BS2000 WELT

BS2000: Vom BSI zertifizierte Sicherheit als Version 10.0

29.03.1991

BS2000 ermöglicht gleichzeitigen Betrieb von Transaction-Processing, Timesharing und Batch. Hardwarebasis ist das System 7.500, das der /370-/390 Architektur nahe verwandt ist. Die Systemplattform BS2000 V10.0 mit den darauf aufsetzenden Produkten, das bisher umfangreichste BS2000 Entwicklungsprojekt, sucht den Forderungen nach mehr Sicherheit und Verfügbarkeit auf wirtschaftliche Art und Weise Rechnung zu tragen.

Aus den Kundenwünschen hat sich ein breites Spektrum von Verfahren und Produkten ergeben:

- Dem Systembetreiber werden umfangreiche Funktionen für einen sicheren Systembetrieb angeboten. Die Realisierung erfolgte durch Erweiterungen im Basissystem in Verbindung mit den neuen Sicherheitsprodukten "Secos" (Security Control System) und "Aseco" (Advanced Security Control). Diese Funktionalität bildet die Grundlage für die Evaluierung des BS2000, entsprechend der Funktionsklasse F2 und Qualitätsstufe Q3 der IT-Sicherheitskriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

- Für kritische Anwendungen müssen die Ausfallzeiten im Falle von Hardware- oder Softwarefehlern für den Anwender auf wenige Minuten reduziert werden. Das Konzept "Extended Availability Facility" (XAF) zusammen mit Dual Recording by Volume (DRV) stellt dies sicher.

- Das hierarchische Speicher-Management-System (HSMS) automatisiert und optimiert die Verwaltung des Speicherplatzes und der Dateien in einer systemintegrierten Hierarchie von Externspeichern. Eine vollautomatische, operatorlose Magnetband-Kassettenverwaltung im gesamten Rechenzentrum läßt sich mit dem Magnetband-Archivierungs-System in Rechnernetzen (Maren) in Koordination mit einem Robotersystem und der entsprechenden Software (Robar) verwirklichen.

- Zusätzlich enthält BS2000 V10.0 eine ganze Reihe von Erweiterungen, die den systemübergreifenden Betrieb, die Performanceüberwachung/ -steuerung und den Betrieb von Großkonfigurationen betreffen.

Seit Ende 1990 ist BS2000 V10.0 mit Erfolg bei Kunden im Praxistest. Die generelle Freigabe ist für Mai 1991 vorgesehen Im folgenden werden die wesentlichen Erweiterungen der Softwarekonfiguration BS2000 V10.0 erläutert.

Einer der Schwerpunkte von BS2000 V10.0 ist es, die Informationssicherheit wesentlich zu erhöhen. Es werden zu diesem Zweck im Grundausbau der BS2000 V10.0 technische Funktionen zur Verfügung gestellt, die die organisatorischen Sicherheitsmaßnahmen wirkungsvoll unterstützen.

Realisiert sind neue Sicherheitsoptionen und Basismechanismen für Zugriffskontrolle, Rechteverwaltung und Benutzerverwaltung. Darauf aufbauend bietet Secos erweiterte Funktionen zur Zugriffskontrolle durch verbesserte Identifikation und Authentisierung, Unterstützung von Benutzergruppen und eine fein abgestufte Zugriffskontrolle auf Objekte wie zum Beispiel Dateien. Neue Mechanismen zur erweiterten Rechteverwaltung und Dezentralisierung der Systemverwaltung sowie Funktionen zur Protokollierung sicherheitsrelevanter Ereignisse runden den Funktionsumfang ab.

Auf Basis dieser Funktionalität untersucht und bewertet die nationale Evaluierungsbehörde, das BSI, BS2000 V10.0. Dabei wird eine Einstufung in die Funktionalitätsklasse F2 und die Qualitätsstufe Q3 der IT-Sicherheitskriterien des BSI (entspricht C2 + des "Orange Book") erwartet. Darüber hinaus kann der Zugriff im Dialog

und Transaktionsbetrieb zusätzlich mit Chip-Karte in Verbindung mit Aseco abgesichert werden.

