La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Capítulo 9 : Seguridad en z/OS

Publicada porChicky Gerardo Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Capítulo 9 : Seguridad en z/OS"— Transcripción de la presentación:

1 Capítulo 9 : Seguridad en z/OS

2 Objetivos En este capítulo veremos como:
Explicar los conceptos de seguridad e integridad Explicar RACF y su interfaz con el sistema operativo Autorizar un programa Discutir los conceptos de integridad Explicar la importancia del control de cambios Explicar el concepto de la evaluación de riesgos

3 Términos clave Librerías autorizadas authorized program facility (APF)
encripción SAF SVC PASSWORD firewall hacker page protection bit Resource Access Control Facility (RACF) política de seguridad separación de funciones Integridad del sistema user ID

4 Introducción Un dato o programa es el recurso más valioso de la instalación, y debe ser protegido Hace tiempo, un dato estuvo seguro porque nadie conocía como acceder a él Cada vez más gente se convirtió en experta en computación y capaz de usar herramientas simples, y los datos no protegidos se volvieron accesibles La seguridad de los datos es ahora más importante que antes, incluída la prevención ante destrucción inadvertida

5 Porqué seguridad? Cualquier sistema de seguridad debe permitir a usuarios autorizados el acceso a lo que necesiten, y prevenir el acceso no autorizado Muchos datos críticos de las compañías están ahora en computadoras, y son fáciles de ‘robar’ si no están protegidos El Servidor de Seguridad del z/OS provee una estructura de funciones para proteger los datos

6 RACF (Resource Access Control Facility)
RACF (parte del Servidor de Seguridad) y otros paquetes disponibles, son productos que proveen la estructura básica de seguridad en un mainframe z/OS Identifica y autentica usuarios Autoriza usarios para acceder a recursos protegidos Registra y reporta intentos de accesos no autorizados Controla el modo de acceso a los recursos

7 RACF: Visión General de Funciones

8 Identificación y verificación de usuarios
RACF usa un ‘userid’ y una ‘password’ de sistema encriptada para realizar la identificación y verificación de los usuarios El ‘userid’ identifica la persona para el sistema La ‘password’ verifica la identidad del usuario La ‘password’ no debería ser trivial, y se pueden usar exits para forzar políticas centralizadas para su formato

9 Niveles de Protección RACF trabaja en una estructura jerárquica
ALLOC permite creación y destrucción de un data set CONTROL permite repro de un data set VSAM WRITE permite actualización de datos READ permite lectura de datos NONE ningún acceso Un permiso mayor, implica todos los que están por debajo de él

10 Protegiendo un dataset
Se crea un perfil (profile) de data set y se almacena en la database de RACF Este le dará acceso a nivel de usuario o grupo También se puede definir un acceso universal El perfil puede ser específico o genérico, con o sin caractéres especiales (wild cards)

11 Display típico de un perfil de RACF
INFORMATION FOR DATASET SYS1.*.** (G) LEVEL OWNER UNIVERSAL ACCESS WARNING ERASE SYS READ NO NO AUDITING FAILURES(READ) NOTIFY NO USER TO BE NOTIFIED YOUR ACCESS CREATION GROUP DATASET TYPE ALTER SYS NON-VSAM

12 Lista de acceso de RACF para SYS1.*.**
ID ACCESS SYS ALTER KARRAS ALTER WANDRER ALTER SCHUBER ALTER KURTKR UPDATE KURTKR UPDATE KURTKR NONE CICSRS ALTER CICSRS ALTER HEISIG UPDATE JUSTO UPDATE GERALD READ

13 Protegiendo recursos generales o comunes
Se pueden proteger muchos recursos del sistema Volumenes de discos (DASD) Cintas y cartuchos Transacciones CICS o IMS Datasets de Spool del JES Comandos del sistema Recursos de una aplicación y mucho más RACF es flexible, y se puede agregar mucho más

