Prüfung der Sicherheit von RACF und DB2 unter z/OS

Revision von z/OS in Verbindung mit RACF, DB2 und CICSBei diesem Projekt galt es die Ordnungsmäßigkeit und Sicherheit von RACF und DB2 sowie CICS unter dem Betriebssystem z/OS bei einer Bank zu prüfen.

In einem ersten Schritt wurden die vorhandenen Sicherheitskonzepte bezüglich RACF und DB2 sowie CICS sowie deren Integration in das Betriebssystem z/OS bewertet. Unter Berücksichtigung der hierbei gewonnenen Erkenntnisse wurde anschließend überprüft, ob die in den Konzepten getroffenen Vorgaben für RACF, DB2 und CICS in den Systemeinstellungen korrekt umgesetzt wurden und die vorgenommenen Einstellungen dazu geeignet waren, einen wirksamen Zugriffsschutz zu gewährleisten.

Anschließend wurden die vorhandenen Zugriffsberechtigungen in den einzelnen Subsystemen ermittelt und einer Beurteilung unterzogen.

Hierbei wurden die folgenden Aspekte betrachtet:

  • Administration und Systemkonfiguration
  • Benutzermanagement
  • sensitive Systemprivilegien
  • interne und externe DB2-Sicherheit
  • Sicherheit der Zugriffspfade (RACF, SQL, ODBC, JDBC, Netz)
  • Funktionstrennung

Abschließend wurde beurteilt, ob die im laufenden Betrieb getroffenen Maßnahmen ausreichen, die Ordnungsmäßigkeit und Sicherheit von RACF, DB2 und CICS zu gewährleisten. Hierbei wurden u.a. die folgenden Aspekte betrachtet:

  • Wartung und Betrieb
  • Einsatz kritischer Tools
  • Backup- und Recoveryvorkehrungen
  • SMF-Protokollierung und Auditing.