Chinaunix

标题: 问题：DBA能由系统管理员兼任吗？ [打印本页]

作者: hellen 时间: 2004-05-28 11:00
标题: 问题：DBA能由系统管理员兼任吗？
CISA Manual上说是不可以的，但我在实际检查中发现，对\r\n于多平台的信息中心，由于对每一个平台单独设立一个DBA\r\n成本太高且每个DBA的工作任务不饱满，但只设一个DBA，对\r\n这个DBA的技术水平要求过高，因此由每个平台的系统管理员\r\n兼任该平台的DBA。\r\n 那从安全的角度看，DBA能由系统管理员兼任吗？

作者: 活着要努力 时间: 2004-05-28 20:44
不行的原因主要是Sys adm可以删除DBA做过什么事情的audit log。

作者: 活着要努力 时间: 2004-05-28 20:47
如果出于cost-effectiveness考虑，要加上compensation control。例外找个人review sys adm 的audit log。

作者: hellen 时间: 2004-06-02 14:10
呵呵，Manual上说的可是compensation control无法抵消sys administratior兼任\r\nDBA的risk的，如果audit log可被sys adm删除，那么找人review仍然无法从根\r\n本上防范风险。\r\n\r\n多平台信息中心的情况是历史原因形成的，不知其他公司在实务中如何妥\r\n善处理此问题。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)