Die Schwerpunkte der Funktionalität von Secos sind:

- Identifikation und Authentisierung der Benutzer: Die vorhandenen Verfahren werden ergänzt um Möglichkeiten der Vorgabe von Mindestlänge, Komplexität und Gültigkeitsdauer der Paßworte. Die Lebensdauer einer Benutzerkennung und deren Rechte zum Starten von Dialog- oder Batch-Verarbeitung können definiert werden, ebenso die Rechte zum Zugriff von bestimmten Terminals aus oder zur Kommunikation mit bestimmten Partnern im Netz.

- Unterstützung von Benutzergruppen: Durch die Einführung von Benutzergruppen betet die Möglichkeit, die Viel zahl der Benutzer im System Übersichtlich zu strukturieren Die Benutzergruppen die eine Zuordnung zu organisatorischen Einheiten oder Projekten erlauben erhalten Betriebsmittelkontingente und Rechte (zum Beispiel Plattenspeicherplatz Rechnerzeiten, Testprivilegierung etc.). Diese können von einem privilegierten Benutzer dem Gruppenverwalter, an die einzelnen Gruppenmitglieder weitergegeben werden.

- Erweiterte Möglichkeiten der Zugriffskontrolle: Zum Schutz von Dateien stehen

neben den Paßworten zwei zusätzliche Mechanismen zur Verfügung, die Basis- und die erweiterte Zugriffskontrolliste. Die Basiszugriffskontrolliste legt fest, ob eine Datei nur von einem Benutzer, einer Benutzergruppe oder generell im System zugreifbar ist. Die erweiterte Zugriffskontrolliste erlaubt für Jede Datei die Definition von Zugriffsrechten bis auf die Ebene von Einzelbenutzern Die zugriffsrechte sind steuerbar - wie auch bei der Basiszugriffskontrolliste - getrennt für Lesen Schreiben und Ausführen

- Dezentralisierung der Systemverwaltung: Es wird eine Rechteverwaltung realisiert, die es ermöglicht, Privilegien des Systemverwalters, die heute einer zentralen Kennung zugeordnet sind, herauszulösen. Der Sicherheitsbeauftragte kann diese Privilegien entsprechend den organisatorischen Anforderungen aufteilen oder bündeln und ihre Abwicklung auf mehrere Personen ( = Benutzerkennungen) verteilen. Diese Privilegien sind unter an deren die Benutzerverwaltung die Steuerung des hierarchischen Speicher-Management-Systems, die Bandverwaltung und die Verwaltung der Filetransfer-Rechte.

- Beweissicherung: Sie wird ermöglicht durch das Protokollieren sicherheitsrelevanter Ereignisse in einer besonders geschützten Datei. Der "Sicherheitsbeauftragte" kann dynamisch die zu protokollierenden Ereignisse festlegen. Mit der Auswertung dieser Daten erhält eine entsprechend autorisierte Person die Möglichkeit, sich einen lückenlosen Überblick zu verschaffen, wer welche Aktionen erlaubterweise durchgeführt hat. Ebenso ist erkennbar, wer Versuche zur Umgehung von Sicherungsmechanismen unternommen hat. Zusätzlich ist eine Online-Vorauswertung der Logging-Daten möglich. Ziel ist, mitlaufend einen statistischen Überblick über sicherheitsrelevante Ereignisse zu erhalten.

Mit der Chip-Karte ist eine wesentlich höhere Sicherheit gegenüber Paßwortverfahren oder herkömmlichen Magnetstreifenkarten zur Identifikation und Authentisierung von Benutzern zu erreichen. Die Zugriffskontrolle erfolgt in zwei Schritten, nämlich durch die Identifikation des Benutzers gegenüber der Chip-Karte durch Eingabe der PIN (persönliche Identifikationsnummer) und durch die Authentifikation der Karte durch das System in einer dynamischen Authentifizierungsprozedur.

Dabei werden zwischen einem Sicherheitsmodul am zentralen Rechner und der Chip-Karte Identifizierungsinformationen ausgetauscht, die über Zufallszahlen und Geheimschlüssel nach einem kryptographischen Algorithmus verschlüsselt sind. Damit kann weder durch Abhören eines Dialoges noch durch systematisches Probieren ein unberechtigter Zugriff erreicht werden.

