Tìm hiểu về các
gói an ninh
CA – ACF2 ,
CA- Top Secrect
Giảng Viên Hướng Dẫn : PGS.TS Trịnh Nhật Tiến
Học Viên Nguyễn Kỷ Tuấn
Lớp Cao học K19HTTT
Giới thiệu chung

Các máy tính mainframe hỗ trợ 70 – 80% dữ liệu cho các doanh nghiệp trên
thế giới

bảo đảm an toàn thông tin cho các mainframe cũng rất quan trọng.
Cùng với thời gian, các công cụ và phần mềm đã được phát triển để tích hợp cho
các mainframe để bảo vệ cho máy tính mainframe và dữ liệu của nó. Trong bài
này tôi xin trình bày về 2 sản phẩm được sử dụng phổ biến là :

Computers Associates’ Access Control Facility 2 (ACF2)

Computer Associates’ Top Secret (Top Secret).
CA – ACF2

Phát hành vào năm 1978 bởi công ty SKK và sau đó trở một sản phẩm
của Computer Associates (CA).

CA-ACF2 sử dụng các thuật toán, được gọi là tập các quy định(rules),
để xác định xem một người dùng có được phép truy cập vào một tập dữ
liệu hoặc một số tài nguyên khác.
CA –ACF2

Như là phần mở rộng của hệ điều hành của mainframe.


Bảo vệ các tập dữ liệu và các tài nguyên để chỉ những người thích hợp có
thể tiếp cận với chúng, đồng thời báo cáo về bất kì nỗ lực truy cập trái
phép nào vào hệ thống.
Rules trong CA – ACF2

Quy định truy cập: Quyết định xem khi nào quyền truy cập dữ liệu được cung
cấp cho người dùng hoặc nhóm người dùng

Quy định về tài nguyên: Quyết định việc người dùng truy cập tới các tài
nguyên cụ thể (ví dụ: lưu trữ tạm thời, các tài nguyên của site, các chương
trình).
Các bản ghi – Records

Cache Records : tùy chọn bộ nhớ cache cơ sở của site được xác định.

Command Propagation Facility (CPF) Records : trang web được xác định tùy chọn CPF
và cấu hình mạng giao tiếp CPF.

Cross-reference Records: ACF2 Mainframe Virtual Security (MVS) xác thực việc xử
lý tài nguyên và các nhóm tài nguyên được xác định của site.

Entry Records : Các tài nguyên site được xác định ( ví dụ: các thiết bị đầu cuối ) hoặc
nhóm tài nguyên mà một người dùng cụ thể có thể truy cập từ hệ thống.

Field Records : Site được xác định quyền truy cập vào bản ghi dựa trên các trường này.
Phương thức xác thực ACF2 được cụ thể trong bản ghi

……
Phân quyền trong ACF2


ACCOUNT : cho phép một người dùng tạo, xóa, chỉnh sửa và hiển thị các logonid recods trong giới
hạn

AUDIT : Hiển thị loginid records, inforstorage records ( ví dụ một cơ sở dữ liệu ACF2),các quy định
về tài nguyên và việc truy cập. Người dùng có thể hiện thị các điều khiển của hệ thống ACF2, nhưng
không cho phép chỉnh sửa những điều khiển này
Phân quyền trong ACF2

CONSULT: Xem được hầu hết các trường của loginid records, nhưng chỉ cập nhật các
trường không bảo mật liên quan đến TSO, vị trí mà hệ thống được lưu xác định có thể cho
phép các trường được chỉnh sửa và hiển thị bởi người dùng.

LEADER : Xem được hầu hết các logonid records nhưng với thẩm quyền cao hơn cho phép
cập nhật các trường bên trong các bản ghi tại những vị trí đã được xác định.

SECURITY : Cho phép truy cập tất cả các tài nguyên, bộ dữ liệu và các chương trình đã
được bảo vệ. Một người dùng với phân quyền này thường được hiểu như là quản trị an toàn
hệ thống. Quyền này không cho phép một người dùng có tạo hoặc xóa một loginid, trừ khi
người dùng cũng có quyền ACCOUNT.
Phân quyền khác trong ACF2

MAINT: Cho phép bất kì kiểu truy cập tới một tài nguyên hoặc bộ dữ liệu bảo trì job mà không
cần đăng nhập hay quy định xác thực

NON-CNCL: Cho phép truy cập vào bất kì tài nguyên hay bộ dữ liệu cho dù có vi phạm việc
bảo mật khi cố gắng thực hiện điều đó. Quyền này không bị hạn chế bởi một scope record.

