Bundesamt für Sicherheit in der Informationstechnik

M 4.210 Sicherer Betrieb des z/OS-Betriebssystems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein z/OS-Betriebssystem läuft im Normalfall weitgehend autonom ohne Eingriffe durch das Bedienungspersonal. Zur Absicherung des Betriebes gibt es jedoch einige Maßnahmen, die notwendigerweise ergriffen werden müssen, wenn die Funktionalitäten eines z/OS-Betriebssystems ohne Probleme zur Verfügung stehen sollen:

Überwachung

HMC-Kontrolle

Die HMC (Host Management Console) ist regelmäßig auf dort gemeldete Fehler (Hardware, Microcode, Software) zu untersuchen. Fehler, die dem Hersteller durch die RSF-Funktion (Remote Support Facility) gemeldet werden, sollten in der Betriebsorganisation bekannt sein, bevor der Hersteller anruft.

WTOR-Überwachung

WTOR-Nachrichten (Write To Operator with Reply) des z/OS-Betriebssystems müssen überwacht werden, um sicherzustellen, dass neu hinzugekommene Anfragen des Betriebssystems, falls erforderlich, sofort beantwortet werden. Analog gilt dies auch für wichtige WTO-Nachrichten (Write To Operator) des Betriebssystems oder seiner Komponenten, die unter Umständen ein sofortiges Reagieren erfordern.

System Tasks

Es muss sichergestellt werden, dass alle geplanten System Tasks aktiv sind. Dies ist meist an bestimmten Nachrichten während des Starts oder an Reaktionen der jeweiligen System Task auf Abfragen zu erkennen. Es reicht meist nicht aus, nur deren Vorhandensein durch Display-Kommandos zu kontrollieren, sondern es sollte auch die Reaktion der System Task geprüft werden.

Kapazitätskontrolle

Es muss sichergestellt werden, dass die Kapazitätsgrenzen des Systems nicht überschritten werden. Dies bedeutet, dass die planerischen Vorgaben eingehalten werden sollten, was regelmäßig zu überprüfen ist.

Überwachung der Sicherheitsverletzungen

Die Einhaltung der Sicherheitsvorgaben muss überwacht werden. Sicherheitsverletzungen müssen über die definierten Mechanismen gemeldet werden (siehe M 2.292 Überwachung von z/OS-Systemen ).

System-Auslastung

Die Systemauslastung muss mit geeigneten Mitteln überwacht werden, bei Überlastung sind korrektive Maßnahmen erforderlich, z. B. das Reduzieren der JES2/3 Initiators (Job Entry Subsystem).

Es ist zu überlegen, ob neben den standardmäßig vorhandenen Funktionen (RMF - Resource Measurement Facility) zusätzliche, spezielle Monitore eingesetzt werden sollen, um das System noch effizienter zu überwachen.

Automation System

Es ist zu überlegen, ob eine Automationsfunktion (als Eigenentwicklung oder als fertiges Produkt) eingesetzt werden sollte, um die trivialen Überprüfungen des Systems regelmäßig durchzuführen. Dazu gehört z. B. der Soll-/Ist-Vergleich aktiver Tasks und aktiver NJE-Verbindungen sowie offene Replies, System-Performance, JES2/3 Queue-Belegung und mehr. Dies ermöglicht eine einheitliche System Alive-Nachricht statt vieler unstrukturierter Nachrichten, wodurch die Kontrolle wesentlich erleichtert werden kann.

Werden mehrere z/OS-Systeme zentral von einer Funktion überwacht, sollte überlegt werden, die Ausnahme-Informationen (Events) an einer Konsole darzustellen (AlertManagement). Verschiedene Hersteller bieten entsprechende Programme im Rahmen ihrer Automationspakete an.

Automation Batch-Jobs

Es ist zu überlegen, ob eine Automationsfunktion für die Kontrolle der Batch-Jobs eingesetzt werden soll. Ab einer bestimmten Anzahl von zu kontrollierenden Batch-Jobs ist dies unabdingbar, da sonst eine konsistente Überwachung nicht mehr zu realisieren ist. Job-Scheduler, die tausende von Batch-Jobs kontrollieren können, sind von verschiedenen Herstellern erhältlich.

Reduzieren der Systemnachrichten

Systemnachrichten sollten so reduziert werden, dass nur wirklich wichtige Nachrichten dargestellt werden. Der Einsatz von Nachrichten-Filtern ist im Rahmen von Automationsfunktionen zu empfehlen (MPF - Message Processing Facility).

Focal Point Konzept

Wenn viele z/OS-Betriebssysteme eingesetzt werden, ist zu überlegen, eine zentrale Kontrollstelle (Focal Point) einzurichten.

Absicherung der Betriebsfunktionen

Informationssicherheit ist keine Einmal-Angelegenheit, sie muss im laufenden Betrieb immer wieder überprüft und auch an die Gegebenheiten angepasst werden. Solche Anpassungen erfordern im laufenden Betrieb oft sicherheitsrelevante Aktionen, die entsprechend geschützt werden müssen. Für den sicheren Betrieb eines z/OS-Systems müssen deshalb folgende Empfehlungen berücksichtigt werden:

Kontrollierte Wartungsarbeiten

An einem laufenden z/OS-System dürfen keine die Produktion beeinflussenden Wartungsarbeiten und Änderungen außerhalb des Wartungsfensters durchgeführt werden. Alle Änderungen, ob geplant oder ungeplant, müssen über ein Change-Management-Verfahren mit allen beteiligten Fachverantwortlichen abgestimmt werden. Der Change-Plan sollte zur Nachverfolgbarkeit archiviert werden.

