第334期 / August 5, 2025
分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

[產品介紹] HPE NonStop資安軟體產品XYPRO(XUA) (上)

作者/張育賓

[發表日期:2025/8/5]

作者簡歷

作者現職凌群電腦NSK服務總處系統工程師,主要負責HPE NonStop之證券、期貨、銀行客戶交易系統維運服務、軟體產品整合服務,專長為HPE NonStop系統整合。

前言

在現今的時代隨著科技持續進步,駭客與網路攻擊的威脅日益加劇,無論是企業還是個人對資安防護的重視程度也隨之提升,各產業對資訊安全的相關規範日趨完善與嚴謹。HPE NonStop系統本身具備完整的資安產品與解決方案,可有效維護企業資訊安全。而HPE的重要合作夥伴XYPRO,長期專注於為NonStop系統打造資訊安全的工具,其推出的XYGATE產品涵蓋多個模組,能為HPE NonStop系統提供嚴密且全面的資安防護。本文將深入介紹XYPRO產品中的XYGATE User Authentication (XUA),以下簡稱XUA。

資安軟體產品XUA說明

XYGATEUA目的是加強Safeguard上使用者驗證的需求,在NonStop系統上原生的安全功能進一步擴充,提供以下增強功能:
  • Multi-factor authentication。
  • Sophisticated error management options。
  • Logon-specific audit reporting。


資安軟體產品XUA架構

XUA為NonStop系統提供了更為強大且彈性的用戶登入規則,XUA是一個SEEP(Security Event Exit Process)Process,與Safeguard的$ZSMP Process密切合作運作。當有登入請求時Safeguard會將請求轉交給負責驗證的XUA。

XUA會根據設定在UACONF與UAACL檔案中的規則來判斷是否允許登入,同時XUA會依據UACONF檔案中的設定來紀錄Audit LOG FILE,在登入過程中,若使用者有變更密碼的請求,XUA會將該請求轉送至XPQ(若有安裝),XPQ是XYPRO提供的密碼強度檢查工具,此外XUA也會查詢Safeguard的Global設定,並使用其中的欄位值(除了UACONF中已指定的欄位外)。



資安軟體產品XUA功能介紹
  • Easy to Maintain:XUA支援使用者設定檔,這讓使用者與Alias可以群組功能進行分組管理,透過ACLGROUPs,您只需進行一次設定,即可套用至整個群組。

  • User-Specific Logon Control:XUA可讓您針對每個使用者個別設定以下登入控制項目,「也可以設定成global」。
    A.PASSWORD_REQUIRED:是否強制要求使用者設定密碼。
    B.PASSWORD_MAY_CHANGE:是否允許使用者變更密碼。
    C.AUTHENTICATE_FAIL_FREEZE:登入失敗達上限時是否凍結帳號。
    D.AUTHENTICATE_FAIL_TIMEOUT:登入失敗後鎖定帳號多久時間。
    E.AUTHENTICATE_MAXIMUM_ATTEMPTS:允許最大登入失敗次數。

  • Ancestor-Specific Logon Control:XUA可根據發出登入請求Process來源來進行登入控制設定,可以依據是哪個不同程序啟動登入動作,來套用不同的驗證條件或限制。例如TACL、FTP、應用程式等。

  • Port-Specific Logon Control:XUA可指定特定的Port進行登入控制設定,可以使用IP或終端機(Terminal Name)來指定Port。

  • Requestor-Specific Logon Control:XUA可根據發出登入請求目標檔案(Object File)來進行登入控制設定,可以針對不同object file(例如特定應用程式或工具)設定不同的登入驗證策略。

  • Time-Based Logon Control:XUA可根據一天中的特定時段來限制使用者登入,可以透過以下兩種方式進行時間限制設定。
    A.在UAGROUP中使用TIME Keyword。
    B.使用TIMEGROUP,集中管理多個時間區段的登入策略。

  • Impersonation Feature:模擬身分功能讓使用者在不共用敏感帳號(例如255,255)的情況下,登入像Prognosis這類GUI應用程式。

  • LDAP Authentication:XUA可設定將NonStop伺服器上的使用者驗證導向LDAP資料庫,使NonStop系統整合進SSO架構。

  • RSA SecurIDR Authentication:這表示使用者在登入NonStop系統時,必須通過RSA SecurID的雙重驗證程序。

  • RADIUS Authentication:XUA可設定為與RADIUS驗證整合運作。

  • Multi Factor Authentication:XUA的多因素驗證(MFA)功能可整合至現有應用程式中。

  • Mapping NonStop IDs to Alternative Authentication Databases:XUA提供將NonStop系統使用者資料庫對應至其他驗證資料庫的能力,例如LDAP、RSA SecurID或RADIUS。

  • XUA Provides Testing Tools:XUA包含一項「假設性測試(What-if)」功能,可讓您在登入規則實際投入生產環境前進行測試,這項功能可以模擬使用者登入情境,驗證目前的設定是否正確套用,而不會對系統或實際帳號造成任何影響。


參考資料

XYGATE® User Authentication™ (XUA) Reference Manual
XYGATE® Merged Audit™ (XMA) Reference Manual
XYGATE® Security and Access Control Reference Manual