浅析DB2 V9的安全性.docVIP

浅析DB2 V9的安全性 【摘要】DB2数据库是IBM公司研制的一种大型的关系型数据库，它在大数据量存储中具有很高的效率和很好的安全性。只有了解了DB2的安全机制，才会更好的制定出更高的安全策略。本文首先介绍了DB2 V9数据库的安全模型，并提供了一些安全建议，在此基础上又介绍了DB2V9.7增强的安全功能，最后分析了PUBLIC隐式权限和特权的设置。 【关键词】DB2;数据库;安全性;认证;授权;隐式特权 Abstract：DB2 database is developed by IBM，a large relational database，it has high efficiency in the large amount of data storage and good security.This paper describes the DB2 database security model，on the basis of the safety precautions when installing and using the DB2 database manager，and finally analyze the DB2 database access control methods. Key words：DB2;Database;Security;Authentication;Authorization;Implicit Authorization 1.前言 目前在数据为王的时代，数据库作为企业信息系统的核心担当着重要的角色，而数据的安全性又成为了信息系统核心中的核心，DB2数据库也是如此。任何给定的公司的数据库系统可能要收集、存储和分析成千上万行信息，这些信息本质上有公共的，也有私有的。如何防止因用户非法使用数据库造成数据泄露、更改或破坏？如何让用户访问到应该读取到的信息，这就成了数据库的重要任务，也是对数据库安全性的要求。本文主要介绍DB2的安全机制，只有了解了DB2的安全机制才可以更好的规划好数据库的安全管制策略，更好的保护数据。 2.DB2数据库的安全机制 DB2数据库的安全机制主要有两种：一种是身份认证，另一种是用户授权。身份认证是指哪些用户可以访问DB2，它通常是由操作系统或第三方认证工具来完成。用户授权是指数据库用户或用户组可以执行的操作以及他们可以访问哪些数据库对象，用户授权完全由DB2数据库本身来完成。 2.1 身份认证 身份认证就是使用安全机制验证所提供的用户ID和密码的过程，是用户访问DB2实例或者数据库时遇到的第一道安全闸门。用户和密码的认证是由DB2数据库系统外部的安全设施通过认证安全插件模块来完成的，比如操作系统、域控制器或者密钥安全系统。DB2实例参数AUTHENTICATION的值确定了身份认证类型，确定了在什么地方进行身份验证，是在客户机还是在数据库服务器？身份认证有很多的类型，具体采用哪种类型是由数据的敏感程度决定的。为了防止用户和密码信息泄露，建议采用加密的身份认证方式。对于DB2数据库是没有自己专用的用户的，所有用户都是操作系统用户，这和其它数据库是不同的，数据库登陆信息并不存放在任何数据库表中。用户名和组名必须遵循特定操作系统强制实施的规则。例如：在Linux和UNIX操作系统上，用户标识和组名最多可以包含8个字符，在Windows操作系统上，用户标识和组名最多可以包含30个字符等。 2.2 用户授权 对用户进行身份认证之后，数据库管理器就会确定是否允许该用户访问DB2数据或资源。授权是如下这样一个过程：DB2数据库管理器通过此过程来获取有关已认证的用户的信息，指示该用户可以执行哪些数据库操作，该用户可以访问哪些数据对象[4，5]。按照管理层次来区分，DB2共包括两大类权限：管理权限和特权。按照授权作用范围来区分，DB2共包括两类权限：实例级和数据库级权限。以下介绍比较关键的权限类别，根据需要将所需权限授予给相关用户： 一是实例级别的权限。主要有系统管理员（SYSADM）、系统控制（SYSCTRL）、系统维护（SYSMAINT）和系统监视（SYSMON）权限，这些权限对实例级别的功能提供了不同程度的控制。系统管理员（SYSADM）权限是对实例资源具有全部的控制权和最高管理权限。在DB2V9.7之前版本中，具有系统管理员（SYSADM）权限的用户还有数据库的所有权限和特权。系统控制（SYSCTRL）权限是对实例资源具有最高的控制级别的权限。实例级别的权限不能使用GRANT SQL语句授予SYSADM、SYSCTRL、SYSMAINT和SYSMON权限。只能通过修改数据库管理器配置参数设置这些特殊的权限。只有系统管理员（SYSADM）权限才有权限更新和设置数据库管理器配置参数。