DB2 的数据提供程序安全和保护
可以使用 DB2 的数据提供程序(数据提供程序)将 Windows 数据使用者应用程序连接到远程 IBM DB2 关系数据库管理服务器。 数据提供程序用作分布式关系数据库体系结构 (DRDA) 应用程序请求方客户端,它支持 DRDA 协议以及与用作 DRDA 应用程序服务器的 IBM DB2 服务器产品兼容的格式。
可以通过发出结构化查询语言语句来使用数据提供程序。 这些语句包括用于管理的数据定义语言语句和用于读写操作的数据操作管理语句。 通过 Internet 协议 (TCP/IP) 网络上的传输控制协议,或者通过 Internet 协议 (HPR/IP) 上的系统网络体系结构 (SNA) 高性能路由(使用本主题后面介绍的一个或多个可选安全功能),数据提供程序将 Windows 客户端应用程序连接到 DB2 服务器数据库。
安全性
用户帐户
数据提供程序工具(数据访问工具和数据链接)在用户帐户的上下文中运行。 该用户帐户必须是 HIS 管理员本地组和 HIS 运行时用户本地组的成员。
文件夹访问控制列表
用户帐户需要与 HIS 管理员本地组和 HIS 运行时用户本地组关联的文件夹访问控制列表设置。
Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources
保护
数据提供程序针对 DB2 包将执行权限授予 DB2 公共组
在创建 DB2 包时,数据访问工具和数据提供程序针对 DB2 包将执行权限设置为 PUBLIC,这包括所有的 DB2 用户。 若要增强 DB2 服务器上的安全性,建议撤销这些包上的 PUBLIC 执行权限,并且只将执行权限授予选定的 DB2 用户或组。
Data Tools 在通用数据链接 (UDL) 或连接字符串 (TXT) 文件中以纯文本形式存储身份验证凭据
数据源向导和数据链接在通用数据链接 (UDL) 或连接字符串 (TXT) 文件中以纯文本形式存储身份验证凭据(用户名和密码)。 建议将数据提供程序配置为使用企业单一登录 (ESSO),这样可以安全地存储从 Windows Active Directory 帐户到 IBM DB2 凭据的映射。 数据提供程序在运行时检索这些映射,以便对远程 IBM DB2 数据库服务器安全地验证 Windows 用户的身份。 你应该使用数据使用者和 Data Tools 在进程中运行数据提供程序。
DRDA 支持基于 DES 的弱内置加密
DRDA 支持使用弱 56 位数据加密标准 (DES) 技术的内置身份验证和数据加密。 建议使用安全套接字层 (SSL) V3.0 或传输层安全性 (TLS) V2.0,将数据提供程序配置为使用强数据加密。 若要仅进行身份验证加密,你可以利用高级加密标准 (AES) 支持强 256 位加密。
数据提供程序通过使用未加密的纯文本用户名和密码来进行连接
数据提供程序使用基本身份验证通过 TCP/IP 或 SNA 网络连接到远程 DB2 服务器计算机,其中用户名和密码未加密,并且以纯文本形式提交。 建议使用 Kerberos、安全套接字层 (SSL) V3.0 或传输层安全性 (TLS) V1.0 或使用 AES 的身份验证加密,将数据提供程序配置为使用身份验证加密。
数据提供程序发送和接收未加密数据
数据提供程序发送和接收未加密数据。 我们建议使用安全套接字层 (SSL) V3.0 或传输层安全性 (TLS) V1.0 将数据访问接口配置为使用数据加密。
DB2 的加密标准
下表介绍的是 DB2 受支持的加密标准。
| 加密 | 身份验证 | 数据 |
|---|---|---|
| Kerberos | 是 | 否 |
| SSL V3 | 是 | 是 |
| TLS V2 | 是 | 是 |
| AES | 是 | 否 |
数据使用者和 Data Tools 通过不安全的文件夹读取和写入连接文件
数据使用者和 Data Tools 可以通过不安全的文件夹读取和写入连接文件。 应将通用数据链接 (UDL) 或连接字符串 (TXT) 文件存储在 Host Integration Server\Data Sources 或某个程序目录中,然后使用本地管理员权限保护该文件夹。 应将连接信息保留在数据使用者和 Data Tools 安全存储中,然后使用数据使用者和 Data Tools 在进程中运行数据提供程序。
数据使用者和 Data Tools 可以请求具有无效属性的连接
数据使用者和 Data Tools 可以请求具有无效连接属性值的连接。 应通过以下方式使用可创建连接的数据使用者:使用数据提供程序连接对象,而不是传递未认证的连接字符串参数名称值对。 应设置连接超时值以取消无效的连接尝试。
数据使用者和 Data Tools 可以请求带有无效数据的命令
数据使用者和 Data Tools 可以请求带有无效数据的命令。 应通过以下方式使用可创建命令的数据使用者来验证参数类型:使用具有参数对象的数据提供程序命令,而不是传递未认证的具有内联数据值的命令字符串。 应设置命令超时值以取消无效的命令尝试。 应使用 DRDA 分布式工作单元 (DUW) 而不是远程工作单元 (RUW),使用两阶段的提交事务保护数据使用者。