Haben Sie die Problematik der Systemsicherheit im Griff und können Sie die folgenden Fragen beantworten? Alle angesprochenen Fragen und Probleme haben Sie mit PCSACC/400 schnell, einfach und sicher im Griff. ?Besteht Zugriffsschutz für Ihre IBM DB2/400- PCSACC/400 erlaubt nur Zugriffe, die in einer Sicherheitsdatenbank gespeichert sind. Objektberechtigungen werden nicht verändert, alle bisherigen IBM System i5 (AS/400)-Programme laufen problemlos weiter. Datenbankdateien aus Menüs für 5250-Bildschirmsitzungen? Die Eingabe von IBM i5/OS-(OS/400)- Befehlen wird dabei untersagt? ?Sind Sie sicher, dass der Zugriff auf Ihre IBM DB2/400-Daten kontrolliert erfolgt? PC-, DDM-, und TCP / IP Benutzer haben Zugriff auf alle Dateien, die nicht über Objektberechtigungen geschützt sind. ANMERKUNG: Sie erhalten in kürzester Zeit eine absolute Kontrolle über den Zugriff auf Ihre IBM DB2/400-Daten. Die Installation ist einfach. Nach der Aktivierung der Exitprogramme werden alle neuen Benutzer automatisch registriert und alle Aktivitäten protokolliert. Diese Daten werden täglich automatisch mit dem Befehl CVTPCSLOG in Zugriffsrechte umgesetzt. Die Exitprogramme prüfen alle Zugriffe und protokollieren nur neue Zugriffe, ohne dabei Zugriffe abzulehnen. Haben Sie die Rechte allen Benutzern einzeln zugeordnet, so sollten Sie prüfen, ob das wirklich ausreichend ist. An einem 5250-Bildschirm erfolgt der Datenzugriff unter Kontrolle eines Anwendungsprogramms. Vom PC her ist kein Programm dazwischengeschaltet, der Benutzer hat vollen Zugriff. In dieser Lernphase wird der Ist-Stand Ihres Systemes in der Regel innerhalb von 3-4 Wochen erfasst. Danach können Sie Ihr Sicherheitsrisiko genau einschätzen, da alle Benutzer mit Ihren erfolgten Datenzugriffen in der Sicherheitsdatenbank sichtbar sind. ?Benötigen Sie aktuelle IBM DB2/400-Daten auf PCs Diese Phase erfordert keine Aktivitäten von Ihnen. Eventuell installierte eigene Exitprogramme oder Mitbewerberprodukte laufen unter der Steuerung von PCSACC/400 als sogenannte Subexitprogramme ohne Einschränkungen weiter. oder remoten IBM System i5 (AS/400)? Lassen Sie deshalb Datenzugriffe über Filetransfer, SQL/ODBC, DDM, Datenwarteschlangen oder TCP/IP FTP, TFTP, REXEC (RUNRMTCMD über IP) zu? ?Sind Datendiebstahl oder -missbrauch durch unberechtigtes Lesen oder Datenzerstörung durch unbeabsichtigtes bzw. unkontrolliertes Zurückschreiben von zwischenzeitlich veränderten kompletten Dateien möglich? ?Wollen Sie Endbenutzern die komfortable Auswertung von IBM DB2/400-Daten in ihren PC-Anwendungen ermöglichen? Setzen Sie dazu ShowCase Century, Rumba-Filetransfer oder den Datenbankzugriff über SOL/ODBC ein? Erlauben Sie SOL/ODBC - Zugriffe aus Anwendungen, wie z. B. Lotus 1-2-3, Microsoft Excel und Microsoft Access? ?Wissen Sie, welche Endbenutzer wann auf welche IBM DB2/400-Daten zugreifen? ?Haben Sie einen Überblick wann welcher PC-Benutzer mit wievielen TELNET/5250-Sitzungen arbeitet? Neben Datenbankzugriffen werden auch die folgenden Zugriffe kontrolliert: - IFS - Befehle durch PCs & remote IBM System i5 (AS/400) - Datenwarteschlangen - FTP-Datenbankzugriffe - FTP/TFTP IFS-Zugriffe - FTP & REXEC (RUNRMTCMD via IP) Befehle (CL/REXX) - TELNET sowie 5250/TELNET PCSACC/400 basiert auf IBM OS/400 V4R3 und ist bis IBM i5/OS V6R1 getestet. Testinstallationen sind möglich. Bestellungen, siehe „Lieferung einer Testversion“. Der Preis beträgt einheitlich für alle Modelle Version 4 4.500 Euro + 1,5 % Wartung/monatlich Preise zuzüglich gesetzlicher Mehrwertsteuer PCSACC/400 ist komplett mehrsprachig und unterstützt die Sprachen Deutsch 2929, Deutsch International 2939 und US Englisch 2924. Weitere Einzelheiten entnehmen Sie bitte der Produktbeschreibung. www.PCSACC400.de Produktbeschreibung Beschreibung der Sicherheitsproblematik