2.0 - Database security_C.pdfVIP

? 2011 IBM Corporation1 DB2 数据库安全性 IBM信息管理云计算能力中心 IBM（加拿大）研究院 ? 2011 IBM Corporation2 DB2 安全性概述 认证 授权 角色 PUBLIC 组 基于标签的细粒度访问控制 基于标号的访问控制 扩展的安全性（仅限 Windows） 可信上下文 议题 ? 2011 IBM Corporation3 阅读材料 DB2 Express-C 入门电子书 第10章: 数据库安全性 视频 课程 AA001EN 第9课: 数据库安全性 支持性阅读材料和视频 ? 2011 IBM Corporation4 DB2 安全性概述 认证 授权 角色 PUBLIC 组 通过视图进行细粒化访问 基于标号的访问控制 扩展的安全性（仅限 Windows） 可信上下文 议题 ? 2011 IBM Corporation5 DB2 安全性概述 DB2安全性包含两个步骤： 认证（在DB2外部进行） 检查用户名和密码 由安全性插件完成，它由调用DB2之外的设施（默认为操作系统） 授权（由DB2进行） 检查通过认证的用户是否有权进行所请求的操作 由DB2通过使用存储在DB2目录及 DBM配置文件中的消息来完成 mytable ? 2011 IBM Corporation6 DB2 安全性概述 认证 授权 角色 PUBLIC 组 通过视图进行细粒化访问 基于标号的访问控制 扩展的安全性（仅限 Windows） 可信上下文 议题 ? 2011 IBM Corporation7 认证 认证在什么地方进行（用户ID/密码检查）？ DBM CFG 参数AUTHENTICATION（在DB2服务器上）决定了在什么地 方/如何进行认证 AUTHENTICATION参数的一些有效值是： ID NAME AGE PHONE SALARY 12 Peter 30 99999 10000 3 Mary 23 88888 15000 ? 2011 IBM Corporation8 在DB2服务器上配置认证 示例： 修改使认证在客户端进行： db2 UPDATE DBM CFG USING AUTHENTICATION CLIENT db2 GET DBM CFG ? 2011 IBM Corporation9 认证（续） 客户端 客户端 DB2 服务器 DB2 服务器 认证=服务器 认证=客户端 连接 ... 使用 user1/pwd1 user1/pwd1 存 在于此 user1/pwd1 存在于此 连接 ? 2011 IBM Corporation10 DB2 安全性概述 认证 授权 角色 PUBLIC 组 通过视图进行细粒化访问 基于标号的访问控制 扩展的安全性（仅限 Windows） 可信上下文 议题 ? 2011 IBM Corporation11 授权 验证某个授权ID是否有足够的特权来进行所期望的数据库操作 例如：Bob有对表MYTABLE进行SELECT操作的权限吗？ 可以利用以下方法来赋予权利： 特权: 细粒化 权限: 内置的。例如：SYSADM, DBADM, SECADM, 等等 角色: 例如用户定义的权限 ? 2011 IBM Corporation12 特权 ? 2011 IBM Corporation13 特权 -示例 模式特权 CREATEIN: 可以在模式中创建对象 ALTERIN: 可以改变模式中的对象 DROPIN: 可以从模式中删除对象 表和视图特权 CONTROL: 对表或视图具有完全控制权，包括删除、授予/撤销 DELETE: 可以删除行 INSERT: 可以插入行并运行IMPORT工具 SELECT: 可以检索行、创建视图、运行EXPORT工具 UPDATE: 可以修改列、表或视图中的项目 ALTER: 可以修改表 INDEX: 可以对表创建索引 REFERENCES 可以创建和删除外键 ? 2011 IBM Corporation14 特权 –授予 / 撤销 显式 明确对某个用户或组使用GRANT 和 REVOKE 语句 隐式 DB2 可以在发出某些命令时自动授予特权 间接 程序包中含有可执行格式的SQL语句。用户只需要EXECUTE特权就能够运行它们 示例：程序包1 含有如下静态SQL语句 在本例中，程序包1 具有EXECUTE特权的用户被间接授予对表的TEST的SELECT和INSERT 权限 select * from test insert into test values (1,2,3) grant select on table db2inst1.employee to user mary revoke sele