操作人员日益减少大型机面临安全危机

　　在二十年前，绝大多数大型机被安装在密封的机房里，只有少数科研人员才能接触和使用它们。而现在，大型机已经从封闭的机房中走出，成为许多大型企业运营的支柱。大型机提供各种不同的网络服务，可供全球各个角落的用户访问。根据不完全统计，每天大约有300亿次事务处理是由大型机完成的，这一数字要比相同时间内的网页点击数量还要多。　　

　　除了常规的信息管理和基于信息管理的事务处理之外，大型企业正将基于Windows操作系统和Intel CPU架构的企业应用向Linux大型机系统迁移，以节约费用和提高可靠性。Linux/Unix大型机提供的Web应用，能够支持数百万位用户进行商务活动所需要的核心数据。与二十年前相比，大型机的开放程度有了本质的变化，在来自全球各个角落访问数据流的冲击下，今天的大型机用户需要认真考虑保护大型机的安全性。　　

　　大型机面临的三大威胁

　　在与外界隔绝时代，大型机一直比较安全和容易管理，而且基本上每一家机构就会拥有一位技术人员专门负责大型机，而现在的情况是，平均每一千位用户才会拥有一名大型机技术人员，而且经验丰富的大型机技术人员很难找到，用户不可能希望一位防火墙管理员能够处理在他出生之前就已存在的大型机应用和服务。　　

　　除了与日俱增的开放性、越来越严重的人才缺乏之外，大型机面临的许多安全问题还是由人们盲目相信大型机的安全性所导致。出于对大型机以往的认识，多数用户认为大型机十分安全。而事实上，在众多应用安装在大型机上的条件下，内部人员比较容易滥用和损害大型机系统。敏感数据可能被复制，用户记录可能被删除，而且这些活动的所有踪迹都有可能被消除。具体来说，大型机容易受到以下三大威胁的危害。　　

　　恶意访问：随着大型机系统开放性的增强，黑客和内部恶意用户访问大型机核心数据的可能性越来越大。保护数据完整性和防止核心信息不被非法访问对任何系统都十分重要，对大型机也不例外。　　

　　人为错误：熟悉大型机技术的技术人才正在迅速减少，没有资格或缺少经验的技术人员可能会无意改动大型机设置，从而打开进入系统的漏洞或者给予非法访问者进入系统的授权。　　

　　软件老化：继续运行可靠的老软件而不需进行太多维护一向是大型机的优点，然而即使如此，大型机软件仍然需要及时进行检查、修补和升级，以减少漏洞和改进安全性。　　

　　快速排除安全威胁的方法

　　大型用户必须将传统的用于开放系统的安全实践应用于大型机。以下是可供用户改进大型机安全性的几点建议。　　

　　创建安全状态表：在专业技术人员越来越少、安全威胁越来越多的情况下，大型用户必须创建大型机安全状态表，以显示安全计划的进展，安全状态表的内容包括显示访问大型机的人员概要、哪些数据组被访问得最多、访问是否违反了企业的安全政策、添加和删除的用户的数量、休眠账户和弱口令的概要等等。　　

　　明智的集中：用户必须通过集中大型机的某些安全功能(尤其是管理和审计功能)，以更好地利用已有的知识库。这种集中是利用大型机软件，或者利用基于角色的和政策驱动的用户服务，通过配置和提供跨企业文件访问与配置审计功能来实现。用户应当利用大型机技术专家的专业知识、安全小组和应急响应小组共同完成审计与管理大型机的工作。　　

　　审计新内容：用户需要重视配置登录大型机的操作，以确保网管员可以跟踪访问者接触了哪些数据，系统分析关键文件(数据集合)的安全状态，尤其是那些涉及公司机密的文件，保证安全政策得到贯彻执行。目前，业界已经出现了自动监测大型机安全状态的自动工具，这些工具不需要管理人员进行太多干预就能够提供常规的安全审计。　　

　　强化控制：对大型机加强安全控制，用户需要考虑在大型机系统中加入实时报警功能，这样可以及时发现非法访问和配置错误。　　

　　除了以上措施外，用户还必须将对大型机的管理和审计真正分离，使管理和审计充分发挥相互检验和平衡约束的作用。