達(dá)芬奇的巨作《蒙娜麗莎》或許是世界上最著名、最受青睞的藝術(shù)作品,如今這幅巨作永久陳列在巴黎盧浮宮中。這幅畫作曾于 1911 年被盜,當(dāng)時,人們曾一度認(rèn)為這副畫作將永遠(yuǎn)銷聲匿跡,但幸運的是,該畫作于兩年后尋回并重返盧浮宮博物館。 自那以后,這副巨作
達(dá)芬奇的巨作《蒙娜麗莎》或許是世界上最著名、最受青睞的藝術(shù)作品,如今這幅巨作永久陳列在巴黎盧浮宮中。這幅畫作曾于 1911 年被盜,當(dāng)時,人們曾一度認(rèn)為這副畫作將永遠(yuǎn)銷聲匿跡,但幸運的是,該畫作于兩年后尋回并重返盧浮宮博物館。
自那以后,這副巨作又多次受到攻擊并輕微損壞。這些攻擊為博物館帶來了巨大的壓力,他們必須設(shè)法更加安全地展示這副鎮(zhèn)館之寶。博物館給出的解決方案是:將這副畫作鎖在特別定制的溫控防彈玻璃箱中。《蒙娜麗莎》的這些保護(hù)層并不影響游客的觀賞體驗,每年有超過六百萬游客慕名而來,欣賞這副大師之作。
安全性與開放性
與盧浮宮一樣,貴企業(yè)必須保護(hù)自身最重要的財產(chǎn)——數(shù)據(jù),但同時還不能影響全球數(shù)百萬用戶的數(shù)據(jù)使用體驗。遺憾的是,盡管《蒙娜麗莎》的安全防御堅不可摧,但這種防御方法對您的應(yīng)用程序卻無法奏效。
如今,企業(yè)面臨的挑戰(zhàn)是同時實現(xiàn)安全性和開放性。由于 Internet 和品類繁多的各種系統(tǒng)、計算機(jī)和軟件平臺逐漸取代了封閉式專有系統(tǒng),公司必須確保在不擴(kuò)大風(fēng)險的前提下提供對企業(yè)數(shù)據(jù)的廣泛訪問。與此同時,與安全有關(guān)的法規(guī)在不斷增加,最佳實踐業(yè)不斷得到廣泛應(yīng)用。意識到上述風(fēng)險的企業(yè)紛紛投資發(fā)展長期安全改進(jìn)戰(zhàn)略和自動化監(jiān)管流程。
安全漏洞可能十分致命。潛在經(jīng)濟(jì)影響可能會對企業(yè)的財務(wù)運營狀況造成巨大影響,更加糟糕的是,信譽喪失可能會對企業(yè)聲譽造成無法彌補的損失。不幸的是,安全漏洞在各種規(guī)模的企業(yè)中并不少見。
貴企業(yè)如何保護(hù)自身的“蒙娜麗莎”?
