【IT168 资讯】4月15日,国内数据库领域唯一的年度盛会,由盛拓传媒IT168网站汇集旗下ITPUB、IXPUB以及ChinaUnix中国三大企业级技术社区优势资源主办的“2011数据库技术大会”在北京举行。在下午的DB2专场,IBM中国开发中心信息管理首席技术官Gene Fuh博士和我们分享了DB2数据库的最新技术。同时和大家一起探讨了数据的前沿技术双时态数据库(Bitemporal Database)和细粒度访问控制(Fine Grain Access Control)。
▲IBM中国开发中心信息管理首席技术官Gene Fuh博士
关于数据库安全性的忧虑
责任分离
— DBADM 等数据库管理员可以访问敏感数据
— 没有 SECADM 等专门权威来管理安全性策略
特权模型的粒度
— 在数据库对象级授予特权
— 难以保护对象内的个人和敏感信息
— 无法轻松遵从数据保护法规,例如 HIPPA、GLBA
大量安全性逻辑使应用程序负担过重
— 可被恶意用户绕过
— 妨碍利用即席(ad-hoc)查询工具、报表生成工具的能力
— 难以维护
各用户组的不同视图
— 视图的更新可能无法正确反映安全性策略
— 可被恶意用户绕过
— 难以维护
安全性策略的演进
— 影响应用程序中的安全性逻辑
— 影响组织和视图数量
细粒度访问控制:行级和列级
易于实现
— 通过 SQL 提供更高的灵活性
— 安全性逻辑与应用程序逻辑分离
易于维护
— 无需管理大量视图;不存在视图可更新性的问题
— 无需给应用程序造成过重的负担
更严密的安全性
— 数据库内以数据为中心
— 视图或应用程序不存在可绕过的后门
— 通过行权限和列屏蔽提供更细的粒度
— 责任分离
专门的 SECADM
无权威可免受控制,包括 DBADM 在内
— 减少安全性策略的演变
用户友好
— 无需记住各种视图或应用程序的名称
— 允许使用即席查询工具、报表生成工具