使用 LBAC 控制数据访问

DB2 9 中一个新的、令人激动的特性是基于标签的访问控制（Label Based Access Control，LBAC）。 LBAC 使您可以决定谁拥有不同行和列上的写访问权限，谁拥有读访问权限。

一种特殊的新的安全管理员权限（SECADM）被用于配置 LBAC，具体做法是创建安全策略，安全策略实际上定义了用于决定谁可以访问什么数据的标准。创建好安全策略后，安全管理员创建安全标签，安全标签也是安全策略的一部分。标签可以基于任何标准，例如工作名称、用户是否是管理人员或者用户是否属于某个特定的部门。创建好安全标签之后，便可以将安全标签与表中的行和列相关联，以保护其中保存的数据。安全管理员通过为用户授予安全标签来允许用户访问受保护的数据。当一个用户试图访问受保护的数据时，该用户的安全标签将与用于保护该数据的安全标签相比较。

安全管理员还可以为用户授予豁免权（exemption）。豁免权使用户可以访问其安全标签不允许其访问的受保护数据。如果一个用户试图访问一个受保护的列，而他们的 LBAC 凭证又不允许他们访问该列，那么这样的访问将失败，用户收到一条错误消息。

作为一项最佳实践，应考虑使用 LBAC 作为控制对敏感数据的访问的一种方法。LBAC 很容易配置，您可以对它进行定制，以满足特定的安全环境。仅凭 DB2 9 中这一个令人兴奋的安全新特性，就完全值得考虑移植到 DB2 9。

很多应用程序在本地实现类似的基于行和列的安全访问机制。为什么不让开发人员将精力集中在业务逻辑的开发上呢？现在，使用这种非常易于定制的新安全特性，可以轻松为数据服务器提供这样的功能。