CA ACF2 12 for z/OS (eTrust CA-ACF2 Security)
CA ACF2 12 for z/OS (eTrust CA-ACF2 Security) предоставляет всеобъемлющую и инновационную систему обеспечения безопасности для сред бизнес-транзакций, включая z/os Unix и Mainframe Linux. Это позволяет организациям полностью реализовать надежность, масштабируемость и рентабельность мэйнфреймов. Вместе с распространяемыми компанией СА решениями для безопасности, CA ACF2 помогает защитить все предприятие.
Основные возможности:
Всеобъемлющая безопасность CA. ACF2 обеспечивает полную безопасность ресурсов z/OS в ОС, подсистемах, программных продуктах OEM и базах данных (БД).
- Поддержка версий. ОС CA ACF2 поддерживает новые версии ОС сразу после их выхода.
- Использование новых версий. CA ACF2 использует преимущества новых возможностей и функций, чтобы обеспечить расширенную функциональность администрирования и управления безопасностью.
Полное управление пользователями. Индивидуальное управление учетными записями - это ключ к эффективной информационной безопасности. Многие правительственные законы и корпоративные политики требуют разделения функций или обязанностей. CA ACF2 позволяет реализовать такие структуры и решить, какие политики применять.
- ПользователиCA ACF2 предоставляет удобные функции администрирования, которые адаптируются к организационной структуре и процедурам, чтобы поддерживать соответствие нормам и законам.
- Использование ролей в системе безопасности Строка идентификации пользователя (UID) в CA ACF2 упрощает реализацию системы безопасности на базе ролей. Это гибкий механизм, который позволяет адаптировать систему к организационным изменениям.
- Индивидуальный учет Каждый идентификатор пользователя защищен паролем. Единые политики паролей вводятся во всей организации, что укрепляет эффективность системы защиты паролями и повышает безопасность информации.
- Вход в систему CA ACF2 управляет входом практически во все подсистемы z/OS и приложения VTAM/TCPIP, включая TSO, пакетные задания, z/OS UNIX, mainframe Linux, CICS, IMS, DB2 UDB for z/OS и др.
- Создание цифровых сертификатов Чтобы помочь вам сократить время и силы при администрировании, необходимые для поддержки цифровых сертификатов, CA ACF2 позволяет генерировать, администрировать и обрабатывать запросы на сертификаты, а также экспортировать ключи.
Управление данными и ресурсами. Руководители центра данных отвечают за обеспечение целостности всех данных и программ, которые хранятся в их компьютерных системах. Любые потери данных потенциально могут привести к финансовым убыткам.
- Защита по умолчанию. CA ACF2 защищает от потери данных или неправильного обращения с ними, по умолчанию обеспечивая безопасность всей информации. При правильном внедрении CA ACF2 для обеспечения безопасности данных не требуется никаких действий.
- Управление совместным использованием данных. CA ACF2 требует предоставления разрешений, которые дают доступ к ресурсам. Этот процесс позволяет знать и контролировать, кто и к чему имеет доступ.
Аудит и мониторинг. Во многих странах законы требуют от организаций установления внутренних средств контроля за хранящимися на компьютерах данными. CA ACF2 содержит различные функции аудита, которые предоставляют информацию и возможности, необходимые для контроля доступа и оценки прав доступа.
- Аудит. CA ACF2 создает записи для аудита практически любого события, относящегося к безопасности. Это может быть запуск или остановка системы безопасности, любая команда на изменение работающей системы безопасности, успешный или неуспешный вход пользователя в систему или выход из нее, удачный или неудачный доступ к контролируемым данным или ресурсам, а также изменения в БД системы безопасности и любые события, связанные с безопасностью в z/OS UNIX. Кроме того, CA ACF2 предоставляет команду ACCESS. Она выполняет задачу быстрого просмотра сведений о доступе к данным или ресурсам.
- Отчеты. CA ACF2 предоставляет широкий набор генераторов отчетов, который позволяет просматривать и анализировать информацию о событиях системы безопасности. Кроме того, продукт позволяет ограничивать вывод определенной записи в соответствии с привилегиями и ограничениями конкретного пользователя, который запускает отчет.
