问：由数据库管理员(DBA)定义用户帐户和设置权限是安全的最佳实践吗?我们的安全团队一直负责创建帐户和设置访问权限。现在数据库管理员们说，这是数据库管理员的职责，不是安全的职责。我们相信，Oracle数据库管理员不会代理访问。我们是否可以参考其他最佳做法?

　　答：同意数据库管理员的观点是有条件的，如果他们想定义和创建帐户和权限。账户管理是一个功能，而不是一个职责。数据库管理员的职责是管理服务，实际上很多机构的用户帐户管理是DBA职责的一部分。

　　数据库管理员要管理帐户，并基于安全政策和标准定义和设置权限。数据库管理员可以做这个工作，只要安全团队告诉他们该怎样做。但安全团队也应该有权审计和监督其活动。

　　请注意，有一个实例，在这种情况下，安全团队应该管理用户帐户和设置权限。就是当DBA需要一个帐户的时候。对于职责分离(SOD)最好的做法是，数据库管理员应该不能创建帐户或为自己设置特权，这是“后门”未经授权访问最常用的方法，这会导致信息暴露或恶意活动。如果你愿意给他们帐户管理的行政职能，他们应该也愿意让你来管理他们的访问。

　　最后一点，在许多新的应用程序和操作系统中，你完全可以让帐户管理权限没有完全管理特权。在这种情况下，如果可能的话，数据库管理员只应授予有限的权限来进行帐户管理，除非他们的职责要求他们在应用程序或服务器上进行其他的管理任务。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。