在數(shù)據(jù)庫(kù)運(yùn)維場(chǎng)景中，“公用”是一種很常見(jiàn)的事情，包括：公用數(shù)據(jù)庫(kù)賬號(hào)、公用運(yùn)維主機(jī)、公用操作系統(tǒng)賬號(hào)等等。然而這種“公用”行為帶來(lái)的問(wèn)題，則是無(wú)法準(zhǔn)確識(shí)別運(yùn)維人員的身份，無(wú)法合理分配每個(gè)自然人的權(quán)限，且對(duì)于一些明顯的誤操作或惡意操作也無(wú)法溯源到自然人本身；而另一個(gè)由“公用”帶來(lái)的弊端是數(shù)據(jù)庫(kù)的賬號(hào)被散發(fā)出去，導(dǎo)致本來(lái)不應(yīng)對(duì)該數(shù)據(jù)具備運(yùn)維權(quán)限的人也可能獲取到賬號(hào)，從而威脅到相關(guān)數(shù)據(jù)的安全。

面對(duì)以上問(wèn)題，單純通過(guò)提高密碼的復(fù)雜度或定期更改密碼都不足以保障數(shù)據(jù)的安全。企業(yè)該采取怎樣的密碼管理方式，才能適應(yīng)這種“公用”運(yùn)維場(chǎng)景下的數(shù)據(jù)安全管理與控制要求？

從上文提及的諸多“公用”場(chǎng)景可以發(fā)現(xiàn)，唯一不公用的，大概就是運(yùn)維人員的“自然人身份”。如果可以通過(guò)一些技術(shù)手段明確表征自然人的身份，讓安全設(shè)備能夠根據(jù)自然人的身份及權(quán)限自動(dòng)的為其建立合理的數(shù)據(jù)庫(kù)連接，那么無(wú)論其他條件因數(shù)如何被“公用”，都可以清晰定位訪問(wèn)數(shù)據(jù)的自然人身份；同時(shí)，這種自動(dòng)建立連接的機(jī)制令數(shù)據(jù)庫(kù)賬號(hào)和密碼不會(huì)被暴露在運(yùn)維人員或公用環(huán)境之中，從而減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)和隱患。

負(fù)責(zé)數(shù)據(jù)庫(kù)運(yùn)維的DBA和安全管理人員，常會(huì)碰到以下問(wèn)題：

問(wèn)題一：多個(gè)運(yùn)維人員在運(yùn)維過(guò)程中使用相同的高權(quán)限數(shù)據(jù)庫(kù)賬號(hào)，無(wú)法區(qū)分控制和審計(jì)；

問(wèn)題二：高權(quán)限賬號(hào)的安全性無(wú)法保障，密碼幾乎是公開(kāi)的，而定期變更密碼所產(chǎn)生的高維護(hù)成本也令相關(guān)工作難以實(shí)際落地；

問(wèn)題三：由于應(yīng)用系統(tǒng)和運(yùn)維側(cè)使用相同的賬號(hào)，造成無(wú)法區(qū)分權(quán)限，無(wú)法進(jìn)行細(xì)粒度控制；

問(wèn)題四：運(yùn)維過(guò)程中，同一運(yùn)維人員對(duì)不同內(nèi)容進(jìn)行運(yùn)維時(shí)，需要不同的賬號(hào)分別登陸數(shù)據(jù)庫(kù)完成，不僅令人員的操作和記憶十分繁瑣，也進(jìn)一步提高了運(yùn)維的成本。

想要對(duì)運(yùn)維工作進(jìn)行準(zhǔn)確、有效的管控，著眼于“自然人身份”是更為有效的手段。針對(duì)“自然人”的識(shí)別與控制，918搏天堂運(yùn)維管理系統(tǒng)（DOMS）綜合以下5條技術(shù)路線和手段，解決方案可由外及內(nèi)、由淺入深的滿足客戶在不同場(chǎng)景下的實(shí)際需求：

解決方案

1、Web認(rèn)證方案

先將運(yùn)維人員賬號(hào)錄入到DOMS運(yùn)維管理系統(tǒng)，并創(chuàng)建對(duì)應(yīng)的運(yùn)維人員Web管理賬號(hào)；當(dāng)通過(guò)運(yùn)維終端所在PC瀏覽器打開(kāi)DOMS系統(tǒng)時(shí)，使用運(yùn)維人員Web賬號(hào)進(jìn)行登陸，以申明當(dāng)前是哪位運(yùn)維人員在登錄系統(tǒng)；之后，在運(yùn)維終端上使用數(shù)據(jù)庫(kù)客戶端工具，通過(guò)代理地址登陸數(shù)據(jù)庫(kù)；DOMS將通過(guò)客戶端IP判定當(dāng)前是哪位運(yùn)維人員在訪問(wèn)數(shù)據(jù)庫(kù)。

通過(guò)上述方式，客戶能夠準(zhǔn)確識(shí)別出是誰(shuí)在使用終端設(shè)備，是誰(shuí)在操作數(shù)據(jù)庫(kù)，并對(duì)人為操作進(jìn)行控制；但無(wú)法解決密碼共用、定期更改密碼等在維護(hù)和操作上造成的麻煩。

