Средства обеспечения безопасности

Альтернативы применения паролей

В среде z/OS RACF допускает ряд альтернативных возможностей использования паролей:

• предоставляет рабочим станциям и клиентским машинам в среде клиент-сервер возможность задействовать <билет передачи> (Pass Ticket) вместо пароля. Pass Ticket может быть сгенерирован RACF или другой авторизованной функцией и применяться только один раз на данной компьютерной системе в пределах десяти минут после порождения;
• использование карты описания оператора (OIDCARD) вместо или помимо пароля в течение терминальной сессии. Требование от пользователя не только знания пароля, но и предоставления OIDCARD дает дополнительную гарантию того, что идентификатор пользователя был введен истинным пользователем;
• в среде z/OS Unix System Services, где пользователи идентифицируются с помощью числовых идентификаторов UID и групповыми идентификаторами GID, последние также могут использоваться RACF для управления доступом к системным ресурсам. В отличие от имен пользователей и групповых имен, эти числовые идентификаторы могут использоваться несколькими пользователями или группами одновременно, хотя такое совместное применение не рекомендуется;
• в среде клиент-сервер RACF может отображать цифровые сертификаты клиентов на пользовательские идентификаторы. Цифровые сертификаты или цифровые ID, выдаваемые администратором сертификатов (Certificate Authority) содержат информацию, которая, подобно паспортной системе, уникально идентифицирует клиента.

Например, IBM HTTP Server for z/OS отождествляет клиентов, используя клиентские сертификаты, на защищенной SSL-сессии. При этом НТТР-сервер передает клиентский цифровой сертификат системе z/OS Unix System Services для подтверждения, которая далее передает сертификат RACF для поиска пользовательского IP из профиля отображений в БД RACF. Таким образом, доступ к защищенным Web-страницам или другим ресурсам осуществляется без ID и пароля пользователя.

Авторизация пользователя для получения доступа к ресурсам

После идентификации и проверки полномочий пользователя RACF осуществляет контроль взаимодействия между пользователем и системными ресурсами. RACF по запросу менеджеров ресурсов определяет не только то, какие пользователи могут получить доступ, но и уровень доступа, например, READ (для чтения, отображения или копирования ресурса) или UPDATE (для записи, модификации или передачи ресурса). Уровни доступа организованы в RACF иерархически. Так, UPDATE включает READ и т.д.

Для выполнения задач авторизации RACF использует макрос RACROUTE=AUTH. Пользователь получает доступ к ресурсу после выполнения следующих действий:

1. Контроля профилей на предмет наличия у пользователя соответствующих прав. Наборы данных z/OS защищены профилями класса DATASET.
2. Проверки категорий (классов) защиты, установленных для пользователей, и данных. Сначала RACF сравнивает уровень защиты пользователя и профилей защиты. При этом если ресурс имеет более высокий уровень защиты, чем пользователь, то RACF отклоняет запрос. Затем RACF сравнивает список категорий доступа в профиле пользователя со списком категорий в профиле ресурса. Если последний содержит категорию, которой нет в профиле пользователя, запрос также отклоняется.
3. Предоставляет пользователю доступ к ресурсу, если удовлетворяется любое из условий:
   • ресурс является набором данных и префикс высшего уровня соответствует идентификатору пользователя;
   • идентификатор пользователя имеется в списке доступа с достаточными правами;
   • достаточный уровень полномочия по доступу (universal access authority).

Регистрация и составление отчетов

Идентифицировав и проверив полномочия пользователя и установив затем ограничения на доступ к ресурсам, RACF производит регистрацию попыток пользователей получить доступ к системе и защищенным ресурсам, ввода команд RACF, а также составляет отчеты с информацией обо всех попытках получения доступа к защищенным ресурсам. RACF регистрирует эти события главным инструментом z/OS - SMF (System Management Facility) 80-го типа записей.

Управление защитой

Требования к защите изменяются в зависимости от потребностей конкретной системы обработки данных. RACF позволяет удовлетворить требования к защите для каждой отдельной системы обработки данных, предоставляя возможность выбрать конкретный способ управления защитой из ряда возможностей: гибкое управление доступом к защищенным ресурсам; защита ресурсов, описанных при инсталляции; возможность сохранять информацию для других программных продуктов; выбор централизованного или децентрализованного управления профилями; простые в применении панели ввода RACF-команд ISPF (Interactive System Productivity Facility); прозрачность для конечных пользователей, которые не обязаны знать о том, что RACF защищает их данные; возможность использования программ выхода, написанных для каждой конкретной инсталляции; текущий контроль защиты данных; составление отчетов RACF.

