RACF
RACF (Resource Access Control Facility) — это программный продукт компании IBM, представляющий собой систему управления доступом к ресурсам в операционной системе z/OS (ранее OS/390, MVS). RACF является одной из основных подсистем безопасности для мейнфреймов IBM, обеспечивающей аутентификацию пользователей, авторизацию доступа к данным, программам и системным ресурсам, а также аудит событий безопасности.
История
Разработка RACF началась в середине 1970-х годов в ответ на растущие требования к безопасности корпоративных данных, хранящихся на мейнфреймах. Первая версия продукта была выпущена в 1976 году для операционной системы MVS/370. До появления RACF защита ресурсов на мейнфреймах IBM была децентрализованной и полагалась на механизмы операционной системы и отдельных приложений.
В 1980-х годах, с ростом популярности мейнфреймов в банковском, страховом и государственном секторах, RACF стал стандартом де-факто для централизованного управления доступом. Версия 2.0, выпущенная в 1985 году, ввела поддержку шифрования паролей и более гибкие правила доступа. В 1990-х годах функциональность была расширена для поддержки распределённых сред и сетевых протоколов.
С появлением операционной системы OS/390 в 1996 году RACF был глубоко интегрирован в ядро системы, что позволило управлять доступом не только к файлам и программам, но и к системным вызовам и ресурсам CICS, IMS и DB2. В версии z/OS 1.x (начало 2000-х) RACF получил поддержку PKI (инфраструктуры открытых ключей) и LDAP-каталогов. Современные версии, поставляемые в составе z/OS, поддерживают многофакторную аутентификацию, токены безопасности и интеграцию с облачными средами.
Архитектура и принципы работы
RACF функционирует как подсистема безопасности (Security Subsystem) в адресном пространстве z/OS. Основными компонентами являются:
- База данных RACF (RACF Database) — зашифрованное хранилище профилей, правил и атрибутов. Располагается на диске и кэшируется в памяти для быстрого доступа.
- Главный контроллер (RACF Router) — компонент, обрабатывающий все запросы на проверку полномочий и передающий их соответствующим модулям.
- Утилиты администрирования — набор команд и программ (например,
RACF,RODEF,RACUPDTE) для управления базой данных, создания отчётов и выполнения массовых операций.
Объекты управления
RACF оперирует несколькими типами ресурсов, каждый из которых защищается через класс профилей:
| Класс ресурса | Описание | Примеры |
|---|---|---|
| DATASET | Защита наборов данных (файлов) | SYS1.PARMLIB, PROD.PAYROLL |
| GENERAL RESOURCE | Общие ресурсы (программы, команды, терминалы) | Включает подклассы: CICS, IMS, JES, TSOAUTH |
| PROGRAM | Ограничение запуска программ по имени | IKJEFT01, ACMD |
| USER | Профили пользователей | Индивидуальные учётные записи |
| GROUP | Группы пользователей | SYSADMIN, DEVELOPER |
| CONNECT | Связь пользователей с группами | Членство с уровнем доступа (OWNER, CREATE, USE) |
| APPL | Прикладные ресурсы | Приложения, зарегистрированные в системе |
Аутентификация и авторизация
Аутентификация
Процесс входа пользователя в систему (LOGON) включает следующие шаги:
- Пользователь предоставляет идентификатор (USERID) и пароль (PASSWORD).
- RACF проверяет, существует ли профиль пользователя, не заблокирован ли он и не истёк ли срок действия пароля.
- Пароль сверяется с хешированным значением в базе данных (используются алгоритмы DES, SHA-256 в зависимости настройки).
- При успешной аутентификации создаётся сессионный токен (ACEE — Accessor Environment Element), который связан с пользователем на всё время работы.
Современные версии поддерживают дополнительную аутентификацию через:
- Цифровые сертификаты (X.509).
- Смарт-карты.
- Биометрию (через внешние системы).
- Многофакторную аутентификацию (MFA) через RADIUS-серверы.
Авторизация
При доступе к защищённому ресурсу RACF выполняет следующие проверки:
- Определяется класс ресурса и имя профиля (например,
DATASETдля набора данныхPROD.PAYROLL). - Из контекста сессии (ACEE) извлекается USERID и список групп пользователя.
- Проверяется, соответствует ли запрашиваемый доступ (READ, UPDATE, CONTROL, ALTER) установленным разрешениям в профиле.
- Разрешение может быть унаследовано через членство в группе или задано напрямую.
- При совпадении доступа ресурс открывается; при несовпадении выводится сообщение об ошибке (например,
IEF452I).
Администрирование и безопасность
Управление RACF осуществляется системными администраторами или специальными группами безопасности. Основные возможности включают:
- Создание, изменение и удаление пользователей и групп.
- Назначение прав доступа к наборам данных и общим ресурсам.
- Установка политик паролей (длина, сложность, срок действия, количество неудачных попыток).
- Конфигурация аудита — запись событий входа, попыток доступа, изменений в профилях.
- Генерация отчётов через утилиты (например,
IRRUT100,RACF Report Writer).
Для повышения безопасности применяются концепции:
- Принцип наименьших привилегий — пользователь получает ровно тот доступ, который необходим для выполнения его работы.
- Разделение обязанностей — администраторы RACF не могут иметь прав на чувствительные данные или прав изменять чужие политики.
- Обязательный контроль (Mandatory Access Control) — через профили
SECLEVELиCATEGORYреализуется многоуровневая защита (например, «Секретно», «Совершенно секретно»).
Применение и критика
RACF является основным средством защиты на мейнфреймах IBM и используется в банках, страховых компаниях, государственных учреждениях, авиакомпаниях и промышленных предприятиях по всему миру. Типичные сценарии применения:
- Разграничение доступа к персональным данным клиентов (GDPR, законы о защите данных).
- Защита промышленных кодов и коммерческой тайны.
- Обеспечение подотчётности и аудита для финансовых транзакций.
Критика RACF связана с его сложностью и высокой стоимостью лицензирования. Продукт требует квалифицированных администраторов, знакомых с z/OS и RACF-синтаксисом. Также отмечается, что база данных RACF может стать узким местом при высоких нагрузках, и необходима тщательная настройка кэширования. В крупных системах альтернативами RACF выступают продукты сторонних вендоров, такие как ACF2 (CA) или Top Secret (CA).
Интересные факты
- Название RACF часто произносится как «рак-эф» (rock-eff).
- В 1990-х годах RACF был интегрирован в подсистему IBM Security zSecure, которая предоставляет дополнительные возможности аудита и анализа.
- В некоторых государственных системах RACF используется уже более 40 лет без существенных изменений архитектуры, что является примером стабильности мейнфреймовой платформы.
- RACF поддерживает сценарии автоматизации через REXX и JCL, что позволяет писать скрипты для управления учётными записями и доступом.
Источники
- IBM z/OS RACF General Information Guide (SA23-2291-20)
- IBM z/OS RACF Auditor’s Guide (SA23-2290-20)
- Шнейдман Л. «Безопасность в z/OS: RACF, ACF2 и Top Secret» — ISBN 978-5-8459-0794-5
- Спецификации IBM на официальном сайте ibm.com
- Материалы курса «IBM z/OS Security» (специализация IBM SkillsBuild)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →