Пользователи DB2 и группы
При рассмотрении уровня системного администратора доступа существует очень мало внимания, обращенного здесь на безопасность кроме SSL как минимальный стандарт. Устройство, намного более вероятно, будет поставлено под угрозу, чем канал передачи данных. Телефоны неуместны и украденные. 4-разрядный контакт является довольно слабой безопасностью, и даже который иногда не используется.
Данные шифруются на устройстве, и устройство может быть стерто из сервера, если это пропадает? Да для управляемого устройства WM6, присоединенного к Exchange Server, да для Blackberry, присоединенного к BES, но НЕ для большинства iPhone (3G S теперь поддерживает аппаратное шифрование, но удаленная очистка с серверов Exchange все еще непоследовательна). В среде здравоохранения, где пользователи (включая администраторов), вероятно, получат Защищенную медицинскую информацию (PHI), шифрование требуется законом (HIPAA).
У системных администраторов есть ключи к области, и безопасность должна быть первым соображением. Люди теряют телефоны.
Очевидный способ должен был бы иметь пользователей только на приложение. Можно совместно использовать пользователя между приложением, если оба приложения являются по существу одной системой. Например, можно совместно использовать пользователей, если все приложения являются частью маркетинга системы. Если некоторые приложения являются частью маркетингового решения, и другие являются частью системы человеческих ресурсов, чем определенно не совместно используют пользовательские учетные записи/группы.
Чем меньше разрешения пользователь имеет, тем меньше побочных эффектов и нарушений защиты возможны. Партии (если не большинство) нарушений защиты порождаются внутренне.
Для меня звучит странным создать группы, названные в честь прав.
Я создал бы группы, которые представляют или приложение или типичный ролевой профиль.
Скажите, что базу данных называют DB, и приложение называют APP, далее мы вызываем одного ролевого РЕДАКТОРА и другого ЧИТАТЕЛЯ. В этом случае я добавил бы группы
- DB_APP
- DB_READER
- DB_EDITOR
со всеми необходимыми правами должен был выполнить задачи.