Proteger PRINT DATA y SAVE DATA de DB2 con RACF

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
cualquis
Usuario
Usuario
Mensajes: 20
Registrado: 06 Ago 2008, 09:40
Ubicación: madrid (españa)

Proteger PRINT DATA y SAVE DATA de DB2 con RACF

Mensaje por cualquis » 05 Dic 2011, 09:22

Hola!

Con exigencias cada vez mayores de auditores, tengo que hacer un cierre "fino" en DB2. A ver si me podeis echar una mano en esto.

1. No tengo aún DB2 controlado 100% en RACF, pero sí el permiso de quién puede leer una tabla de datos (hacer query), mediante grupos RACF.
2. Con eso se permite CONSULTAR con QMF (en TSO y CICS) y con SPUFI (TSO)
3. PERO, aunque permitimos que un técnico (p.e, un desarrollador) acceda temporalmente a consultar datos de Producción, p.e, en caso de fallo de su programa, NO QUEREMOS que cuando el técnico vea en pantalla el resultado del query pueda hacer un PRINT DATA (tecla F4 de QMF) o un SAVE DATA en QMF y pueda llevarse el resultado de la consulta cómodamente. También nos gustaría cerrar la posibilidad de que en determinados DB2 de Producción el SPUFI pueda salvar los datos.
4. Para SAVE DATA en QMF hemos podido hacer algo quitando acceso a la manipulación o creación de las tablas de trabajo temporales necesarias para el SAVE, pero no es fiable.

Por lo tanto, mi pregunta es:
¿Alguien sabe qué recurso de zOS o DB2 interviene cuando se hace un PRINT DATA de QMF?
¿Alguien ha conseguido controlar esos recursos de PRINT o SAVE, preferiblemente con RACF?.
¿Alguien ha conseguido poner control en SPUFI de lo que se salva en fichero, dependiendo del DB2 consultado?

Gracias
-------------

JuanG
Colaborador
Colaborador
Mensajes: 75
Registrado: 24 Nov 2003, 18:04
País: Argentina
Ciudad: Buenos Aires
Ocupación: Administrador de seguridad
Ubicación: Buenos Aires, Argentina

Re: Proteger PRINT DATA y SAVE DATA de DB2 con RACF

Mensaje por JuanG » 05 Dic 2011, 16:28

No tengo respuestas a tus preguntas concretas.
Pero, en mi opinión, si no se confía en la persona, directamente no se le debe dar el acceso al dato. La verdadera seguridad debe hacerse siempre sobre el recurso (la tabla, en este caso), y no sobre la forma de accederlo, o copiarlo. Supongamos que lográs que, vía QMF, no puedan salvar el resultado del query a un dataset. Y que no puedan imprimirlo. Y si imprimen pantalla desde el emulador? Y si acceden al dato de otra manera, sin usar QMF? Y si simplemente toman lápiz y papel y copian los resultados?

En resumen, una vez que otorgaste el acceso al dato, evitar que se lo lleven es prácticamente imposible (y un esfuerzo estéril).

Saludos.
Juan

Responder