14 Sistema operativo y RACF

15 Conceptos de RACF: chequeo de perfil (profile)

16 System Authorization Facility
SAF es parte del z/OS Usa RACF si está presente También puede usar rutinas exits (opcionales) SAF es un servicio del sistema y es un punto focal para todos los productos que proveen control de recursos SAF se invoca en un punto de control dentro del código del administrador de recursos

17 Estructura del RACF Userid (usuario) Group (grupo) Resource (recurso)
Cada userid pertenece como mínimo a un group Las estructuras de ‘group’ se usan para acceso a los recursos Resource (recurso) Resource classes Class descriptor table – usado para personalizar (customize)

18 Visión general de la estructura de RACF

19 Funciones del RACF

20 Identificación del Usuario
RACF lo identifica en su logon Son necesarios Userid y Password Cada userid de RACF tiene una única password La password está encriptada para que nadie la conoza, ni el administrador Se revoca un Userid luego de una cantidad determinada de intentos de logon, cuando se ingresaron password inválidas

21 Chequeo del perfil de RACF

22 Registro (log) y Reporte:
RACF mantiene información estadística RACF graba un registro de seguridad cuando detecta: Intentos no autorizados para entrar al sistema Acceso a recursos Esto depende de las definiciones del recurso Por ejemplo: AUDIT(ALL(UPDATE) registrará todas las actualizaciones al recurso Ejecución de comandos

23 Administración de Seguridad
Interpreta la política de seguridad como: Determinar cuáles funciones de RACF usar Identificar el nivel de protección de RACF Identificar cuáles datos proteger Identificar la estructura administrativa y de usuarios

24 RACF compartir datos en sysplex y RRSF
Si varios sistemas comparten la database de RACF habrá problemas de contención RACF propagará los comandos a través del sysplex RACF puede usar un ‘coupling facility’ en un ‘parallel sysplex’ para mejorar la performance Se puede usar RRSF para tener databases de RACF distribuidas y en línea

25 Programas autorizados
Tareas autorizadas ejecutando programas autorizados se les permite acceder a funciones sensitivas del sistema Para evitar problemas de integridad, programas no autorizados sólo podrán usar funciones standard

26 Authorized Program Facility (APF)

27 Librerías Autorizadas
Una tarea (task) es ‘autorizada' cuando el progama en ejecución tiene las siguientes características: Ejecuta en estado supervisor Ejecuta en su PSW con clave (key) 0 a 7 Todos los programas previos en la misma tarea fueron programas APF El módulo fué cargado desde una librería APF

28 Problem Programs (Programas Problema)
A los programas normales se los conocen como ‘programas problema’, y ejecutan en estado problema (en oposición al estado supervisor) Ejecutan con clave 8 (problema) en su PSW Pueden o no estar en una librería APF

29 Librerías APF Las librerías autorizadas se definen en la lista APF en SYS1.PARMLIB SYS1.LINKLIB, SYS1.SVCLIB y SYS1.LPALIB son automáticamente autorizadas Las librerías de instalación se definen en PROGxx Por default, todas las librerías en LINKLIST son autorizadas, pero muchas instalaciones definen LNKAUTH=APFTAB

30 Autorizando un programa
El primero, y sólo el primero de los módulos de carga del programa, debe ser linkeditado con el código de autorización AC=1 Ese y todos los módulos subsiguientes deben ser cargados desde una librería autorizada Las librerías APF se deben proteger de manera que sólo los usuarios autorizados puedan almacenar programas en ellas

31 Librerías autorizadas

32 Librerías autorizadas
La lista APF se crea durante el IPL, usando las librerías incluídas en el miembro PROGxx de parmlib Si se especifica una lista dinámica, se puede actualizar mediante un comando de operador

33 Un ejemplo de lista APF BROWSE SYS1.PARMLIB(PROGTT) -    01.01          Line Col Command ===>                                             Scroll ===> PAGE *************************** Top of Data ******************************** APF FORMAT(DYNAMIC) APF ADD     DSNAME(SYS1.VTAMLIB)     VOLUME(******)     DSNAME(SYS1.SICELINK)     DSNAME(SYS1.LOCAL.VTAMLIB)     VOLUME(TOTCAT)     DSNAME(ISP.SISPLOAD)     VOLUME(*MCAT*) *************************** Bottom of Data *****************************

