RACF审计选项详解：保护ZOS主帧资源

"本文档主要介绍了RACF（Resource Access Control Facility）在OS/390系统中的审计选项及其在大型机高级系统管理中的作用。RACF作为安全子系统，负责用户验证、资源授权、记录和报告以及安全管理等功能。审计选项包括AUDIT、NOAUDIT、OPERAUDIT、NOOPERAUDIT等，用于控制不同类型的审计行为。此外，文档还提到了用户管理、数据集保护和通用资源管理等内容。" 在RACF中，审计选项是系统管理员用来监控和记录系统活动的重要工具。以下是对这些选项的详细解释： 1. **AUDIT / NOAUDIT**: 这些选项决定了是否开启全局审计功能。AUDIT启用审计，而NOAUDIT则关闭。当启用审计时，RACF会记录指定类别的操作和事件。 2. **OPERAUDIT / NOOPERAUDIT**: 这些选项控制是否审计操作系统命令的执行。如果启用OPERAUDIT，那么每次执行命令都会被记录；反之，如果使用NOOPERAUDIT，则不会记录。 3. **CMDVIOL / NOCMDVIOL**: CMDVIOL选项用于记录命令违规情况，例如用户尝试执行未授权的命令。而NOCMDVIOL则不记录这些违规行为。 4. **SECLEVELAUDIT / NOSECLEVELAUDIT**: 这个选项允许或禁止审计安全级别的更改。如果启用，任何安全级别的变动都会被记录。 5. **SECLABELAUDIT / NOSECLABELAUDIT**: SECLABELAUDIT选项用于跟踪安全标签的变更，而NOSECLABELAUDIT则不进行记录。 6. **AUDIT(类名/*) / NOAUDIT(类名/*)**: 这些选项允许管理员指定特定类别的资源进行审计，如数据集、程序等。类名可以用星号(*)作为通配符，表示审计所有此类资源。 7. **APPLAUDIT / NOAPPLAUDIT**: APPLAUDIT选项用于审计应用程序的活动，而NOAPPLAUDIT则不进行审计。 8. **REFRESH GENERIC(类名/*)**: 此选项用于刷新通用类别的资源定义。 9. **LOGOPTIONS**: 包含ALWAYS、NEVER、SUCCESS、FAILURES和DEFAULT，这些选项控制何时记录审计事件，例如总是记录（ALWAYS）、从不记录（NEVER）、成功时记录（SUCCESS）、失败时记录（FAILURES）或使用默认设置（DEFAULT）。 RACF的审计功能对于确保系统安全性和合规性至关重要。它不仅帮助管理员追踪非法访问和潜在的安全威胁，还可以生成报告，用于审计目的和系统性能分析。通过精细调整这些审计选项，管理员可以根据组织的需求和法规要求定制审计策略，以达到最佳的安全管理和合规性水平。