Implementación de seguridad de varios niveles a nivel de objeto

Puede implementar la seguridad multinivel con Db2 a nivel de objeto.

Procedimiento

Para implementar seguridad multinivel con Db2 a nivel de objeto:

  1. Defina etiquetas de seguridad en RACF® para todos los objetos de Db2 que requieran comprobación de acceso obligatoria mediante el comando RDEFINE.

    Defina etiquetas de seguridad para las siguientes clases de recursos de RACF :

    • DSNADM (autoridades administrativas)
    • DSNR (acceso a subsistemas de Db2 )
    • MDSNBP y GSNBP (pools de búfer)
    • MDSNCL y GDSNCL (colecciones)
    • MDSNJR y MDSNJR (JAR)
    • MDSNPN y GDSNPN (planes)
    • MDSNSC y GDSNSC (esquema)
    • MDSNSG y GDSNSG (grupos de almacenamiento)
    • MDSNSM y GDSNSM (privilegios del sistema)
    • MDSNSP y GDSNSP (procedimientos almacenados)
    • MDSNSQ y GDSNSQ (secuencias)
    • MDSNTB y GDSNTB (tablas, vistas, índices)
    • MDSNTS y GDSNTS (espacios de tablas)
    • MDSNUF y GDSNUF (funciones definidas por el usuario)

    Recomendación : Defina la etiqueta de seguridad SYSMULTI para los subsistemas de Db2 a los que acceden usuarios con diferentes etiquetas de seguridad y tablas que requieren granularidad a nivel de fila.

  2. Especifique una jerarquía adecuada de etiquetas de seguridad.

    En general, la etiqueta de seguridad de un objeto que se encuentra en un nivel superior de la jerarquía de objetos debe dominar las etiquetas de seguridad de los objetos que se encuentran en un nivel inferior de la jerarquía. RACF y Db2 no hacen cumplir la jerarquía; simplemente hacen cumplir las reglas de dominio que usted establece.

    Puede utilizar RACF para definir etiquetas de seguridad para los objetos Db2 en la siguiente jerarquía de objetos:

    • Subsistema o grupo de intercambio de datos
      • Base de datos
        • Espacio de tabla
          • Tabla
            • Columna
            • Fila
      • Vista
      • Grupo de almacenamiento
      • Agrupación de almacenamiento intermedios
      • Plan
      • Colección
        • Paquete
      • Schema
        • Procedimiento almacenado o función definida por el usuario
        • Archivo Java™ (JAR)
        • Tipo diferenciado
        • Secuencia

    Los siguientes ejemplos sugieren relaciones de dominio entre objetos en la jerarquía de objetos de Db2 .

    Ejemplo : Una colección debe dominar un paquete.

    Ejemplo : Un subsistema debe dominar una base de datos. Esa base de datos debe ocupar la mayor parte del espacio de la tabla. Ese espacio de la mesa debe dominar una mesa. Esa tabla debe dominar una columna.

    Ejemplo : Si una vista se basa en una sola tabla, la tabla debe dominar la vista. Sin embargo, si una vista se basa en varias tablas, la vista debe dominar las tablas.

  3. Defina etiquetas de seguridad y asocie usuarios con las etiquetas de seguridad en RACF. Si utiliza una conexión TCP/IP, debe definir etiquetas de seguridad en RACF para las zonas de seguridad en las que se agrupan las direcciones IP. Estas direcciones IP representan a usuarios remotos.
    Dar a los usuarios con autoridad SYSADM, SYSCTRL y SYSOPR la etiqueta de seguridad de SYSHIGH.
  4. Activar la clase SECLABEL en RACF. Si desea aplicar el control de depreciación, active el control de depreciación en RACF.
  5. Instalar la rutina de salida de autorización de control de acceso de seguridad externa ( DSNX@XAC ), como el módulo de control de acceso de RACF.