揽阁LGPAC系统 数据库访问控制

在it化不断发展的今天，数据库（database）作为it系统的基础已经是所有人的共识，而如何有效的对其管理，并满足政府的合规性要求，也引起各行各业的重视。

图1：it系统访问逻辑图

所有已知数据库产品均已提供了一套简单账号管理系统，无论数据库管理员，还是普通数据库用户，都需要登录成功后，才可以对数据库进行访问和使用。

图2：数据库管理逻辑

在应用服务器的实际运行环境中，应用服务器通过读取配置文件（xml文件）来获取目标数据库的用户名（username）和密码（password），从而登录数据库。系统开发工程师、数据库管理员等人员则掌握着数据库自身管理系统中的各种帐号。这种传统的数据库使用和管理机制，明显存在以下几项问题：

应用程序读取配置文件中存储的username和password连接database。——易被窃取！

员工头脑当中记住username和password。——易泄漏！

密码复杂度过低。——易被碰撞！

密码复杂度过高。——不便记忆！

密码更新。——密码更新，connector会断开！

揽阁lgpac系统通过生成密码、更新密码、传输密码，应用程序登录数据库的逻辑，来确保在实际数据库的运维过程中，无人可以获取数据库的密码，从而保证数据库的访问控制安全。

图3：数据库帐号生命周期管理

揽阁lgpac系统通过提供以下功能，实现对目标数据库帐号体系的全生命周期的安全闭环管理。从而达到客户对数据库正常运行、管理和可有效分析的目标。

数据库绑定

数据库帐号绑定

api程序调用

密码生成

密码更新

数据备份

应急处理

安全审计

图4：带密钥安全存储的黑盒密码生成算法

揽阁lgpac系统通过以下技术，确保客户无需考虑lgpac系统的安全性问题。

黑盒密码生成算法

服务器绑定技术（lgpac系统绑定、客户应用系统绑定）

128位aes算法

aes算法密钥安全存储器

动态验证码技术

动态链路数据加密传输技术

图5：有时效的临时数据库管理员

对于客户的数据库管理人员，揽阁lgpac系统还提供了强大的具有时效性的临时数据库管理员功能，既可保障客户的业务可以正常运行，也可免除因公司员工离职，而带来的数据库帐号密码外泄风险。

图6：lgpac管理界面

系统化的管理界面，可以使客户零难度的使用。并且提供了强大的安全审计功能。

图7：lgpac系统api

在揽阁lgpac系统所提供的“api+库”结合方式和单一数据库用户绑定模式下，您可以轻松的依据现存it系统架构实现功能的集成与整合工作。

揽阁lgpac系统技术参数