Разделение административных функций. Администрирование системы безопасности не менее важно, чем реализация самой этой системы. Ограничение круга людей, которые могут предоставлять доступ и определять пользователей, - это краеугольный камень эффективной системы безопасности. CA ACF2 обеспечивает разделение функций и обязанностей по администрированию системы безопасности. Это дополнительная степень контроля, которая защищает системы и сохраняет целостность системы безопасности.
- Децентрализованное или централизованное администрирование CA ACF2 предоставляет несколько способов разделения функций администрирования системы безопасности. Во-первых, этот продукт обеспечивает несколько различных уровней административных привилегий над пользователями и/или ресурсами. Кроме того, привилегии можно ограничивать определенными функциями безопасности, областями или ресурсами.
- Изменения в безопасности Стандартные отчеты показывают обновления, добавления, изменения или удаления любых пользователей или правил в CA ACF2, а также других объектов системы безопасности.
Различное администрирование. Без правильного администрирования нельзя дать никакой гарантии, что система безопасности структурирована правильно. Чтобы помочь добиться соответствия бизнес-требованиям и облегчить процесс администрирования, в CA ACF2 включены гибкие и мощные административные средства.
- Обработка команд CA ACF2 позволяет администрировать безопасность различными способами, например, с помощью TSO, пакетных заданий, CICS, IMS и CA Identity Manager.
- Администрирование системы безопасности при наличии нескольких образов В среде с несколькими образами системы можно посылать команды CA ACF2 с одного узла на другой, либо сразу на несколько узлов. Это выполняется с помощью средства CA ACF2, которое называется Command Propagation Facility (CPF).
Совместное использование информации системы безопасности. Чтобы сократить объем администрирования безопасности, количество человеческих ошибок и затраты, необходимо с помощью сетевой среды организовать совместное использование информации, относящейся к безопасности. CA ACF2 работает с другими решениями и обеспечивает безопасность информации при работе с ней в сети.
- CA LDAP Server. Этот компонент предоставляет единый интерфейс для запроса приложениями служб безопасности, включая добавление, обновление и извлечение данных. Продукт можно использовать для безопасного выполнения аутентификации пользователей от имени бизнес-приложений, работающий на z/OS и других платформах, подключенных через TCP/IP. Вы можете эффективно использовать существующую информацию, хранящуюся в решении для обеспечения безопасности в z/OS. Также можно создать систему авторизации пользователей во всем предприятии, столь же мощную, как на мэйнфреймах. Для этого надо организовать соединение с CA ACF2 через CA LDAP Server.
- Службы каталогов LDAP Службы каталогов (LDAP Directory Services, LDS) обеспечивают гибкую интеграцию с существующими определениями схемы. При этом специализированные интерфейсы для организации доступа к данным системы безопасности становятся не нужны.
- CA Distributed Security Integration (CA DSI) Эта отдельная программа-"демон" работает в среде z/OS UNIX, независимо от CA LDAP Server. Кроме того, CA DSI позволяет приложениям, работающим на платформе Windows, выполнять вызовы к CA ACF2.
- Поддержка Linux на системах z/Series Подключаемый модуль аутентификации (Pluggable Authentication Module, PAM) - это архитектура с открытым исходным кодом. Она позволяет компоненту CA ACF2 действовать в качестве сервера аутентификации для одной или более Linux-систем. При этом исключается необходимость дублирования администрирования системы безопасности и определения пользователей отдельно для каждой системы.
- IBM Policy Director (PDAS) CA ACF2 использует общий интерфейс SAF для поддержки использования клиентами компонента IBM Policy Director.
- Новый компонент CA Web Administrator for ACF2 Раньше у пользователей CA ACF2 были лишь ограниченные варианты сопровождения информации о безопасности в z/OS, связанные с использованием текстовой командной строки. С уходом опытных администраторов безопасности пользователи пытаются обслуживать свои системы с привлечением менее опытного персонала, возможно, не работавшего на мэйнфреймах. Нужно что-то, что поможет этим новым администраторам выполнять свои задачи. Это что-то должно быть легче и быстрее, чем чтение руководства администратора на 1000 страниц и попытки понять правильный синтаксис команды. Web Administrator поможет этим новым администраторам. Этот продукт предоставляет графический интерфейс пользователя на базе Интернет-браузера.
Ключевые характеристики:
- CA Web Administrator предназначен для того, чтобы предоставить общее административное решение для CA ACF2 с использованием графического интерфейса пользователя на базе браузера.
