【正文】 同時(shí)多個(gè)應(yīng)用程序使用的通用信息，如用戶名、用戶辦公地點(diǎn)和電話號(hào)碼，通常跨越企業(yè)進(jìn)行分割，從而導(dǎo)致數(shù)據(jù)冗余、不一致和管理成本浩大。另一方面企業(yè)必須管理每個(gè)用戶的多個(gè)密碼。 先進(jìn)的用戶和安全策略管理先進(jìn)的用戶和安全策略管理隨著 Inter 的不斷發(fā)展，用戶驗(yàn)證和用戶管理的問題已成為企業(yè)安全管理的所面臨的重要問題。 Triple DES 越來越廣泛地用于各種機(jī)構(gòu)，如需要強(qiáng)大安全性的銀行和金融機(jī)構(gòu)。SSL 通過使用密碼組，提供加密和數(shù)據(jù)完整性.DB2 支持 SSL 的加密算法是 RCDES 和 Triple DES。SSL 協(xié)議的支持24 / 28Secure Socket Layer 協(xié)議廣泛用于 Inter 上，以便為用戶提供安全的數(shù)字身份，并避免數(shù)據(jù)竊聽、篡改或偽造。DB2 的 Digital Certificate 遵循 協(xié)議, 同時(shí) DB2 環(huán)境中的 Digital Certificate 使用還提供了 Single Sign On，從而使用戶一旦通過驗(yàn)證，就可以在不提供其它憑證的情況下連接至多個(gè)應(yīng)用程序和數(shù)據(jù)庫(kù)。Public Key Infrastructure 依賴于 證書來進(jìn)行公鑰驗(yàn)證， 也稱為 Digital Certificate 或公鑰證書。???Public Key 和 Private Key，組成了 PKI 的基礎(chǔ)，支持基于密鑰和與算術(shù)相關(guān)的公鑰的安全通信???Secure Socket Layer (SSL)， 符合安全協(xié)議的 Inter 標(biāo)準(zhǔn)???Certificate Authority (CA)， 作為 Digital Certificate 的可信、獨(dú)立的提供商DB2 數(shù)據(jù)庫(kù)完全支持標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI), 除支持 PKI 的主要組成部分還支持其它重要組件為：證書和密鑰的安全存儲(chǔ)、請(qǐng)求證書的管理工具、訪問 wallet 和管理用戶，以及作為用戶和機(jī)器識(shí)別和驗(yàn)證的集中管理的目錄服務(wù)。23 / 28 托管環(huán)境的安全 網(wǎng)絡(luò)中的安全——基于標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI)標(biāo)準(zhǔn)的 Public Key Infrastructure (PKI) 通過提供：驗(yàn)證、加密、完整性和認(rèn)可，為安全電子商務(wù)和 Inter 安全性奠定了基礎(chǔ)。未經(jīng)得到相應(yīng)授權(quán)的使用者如果只有打開數(shù)據(jù)表的權(quán)限而沒有相應(yīng)的密碼，則只能看到加密后的密文。數(shù)據(jù)加密DB2 對(duì)于應(yīng)用系統(tǒng)中比較關(guān)鍵和敏感的數(shù)據(jù)，可以使用密文的形式進(jìn)行存儲(chǔ)。復(fù)制復(fù)制把主數(shù)據(jù)庫(kù)里的數(shù)據(jù)變化通過觸發(fā)器同步到復(fù)制數(shù)據(jù)庫(kù)，當(dāng)主數(shù)據(jù)庫(kù)失敗時(shí)，DBA 可以把系統(tǒng)切換到復(fù)制數(shù)據(jù)庫(kù)。