Операционные системы и программное обеспечение на платформе zSeries

         

Службы безопасности


Службы безопасности включают широкий набор функций контроля доступа к системным ресурсам, содержат средства настройки, аудита и управления защитой от несанкционированного доступа к данным в распределенных и централизованных средах, а также обеспечивают эффективное шифрование данных "на лету" благодаря наличию криптографического сопроцессора. Службы безопасности состоят из двух групп элементов: сервера защиты и криптографических сервисов.

Сервер защиты (Security Server) является опциональным интегрированным элементом, служащим для конфигурирования и управления доступом к ресурсам z/OS, и состоит из следующих компонентов:

  • Средства управления доступом к ресурсам RACF (Resource Access Control Facility) являются базовым звеном сервера защиты и обеспечивают централизованное управление доступом к ресурсам системы на основе авторизации пользователей и приложений в многомашинных и мультисистемных средах. С помощью RACF администратор осуществляет регистрацию всех пользователей системы, настраивает индивидуальные и групповые права и проводит аудит по использованию тех или иных ресурсов (устройств, данных, системных и прикладных программ).

  • Средства сетевой защиты (Firewall Technologies) предназначены для обеспечения защиты от внешних атак в IP-сети (совместно с коммуникационным сервером), включая поддержку FTP proxy, демона SOCKS, встроенных процедур шифрования на основе алгоритма DES, интерфейса администратора для настройки и конфигурирования.

  • Сервер LDAP обеспечивает защищенный доступ пользователей к сетевым приложениям на основе стандарта LDAP (Lightweight Directory Access Protocol). Этот индустриальный стандарт служит для создания и ведения каталога пользователей масштаба предприятия, используемого для получения общей информации о пользователях и их атрибутах при аутентификации. LDAP-сервер применяет компонент System SSL, входящий в состав криптографических сервисов.

  • Служба сетевой аутентификации (Network Authentication Service) осуществляет аутентификацию пользователей на основе стандарта Kerberos Version 5, с использованием криптографических ключей.
    Включает программный интерфейс API, известный пользователям Internet под названием GSS-API.



  • Сервер защиты DCE (DCE Security Server) служит для аутентификации пользователей и серверов сети при использовании клиент-серверных приложений в распределенных системах на основе тесной интеграции с RACF.


  • Служба PKI (Public Key Infrastructure Services) служит для создания инфраструктуры общих ключей и авторизации сертификатов для внешних и внутренних пользователей на основе Web-интерфейса.


  • Дополнительные криптографические модули OCEP (Open Cryptographic Enhanced Plug-ins) реализуют прикладной интерфейс (API) для управления серверными сертификатами и защиты серверных ключей.


Отметим, что сервер LDAP, служба сетевой аутентификации, служба PKI и OCEP являются частью базового программного обеспечения z/OS и не требуют специального заказа и установки сервера защиты. В качестве опционального элемента, расширяющего возможности шифрования данных на основе 64-разрядных ключей и алгоритма TDES для службы сетевой аутентификации в состав z/OS входит Security Server Network Authentication Security Level 3.

Криптографические сервисы (Cryptographic Services) являются базовым элементом z/OS. С их помощью реализуют различные методы шифрования данных для обеспечения защиты хранящейся в системе и передаваемой по сети информации от несанкционированного использования. Криптографические сервисы в базовой конфигурации не поддерживают ключи размером более 56 бит и включают следующие компоненты: ICSF, OCSF и System SSL.

Опциональный компонент OCSF Security Level 3 расширяет стандартные возможности шифрования данных за счет использования 64-разрядных битных ключей и алгоритмов TDES, DES, RC2/RC4/RC5.

Опциональный компонент System SSL Security Level 3 обеспечивает конфиденциальность обмена данными между клиентом и сервером на основе протокола SSL и шифрования с использованием ключей длиной свыше 64 бит на основе алгоритмов TDES, AES, RC2/RC4.

Средства поддержки криптографических сервисов представлены в главе 4.


Содержание раздела