【正文】 統(tǒng)一身份及認(rèn)證管理完整的身份管理和認(rèn)證為了確保合法用戶才能訪問(wèn)其擁有權(quán)限的后臺(tái)資源，解決 IT 系統(tǒng)中普遍存在的交叉運(yùn)維而無(wú)法定位到具體人的問(wèn)題，滿足審計(jì)系統(tǒng)“誰(shuí)做的”要求，系統(tǒng)提供一套完整的身份管理和認(rèn)證功能。? 支持運(yùn)維用戶靜態(tài)口令、數(shù)字證書、動(dòng)態(tài)口令、LDAP、AD 域、Radius 等認(rèn)證方式；? 支持密碼強(qiáng)度、密碼有效期、口令嘗試死鎖、用戶激活、備注等安全管理功能；? 支持用戶分組管理；? 支持用戶信息導(dǎo)入導(dǎo)出，方便批量處理；? 至少支持系統(tǒng)管理員、運(yùn)維管理員、口令管理員和審計(jì)員等管理員角色，可定制管理員角色；? 審計(jì)員分權(quán)管理，分為全局審計(jì)員和會(huì)話審計(jì)員，其中會(huì)話審計(jì)員只能審計(jì)指定用戶的會(huì)話。后臺(tái)賬號(hào)口令集中管理系統(tǒng)支持對(duì)后臺(tái)各類資源（主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的賬號(hào)口令進(jìn)行統(tǒng)一管理，即后臺(tái)資源的賬號(hào)口令由系統(tǒng)托管，用戶登錄系統(tǒng)后，系統(tǒng)根據(jù)用戶權(quán)限分配后臺(tái)資源的使用權(quán)。SSO 單點(diǎn)登錄SSO 單點(diǎn)登錄功能是運(yùn)維人員通過(guò)堡壘機(jī)認(rèn)證和授權(quán)后，堡壘機(jī)根據(jù)配置策略實(shí)現(xiàn)后35 / 45臺(tái)資源的自動(dòng)登錄。此功能提供了運(yùn)維人員到后臺(tái)資源帳戶的一種可控對(duì)應(yīng)，同時(shí)實(shí)現(xiàn)了對(duì)后臺(tái)資源帳戶的口令統(tǒng)一保護(hù)。針對(duì)不同主機(jī)、網(wǎng)絡(luò)和安全設(shè)備的特性，堡壘機(jī)提供托管和只托不管兩種方式實(shí)現(xiàn)運(yùn)維用戶自動(dòng)登錄后臺(tái)資源。托管方式實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源? 堡壘機(jī)自動(dòng)獲取后臺(tái) linux 系統(tǒng)資源帳戶信息；? 根據(jù)口令安全策略，堡壘機(jī)定期自動(dòng)修改后臺(tái)資源帳戶口令；? 根據(jù)管理員配置，實(shí)現(xiàn)運(yùn)維用戶與后臺(tái)資源帳戶對(duì)應(yīng)，限制帳戶的越權(quán)使用；? 運(yùn)維用戶通過(guò)堡壘機(jī)認(rèn)證和授權(quán)后，堡壘機(jī)根據(jù)分配的帳戶實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源。只托不管方式實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源? 管理員將后臺(tái)資源帳戶及口令配置到堡壘機(jī)中；? 根據(jù)管理員配置，實(shí)現(xiàn)運(yùn)維用戶與后臺(tái)資源帳戶對(duì)應(yīng)，限制帳戶的越權(quán)使用；? 運(yùn)維用戶通過(guò)堡壘機(jī)認(rèn)證和授權(quán)后，堡壘機(jī)根據(jù)分配的帳戶實(shí)現(xiàn)自動(dòng)登錄后臺(tái)資源。?對(duì)于托管的后臺(tái)設(shè)備口令，支持以配置導(dǎo)出、郵件、密碼信封、口令保管箱等的方式進(jìn)行備份。實(shí)際應(yīng)用時(shí)存在多臺(tái)設(shè)備具備相同的帳號(hào)、密碼的情況，可以通過(guò)“統(tǒng)一賬號(hào)管理”實(shí)現(xiàn)只需要手工添加一次賬號(hào)，無(wú)需多次添加；并且啟用密碼定期修改功能時(shí)，該賬號(hào)密碼自動(dòng)修改為相同的密碼。密碼打印HAC 對(duì)于被管理設(shè)備的口令能夠加密保存，支持被修改口令的打印輸出，配合密碼信封可以打印形成密件，便于密碼保管。