Software Installation durch SMP/E

Eine Software-Installation darf erst nach einer Anmeldung über das Change-Management-Verfahren durchgeführt werden. Um Fehler zu vermeiden, muss zur Software-Installation ein Verfahren wie SMP/E (System Management Process Enhanced) eingesetzt werden.

Dynamische Änderungen

Viele sicherheitsrelevante Änderungen lassen sich heute dynamisch, d. h. während des Betriebs, vornehmen, ohne dass ein IPL (Initial Program Load) notwendig wäre. Dynamische Änderungen am System dürfen nur während geplanter Wartungsarbeiten, bzw. auf Antrag, ausgeführt werden. Besonders sicherheitsrelevante dynamische Befehle, wie z. B. SETAPF, REFRESH LLA, MODIFY, CONFIG, FORCE oder SET, müssen über entsprechende RACF-Profile geschützt werden. Sie dürfen nur von geschultem Personal auszuführen sein.

SDSF

SDSF (System Display and Search Facility) muss so geschützt werden, dass Unberechtigte keine Systemkommandos missbrauchen können. So darf es z. B. nicht möglich sein, beliebig viele Initiators zu aktivieren. Weiterhin muss die Prioritäten-Steuerung für Jobs im System in SDSF geschützt werden (Zuordnung von WLM-Service-Klassen). Es darf Anwendern nicht erlaubt sein, die Priorität ihrer Batch-Jobs zu ändern, um z. B. für sich eine bessere Performance zu erhalten.

Diese Empfehlung gilt analog auch für Flasher, eine JES3-Unterstützung, die in dieser Hinsicht der SDSF-Funktionalität entspricht.

Schutz der Konsolen

Der Schutz der Konsolen ist in Maßnahme M 4.207 Einsatz und Sicherung systemnaher z/OS-Terminals ) beschrieben. Es muss durch entsprechende RACF-Definitionen verhindert werden, dass sich Mitarbeiter unberechtigt Zugang zu einer EMCS (Extended Multiple Console Support) verschaffen können.

Schutz der MVS-Kommandos

z/OS-System-Kommandos dürfen nur von berechtigten Personen ausgeführt werden. Diese Kommandos müssen über entsprechende RACF-Profile geschützt sein. Es muss festgelegt werden, welche Mitarbeiter die Berechtigung für bestimmte System-Kommandos benötigen und diese ausführen dürfen. So ist zu überlegen, ob z. B. das Stoppen und Starten von Tasks allein durch das Operating zu erfolgen hat.

HCD

Bestimmte Hardware-Einstellungen können während des Betriebs eines z/OS-Systems nachträglich definiert werden. Dies erfolgt durch den HCD -Prozess (HardwareConfiguration Definition). Die Aktivierung des neuen IOCDS (Input/Output Configuration Dataset) sollte jedoch nur im Rahmen des Change-Managements durchgeführt werden.

Bei der Definition von Hardware muss darauf geachtet werden, dass es nicht vorkommt, dass Ressourcen über mehrere Einzelsysteme Shared definiertwerden. Ein Zugriff auf die gleiche Festplatte von zwei unterschiedlichen Einzelsystemen aus sollte beispielsweise nicht möglich sein. Bei Parallel-Sysplex-Konfigurationen gehört Resource-Sharing zur Architektur und ist deshalb - bei sachgerechter Konfiguration - kein Problem.

Operation (Betrieb)

Es sollte überlegt werden, für das Operating zwei RACF-Gruppen einzurichten, eine für langjährig erfahrene Operatoren und eine zweite für neue (noch unerfahrene) Mitarbeiter. Alle Mitarbeiter sollten nur die Rechte erhalten, die sie benötigen. Sie müssen für ihre Aufgaben ausreichend geschult sein. Besonders sicherheitskritische Aufgaben sollten erfahrenen Mitarbeitern übertragen werden.

Prüffragen:

  • Wird unter z/OS die Host Management Console regelmäßig auf dort gemeldete Fehler untersucht?

  • Werden WTOR-Nachrichten überwacht, um sicherzustellen, dass neu hinzugekommene Anfragen des z/OS -Betriebssystems, falls erforderlich, sofort beantwortet werden?

  • Ist sichergestellt, dass alle geplanten System Tasks des z/OS -Systems aktiv sind?

  • Werden die Systemauslastung und die Einhaltung der geplanten Kapazitätsgrenzen des z/OS -Systems geeignet überwacht?

  • Wird die Einhaltung der Sicherheitsvorgaben zum z/OS -System überwacht?

  • Werden z/OS -Systemnachrichten so reduziert, dass nur wichtige Nachrichten dargestellt werden?

  • Werden Wartungsarbeiten am z/OS -System über ein nachvollziehbares Change-Management-Verfahren mit allen beteiligten Fachverantwortlichen abgestimmt?

  • Wird zur Software-Installation unter z/OS ein Verfahren wie SMP/E eingesetzt?

  • Sind die z/OS -System-Kommandos über entsprechende RACF -Profile geschützt, so dass nur berechtigte Personen diese Kommandos ausführen können?

  • Werden die Mitarbeiter, die für das Operating des z/OS -Systems verantwortlich sind, ausreichend geschult?

Stand: 13. EL Stand 2013