對於數據倉庫DB Viper 包括了一些增強可提高分區數據庫的整體可用性在 Viper 中當對某個分區數據庫的編目節點進行備份時可以指定將哪個分區包括在備份中這些分區將會同時被備份
為了輔助恢復可以使用新的 END_OF_BACKUP 子句將分區數據庫中的所有分區前滾到最小恢復時間這是前滾期間使數據庫取得一致的最早時間點這個特性消除了手動確定一致點所需的時間並提高了恢復的速度
一些增強在縮短離線數據重分發時窗的同時也提高了 DB 分區數據庫的可用性確保數據倉庫對企業是可用的可訪問的DB Viper 隨後的修復包中將提供對離線數據重分發的性能增強
治理和安全性
隨著對隨處訪問信息的需求的日益增長數據竊取和失去安全控制的風險也越來越大原先只對內部員工開放的數據現在被提供給業務伙伴和客戶——因而也更易受到未經授權的訪問的攻擊來自行業法規和公共審查的壓力越來越大信息安全團隊面臨保護關鍵企業數據(公司財務信用卡個人身份個人健康和知識產權信息)不受來自內部和外部的侵害的挑戰
DB Viper 審計功能的顯著增強提高了審計的性能新的審計功能提供了足夠細的粒度可以只審計敏感的對象DB Viper 還提供了審計歸檔功能以保留審計信息用於將來的報告和調查在參考資源的Analyzing Audit Data in Viper 一文中我對這些功能作了詳細的解釋
三層應用程序在近年來非常流行特別是隨著基於 Web 的技術和 JEE 平台的出現這種模型更加盛行三層應用程序模型——受到 WebSphere Application Server (WAS) 等產品的支持——擴展了標准的兩層客戶機/服務器模型在客戶機應用程序(WAS)與數據庫服務器(DB)之間增加了一個中間層
在三層應用程序模型中中間層負責認證用戶和管理與數據庫之間的交互當一個用戶經過中間層的認證後每次都使用同一個用戶 ID 和密碼訪問數據服務器由於數據服務器將數據庫權限授給中間層的用戶 ID因此應用程序的每個用戶都享有和中間層應用程序一樣的權限所以審計報告只限於中間層的用戶 ID而不會針對請求數據的實際用戶
盡管三層應用程序模型有很多優點但也引發了一些安全問題例如丟失用戶身份中間層用戶 ID 將用於所有數據庫連接; IT 安全最佳實踐傾向於將實際訪問數據庫的用戶身份用於控制目的由於中間層用戶 ID 不是真正的終端用戶 ID它並不提供大多數公司需要的審計和用戶問責能力
另外一個問題是過分授予特權中間層的授權 ID 必須擁有執行來自所有用戶(通常來自所有應用程序)的請求所需的所有特權這導致用戶擁有對某些信息的不必要的訪問權當前業界的實踐要求中間層使用的授權 ID 必須受保護並且只能授給盡可能少的用戶如果中間層的授權 ID 受到危害那麼所有資源將被暴露
這些安全問題突出了將初始用戶 ID 傳遞給數據服務器以便進行精確的審計和訪問控制的必要性為解決這些問題DB Viper 發行版引進了受信任上下文安全管理員(擁有 SECADM 權限)可以在數據庫中創建一個受信任上下文對象該對象定義數據庫與中間層之間的一個信任關系當連接屬性與 DB 服務器中定義的受信任上下文的屬性匹配時數據庫連接便可以視為受信任的連接信任關系基於以下一組屬性
系統授權 ID代表建立數據庫連接的用戶;
IP地址(或域名)代表數據庫連接建立的主機;
數據流加密代表在數據庫服務器和數據庫客戶端的數據通信的加密設置(如果有)
隨後中間層即可建立一個顯式的到數據庫的受信任連接這使它可以將連接上的當前用戶 ID 切換為不同的用戶 ID用戶 ID 可以有也可以沒有認證此外受信任上下文還提供了另一個優點控制將特權授予數據庫用戶的時機的能力安全管理員可以將一個或多個特權授予一個數據庫角色並且將該角色賦給一個受信任的上下文對象只有與那個受信任上下文的定義相匹配的受信任的數據庫連接(無論是顯式的還是隱式的)才能利用與那個角色相關的特權
DB Viper 增加的另外一個新的安全對象是數據庫角色數據庫角色通過簡化數據庫特權的管理降低了被入侵的風險數據庫角色是一個對象其中包含一個或多個特權或數據庫權限用戶組PUBLIC 或者其他角色可以成為數據庫角色的成員常常可以通過建立角色來反映一個組織的結構例如可以在數據庫中創建與組織中的工作職能直接對應的角色安全管理員只需增加適當角色的成員即可控制數據庫訪問而不必為每個用戶定義所有的訪問權
工作負載管理
DB Viper 在性能上的提升主要集中在優化訪問和更新大量數據的性能上在過去所有在數據服務器中執行的事務被認為具有同等重要性意即最高優先權高性能和低延遲為了在整個系統上取得這樣的高性能企業必須不斷地升級既要降低成本又不能犧牲敏捷性這樣的壓力使企業認識到不能把所有事務看作是同等重要的通過根據業務的優先級平衡資源企業就可以在降低成本的同時繼續提供它所關心的高性能
[] [] []
From:http://tw.wingwit.com/Article/program/DB2/201311/21947.html