Lösungsmöglichkeiten Das IBM i5/OS (OS/400) bietet umfangreiche Sicherheits- Sie benötigen entweder ein intelligentes Sicherheitskonzept im IBM möglichkeiten auf Objektebene. i5/OS (OS/400) mit der Berechtigungsübernahme von Benutzerproilen oder eine Zugriffskontrolle durch Schnittstellenprogramme. Diese Objektrechte - in der Regel ist die Zuordnung von Die Zuordnung auf Objektebene bringt nicht die gewünschte Sicherheit. physischen Datenbankdateien ausreichend - können durch Verwendung von Gruppenproilen, Berechtigungs- PCSACC/400 bietet Ihnen diese Schnittstellenprogramme mit der dazu listen bzw. die Möglichkeit der Übernahme von Rechten benötigten Sicherheitsdatenbank. über ein Programm mit USRPRF (*OWNER), ergänzt durch die Funktion *EXCLUDE und die GRT-Befehle, zugeordnet werden. Damit kann die Objektrechtezuordnung erheblich vereinfacht werden. Sie können Ihr bisheriges Sicherheitskonzept beibehalten und sich damit den Aufwand für die Umstellung auf ein systemkonformes, Wichtig ist es, diese Möglichkeiten auch anzuwenden! objektbezogenes Sicherheitskonzept durch den Einsatz von PSACC/400 ersparen. Arbeiten Sie auf Objektebene ohne spezielle Sicherheitsrechte, und erreichen Sie die erforderliche Sicherheit für Sie müssen nicht mehr bei jeder Datei festlegen, wer damit den Endanwender über eine Menüsteuerung? Dieses nicht = *EXCLUDE arbeiten darf. PCSACC/400 dreht die ist in sehr vielen Fällen eine sehr einfache und effektive normale IBM i5/OS (OS/400)-Berechtigung um. Sie deinieren nur die Methode, um den ungewollten Zugriff von Endbenutzern von Ihnen gewünschten Zugriffsrechte innerhalb einer Sicherheitsdaauf Datenbestände einzuschränken. tenbank. IBM iSeries Access für Windows, DDM-remoter Systeme und TCP/IP FTP, TFTP, REXEC-Zugriffe vertragen sich nicht mit einem einfachen, auf Benutzermenüs an normalen Bildschirmen basierenden Sicherheitskonzept. Alle IBM iSeries Access für Windows-, DDM- und TCP/IP-FTP Benutzer können auf alle nicht geschützten Datenbankdateien zugreifen, diese lesen und zurückschreiben. Bei der Dateiübertragung (IBM iSeries Access für Windows usw.) können die Originaldaten ersetzt und damit zerstört werden. Haben Sie die Rechte allen Benutzern einzeln zugeordnet, sollten Sie prüfen, ob das wirklich ausreichend ist. An einem 5250-Bildschirm erfolgt der Datenzugriff unter Kontrolle eines Anwendungsprogrammes. Vom PC her ist kein Programm dazwischengeschaltet, der Benutzer hat vollen Zugriff auf alle *PUBLIC-Dateien. PCSACC/400 bietet Ihnen die Möglichkeit, dieses schnell und effektiv durchzuführen, ohne dass Sie diese Rechte im einzelnen kennen müssen. Kontrollierte Zugriffe IBM iSeries Access für Windows - SQL/ODBC-Zugriffe, Dateiübertragung vom und zum PC - das Integrierte Dateisystem (IFS), auch über NetServer - Ausführen remoter Befehle (RMTCMD, iSeries Navigator) - Datenwarteschlangen - DRDA-ODBC Treiber Und alle Programme, die diese Schnittstellen ansprechen, wie z. B. - Walldata RUMBA Dateiübertragung vom und zum PC - ShowCase für IBM System i5 (AS/400) Dateiübertragung vom und zum PC, ShowCase ODBC, Vista, Century - DDM Dateizugriffe durch IBM System i5 (AS/400) und Clients (IBM VA RPG), Ausführen remoter Befehle (SBMRMTCMD), Remote Daten warteschlangen und Datenbereiche - TCP/IP FTP, TFTP und REXEC (RUNRMTCMD über IP) Dateizugriffe auf die OSYS.LIB, IFS-Zugriffe und die Ausführung von Befehlen für Server und Client-Zugriffe. - TCP/IP TELNET einschließlich 5250/TELNET Zugangskontrolle Zugriffskontrolle von IP-Adresse, Namenskontrolle oder Zuordnung, Generische Namen, Anzahl der Sitzungen, Autosignonkontrolle. www.PCSACC400.de Arbeitsweise des Sicherheitskonzeptes Es gibt mehrere Schnittstellenprogramme. In mehreren Datenbankdateien werden Informationen in Form von Strukturen über die Rechte