Für die Erhöhung der Verfügbarkeit stehen sich ergänzende Verfahren zur Verfügung, nämlich Nutzung redundanter Hardwarekomponenten innerhalb eines Rechners beziehungsweise Einsatz von zwei oder mehr unabhängigen Rechnern (in diesem Fall ist auch die Software redundant). BS2000 unterstützt schon bisher die automatische und unterbrechungsfreie Rekonfiguration von Zentralprozessoren, Ein- und Ausgabeprozessoren, Kanälen und Steuerungen.

Mit BS2000 V10.0 wird durch das Produkt "Dual Recording by Volume" (DRV) die Rekonfigurationsmöglichkeit auf die Plattenperipherie erweitert, wobei der gesamte I/O-Weg (inklusive Kanäle und Steuerungen) redundant konfiguriert werden kann. Auf Basis von BS2000 V10.0 realisiert das Produkt XAF die automatische Anwendungsumschaltung zwischen unabhängigen Rechnern. Die erste Kundenlieferung von XAF ist für das dritte Quartal 1991 vorgesehen. Diese beiden Konzepte ergänzen sich, die Wahl beziehungsweise Kombination der Verfahren erfolgt entsprechend den Anwendungsbedürfnissen.

Damit können unter BS2000 Plattenlaufwerke spiegelbildlich doppelt geführt werden. DRV stellt sicher, daß sich trotz Auftretens eines Fehlers auf einer Platte oder des Ausfalls eines gesamten Laufwerkes die Verarbeitung ohne Unterbrechung fortführen läßt. Entdeckt das Produkt beim Lesen von einer Platte einen Aufzeichnungsfehler, so werden die entsprechenden Daten von der intakten Spiegelplatte gelesen. Fällt ein gesamtes Laufwerk aus, so werden ebenfalls die Daten von der redundanten Platte gelesen, zusätzlich wird automatisch in den Mono-Mode gewechselt und der Operator über den Datenträgerausfall informiert. Dieser kann nun ein intaktes Laufwerk zuschalten und über die Kopierfunktion während der parallel laufenden Verarbeitung wieder eine neue Spiegelplatte erzeugen lassen.

Die Duplizierung der Schreibaufträge erfolgt in einer hardwarenahen Schicht des Betriebssystems. In Verbindung mit optimiertem Lesen - der Leseauftrag wird auf der Platte mit der geringsten Auslastung und günstigsten Kopfposition durchgeführt - läßt sich eine dem Single-Volume-Betrieb vergleichbare Performance erreichen. DRV ist transparent für die Anwendungsprogramme, das heißt, die Nutzung dieser Funktion kann ohne jegliche Änderung in diesen Programmen erfolgen. Der DRV-Betrieb wird über eine Reihe von Kommandos für den Operator beziehungsweise Systemverwalter eingeleitet, gesteuert, überwacht und beendet.

DRV ist auf allen Rechnern des Systems 7.500 ab dem Modell C40 mit allen Plattentypen ohne zusätzliche Hardware-Erweiterungen einsetzbar. Voraussetzung ist, daß die verwendeten Typen der Geräte, Steuerungen und Kanäle identisch sind. Mit Glasfaser-Kanaladaptern können die doppelt geführten Daten auch an voneinander entfernten Orten gespeichert werden.

Dies erlaubt die Realisierung von Katastrophenschutzkonzepten, die eine örtlich getrennte Datenhaltung zur Grundlage haben.

Extended Availability Feature (XAF)

An die Verfügbarkeit von DB/ DC-Anwendungen werden immer höhere Anforderungen gestellt, insbesondere an die maximal tolerierbare Ausfallzeit. Mit XAF können solche Anwendungen realisiert werden. Das Grundkonzept von XAF besteht aus einer konsequenten Hardware (Rechner)- und Software-Redundanz in Doppelkonfigurationen. Für jede gesicherte DB/DC-Anwendung im Arbeitsrechner wird im Fehlerfall eine Ersatzanwendung im noch intakten Rechner gestartet (vgl. Abbildung 1).

Nach Einrichtung des Systems werden alle Aktivitäten bei Ausfall eines Rechners, nämlich Ausfallerkennung und Umschaltmaßnahmen für Anwendungen, Peripherie und Vorrechner, vollautomatisch und transparent für den Datenstationsbenutzer durchgeführt.

