問：由數據庫管理員（DBA）定義用戶帳戶和設置權限是安全的***實踐嗎？我們的安全團隊一直負責創建帳戶和設置訪問權限。現在數據庫管理員們說，這是數據庫管理員的職責，不是安全的職責。我們相信，Oracle數據庫管理員不會代理訪問。我們是否可以參考其他***做法？

答：同意數據庫管理員的觀點是有條件的，如果他們想定義和創建帳戶和權限。賬戶管理是一個功能，而不是一個職責。數據庫管理員的職責是管理服務，實際上很多機構的用戶帳戶管理是DBA職責的一部分。

數據庫管理員要管理帳戶，并基于安全政策和標準定義和設置權限。數據庫管理員可以做這個工作，只要安全團隊告訴他們該怎樣做。但安全團隊也應該有權審計和監督其活動。

請注意，有一個實例，在這種情況下，安全團隊應該管理用戶帳戶和設置權限。就是當DBA需要一個帳戶的時候。對于職責分離（SOD）***的做法是，數據庫管理員應該不能創建帳戶或為自己設置特權，這是“后門”未經授權訪問最常用的方法，這會導致信息暴露或惡意活動。如果你愿意給他們帳戶管理的行政職能，他們應該也愿意讓你來管理他們的訪問。

***一點，在許多新的應用程序和操作系統中，你完全可以讓帳戶管理權限沒有完全管理特權。在這種情況下，如果可能的話，數據庫管理員只應授予有限的權限來進行帳戶管理，除非他們的職責要求他們在應用程序或服務器上進行其他的管理任務。

【編輯推薦】

1. 內部用戶帳戶控制：誰來監督“監督人員”？
2. 命令行和腳本設置安全用戶帳戶匿名FTP