- CA Web Administrator обменивается данными с CA ACF2 через CA LDAP Server.
- Все администрирование делается в реальном масштабе времени для "живых" данных CA ACF2.
- Возможность администрировать CA ACF2 откуда угодно: нужен лишь браузер. Это совершенно безопасно, поскольку используется SSL.
- Позволяет администратору вводить собственные команды из графической оболочки и получать ответ.
- Ограничивает доступ к данным с использованием собственных зон безопасности.
- Возможность выполнять команды с консоли во время предварительной и последующей обработки любой записи.
- Упрощает администрирование, так что нет необходимости запоминать команды текстовой консоли или сотни полей. Это сокращает кривую обучения для администраторов-новичков.
- Все действия можно регистрировать в журнале для последующего аудита (в собственных записях SMF).
CA WEB ADMINISTATOR
Рисунок А
Закладки Logon ID и Profile в CA ACF2 при использовании CA Web Administrator.
Что нового в CA ACF2 12 for z/OS
ФУНКЦИЯ/ВОЗМОЖНОСТЬ |
ПРЕИМУЩЕСТВА |
Сompliance Information Analysis
|
Compliance Information Analysis ("Анализ информации о соответствии требованиям") - это новая возможность в CA ACF2. Она предоставляет возможность реплицировать информацию о соответствии нормам безопасности из БД системы безопасности в репозиторий реляционной БД DB2. Для получения отчетов о соответствии требованиям регулирующих органов требуется следующая информация: учетная запись (пользователь) и политика (правила или разрешения). Другие виды информации, хранящейся в БД системы безопасности, в репозиторий данных не включаются. Информация в репозитории DB2 используется для набора отчетов о соответствии требованиям, которые распространяются с продуктом для обеспечения безопасности. Кроме того, можно использовать информацию в репозитории для выполнения произвольных запросов на языке SQL, включая запросы, влияющие на производительность при их применении к БД системы безопасности мэйнфрейма. Также можно разрабатывать специализированные приложения для системы безопасности и отчеты, которые используют информацию из репозитория, относящуюся к безопасности. |
Новый графический интерфейс пользователя на базе браузера
|
CA Web Administrator - это новая возможность в CA ACF2. Этот инструмент предназначен для того, чтобы предоставить общее административное решение с использованием графического интерфейса пользователя на базе браузера. Все администрирование делается в реальном масштабе времени для "живых" данных CA ACF2. |
Улучшенный CA LDAP Server |
Компонент CA LDAP Server был улучшен и теперь полностью поддерживает все управляемые объекты системы безопасности. Теперь также включена поддержка IPv6. |
Утилита для идентификации и создания схемы использования сертификатов |
Появилась новая утилита, которая помогает управлять цифровыми сертификатами в вашей среде. Функция SAFCRRPT отображает все выбранные сертификаты, какие сертификаты подписали каждый сертификат, какие сертификаты были подписаны текущим сертификатом, список регистрации сертификата в одной зоне, информацию о сертификатах в определенном кольце ключей, а также все сертификаты, срок действия которых истекает через заданное количество дней. |
Улучшенный CA PAM Client ограниченный доступ к файлу unixpriv |
Компонент CA PAM Client улучшен и теперь поддерживает NSS для извлечения пользовательской информации. Улучшения в CA ACF2 включают поддержку для ограниченного доступа пользователей к файлам и каталогам UNIX. Биты разрешений OWNER, GROUP и OTHER назначаются владельцем каталога UNIX или файла при его создании. Если пользователь не является владельцем файла или не состоит в группе, которая имеет право на доступ к файлу, то возможность доступа проверяется по другим битам доступа. |
Улучшения в статистическом анализе |
Управляющая опция STATREC дает администраторам возможность указывать определенные функции, для которых собирается статистика. Это позволяет администратору управлять объемом реальной статистики, которая собирается в любой данный момент времени. Управляющая опция STATSLOG позволяет администратору выбирать вывод в набор данных SMF или MVS. Это предоставляет администратору альтернативные варианты в отношении хранения статистических данных. |
Улучшение функций служб каталогов LDAP |
В версии CA ACF2 12 к компоненту служб каталогов LDAP (LDAP Directory Services, LDS) добавлен ряд новых улучшений. Теперь можно указывать более одного элемента URL. Второе и третье значения URL будут рассматриваться как резервная копия или запасное значение в случае сбоя главного соединения. Теперь можно указывать новый тип данных (UNICODE) для поля XREF. Теперь можно активировать две новые глобальные опции. Опция PSWDLOWR используется, чтобы пересылать все изменения пароля в нижнем регистре. Опция CODEPAGE определяет двадцатибайтовое символьное поле, которое указывает, какая кодовая таблица символов должна используется для перевода символов при вводе в систему. Теперь LDS обладает возможность определять элементы NODELIST для пользователей. Эти новые записи можно использовать для указания на административные изменения в определенном наборе узлов LDAP для пользователей, не входящий в список узла по умолчанию. |
Поддержка для z/os 1.8 |
Поддержка z/OS 1.8 включает поддержку парольной фразы, службы инфраструктуры открытых ключей (PKI), поддержку JES3 TCPIP и дополнительные улучшения в R_cacheserve.