Гибкое управление

RACF позволяет системе обработки данных устанавливать собственные правила для осуществления контроля доступа к ресурсам. Она может определять, что является защищенным, на каком уровне и кто имеет право получить доступ к защищенным ресурсам. Благодаря гибкой структуре RACF любая информационная система может настроить RACF на взаимодействие со своей операционной средой. Благодаря возможности настройки управления защитой при инсталляции каждая информационная система может адаптировать средства RACF под свои потребности защиты.

Защита ресурсов, описанных при инсталляции

Кроме предварительно определенных ресурсов, таких как наборы данных, мини-диски, терминалы и транзакции, определенные для IMS/ESA и CICS/ESA, RACF позволяет вычислительной системе защищать свои ресурсы, описанные при инсталляции. Наличие такой возможности существенно увеличивает гибкость управления ресурсами, которые могут быть защищены в вычислительной системе.

В среде с системно-управляемой памятью RACF позволяет администратору памяти управлять использованием классов данных и памятью, а также дает возможность передавать информацию другим программным продуктам.

RACF обеспечивает сохранение информации, необходимой для других продуктов, если эта информация относится к тем пользователям или ресурсам, с которыми взаимодействует такой продукт. Например, RACF может сохранять информацию в профилях:

• пользователя для последующего применения ее TSO/E;
• наборов данных, групп и пользователей для применения ее DFSMS;
• общих ресурсов для использования информации средством Hyperbatch;
• общих ресурсов для использования ее VTAM (Virtual Telecommunications Access Method).

Дополнительным свойством является способность администратора защиты возлагать ответственность за обслуживание этой информации на других администраторов в системе. Например, информация, используемая DFSMS, может быть передана в управление администратору памяти.

Прозрачность для пользователей

Обычно пользователи систем обработки данных не хотят, чтобы их данные могли быть прочитаны или изменены другими субъектами, кроме тех случаев, когда это специально подразумевается. К сожалению, пользователи всех типов часто не решаются принимать меры для обеспечения защиты своих данных, так как во многих случаях проще проигнорировать процедуру защиты, чем использовать ее.

При наличии RACF конечный пользователь может даже не осознавать, что его данные защищены. Используя административные возможности RACF, вычислительная система способна сделать работу RACF незаметной для большинства пользователей.

Использование программ выхода

RACF позволяет написать собственные программы выхода для каждой конкретной системы обработки данных для удовлетворения уникальных потребностей защиты. Эти программы выхода могут быть связаны с командами RACF, либо могут обрабатывать проверку авторизации или пароли пользователей.

Текущий контроль защиты данных

Монитор защиты данных RACF DSMON (Data Security Monitor) позволяет авторизованному пользователю получать отчеты о состоянии среды защиты в системе, особенно о ресурсах, управляемых RACF. Отчеты DSMON можно использовать для сравнения действительного уровня защиты, обеспечиваемого в вычислительной системе, с запланированным уровнем защиты.

Примерами информации, которую можно получить из отчетов монитора защиты данных, являются список всех пользователей с атрибутами SPECIAL, OPERATIONS и AUDITOR, список программ выхода RACF, написанных для конкретной вычислительной системы, и список программ в таблице программ, авторизованных для вызова RACF.

Программа записи отчетов RACF

Программа записи отчетов RACF позволяет аудиторам или администраторам защиты получать доступ к средствам RACF и использовать защищаемые ими ресурсы. Программа записи отчетов RACF обеспечивает широкий набор видов отчетов, которые позволяют производить текущий контроль и проверку правильности использования системы и ресурсов.

Программа записи отчетов RACF составляет список содержимого записей средства управления системой (SMF) в удобном для чтения формате.

Программа записи отчетов RACF тоже может генерировать отчеты на основе информации, содержащейся в записях SMF, такие как:

• отчеты, описывающие попытки получения доступа к отдельным защищаемым с помощью RACF ресурсам в виде идентификаторов пользователей, количества и типа удачных попыток получения доступа и количества и типов попыток нарушения защиты;
• отчеты, описывающие деятельность пользователей и групп;
• отчеты, отражающие итоги использования системы и ресурсов.

