使用 CONFDATA 从 CICS 跟踪中移除敏感数据
CICS® 跟踪数据可能包含敏感数据,如密码和类似令牌。 这发生在 CICS 中的各种位置,例如传输数据和容器。 您可以使用 CONFDATA 系统初始化参数和 CONFDATA 事务属性,防止机密数据出现在事务或系统转储的外部和内部跟踪记录中。 有关 CICS 中完整性和保密性的信息,请参阅如何工作: CICS 中的保密性和完整性。
CONFDATA 机制
根据 CONFDATA 系统初始化参数和 CONFDATA 事务属性的设置编辑数据,如下表中所示。
| 系统初始化参数 CONFDATA= 隐藏 |
系统初始化参数 CONFDATA=SHOW |
|
|---|---|---|
| 事务属性 CONFDATA (NO) | 未编辑 | 未编辑 |
| 事务属性 CONFDATA (YES) | 已编辑 | 未编辑 |
| CICS 事务 (请参阅 指定 CONFDATA (YES) 的CICS 事务) | 已编辑 | 未编辑 |
受 CONFDATA 机制影响的跟踪点列示在 可能包含已编辑数据的跟踪点中。
其中, CICS 将数据标识为密码或类似的安全性令牌,例如在安全域跟踪点中,从不跟踪数据。
当 CICS 尝试屏蔽敏感数据时,敏感数据仍可能出现在转储中; 因此,请确保转储数据集安全。
CONFDATA 事务属性的使用说明
CONFDATA (NO) 的缺省事务属性假定大多数用户应用程序不处理密码。 应该将 CONFDATA (YES) 设置为可能在其传输数据中包含密码的任何事务。
CONFDATA 系统初始化参数的用法说明
CONFDATA 系统初始化参数通常应设置为 HIDE 的缺省值,以防止敏感数据在跟踪条目或转储中显示。 大多数问题都可以在没有此数据的情况下进行诊断。 如果需要在 CONFDATA 设置为 SHOW 的情况下重现问题,请注意可能会公开密码数据。
更改正在运行的系统中的 CONFDATA 设置
可以使用 CSFE DEBUG 来更改正在运行的系统中 CONFDATA 系统初始化参数的值。 (可选) 您还可以使用它来更改事务的 CONFDATA 选项。 确保您有权使用 CSFE 事务。 有关更多信息,请参阅 使用 CSFE 来更改 CONFDATA 设置。
指定 CONFDATA (YES) 的 CICS 事务
所有 CICS 系统事务都被视为 CONFDATA (YES)。
| CE , CR , CV 和 CW | CS | CP |
|---|---|---|
|
|
|
可能包含已编辑数据的跟踪点
| 组件 | 跟踪点 | 可能包含敏感数据的数据 |
|---|---|---|
| z/OS® Communications Server | 美联社 FC90-91 | z/OS Communications Server receive-任何输入区域 (RAIA) 存储器,其中包含在处理 RECEIVE ANY 操作时以及在标识目标事务之前创建的初始输入。 仅跟踪正常数据的前 4 个字节或函数管理头 (FMHs) 的前 8 个字节。 |
| MRO | 美联社 DD16 美联社 DD23 美联社 DD25 美联社 FC9B |
在 MRO 链路上接收到初始输入。 |
| EXCI | 美联社 4E25-26 | 如果 CONFDATA=HIDETC 在 DFHXCOPT 中。 |
| IPIC | SO 0201-02 SO 029D |
|
| HTTP (Web) | WB 0700-01 WB 0410 |
|
| HTTP (IP) | IS 0602-03 IS 0702-03 IS 0906 |
|
| FEPI | AP 1243-44 美联社 145E-61 AP 1595-99 |
FEPI 屏幕和 RPL 数据区 (RPLAREA) 区域和用户数据。 |
| CICS 客户机 | 美联社 3057-5A | |
| 集装箱 (Web Service) |
PG 1910-12 PG 1921 |
DFHREQUEST 容器中的数据。 |
已编辑的跟踪数据将替换为字符串SUPPRESSED BY CONFDATA=HIDE或者类似的。