des PC-, DDM- bzw. TCP/IP- Benutzer gespeichert. Dabei werden nur die erlaubten Zugriffe gespeichert. Die Verwendung eines Wochenkalenders ist bei einem Anonymousund/oder Crossover-Zugriff möglich. PCSACC/400 ergänzt sinnvoll die Arbeit einer Firewall auf einer Linux-Partition oder einem integrierten Netinity-Server. PCSACC/400 arbeitet wie ein Anwendungs-Firewall. Diese Informationen sind in Benutzer-, Bibliotheks-, Datei-, Teildatei-, IFS-Sicherheitsdaten und Informationen für Remote Befehle aufgeteilt. Der Zugriff auf Datenbankdateien kann bis zu einzelnen Teildateien (Lese- und Schreibrechte) hin kontrolliert werden. Außerdem sind TCP/IP-Adress-, Mail- und TELNET-Informationen gespeichert. Auf Dateiebene kann mit generischen Namen gearbeitet werden und die Unterscheidung bezogen auf die Anwendung (SQL/ODBC, FTP, DDM, ShowCase) ist möglich. Ab OS/400 V4R4 ist die Steuerung eines FTP/IP FTP-Serverzugriffes möglich. Sie können benutzerbezogen festlegen, ob die Anmeldung auf die QSYS.LIB mit einer current Bibliothek oder auf das IFS mit einem Home-Verzeichnis erfolgen soll. Durch die Aufteilung der Rechte auf Bibliotheks- und Dateisätze kann z. B. einerseits für eine Bibliothek eine generelle Leseberechtigung festgelegt und dabei das Zurückschreiben bzw. erstellen von Dateien untersagt werden. Andererseits können Rechte bis auf die einzelne Datei festgelegt werden. Diese Vorgehensweise ist meistens sinnvoll. Auch das Erstellen und Löschen von Bibliotheken durch SQL/ODBC (CREATE/DROP SCHEMA) wird kontrolliert. Eine SOL/ODBC-Kontrolle ist auch bei Zugriffen über die *LIBLohne Angabe einer Bibliothek möglich, die richtige Bibliothek wird automatisch ermittelt. Für DDM-Zugriffe sind zusätzliche Rechte deiniert, um Zugriffe auf die Datei (CHGPF, DLTF) steuern zu können. Überprüft werden dabei auch aktive OVRDBF-Befehle. Unterstützt werden SQL-Strings bis zu 32.512 Bytes Länge, sowie verschachtelte SELECT-Befehle. Auch bis zu 128Bytes lange Dateinamen, generische Dateinamen sowie eine Dateierstellungs- oder Formatkontrolle (Levelcheck-Parameter) sind möglich. Unterstützt sind auch die Default- Bibliothek der ODBC-Datenquelle und auch durch einen SET SCHEMA Befehl gesetzte Bibliothek. Der IFS-Zugriff über den NetServer für Windows Netzwerk Umgebungen lässt sich mit PCSACC/400 am einfachsten benutzerbezogen kontrollieren. Für die Funktion remoter Befehle RMTCMD und SBMRMTCMD können auf Benutzerebene CALLs mit Angabe von Programmnamen und Bibliothek freigegeben werden oder komplette CL-Befehle mit der Angabe, in welcher Länge geprüft werden soll. Remote CALLs durch SQL/ODBC werden kontrolliert, bei Ausführung von OCMDEXC wird der ausgeführte Befehl kontrolliert. TCP/IP FTP, TFTP und REXEC-Benutzer werden zum einen generell kontrolliert, zum anderen werden die Zugriffe auf Datenbankdateien, IFS und die Ausführung von Befehlen über zusätzliche Felder kontrolliert. ANONYMOUS-Support und die Kontrolle von IP-Adressen ist unterstützt. Eine FTP-Anmeldung mit einem internen PCSACC/400 Benutzer und auf einer IP-Adresse basierenden Kennwort ermöglicht ein Umschalten (Crossover) auf einen OS/400-Benutzer, der kein Kennwort hat. Damit ist ein Missbrauch dieses Benutzerproiles nicht möglich. Die IP-Adresskontrolle ist ab OS/400 V5R2 auch für DDM und die Hostserver (SQL/ODBC, Netserver, remote Befehle und iSeries Navigator und Data Queues) möglich, auch in Verbindung mit einem Wochenkalender. Mit der TCP/IP TELNET-Kontrolle können Sie bestimmen, von welcher IP-Adresse aus zugegriffen werden darf. Sie können den Einheiten-Namen prüfen, Einheiten-Namen zuordnen - auch generisch - und die Anzahl der Sitzungen begrenzen. Zeitlich kann der Zugriff über einen Wochenkalender beschränkt werden. Dieses gilt für alle TELNET-Zugriffe. Ein Default-Benutzer kann alle