Die von XAF benötigte Konfiguration besteht aus zwei (oder mehr) Rechnern, die symmetrisch oder asymmetrisch betrieben werden können. Das bedeutet, daß ein Rechner sowohl Arbeitsanwendungen bearbeiten wie auch gleichzeitig als Standby-Rechner für andere Anwendungen dienen kann. Alle Rechner müssen in der Lage sein, auf die benötigte Peripherie zuzugreifen.

Für die Ausfallerkennung werden zwei Systemkriterien herangezogen, nämlich eine Überwachung über Datenkommunikation und eine Überwachung durch das Betriebssystem (Schreiben und Überprüfen von Zeitstempeln in von beiden Rechnern zugreifbaren Dateien). Zusätzlich kann der Benutzer eigene Ausfallkriterien definieren. Diese lassen sich wahlweise alternativ oder zusammen mit den beiden Systemkriterien verwenden.

Nach gesicherter Erkennung des Umschaltfalles werden automatisch die zu den ausgefallenen Anwendungen gehörenden Datenträger zum Stand-by-Rechner umgeschaltet, die Anwendungen hochgefahren und über die Standardmaßnahmen der DB/DC-Systeme die zum Ausfallzeitpunkt offenen Transaktionen zurückgesetzt. Besondere Maßnahmen stellen sicher, daß von dem ausgefallenen Rechner kein Zugriff auf die Daten mehr möglich ist. Ebenso werden alle DFU-Verbindungen der Anwendungen zum Stand-by-Rechner umgeschaltet. Dieser gesamte Umschaltvorgang ist für den Datenstationsbenutzer transparent, das heißt, nach der Umschaltung erhält er auf dem Bildschirm die zuletzt ordnungsgemäß durchgeführten Transaktionen .

Neben der automatischen Umschaltverarbeitung nach Ausfallerkennung kann die Umschaltung von Anwendungen von einem zum anderen Rechner auch manuell angestoßen werden. Damit ist eine gezielte Verlagerung von Anwendungen möglich, um zum Beispiel nach der Reparatur eines ausgefallenen Rechners die umgeschalteten Anwendungen wieder auf den ursprünglichen Rechner zu bringen.

Der Einsatz von DRV zum Doppeltführen der Daten ist auch in Verbindung mit XAF möglich. Damit können die oben beschriebenen Vorteile der Datenausfallsicherung auch in dieser Kombination genutzt werden.

Auf die preisgünstigste Speicherhierarchie verteilt

Die Menge der online bereitzuhaltenden Daten steigt nach Einschätzung der Gartner Group um zirka 30 Prozentjährlich. Damit wächst auch der Umfang der notwendigen Sicherungen, zum Beispiel auf Magnetband-Kassetten. Gleichzeitig nimmt die Vielfalt der einsetzbaren Speichertechnologien und -techniken ständig zu. Um eine möglichst hohe Wirtschaftlichkeit zu erreichen, müssen die Dateien entsprechend ihrer Zugriffsanforderung automatisch auf die jeweils preisgünstigste Speicherhierarchie verteilt und die manuellen Tätigkeiten bei der Bandsicherung beziehungsweise die Bandverarbeitung generell reduziert werden.

Das hierarchische Speicher-Management-System HSMS V 1.1/BS2000 V10.0

(Erstfreigabe HSMS V 1.0 im Jahr 1990 auf Basis von BS2000 V 9.5 ) stellt ein komfortables Werkzeug zur automatisierten Verwaltung der Dateien in einer systemintegrierten Hierarchie von Externspeichern dar (siehe Abbildung 2 ) Ergänzt wird dieses System um Produkte zur vollautomatischen, operatorlosen Magnetband-Kassettenverwaltung (Bild 3). Damit sind bedienerlose Arbeitsschichten realisierbar.

- Hierarchisches Speicher-Management-System (HSMS): HSMS ist das Kernstück des Konzeptes zum systemverwalteten Speicher. Neben der Festblockformatierung der Platten, das eine problemlose Einführung neuer Datenträgertypen ermöglicht, und dem Volume-Set-Konzept, das die automatische Speicherplatzzuweisung mit Sättigungsüberwachung übernimmt, stellt es die automatisierte Verwaltung des Plattenplatzes und der Dateien in allen Hierarchiestufen sicher. Dabei werden über Verdrängungsmechanismen inaktive Daten auf kostengünstigere Medien ausgelagert sowie unter einer einheitIichen Oberfläche sowohl die Datensicherung als auch die Langzeitarchivierung durchgeführt.