Обслуживающая программа разгрузки данных SMF

Обслуживающая программа разгрузки данных SMF, как и программа записи отчетов RACF, обрабатывает записи SMF. При этом она позволяет выполнить более комплексную проверку, чем программа записи отчетов RACF.

Выходная информация обслуживающей программы разгрузки данных SMF может быть: непосредственно просмотрена, использована в качестве входных данных для программ, написанных для конкретной вычислительной установки; обработана обслуживающей программой слияния/сортировки; передана программе управления базой данных, такой как DB2.

Программа управления базой данных может составить как справочные, так и общие отчеты на базе выходной информации от программы разгрузки данных SMF. Эти отчеты могут пригодиться при обработке подозрительных попыток доступа авторизованных пользователей, которые могут оказаться пропущенными при работе программы, предназначенной для составления отчетов о неавторизованных попытках доступа. Поскольку данные чаще ошибочно портятся авторизованными пользователями, чем умышленно копируются неавторизованными, такие отчеты для защиты особенно важны.

z/OS Unix System Services

Функции безопасности Unix System Services реализованы в RACF частично как расширение существующих RACF-функций, частично как новые функции RACF. Эти функции включают аутентификацию пользователей, контроль доступа к файлам и привилегированных пользователей. Пользователи Unix System Services определены командами RACF.

Класс операционных систем Unix включает множество предложений поставщиков, таких как AIX компании IBM, HP-UX компании Hewlett-Packard, Solaris (Sun). Некоторые системы ряда распространяются свободно (Linux, Free BCD). Общей характеристикой этих операционных систем является то, что решение задач обеспечения безопасности осуществляется средствами пользовательских идентификаторов (UID и GID), битов разрешения и списков управления доступом ACLs (Access Control Lists).

В Unix-архитектуре каждый пользователь системы имеет имя пользователя и идентификатор UID (число, обычно из диапазона 0 - 2³¹-1). Подобным же образом идентифицируются группы. В некоторых Unix-системах пользователь может одновременно быть включенным только в одну группу. В других, как, например, в AIX - в несколько, подобно функции RACF <список групп>.

Каждый объект (файл или каталог) файловой системы HFS (Hierarchical File System) имеет девять битов разрешения (permission bits), разделенных в три группы по три бита. Три бита в каждой из групп обозначают, соответственно, разрешение чтения, записи и исполнения. Разрешение чтения в каталоге позволяет распечатку файлов и поддиректорий. Разрешение записи в директории позволяет создавать, обновлять или удалять объект каталога, разрешение исполнения - осуществлять операции поиска.

В z/OS каждый пользователь системы имеет идентификатор UID. Для каждого UID в БД RACF определен пользовательский профиль в классе USER, содержащий всю информацию о пользователе. В продукте z/OS Unix System Services поддерживается два уровня безопасности:

Unix-уровень, традиционный для Unix, и z/OS Unix-уровень с дополнительными функциями безопасности. Второй из них (рекомендуемый) уровень безопасности реализуется, если определен по крайней мере один из профилей BPX.DAEMON или BPX.SERVER в классе FACILITY. В этом случае существенно усиливается общая безопасность системы, в особенности в плане управления процедур смены параметров идентичности работой суперпользователей. В частности, одной из целей инсталляции систем безопасности является сокращение числа суперпользователей до абсолютного минимума, что достигается использованием функции структурирования суперпользователя (superuser granularity).

В целом использование концепции RACF позволяет обеспечить такие исключительные свойства для усиления безопасности Unix, как:

• степень детализации процессов аудита и генерации отчетов, обеспечивающая исчерпывающую проверку многочисленных событий с записью этой информации в SMF, которая недоступна даже для суперпользователей;
• защита программ-демонов от модификаций и неправильного использования;
• включение функции управления структурой суперпользователей, позволяющей снизить число необходимых системных суперпользователей;
• защита TCP/IP стека, портов, сетевых адресов от использования их неавторизованными пользователями;
• возможность присваивания различных идентификаторов не только для процессов, но и для цепочки подпроцессов внутри них, позволяет осуществлять управление доступом в z/OS Unix на более структурированной основе;
• структура ключей памяти, аппаратно реализованная в z900 в совокупности с концепцией адресации, принятой в z/OS, изолирует приложения друг от друга и от операционной системы.