RACF：OS/390的安全子系统详解

"本资源主要介绍了IBM ZOS Mainframe操作系统中的RACF（Resource Access Control Facility）安全子系统的概述，包括用户和组的管理、数据集保护、资源授权检查、记录和报告以及安全管理等功能。RACF通过用户ID和口令验证用户身份，并使用PROFILE来存储用户信息。此外，它还控制用户对资源的访问权限，提供审计功能，并实现安全管理策略。" 在RACF中，安全类别的选项设置是非常关键的部分，用于增强系统的安全性。以下是这些选项的详细解释： 1. COMPATMODE / NOCOMPATMODE：这个选项允许系统在兼容模式下运行，可能会影响某些安全特性。如果不使用兼容模式（NOCOMPATMODE），则会启用最新的安全特性。 2. SECLABELCONTROL / NOSECLABELCONTROL：此选项控制安全标签的控制，启用它将实施更严格的访问控制，确保只有经过适当授权的用户才能访问具有特定安全级别的资源。 3. MLACTIVE(WARNING/FAILURES) / NOMALACTIVE：多级安全（MLS）活动监控，如果启用，系统会在检测到潜在的安全违规时发出警告或导致失败。 4. MLSTABLE / NOMLSTABLE：启用MLSTABLE选项，系统将维护多级安全的资源状态，确保资源的安全级别与用户的安全级别匹配。 5. MLQUIET / NOMLQUIET：当启用MLQUIET时，系统在处理多级安全事件时将不显示任何消息，这有助于减少控制台的噪音。 6. MLS / NOMLS(WARNING / FAILURES)：多级安全选项，控制是否进行多级安全检查。如果设置为WARNINGS，系统会在违反安全策略时发出警告，而FAILURES则会导致操作失败。 7. SECLABELAUDIT / NOSECLABELAUDIT：安全标签审计选项，启用后，系统会记录与安全标签相关的访问尝试，这对于监控和审计非常重要。 RACF的主要功能包括： - 用户证实：通过用户ID和口令验证用户身份，首次登录时用户需要更改临时口令。 - 资源授权管理：控制用户对资源的访问权限，包括读写权限和特定访问方式。 - 记录和报告：记录用户活动，如访问成功、失败或其他指定事件，并将其发送到RMF数据集和控制台。 - 安全管理：定义不同类型的用户角色，如普通用户、具有SPECIAL属性的用户（可以管理PROFILE但不能直接访问资源）和具有OPERA属性的用户（有权限直接操作资源）。 RACF的资源管理涉及到数据集、终端、控制台、CICS和IMS交易等多种资源，通过PROFILE来定义资源的访问规则和安全分类。AUDITOR属性的用户能够监控和配置审计设置，但不能修改PROFILE或直接访问资源。 RACF是ZOS Mainframe系统的核心安全组件，它通过精细的权限控制、用户管理、审计和报告机制，确保了系统的安全性和数据的完整性。理解和正确配置RACF选项对于维护一个安全的操作环境至关重要。