数据库超级用户管理权限

    很多企业所用数据库都存在超级管理员权限，这种权限存在是数据库权限滥用的一种体现。存在此类权限的数据库环境也是非常危险的，因为它非常容易被一些不良人员所利用，导致关键数据泄露。

    约翰逊提供三种设想和建议，以使数据得到充分保护：

    1、在企业，让IT 运维人员根据用户的实际需求分配权限是一个费力不讨好的工作。所谓的费力，是指IT运维人员若要按需分配首先要从单位行政角度摸清员工（这里也包括高层管理者）的实际需求，其工作量可想而知；很多企业高层管理者要求IT 运维人员要将其数据库的权限设置成“超级管理员”，但这种要求与这些高层实际需求不一定相符，使得IT 运维人员左右为难。

    不过作为IT主管，即便你很为难，但我还是建议你要坚持原则——相关人员数据库使用权限与其实际工作权限相配套，尤其是要弄清楚那些具有超级用户管理权限的人员获得权限的原因。公司管理层在这方面有一个明确的判断，是要方便还是要安全。不过从前面的这些安全事故中我们可以看出，要想从如此竞争激烈的市场环境中脱颖而出，稳妥的安全措施势在必行。

    2、很多大型企业还存在这样一个问题，数据库管理员（DBA）和网络管理员到底谁应该赋予更多的更全的管理权限，以完成他们的工作。按照员工比例来讲，即便是数据库管理员和网络管理员二者相加，其总量也是少数。对他们实施管理相对简单。但这里还是存在管理上的漏洞：是不是DBA就可以无限制的看到所有的数据？谁可以拥有数据库备份副本的管理权限？即便是这些拥有超级权限的人是值得信赖的人，就没有数据泄露的隐患了吗？

    建议还是取消数据库管理员以及网络管理员（系统管理员）的超级用户管理权限。因为他们只要做好自己工作就好了，不必也没有任何理由完全掌握企业的数据库管理权限。对这些IT管理人员的职责也应该细分，让他们在自己职权范围内设定自己的用户名和密码，并自己保存。这些管理员们向CIO提交他们的用户与密码副本，而这些副本也不应该有CIO随意掌控，而是将其放进“LOCKBOX”这样的密码保护软件中。这种方法可以说基本上没什么技术含量，但它可以防止企业过度分配超级管理员权限。

    3、还有种情况可能出现：某些IT用户可能不需要拥有强大的特权，但由于他们的工作性质，有可能使用别人的超级管理特权。一个典型的例子就是一个低级别的数据中心业务人员，他或者仅负责生产调度环境，而他有些工作却有可能涉及到数据库管理和系统管理员的用户名和密码。这对于任何企业而言都是一个重大潜在威胁。

    这种情况看似难办，实际上也不是很难解决。无论是最终用户还是那些具有超级用户权限的人，对他们赋予权限的规则是帮助诚实的人留下诚实。让所有的人都知道，在企业中的网络行为都会受到监控，这样就可以阻止数据泄露事故的大量发生。