數(shù)據(jù)庫(kù)安全:DB2數(shù)據(jù)庫(kù)安全性全面介紹

字號(hào):

簡(jiǎn)介
    我們面對(duì)的這個(gè)問題是:數(shù)據(jù)庫(kù)安全性話題還沒有象測(cè)定最短宕機(jī)時(shí)間世界記錄和報(bào)告那么引人矚目。您是在什么時(shí)候最后一次讀到有關(guān)安全令牌和加密的睿智文章的呢?但正如去年大肆宣傳的從一些電子商務(wù)企業(yè)中盜竊信用卡號(hào)碼的事件所表明的,安全性缺口的確引人矚目 — 而且能削弱顧客的信心。即便安全性不是最令人激動(dòng)的主題,對(duì)于任何使用數(shù)據(jù)庫(kù)管理系統(tǒng)的企業(yè)來說,它也是重要顧慮。同時(shí),隨著越來越多的企業(yè)參與電子空間,把私有數(shù)據(jù)從公共數(shù)據(jù)中分離變得尤為重要。
    任何給定的公司的數(shù)據(jù)庫(kù)系統(tǒng)可能要收集、存儲(chǔ)和分析成千上萬行信息,這些信息本質(zhì)上有公共的,也有私有的。由于有這項(xiàng)責(zé)任在身,數(shù)據(jù)庫(kù)必須使數(shù)據(jù)庫(kù)管理員能適當(dāng)?shù)氖跈?quán)和限制訪問。此外,數(shù)據(jù)庫(kù)還必須提供防止未授權(quán)用戶存取機(jī)密數(shù)據(jù)的方法。
    但是有時(shí)候,數(shù)據(jù)庫(kù)安全信息難以獲得或理解。盡管您常聽說 DB2 通用數(shù)據(jù)庫(kù)(DB2 Universal Database,UDB)是多么可擴(kuò)展、多么健壯,但您多久才會(huì)聽到一次有關(guān) DB2 的安全特性的細(xì)節(jié)呢?
    因?yàn)楸Wo(hù)數(shù)據(jù)庫(kù)安全是 DBA 最重要的職責(zé)之一,所以您不應(yīng)當(dāng)試圖通過反復(fù)試驗(yàn)來學(xué)習(xí)數(shù)據(jù)庫(kù)安全性。保護(hù)您的數(shù)據(jù)庫(kù)安全涉及:
    防止任何人在企業(yè)無需知道的情況下對(duì)機(jī)密數(shù)據(jù)進(jìn)行未授權(quán)的存取
    防止未授權(quán)用戶惡意刪除進(jìn)行破壞或擅自改變數(shù)據(jù)
    采用審核技術(shù)監(jiān)視用戶存取數(shù)據(jù)
    本文中,我將帶您瀏覽 Windows、Unix 和 OS/2 版本的 DB2 UDB v.7.1 中的安全特性,并描述一些可以幫助您化安全性的內(nèi)部控制。
    驗(yàn)證
    數(shù)據(jù)庫(kù)安全性中最基本的概念之一就是驗(yàn)證,這是一個(gè)相當(dāng)簡(jiǎn)單的過程,系統(tǒng)通過這個(gè)過程來證實(shí)用戶身份。用戶可以通過提供身份證明或驗(yàn)證令牌來響應(yīng)驗(yàn)證請(qǐng)求。
    很可能您已經(jīng)熟悉這個(gè)概念了。如果您曾經(jīng)被要求出示帶照片的 ID(例如,在銀行新開帳戶時(shí)),那么已經(jīng)有人向您提出過驗(yàn)證請(qǐng)求了。您出示了駕駛執(zhí)照(或其它帶照片的 ID)從而證明自己的身份。在這種情況下,您的駕駛執(zhí)照就充當(dāng)了驗(yàn)證令牌。
    
    圖 1. DB2 授權(quán)角色
    不管您在電影里看到些什么,大部分軟件程序不能把未來系統(tǒng)(比如面部識(shí)別)用于驗(yàn)證。相反,大多數(shù)驗(yàn)證請(qǐng)求要求您提供用戶標(biāo)識(shí)和密碼。您的用戶標(biāo)識(shí)表示您聲稱自己是被授權(quán)可訪問該環(huán)境的人,密碼則將提供您個(gè)人的驗(yàn)證證據(jù)。當(dāng)然,這種驗(yàn)證假定您的密碼受到很好的保護(hù),而且您是一個(gè)知道這個(gè)密碼的人。
    用戶驗(yàn)證由 DB2 之外的安全性工具完成,這個(gè)工具通常是操作系統(tǒng)的一部分或獨(dú)立產(chǎn)品。事實(shí)上,安全性不僅是數(shù)據(jù)庫(kù)問題;操作系統(tǒng)廠商也要花費(fèi)很多的時(shí)間、金錢和心思確保他們的產(chǎn)品是安全的。但是,包括 Microsoft Windows 95 和 98 在內(nèi)的一些操作系統(tǒng)并沒有本地安全機(jī)制。如果您使用的是沒有安全機(jī)制的操作系統(tǒng),那您可以把環(huán)境配置成依靠在更安全的系統(tǒng)上運(yùn)行的 DB2 服務(wù)器來提供這種安全性。例如,您可以使用可靠的客戶端選項(xiàng),我將在文章的后面部分更多的討論這些選項(xiàng)。(如想獲得更多信息,請(qǐng)參閱 DB2 Administration Guide。)
    您也可以使用第三方產(chǎn)品(如由 Open Group 定義的分布式計(jì)算環(huán)境安全服務(wù)(Distributed Computing Environment(DCE)Security Services)來給您的環(huán)境添加一層安全層。DB2 可以協(xié)調(diào)這些外部安全工作與其安全主動(dòng)性來保護(hù)事務(wù)或分析環(huán)境。
    一旦用戶身份驗(yàn)證成功,DB2 記下用戶的身份標(biāo)識(shí)和其它相關(guān)的安全信息,如用戶組列表。用戶必須使用 SQL 授權(quán)名(authorization name)或授權(quán)標(biāo)識(shí)(authid)以被 DB2 識(shí)別,授權(quán)名或授權(quán)標(biāo)識(shí)可以與用戶標(biāo)識(shí)或映射值相同。這一連接信息將在用戶連接期間保留。