Data Provider for DB2 的安全性與保護
您可以使用 DB2 (資料提供者的資料提供者) ,將 Windows 資料取用者應用程式連線到遠端 IBM DB2 關係資料庫管理伺服器。 資料提供者可作為分散式關係資料庫架構, (DRDA) 應用程式要求者用戶端,其支援 DRDA 通訊協定和與 IBM DB2 伺服器產品相容的格式作為 DRDA 應用程式伺服器。
您可以發出結構化查詢語言語句來使用資料提供者。 這些語句包括管理的資料定義語言語句,以及讀取和寫入作業的資料操作管理語句。 資料提供者會透過網際網路通訊協定將 Windows 用戶端應用程式連線到 DB2 伺服器資料庫,透過網際網路通訊協定 (TCP/IP) 網路或系統網路架構, (SNA) 透過網際網路通訊協定 (HPR/IP) 使用本主題稍後所述的一或多個選擇性安全性功能的高效能路由。
安全性
使用者帳戶
資料提供者工具、資料存取工具和資料連結會在使用者帳戶的內容中執行。 使用者帳戶必須是 HIS 系統管理員和 HIS 執行時間使用者本機群組的成員。
資料夾存取控制清單
使用者帳戶需要與 HIS Administrators 本機群組和 HIS 執行時間使用者本機群組相關聯的資料夾存取控制清單設定。
Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64
Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources
保護
資料提供者會將 DB2 套件上的執行授與 DB2 公用群組
當您建立 DB2 套件時,資料存取工具和資料提供者會將 DB2 套件的執行許可權設定為 PUBLIC,其中包含所有 DB2 使用者。 若要增加 DB2 伺服器上的安全性,建議您撤銷這些套件上 PUBLIC 的執行許可權,並只將執行許可權授與選取的 DB2 使用者或群組。
Data Tools 會將驗證認證儲存在通用資料連結 (UDL) 或連接字串 (TXT) 檔案中
[資料來源精靈] 和資料連結會將驗證認證 (使用者名稱和密碼) 以純文字儲存在通用資料連結 (UDL) 或連接字串 (TXT) 檔案中。 我們建議您將資料提供者設定為使用 Enterprise Single Sign-On (ESSO) ,以安全地儲存從 Windows Active Directory 帳戶到 IBM DB2 認證的對應。 資料提供者會在執行時間擷取這些對應,以安全地向遠端 IBM DB2 資料庫伺服器驗證 Windows 使用者。 您應該搭配資料取用者和資料工具,在同處理序執行資料提供者。
DRDA 支援以 DES 為基礎的弱式內建加密
DRDA 支援使用弱式 56 位資料加密標準 (DES) 技術進行內建驗證和資料加密。 建議您使用安全通訊端層 (SSL) V3.0 或傳輸層安全性 (TLS) V2.0,將資料提供者設定為使用強式資料加密。 如果只加密驗證,您可以利用進階加密標準 (AES) 以支援強式 256 位元加密。
資料提供者會使用未加密、純文字、使用者名稱和密碼進行連線
資料提供者會使用基本驗證,透過 TCP/IP 或 SNA 網路連線到遠端 DB2 伺服器電腦,其中使用者名稱和密碼不會加密,並以純文字送出。 建議您設定資料提供者使用 Kerberos、安全通訊端層 (SSL (SSL) V3.0 或傳輸層安全性 (TLS) V1.0,或使用 AES 進行驗證加密。
資料提供者傳送和接收未加密的資料
資料提供者會傳送和接收未加密的資料。 建議您使用安全通訊端層 (SSL) V3.0 或傳輸層安全性 (TLS) V1.0 將此資料提供者設定為使用資料加密。
DB2 的加密標準
下表描述支援的 DB2 加密標準。
| 加密 | 驗證 | 資料 |
|---|---|---|
| Kerberos | 是 | No |
| SSL V3 | Yes | Yes |
| TLS V2 | Yes | Yes |
| AES | 是 | No |
資料取用者和資料工具會將連接檔案讀取自/寫入至不安全的資料夾
資料取用者和資料工具可以在不安全的資料夾讀取和寫入連線檔案。 您應該將通用資料連結 (UDL) 或連接字串 (TXT) 檔案儲存在 Host Integration Server\Data Sources 或程式目錄中,然後使用本機系統管理員許可權保護資料夾。 您應該將連接資訊保存到資料取用者和資料工具安全存放區中,然後搭配資料取用者和資料工具,在同處理序執行資料提供者。
資料取用者和資料工具可以要求具有無效屬性的連接
資料取用者和 Data Tools 可以要求具有無效連接屬性值的連接。 您應該使用會透過使用連接物件,而非透過傳遞未驗證連接字串引數名稱值組來建立連接的資料提供者。 您應該設定連接逾時值,以取消無效的連接嘗試。
資料取用者和資料工具可以要求具有無效資料的命令
資料取用者和 Data Tools 可以要求具有無效資料的命令。 您應該使用會透過搭配參數物件使用資料提供者命令,而非透過搭配內嵌資料值傳遞未驗證命令字串來建立命令的資料取用者。 您應該設定命令逾時值,以取消無效的命令嘗試。 您應該使用 DRDA 分散式工作單位 (DUW) 而不是遠端的工作單位 (RUW) 來保護使用兩階段認可交易的資料取用者。