allgemein freigegebenen Objekte zugeordnet bekommen, die somit nur einmal deiniert werden müssen, z. B. die QIWS Pfade. In der Anlaufphase ist der QDEFAULT-Benutzer-Satz so eingestellt, dass nicht registrierte Benutzer automatisch registriert und alle Aktivitäten festgehalten werden (Lernphase). Damit ist PCSACC/400 in der Lage, den Ist-Status Ihres Systemes selbst zu ermitteln. Diese Daten werden mit dem Befehl CVTPCSLOG täglich in Zugriffsrechte umgesetzt. Alle Exitprogramme machen auch in der Lernphase eine volle Zugriffskontrolle und schreiben nur neue Informationen in die Protokolldateien, diese bleiben dadurch sehr klein. Gelöschter Plattenspeicher wird wieder verwendet. Durch den Testmode neuer Benutzer werden keine Zugriffe abgelehnt. Die Dateien im Sicherheitskonzept in der Bibliothek QPCS sind geschützt mit PUBLIC (*EXCLUDE). Der Zugriff ist nur über die Programme des Sicherheitskonzeptes möglich, die dazu die Rechte der Benutzers QPCS adaptieren. Damit ist der Zugriff auf diese Daten vollständig unter Programmkontrolle. Die Benutzer QPCS und OSECOFR sind dabei natürliche Hauptzugriffsbeauftragte und haben das Recht, alle Berechtigungsdaten zu ändern. Mit dem Befehl ADDPCSOWN können diese sehr einfach weitere Verwalter registrieren. Das jeweilige Schnittstellenprogramm erhält Informationen über die Art des Zugriffes und prüft über die gespeicherten Sätze, ob dieser Zugriff erlaubt werden kann. Fehlerhinweise werden angezeigt oder an den Benutzer gesendet. Zusätzlich können diese Hinweise an einen zentralen Benutzer z. B. OSYSOPR (lokal oder im Netz) gesendet werden. Damit haben Sie eine einfache und nicht zu umgehende Kontrolle aller Zugriffe von IBM iSeries Access für Windows-, DDM-, TCP/IP FTP, TFTP, REXEC und TELNET-Benutzern, auf die Daten Ihres IBM System i5 (AS/400. www.PCSACC400.de Weil diese Überwachung auf der IBM System i5 (AS/400-Seite gesteuert durch Systemfunktionen erfolgt, können PC-Zugriffe lokal oder remote über APPN-Netzwerk oder TCP/IP, Zugriffe über DDM oder TCP/IP Server- und Client-Zugriffe diese Kontrollen nicht umgehen. PCSACC/400 bietet eine Untermenge der IBM i5/OS (OS/400)Rechte. Zu viele Zugriffsberechtigungen können eingeschränkt werden. Hat ein PC-Benutzer keine Rechte an einem IBM i5/OS (OS/400)-Objekt, wird der Zugriff vom IBM i5/OS (OS/400) abgelehnt, ohne das jeweilige Schnittstellenprogramm überhaupt aufzurufen. Auch in der Aufzeichnungs-Phase (Lernphase) ist ein sofortiger Überblick über alle aufgezeichneten Zugriffe möglich, dabei kann nach Namen gesucht werden. Aus den aufgezeichneten Daten kann man mit WRKJOB direkt in aktive Serverjobs verzweigen. Alle Auswertungen sind per Befehl möglich. Neue Benutzeransätze können per Befehl angelegt werden, diese Funktion kann in vorhandene CL-Programme eingebunden werden. Die Belegung der Dateien der Bibliothek QPCS kann ausgedruckt werden. Aufgezeichnete Zugriffsinformationen können direkt in Zugriffsrechte umgesetzt werden. In der Produktionsphase können so einzelne abgewiesene Zugriffe sehr einfach durch Eingabe eines ‚S‘ in der Anzeige der Protokolldaten in Zugriffsrechte für den Benutzer umgesetzt werden, mit der Auswahl ‚G‘ zu einer bestehenden Gruppe. Zugriffe können dabei auch sofort *PUBLIC gemacht werden, dieses kommt speziell bei Befehlen oft vor. Die Reorganisation ermöglicht zeitgesteuert die Entfernung aufgezeichneter Informationsdaten. Gelöschter Plattenspeicher wird immer sofort wieder verwendet. Eine mehrstuige Zugriffshierarchie begrenzt die zu speichernden Informationen auf das Notwendigste. Bis zu 5 Benutzergruppen sind möglich. Die Konsolidierung von Benutzern zu Benutzergruppen ist sehr einfach möglich. Unterstützt Ihre 5250-Emulation keine Radio-Buttons? Dann ist eine Ersatzfunktion über die Benutzereigenschaften