Bundesamt für Sicherheit in der Informationstechnik

M 4.217 Workload Management für z/OS-Systeme

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Die Verwaltung der Ressourcen in einem Parallel Sysplex Cluster (aberauch in einem Einzelsystem) erfolgt durch die Komponente WLM (Work Load Manager) des z/OS-Betriebssystems. Für die Sicherheit des WLM-Einsatzes sind die folgenden Hinweise zu beachten:

Schutz der Couple-Datasets

Die für WLM notwendigen Couple-Datasets sind durch entsprechende RACF-Profile (Resource Access Control Facility) zu schützen. Für die WLM-Arbeitsdateien - ein oder mehrere PDS-Dateien (Partitioned Datasets) - gelten die gleichen Regeln. Das Dienstprogramm zum Anlegen der Dateien ist über das RACF Facility-Profil MVSADMIN.WLM.POLICY zu schützen.

Schutz des Modify-Kommandos

Es ist möglich, WLM-Optionen dynamisch durch ein Modify-Kommando zu verändern. Dieses Kommando darf nur autorisierten Mitarbeitern, wie entsprechend geschulten Operatoren oder Systemprogrammierern, zur Verfügung stehen.

Schutz des Reset-Kommandos

Das Reset-Kommando muss so geschützt werden, dass nur autorisierte Mitarbeiter WLM-Regeln für laufende Jobs ändern können.

Schutz der WLM-Applikation

Die WLM-Definitionen werden durch einen ISPF-basierenden WLM-Dialog gepflegt (Interactive System Productivity Facility). Der Zugang zu der WLM-Applikation sollte über das RACF Facility-Profil MVSADMIN.WLM.POLICY geschützt werden und nur autorisierten Mitarbeitern zur Verfügung stehen (Service- und Kapazitäts-Management).

Übereinstimmende Autorisierung

Definierte WLM-Vorgaben (z. B. die Service Class) können sowohl über MVS-Kommandos als auch über die SDSF-Schnittstelle (System Display and Search Facility) geändert werden. Es muss sichergestellt werden, dass die Berechtigungen zum Ändern des WLM über MVS-Kommandos und über das SDSF gleich sind.

Prüffragen:

  • Sind die für WLM von z/OS -Systemen notwendigen Couple-Datasets durch entsprechende RACF -Profile geschützt?

  • Steht das Modify-Kommando, das WLM-Optionen unter z/OS dynamisch verändern kann, nur den hierzu autorisierten Mitarbeitern zur Verfügung?

  • Ist das Reset-Kommando so geschützt, dass nur autorisierte Mitarbeiter WLM-Regeln für laufende Jobs des z/OS -Systems ändern können?

  • Ist der Zugang zu der WLM-Applikation des z/OS -Systems über das RACF Facility-Profil MVSADMIN.WLM.POLICY geschützt?

  • Steht die WLM -Applikation des z/OS -Systems nur autorisierten Mitarbeitern zur Verfügung?

  • Sind die Berechtigungen zum Ändern des z/OS - WLM über MVS -Kommandos und über das SDSF gleich?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK