再上一篇:4.2.3 SPOOL卷的配置、管理和性能
上一篇:4.2.4 检查点数据集的定义和配置
主页
下一篇:4.3 JES2 的日常操作
再下一篇:4.3.1 JES2的配置管理
文章列表

4.2.5 关于 JES2 的安全性

IBM S390 系统管理基础(zSeries,IBMSystemz, z/VM,zOS等操作系统使用,命令的参数与用法等)

在一个数据处理系统中所讲的安全性主要是指对系统中的重要资源的控制和对这些资 源访问的审核。在 JES2 中这些资源主要包括:

$ JES2 自己的数据集(SPOOL 数据集、检查点数据集和模块库)

$ 输入数据(包括从其它节点、远程作业入口工作站、读卡机、内部读卡机和卸载设
备上输入的)

$ 作业名

$ 位于 SPOOL 卷上的数据集(SYSIN/SYSOUT)
$ 输出设备(包括其它节点、打印机、打孔机、远程作业入口工作站和卸载设备)

$ 输入的命令 系统的安全管理员在设计系统的安全管理策略时,应该考虑以下的问题:

$ 那些资源应该得到保护?

$ 是否应该根据一定的规则来约束系统中的作业和用户?

$ 是否应该限制用户可以递交和取消的作业的作业名?

$ 是否应该保护 SYSIN 和 SYSOUT 数据?

$ 那些远程工作站可以访问系统?

$ 其它的节点是否可以在系统中递交作业?

$ 可以允许系统向那些节点发送数据?

$ 是否应该限制一个操作员可以输入的命令?

$ 是否应该限制操作员可以使用那些控制台输入命令?

$ 从作业中、终端上和其它节点可以递交哪些命令?

$ 是否限制特定的输出在特定的设备上进行?

$ 输出结果的安全性标志是否出现在标题页上?

在安全性要求不高的情况下,通过 JES2 中已有的功能便能够实现一些最基本的安全性 控制。例如通过初始化语句可以控制哪些输入设备可以向 JES2 递交作业,JES2 的退出点程 序也可以提供一些安全性的管理。如果对于安全性要求较高的环境,我们可以通过 RACF 的界面工具 SAF(Security Authorization Facility)提供一个完整的安全管理机制。在考虑安全 性管理时,应该注意到对资源进行过多的保护会影响到整个 JES2 系统的性能。因此,在设 计安全管理机制时应该详细讨论对那些资源进行保护,这些资源的使用频率及系统在性能上 的要求等多个方面。
在 JES2 的运行过程中,JES2 将向 SAF 传递信息用以请求完成一系列的安全管理的操 作。如进行口令的检查、申请访问资源的权限、建立或取得访问资源的标志或确定一定环境 下的安全性信息等等。在 SAF 接到这样的请求后,首先判断 RACF 是否处于激活状态,如 果 RACF 处于激活状态,SAF 将请求传递给 RACF 进行处理;如果 RACF 没有处于激活状 态,SAF 立刻对 JES2 的请求做出响应,通知 JES2 自己无法验证请求。接下来由 JES2 自己 的安全管理机制对资源进行管理。如果 SAF 能够对请求做出决定,JES2 将忽略自己的安全 管理机制。
由于本书另有章节对 RACF 的内容进行详细的阐述,这里我们不再讨论这方面的问题。 接下来主要介绍 JES2 自己的安全管理机制的实现方法。这种管理机制主要通过 JES2 的初 始化语句和自定义的退出点程序来完成。另外用户还可以利用 JES2 中的一些其它功能来实 现对部分特定的资源的管理,这些特定的资源有:

$ 网络作业入口的通讯线路

$ 远程作业入口的通讯线路

$ 远程终端的 SIGNON/LOGON

$ VTAM 会话

$ 命令

在系统中的 RACF 没有处于激活状态时或没有安装 RACF 时,用户可以通过 JES2 的初 始化语句控制:

$ 对系统的访问,通过:

- 远程作业入口线路和终端 (LINE(nnnn)和RMT(nnnn) )

- 网络作业入口线路和节点 (LINE(nnnn)和NODE(nnnn) )

$ JES2 对VTAM (LOGON(n) )的访问

$ 作业传送到或前滚到:

- 带有加密口令的其它节点(NODE(nnnn) )

- SPOOL 的卸载设备

$ 输出结果输出到:

- 本地设备

- 远程终端设备

- 其它节点(NODE(nnnn) )

- SPOOL 的卸载设备(OFFLOAD(n) )

$ 操作员向系统输入命令:

- 通过内部读卡机(INTRDR)

- 通过读卡机(RDR(nn) )

- 从其它节点(NODE(nnnn) )

- 从作业中、启动的任务中或一个 TSO/E 会话中(JOBCLASS(v) )

下表是与安全性有关的 JES2 的初始化语句及参数,以及这些语句所涉及的资源,并提 供了参数的解释。如果需要了解进一步的内容可以查阅本书后所列的相关的参考书籍。

初始化语句

参数

所涉及的资源

参数的描述

DEBUG

SECURITY=

设备的访问

确定是否对 JES2 的输出作业选择中的

警 告 信息, 对 JES2 的 设备或

XWTR(external writer)请求,对 SAPI

(SYSOUT Application Programming Interface)请求提供附加的 RACF 安全 性日志

INTRDR

AUTH=*

命令

确定可以从任何内部读卡机中接收的

命令的类型

JOBCLASS(n)

AUTH= *

命令

确定可以从特定的作业类、已启动的任

务或TSO/E 会话中接收的一组MVS 命 令

JOBCLASS(n)

