此DB2安全策略样本是应用的基础 DB2 security  good practise and regular audits. A DB2 environment is characterised by various developers(internal), administrators (internal) and third party access (external). The DB2安全性 policy should reflect these different requirements.

DB2安全策略 是实施安全性的基础。应进行定期审核，将环境与安全策略进行比较。可以解决任何差异。阅读更多 DB2安全性 audit

 The DB2安全性 is broken 在 to  separate  类别。并非所有政策都与每个组织相关。作为DBA，可能无法实现所有这些策略。例如，查看所有3 ^rd DDL和DML可能是一个耗时的过程。

访问DB2中具有较高特权的帐户

 Linux servers:

• Access to the Linux DB2 UDB 在 stance account is controlled by the 数据库管理员and granted as a service request when required.

• Linux DB2 UDB servers must have an alias id, which 具有the same UID as DB2 UDB 在 stance ID.

•数据库管理员  has 密码的所有权 on the DB2 UDB 在 stance ID.

• Access to DB2 UDB 在 stance account is by exception only when you cannot use the alias ID. Access is granted to the owner by the 数据库管理员as a service request when required

•对拥有对象（模式所有者；例如表，视图）的DB2 UDB帐户的访问权在实施时被删除。 DBA  has  密码的所有权

•DBA完成了初始设置请求和“ sysadm”组的填充

•数据库管理员完成了初始设置请求和“ sysmaint”组的填充。

•数据库管理员完成了初始设置请求和“ sysctrl”组的填充。不使用该组。该群体的人口是例外。

• Addition or deletion of new users to the “sysadm”, “sysmaint”, and “sysctrl” groups is done through 数据库管理员using a change ticket .

•所有Linux UDB服务器都有一个为备份访问定义的ID dbbackup，它是“ sysmaint”组的成员。密码由DBA维护。

•所有Linux UDB服务器都有一个ID dbaread，该ID定义用于UDB和Linux文件的只读访问。

对于Windows服务器：

•Windows用户db2admin是在DB2 UDB软件安装期间创建的，并且是DB2ADMNS和本地管理员组的成员。

•数据库管理员  具有密码的所有权 for the db2admin user on UDB database servers.

•DB2ADMNS和DB2USERS是由DB2在安装过程中创建的。 DB2ADMNS组具有以下描述：“该组和本地管理员将通过操作系统完全访问所有DB2对象。”

• The group DB2USERS 具有the description: “This group will have read and execute access to all DB2 objects through the operating system.”

•DBA满足了初始设置请求和DB2ADMNS组的填充

• Security adds Windows users and groups to the DB2ADMNS group using a service request ticket from 数据库管理员Team Only.

• Initial setup request and population of the “sysadm” group is fulfilled by 数据库管理员.

•数据库管理员完成了初始设置请求和“ sysmaint”组的填充。

•数据库管理员完成了初始设置请求和“ sysctrl”组的填充。不使用该组。该群体的人口是例外。

• Access to db2admin account is granted by exception. Access is granted to owners by 数据库管理员as a service request .

•将为每个DB2 UDB服务器定义Windows组DB2READ。

• Windows group DB2READ is populated with the 数据库管理员group.

•对具有对象（模式所有者；例如表，视图）的DB2 UDB帐户的访问在实施时被锁定。这些帐户由DBA作为服务请求解锁。根据每个应用程序的要求和限制来标识适当的ID。

强密码

所有DB2密码均由有关操作系统的组织准则强制执行。

访问数据库对象

•没有向数据库对象授予公共访问权限（即选择，插入，更新和删除）。供应商软件包可能需要例外。

•DB2 UDB服务器具有一个“更新”组，该组被授予对表的更新权限。应用程序区域将用户定义为具有相应服务请求的角色。

•按功能将用户分为数据库组（例如， web user, administration).

创建数据库表对象

•数据库管理员 创建所有表，包括由供应商软件包定义的表。此功能的集中化确保可以根据设计和性能来适当定义表，尤其是在大容量条件下。

•所有表都要进行数据建模和访问建模。供应商包装型号将进行审查

DB2审计追踪

所有DB2 UDB服务器都必须具有活动的DB2AUDIT程序，以跟踪对用户和特权的更改。执行以下操作的所有SQL语句都将写入DB2AUDIT日志中，并每年清除一次。 DBA定期监视日志。

•添加/删除用户到数据库

•更改用户权限

•角色创建/删除

批处理和实用程序

•密码永远不会嵌入批处理脚本中。必要时，密码必须包含在单独的文件中，而不是在脚本中进行硬编码。另一种选择是使用内置的Linux函数对密码进行加密。阅读更多 Linux用户添加未创建密码

Read more on DB2安全性

DB2 - A Security Primer - 数据库管理员DB2

How to prepare a Database audit - 数据库管理员DB2

数据库管理员Interview Questions and Answers – DB2 安全管理