Mit Ausnahme der permanent sicherheitsrelevanten Ereignisse legt der Sicherheitsbeauftragte fest, welche Ereignisse sicherheitsrelevant sind. Wenn ein Rechner nach dem Sicherheitsstandard F2/Q3 betrieben werden soll, muss der Sicherheitsbeauftragte keine Festlegungen vornehmen, da die System-Voreinstellung (siehe Abschnitt „Tabelle der Objektereignisse“) diesem Standard entspricht. Wenn der Sicherheitsbeauftragte jedoch andere Sicherheitskriterien voraussetzt, kann er Auswahlregeln für sicherheitsrelevante Ereignisse mit dem Kommando /MODIFY-SAT-PRESELECTION vorgeben.
Bestimmende Elemente bei der Auswahl eines sicherheitsrelevanten Ereignisses sind
die Benutzerkennung (USER)
das protokollierbare Ereignis (EVENT) und das Ereignis-Ergebnis (RESULT)
die Benutzervorgaben für die besonderen Objekte Datei und Bibliothek (FILE) und das Ereignis-Ergebnis (RESULT)
die Verknüpfungsregel für die obigen drei Elemente
den Ausgabeumfang, mit dem festgelegt ist, ob *EXTENDED-Felder aufgezeichnet werden (siehe Abschnitt „Tabellen der protokollierbaren Information je Objektereignis (1)“)
Mit dem Kommando SHOW-SAT-STATUS können sich der Sicherheitsbeauftragte und die SAT-Datei-Verwaltung die Auswahl anzeigen lassen.
Benutzerkennung (USER)
Die Auswahl sicherheitsrelevanter Benutzerkennungen erfolgt durch den Sicherheitsbeauftragten durch Vorgabe eines Audit-Attributes für die Benutzerkennung mit dem SAT-Kommando /MODIFY-SAT-PRESELECTION, Operand USER-AUDITING.
Folgende Audit-Attribute können vergeben werden:
OFF | Benutzerkennung ist nicht sicherheitsrelevant |
ON | Benutzerkennung ist sicherheitsrelevant |
Das vergebene Audit-Attribut wird in den Benutzerkatalog eingetragen. Es ist sofort gültig und bleibt bis zur nächsten Änderung, auch in einer neuen Session, bestehen.
Voreinstellung
Beim ersten Einsatz von SAT haben alle Benutzerkennungen das Audit-Attribut ON; ihre protokollierbaren Ereignisse sind sicherheitsrelevant, bis der Sicherheitsbeauftragte das Audit-Attribut ändert.
Für neu eingerichtete Benutzerkennungen ist das Audit-Attribut ebenfalls ON. Ihre protokollierbaren Ereignisse sind sicherheitsrelevant, bis der Sicherheitsbeauftragte das Audit-Attribut ändert. Diese Voreinstellung kann mit dem Kommando /MODIFY-SAT-PRESELECTION geändert werden.
Für die Benutzerkennung SYSAUDIT und Kennungen mit den Privilegien SAT-FILE-MANAGEMENT oder SECURITY-ADMINISTRATION ist das Audit-Attribut ON und kann auch nicht geändert werden; protokollierbare Ereignisse dieser Benutzerkennungen sind immer sicherheitsrelevant.
Ereignis (EVENT)
Die Auswahl von Ereignissen erfolgt durch den Sicherheitsbeauftragten durch Vorgabe eines Audit-Attributes mit dem SAT-Kommando /MODIFY-SAT-PRESELECTION, Operand EVENT-AUDITING.
Folgende Audit-Attribute können für das Ereignis vergeben werden:
NONE | Ereignis ist nicht sicherheitsrelevant |
SUCCESS | Ereignis ist bei erfolgreicher Ausführung (RESULT=SUCCESS) sicherheitsrelevant |
FAILURE | Ereignis ist bei nicht erfolgreicher Ausführung (RESULT=FAILURE) sicherheitsrelevant |
ALL | Ereignis ist sicherheitsrelevant |
Audit-Attribute für Ereignisse werden in SAT vermerkt und sind in der laufenden Session nur bis zur nächsten Änderung oder bis zum SHUTDOWN gültig.
Sie können auch, zur Verwendung in späteren Sessions, in der SAT-Parameter-Datei gespeichert werden (siehe Abschnitt „SAT-Parameter-Datei“).
In der nächsten Session gelten die (alten oder geänderten) Einstellungen der SAT-Parameter-Datei.
Voreinstellung
Siehe Abschnitt „Tabelle der Objektereignisse“.
Für permanent sicherheitsrelevante Ereignisse ist das Audit-Attribut obligatorisch ALL, es kann nicht geändert werden.
Benutzervorgaben (FILE)
Für die besonderen Objekte Datei und Bibliothek erfolgt die Vergabe des Audit-Attributs mit Hilfe der DVS-Kommandos /CREATE-FILE bzw. /MODIFY-FILE-ATTRIBUTES durch
den Dateibesitzer, wenn dieser durch den Gruppenverwalter oder den systemglobalen Benutzerverwalter dazu berechtigt wurde
(Benutzerkatalog-Eintrag FILE-AUDIT=*ALLOWED)den privilegierten Benutzer TSOS
Folgende Audit-Attribute können für Datei-Objekte vergeben werden:
NONE | Objekt ist nicht sicherheitsrelevant |
SUCCESS | Objekt ist bei erfolgreicher Ereignis-Ausführung (RESULT=SUCCESS) sicherheitsrelevant |
FAILURE | Objekt ist bei nicht erfolgreicher Ereignis-Ausführung (RESULT=FAILURE) sicherheitsrelevant |
ALL | Objekt ist sicherheitsrelevant |
Das vergebene Audit-Attribut wird in den Dateikatalog eingetragen. Es ist sofort gültig und bleibt bis zur nächsten Änderung, auch in einer neuen Session, bestehen.