備份和恢復(fù)保證數(shù)據(jù)庫(kù)在硬件或軟件失敗后可用，是保障數(shù)據(jù)和服務(wù)可用的基本措施之一。數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)審計(jì)DB2 可按系統(tǒng)和用戶的要求，可對(duì)表及視圖進(jìn)行各種審計(jì)，完成對(duì)數(shù)據(jù)庫(kù)22 / 28系統(tǒng)的審計(jì)追蹤，如：什么用戶參與了哪些操作，操作的對(duì)象，操作數(shù)據(jù)的記錄及操作成功與否等。約束各種類型的約束保證數(shù)據(jù)庫(kù)里的數(shù)據(jù)符合業(yè)務(wù)規(guī)則，確保數(shù)據(jù)的完整性和一致性。如：你可以授予 A 用戶執(zhí)行用戶 B 的存儲(chǔ)過程的權(quán)限，通過執(zhí)行用戶 B 的存儲(chǔ)過程修改一張表，但不授權(quán)給用戶 A 直接訪問數(shù)據(jù)庫(kù)修改這張表，這樣可以加強(qiáng)對(duì)數(shù)據(jù)的存取訪問控制。數(shù)據(jù)庫(kù)管理員只需一條GRANT 命令，就可以授權(quán)用戶運(yùn)行整個(gè)應(yīng)用。基于角色的安全性管理機(jī)制，可以給一組數(shù)據(jù)庫(kù)權(quán)限命名。密碼的有效管理可以加強(qiáng)數(shù)據(jù)訪問的機(jī)密性。密碼管理限制用戶不可使用簡(jiǎn)單的密碼。 DB2 EEE: Data encryption DB2 安全解決方案 – 提供端到端的安全體系結(jié)構(gòu)DB2 繼續(xù)提供業(yè)界最安全的應(yīng)用程序開發(fā)和部署平臺(tái),有力地保護(hù)數(shù)據(jù)和服務(wù)安全，確保正確的人能夠及時(shí)地存取到正確的數(shù)據(jù)。 DB2 EEE: 20 / 28乏嚴(yán)格控制 改 制技術(shù) USER amp。 DB2 EEE: Auditing DB2 EE amp。 DB2 EEE大量的惡意訪問攻擊導(dǎo)致的服務(wù)停頓控制使用的資源可用性技術(shù) DB2 EE amp。 DB2 EEE: 角色,權(quán)限網(wǎng)絡(luò)數(shù)據(jù)偵聽、竊取保護(hù)網(wǎng)絡(luò) 網(wǎng)絡(luò)加密技術(shù) DB2 EE amp。 DB2 EEE加密存儲(chǔ)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)加密技術(shù)DB2 EE amp。 DB2 EEE動(dòng)態(tài)查詢修改細(xì)粒度的訪問控制技術(shù)DB2 EE amp。 DB2 EEE：密碼及密碼管理DB2 EE amp。 業(yè)界采用的安全技術(shù)面臨數(shù)據(jù)庫(kù)應(yīng)用數(shù)據(jù)安全的挑戰(zhàn)，業(yè)界通常采用以下技術(shù)對(duì)安全進(jìn)行控制：? 身份驗(yàn)證? 訪問控制? 權(quán)限管理? 審計(jì)? 加密? 數(shù)據(jù)完整性19 / 28? 網(wǎng)絡(luò)安全技術(shù)等 DB2 的安全解決之道針對(duì)數(shù)據(jù)庫(kù)應(yīng)用的數(shù)據(jù)安全風(fēng)險(xiǎn)，DB2 使用業(yè)界居于領(lǐng)導(dǎo)地位的產(chǎn)品和特性提供完整的安全控制解決之道。為了應(yīng)對(duì)安全管理上的用戶的擴(kuò)展性，應(yīng)該采用基于工業(yè)標(biāo)準(zhǔn)的目錄，對(duì)多個(gè)應(yīng)用和數(shù)據(jù)庫(kù)的用戶和權(quán)限進(jìn)行集中管理，這樣可以減少系統(tǒng)管理成本，提高效率。