规划数据集加密
您可以对与支持 z/OS® 数据集加密的 CICS ® 配合使用的任何数据集进行加密。 其中包括通过 CICS 文件控制 API 访问的用户数据集、用于 CICS 额外分区瞬态数据的排队顺序存取法 (QSAM) 数据集、配合 CICS 一起使用的基本顺序存取法 (BSAM) 数据集和属于合适的加密候选的 CICS 系统数据集。
您可以将数据集加密用于 CICS TS for z/OS的任何在职发行版。 z/OS 数据集加密在应用了 APAR OA50569 和更高发行版的 PTF 的 z/OS 2.2 中受支持。
加密数据集必须是存储管理子系统 (SMS) 管理的扩展格式。 要创建加密数据集,请在分配该新数据集时将密钥标签分配给该数据集。 密钥标签必须指向将用于对数据进行加密或解密的集成加密服务设施 (ICSF) 密钥数据集 (CKDS) 中的 AES-256 位加密密钥。 密钥标签不是敏感信息,但它标识的加密密钥是。
对 CICS 用户数据集的加密支持
对于定义到 CICS 的用户数据集,加密支持包括通过基本 VSAM 和 VSAM 记录级别共享 (RLS) 访问的密钥顺序数据集 (KSDS) ,条目顺序数据集 (ESDS) ,相对记录数据集 (RRDS) 和变量相对记录数据集 (VRRDS)。 对于用于共享数据表或耦合设施数据表的支持 VSAM 密钥排序数据集,也支持加密。
对 CICS 系统数据集的加密支持
您可以对支持加密的任何 CICS 系统数据集进行加密,但某些系统数据集是加密的好候选者,而其他系统数据集则不是。
- 具有 可能 包含敏感数据的数据集是加密候选者。 您必须评估哪些数据集可能包含敏感数据以及是否对其进行加密。
- 不包含也不太可能包含敏感数据的数据集不是加密的候选者。
下表列出了可进行加密的 CICS 系统数据集,以及它们是否是加密的候选者。 如果要使用 加密所有内容
方法,那么可以对此表中列出的所有数据集类型进行加密。
| CICS 系统数据集 | 要加密吗? | 特殊注意事项 |
|---|---|---|
| 临时存储器数据集 (DFHTEMP) | 是,可能包含敏感数据。 | DFHTEMP 支持扩展格式,但 不 支持扩展寻址。 |
| 分区内瞬时数据 (DFHINTRA) | 是,可能包含敏感数据。 | DFHINTRA 支持扩展格式,但 不 支持扩展寻址。 |
| 分区外瞬时数据(extrapartition transient data) | 是,可能包含敏感数据。 | 分区数据集 (PDS) 不支持加密。 |
| 辅助跟踪数据集 (DFHAUXT 和 DFHBUXT) | 是,可能在诊断中包含敏感数据。 或者,使用 CONFDATA 系统初始化参数,这可能提供足够的保护。 | 如果跟踪数据已加密,并且您需要将其发送到 IBM® 以进行诊断,请使用 CICS 跟踪格式化或其他方法来确保发送解密数据。 |
| CICS 转储数据集 (DFHDMPA 和 DFHDMPB) | 是,可能在诊断中包含敏感数据。 或者,使用 CONFDATA 系统初始化参数,这可能提供足够的保护。 | 如果转储数据已加密,并且需要将其发送到 IBM 以进行诊断,请使用 CICS 转储格式化或其他方法来确保发送解密数据。 CICS 转储数据集支持扩展格式,但 不 支持扩展寻址。 |
| DOCTEMPLATE 资源 | 是,可能包含敏感数据。 | 前提是所使用的数据集是支持加密的类型。 |
| 用于静态传递的 URIMAP 资源 | 是,可能包含敏感数据。 | 前提是所使用的数据集是支持加密的类型。 |
| BTS 存储库数据集和 BTS 本地请求队列 (LRQ) 数据集 | 否,仅包含控制数据。 | 无。 |
| 全局和本地目录数据集 (DFHGCD 和 DFHLCD) | 否,仅包含配置数据。 | 仅当您认为 CICS 配置数据是敏感信息时才考虑。 |
| CICS 系统定义数据集 (DFHCSD) | 否,仅包含有关资源配置的信息。 | 仅当您认为资源定义包含任何敏感信息时才考虑。 |
| CMAC 消息数据集 (DFHCMACD) | 否,仅包含消息详细信息。 | 仅当添加了您认为包含敏感数据的自己的消息时,才请考虑此问题。 |
| 用于捆绑软件定义和 Web Service 的 zFS 文件 | 否,仅包含配置信息。 | 仅当您认为捆绑软件定义包含任何敏感信息时,才应考虑此问题。 |