DB2 for z/OS安全功能如何定義產業趨勢

達芬奇的巨作《蒙娜麗莎》或許是世界上最著名、最受青睞的藝術作品，如今這幅巨作永久陳列在巴黎盧浮宮中。這幅畫作曾于 1911 年被盜，當時，人們曾一度認為這副畫作將永遠銷聲匿跡，但幸運的是，該畫作于兩年后尋回并重返盧浮宮博物館。 自那以后，這副巨作

達芬奇的巨作《蒙娜麗莎》或許是世界上最著名、最受青睞的藝術作品，如今這幅巨作永久陳列在巴黎盧浮宮中。這幅畫作曾于 1911 年被盜，當時，人們曾一度認為這副畫作將永遠銷聲匿跡，但幸運的是，該畫作于兩年后尋回并重返盧浮宮博物館。

自那以后，這副巨作又多次受到攻擊并輕微損壞。這些攻擊為博物館帶來了巨大的壓力，他們必須設法更加安全地展示這副鎮館之寶。博物館給出的解決方案是：將這副畫作鎖在特別定制的溫控防彈玻璃箱中?！睹赡塞惿返倪@些保護層并不影響游客的觀賞體驗，每年有超過六百萬游客慕名而來，欣賞這副大師之作。

安全性與開放性

與盧浮宮一樣，貴企業必須保護自身最重要的財產——數據，但同時還不能影響全球數百萬用戶的數據使用體驗。遺憾的是，盡管《蒙娜麗莎》的安全防御堅不可摧，但這種防御方法對您的應用程序卻無法奏效。

如今，企業面臨的挑戰是同時實現安全性和開放性。由于 Internet 和品類繁多的各種系統、計算機和軟件平臺逐漸取代了封閉式專有系統，公司必須確保在不擴大風險的前提下提供對企業數據的廣泛訪問。與此同時，與安全有關的法規在不斷增加，最佳實踐業不斷得到廣泛應用。意識到上述風險的企業紛紛投資發展長期安全改進戰略和自動化監管流程。

安全漏洞可能十分致命。潛在經濟影響可能會對企業的財務運營狀況造成巨大影響，更加糟糕的是，信譽喪失可能會對企業聲譽造成無法彌補的損失。不幸的是，安全漏洞在各種規模的企業中并不少見。

貴企業如何保護自身的“蒙娜麗莎”？

IBM? DB2? for z/OS? 與 IBM System z? 集成提供了久經考驗的行業基礎，或許會是您平衡數據安全性和開放性的最佳選擇。許多企業已經發現，從安全角度而言，DB2 和 System z 能夠提供最強大的管理系統、操作和硬件平臺。數十年的開發和運營造就了頂尖的環境，穩定性和安全性已經演變成為設計和架構的一部分。

2013 年，DB2 for z/OS 即將迎來三十周年紀念日。自推出以來，它不斷通過提供高級功能定義數據庫安全行業發展趨勢。DB2 10 for z/OS 也不例外；無論是在安全、監管還是審計方面，均對前期版本進行了改進。單是一項新型安全改進功能就已促使某些先驅企業遷移到 DB2 10 for z/OS。

數據訪問與安全、系統和數據庫管理分離功能是一項備受矚目的 DB2 10 for z/OS 功能。安全與數據庫管理職責分離是一項關鍵的最佳實踐。企業可以為安全管理人員分配全新的 SECADM 權限，但同時不允許他們訪問任何用戶數據。全新的子系統參數 SEPARATE_SECURITY 可設置為 YES，以便刪除與安全防護有關的其他全能 SYSADM 授權功能。
同樣，您也可以使用 ACCESSCTRL 授權，無需獲得對象所有權即可進行對象訪問管理，還可以避免首要授權（如 SYSADM）過度使用或濫用。

清理用戶特權

在經年采用 DB2 的企業中，特權過度現象并不少見，系統管理特權不良增殖也是屢見不鮮。特權撤銷影響評估可能非常繁復，公司可能不愿對自身環境進行清理。這通常會產生級聯效應，在早期版本的 DB2 中，當授予人撤銷某人的管理特權后，此人授予他人的特權往往也會隨之自動撤銷，這可能會導致應用程序中斷。在 DB2 10 中，您可以通過在撤銷語句中使用 NOT INCLUDING DEPENDENT PRIVILEGES 子句控制這一問題，使安全定義清理操作更加安全。

在應用程序開發過程中，可以從異構平臺將分布式應用程序連接到 DB2 for z/OS，這一趨勢日趨重要。DB2 角色和受信任上下文數據庫實體在這類環境中尤為關鍵。每種角色均會被授予執行既定職能所需的一組特權，以便能夠實現更大的靈活性和更有力的安全管理。角色（只能在受信任連接內使用）可作為這組特權的延伸分配給用戶。

受信任上下文解決了在 DB2 與遠程請求程序（如應用程序）之間建立受信任連接的問題。企業可根據先前定義的屬性將連接確定為受信任連接。受信任的上下文和角色能夠提高遠程請求的安全性，無需對應用程序進行任何更改，即可幫助減少風險。對于分布式應用程序，DB2 for z/OS 還支持加密技術，包括安全套接字層 (SSL)、IP 安全 (IPSec) 和高級加密標準 (AES)。

使用加密技術保護離線數據

在處于離線狀態時，數據同樣必須受到保護。由于采用了 z/OS 加密功能（如數據加密標準 (DES) 和三重 DES 安全哈希算法 (SHA)），用戶可以對磁盤和磁帶進行數據加密。作為一個集成示例，某些存儲控制器可以通過加密技術來加密敏感數據，消除性能影響并保持應用程序透明性。

充分利用監控和審計功能

監控和審計功能是發現意外數據訪問行為的基礎。在版本 10 中，DB2 for z/OS 審計工具得到了改進。審計策略可以讓您為要審計的事件定義標準，從而幫助加強用戶訪問監控。用戶可以大幅細化這些策略，使其能夠監控特定的授權標識，同時您還可以啟動或停止策略，在收集數據時實現更大的控制。