- Datenmigration und automatischer Recall: Durch vom Datenadministrator vorzugebende Auswahlkriterien (zum Beispiel verstrichene Zeit seit letztem Zugriff, Größe der Datei) kann bei Speicherplatzsättigung eine automatische Migration von Dateien auf kostengünstigere Datenträger der Speicherhierarchie durchgeführt werden. Dabei ist mit einer erweiterten Version von HSMS (Ende 1991) eine wahlweise Komprimierung möglich. Bei Bedarf werden ohne Benutzereingriff wieder benötigte Dateien in die Verarbeitungsebene zurückgeholt. Auskunftsfunktionen geben dem Datenadministrator jederzeit ein aktuelles Bild der Speichernutzung in allen Hierarchiestufen.

- Backup und Restore: Über vom Benutzer zu definierende Kriterien (zum Beispiel tägliche Sicherung, Sicherung geänderter Dateien) kann eine automatische Sicherung der Dateien - wahlweise auf Platte oder Band - erfolgen. Durch das Führen von Sicherungsverzeichnissen bestehen flexible Möglichkeiten zur Auswahl der Dateien bei einer eventuell notwendigen Rekonstruktion.

- Langzeitarchivierung: Getrennt von der Datensicherung bietet HSMS Funktionen zur Langzeitarchivierung an. Dazu können Archive eingerichtet werden, die zum einen spezifische Eigenschaften haben können (Archivierungsdauer, Default-Werte etc.), zum anderen über komfortable Auskunftsfunktionen verfügen, die beispielsweise eine Selektion von Dateien über Benutzerinformationen wie Deskriptoren ermöglichen. Zusätzlich unterstützt wird die Archivierung durch Funktionen wie Fortschreiben von Archivbändern, was eine optimale Bandnutzung und dadurch geringere Bänderanzahl sicherstellt, automatische Freigabe von Dateien entsprechend den Benutzervorgaben und Umwälzung von Archivbändern.

- Bandhandling: Mit HSMS kann auch ohne Robotersystem eine Datensicherung beziehungsweise Archivierung zu unbedienten Zeiten durchgeführt werden. Dabei werden die Daten zuerst auf der Hintergrund ebene abgelegt und zu vom Systemverwalter vorgebbaren Zeiten dann auf Bänder beziehungsweise Kassetten überspielt.

- Operatorlose Magnetband-Kasettenverarbeitung: Die Bandverarbeitung ist durch die manuellen Montiervorgänge personalaufwendig. Diese können durch Einsatz des Robotersystems "Abba" in Zusammenarbeit mit dem Softwareprodukt Robar automatisch und operatorlos abgewickelt werden. Die Verwaltung der Datenträger wird mit Maren, dem Magnetband-Archivierungssystem in Rechnernetzen, durchgeführt. Der hohe Grad der Automation ergibt sich durch die enge Koppelung von BS2000, Maren, Robar und HSMS.

Maren V5.0, die mit BS2000 V10.0 gekoppelte Version, weist gegenüber der Vorgängerversion zusätzlich folgende Funktionen auf: Die Auswahlkriterien für die Listenausgabe wurden erweitert, ebenso die Gestaltungsmöglichkeiten des Listen-Layouts inklusive Summenausgaben. Die Logging-Datei läßt sich im Sinne eines unterbrechungsfreien Betriebes während des Systemlaufes umschalten. Zur Handlings-Vereinfachung erfolgt bei Bedarf eine automatische Neuinitialisierung von Scratch-Bändern.

BS2000 V10.0 stellt einen Meilenstein in der Weiterentwicklung der Systemlinie BS2000/7.500 dar. Die Funktionen zur Steigerung der Informationssicherheit und Verfügbarkeit unterstützen den Systembetreiber beim Ausbau vorhandener und der Installation neuer, anspruchsvoller Anwendungen.

Neben der kontinuierlichen Unterstützung immer größerer Zentraleinheitsleistungen und der Bedienung leistungsfähigerer Peripherie konzentriert sich die Weiterentwicklung des BS2000 auf Schwerpunkte wie ESA-Funktionalität, System Managed Storage, Cooperative Processing, erweiterte Funktionen der Informationssicherheit, Automatisierung der DV-Produktion, unterbrechungsfreier Betrieb und benutzergerechte komfortable Oberflächen.