verfügbar. Umfang des Programmpaketes PCSACC/400 ist komplett mehrsprachig und unterstützt die Sprachen Deutsch 2929, Deutsch International 2939 und US Englisch 2924. Die wesentlichen Bestandteile sind zum einen die Schnittstellenprogramme mit dem Programm PCSNETA zum aktivieren/ Deaktivieren dieser Programme und die Verwaltungsprogramme. Zum anderen ermöglicht das Plegeprogramm CHGPCS den Aufbau und die Verwaltung der Berechtigungsstrukturen und ist nur durch berechtigte Benutzer aufrufbar. Es ist sehr umfangreich, ermöglicht aber durch die Markierung der angezeigten Benutzer (kontrollierte Benutzer in Blau, nicht kontrollierte Benutzer in Grün und gesperrte Benutzer in Rot), durch eine Aktivierung/ Deaktivierung/Testaktivierung mit einer Eingabe ‚A‘/‘U‘/‘T‘ und durch zusätzliche Auswertungen einen guten Überblick über die gespeicherten Berechtigungen und ist einfach zu bedienen. Alle Änderungen werden sofort wirksam. In der Anzeige ist leicht zu erkennen, welche Benutzer z.B. Datenbankrechte gespeichert haben, durch den Text ‚DB‘ in weiß im rechten Bildschirmbereich. Es können in der Anzeigeauswahl umfangreiche Selektionen getroffen werden und z.B. nur Benutzer mit IFS-Berechtigungen angezeigt werden. Die Oberläche ist übersichtlich. Verzweigungen sind über Radio-Buttons möglich. Das Verwaltungsprogramm ist über die Eigenschaften des Verwalters individuell anpassbar. Unterschieden wird zwischen normalen Endbenutzern *USER, Gruppen *GROUP, Verwaltern *ADMIN, Kontrolleuren *CONTR, Anonymous-Benutzern *ANONY, Crossover-Benutzern *CROSS, Kundenschablonen *TEMPL und PCSACC/400-Schablonen *PCSACC. Eine umfangreiche Online-Dokumentation stellt an jeder Stelle der Programme feldsensitiv die erforderlichen Detail-Informationen zur Verfügung. Außerdem gibt es ein Online-Bedienerhandbuch. Dieses kann jederzeit angezeigt und auch ausgedruckt werden. Weitere 25 Themen sind über unsere Homepage verfügbar. Installation Die Auslieferung erfolgt per CD-ROM oder durch Download einer Saveile über das Internet. Die Installation erfolgt als OSECOFR oder als Mitglied der Klasse *SECOFR. Das Programmpaket ist über eine Lizenznummer kopiergeschützt, die nach Auslieferung des Lizenzprogrammes über einen Vordruck angefordert werden muss. Zum Abschluss der Installation ist die Eingabe dieser Lizenznummer erforderlich. Danach wird das Programmpaket über das Plegeprogramm CHGPCS aktiviert und beginnt mit der Registrierung der Benutzer und der Aufzeichnung aller Aktivitäten. Dabei werden die Zugriffe auch in der Lernphase kontrolliert und nur neue Zugriffe protokolliert. Diese werden täglich mit dem Befehl CVTPCSLOG in Zugriffsrechte umgewandelt. Nach einigen Tagen oder Wochen können die gespeicherten Zugriffsrechte der Benutzer überprüft werden und danach wird der Benutzer mit der Auswahl ‚A‘ auf kontrolliert geschaltet. Nicht gespeicherte Zugriffe werden jetzt abgelehnt. Die Lernphase und die echte Kontrolle können parallel aktiv sein. Sie können so Benutzer für Benutzer überprüfen und aktivieren ohne zeitlichen Stress. www.PCSACC400.de Bestellhinweise Voraussetzungen PCSACC/400 setzt IBM OS/400 V4R3 voraus und wurde mit allen Releasen bis IBM i5/OS V6R1 getestet. Sie können PCSACC/400 auf folgende Art und Weise bei uns bestellen: Der erforderlicher Plattenspeicher für die Bibliotheken QPCS, - per Fax oder Post, faxen bzw. schicken Sie uns dazu bitte das QPCS2924, OPCS2929 und QPCS2939 mit insgesamt über 400 Bestellformular am Ende des Flyers zurück. Objekten beträgt ca. 70 MB. - über unsere Website www.pcsacc400.de, gehen Sie dazu bitte auf den Menüpinkt DOWNLOAD und füllen die Felder Während des Betriebes ist der erforderliche Plattenspeicher von entsprechend aus der Anzahl der gespeicherten Informationen abhängig. - per E-Mail, indem Sie uns eine Bestellanfrage