RACF详解：大型机数据集安全与用户管理

RACF (Resource Access Control Facility)，是OS/390系统中的一个重要安全子系统，它负责实现高级的系统管理和访问控制。本章主要介绍了RACF的基本概念、功能和使用方法。 首先，RACF的核心功能包括证实用户身份、资源授权管理、记录和报告以及安全管理。用户身份验证通过用户ID和口令进行，系统管理员分配初始口令，用户首次登录后需要更改密码。每个用户都有一个PROFILE，包含了用户的基本信息，如用户ID、拥有者、口令、属性、SECURITY CLASSIFICATION（安全分类）、所属组及权限。 在资源管理方面，RACF对数据集的保护非常细致。对于分散的数据集PROFILE，一个PROFILE对应一个数据集，通过在VTOC（Virtual Table of Contents，虚拟目录表）或编目项中设置特定标志，表明数据集受到RACF保护。用户只能根据其权限访问数据集，包括读取、写入或执行特定操作。 RACF还支持用户组的概念，允许一个用户同时属于多个组，从而共享相似的权限。资源访问控制列表（Access Control List, ACL）定义了用户对不同资源的访问权限，如数据集、终端、控制台、CICS交易和程序等。每个资源都有其对应的PROFILE，详细记录了访问权限和审计信息。 记录和报告功能由具有AUDITOR属性的用户执行，他们可以设置哪些操作需要记录，例如登录事件、成功或失败的访问尝试，以及选择将这些信息写入RMF数据集或发送到系统控制台。尽管审计用户可以查看PROFILE和访问记录，但他们通常没有修改PROFILE或直接访问资源的权限。 最后，RACF定义了不同类型的用户角色：普通用户具备基本的资源访问权限；具有SPECIAL属性的用户则拥有更高级的权限，可以管理其他用户的PROFILE，但不能直接访问资源，这体现了RACF的安全隔离机制。 RACF是大型机环境中至关重要的安全组件，确保系统的安全性、可靠性和数据完整性，通过细致的用户管理、资源授权和严格的审计机制，有效地防止未经授权的访问和潜在的安全威胁。