在数据库运维情景中，“公共”是一种很普遍的事儿，包含：公共数据库账号、公共运维服务器、公共电脑操作系统账号这些。殊不知这类“公共”个人行为产生的难题，则是没法精确鉴别运维工作人员的真实身份，没法有效分派每一个普通合伙人的管理权限，且针对一些显著的操作失误或故意实际操作也没法追溯到普通合伙人自身；而另一个由“公共”产生的缺点是数据库的账号被释放出来，造成 原本不解决该数据信息具有运维管理权限的人也很有可能获得到账号，进而威协到有关数据信息的安全性。

应对之上难题，单纯性根据提升密码的复杂性或按时变更密码都不能确保数据信息的安全性。公司该采用如何的密码管理方式，才可以融入这类“公共”运维情景下的 *** 信息安全管理 *** 与操纵规定？

从上文谈及的众多“公共”情景能够 发觉，唯一不公共的，大约便是运维工作人员的“普通合伙人真实身份”。假如能根据一些方式 *** 确立定性分析普通合伙人的真实身份，让安全防护设备可以依据普通合伙人的真实身份及管理权限全自动的为其创建有效的数据库联接，那麼不管别的标准因素怎样被“公共”，都能够清楚精准定位浏览数据信息的普通合伙人真实身份；另外，这类全自动创建联接的体制令数据库账号和密码不容易被曝露在运维工作人员或公共自然环境当中，进而降低数据泄漏的风险性和安全隐患。

承担数据库运维的DBA和安全性管理者，经常遇到下列难题：

难题一：好几个运维工作人员在运维全过程中应用同样的高管理权限数据库账号，没法区别操纵和财务审计；

难题二：高管理权限账号的安全系数没法确保，密码基本上是公布的，而按时变动密码所造成的高维护保养成本费也令有关工作中无法具体落地式；

难题三：因为软件系统和运维侧应用同样的账号，导致没法区别管理权限，没法开展粗粒度操纵；

难题四：运维全过程中，同一运维工作人员对不一样內容开展运维时，必须不一样的账号各自登录数据库进行，不但令工作人员的实际操作和记忆力十分繁杂，也进一步提高了运维的成本费。

要想对运维工作中开展精确、合理的监管，紧紧围绕“普通合伙人真实身份”是更加合理的方式。对于“普通合伙人”的鉴别与操纵，安华金和运维智能管理系统（DOMS）综合性下列5条关键技术和方式，解决 *** 可由外及内、循序渐进的达到顾客在不一样情景下的具体要求：

解决 ***

1、Web验证计划方案

先将运维工作人员账号入录到DOMS运维智能管理系统，并建立相匹配的运维工作人员Web管理 *** 账号；当根据运维终端设备所属PC打开浏览器DOMS系统软件时，应用运维工作人员Web账号开展登录，以声明当今是哪个运维工作人员在登录系统；以后，在运维终端设备上应用数据库手机客户端专用工具，根据 *** 地址登录数据库；DOMS将根据手机客户端IP判断当今是哪个运维工作人员在浏览数据库。

根据所述 *** ，顾客可以精确鉴别出到底是谁在应用智能终端，到底是谁在实际操作数据库，并对人为因素实际操作开展操纵；但没法处理密码同用、按时变更密码等在维护保养和实际操作上导致的不便。

2、堡垒机自然环境下的解决计划方案

在“堡垒机 堡垒机”的自然环境下，历经堡垒机联接数据库的 *** 大致分成二种：

· 数据库登陆密码“代填” ***

大概步骤为：运维终端设备->堡垒机->堡垒机->堡垒机->数据库（如图所示1中的1->4->2->3）；

· 数据库登陆密码“非代填” ***

不同于代填 *** ，是在堡垒机上开启运维专用工具登录数据库，步骤相对性简易：运维终端设备->堡垒机->堡垒机->数据库（如图所示1中的1->4->5）。

图1：堡垒机和堡垒机互动步骤

堡垒机的引进针对获得“普通合伙人真实身份”提升了难度系数，用非代填 *** 非常简单。假如堡垒机登陆堡垒机应用运维账号做为电脑操作系统账号，以Oracle数据库为例子，能够 根据协议书分析的 *** 获得运维工作人员账号；假如好几个运维工作人员在开启堡垒机时要的全是同一数据库账号，或是是数据库通讯协议中沒有电脑操作系统账号标志，则必须在起点、跳板手机上下载软件，根据软件获得当今的运维账号并发给DOMS运维智能管理系统，进而完成关系。

比较之下，用代填 *** 开展关系会非常复杂。这与不一样堡垒机的完成体制也是有关联，必须一定的步骤连接，例如在堡垒机机器设备上做一个运维账号实际操作的关系，再将信息内容消息推送给DOMS运维智能管理系统完成关系。

