平台和应用程序的安全性

您可以通过为 CICSPlex ® SM 创建 RACF® 安全概要文件来保护部署在平台上的应用程序的资源,以涵盖 CICSplex 中的平台和应用程序。

平台和应用程序的安全性设置方式类似于其他 CICSPlex SM 组件的安全性。 您可以通过在安全概要文件中标识特定视图集 (及其关联的操作命令) 来控制对该集合的访问。 通过这些安全概要文件,您可以授予用户安装,启用或禁用, 使其可用或不可用, 查询或废弃平台和应用程序的权限,并确保未经授权的用户无法创建和管理这些资源。

当您授予用户对平台或应用程序执行操作的权限时,您还授予他们对平台或应用程序的动态生成的资源执行相同操作的权限。 例如,有权启用应用程序的用户还有权对安装在 CICSplex 中所有平台的 CICS 区域中的应用程序启用 CICS® 束。 当您通过应用程序或平台对 CICS 束执行操作时,不会执行 CICSPlex SM 中的 CICS 命令和资源安全性检查以及模拟的 CICS 安全性检查。

您可以通过设置具有以下功能和类型组合的安全概要文件来保护平台及其已部署的应用程序:
CLOUD.DEF.上下文
此安全概要文件涵盖 PLATDEF 和 APPLDEF 资源表,其中包含平台和应用程序的定义。 context 是安全概要文件所涵盖的 CICSplex 的特定或通用名称。

对此安全概要文件具有 UPDATE 访问权的用户可以在 CICSPlex SM 数据存储库中创建,更新和除去平台和应用程序的定义。 具有 READ 访问权的用户可以在 CICSPlex SM 数据存储库中查看这些定义。

CLOUD.PLATFORM.上下文
此安全概要文件涵盖 PLATDEF 资源的安装以及 PLATFORM 资源上的操作。 它还允许用户查看管理部件 (MGMTPART 资源)。 context 是安全概要文件所涵盖的 CICSplex 的特定或通用名称。

对此安全概要文件具有 ALTER 访问权的用户可以在 CICSplex 中安装平台并废弃这些平台。 (要安装平台,用户还需要 CLOUD.DEF 概要文件。) 具有 UPDATE 访问权的用户可以启用和禁用平台。 具有 UPDATE 访问权的用户还可以将 CICS 区域添加到平台中的区域类型,并从平台中的区域类型中除去 CICS 区域。 具有 READ 访问权的用户可以查看 PLATFORM 资源和 MGMTPART 资源。 这些许可权适用于 CICSplex 中存在的所有平台。

CLOUD.APPLICATION.上下文
此安全概要文件涵盖 APPLDEF 资源的安装以及 APPLCTN 资源上的操作。 context 是安全概要文件所涵盖的 CICSplex 的特定或通用名称。

对此安全概要文件具有 ALTER 访问权的用户可以在 CICSplex 中安装应用程序并废弃这些应用程序。 (要安装应用程序,用户还需要 CLOUD.DEF 概要文件。) 具有 UPDATE 访问权的用户可以启用和禁用应用程序,并使其可用或不可用。 具有 READ 访问权的用户可以查看 APPLCTN 资源。 这些许可权适用于 CICSplex 中存在的所有平台中的所有应用程序。 如果对于某些应用程序需要不同的安全许可权,请使用不同的 CICSplex 来托管您在其中部署应用程序的平台。

注: 仅在维护点 CMAS 中检查这些安全概要文件。 安全性检查由维护点 CMAS 的 EYULOG 中的消息 EYUCR0009I 报告。 要接收有关违例的消息 EYUCR0009I ,必须将 CICSPlex SM 系统参数 (EYUPARM) SECLOGMSG 设置为 YES。 有关 SECLOGMSG的更多信息,请参阅 CICSPlex SM 系统参数
虽然 CLOUD 安全概要文件涵盖针对平台或应用程序动态生成的资源的操作,但用户仍可以直接对安装了这些资源的 CICSplex 和 CICS 区域中的个别资源执行一组有限的操作:
  • 您可以修改属于平台的 CICS 区域的 CICSPlex SM 拓扑定义 (CSYSDEF 或 CICS 系统定义)。 您在区域类型级别指定的属性值已锁定,无法更改,但可以更改其他属性值。
  • 您可以 使其可用或不可用 ,启用或禁用或查询安装平台或应用程序时动态创建的 BUNDLE 资源。 如果单个 CICS 束是在安装平台或应用程序时创建的,那么不能直接废弃该束。
  • 您可以查询在 CICS 束中定义并在安装平台或应用程序时创建的动态创建的资源 (例如 PROGRAM 资源)。 如果这些资源是在安装平台或应用程序时创建的,那么不能直接启用,禁用或废弃这些资源。
CICS 命令和资源安全性检查,以及 CICSPlex SM 中模拟的 CICS 安全性检查,在您直接对属于平台的 CICS 区域,个别 CICS 束或在安装平台或应用程序时创建的 CICS 束中定义的资源执行操作时适用。
  • TOPOLOGY.DEF.上下文 安全概要文件涵盖属于平台的各个 CICS 区域的 CICSPlex SM 拓扑定义上的操作。 context 是安全概要文件所涵盖的 CICSplex 的特定或通用名称。 具有 UPDATE 访问权的用户可以修改属于平台的 CICS 区域的 CSYSDEF ,但平台本身锁定的属性值除外。
  • 安装平台或应用程序时创建的 CICS 束具有以 $字符开头的唯一生成的名称。 要为以这种方式动态创建的单个 CICS 束上的操作提供安全性,您可以设置安全概要文件以指定 BUNDLE 资源类型和资源名称 $*。 对 BUNDLE.$* 具有 UPDATE 访问权的用户可以 使为平台和应用程序创建的 BUNDLE 资源可用或不可用, 或启用或禁用 BUNDLE 资源,具有 READ 访问权的用户可以查询这些 BUNDLE 资源。

