【正文】 BM LDAP缺乏跟蹤 監(jiān)控用戶的行為審計(jì) DB2 EE amp。 DB2 EEE: Auditing DB2 EE amp。 DB2 EEE: Auditing數(shù)據(jù)存取缺 動態(tài)查詢修 細(xì)粒度的訪問控 DB2 EE amp。 DB2 EEE: 20 / 28乏嚴(yán)格控制 改 制技術(shù) USER amp。 ROLE BASED Security太多的賬號 集中管理 目錄服務(wù)，與LDAP 兼容的目錄服務(wù)IBM LDAP操作系統(tǒng)突入加密敏感數(shù)據(jù)存儲數(shù)據(jù)加密技術(shù)DB2 EE amp。 DB2 EEE: Data encryption DB2 安全解決方案 – 提供端到端的安全體系結(jié)構(gòu)DB2 繼續(xù)提供業(yè)界最安全的應(yīng)用程序開發(fā)和部署平臺,有力地保護(hù)數(shù)據(jù)和服務(wù)安全，確保正確的人能夠及時地存取到正確的數(shù)據(jù)。DB2 所包含的安全解決方案主要分為以下幾個關(guān)鍵的領(lǐng)域：? DB2 安全機(jī)制? 托管環(huán)境的安全? 基于標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu)(PKI)? 先進(jìn)的用戶和安全策略管理 DB2 安全機(jī)制數(shù)據(jù)庫用戶定義和 profile用戶和 profile 的定義可以用來限制用戶所使用的資源（包括磁盤空間和處理器使用量） ，有效阻止用戶的惡意攻擊導(dǎo)致大量的系統(tǒng)資源消耗，保證數(shù)據(jù)和服務(wù)的可用性。密碼管理限制用戶不可使用簡單的密碼。DB2 提供了強(qiáng)有力的用戶名密碼驗(yàn)證機(jī)制，可以強(qiáng)制密碼的數(shù)字和字母組合，最小長度，口令過期等，如果用戶對密碼處理有特殊要求，還可以通 IBM 相應(yīng)的密碼處理程序。密碼的有效管理可以加強(qiáng)數(shù)據(jù)訪問的機(jī)密性。21 / 28角色和權(quán)限管理DB2 數(shù)據(jù)庫權(quán)限管理包括系統(tǒng)權(quán)限、數(shù)據(jù)庫權(quán)限、對象權(quán)限三級結(jié)構(gòu)，并且形成樹形結(jié)構(gòu)，能動態(tài)生效或無效，從而實(shí)現(xiàn)動態(tài)的權(quán)限處理。基于角色的安全性管理機(jī)制，可以給一組數(shù)據(jù)庫權(quán)限命名。引入角色概念后，機(jī)密性管理機(jī)制可以把表或其它數(shù)據(jù)庫對象上的一些權(quán)限進(jìn)行組合，授予某一個用戶或一組用戶，從而顯著地降低機(jī)密性機(jī)制的負(fù)擔(dān)和成本。數(shù)據(jù)庫管理員只需一條GRANT 命令，就可以授權(quán)用戶運(yùn)行整個應(yīng)用。存儲過程存儲過程可以用來限制用戶進(jìn)行數(shù)據(jù)存取操作。如：你可以授予 A 用戶執(zhí)行用戶 B 的存儲過程的權(quán)限，通過執(zhí)行用戶 B 的存儲過程修改一張表，但不授權(quán)給用戶 A 直接訪問數(shù)據(jù)庫修改這張表，這樣可以加強(qiáng)對數(shù)據(jù)的存取訪問控制。視圖限制用戶只能存取表中指定的列和指定的記錄，保護(hù)敏感數(shù)據(jù)，對數(shù)據(jù)的機(jī)密性進(jìn)行控制。約束各種類型的約束保證數(shù)據(jù)庫里的數(shù)據(jù)符合業(yè)務(wù)規(guī)則，確保數(shù)據(jù)的完整性和一致性。審計(jì)審計(jì)分為數(shù)據(jù)庫標(biāo)準(zhǔn)審計(jì)和細(xì)粒度審計(jì)。數(shù)據(jù)庫標(biāo)準(zhǔn)審計(jì)DB2 可按系統(tǒng)和用戶的要求，可對表及視圖進(jìn)行各種審計(jì)，完成對數(shù)據(jù)庫22 / 28系統(tǒng)的審計(jì)追蹤，如：什么用戶參與了哪些操作，操作的對象，操作數(shù)據(jù)的記錄及操作成功與否等。以此可以檢測異常或可疑用戶的操作，以及未授權(quán)的訪問。備份和恢復(fù)保證數(shù)據(jù)庫在硬件或軟件失敗后可用，是保障數(shù)據(jù)和服務(wù)可用的基本措施之一。備用數(shù)據(jù)庫備用數(shù)據(jù)庫是生產(chǎn)數(shù)據(jù)庫的拷貝，生產(chǎn)數(shù)據(jù)庫產(chǎn)生的日志被傳送和應(yīng)用到備用數(shù)據(jù)庫，以使備用數(shù)據(jù)庫和生產(chǎn)數(shù)據(jù)庫保持同步，當(dāng)生產(chǎn)數(shù)據(jù)庫出現(xiàn)故障，DBA 可以把系統(tǒng)切換到備用數(shù)據(jù)庫，提高數(shù)據(jù)和服務(wù)的可用性。復(fù)制復(fù)制把主數(shù)據(jù)庫里的數(shù)據(jù)變化通過觸發(fā)器同步到復(fù)制數(shù)據(jù)庫，當(dāng)主數(shù)據(jù)庫失敗時，DBA 可以把系統(tǒng)切換到復(fù)制數(shù)據(jù)庫。