📅  最后修改于: 2020-11-28 13:29:03             🧑  作者: Mango
本章介绍数据库安全性。
可以通过两种不同的安全控制模式来管理DB2数据库和功能:
认证是确认用户仅根据执行其被授权执行的活动的权限登录的过程。用户身份验证可以在操作系统级别或数据库级别本身执行。通过使用身份验证工具进行生物识别(例如视网膜和人物照片),可以防止数据库受到黑客或恶意用户的攻击。
可以从db2数据库系统外部管理数据库安全性。以下是某种类型的安全身份验证过程:
对于DB2,安全服务作为独立产品是操作系统的一部分。对于身份验证,它需要两个不同的凭据,分别是用户标识或用户名以及密码。
您可以在由DB2数据库管理器管理的DB2数据库系统中访问DB2数据库及其功能。授权是由DB2数据库管理器管理的过程。管理器获取有关当前已认证用户的信息,该信息指示该用户可以执行或访问的数据库操作。
以下是可用于授权的不同权限方式:
主要权限:直接授予授权ID。
次要权限:如果用户是成员,则授予组和角色
公开许可:公开授予所有用户。
上下文敏感权限:授予可信上下文角色。
可以根据以下类别向用户授予授权:
当局提供对实例级功能的控制。授权提供给组特权,以控制维护和授权操作。例如,数据库和数据库对象。
当局在数据库内提供控件。其他数据库授权包括LDAD和CONNECT。
DB2表和配置文件用于记录与授权名称关联的权限。当用户尝试访问数据时,记录的权限将验证以下权限:
在使用SQL语句时,DB2授权模型考虑以下权限的组合:
让我们讨论一些与实例相关的权限。
它是实例级别的最高级别管理权限。具有SYSADM权限的用户可以在实例中执行某些数据库和数据库管理器命令。具有SYSADM权限的用户可以执行以下操作:
它是系统控制权限中的最高级别。它提供对数据库管理器实例及其数据库执行维护和实用程序操作。这些操作可能会影响系统资源,但不允许直接访问数据库中的数据。
具有SYSCTRL权限的用户可以执行以下操作:
它是系统控制权限的第二级。它提供对数据库管理器实例及其数据库执行维护和实用程序操作。这些操作会影响系统资源,而不允许直接访问数据库中的数据。该权限旨在让用户维护包含敏感数据的数据库管理器实例中的数据库。
只有具有SYSMAINT或更高级别系统权限的用户才能执行以下任务:
具有SYSMAINT的用户可以执行以下任务:
拥有此权限,用户可以监视或管理数据库管理器实例或其数据库的快照。 SYSMON权限使用户可以运行以下任务:
每个数据库授权机构都拥有授权ID,以对数据库执行某些操作。这些数据库授权与特权不同。这是一些数据库授权的列表:
ACCESSCTRL :允许授予和撤销所有对象特权和数据库权限。
BINDADD :允许在数据库中创建一个新包。
CONNECT :允许连接到数据库。
CREATETAB :允许在数据库中创建新表。
CREATE_EXTERNAL_ROUTINE :允许创建要由应用程序和数据库用户使用的过程。
DATAACCESS :允许访问存储在数据库表中的数据。
DBADM :充当数据库管理员。它赋予除ACCESSCTRL,DATAACCESS和SECADM之外的所有其他数据库权限。
说明:允许解释查询计划,而不需要他们持有的特权访问的表中的数据。
IMPLICIT_SCHEMA :允许用户通过使用CREATE语句创建对象来隐式创建模式。
LOAD :允许将数据加载到表中。
QUIESCE_CONNECT :允许在数据库处于静止状态时访问数据库(暂时禁用)。
SECADM :允许充当数据库的安全管理员。
SQLADM :允许监视和调整SQL语句。
WLMADM :允许充当工作负载管理员
授权ID特权涉及对授权ID的操作。只有一种特权,称为SETSESSIONUSER特权。可以将其授予用户或组,并允许会话用户将身份切换到授予特权的任何授权ID。此特权由用户SECADM权限授予。
此特权涉及对数据库中架构的操作。模式的所有者拥有操作模式对象(如表,视图,索引,包,数据类型,函数,触发器,过程和别名)的所有权限。可以向用户,组,角色或PUBLIC授予具有以下特权的任何用户:
这允许删除架构内的对象。
这些特权涉及对数据库中表空间的操作。可以向用户授予表空间的USE特权。然后,特权使他们可以在表空间中创建表。创建表空间时,特权所有者可以使用表空间上的命令WITH GRANT OPTION授予USE特权。 SECADM或ACCESSCTRL权限具有对表空间的USE权限的权限。
用户必须对数据库具有CONNECT权限才能使用表和查看特权。表和视图的特权如下:
它为表或视图提供所有权限,包括删除和授予权限,并向用户撤消各个表的权限。
它允许用户修改表。
它允许用户从表或视图中删除行。
它允许用户在表或视图中插入一行。它还可以运行导入实用程序。
它允许用户创建和删除外键。
它允许用户从表或视图中检索行。
它允许用户更改表视图中的条目。
用户必须对数据库具有CONNECT权限。包是一个数据库对象,其中包含数据库管理器的信息,以最有效的方式访问特定应用程序的数据。
它为用户提供重新绑定,删除或执行程序包的特权。具有此特权的用户将被授予BIND和EXECUTE特权。
它允许用户绑定或重新绑定该程序包。
允许执行包。
该特权自动获得索引的CONTROL特权。
序列自动接收序列的USAGE和ALTER特权。
它涉及例程的操作,例如数据库中的函数,过程和方法。