DB2 - 数据库安全

本章介绍数据库安全性。

简介

DB2 数据库和功能可以通过两种不同的安全控制模式进行管理:

1. 身份验证
2. 授权

身份验证

身份验证是确认用户仅按照其有权执行其被授权执行的活动的权限登录的过程。 用户身份验证可以在操作系统级别或数据库级别本身执行。 通过使用视网膜和数字打印等生物识别身份验证工具，可以防止数据库受到黑客或恶意用户的攻击。

可以从 db2 数据库系统外部管理数据库安全性。 以下是一些类型的安全认证过程:

• 基于操作系统身份验证。
• 轻量级目录访问协议 (LDAP)

对于 DB2 来说，安全服务是操作系统的一部分，作为一个单独的产品。 对于身份验证，它需要两个不同的凭据，即用户 ID 或用户名和密码。

授权

您可以在 DB2 数据库系统中访问 DB2 数据库及其功能，该系统由 DB2 数据库管理器管理。 授权是由 DB2 数据库管理器管理的过程。 管理器获取有关当前经过身份验证的用户的信息，该信息指示用户可以执行或访问哪些数据库操作。

以下是可用于授权的不同权限方式:

主权限:直接授予授权ID。

辅助权限:如果用户是成员，则授予组和角色

公共权限:公开授予所有用户。

上下文相关权限:授予受信任的上下文角色。

可以根据以下类别向用户授予授权:

• 系统级授权
• 系统管理员 [SYSADM]
• 系统控制 [SYSCTRL]
• 系统维护 [SYSMAINT]
• 系统监视器[SYSMON]

权威机构提供对实例级功能的控制。 权限提供组权限，控制维护和权限操作。 例如，数据库和数据库对象。

• 数据库级授权
• 安全管理员 [SECADM]
• 数据库管理员 [DBADM]
• 访问控制 [ACCESSCTRL]
• 数据访问 [DATAACCESS]
• SQL 管理员。 [SQLADM]
• 工作负载管理管理员 [WLMADM]
• 解释一下[解释]

权威机构在数据库内提供控制。 数据库的其他权限包括 LDAD 和 CONNECT。

• 对象级授权:对象级授权涉及在对对象执行操作时验证权限。
• 基于内容的授权:用户可以使用基于标签的访问控制 [LBAC] 对特定表上的各个行和列进行读写访问。

DB2 表和配置文件用于记录与授权名称关联的权限。 当用户尝试访问数据时，记录的权限会验证以下权限:

• 用户的授权名称
• 用户属于哪个组
• 哪些角色是直接授予用户或间接授予群组
• 通过可信上下文获取的权限。

在使用 SQL 语句时，DB2 授权模型会考虑以下权限的组合:

• 授予与 SQL 语句关联的主授权 ID 的权限。
• 与 SQL 语句关联的辅助授权 ID。
• 授予公众
• 授予可信上下文角色。

实例级权限

让我们讨论一些与实例相关的权限。

系统管理权限（SYSADM）

它是实例级别的最高级别管理权限。 具有 SYSADM 权限的用户可以在实例内执行一些数据库和数据库管理器命令。 具有SYSADM权限的用户可以执行以下操作:

• 升级数据库
• 恢复数据库
• 更新数据库管理器配置文件。

系统控制权限（SYSCTRL）

系统控制权限最高级别。 它提供对数据库管理器实例及其数据库执行维护和实用操作。 这些操作会影响系统资源，但不允许直接访问数据库中的数据。

具有 SYSCTRL 权限的用户可以执行以下操作:

• 更新数据库、节点或分布式连接服务 (DCS) 目录
• 强制用户脱离系统级别
• 创建或删除数据库级别
• 创建、更改或删除表空间
• 使用任何表空间
• 正在恢复数据库

系统维护权限（SYSMAINT）

这是第二级系统控制权限。 它提供对数据库管理器实例及其数据库执行维护和实用操作。 这些操作会影响系统资源，而不允许直接访问数据库中的数据。 此权限旨在让用户在包含敏感数据的数据库管理器实例中维护数据库。

只有具有 SYSMAINT 或更高级别系统权限的用户才能执行以下任务:

• 进行备份
• 恢复备份
• 前滚恢复
• 启动或停止实例
• 恢复表空间
• 执行 db2trc 命令
• 在实例级用户或数据库级用户的情况下拍摄系统监视器快照。

