DB2數據庫有哪些安全性

DB2數據庫有哪些安全性，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

　　安全性缺口的確引人矚目 — 而且能削弱顧客的信心。即便安全性不是最令人激動的主題，對于任何使用數據庫管理系統的企業來說，它也是重要顧慮。同時，隨著越來越多的企業參與電子空間，把私有數據從公共數據中分離變得尤為重要。下面億速云小編來講解下DB2數據庫有哪些安全性?

　　DB2數據庫有哪些安全性

　　任何給定的公司的數據庫系統可能要收集、存儲和分析成千上萬行信息，這些信息本質上有公共的，也有私有的。由于有這項責任在身，數據庫必須使數據庫管理員能適當的授權和限制訪問。此外，數據庫還必須提供防止未授權用戶存取機密數據的方法。

　　但是有時候，數據庫安全信息難以獲得或理解。盡管您常聽說 DB2 通用數據庫(DB2 Universal Database，UDB)是多么可擴展、多么健壯，但您多久才會聽到一次有關 DB2 的安全特性的細節呢?

　　因為保護數據庫安全是 DBA 最重要的職責之一，所以您不應當試圖通過反復試驗來學習數據庫安全性。保護您的數據庫安全涉及：

　　防止任何人在企業無需知道的情況下對機密數據進行未授權的存取

　　防止未授權用戶惡意刪除進行破壞或擅自改變數據

　　采用審核技術監視用戶存取數據

　　本文中，我將帶您瀏覽 Windows、Unix 和 OS/2 版本的 DB2 UDB v.7.1 中的安全特性，并描述一些可以幫助您最大化安全性的內部控制。

　　驗證

　　數據庫安全性中最基本的概念之一就是驗證，這是一個相當簡單的過程，系統通過這個過程來證實用戶身份。用戶可以通過提供身份證明或驗證令牌來響應驗證請求。

　　很可能您已經熟悉這個概念了。如果您曾經被要求出示帶照片的 ID(例如，在銀行新開帳戶時)，那么已經有人向您提出過驗證請求了。您出示了駕駛執照(或其它帶照片的 ID)從而證明自己的身份。在這種情況下，您的駕駛執照就充當了驗證令牌。

　　圖 1. DB2 授權角色

　　不管您在電影里看到些什么，大部分軟件程序不能把未來系統(比如面部識別)用于驗證。相反，大多數驗證請求要求您提供用戶標識和密碼。您的用戶標識表示您聲稱自己是被授權可訪問該環境的人，密碼則將提供您個人的驗證證據。當然，這種驗證假定您的密碼受到很好的保護，而且您是唯一一個知道這個密碼的人。

　　用戶驗證由 DB2 之外的安全性工具完成，這個工具通常是操作系統的一部分或獨立產品。事實上，安全性不僅是數據庫問題;操作系統廠商也要花費很多的時間、金錢和心思確保他們的產品是安全的。但是，包括 Microsoft Windows 95 和 98 在內的一些操作系統并沒有本地安全機制。如果您使用的是沒有安全機制的操作系統，那您可以把環境配置成依靠在更安全的系統上運行的 DB2 服務器來提供這種安全性。例如，您可以使用可靠的客戶端選項，我將在文章的后面部分更多的討論這些選項。(如想獲得更多信息，請參閱 DB2 Administration Guide。)

　　您也可以使用第三方產品(如由 Open Group 定義的分布式計算環境安全服務(Distributed Computing Environment(DCE)Security Services)來給您的環境添加一層安全層。DB2 可以協調這些外部安全工作與其安全主動性來保護事務或分析環境。

　　一旦用戶身份驗證成功，DB2 記下用戶的身份標識和其它相關的安全信息，如用戶組列表。用戶必須使用 SQL 授權名(authorization name)或授權標識(authid)以被 DB2 識別，授權名或授權標識可以與用戶標識或映射值相同。這一連接信息將在用戶連接期間保留。

