數據庫安全是當今最重要的問題。您的數據庫可能允許顧客通過互聯網購買產品,它也可能包含用來預測業務趨勢的歷史數據;無論是哪種情況,公司都需要可靠的數據庫安全計劃。
數據庫安全計劃應該定義:
DB2 安全機制
DB2 中有三種主要的安全機制,可以幫助 DBA 實現數據庫安全計劃:身份驗證(authentication)、授權(authorization) 和特權(privilege)。
身份驗證是用戶在嘗試訪問 DB2 實例或數據庫時遇到的第一種安全特性。DB2 身份驗證與底層操作系統的安全特性緊密協作來檢驗用戶 ID 和密碼。DB2 還可以利用 Kerberos 這樣的安全協議對用戶進行身份驗證。
授權決定用戶和/或用戶組可以執行的操作以及他們可以訪問的數據對象。用戶執行高級數據庫和實例管理操作的能力由指派給他們的權限決定。在 DB2 中有 5 種不同的權限級別:SYSADM、SYSCTRL、SYSMAINT、DBADM 和 LOAD。
特權的粒度比授權要細,可以分配給用戶和/或用戶組。特權定義用戶可以創建或刪除的對象。它們還定義用戶可以用來訪問對象(比如表、視圖、索引和包)的命令。DB2 9 中新增的一個概念是基於標簽的訪問控制(LBAC),它允許以更細的粒度控制誰有權訪問單獨的行和/或列。
要為本教程的下一節做好准備,需要在 DB2 實例中創建一個數據庫。確保 %DB2INSTANCE% 變量仍然設置為 DB2,然後使用命令 db2sampl drive 創建示例數據庫,這裡的 drive 是希望創建示例數據庫的驅動器的名稱。對於本教程中的示例,將在 D: 驅動器上創建示例數據庫:
D:\SQLLIB\BIN> db2sampl d:
客戶機、服務器、網關和主機
在考慮整個數據庫環境的安全性時,理解術語客戶機、服務器、網關 和主機 是相當重要的。數據庫環境常常由幾台不同的機器組成;必須在所有潛在的數據訪問點上保護數據庫。在處理 DB2 身份驗證時客戶機、服務器、網關和主機的概念尤其重要。
下圖說明了基本的客戶機 - 服務器 - 主機配置。
數據庫服務器 是數據庫實際所在的機器(在分區的數據庫系統上可能是多台機器)。DB2 數據庫客戶機 是對服務器上的數據庫執行查詢的機器。這些客戶機可以是本地的(駐留在與數據庫服務器相同的物理機器上),也可以是遠程的(駐留在單獨的機器上)。
如果數據庫駐留在運行 AS/400(iSeries)或 OS/390(zSeries)的大型機上,它就稱為主機 或主機服務器。網關 是一台運行 DB2 Connect 產品的機器。DB2 客戶機可以通過網關連接駐留在主機上的 DB2 數據庫。網關也稱為 DB2 Connect 服務器。安裝了 Enterprise Server Edition 產品的系統也內置了 DB2 Connect 功能。