schicken und wir Ihnen die nötigen Unterlagen zukommen lassen. Ausbildung Wir unterstützen Sie gerne kostenfrei telefonisch während der Installation/Aktivierung und danach bei dem Arbeiten mit den gespeicherten Informationen, damit Sie schnell mit dem Programm vertraut werden. Bitte beachten Sie auch unsere 2-tägigen, kostenplichtigen Workshops. Termine und Reservierung über Frau Dagmar Luda, Tel. +49 (0) 6151 496211. Fax: +49 (0) 6151 496212 Email: [email protected] Eine Ausbildung ist keine Bedingung für den Einsatz von PCSACC/400, erleichtert aber sehr das Arbeiten mit PCSACC/400. Wir bieten Ihnen eine 2-tägige Sicherheitsüberprüfung Ihrer AS/400 mit Installation und Einführung in PCSACC/400 in Ihrem Hause für Euro 2.200 an. Preis Der Preis beträgt einheitlich für alle Modelle Version 4 4.500,- Euro + 1,5 % Wartung/monatlich Preise zuzüglich gesetzlicher Mehrwertsteuer Testversionen sind möglich Es besteht folgende Mengenrabattstaffel: Systeme 2-4 5-9 ab 10 Nachlass 10 % 15 % 20 % Der Mengenrabatt gilt für Lizenz und Wartung. Bei LPAR-Systemen ist neben einer Basislizenz für jede weitere Partition eine Zusatzlizenz erforderlich. Der Preis für die Zusatzlizenz ist gleich dem Preis der Basislizenz. Der Preis ist für alle IBM System i5 (AS/400)-Modelle gleich. Pro gekaufter Lizenz erhalten Sie eine Lizenznummer für ein IBM System i5 (AS/400), basierend auf der Seriennummer. Der Lizenzcode enthält einen Wartungszeitraum von 12 Monaten und wird jährlich um weitere 12 Monate verlängert. Die Verwendung des Namens QPCS für Benutzerproil und Bibliothek ist für dieses Produkt von IBM Rochester geschützt. www.PCSACC400.de Lieferung einer Testversion von PCSACC/400 Telefonische Nachfragen unter +49 (0)4163 811771 Bitte per Fax +49 (0)4163 812828 oder per Post zurück an: Busch & Partner IBM Advanced Business Partner 158 Osterberg 21739 Dollern Bitte korrigieren / ergänzen Sie hier ggf. ihre Anschrift: Vorname/Name: Bereich/Funktion: Internet www.PCSACC400.de www.PCSACC400.com Firma/Branche: Straße/Nr.: PLZ/Ort: Telefon: Fax: E-Mail-Adresse: Testbeginn ab: Bitte füllen Sie diesen Fragebogen aus und senden Sie ihn an obige Anschrift. Sie erhalten dann eine Version von PCSACC/400 mit einer Copyright-Nummer für ca. zwei Monate zum Testen. PCSACC/400 läuft ab V4R3. Bitte sorgfältig ausfüllen, diese Werte dienen zur Berechnung der Copyright-Nummer. Hinweis: Nullen bitte durchstreichen. IBM System i5 (AS/400) Seriennummer (DSPSYSVAL QSRLNBR) Partition Modell Installiertes Release IBM i5/OS (OS/400) _____ V5R1 _____V5R2 _____ V5R3 _____ V5R4 _____ V6R1 Wir planen den Einsatz von Release __________ ab ca. _______________ . Preisliste PCSACC/400 Alle Preise gelten für eine Partition. Bestandteil des Lizenzkeys sind die Seriennummer des IBM System i und die Partition-Nummer. Art der Lizenz Eine Lizenz Backup-Partition Lizenz für eine Entwicklungs-Partition Lizenz für 20 Benutzer * Lizenz für 30 Benutzer * Graische Oberläche ** Lizenzpreis (Einmalig) 4.500 € 2.700 € 3.375 € Wartungskosten (Monatlich) 2.500 € 3.500 € 1.000 € 1,5 % vom Lizenzpreis * Bei einer Lizenz für 20 oder 30 Benutzer steht die graische Oberläche und die TELNET Verwaltung nicht zur Verfügung. Als Benutzer wird jeder Benutzer-, Verwalter- und Kontroller-Satz in PCSACC/400 gezählt, der kontrolliert wird und/oder bei dem Zugriffe aufgezeichnet werden. ** Bedingung für die graische Oberläche ist der IBM Websphere Application Server 5.1 oder höher. Außerdem benötigen Sie für jeden Arbeitsplatz eine IBM HATS 7.01 Lizenz. Eine Lizenz ohne monatliche Wartung ist nicht möglich. Der Rechnungsmonat und die beiden Folgemonate sind wartungskostenfrei. Alle Preise in Euro zuzüglich der gesetzlichen Mehrwertsteuer. www.PCSACC400.de Busch & Partner IBM Advanced Business Partner Osterberg 158 