Folgende Zugriffsschutzmechanismen sind Bestandteil des BS2000-Grundausbaus:

• Begrenzter Pubset-Zugriff (Maßnahme der Systemverwaltung)
  Die Verteilung von Benutzerkennungen auf unterschiedliche Pubsets ermöglicht es, Objekte (z.B. Dateien) auf einem Pubset vor dem Zugriff durch Benutzer auf einem anderen Pubset zu schützen.

• Schutzattribute ACCESS und USER-ACCESS
  Mit den Operanden ACCESS und USER-ACCESS der Kommandos /CREATE-FILE und /MODIFY-FILE-ATTRIBUTES legt der Benutzer Zugriffsrechte für sich und systemweit alle anderen fest (siehe "Zugriffsschutz mit ACCESS/USER-ACCESS").

• Einfache Zugriffskontrollliste (Basic Access Control List, BACL)
  Mit dem Zugriffsschutzmechanismus BACL kann der Benutzer Zugriffsrechte auf Objekte (z.B. Dateien) für eine differenzierte Menge von Subjekten festlegen. Die Zugriffsrechte Lesen (read), Schreiben (write) und Ausführen (exec) können für jede der Benutzerklassen Owner, Group und Others getrennt vergeben werden (siehe "Einfache Zugriffskontrollliste (BACL)").

• Kennwort
  Für jede seiner Dateien kann der Benutzer Kennwörter (Lese-, Schreib- und Ausfüh-rungs-Kennwort) vereinbaren. Vor der Verarbeitung kennwortgeschützter Dateien ist das entsprechende Kennwort anzugeben. Kennwörter können verschlüsselt werden.

• Schutzfrist
  Ein Benutzer kann seiner Datei eine Schutzfrist zuordnen, innerhalb der diese Datei nicht geändert werden darf (siehe Handbuch „Kommandos“ [4]).

• Dateiverschlüsselung
  Es besteht die Möglichkeit, Dateien verschlüsselt abzulegen. Näheres hierzu finden Sie im Handbuch „Einführung in das DVS“ [6].

Von den genannten Schutzmöglichkeiten des BS2000-Grundausbaus sollen im Folgenden nur die Schutzmechanismen ACCESS/USER-ACCESS und die einfache Zugriffskontrollliste (BACL) näher betrachtet werden.

SECOS bietet zusätzlich den Zugriffsschutz mit GUARDS

• Mit GUARDS können Zugriffsbedingungen für unterschiedlichste Objekte definiert und bei Objektzugriffen ausgewertet werden. Der Zugriffsschutz wird dabei über so genannte Guards realisiert, in die die Zugriffsbedingungen eingetragen sind.

  Der wesentliche Unterschied zu den anderen Schutzmechanismen ist die Aufhebung der 1:1-Beziehung zwischen Objekt und Subjekt. Die in einem Guard eingetragenen Zugriffsbedingungen gelten nicht zwangsweise nur für ein bestimmtes Objekt. Mit einem einzigen Guard können beliebig viele Objekte, auch unterschiedlichen Typs, mit demselben Schutz versehen werden. Näheres zu GUARDS finden Sie ab "GUARDS - Schutz für Objekte".

Einsatzmöglichkeit der Schutzmechanismen

Die folgende Tabelle zeigt, welche Objekttypen mit welchem Schutzmechanismus geschützt werden können:

+: Schutzmechanismus anwendbar, -: Schutzmechanismus nicht anwendbar
¹Falls Datei eine Bibliothek ist, siehe „Besonderheiten bei Bibliothekszugriffen“
²siehe „Besonderheiten bei Bibliothekszugriffen"

Wie die Tabelle zeigt, können manche Objekte mit mehreren Schutzmechanismen geschützt werden. Von den Schutzmechanismen ACCESS/USER-ACCESS, BACL und GU-ARDS kann jeweils nur einer für ein Objekt wirksam sein (siehe „Hierarchie der Schutzmechanismen ACCESS/USER-ACCESS - BACL - GUARDS"). Alle übrigen Schutzmechanismen gelten zusätzlich.

Hierarchie der Schutzmechanismen ACCESS/USER-ACCESS - BACL - GUARDS

Beim gleichzeitigen Einsatz der Schutzmechanismen ACCESS/USER-ACCESS, BACL und GUARDS für dasselbe Objekt könnten widersprüchliche Situationen entstehen. Um diese zu vermeiden, gilt folgende Hierarchie:

• Wenn der Schutz eines Objektes über Guards definiert ist,
  dann gelten ausschließlich die in den Guards festgelegten Zugriffsbedingungen. Eine ggf. für das Objekt definierte BACL und die Schutzattribute ACCESS/USER-ACCESS bleiben unberücksichtigt.

• Wenn kein Guardschutz für ein Objekt definiert ist, aber eine BACL, dann gilt die in der BACL festgelegte Schutzeinstellung. Die Schutzattribute ACCESS und USER-ACCESS bleiben unberücksichtigt.

• Wenn der Schutz eines Objektes weder mit Guards noch mit BACL geregelt ist, dann werden für den Schutzmechanismus die Schutzattribute ACCESS und USER-ACCESS herangezogen.

In allen Fällen gelten zusätzlich der Kennwortschutz und die Schutzfrist.

Besonderheiten bei Bibliothekszugriffen

PLAM-Bibliotheksdateien können als Ganzes wie eine Datei geschützt werden. Davon unabhängig können Bibliothekselemente mit der LMS-Anweisung //MODIFY-ELEMENT-PROTECTION geschützt werden.

Beim Zugriff auf Bibliotheken und Bibliothekselemente ist daher Folgendes zu beachten:

• Der Zugriff auf einzelne Bibliothekselemente wird durch die mit //MODIFY-ELEMENT-PROTECTION festgelegten Schutzmechanismen geregelt. Unabhängig vom Elementschutz ist dieser Zugriff jedoch nur möglich, wenn die Bibliotheksdatei in ihrer Gesamtheit gelesen werden darf.

• Beim Zugriff auf eine Bibliothek in ihrer Gesamtheit (mit ARCHIVE, mit File-Transfer oder mit dem DVS-Kommando /COPY-FILE) gilt Folgendes:

  • Ist die Bibliothek weder durch eine BACL noch durch Guards geschützt, kann auf sie zugegriffen werden wie auf eine beliebige Datei.

  • Für den Zugriff auf eine Bibliothek, die durch eine BACL oder ein Guard geschützt ist, können die Zugriffsregelungen folgender Tabelle entnommen werden:

    		Bibliothek enthält mindestens ein Element, das mit einer BACL oder einem Guard geschützt ist	Bibliothek enthält kein Element, das mit einer BACL oder einem Guard geschützt ist
    Zugriff durch	Eigentümer	*	*
    	Miteigentümer	*	*
    	andere	Zugriff verboten	*
    * Zugriff hängt von den Zugriffsregelungen der gesamten Bibliothek ab

    Tabelle 8: Zugriffsregelungen beim Zugriff auf Bibliotheken