DB2 安全性模型概述

核心提示： 创建安全策略之后，安全管理员将创建称为安全标号和免除权的数据库对象，DB2 安全性模型概述(7)，这些对象是安全策略的组成部分，安全标号描述一组安全条件，用户可使用的功能有限，具有 SYSADM 权限的用户不能再授予任何权限或特权，免除权遵循一个规则，即

创建安全策略之后，安全管理员将创建称为安全标号和免除权的数据库对象，这些对象是安全策略的组成部分。安全标号描述一组安全条件。免除权遵循一个规则，即，在拥有免除权的用户访问受安全策略保护的数据时，不需要强制对该用户比较安全标号。

一旦创建安全标号，就可以使其与各个表列和表行相关联以保护存放在那些位置中的数据。受安全标号保护的数据称为受保护数据。安全管理员通过将安全标号授予用户来允许该用户访问受保护数据。当用户尝试访问受保护数据时，该用户的安全标号将与用于保护该数据的安全标号进行比较。

DB2 9.7 安全功能增强

随着内部和外部安全性威胁的数目不断增长，将保护数据安全的任务与管理关键系统的管理任务相隔离十分重要。在 DB2 9.7 中，授权模型已更新以清晰划分系统管理员、数据库管理员和安全性管理员的职责。提供分离职责提供以下功能：

数据库管理员（DBA）保持对数据库操作的完整控制，而不对数据进行任何访问。

您可轻松地将所有安全性和审计控制权交给单独的安全性管理员。

可使用新的权限，以使应用程序开发特权与工作负载管理更加简单。

DB2 9.7 清晰地划分了数据库管理员与安全性管理员的责任，并引入了新的权限，使 DB2 9.7 数据库安全功能得到进一步增强。

系统管理员、安全管理员、数据库管理员、系统监视权限的改变

对系统管理员（具有 SYSADM 权限）的更改

DB2 9.7 中，SYSADM 的权限比 DB2 9.5 的权限减小了

具有 SYSADM 权限的用户不再具有隐式 DBADM 权限，因此与版本 9.5 中提供的功能相比，用户可使用的功能有限。

具有 SYSADM 权限的用户不能再授予任何权限或特权，表空间特权除外。