1964年4月推出的System/360是自1952年大型機701出現以來IBM的第一個基本電子計算機重組。雖然現在的大型機比1980年代少，但大型機仍然是最大型企業(特別是零售商)核心IT基礎設施的重大組成部分，然而很少有人了解大型機數據安全的重要性。

[[121498]]

現在大型機應用的廣泛程度?讓我們看看IBM提供的數據：在2013年，65家全世界最大銀行以及世界最大零售商(但前25名美國零售商只有一家)都在使用大型機;世界上80%的企業數據仍然由大型機管理;三分之二的美國銀行業務交易在大型機上運行。

PCI DSS合規性評估

支付卡行業數據安全標準(PCI DSS)的主要重點是對持卡人數據的保護。PCI DSS為在任何平臺存儲、處理或傳輸的持卡人數據提供所需的控制。然而，很多商家目前沒有針對PCI DSS合規性對很多大型機進行正確地評估。

現在，很多QSA、商家和服務提供商對大型機的PCI DSS評估采取混亂的做法。他們要么認為大型機不在范圍內—由于其始終安全，或者如果他們無法因為它被視為榮耀文件服務器而將其排除在評估范圍外，他們會決定所有應用環境現在都在范圍內。

讓我們來討論大型機的固有安全控制，以及如何對持卡人數據環境內的大型機應用PCI DSS要求。

外部安全管理系統

大型機有三個外部安全管理系統(ESM)用于數據和訪問保護：IBM的RACF、CA-TopSecret和CA-ACF2。沒有經過培訓或者很少接觸大型機平臺的評估者會運行RACF DSMON、TopSecret TSSAAUDIT報告或ACF SHOW ALL命令—在操作系統水平提供全球安全選項，但這樣做仍然無法為持卡人數據提供足夠的保護。第三方安全監控和保護產品(例如來自Vanguard或CA的產品)可以提供幫助，但即使如此，這些產品主要運行在操作系統水平，可能無法足以對持卡人數據進行全面的PCI DSS合規性評估。

為什么大型機安全控制審查很重要?現在大多數支付都會接觸大型機或者在大型機處理，無論商家或服務提供商是否意識到這一點。

自20世紀80年代以來，針對大型機的ESM已經變得功能豐富、強大以及昂貴。因此，很多QSA較少關注大型機上的PCI持卡人數據。他們認為大型機因為ESM而非常安全，他們更愿意專注于無處不在的服務器環境，服務器環境誠然需要關注。然而，ESM安全功能是安裝可選的。這意味著安裝可以選擇激活它們，或者不激活。安全專家和執行大型機ESM評估的IT審計員往往會發現這些功能被關閉，出于性能、成本和不便等原因。這不僅影響PCI合規性，而且讓這些系統中的持卡人數據處于危險之中。

了解PCI DSS大型機要求

忽視并不是一種控制。沒有了解大型機安全架構并不是忽視它們或者證明不安全大型機中持卡人數據風險很小的有效理由。假設沒有多少人知道如何利用大型機漏洞是不明智的做法，這可能預示著壞事情的發生。大多數QSA和滲透測試人員沒有大型機的背景，因此不知道如何利用哪怕是最簡單的漏洞。但請記住，攻擊者需要的只是一次成功漏洞利用。

下面是PCI DSS對大型機的要求以及應該如何在持卡人數據環境內的z\OS子系統應用這些要求。這并不是詳盡的清單，但這代表著被忽視z\OS環境的各個方面：

總結

PCI DSS并沒有對安全采取全面的做法。在前PCI DSS信息安全世界，這12個要求涵蓋了被認為是全面而基本的安全要求。PCI DSS提出的持卡人數據保護不應該被有條件地排除，因為持卡人數據環境尚未完全了解。這還包括發行和收購金融機構，其支付處理主要是大型機，但這又是一個被忽略的話題。