3、动态性动态口令、Ukey和资格证书计划方案

动态性动态口令和Ukey大伙儿并不生疏，是一种常见的双要素校检专用工具。DOMS运维智能管理系统可将动态口令種子（或Ukey矩阵的特征值）同运维管理 *** 的Web账号开展关系。

在其中，动态性动态口令的完成 *** 独辟蹊径，是在运维专用工具已登陆数据库以后，根据特殊的句子推送当今的动态口令码，DOMS捕获到动态口令码后会开展准确性的校检，并获得关系的运维账号。

Ukey则是在手机客户端主手机上下载实用工具，用于载入Ukey和资格证书信息内容，并将信息发给DOMS；另外，该实用工具能够 载入电脑操作系统账号和MAC地址，进而填补了有一些数据库通讯协议沒有电脑操作系统账号的空缺。但Ukey终究是物理学机器设备，必须具体 *** 到运维所应用的手机客户端服务器上，而针对虚拟化技术或堡垒机等没法 *** Ukey的自然环境则只有应用资格证书的 *** 。

资格证书的 *** 同Ukey相近，仅仅将硬件配置Ukey机器设备缓存资格证书，运维终端设备上运用手机客户端实用工具挑选运维工作人员的资格证书开展登录，资格证书会标志“普通合伙人”信息内容。

4、密码桥计划方案

为了更好地真实保证运维账号一人一密，数据库账号的密码不曝露，数据库密码可按时拆换，及其在同一运维账号关系好几个数据库账号的状况下可对运维工作人员开展权限管理，DOMS引进“密码桥”计划方案。

什么叫密码桥？归纳而言便是“运维管理 *** Web账号 密码”和“数据库账号 密码”在DOMS运维智能管理系统上已提早配备进行并产生投射关联，这时运维账号根据数据库联接专用工具（如sqlplus、PL/SQL等）登陆数据库，DOMS会在数据库联接全过程中对客户密码开展更换（两个账号密码的投射关联），做到应用该数据库具体账号相匹配的运维账号登陆数据库的目地；另外，能对运维账号和密码配对的恰当是否开展校检，还可以对数据库账号和密码的准确性开展校检。

DOMS运维智能管理系统配备以下：

例一：特定数据库账号

Username：zhangsan:crm（zhangsan为运维管理 *** Web账号；crm为数据库账号）

Password：运维账号密码

这时，zhangsan这一运维账号历经DOMS运维智能管理系统投射，应用crm这一数据库账号浏览数据库，仅必须键入运维账号的密码，不用键入数据库账号crm的真正密码，进而做到数据库密码不对运维工作人员曝露的实际效果。

例二：不特定数据库账号

以sqlplus为例子：这时，只键入了运维账号，DOMS系统软件会依据运维账号寻找两者之间关系的唯一一个数据库账号开展更换并登陆。

5、防绕开计划方案

对于一些C/S构架的业务管理系统，尤其是医疗器械行业，会牵涉到很多的手机客户端机器设备且有很多的动态性IP状况存有。这时，没法根据手机客户端IP的 *** 精准定位到手机客户端服务器，针对安裝Ukey的软件而言劳动量也较为大。假如安裝软件，能确保全部机器设备都被安裝到么？即便安裝了软件，假如不通过 *** 地址（DOMS运维智能管理系统）浏览数据库又该怎样安全防护？除此之外，在数据库当地实际操作数据库又要如何解决？

针对之上情景，安华金和明确提出“运维浏览防绕开”计划方案，即运用在数据库的logon触发器原理开展数据库浏览授权管理操纵：要想浏览数据库的服务器机器设备，务必到DOMS系统软件上开展申请注册（包括IP、User、手机客户端IP地址等）；申请注册后DOMS会对触发器原理的內容开展调节，完成对手机客户端与数据库创建联接时的操纵。这时，即便沒有历经 *** 地址（历经DOMS的还会继续总 *** 方面的操纵）的登陆个人行为，也会被评定为非授信额度的出现异常登陆，进而真实做到仅有在授信额度终端设备上应用授信额度手机客户端运维专用工具、运维账号、根据合规管理的浏览安全通道，才能够 一切正常对数据库开展运维实际操作的目地。

原文中详细介绍的五种关键技术及解决 *** ，是在DOMS运维智能管理系统中对普通合伙人开展鉴别、操纵，及其对密码安全系数的思索；在引入权控计划方案后，不容易对日常运维专用工具产生危害和额外工作中，进而让DOMS运维智能管理系统变成公司运维可以信赖的助手。

安华金和 *** 信息安全经营服务平台的 *** 信息安全整治解决 ***

安华金和金融业数据标准化等级分类解决 ***

100 数据库系统漏洞再创佳绩，数据信息将栖身哪里？

营运商领域 *** 信息安全合规评定项目实施方案

技术专业的数据库数据加密商品应具有的作用