2、堡壘機(jī)環(huán)境下的應(yīng)對(duì)方案

在“堡壘機(jī)+跳板機(jī)”的環(huán)境下，經(jīng)過(guò)堡壘機(jī)連接數(shù)據(jù)庫(kù)的方式大體分為兩種：

· 數(shù)據(jù)庫(kù)登錄密碼“代填”方式

大致流程為：運(yùn)維終端->堡壘機(jī)->跳板機(jī)->堡壘機(jī)->數(shù)據(jù)庫(kù)（如圖1中的1->4->2->3）；

· 數(shù)據(jù)庫(kù)登錄密碼“非代填”方式

有別于代填方式，是在跳板機(jī)上打開(kāi)運(yùn)維工具登陸數(shù)據(jù)庫(kù)，流程相對(duì)簡(jiǎn)單：運(yùn)維終端->堡壘機(jī)->跳板機(jī)->數(shù)據(jù)庫(kù)（如圖1中的1->4->5）。

圖1：堡壘機(jī)和跳板機(jī)交互流程

堡壘機(jī)的引入對(duì)于獲取“自然人身份”增加了難度，用非代填方式比較簡(jiǎn)單。如果堡壘機(jī)登錄跳板機(jī)使用運(yùn)維賬號(hào)作為操作系統(tǒng)賬號(hào)，以O(shè)racle數(shù)據(jù)庫(kù)為例，可以通過(guò)協(xié)議解析的方式獲取運(yùn)維人員賬號(hào)；如果多個(gè)運(yùn)維人員在打開(kāi)跳板機(jī)時(shí)用的都是同一數(shù)據(jù)庫(kù)賬號(hào)，或者是數(shù)據(jù)庫(kù)通信協(xié)議中沒(méi)有操作系統(tǒng)賬號(hào)標(biāo)識(shí)，則需要在跳板機(jī)上安裝插件，通過(guò)插件獲取當(dāng)前的運(yùn)維賬號(hào)并發(fā)送給DOMS運(yùn)維管理系統(tǒng)，從而實(shí)現(xiàn)關(guān)聯(lián)。

相比之下，用代填方式進(jìn)行關(guān)聯(lián)會(huì)比較復(fù)雜。這與不同堡壘機(jī)的實(shí)現(xiàn)機(jī)制也有關(guān)系，需要一定的流程對(duì)接，比如在堡壘機(jī)設(shè)備上做一個(gè)運(yùn)維賬號(hào)操作的關(guān)聯(lián)，再將信息推送給DOMS運(yùn)維管理系統(tǒng)實(shí)現(xiàn)關(guān)聯(lián)。

3、動(dòng)態(tài)令牌、Ukey和證書方案

動(dòng)態(tài)令牌和Ukey大家并不陌生，是一種常用的雙因素校驗(yàn)工具。DOMS運(yùn)維管理系統(tǒng)可將令牌種子（或Ukey特征值）同運(yùn)維管理的Web賬號(hào)進(jìn)行關(guān)聯(lián)。

其中，動(dòng)態(tài)令牌的實(shí)現(xiàn)方式另辟蹊徑，是在運(yùn)維工具已登錄數(shù)據(jù)庫(kù)之后，通過(guò)特定的語(yǔ)句發(fā)送當(dāng)前的令牌碼，DOMS截獲到令牌碼后會(huì)進(jìn)行正確性的校驗(yàn)，并獲取關(guān)聯(lián)的運(yùn)維賬號(hào)。

Ukey則是在客戶端主機(jī)上安裝小工具，用來(lái)讀取Ukey和證書信息，并將信息內(nèi)容發(fā)送給DOMS；同時(shí)，該小工具可以讀取操作系統(tǒng)賬號(hào)和MAC地址，從而彌補(bǔ)了有些數(shù)據(jù)庫(kù)通信協(xié)議沒(méi)有操作系統(tǒng)賬號(hào)的空白。但Ukey畢竟是物理設(shè)備，需要實(shí)際插入到運(yùn)維所使用的客戶端主機(jī)上，而對(duì)于虛擬化或堡壘機(jī)等無(wú)法插入U(xiǎn)key的環(huán)境則只能使用證書的方式。

證書的方式同Ukey類似，只是將硬件Ukey設(shè)備緩存文件證書，運(yùn)維終端上利用客戶端小工具選擇運(yùn)維人員的證書進(jìn)行登陸，證書會(huì)標(biāo)識(shí)“自然人”信息。

4、密碼橋方案

為了真正做到運(yùn)維賬號(hào)一人一密，數(shù)據(jù)庫(kù)賬號(hào)的密碼不暴露，數(shù)據(jù)庫(kù)密碼可定期更換，以及在同一運(yùn)維賬號(hào)關(guān)聯(lián)多個(gè)數(shù)據(jù)庫(kù)賬號(hào)的情況下可對(duì)運(yùn)維人員進(jìn)行權(quán)限控制，DOMS引入“密碼橋”方案。