如果将安全措施应用于单个 PROGRAM 资源,那么对于部署在平台上的应用程序,请保护声明为应用程序入口点的程序,但不保护应用程序中的其他程序。 您为作为平台上部署的应用程序的一部分的程序指定的安全设置适用于公共程序和专用程序,并且不考虑应用程序的版本。 声明为应用程序入口点的程序必须使用环境中唯一的 PROGRAM 资源名称。 但是,如果保护在应用程序中较低级别运行的程序,那么具有相同名称的程序可能在不同的应用程序中运行,这可能会导致不可预见的后果。 在这种情况下,用户可能有权访问声明为应用程序入口点的程序,但无权访问在应用程序中较低级别运行的程序,因为来自另一个程序名实例的安全设置已生效。 考虑应用于已声明为应用程序入口点程序的程序的安全措施,作为应用于整个应用程序的安全措施。

如果在先前的 CICS 发行版中使用了 CICS 束,请检查您为这些束的用户授予的安全许可权。 根据为 CICS 束设置安全性的方式,有权对单个 CICS 束执行操作的用户现在可能能够对在束安装过程中动态创建的资源执行操作。 请确保 BUNDLE 资源的权限级别仍然适用。

表 1 汇总了适用于在平台,应用程序,安装平台或应用程序时动态创建的单个 CICS 束或在 CICS 束中为平台或应用程序定义的资源上执行的操作的安全性检查。
表 1. 对平台,应用程序和生成的 CICS 捆绑软件上的操作进行安全性检查
操作 平台,包括其 CICS 束 应用程序,包括其 CICS 束 动态创建的 CICS 束 动态创建的 CICS 束中定义的资源
定义 CLOUD.DEF 概要文件 (UPDATE 或 READ 以查看定义); 还有 TOPOLOGY.DEF 概要文件 (用于在平台安装后修改个别 CICS 区域 CSYSDEF 的 UPDATE) CLOUD.DEF 概要文件 (UPDATE 或 READ 以查看定义) 无法单独管理资源定义 无法单独管理资源定义
安装 CLOUD.PLATFORM 概要文件 (READ) CLOUD.APPLICATION 概要文件 (ALTER) 和 CLOUD.DEF 概要文件 (READ) 无法单独安装 无法单独安装
启用或禁用 CLOUD.PLATFORM 概要文件 (UPDATE) CLOUD.APPLICATION 概要文件 (UPDATE) CICS 命令和资源安全性,以及 CICSPlex SM 中模拟的 CICS 安全性检查; 使用 BUNDLE. $* 概要文件 无法单独启用或禁用
使其可用或不可用 不适用 CLOUD.APPLICATION 概要文件 (UPDATE) CICS 命令和资源安全性,以及 CICSPlex SM 中模拟的 CICS 安全性检查; 使用 BUNDLE. $* 概要文件 无法单独提供或不可用
Inquire CLOUD.PLATFORM 概要文件 (READ); 还允许查看管理部件 CLOUD.APPLICATION 概要文件 (READ) CICS 命令和资源安全性,以及 CICSPlex SM 中模拟的 CICS 安全性检查; 使用 BUNDLE. $* 概要文件 CICS 命令和资源安全性,以及 CICSPlex SM 中模拟的 CICS 安全性检查
丢弃 CLOUD.PLATFORM 概要文件 (ALTER) CLOUD.APPLICATION 概要文件 (ALTER) 无法单独废弃 无法单独废弃

有关为 CICSPlex SM 设置安全性和创建安全概要文件的更多信息,请参阅 实现 CICSPlex SM 安全性