• Улучшение в механизме парольной фразы обеспечивает поддержку приложений, которые используют парольные фразы. Парольная фраза - это строка уникальных символов, состоящая из алфавитно-цифровых и специальных символов разного регистра, включая пробелы. Длина парольной фразы составляет от 14 до 100 символов.
• Вызываемая служба R_PKIServ изменена. Теперь она поддерживает новые возможности z/OS 1.8, которые включают в себя несколько экземпляров PKI Server и поддержку сертификатов устройств, использующих протокол SCEP.
• Теперь CA ACF2 поддерживает NJE через TCP/IP для JES3 в z/OS 1.8.
• Вызываемая служба R_PKIServ изменена. Теперь она поддерживает новые возможности z/OS 1.8, которые включают в себя поддержку кэширования на чтение и запись.
|
Команда модификации синхронизации кэша |
Добавлена новая команда ‘F ACF2,CACHESYN(START / STOP)’. Она позволяет запустить или остановить процесс синхронизации кэша. |
Одинарные кавычки в logonid |
Одинарные кавычки в Logonid: улучшения в CA ACF2 r12 позволяет использовать одинарные кавычки в определяемых пользователем полях Logonid. Запись CFDE улучшена и включает теперь новый бит SNGLQT во флаге поля STATUS. Он указывает, что символьное поле может содержать одинарные кавычки. |
Улучшения исходной группы |
В CA ACF2 r12 добавлена новая подпрограмма (ACF00SSY) для списка исходных групп (Source Group List). Эта новая функция дополняет текущую подпрограмму ACF00SSL и добавляет к ней новую функциональность. Новая подпрограмма ACF00SSY позволяет передавать SYSID в качестве входного параметра, и в качестве результата вернет только группы из этого SYSID. ACF00SSY также обладает возможностью принимать в качестве входного параметра название группы и возвращать список групп, в которых эта группа явно указана. |
Новые возможности паролей |
Для соответствия нормам в области безопасности в CA ACF2 r12 добавлен ряд новых средств управления паролями. Они включают в себя: хотя бы один символ в нижнем регистре, хотя бы один символ в верхнем регистре, запрет использования идентификатора пользователя в пароле и запрет использования имени пользователя в пароле. |
Новые поля записи logonid |
Теперь в CA ACF2 указывается время и дата создания записи logonid. CA ACF2 отображает дату в формате ММ/ДД/ГГ, ДД/ММ/ГГ или ГГ/ММ/ДД, в зависимости от поля DATE записи GSO OPTS. Кроме того, добавлено поле записи, которое указывает суммарное количество неправильных попыток ввода пароля пользователем, которые имели место после создания записи logonid. |
Улучшения отчетов и утилит интеграция с ca cleanup for acf2 |
Ряд отчетов и утилит ACF в CA ACF2 r12 были улучшены и обновлены, чтобы обеспечить соответствие требованиям регулирующих органов. Теперь в CA ACF2 возможность обмена данными с CA Cleanup r12 for ACF2. В этой новой версии можно опционально отслеживать ресурсы DB2 и тестовые команды ACF.
CA Cleanup - это полное решение, которое поможет идентифицировать и удалить устаревшие, неиспользуемые, избыточные и чрезмерные права доступа в системе безопасности мэйнфрейма. |
|