什么是密碼橋？概括來(lái)講就是“運(yùn)維管理Web賬號(hào)+密碼”和“數(shù)據(jù)庫(kù)賬號(hào)+密碼”在DOMS運(yùn)維管理系統(tǒng)上已提前配置完成并形成映射關(guān)系，此時(shí)運(yùn)維賬號(hào)通過(guò)數(shù)據(jù)庫(kù)連接工具（如sqlplus、PL/SQL等）登錄數(shù)據(jù)庫(kù)，DOMS會(huì)在數(shù)據(jù)庫(kù)連接過(guò)程中對(duì)用戶密碼進(jìn)行替換（兩套賬號(hào)密碼的映射關(guān)系），達(dá)到使用該數(shù)據(jù)庫(kù)實(shí)際賬號(hào)對(duì)應(yīng)的運(yùn)維賬號(hào)登錄數(shù)據(jù)庫(kù)的目的；同時(shí)，能對(duì)運(yùn)維賬號(hào)和密碼匹配的正確與否進(jìn)行校驗(yàn)，也可以對(duì)數(shù)據(jù)庫(kù)賬號(hào)和密碼的正確性進(jìn)行校驗(yàn)。

DOMS運(yùn)維管理系統(tǒng)配置如下：

例一：指定數(shù)據(jù)庫(kù)賬號(hào)

Username：zhangsan:crm（zhangsan為運(yùn)維管理Web賬號(hào)；crm為數(shù)據(jù)庫(kù)賬號(hào)）

Password：運(yùn)維賬號(hào)密碼

此時(shí)，zhangsan這個(gè)運(yùn)維賬號(hào)經(jīng)過(guò)DOMS運(yùn)維管理系統(tǒng)映射，使用crm這個(gè)數(shù)據(jù)庫(kù)賬號(hào)訪問(wèn)數(shù)據(jù)庫(kù)，僅需要輸入運(yùn)維賬號(hào)的密碼，無(wú)需輸入數(shù)據(jù)庫(kù)賬號(hào)crm的真實(shí)密碼，從而達(dá)到數(shù)據(jù)庫(kù)密碼不對(duì)運(yùn)維人員暴露的效果。

例二：不指定數(shù)據(jù)庫(kù)賬號(hào)

以sqlplus為例：此時(shí)，只輸入了運(yùn)維賬號(hào)，DOMS系統(tǒng)會(huì)根據(jù)運(yùn)維賬號(hào)找到與其關(guān)聯(lián)的唯一一個(gè)數(shù)據(jù)庫(kù)賬號(hào)進(jìn)行替換并登錄。

5、防繞過(guò)方案

針對(duì)某些C/S架構(gòu)的業(yè)務(wù)系統(tǒng)，特別是醫(yī)療行業(yè)，會(huì)涉及到大量的客戶端設(shè)備且有大量的動(dòng)態(tài)IP情況存在。此時(shí)，無(wú)法通過(guò)客戶端IP的方式定位到客戶端主機(jī)，對(duì)于安裝Ukey的插件來(lái)說(shuō)工作量也比較大。如果安裝插件，能保障所有設(shè)備都被安裝到么？即使安裝了插件，如果不通過(guò)代理地址（DOMS運(yùn)維管理系統(tǒng)）訪問(wèn)數(shù)據(jù)庫(kù)又該如何防護(hù)？此外，在數(shù)據(jù)庫(kù)本地操作數(shù)據(jù)庫(kù)又要怎樣應(yīng)對(duì)？

對(duì)于以上場(chǎng)景，918搏天堂提出“運(yùn)維訪問(wèn)防繞過(guò)”方案，即利用在數(shù)據(jù)庫(kù)的logon觸發(fā)器進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)白名單控制：想要訪問(wèn)數(shù)據(jù)庫(kù)的主機(jī)設(shè)備，必須到DOMS系統(tǒng)上進(jìn)行注冊(cè)（包含IP、User、客戶端主機(jī)名等）；注冊(cè)后DOMS會(huì)對(duì)觸發(fā)器的內(nèi)容進(jìn)行調(diào)整，實(shí)現(xiàn)對(duì)客戶端與數(shù)據(jù)庫(kù)建立連接時(shí)的控制。此時(shí)，即使沒(méi)有經(jīng)過(guò)代理地址（經(jīng)過(guò)DOMS的還會(huì)有代理層面的控制）的登錄行為，也會(huì)被認(rèn)定為非授信的異常登錄，從而真正達(dá)到只有在授信終端上使用授信客戶端運(yùn)維工具、運(yùn)維賬號(hào)、通過(guò)合規(guī)的訪問(wèn)通道，才可以正常對(duì)數(shù)據(jù)庫(kù)進(jìn)行運(yùn)維操作的目的。

文中介紹的五種技術(shù)路線及解決方案，是在DOMS運(yùn)維管理系統(tǒng)中對(duì)自然人進(jìn)行識(shí)別、控制，以及對(duì)密碼安全性的思考；在引進(jìn)權(quán)控方案后，不會(huì)對(duì)日常運(yùn)維工具帶來(lái)影響和附加工作，從而讓DOMS運(yùn)維管理系統(tǒng)成為企業(yè)運(yùn)維安全可靠的幫手。