這是保證數(shù)據(jù)和服務(wù)可用性的措施之一。數(shù)據(jù)加密DB2 對于應(yīng)用系統(tǒng)中比較關(guān)鍵和敏感的數(shù)據(jù)，可以使用密文的形式進(jìn)行存儲。這樣，存儲在數(shù)據(jù)庫中的是經(jīng)過加密的密文數(shù)據(jù)。未經(jīng)得到相應(yīng)授權(quán)的使用者如果只有打開數(shù)據(jù)表的權(quán)限而沒有相應(yīng)的密碼，則只能看到加密后的密文。DB2 支持的加密算法包括：DES ，3DES， MD5, 和加密和數(shù)據(jù)完整性的大多數(shù)流行算法。23 / 28 托管環(huán)境的安全 網(wǎng)絡(luò)中的安全——基于標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI)標(biāo)準(zhǔn)的 Public Key Infrastructure (PKI) 通過提供：驗(yàn)證、加密、完整性和認(rèn)可，為安全電子商務(wù)和 Inter 安全性奠定了基礎(chǔ)。Public Key Infrastructure 的主要組成部分包括：???Digital Certificate，用于驗(yàn)證用戶和機(jī)器，它被安全地存儲在 wallet 中。???Public Key 和 Private Key，組成了 PKI 的基礎(chǔ)，支持基于密鑰和與算術(shù)相關(guān)的公鑰的安全通信???Secure Socket Layer (SSL)， 符合安全協(xié)議的 Inter 標(biāo)準(zhǔn)???Certificate Authority (CA)， 作為 Digital Certificate 的可信、獨(dú)立的提供商DB2 數(shù)據(jù)庫完全支持標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI), 除支持 PKI 的主要組成部分還支持其它重要組件為：證書和密鑰的安全存儲、請求證書的管理工具、訪問 wallet 和管理用戶，以及作為用戶和機(jī)器識別和驗(yàn)證的集中管理的目錄服務(wù)。Digital Certificate目前使用最廣泛的公鑰證書遵循 格式， 版本 3 證書是現(xiàn)行行業(yè)標(biāo)準(zhǔn)格式。Public Key Infrastructure 依賴于 證書來進(jìn)行公鑰驗(yàn)證， 也稱為 Digital Certificate 或公鑰證書。通過證書來驗(yàn)證用戶或機(jī)器有點(diǎn)類似于檢查駕駛執(zhí)照或護(hù)照，服務(wù)器和客戶機(jī)通過出示其驗(yàn)證憑證來證明其身份。DB2 的 Digital Certificate 遵循 協(xié)議, 同時 DB2 環(huán)境中的 Digital Certificate 使用還提供了 Single Sign On，從而使用戶一旦通過驗(yàn)證，就可以在不提供其它憑證的情況下連接至多個應(yīng)用程序和數(shù)據(jù)庫。Single Sign On 易于使用，提高了系統(tǒng)的安全性，因?yàn)橛脩舨槐赜洃浂鄠€密碼，每個用戶或機(jī)器僅需用一個密碼進(jìn)行管理，從而提供了集中的安全性。SSL 協(xié)議的支持24 / 28Secure Socket Layer 協(xié)議廣泛用于 Inter 上，以便為用戶提供安全的數(shù)字身份，并避免數(shù)據(jù)竊聽、篡改或偽造。DB2 支持 Secure Socket Layer, 其中SSL 支持包括網(wǎng)絡(luò)通信進(jìn)行加密，并提供了完整性檢查、驗(yàn)證 DB2 客戶機(jī)和服務(wù)器，為 DB2 環(huán)境提供基于公鑰的 Single SignOn。SSL 通過使用密碼組，提供加密和數(shù)據(jù)完整性.DB2 支持 SSL 的加密算法是 RCDES 和 Triple DES。其中 Triple DES (3DES) 算法是一種保護(hù)數(shù)據(jù)的非常強(qiáng)大的方法，因?yàn)樗褂昧艘粋€以上的標(biāo)準(zhǔn) DES 所采用的 56 位密鑰。 Triple DES 越來越廣泛地用于各種機(jī)構(gòu)，如需要強(qiáng)大安全性的銀行和金融機(jī)構(gòu)。它生成無用數(shù)據(jù)來保護(hù)數(shù)據(jù)傳輸，并確保數(shù)據(jù)包在傳輸過程中未被修改或篡改。 先進(jìn)的用戶和安全策略管理先進(jìn)的用戶和安全策略管理隨著 Inter 的不斷發(fā)展，用戶驗(yàn)證和用戶管理的問題已成為企業(yè)安全管理的所面臨的重要問題。一方面企業(yè)用戶擁有太多的密碼，因此，往往他們將這些密碼記錄下來，或者所有賬號均選擇同一密碼。另一方面企業(yè)必須管理每個用戶的多個密碼。因此，他們投入了重要的資源來進(jìn)行用戶管理，或投資于網(wǎng)絡(luò)驗(yàn)證服務(wù)上。同時多個應(yīng)用程序使用的通用信息，如用戶名、用戶辦公地點(diǎn)和電話號碼，通?？缭狡髽I(yè)進(jìn)行分割，從而導(dǎo)致數(shù)據(jù)冗余、不一致和管理成本浩