Bundesamt für Sicherheit in der Informationstechnik

M 2.287 Batch-Job-Planung für z/OS-Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Beim Einsatz eines z/OS-Systems als Stapelverarbeitungs-Systems ist es bei einer größeren Anzahl von Batch-Jobs unabdingbar, dass der Ablauf dieser Jobs geplant, überwacht und bearbeitet werden muss. Da diese Tätigkeit manuell ohne Fehler kaum noch realisierbar ist, sollte Automations-Software, sogenannte Job-Scheduler, zur Ablaufsteuerung der Batch-Jobs eingesetzt werden.

Aufgaben der Job-Scheduler

Die Aufgabe der Job-Scheduler besteht im wesentlichen aus den Funktionen

  • Starten der Batch-Jobs
  • Überwachen des Betriebszustandes der Batch-Jobs (darüber hinaus sicherstellen, dass Ressourcen bereitstehen)
  • Prüfen der Ergebnisse (über Returncodes) der Batch-Jobs
  • Verfolgen der Abhängigkeiten von Batch-Jobs
  • Verwalten des Status der Batch Jobs
  • Korrektive Maßnahmen im Fehlerfall

Die Sicherheitsmechanismen, um den Job-Scheduler vor Missbrauch zu schützen, sollten durch ein Sicherheitssystem wie RACF (Resource Access Control Facility) realisiert werden.

Für den Einsatz des Job-Schedulers sind mindestens die folgenden Hinweise zu beachten:

Attribut OPERATIONS

Der Einsatz des RACF-Attributes OPERATIONS für die Kennung der Started Task des Job Schedulers sollte vermieden werden. Anderenfalls besteht die Gefahr, dass Batch-Jobs, die unter dieser Kennung gestartet werden, Zugriff zu nahezu allen Produktionsdateien haben (siehe M 2.289 Einsatz restriktiver z/OS-Kennungen und M 4.211 Einsatz des z/OS-Sicherheitssystems RACF ). Falls der Hersteller für den Betrieb des Job-Schedulers das Attribut OPERATIONS fordert, sollte mit dem Hersteller geklärt werden, ob es hierzu Alternativen gibt.

Einsatz von RACF-SURROGAT-Kennungen

Um zu verhindern, dass die Batch-Jobs aus dem Job-Scheduler heraus unter der eventuell hoch autorisierten Kennung des Job-Scheduler laufen, sollte überlegt werden, ob RACF-SURROGAT-Kennungen als Verfahrenskennungen eingesetzt werden können. Dabei sind die Nachteile dieser Funktion zu berücksichtigen (siehe M 2.289 Einsatz restriktiver z/OS-Kennungen ).

Prozedurdateien

Die Prozedurdateien des Job-Schedulers müssen so über RACF geschützt werden, dass der Zugriff auf die Prozedurdateien nur Mitarbeitern möglich ist, die diesen Zugriff für ihre Tätigkeit auch benötigen. Dabei ist die Anzahl auf ein Minimum zu beschränken. Eine Stellvertreter-Regelung muss in jedem Fall vorgesehen sein.

Die Kennung des Job-Schedulers muss lesenden Zugriff auf alle Prozedurdateien besitzen, um die Batch-Jobs entsprechend starten zu können.

Tool-Zugriff

Der Job-Scheduler wird meist über einen ISPF-Dialog (Interactive System Productivity Facility) gesteuert. Der Zugang zum Job-Scheduler sollte nur Mitarbeitern zur Verfügung stehen, die ihn für ihre Arbeit benötigen, sowie deren Vertretern. Der Zugangs- und Zugriffsschutz sollte über RACF erfolgen. Falls dies nicht möglich ist, müssen interne Sicherheitsmechanismen des Schedulers genutzt werden.

Systemadministration

Die Verwaltung der Batch-Jobs im Job-Scheduler sollte, wenn immer möglich, so über RACF geschützt werden, dass jede Anwender-Gruppe, wie Systembetreuer, Space-Management oder RACF-Administration, nur ihre Batch-Jobs einsehen und bearbeiten kann.

Prüffragen:

  • Werden bei Einsatz eines z/OS-Systems zur Ablaufsteuerung von Batch-Jobs sogenannte Job-Scheduler eingesetzt?

  • Wird der Job-Scheduler auf dem z/OS-System durch ein Sicherheitssystem ( z. B. RACF ) vor Missbrauch geschützt?

  • Ist bei z/OS-Systemen sichergestellt, dass die Kennung des Job-Schedulers ohne das RACF -Attribut OPERATIONS auskommt?

  • Ist der Zugang und Zugriff zum Job-Scheduler-Programm bei z/OS-Systemen über RACF geschützt?

Stand: 13. EL Stand 2013