READALL: Cho phép người dùng đọc và thực hiện tất cả các chương trình, bất kể quy định
truy cập


STC : Xác định rằng một logonid chỉ được sử dụng cho các nhiệm vụ đã được bắt đầu. Trường
STC (Started Tasks) của bản ghi GSO xác định việc xác thực của các nhiệm vụ đã bắt đầu .
Nhận dạng và chứng thực trong ACF2

Mỗi người dùng có quyền truy cập hệ thống được cấp một logonid và password. ACF2
cho phép logonid từ 1 – 8 kí tự

Mật khẩu có thể gồm bất kì các kí tự, chữ số hoặc các kí hiệu ( ví dụ @,#,$,% ). Khi
người dùng đăng nhập ACF2 xây dựng một chuỗi nhận dạng người dùng hoặc nhóm
người dùng để giảm số lượng tài nguyên hoặc các quy định truy cập phải được xác định.
Cấu hình việc nhận dạng và chứng thực
Tùy chọn trong phần “PASSWORD OPTIONS IN EFFECT”/ Các tùy chọn này bao gồm :

LOGON RETRY COUNT: Cho biết tối đa số lần cố gắng truy cập không thành công đã được cho
phép trước khi một phiên làm việc được chấm dứt.

MAX PSWD ATTEMPTS: Chỉ định tối đa số lần cố gắng nhập mật khẩu không thành công trước
khi một login id bị vô hiệu hóa

MIN PSWD LENGTH: Cho biết số lượng tối thiểu các kí tự cần thiết đối với mật khẩu người dùng.

PSWD ALTER : Cho phép người dùng thay đổi mật khẩu nếu được cấu hìnhlà YES
Cấu hình việc nhận dạng và chứng thực

PSWD FORCE: Bắt người dùng thay đổi mật khẩu bất cứ khi nào có một ai đó khác
người dùng thay đổi mật khẩu nếu được cấu hình là YES

PSWD HISTORY: Thực hiện lưu lịch sử tối đa 4 mật khẩu khi được cấu hình là YES


PSWD-LID: Ngăn chặn các mật khẩu từ các logonid của người dùng tương ứmg khi được
cấu hình là YES

PSWD-JES: Cho phép batch job vi phạm mật khẩu được tính vào MAX-PSWD
ATTEMPTS khi được cấu hình ON.
Cấu hình việc nhận dạng và chứng thực

PSWD REQUIRED : Chỉ định mật khẩu được yêu cầu cho tất cả các logonid ( trừ RESTRICT
và STC) khi được cấu hình là YES

PSWD REVERSE WORD: cho phép người dùng được bị cấm tạo mới mật khẩu bắt đầu với
một tiền tố khi được cấu hình YES.

PSWD WARN DAYS: Chỉ định số ngày người dùng bị cảnh báo trước MAXDAYS được thi
hành.
Kiểm soát truy cập
MODE lựa chọn ACF2 Control (GSO record)

ABORT : Đây là giá trị mặc định của MODE và ghi lại tất cả các vi phạm khi cố gắng truy
cập. Truy cập vào một tập dữ liệu bị từ chối trừ khi đã được đã được xác định .

LOG : Lưu lại tất cả các tập dữ liệu vi phạm nhưng vẫn cho phép tiếp tục truy cập các tập dữ
liệu

RULE : cho phép thực hiện nếu quy định hiện tại không cho phép một người sử dụng được
yêu cầu sử dụng một tập dữ liệu

QUIET: Vô hiệu hóa tập dữ liệu xác nhận truy cập dữ liệu. Tất cả các cố gắng truy cập được
phép và không vi phạm được lưu lại.


WARN: Cho phép tất cả các cố gắng truy cập và lưu bất kì truy cập vi phạm nào nếu nó xảy
ra . Nếu một truy cập vi phạm xảy ra, người dùng được thông báo được tạo bởi hệ thống.
Tùy chọn trong GSO Control kiểm soát truy cập

DECOMP AUTHORITY:

Nằm ở phần “RULES/DIRECTORY RESIDENCY OPTIONS”.

thiết lập này xác định các loại quyền, người dùng cần phải sắp xếp để hiển thị các quy định truy
cập và tài nguyên, mặc dù phạm vi bị hạn chế.

