此,这些产品主要运行在操作系统水平,可能无法足以对持卡人数据进行全面的PCI DSS合规性评估。
为什么大型机安全控制审查很重要?现在大多数支付都会接触大型机或者在大型机处理,无论商家或服务提供商是否意识到这一点。
自20世纪80年代以来,针对大型机的ESM已经变得功能丰富、强大以及昂贵。因此,很多QSA较少关注大型机上的PCI持卡人数据。他们认为大型机因为ESM而非常安全,他们更愿意专注于无处不在的服务器环境,服务器环境诚然需要关注。然而,ESM安全功能是安装可选的。这意味着安装可以选择激活它们,或者不激活。安全专家和执行大型机ESM评估的IT审计员往往会发现这些功能被关闭,出于性能、成本和不便等原因。这不仅影响PCI合规性,而且让这些系统中的持卡人数据处于危险之中。
了解PCI DSS大型机要求
忽视并不是一种控制。没有了解大型机安全架构并不是忽视它们或者证明不安全大型机中持卡人数据风险很小的有效理由。假设没有多少人知道如何利用大型机漏洞是不明智的做法,这可能预示着坏事情的发生。大多数QSA和渗透测试人员没有大型机的背景,因此不知道如何利用哪怕是最简单的漏洞。但请记住,攻击者需要的只是一次成功漏洞利用。
下面是PCI DSS对大型机的要求以及应该如何在持卡人数据环境内的z\OS子系统应用这些要求。这并不是详尽的清单,但这代表着被忽视z\OS环境的各个方面:
总结
PCI DSS并没有对安全采取全面的做法。在前PCI DSS信息安全世界,这12个要求涵盖了被认为是全面而基本的安全要求。PCI DSS提出的持卡人数据保护不应该被有条件地排除,因为持卡人数据环境尚未完全了解。这还包括发行和收购金融机构,其支付处理主要是大型机,但这又是一个被忽略的话题。