Средства обеспечения безопасности
Сервер защиты z/OS Security Server (RACF)
Сервер защиты z/OS Security Server представляет собой пакет программ под операционной системой z/OS и включает четыре основных компонента:
- RACF;
- DCE Security Server;
- OS/390 Firewall Technologies;
- LDAP (Lightweight Directory Access Protocol).
В пакет включены многие другие продукты, например, средство криптографии OCEP (Open Cryptographic Enhanced Plugin), сервер ключей (IKE демон) для автоматической инсталляции распределенных ключей защиты между конечными точками виртуальной частной сети VPN (Virtual Private Network), NAS (Network Authentication Service), Kerberos и др. Для эффективного поддержания механизмов управления доступа к наборам данных и ресурсам системы Z/OS Security Server обеспечивает:
- идентификацию пользователя, совершающего попытку получить доступ к защищенной системе;
- определение и подтверждение подлинности и полномочий пользователя при его входе в систему;
- разрешение доступа к защищенному ресурсу только авторизованным пользователям, имеющим полномочия доступа соответствующего уровня;
- предоставление удобного способа выполнять административные функции защиты;
- регистрацию и отчет попыток неавторизованного доступа к защищенным ресурсам;
- создание списка защищенных паролем ресурсов и уровня защиты, заданного для каждого ресурса.
RACF имеет специального пользователя, называемого администратором защиты, который наделен полномочиями определять пользователей и ресурсы для RACF. Администратор защиты может авторизовать и других пользователей для выполнения задач администрирования.
RACF заносит информацию о пользователях, ресурсах и авторизациях доступа в профили своей базы данных и обращается к ней (или к памяти профилей) при анализе полномочий каждого пользователя по доступу к защищенным системным ресурсам. В качестве защищаемых RACF компонентов выступают:
- наборы данных, хранимых в DASD (Direct Access Storage Devices) и на магнитных лентах;
- общие классы ресурсов, такие как загрузочные модули, терминалы, приложения и др., представленные в табл. 4.3.
RACF обеспечивает дополнительную поддержку функций защиты и ведения единого репозитория, взаимодействуя с такими продуктами, как APPC, LAN File Service, Tivoli Management, Environment и др.
RACF различает классы ресурсов, функционально подобные друг другу. Например, том на магнитной ленте, независимо от его содержания или физического размещения, представляет специфичный способ хранения данных (тома на магнитных лентах - ресурсный класс). Терминалы также представляют класс ресурсов, так как вне зависимости от различий в физических атрибутах, они выполняют похожие операции ввода/вывода. Управляющая информация по классам ресурсов представлена в таблице описания классов (Class Descriptor Table) и включает имя класса, синтаксические правила для имен внутри класса, местоположение флагов класса (аудит, статистика).
RACF поддерживает информацию о пользователях, ресурсах и авторизации доступа в профилях RACF, хранимых в базе данных, и обращается к ним в случаях определения прав пользователей на доступ к защищаемым ресурсам.
Пользовательские профили (таблица 4.4) создаются для каждого из них, определенного в RACF. Атрибуты пользователя определяют ответственность, полномочия и ограничения, которыми обладает определенный пользователь (выполнение административных задач, модификация RACF профилей, выполнение задач аудита, задач оператора, технической поддержки и пр.). Категории защиты данных (Security Classification) определяют способность пользователей иметь доступ к защищенным ресурсам.
Пользователи могут быть объединены в группы с групповым идентификатором GID (Groups Identifier), как совокупность пользователей, имеющих одинаковые системные атрибуты.
В таблице 4.5 показаны главные поля профиля общих ресурсов. В поле <Полномочия по доступу> определяются по запросу пользователей возможности чтения, обновления или модификации данных. Существует три типа профилей ресурсов (для наборов данных и общих ресурсов): дискретные, общие и групповые. Дискретные профили имеют соотношение с ресурсом <один-к-одному>, т.е. один профиль для каждого ресурса. Обычно используются для доступа к секретным ресурсам.
Общие профили реализуют соотношение <один-ко-многим>, т.е. один профиль управляет доступом к одному или многим ресурсам. Они содержат список авторизованных пользователей и полномочия по доступу для каждого из них. Один общий профиль может защищать множество наборов данных, имеющих сходную структуру именования (например, в форме уровневых префиксов). Поэтому главным преимуществом общих профилей является возможность существенной экономии объема БД RACF и времени на обработку запросов.
В случае групповых профилей множество ресурсных имен ассоциируется с одним RACF-профилем, который содержит имена объединяемых ресурсов.
Определение и проверка полномочий пользователей (идентификация и аутентификация)
RACF использует идентификатор пользователя ID для определения личности пользователя, пытающегося получить доступ к системе, и пароль для подтверждения подлинности идентификатора [4.13].
При верификации определений пользователей и персональном учете RACF предполагает, что только одному пользователю известна его особая комбинация пароль-идентификатор.
В ходе определений и проверки RACF определяет:
- имеется ли описание пользователя в RACF;
- имеет ли пользователь действующий пароль (или альтернативное средство) и групповое имя;
- правильность UID или GID в системе z/OS Unix System Services;
- не находится ли UID в статусе REVOKE (отмены полномочия), который вообще предотвращает вход в систему пользователя или определенных групп;
- может ли пользователь работать в системе в этот день или время дня (ограничение накладывается при инсталляции);
- разрешен ли доступ пользователя к терминалу;
- разрешен ли пользовательский доступ к приложению.
После завершения этих процедур RACF определяет область полномочий пользователя для текущей терминальной сессии или выполнения пакетного задания.