21739 Dollern Inhaber & Geschäftsführer: Rolf Busch 21739 Dollern (Germany) Tel. +49 (0)4163 811771 Fax +49 (0)4163 812828 Mobil +49 (0)171 2228689 E-Mail [email protected] Layout & Design des Produktlyers: Benjamin & Tim Busch www.PCSACC400.de AUSZUG AUS DV-Dialog | Au sgabe 1-2|2008 M I T SI CH ERH EI T N I CH T AU F D EM TROCK EN EN SI TZ EN W ie Trinks durch wirksamen Zugriffsschutz bei den wichtigen IT-Systemen für eine reibungslose Getränkelogistik sorgt VON TIM BUSCH d er d azu au f ein h et ero gen es IT-Um feld set zt . Alle zen t ralen An wen d u n gen lau fen au f ein em i5 -M o d ell 5 5 0 , d as – d a d as u f d em Trocken en sitzen wü rd en weit e Teile Deu t sch lan d s, wü rd e es Firm en wie Trin ks n ich t geben . Die Phasen Initialisierung, Das Trad it io n su n t ern eh m en m it Implementierung und Test Hau p t sit z in Go slar wu rd e bereit s 1735 in Berlin gegrü n d et u n d blickt au f 270 Jah re dauerten sechs Wochen Erfah ru n g im G et rän kegesch äft zu rü ck. Fast 1.500 Mitarbeiter sorgen in 15 Nied erlassu n gen in Deu t sch lan d d afü r, d ass d er Th em a H o ch verfü gb arkeit im H au se gro ß H an d el u n d d ie G ast ro n o m ie zu verlässig, gesch rieb en wird – gesp iegelt ist . Au ch d ie sch n ell u n d sich er m it Pro d u kt en vo n System e d er Nied erlassu n gen au f ein em iSeh öch ster Qu alität versorgt werd en . ries-Mod ell 825 sin d eben falls in Goslar staDarau s resu lt ieren lo gist isch e An fo rd eru n - t io n iert u n d eb en falls au s G rü n d en d er gen , d ie m it m od ern er IT bewältigt werd en . Hoch verfü gbarkeit gesp iegelt. Dan eben setzt „ Die IT m u ss d azu sch n ell, zu verlässig u n d – Trin ks ein n orm ales Win d ows-Um feld u n ter vo r allem – sich er gesch ü t zt arb eit en “ , er- Ein bezieh u n g von Lotu s Notes ein . klärt Detlef Wasch ke, Leiter d er IT-Software- Diese IT-In frast ru kt u r so ll – m ö glich st p eren twicklu n g beim Geträn kelogistiker Trin ks, fekt – gegen u n erwü n sch t e Zu griffe, Miss- A b rau ch o d er verseh en t lich e Feh lb ed ien u n gen gesch ü tzt sein , oh n e d ass d er Zu griff au f d as zen t rale Syst em vo n d en Nied erlassu n gen au s u n n ötig ersch wert wird . Vo n An fan g an h at m an b ei Trin ks d ah er d er in t ern en Syst em sich erh eit grö ß t m ö glich e Priorität ein geräu m t. Der Ein satz ein er Secu rit y-Lö su n g w ar u n u m gän glich , d a m an et w aige Pro b lem e sch n ell erken n en u n d von vorn h erein im Griff h aben wollte, beisp ielsweise d en Zu griff au f firm en sen sible Daten . In sbeson d ere sollten u n kon trolliert e Up - b zw. Do wn lo ad s vo n Dat en verh in d ert werd en , eben so aber au ch gewollte u n d u n gew o llt e Dat en m an ip u lat io n en . Sch lu ssen d lich m u ssten d ie System e n atü rlich au ch vor d em Zu griff von au ß en d u rch ein e Firewall gesch ü tzt werd en . Hier sei ku rz an gefü h rt , d ass n at io n al/ in t ern at io n al o ft Kon zern vorgaben wie etwa Basel II im Ban ken bereich , SOX (Sarban es-Oxley Act), eben AUSZUG 2 au f Ko n zern eben e, o d er au ch d ie Frage d er Versich eru n gsh aft u n g im Wo rst -C ase, ein Han d eln erford ern . Der an d ers n ich t kon trollierbare Zu griff au f d ie O S/ 4 0 0 -Dat en b an ken h at vo r d iesem Hin tergru n d letzten d lich bei Trin ks zu r Ein fü h ru n g ein er OS/ 400-basierten Sich erh eitsso ft w are gefü h rt : Die Zu t rit t ko n t ro llso ft ware PCSACC/ 400 vo n d er Firm a Bu sch & Partn er. Das u m gan gssp rach lich oft „ Bu sch To o l“ gen an n t e Paket b iet et u .a. Ko n t ro ll- zwei Wo ch en in t en siv gep lan t u n d u m gesetzt.