DSNAME PROTECTED VOLUMES :

Nằm ở phần “RULES/DIRECTORY RESIDENCY OPTIONS”

Đảm bảo các tập dữ liệu Direct Access Storage Device (DASA) và dung lượng được bảo vệ bởi
RESVOLS. RESVOL record xác định dung lượng lưu trữ và DASD để cung cấp việc bảo vệ tại
mức tên tập dữ liệu.
Tái sử dụng đối tượng trong ACF2

ACF2 cung cấp một cả năng cấu hình để bỏ đi tất cả các tập dữ liệu và dung lượng trong
hệ thống. Chức năng tự động xóa (AUTOERAS) của ACF2 xác định khi mà ACF2 có
thể được sử dụng để lạo bỏ đi các tập dữ liệu và dung lượng khi người dùng xóa chúng.
Việc thiết lập này có thể làm trong phần “OPTION IN EFFECT” của GSO control.
Kiểm tra lại - Auditing

ACF2 có khả nang cấu hình để thực hiện việc kiểm tra lại và ghi lại những thông tin vào
log.

Câu lệnh SHOW PROGRAMS sẽ cho biết danh sách các chương trình đang chạy trong

hệ thống.
Kiểm tra lại - Auditing
GSO control có thể được cấu hình để tạo ra để bảo vệ các thông tin kiểm tra :

ACF2 COMMON :

Nằm trong “SYSTEM PARAMETERS IN EFFECT” và “SMF RECORD NUMBERS”

Thiết lập này sẽ xác định số lượng bản ghi chính được lưu lại cho các chức năng của ACF2 .

TAPE BLP :

Nằm trong “OPTIONS IN EFFECT”

Thiết lập này cho thấy một bản log kiểm tra được tạo ra khi người dùng bảo qua việc gắn nhãn
tape khi được cấu hình là LOG

STC OPTION :

ở phần “OPTIONS IN EFFECT”

Thiết lập này chỉ ra rằng nhiệm vụ của hệ thóng phải được phân quyền bởi ACF2 trước khi
cho phép truy cập vào tập giữ liệu khi được cấu hình là ON
CA – Top Secrect

Giống như CA-ACF2 cũng là một sản phẩm của CA Technologies cung cấp để quản lý người dùng
dưới dạng kiểm soát truy cập tới các nguồn tài nguyên và phân quyền người dùng, cũng như cung cấp
báo cáo và lưu lại một cách nhanh chóng.

Các CA-Top Security bảo vệ các tập dữ liệu ( và tất cả các tài nguyên khác) được và hiểu “việc bảo vệ

dựa trên người dùng”. Điều đó có nghĩa là, bất kì khi nào quyết định một người dùng có thể truy cập
vào một tập dữ liệu xác định, CA-Top Secrect bắt đầu với người dùng Accessor ID (ACID là ID được
gán cho cho người dùng),
ACIDs
Bạn có thể hạn chế việc truy cập của một ACID :

Một thiết bị đầu cúôi cụ thể hoặc CPU

Chỉ truy cập và một ngày trong tuần hoặc trong một số giờ nhất định

Truy cập thông qua một facility cụh thể như TSO hay CICS
Cấu trúc ACID

Một ACID có thể dài 8 ký tự

Tương ứng với user ID của người dụng trong hệ thống.

Có thể sử dụng cùng ACID cho tất cả các facility hoặc sử rụng ACID khác
nhau cho từng facility (như là TSO, CICS, hay z/VM)
Chức năng của ACID

Chức năng của ACID cho phép bạn thực hiện các nhiệm vụ cụ thể và “báo
cáo” về tổ chức ACID. Các chức năng của ACID có sẵn :
+ User ACID
+ Nhóm ACIDs
Việc tổ chức ACIDs

Phòng ACIDs (Department ACID):
Người dùng thường làm việc trong một phòng cụ thể. CA – Top Secrect cho phép tách hợp lý
bằng việc yêu cầu mỗi ACID của người dùng phải được liên kết với một department ACID.

Mỗi department được gán cho một Department ACID duy nhất. Bạn có thể gán tài nguyên cho
một department, tại vị tríc mà được gợi ý.
Việc tổ chức ACIDs

Zone ACIDs – Khu vực ACIDs:

Sử dụng một khu vực để nhóm 2 hay nhiều những bộ phận nhỏ.

Mỗi khu vực được gán cho zone ACID duy nhất.

Tài nguyên có thể được gán với một khu vực.

Một Department ACID không thể trực tiếp đi kèm tới một Zone, nhưng nó có thể đi
kèm với một Division ACID đã đi kèm với một Zone ACID.
Control ACID – Kiểm soát ACID

Control ACID định nghĩa các quản trị an tòan thông tin được tổ chức với các mức khác
nhau bên trong cơ sở dữ liệu CA- Top Secrect.

Một control ACID có thể là một người dùng hệ thống cơ sở.

Một control ACID có thể kiểm soát câu lệnh của hệ thống con và thực hiện các chức
năng khác như việc truy cập các tập dữ liệu và submit các công việc.