Oma kogemuses IBM-i suurarvutite IT-auditite tegemisel soovisime jagada oma kogemusi programmi RACF DSMON (Data Security Monitor) kasutamisega. Seda programmi saab kasutada kasulike aruannete komplekti käitamiseks suurarvutisüsteemi ja turbekeskkonna kohta.
Pange tähele, et DSMON on asjakohane ainult suurarvutite puhul, millele on IBM Security Server komplekti osana installitud RACF – Resource Access Control Facility.
DSMON-i aruanded koostatakse eelpakendatud töö abil. DSMON-i aruannete käitamiseks peab operaatoril üldiselt olema atribuut “audiitor”.
Allpool on loetletud kümme DSMONi aruannet koos lühikirjelduse, aruande sisu ja IT-audiitorile vajaliku teabega.
1. SÜSTEEM. See aruanne sisaldab põhiteavet süsteemist, riistvarast (CPU) ja RACF-ist. Audiitorid saavad seda kasutada operatsioonisüsteemi ja RACF-i versioonide ajakohasuse kontrollimiseks.
2. RACGRP rühmapuu aruanne. Selles aruandes kuvatakse omandiahelaga rühmade hierarhia. Audiitorid saavad seda aruannet kasutada rühmade nimedes kasutatavate nimetamistavade jälgimiseks.
3. SYSPPT programmi atribuutide tabel (PPT) kuvab programmid, mis käivituvad eriõigustega, nagu paroolikaitse ümbersõit. Seda aruannet saab kasutada iga tabelis oleva programmi kinnitamiseks.
4. RACAUT RACF volitatud helistajate tabel. See tabel näitab volitamata programme, mis võivad kutsuda esile privilegeeritud RACF-i funktsioone. Audiitorid tahavad üldiselt näha seda tabelit tühjana, välja arvatud harvad erandid.
5. RACCDT RACF klasside kirjelduste tabel. See tabel näitab RACF-i üldiste ressursiklasside olekut – aktiivne või mitteaktiivne. Audiitorid saavad selle aruande abil kinnitada, et auditeerimine on lubatud ja universaalse juurdepääsu vaikevolituse (UACC) seadistus.
6. RACEXT RACF väljub. Väljumiste või alamprogrammide loend. Audiitorid peaksid kontrollima seda aruannet täiendavate või volitamata väljumiste suhtes.
7. RACGAC RACF globaalse juurdepääsu tabeli aruanne. Iga RACF-i üldressursiklassi puhul kehtivad globaalsed juurdepääsuüksused.
8. RACSPT RACF alustatud protseduuride tabel. Näitab alustatud ülesannetega seotud kasutaja- ja rühma ID-sid ning privilegeeritud või usaldusväärset olekut. Kirjed on alamsüsteemi käivitamisel ja taastamisel tavalised. Audiitorid peaksid olema teadlikud siin kuvatavatest „privilegeeritud” või „usaldusväärsetest” atribuutidest.
9. RACUSR RACF kasutaja omistamise aruanne. Selles aruandes kuvatakse kasutajad atribuutidega „special”, „operations” ja „auditor”. Audiitorid peaksid sellele aruandele erilist tähelepanu pöörama, kuna need atribuudid annavad suurarvuti keskkonnas võimsa autoriteedi.
10. SYSSDS Selected Datasets Report. Tundlike andmekogumite kohta on mitmeid andmekogumi aruandeid, sealhulgas põhi- ja kasutajakataloogid, linkide loend ja APF (volitatud programmirajatise) teegid. Iga valitud andmestik kuvatakse koos selle köite seerianumbriga, millel andmestik asub, valikukriteeriumi, RACF-i näidustatud või RACF-kaitsega andmestiku ja andmestiku universaalse juurdepääsu volitusega (UACC).
Lõpptulemus on see, et DSMONi aruanded on väga kasulikud IT-audiitorile, kes vaatab üle IBMi suurarvutisüsteemi. Need aruanded on väga kasulikud IT-auditi jaoks olulise teabe hankimiseks.
Viide: IBM z/OS Security Server RACF Auditori juhend.