“ Betreu t wird d ie Software h eu te von zwei Mitarbeitern , wobei au ch h ier d as Prin zip d es Ho t -Backu p b eib eh alt en wu rd e, d a in sgesam t vier Mit arbeit er im Um gan g m it d em Prod u kt gesch u lt sin d . „N ach vern ü n ft iger Plan u n g u n d Ein rich tu n g zieh t d er Ein satz von PCSACC/ 400 kein en groß en Meh rau fwan d im Tagesgesch äft n ach sich , d a d ie Pflege d er Zu griffe im Prod u kt d u rch klare Vo rgab en gest eu ert ist “, zieh t Wasch ke Bilan z. Dabei h abe m an n u n ein en klaren Vo rt eil d u rch d ie Mö glich keit Ben u t zer- o d er Sich erh eit sgru p p en ein zu rich ten , ü ber d ie d er Zu griff gesteu ert wird . „Dam it kö n n en w ir ein gro ß es Feld vo n Usern ein fach u n d ü b ersich t lich st eu ern u n d kon trollieren “, stellt d er Leiter d er Softwareen t wicklu n g h erau s. „Au ß erd em kö n n en wir d en Ursp ru n g von Daten m an ip u lat io n zu rü ckverfo lgen u n d d ab ei n eb en d er Jou rn alfu n ktion bis in d ie Bereich e d er Datei/ Teild ateieben e seh r stark in d ie Tiefe geh en , wen n es n ö t ig ist .“ Gen erell t en d iere d er Au fw an d , d en d er Ein sat z d ieser So ft ware n ach d er Ein fü h ru n g in d u ziert „gegen N u ll, d a sie seh r gu t zu b ed ien en u n d lo gisch au fgebau t ist.“ < ÜB ER PCSACC/400 Sicherheitsrisiken schnell erkennen und minimieren m ö glich keit en fü r Zu griffe m it IBM iSeries Access fü r W in d o ws (via SQ L, O DBC o d er JDBC), Dateiü bertragu n g vom / zu m PC, IFSZu griffe, d as Au sfü h ren rem o t er Wart esch lan gen (RM TC M D, iSeries N avigat o r). Dat en w art esch lan gen b zw. Dat en b ereich e kö n n en d am it gen au so gu t u n d ein fach ko n t ro lliert w erd en w ie z.B. Zu griffe ü b er Ru m b a/ 4 0 0 -,Sh o w case-, DDM -, TC P/ IP,TFTP, REXEC o d er TC P/ IP Teln et (in kl. 5250/ Teln et ). Die zen t rale St eu eru n g d es System s in ein em Program m u n d d ie d am it verb u n d en e Üb ersich t aller wich t igen Fu n kt io n en au f ein en Blick m ach t lau t Wasch ke d as Arb eit en seh r an gen eh m , eben so d ie Au fzeich n u n g d er Daten ban kan ford eru n gen im „T“-estbetrieb. Hierbei wird gewäh rleistet, d ass d ie Prod u ktivu m gebu n g bei d er Ein fü h ru n g d es System s kein en Sch ad en n im m t . Au ch d ie Mö glich keit , d ie Zu griffskon trolle im Green Screen -Mod e zu ad m in istrieren (ein e grap h isch e Version ist fü r 2008 gep lan t), sch ätzt Wasch ke seh r. „Die In it ialisieru n g, Im p lem en t ieru n g u n d d ie Testp h ase sch lu gen m it sech s Woch en zu Bu ch e“, erin n ert sich Wasch ke an d ie Ein fü h ru n g d er Sich erh eitssoftware. „An sch ließ en d w u rd e d ie Berech t igu n gsst eu eru n g Die Software erlaubt nur Zugriffe, die in einer Sicherheitsdatenbank gespeichert sind. Objektberechtigungen werden nicht verändert, alle bisherigen Programme unter i5/ OS (bzw. OS/ 400) laufen problemlos weiter. Dennoch wird in kürzester Zeit eine absolute Kontrolle über alle Zugriffe auf DB2/ 400-Daten möglich. Die Installation ist einfach; Zugriffe werden automatisch aufgezeichnet und täglich in Zugriffsrechte umgesetzt. Dadurch lernen die Überwachungsprogramme und protokollieren nur noch neue Zugriffe. Deshalb bleiben die Protokolldateien klein, auch weil gelöschter Plattenplatz wieder verwendet wird. Dabei können die einzelnen Datenrechte zugeordnet werden, und die Kontrolle ist bis zur Teildatei möglich. Neben Datenbankzugriffen werden auch IFS-Zugriffe kontrolliert, ebenso Befehle durch PCs und remote System i5- bzw. AS/ 400-Server, Datenwarteschlangen, TCP/ IP FTP-Datenbankzugriffe und TelnetSitzungen (5250/ TELNET). PCSACC/ 400 basiert auf OS/ 400 V4R3 und wurde bis V5R4 getestet. Desweiteren ist die Software komplett mehrsprachig und unterstützt Deutsch 2929, Deutsch International 2939 und US Englisch 2924. www.pcsacc400.de DV-Dialog 1-2/ 2008 | 16. Jan u ar 2008