COMMAND= *

命令

定义当在作业流中遇到 MVS 命令时系

统的动作

LINE(nnnn)

PASSWORD=

通过线路访问

系统

为了限制从这条线路访问系统,设置相

应的口令

LOGON(n)

PASSWORD=

VTAM 的访问

限制 JES2 对VTAM 的访问

NODE(nnnn

AUTH= *

命令

定义其它节点在系统中的命令权限

NODE(nnnn

PASSWORD=

从节点访问系

限制从本语句所定义的节点对系统的

访问

NODE(nnnn

PENCRYPT=

口令加密

允许随数据和作业发送到这个节点的

口令被加密

NODE(nnnn

RECEIVE=

数据

定义可以从临近节点接收的数据的类

NODE(nnnn

TRANSMIT=

数据

定义可以传送到临近节点的数据的类

OFFLOAD(n)

PROTECT=

SPOOL 卸载数

据集

指定 SPOOL 的卸载数据集是否需要

RACF 的保护

RDR(nn)

AUTH= *

命令

决定从这个读卡机所接收命令的类型

RMT(nnnn)

PASSWORD= *

从远程终端访

为了限制从这个远程终端访问系统,设

初始化语句

参数

所涉及的资源

参数的描述

问系统

置相应的口令

注:加*的参数只有在 RACF 没有激活或没有安装时有效。
在 JES2 中的退出点功能可以使用户实现一些自己的安全性检查,这些退出点设置在处 理过程中的关键位置,用户可以通过自定义的退出点程序利用现有的信息判断是否允许对特 定的资源进行访问。下表列出了 JES2 中安全性有关的一些退出点以及对如何使用这些退出 点的描述信息。

退出点

退出点名称

描述

2

作业语句扫描

执行口令检查或对某些用户限制使

用的作业名

3

作业语句记账域扫描

检查 JOB 语句中的账号信息

4

JCL 和 JES2 控制语句扫描

根据 JCL 和 JES2 的控制语句提供

的信息限制一个作业所使用的资 源。检查和验证嵌入作业流中的命

5

JES2 命令预处理

限制 JES2 处理的命令,根据指定

的参数确定命令可以被使用或者不 可以

6

转换/解释文本扫描

根据JCL 中所提供的信息限制一个

作业能使用的资源

13

TSO/E 交互式数据传送功能放映和通知

限制通过 TSO/E 的 RECEIVE 命令

从网络节点中接收的数据

17

BSC 远程作业入口 SIGN-ON/SIGN-OFF

控制能够访问系统的 BSC 远程作

业入口设备

18

SNA 远程作业入口 LOGON/LOGOFF

控制能够访问系统的 SNA 远程作

业入口设备

20

作业输入的结束

在 JES2 处理完所有的输入后,对

作业的属性进行最后的检查

22

CANCEL/STATUS

限制对 TSO/E 的 CANCEL 和

STATUS 命令的使用

30

SSI 数据集和内部读卡机的开启、重启

控制对 SPOOL 卷上的数据集的访

问,限制对内部读卡机的使用

31

SSI 数据集和内部读卡机的分配

控制对 SSI 数据集和内部读卡机的

访问]

32

SSI 作业选择

对 JES2 选择运行作业进行控制

33

SSI 数据集关闭

验证子系统数据集的特征和目标

34

SSI 数据集的收回

验证子系统数据集的特征和目标

36

安全性授权认可前调用

对传送到 SAF 的信息进行修改

37

安全性授权认可后调用

在允许对资源访问之前执行其它的

安全性检查

38

TSO/E 接收数据集的处理

修改对用户不能够接收的数据集的

缺省处理

39

网络作业入口 SYSOUT 数据集的处理

修改对验证失败后的网络作业入口

SYSOUT 数据集的缺省处理

对于 MAS 的系统结构来说,JES2 假设所有的成员都处于同一个安全级别,也就是说所
有的成员都安装了同级别的安全管理产品,并且所有产品的数据基础是相同的。如果情况不 是这样的话,可能会导致一些安全检查的失败和审查记录的不一致。例如,在成员 1 上的安 全管理需要 SECLABELs 但成员 2 上不支持 SECLABELs,当一个作业在成员 2 上被递交,
在成员 1 上运行时便会因为没有 SECLABEL 而失败。因此我们建议当某一功能不能在所有 成员上获得支持时,应当关闭 JES2 中的这些功能,例如类和定义文件等。
在 MAS 环境中,如果其中一个成员拥有了一个安全管理产品,但其它的成员没有时, 应当在安全性管理时有一些特殊的考虑。一个没有安全性管理的成员通过 SAF 传递的信息 应该能够被其它安装了安全性管理产品的成员识别并进行一些相应的验证。在这种环境下, 如果其中一个成员安装的时 RACF 1.9,应该考虑下面几个方面:
$ 没有安装 RACF 的成员的作业应该在转换或运行时被检验,为了进行这种检验必 须在 JOB 语句中使用 USER=和 PASSWORD=参数。
$ 那些在没有安装 RACF 的成员上递交的并在其他成员上被转换和运行的作业,不 能够被安装了 RACF 1.9 的成员访问,如果该成员的 JESSPOOL 类出于激活状态。 其他类似的访问也都会失败。

$ 如果任何自定义的退出点程序对作业所关联的用户标志进行了修改,有可能在

JES2 的数据集中造成不一致的情况。

$ 系统可能在激活下列类时遇到问题:

1. JESINPUT

2. JESJOBS

3. JESSPOOL

4. SURROGAT

5. WRITER