在這種環(huán)境中，你需要知道用戶是不是真正的用戶，在各個(gè)應(yīng)用層上有沒有可靠的安全控制，用戶賬號(hào)和密碼管理的沉重負(fù)擔(dān)將使得系統(tǒng)變得脆弱、容易受到攻擊。所以必須有可靠的機(jī)制來監(jiān)控用戶對(duì)數(shù)據(jù)的操作。所以需要在數(shù)據(jù)這一層加上訪問安全策略的控制。比如說在一個(gè)共享的業(yè)務(wù)環(huán)境中，用戶應(yīng)該只能夠存取他自己的信息：每個(gè)客戶只能看到他自己的訂單記錄，你可以看到所有的訂單記錄。所以應(yīng)該在列這個(gè)更細(xì)的級(jí)別對(duì)數(shù)據(jù)進(jìn)行保護(hù)。再者，大量用戶賬號(hào)和密碼的管理都是復(fù)雜、耗時(shí)、昂貴的。這些密碼對(duì)于攻擊來說是很脆弱的；即使用戶使用了復(fù)雜的密碼，他們也會(huì)把密碼記下來，使攻擊者容易通過其他途徑找到；并且，由于不同的應(yīng)用都需要密碼，用戶往往把密碼標(biāo)準(zhǔn)化，不同的應(yīng)用的密碼略有不同，從一個(gè)應(yīng)用的密碼可以推知另外一個(gè)應(yīng)用的密碼，這樣方便記住。你怎么能夠確認(rèn)聲稱的客戶機(jī) B 和聲稱的服務(wù)器 A 就是真正的客戶機(jī) B 和服務(wù)器 A? 偽造身份現(xiàn)已成為網(wǎng)絡(luò)安全的最大威脅之一。17 / 28在分布式環(huán)境中，攻擊者很容易偽造身份獲取到敏感重要的信息。對(duì)于所有類型的網(wǎng)絡(luò)，包括局域網(wǎng)和廣域網(wǎng)這種數(shù)據(jù)竊聽都有可能。數(shù)據(jù)被竊取數(shù)據(jù)必須能夠安全地存儲(chǔ)和傳輸，因此敏感信息諸如信用卡號(hào)、密碼等不會(huì)被竊取。在數(shù)據(jù)篡改的攻擊中，一個(gè)未授權(quán)的攻擊者對(duì)傳輸中的數(shù)據(jù)進(jìn)行攔截、篡改后，再把數(shù)據(jù)繼續(xù)進(jìn)行傳輸。 數(shù)據(jù)安全風(fēng)險(xiǎn)在數(shù)據(jù)庫(kù)應(yīng)用中，數(shù)據(jù)安全面臨著以下威脅：數(shù)據(jù)被篡改通信的私有性對(duì)保證數(shù)據(jù)在傳輸過程中不被篡改非常重要。必須有措施能夠阻止惡意的攻擊。惡意的系統(tǒng)攻擊使得授權(quán)的用戶不能正常訪問系統(tǒng)。16 / 284) 網(wǎng)絡(luò)傳輸必須被保護(hù)，以免于惡意刪除、破壞。2) 約束能保證數(shù)據(jù)是有效的，比如外鍵約束能保證表之間的數(shù)據(jù)依賴關(guān)系。數(shù)據(jù)完整性數(shù)據(jù)完整性要求：(1) 數(shù)據(jù)是合法有效的；(2) 數(shù)據(jù)不能被惡意刪除和修改；(3) 數(shù)據(jù)之間的依賴關(guān)系必須保證。4) 細(xì)粒度的訪問控制：訪問數(shù)據(jù)庫(kù)的某一特定用戶不應(yīng)該看到所有數(shù)據(jù)，而只能看到他可以看的那些數(shù)據(jù)，比如說某張表的某些記錄的某些字段值，訪問控制需要細(xì)化。3) 用戶身份的確定：確保只有合法的用戶才能訪問數(shù)據(jù)。機(jī)密性涉及到幾個(gè)方面：1) 數(shù)據(jù)傳輸過程中的保密:在數(shù)據(jù)傳輸過程中不能被非法者偵聽。 數(shù)據(jù)安全基本需求數(shù)據(jù)安全的需求概括來講就是：正確的人能夠及時(shí)地存取到正確的數(shù)據(jù)。借助 DB2EE amp。合作伙伴必須