　　驗證選項

　　因為驗證可以由操作系統或第三方產品處理，所以 DB2 提供您可以在數據庫管理器配置(dbm cfg)文件中使用 AUTHENTICATION 參數設置的不同驗證選項。DB2 使用這一參數確定驗證應該以何種方式、在何處發生。

　　dbm cfg AUTHENTICATION 參數的許多設置在邏輯上可以分組為以下四個不同類別：SERVER(服務器)、Client(客戶機)、DCE、Kerberos。

　　服務器驗證。該組提供兩個主要選項：

　　SERVER(服務器)缺省安全性機制，指明驗證應該使用服務器的操作系統在服務器上發生。如果用戶標識和密碼是在連接期間指定的，那么 DB2 將調用操作系統函數來驗證提交的用戶標識和密碼。(在基于 Windows 的環境中，用戶標識常被稱為用戶名。用戶名和密碼合起來常被稱為用戶賬戶。)

　　SERVER_ENCRYPT本質上同缺省選項是一樣的，只有一點例外，即從客戶機傳到服務器的密碼是加密的。DB2 在連接時使用單 DES(56 位)密碼加密技術和 Diffie-Hellman 算法為加密算法生成密鑰。RSA BSAFE 工具箱提供這一支持。

　　Client(客戶機)驗證。該組僅有的選項 CLIENT 指明驗證將在客戶機上發生。如果客戶機駐留在原本就具有安全特性的操作系統(例如，AIX)上，那么它就是可信任客戶機。通常，除 Microsoft Windows 95 和 98 被認為不可信任之外，所有客戶機都是可信任的。

　　如果服務器接收到來自可信任客戶機和不可信任客戶機的請求，那么 TRUST_ ALLCLNTS 和 TRUST_CLNTAUTH 選項允許可信任客戶機使用客戶機驗證(client authentication)獲得訪問權，而不可信任客戶機則必須提供密碼才能成功驗證。請參閱 DB2 Administration Guide以了解細節。

　　DB2數據庫有哪些安全性

　　DCE 驗證選項。一些管理員愿意實現 DCE 安全性服務，原因是 DCE 提供用戶和密碼集中式管理，不傳送明文密碼和用戶標識，并且向用戶提供單次登錄。DB2 使用第三方 DCE 產品來提供對 DCE 安全性服務的集成支持。您可以選擇以下兩種設置之一：

　　DCE指明使用 DCE 安全性服務來驗證用戶。已經登錄到 DCE 的 DB2 客戶機可以得到一張加密的“票證”，它可以用這張票證向 DB2 服務器證明自己的身份。

　　DCE_SERVER_ENCRYPT指明服務器將把 DCE 票證或用戶標識以及加密的密碼當作驗證證據接受，由 DB2 客戶機選擇。

　　Kerberos 驗證選項。Kerberos 這一新的驗證機制被作為它與 Microsoft Windows 2000 緊密集成的一部分添加到 DB2 UDB v.7.1 中，單次登錄工具就可以完成 DB2 驗證。一旦通過驗證，用戶就不會受到存在于 Kerberos 環境中的任何服務器的再次質疑。這種驗證方法只能用于 DB2 客戶機和 DB2 服務器都是在 Windows 2000 上運行的情況下。

　　DCE 和 Kerberos 使用本質上相同的底層技術。當客戶機登錄到 Kerberos 安全性環境的時候，DB2 客戶機可以獲取加密的 Kerberos 票證用來向指定的 DB2 服務器證明自己的身份。

　　您可以選擇以下兩種設置之一：

　　KERBEROS指明應當只用 Kerberos 安全性服務來驗證用戶。

　　KRB_SERVER_ENCRYPT指明服務器將把 Kerberos 票證或用戶標識以及加密密碼當作驗證證據接受，由 DB2 客戶機選擇。

　　授權

　　通過驗證的用戶將參加 DB2 安全性的第二層 — 授權。授權是 DB2 借以獲得有關通過驗證的 DB2 用戶的信息(包括用戶可以執行的數據庫操作和用戶可以訪問的數據對象)之過程。

關于DB2數據庫有哪些安全性問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。