IBM? DB2? for z/OS? 與 IBM System z? 集成提供了久經(jīng)考驗的行業(yè)基礎(chǔ),或許會是您平衡數(shù)據(jù)安全性和開放性的最佳選擇。許多企業(yè)已經(jīng)發(fā)現(xiàn),從安全角度而言,DB2 和 System z 能夠提供最強大的管理系統(tǒng)、操作和硬件平臺。數(shù)十年的開發(fā)和運營造就了頂尖的環(huán)境,穩(wěn)定性和安全性已經(jīng)演變成為設(shè)計和架構(gòu)的一部分。
2013 年,DB2 for z/OS 即將迎來三十周年紀(jì)念日。自推出以來,它不斷通過提供高級功能定義數(shù)據(jù)庫安全行業(yè)發(fā)展趨勢。DB2 10 for z/OS 也不例外;無論是在安全、監(jiān)管還是審計方面,均對前期版本進(jìn)行了改進(jìn)。單是一項新型安全改進(jìn)功能就已促使某些先驅(qū)企業(yè)遷移到 DB2 10 for z/OS。
數(shù)據(jù)訪問與安全、系統(tǒng)和數(shù)據(jù)庫管理分離功能是一項備受矚目的 DB2 10 for z/OS 功能。安全與數(shù)據(jù)庫管理職責(zé)分離是一項關(guān)鍵的最佳實踐。企業(yè)可以為安全管理人員分配全新的 SECADM 權(quán)限,但同時不允許他們訪問任何用戶數(shù)據(jù)。全新的子系統(tǒng)參數(shù) SEPARATE_SECURITY 可設(shè)置為 YES,以便刪除與安全防護(hù)有關(guān)的其他全能 SYSADM 授權(quán)功能。
同樣,您也可以使用 ACCESSCTRL 授權(quán),無需獲得對象所有權(quán)即可進(jìn)行對象訪問管理,還可以避免首要授權(quán)(如 SYSADM)過度使用或濫用。
清理用戶特權(quán)
在經(jīng)年采用 DB2 的企業(yè)中,特權(quán)過度現(xiàn)象并不少見,系統(tǒng)管理特權(quán)不良增殖也是屢見不鮮。特權(quán)撤銷影響評估可能非常繁復(fù),公司可能不愿對自身環(huán)境進(jìn)行清理。這通常會產(chǎn)生級聯(lián)效應(yīng),在早期版本的 DB2 中,當(dāng)授予人撤銷某人的管理特權(quán)后,此人授予他人的特權(quán)往往也會隨之自動撤銷,這可能會導(dǎo)致應(yīng)用程序中斷。在 DB2 10 中,您可以通過在撤銷語句中使用 NOT INCLUDING DEPENDENT PRIVILEGES 子句控制這一問題,使安全定義清理操作更加安全。
在應(yīng)用程序開發(fā)過程中,可以從異構(gòu)平臺將分布式應(yīng)用程序連接到 DB2 for z/OS,這一趨勢日趨重要。DB2 角色和受信任上下文數(shù)據(jù)庫實體在這類環(huán)境中尤為關(guān)鍵。每種角色均會被授予執(zhí)行既定職能所需的一組特權(quán),以便能夠?qū)崿F(xiàn)更大的靈活性和更有力的安全管理。角色(只能在受信任連接內(nèi)使用)可作為這組特權(quán)的延伸分配給用戶。
受信任上下文解決了在 DB2 與遠(yuǎn)程請求程序(如應(yīng)用程序)之間建立受信任連接的問題。企業(yè)可根據(jù)先前定義的屬性將連接確定為受信任連接。受信任的上下文和角色能夠提高遠(yuǎn)程請求的安全性,無需對應(yīng)用程序進(jìn)行任何更改,即可幫助減少風(fēng)險。對于分布式應(yīng)用程序,DB2 for z/OS 還支持加密技術(shù),包括安全套接字層 (SSL)、IP 安全 (IPSec) 和高級加密標(biāo)準(zhǔn) (AES)。
使用加密技術(shù)保護(hù)離線數(shù)據(jù)
在處于離線狀態(tài)時,數(shù)據(jù)同樣必須受到保護(hù)。由于采用了 z/OS 加密功能(如數(shù)據(jù)加密標(biāo)準(zhǔn) (DES) 和三重 DES 安全哈希算法 (SHA)),用戶可以對磁盤和磁帶進(jìn)行數(shù)據(jù)加密。作為一個集成示例,某些存儲控制器可以通過加密技術(shù)來加密敏感數(shù)據(jù),消除性能影響并保持應(yīng)用程序透明性。
充分利用監(jiān)控和審計功能
監(jiān)控和審計功能是發(fā)現(xiàn)意外數(shù)據(jù)訪問行為的基礎(chǔ)。在版本 10 中,DB2 for z/OS 審計工具得到了改進(jìn)。審計策略可以讓您為要審計的事件定義標(biāo)準(zhǔn),從而幫助加強用戶訪問監(jiān)控。用戶可以大幅細(xì)化這些策略,使其能夠監(jiān)控特定的授權(quán)標(biāo)識,同時您還可以啟動或停止策略,在收集數(shù)據(jù)時實現(xiàn)更大的控制。
.png)