具有 SYSMAINT 的用户可以执行以下任务:

• 查询表空间的状态
• 更新日志历史文件
• 重组表格
• 使用 RUNSTATS（集合目录统计信息）

系统监控权限（SYSMON）

使用此权限，用户可以监视数据库管理器实例或其数据库或为其拍摄快照。 SYSMON 权限使用户能够运行以下任务:

• 获取数据库管理器监控开关
• 获取监控开关
• 获取快照
• 列表
  • 列出活动数据库
  • 列出应用
  • 列出数据库分区组
  • 列出 DCS 应用程序
  • 列出软件包
  • 列出表格
  • 列出表空间容器
  • 列出表空间
  • 列出实用程序
• 重置监控
• 更新监控开关

数据库权限

每个数据库权限都拥有对数据库执行某些操作的授权 ID。 这些数据库权限不同于特权。 这是一些数据库权限的列表:

ACCESSCTRL:允许授予和撤销所有对象权限和数据库权限。

BINDADD:允许在数据库中创建新包。

CONNECT:允许连接到数据库。

CREATETAB:允许在数据库中创建新表。

CREATE_EXTERNAL_ROUTINE:允许创建供应用程序和数据库用户使用的过程。

DATAACCESS:允许访问存储在数据库表中的数据。

DBADM:充当数据库管理员。 它提供除 ACCESSCTRL、DATAACCESS 和 SECADM 之外的所有其他数据库权限。

EXPLAIN:允许解释查询计划，而不要求他们拥有访问表中数据的权限。

IMPLICIT_SCHEMA:允许用户通过使用 CREATE 语句创建对象来隐式创建架构。

LOAD:允许将数据加载到表中。

QUIESCE_CONNECT:允许在数据库静止（暂时禁用）时访问数据库。

SECADM:允许充当数据库的安全管理员。

SQLADM:允许监视和调整 SQL 语句。

WLMADM:允许充当工作负载管理员

权限

SETSESSIONUSER

授权 ID 权限涉及对授权 ID 的操作。 只有一种权限，称为 SETSESSIONUSER 权限。 它可以被授予用户或组，并且允许会话用户将身份切换到任何被授予特权的授权 ID。 此权限由用户 SECADM 权限授予。

架构权限

此权限涉及对数据库中架构的操作。 模式的所有者拥有操作模式对象（如表、视图、索引、包、数据类型、函数、触发器、过程和别名）的所有权限。 可以向用户、组、角色或 PUBLIC 的任何用户授予以下权限:

• CREATEIN:允许在架构内创建对象
• ALTERIN:允许修改架构内的对象。

删除

这允许删除架构内的对象。

表空间权限

这些权限涉及对数据库中表空间的操作。 可以授予用户对表空间的 USE 权限。 然后，这些权限允许他们在表空间中创建表。 权限所有者可以在创建表空间时使用命令WITH GRANT OPTION对该表空间授予USE权限。 并且SECADM或ACCESSCTRL权限具有表空间的USE权限。

表和视图权限

用户必须拥有数据库的 CONNECT 权限才能使用表和视图权限。 表和视图的权限如下所示:

CONTROL

它提供表或视图的所有权限，包括删除和授予、撤销用户的单个表权限。

ALTER

它允许用户修改表。

DELETE

它允许用户从表或视图中删除行。

INDEX

它允许用户向表或视图中插入一行。 它还可以运行导入实用程序。

REFERENCES

它允许用户创建和删除外键。

SELECT

它允许用户从表或视图中检索行。

UPDATE

它允许用户更改表、视图中的条目。

包特权

用户必须具有数据库的 CONNECT 权限。 包是一个数据库对象，其中包含数据库管理器的信息，以便为特定应用程序以最有效的方式访问数据。

CONTROL

它为用户提供重新绑定、删除或执行包的权限。 具有此权限的用户将被授予 BIND 和 EXECUTE 权限。

BIND

它允许用户绑定或重新绑定该包。

EXECUTE

允许执行包。

索引权限

此权限自动接收索引上的 CONTROL 权限。

序列权限

序列自动接收序列的 USAGE 和 ALTER 权限。

常规权限

它涉及例程的操作，例如数据库中的函数、过程和方法。