DB2 for z/OS安全功能如何定义产业趋势

达芬奇的巨作《蒙娜丽莎》或许是世界上最著名、最受青睐的艺术作品，如今这幅巨作永久陈列在巴黎卢浮宫中。这幅画作曾于 1911 年被盗，当时，人们曾一度认为这副画作将永远销声匿迹，但幸运的是，该画作于两年后寻回并重返卢浮宫博物馆。 自那以后，这副巨作

达芬奇的巨作《蒙娜丽莎》或许是世界上最著名、最受青睐的艺术作品，如今这幅巨作永久陈列在巴黎卢浮宫中。这幅画作曾于 1911 年被盗，当时，人们曾一度认为这副画作将永远销声匿迹，但幸运的是，该画作于两年后寻回并重返卢浮宫博物馆。

自那以后，这副巨作又多次受到攻击并轻微损坏。这些攻击为博物馆带来了巨大的压力，他们必须设法更加安全地展示这副镇馆之宝。博物馆给出的解决方案是：将这副画作锁在特别定制的温控防弹玻璃箱中。《蒙娜丽莎》的这些保护层并不影响游客的观赏体验，每年有超过六百万游客慕名而来，欣赏这副大师之作。

安全性与开放性

与卢浮宫一样，贵企业必须保护自身最重要的财产——数据，但同时还不能影响全球数百万用户的数据使用体验。遗憾的是，尽管《蒙娜丽莎》的安全防御坚不可摧，但这种防御方法对您的应用程序却无法奏效。

如今，企业面临的挑战是同时实现安全性和开放性。由于 Internet 和品类繁多的各种系统、计算机和软件平台逐渐取代了封闭式专有系统，公司必须确保在不扩大风险的前提下提供对企业数据的广泛访问。与此同时，与安全有关的法规在不断增加，最佳实践业不断得到广泛应用。意识到上述风险的企业纷纷投资发展长期安全改进战略和自动化监管流程。

安全漏洞可能十分致命。潜在经济影响可能会对企业的财务运营状况造成巨大影响，更加糟糕的是，信誉丧失可能会对企业声誉造成无法弥补的损失。不幸的是，安全漏洞在各种规模的企业中并不少见。

贵企业如何保护自身的“蒙娜丽莎”？

IBM® DB2® for z/OS® 与 IBM System z® 集成提供了久经考验的行业基础，或许会是您平衡数据安全性和开放性的最佳选择。许多企业已经发现，从安全角度而言，DB2 和 System z 能够提供最强大的管理系统、操作和硬件平台。数十年的开发和运营造就了顶尖的环境，稳定性和安全性已经演变成为设计和架构的一部分。

2013 年，DB2 for z/OS 即将迎来三十周年纪念日。自推出以来，它不断通过提供高级功能定义数据库安全行业发展趋势。DB2 10 for z/OS 也不例外；无论是在安全、监管还是审计方面，均对前期版本进行了改进。单是一项新型安全改进功能就已促使某些先驱企业迁移到 DB2 10 for z/OS。

数据访问与安全、系统和数据库管理分离功能是一项备受瞩目的 DB2 10 for z/OS 功能。安全与数据库管理职责分离是一项关键的最佳实践。企业可以为安全管理人员分配全新的 SECADM 权限，但同时不允许他们访问任何用户数据。全新的子系统参数 SEPARATE_SECURITY 可设置为 YES，以便删除与安全防护有关的其他全能 SYSADM 授权功能。
同样，您也可以使用 ACCESSCTRL 授权，无需获得对象所有权即可进行对象访问管理，还可以避免首要授权（如 SYSADM）过度使用或滥用。

清理用户特权

在经年采用 DB2 的企业中，特权过度现象并不少见，系统管理特权不良增殖也是屡见不鲜。特权撤销影响评估可能非常繁复，公司可能不愿对自身环境进行清理。这通常会产生级联效应，在早期版本的 DB2 中，当授予人撤销某人的管理特权后，此人授予他人的特权往往也会随之自动撤销，这可能会导致应用程序中断。在 DB2 10 中，您可以通过在撤销语句中使用 NOT INCLUDING DEPENDENT PRIVILEGES 子句控制这一问题，使安全定义清理操作更加安全。

在应用程序开发过程中，可以从异构平台将分布式应用程序连接到 DB2 for z/OS，这一趋势日趋重要。DB2 角色和受信任上下文数据库实体在这类环境中尤为关键。每种角色均会被授予执行既定职能所需的一组特权，以便能够实现更大的灵活性和更有力的安全管理。角色（只能在受信任连接内使用）可作为这组特权的延伸分配给用户。

受信任上下文解决了在 DB2 与远程请求程序（如应用程序）之间建立受信任连接的问题。企业可根据先前定义的属性将连接确定为受信任连接。受信任的上下文和角色能够提高远程请求的安全性，无需对应用程序进行任何更改，即可帮助减少风险。对于分布式应用程序，DB2 for z/OS 还支持加密技术，包括安全套接字层 (SSL)、IP 安全 (IPSec) 和高级加密标准 (AES)。

使用加密技术保护离线数据

在处于离线状态时，数据同样必须受到保护。由于采用了 z/OS 加密功能（如数据加密标准 (DES) 和三重 DES 安全哈希算法 (SHA)），用户可以对磁盘和磁带进行数据加密。作为一个集成示例，某些存储控制器可以通过加密技术来加密敏感数据，消除性能影响并保持应用程序透明性。

充分利用监控和审计功能

监控和审计功能是发现意外数据访问行为的基础。在版本 10 中，DB2 for z/OS 审计工具得到了改进。审计策略可以让您为要审计的事件定义标准，从而帮助加强用户访问监控。用户可以大幅细化这些策略，使其能够监控特定的授权标识，同时您还可以启动或停止策略，在收集数据时实现更大的控制。