Prinzipiell lässt sich fast alles mit Bordmiteln lösen ,aber ....

Vorgehensweise :
Erst Objektschutz dann Schutz der Zugriffsmethoden.

Höchstwahrscheinlich wirst schon bei der Betrachtung folgender Punkte Probleme haben :

1. Berechtigungen prüfen (Objektschutz)
-hat irgend ein AS/400-Anwender direkten Zugriff auf deine Anwendungsdaten, sind alle zugehörigen Bibliotheken und Objekte bzw. IFS-Files geschützt
- generell sollte nur Anwendungslogik veränderlichen Zugriff auf deine Daten haben, aber auch rein lesender Zugriff könnte ein Problem sein.(Wer lesen kann kann auch mitnehmen). Dies wir erreicht mit einem speziellem Anwendungsprofil, welche allein Rechte an den Daten hat. Alle Anwendungen müssen dann unter diesem Profil laufen. (Konzept: adopted authority)
- bei IFS-Daten wird es noch etwas komplizierter, hier wird kein adopted authority unterstützt (ggf. Konzept: swap userprofil)
- Hast du eine Anwendungssoftware (z.B. ERP-System) eines Drittanbieters im Einsatz, ist es oft nicht einfach ein solches Berechtigungkonzept umzusetzen. Hier hilft es nur auf den Anbieter hinzuwirken, dies umzusetzen.

2. Zugriffsmethoden prüfen
Um auf die Daten zuzugreifen bzw. sie zu verändern, gibt es mehrere Methoden :
RMTCMD (LMTCPB im USRPRF wird hier ignoriert), SQL(ODBC/JDBC), FTP, DDM/DRDA, SMB(NETSERVER)
Diese Dienste kannst du Zu- oder Abschalten oder gar nicht erst starten.

Wenn du Punkt 1. nicht konsequent umsetzt, hasst du mit Bordmitteln keine Möglichkeit die Zugriffe unter Punkt 2. zu verhindern.
Es sei denn du schaltest mit ENDTCPSVR bzw. ENDHOSTSVR diese Zugriffmöglichkeiten systemweit ab.

Zusätzliche Sicherheitssoftware (wie PCSACC/400, Pentasafe etc.) kann i.d.R. nur den Zugriffschutz auf der Zugriffsmethode (FTP, SQL etc.) erweitern, und damit den nicht vorhandenen Objektschutz ergänzen. Ausserdem lassen sich damit ggf. Sicherheitslücken aufdecken, die ich dann manuell oder automatisch schliessen kann, entweder innerhalb dieser Software oder auf OS/400 Objektebene.


Sven