Fazit

Das Beispiel zeigt, wie einfach mit den Kennsatz-gesteuerten Sicherheitsrichtlinien fein abgestimmte, von den Datenwerten abhängige Zugriffsrechte definiert werden können. Der Vorteil dieser Implementierungen ist, dass sie nicht oder kaum noch (Oracle) umgangen werden können.

Das Beispiel führt bei DB2 und Oracle zu gleichen Ergebnissen. Die Art wie es in DB2 oder Oracle zu definieren ist, ist unterscheidet sich allerdings erheblich. Auf der Ebene der Befehlszeile sind die Definitionen in DB2 einfacher zu formulieren als in Oracle. Oracle besitzt dafür aber ein grafisches Werkzeug, das DB2 nicht bieten kann. Mit diesem Werkzeug lassen sich die Definitionen anlegen, ohne dass der Sicherheitsadministrator ein Oracle-Spezialist mit profunden SQL-Kenntnissen sein muss.

DB2 verfügt mit maximal 16 Komponenten einer Policy und dem Schutz von Zeilen und Spalten standardmäßig über deutlich mehr Möglichkeiten als Oracle mit drei Komponenten und keinem Schutz von Spalten im Standard. Andererseits ist es in Oracle möglich, die Standard-Anwendung OLS zu verlassen und über die VPD-Routinen eine individuelle, beliebig komplexe Sicherheitslösung zu implementieren.

Abschliessend muss noch darauf hingewiesen werden, die diese wichtigen Sicherheitsfunktionen bei beiden Herstellern den Enterprise-Editionen vorbehalten sind. Für mehr Sicherheit verlangen die Hersteller auch mehr Geld. (ue)