Chinaunix
标题:
问题:DBA能由系统管理员兼任吗?
[打印本页]
作者:
hellen
时间:
2004-05-28 11:00
标题:
问题:DBA能由系统管理员兼任吗?
CISA Manual上说是不可以的,但我在实际检查中发现,对\r\n于多平台的信息中心,由于对每一个平台单独设立一个DBA\r\n成本太高且每个DBA的工作任务不饱满,但只设一个DBA,对\r\n这个DBA的技术水平要求过高,因此由每个平台的系统管理员\r\n兼任该平台的DBA。\r\n 那从安全的角度看,DBA能由系统管理员兼任吗?
作者:
活着要努力
时间:
2004-05-28 20:44
不行的原因主要是Sys adm可以删除DBA做过什么事情的audit log。
作者:
活着要努力
时间:
2004-05-28 20:47
如果出于cost-effectiveness考虑,要加上compensation control。例外找个人review sys adm 的audit log。
作者:
hellen
时间:
2004-06-02 14:10
呵呵,Manual上说的可是compensation control无法抵消sys administratior兼任\r\nDBA的risk的,如果audit log可被sys adm删除,那么找人review仍然无法从根\r\n本上防范风险。\r\n\r\n多平台信息中心的情况是历史原因形成的,不知其他公司在实务中如何妥\r\n善处理此问题。
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2