34 APF dinámica Actualizar un miembro PROGxx y activarlo con el comando de operador SET PROG=xx Use el comando SETPROG APF El comando DISPLAY PROG,APF mostrará la lista actual

35 D PROG,APF D PROG,APF CSV450I 12.46.27 PROG,APF DISPLAY 027
FORMAT=DYNAMIC ENTRY VOLUME DSNAME Z04RE1 SYS1.LINKLIB Z04RE1 SYS1.SVCLIB Z04RE1 ANF.SANFLOAD Z04RE2 AOP.SAOPLOAD Z04RE1 AOP.SAOPLOAD Z04RE1 ARTURO.BFSLMOD Z04RE1 ASMA.V1R2M0.SASMMOD1 TOTDBZ ASN.V7R1M0.SASNALNK TOTDBZ ASN.V7R1M0.SASNLLNK TOTDBZ ASN.V8R1M0.SASNLOAD TOTPT1 ASNA.V5R1M0.SASNALNK TOTPT1 ASNL.V5R1M0.SASNLLNK ……

36 Operator Console Security
A las consolas se les pueden asignar niveles de autorización en el miembro CONSOLxx de parmlib Los comandos están agrupados en: INFO comandos informativos SYS comandos de control del sistema IO comandos de I/O CONS comandos de control de consola MASTER comandos de consola maestra Cada consola puede tener uno o más niveles de autorización

37 Consolas Al menos una consola debe tener autoridad MASTER
En un sysplex las consolas son compartidas Se puede requerir logon para las consolas usando RACF Todas las consolas extendidas (MCS) podrían necesitar un logon

38 Roles de Seguridad El system programmer configura el RACF
Los administradores del sistema implementan las políticas de seguridad Los administradores de seguridad definen las políticas de seguridad Es necesaria la separación de las tareas para prevenir el acceso no controlado

39 Resumen z/OS Security Server RACF SAF Programas Autorizados Lista APF
Consola de seguridad

40

Descargar ppt "Capítulo 9 : Seguridad en z/OS"

Presentaciones similares

MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA chi siamo quienes-somos qui sommes-nous who we are attività actividades activités activities scuola.

MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA chi siamo quienes-somos qui sommes-nous who we are attività actividades activités activities scuola.
SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
1 Datos sobre webloggers Datos extraidos de la encuesta a webloggers disponibles en la web de los autores.

1 Datos sobre webloggers Datos extraidos de la encuesta a webloggers disponibles en la web de los autores.
el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes

el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes
Capitulo 7: Procesamiento batch y el Job Entry Subsystem (JES)

Capitulo 7: Procesamiento batch y el Job Entry Subsystem (JES)
Revisión Nº:Descripción:Fecha: 00Elaboración de la documentación30/06/11 Copia Controlada :Nº: F-1.01.05 /REV. 00 ACCESO A LA WEB DEL CPR DE TARAZONA Cód.:

Revisión Nº:Descripción:Fecha: 00Elaboración de la documentación30/06/11 Copia Controlada :Nº: F /REV. 00 ACCESO A LA WEB DEL CPR DE TARAZONA Cód.:
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
Interfases Contables en CIO

Interfases Contables en CIO
Sección 13 Programación de Obra

Sección 13 Programación de Obra
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO

ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO
Módulo Tablero de Control Sesión X Lic. Aarón García López.

Módulo Tablero de Control Sesión X Lic. Aarón García López.
Organizaciones y eficacia organizacional

Organizaciones y eficacia organizacional
Introducción al z/OS Básico © 2006 IBM Corporation Capítulo 2B: Parallel Sysplex.

Introducción al z/OS Básico © 2006 IBM Corporation Capítulo 2B: Parallel Sysplex.

Presentaciones similares

Anuncios Google