保護
本主題描述支援的 DB2 保護標準。
DB2 的加密標準
下表描述支援的 DB2 加密標準。
| 加密 | 驗證 | 資料 |
|---|---|---|
| Kerberos | 是 | No |
| 安全通訊端層 (SSL) V3 | Yes | Yes |
| 傳輸層安全性 (TLS) V1 | Yes | Yes |
| 進階加密標準 (AES) | 是 | No |
設定保護
資料提供者會將 DB2 封裝上的執行授與 DB2 公用群組
當您建立 DB2 套件時,資料存取工具和資料提供者會將 DB2 套件的執行許可權設定為 PUBLIC,其中包含所有 DB2 使用者。 若要提高 DB2 伺服器上的安全性,建議您撤銷這些套件上 PUBLIC 的執行許可權,並只授與選取的 DB2 使用者或群組的執行許可權。
資料工具會將驗證認證以純文字儲存在通用資料連結 (UDL) 檔案中
[資料來源精靈] 和資料連結會將驗證認證 (使用者名稱和密碼) 以純文字儲存在通用資料連結 (UDL) 或連接字串 (TXT) 檔案中。 我們建議您將資料提供者設定為使用企業單一 Sign-On (ESSO) ,以安全地儲存從 Windows Active Directory 帳戶到 IBM DB2 認證的對應。 資料提供者會在執行時間擷取這些對應,以安全地向遠端 IBM DB2 資料庫伺服器驗證 Windows 使用者。 您應該搭配資料取用者和資料工具,在同處理序執行資料提供者。
資料提供者會使用未加密、純文字、使用者名稱和密碼進行連線
資料提供者會使用基本驗證,透過 TCP/IP 或 SNA 網路連線到遠端 DB2 伺服器電腦,其中使用者名稱和密碼不會加密,並以純文字送出。 我們建議您將資料提供者設定為使用 Kerberos、安全通訊端層 (SSL) (V3.0 或傳輸層安全性 (TLS) V1.0,或使用 AES 進行驗證加密。
資料提供者會傳送和接收未加密的資料
資料提供者會傳送和接收未加密的資料。 建議您使用安全通訊端層 (SSL) V3.0 或傳輸層安全性 (TLS) V1.0 將此資料提供者設定為使用資料加密。
資料取用者和資料工具會將連接檔案讀取自/寫入至不安全的資料夾
資料取用者和資料工具可以從不安全的資料夾讀取和寫入連線檔案。 您應該將通用資料連結 (UDL) 檔案儲存在 Host Integration Server\Data Sources 或程式目錄中,然後以本機系統管理員權限保護此資料夾。 您應該將連接資訊保存到資料取用者和資料工具安全存放區中,然後搭配資料取用者和資料工具,在同處理序執行資料提供者。
資料取用者和資料工具可以要求具有無效屬性的連接
資料取用者和資料工具可以要求連接不正確連接屬性值。 您應該使用會透過使用連接物件,而非透過傳遞未驗證連接字串引數名稱值組來建立連接的資料提供者。 您應該設定連接逾時值,以取消無效的連接嘗試。
資料取用者和資料工具可以要求具有無效資料的命令
資料取用者和資料工具可以要求具有無效資料的命令。 您應該使用會透過搭配參數物件使用資料提供者命令,而非透過搭配內嵌資料值傳遞未驗證命令字串來建立命令的資料取用者。 您應該設定命令逾時值,以取消無效的命令嘗試。 您應該使用 DRDA 分散式工作單位 (DUW) 而不是遠端的工作單位 (RUW) 來保護使用兩階段認可交易的資料取用者。