Voreinstellung
Die Datei-Objekte sind nicht sicherheitsrelevant (Audit-Attribut=NONE).
Verknüpfungsregeln
Zur Verknüpfung der bestimmenden Elemente bei der Auswahl gibt es zwei Verknüpfungsregeln:
INDEPENDENT-Regel
FILES-BY-EVENTS-Regel
Die Verknüpfungsregel wird vom Sicherheitsbeauftragten mit dem Kommando /MODIFY-SAT-PRESELECTION, Operand PRESELECTION-RULE festgelegt.
Die Verknüpfungsregel wird in SAT vermerkt und ist zunächst nur bis zur nächsten Änderung oder bis zum SHUTDOWN gültig.
Sie kann auch, zur Verwendung in späteren Sessions, in der SAT-Parameter-Datei gespeichert werden (siehe Abschnitt „SAT-Parameter-Datei“).
In der nächsten Session gilt die (alte oder geänderte) Einstellung der SAT-Parameter-Datei.
Voreinstellung
INDEPENDENT-Regel
Bei der INDEPENDENT-Regel werden die bestimmenden Elemente durch ein logisches ODER verknüpft. Ein Ereignis wird immer dann protokolliert, wenn wenigstens eines der drei bestimmenden Elemente sicherheitsrelevant ist.
Ein protokollierbares Ereignis ist demnach sicherheitsrelevant, wenn
das Subjekt (die Benutzerkennung) sicherheitsrelevant ist
d.h. das Audit-Attribut für die Benutzerkennung ist gesetzt (ON)ODER
das Ereignis (EVENT) sicherheitsrelevant ist
d.h. die Kombination des Audit-Attributs von EVENT mit dem Ereignis-Ergebnis liefert die Anzeige „sicherheitsrelevant“ (siehe Tabelle).ODER
das Datei-Objekt (FILE) sicherheitsrelevant ist
d.h. die Kombination des Audit-Attributs von FILE mit dem Ereignis-Ergebnis liefert die Anzeige „sicherheitsrelevant“ (siehe Tabelle).
Für Objekte, die nicht Datei-Objekte sind, spielt FILE keine Rolle, es gilt USER ODER EVENT
Audit-Attribut für EVENT oder FILE | ||||
NONE | SUCCESS | FAILURE | ALL | |
Ereignis erfolgreich | nicht | sicherheitsrelevant | nicht | sicherheitsrelevant |
Ereignis nicht | nicht | nicht | sicherheitsrelevant | sicherheitsrelevant |
Tabelle 1: Kombination der Audit-Attribute von EVENT und FILE mit dem Ereignis-Ergebnis
Bei der FILES-BY-EVENTS-Regel werden EVENT und FILE mit der UND-Logik verknüpft.
Ein protokollierbares Ereignis ist demnach sicherheitsrelevant, wenn
das Subjekt (die Benutzerkennung) sicherheitsrelevant ist
d.h. das Audit-Attribut für die Benutzerkennung ist gesetzt (ON)ODER
das Ereignis (EVENT) sicherheitsrelevant ist
d.h. die Kombination des Audit-Attributs von EVENT mit dem Ereignis-Ergebnis liefert die Anzeige „sicherheitsrelevant“ (siehe Tabelle oben).UND
das Datei-Objekt (FILE) sicherheitsrelevant ist
d.h. die Kombination des Audit-Attributs von FILE mit dem Ereignis-Ergebnis liefert die Anzeige „sicherheitsrelevant“ (siehe Tabelle oben).
Für Objekte, die nicht Datei-Objekte sind, spielt FILE keine Rolle, es gilt analog zur INDEPENDENT-Logik die Bedingung USER ODER EVENT
Hinweis
Die Gestaltung der Verknüpfungsregeln zeigt, dass auch bei Reduzierung der sicherheitsrelevanten Ereignismenge auf ein Minimum (siehe "Individuelle Steuerung der Auswahl") wenigstens alle protokollierbaren Ereignisse der Benutzerkennung SYSAUDIT und der
Benutzerkennungen mit den Privilegien SAT-FILE-MANAGEMENT oder SECURITY-ADMINISTRATION (siehe "Auswahlverfahren") sicherheitsrelevant sind und protokolliert werden.
Aufzeichnungsumfang
*EXTENDED-Felder sind Felder, die erweiterte Information zu einem Ereignis enthalten. Sie sind in den "Tabellen der protokollierbaren Information je Objektereignis (1)" mit „E“ gekennzeichnet. Diese Felder werden nur aufgezeichnet, wenn der Sicherheitsbeauftragte die Aufzeichnung mit der Angabe LOGGING-QUANTITY= *EXTENDED im Kommando /MODIFY-SAT-PRESELECTION erlaubt.
Voreinstellung
*EXTENDED-Felder werden nicht aufgezeichnet.