36 / 45為進(jìn)一步保證賬號(hào)口令的安全，配合專用的密函打印機(jī)，HAC 可對(duì)被管理設(shè)備的賬號(hào)口令實(shí)現(xiàn)密函打印功能，該功能必須經(jīng)過(guò)二次授權(quán)復(fù)核，打印格式可由用戶自定義。口令保管箱對(duì)于托管的后臺(tái)設(shè)備口令，除支持以導(dǎo)出、郵件、密碼信封的方式進(jìn)行備份外，還支持把該托管口令備份到專用的口令安全存儲(chǔ)設(shè)備上，防止口令丟失的風(fēng)險(xiǎn)。對(duì)于該口令安全存儲(chǔ)設(shè)備的訪問(wèn)，支持指紋方式認(rèn)證。2. 訪問(wèn)控制及授權(quán)靈活、細(xì)粒度的授權(quán)系統(tǒng)提供基于用戶、運(yùn)維協(xié)議、目標(biāo)主機(jī)、運(yùn)維時(shí)間段（年、月、日、周、時(shí)間） 、會(huì)話時(shí)長(zhǎng)、運(yùn)維客戶端 IP 等組合的授權(quán)功能，實(shí)現(xiàn)細(xì)粒度授權(quán)功能，滿足用戶實(shí)際授權(quán)的需求。? 提供基于用戶到資源的授權(quán)? 提供基于用戶組到資源的授權(quán)? 提供基于用戶到資源組的授權(quán)? 提供基于用戶組到資源組的授權(quán)命令級(jí)授權(quán)對(duì)于字符型協(xié)議,如 Tel、SSH、FTP、SFTP 等，能夠?qū)崿F(xiàn)命令級(jí)別的授權(quán)控制。? 可以通過(guò)命令行配置進(jìn)行規(guī)則匹配，支持黑、白名單功能；? 提供用戶可配置的告警規(guī)則以實(shí)現(xiàn)告警與阻斷，告警規(guī)則支持多條命令，告警規(guī)則支持正則表達(dá)式；37 / 45? 告警規(guī)則支持告警級(jí)別、告警分類和與后臺(tái)資源綁定；? 告警規(guī)則可以按照帳號(hào)級(jí)別進(jìn)行綁定，可以設(shè)置為只有指定安全級(jí)別的帳號(hào)才能觸發(fā)告警規(guī)則，針對(duì)不同用戶實(shí)施不同的規(guī)則，從而提供更細(xì)粒度的操作控制；應(yīng)用發(fā)布除 Tel、SSH、FTP、SFTP、RDP、VNC、XWIN、AS400、HTTP、HTTPS 等常用協(xié)議外，針對(duì)用戶獨(dú)特的運(yùn)維需求，HAC 推出了業(yè)界首創(chuàng)的虛擬桌面主機(jī)安全操作系統(tǒng)設(shè)備（VDH, Virtual Desktop Host） ，通過(guò) VDH 配合 HAC 進(jìn)行審計(jì)能夠完全達(dá)到審計(jì)、控制、授權(quán)的要求? 運(yùn)維操作全程可控，可做到授權(quán)后應(yīng)用只能訪問(wèn)指定服務(wù)，最大降低對(duì)后臺(tái)目標(biāo)服務(wù)集群的可能安全風(fēng)險(xiǎn)。? 可對(duì)整個(gè)運(yùn)維操作過(guò)程進(jìn)行完整記錄，實(shí)現(xiàn)詳盡的會(huì)話審計(jì)和回放。? 可依據(jù)用戶要求快速實(shí)現(xiàn)新應(yīng)用的發(fā)布和審計(jì)。? 可支持對(duì)數(shù)據(jù)庫(kù)維護(hù)工具、pcAnywhere、DameWare 等不同工具的運(yùn)維操作進(jìn)行監(jiān)控和審計(jì)。3. 運(yùn)維事件事中控制實(shí)時(shí)監(jiān)控及阻斷? 監(jiān)控正在運(yùn)維的會(huì)話，信息包括運(yùn)維用戶、運(yùn)維客戶端地址、資源地址、協(xié)議、開(kāi)始時(shí)間等；? 監(jiān)控后臺(tái)資源被訪問(wèn)情況；? 提供在線運(yùn)維操作的實(shí)時(shí)監(jiān)控功能。針對(duì)命令協(xié)議和圖形協(xié)議可以圖像方式實(shí)時(shí)監(jiān)控正在運(yùn)維的各種操作，其信息與運(yùn)維客戶端所見(jiàn)完全一致；? 管理員可以關(guān)閉在線會(huì)話。違規(guī)操作實(shí)時(shí)告警與阻斷? 告警事件可實(shí)時(shí)查看，并通過(guò)審計(jì)平臺(tái)的聲音、閃爍提示；? 告警事件以郵件、短信通知；? 系統(tǒng)各類系統(tǒng)敏感事件集中處理，可通過(guò)郵件短信外發(fā)給已配置責(zé)任人；? 對(duì)于設(shè)置為阻斷的命令，運(yùn)維用戶無(wú)法執(zhí)行，系統(tǒng)提示相關(guān)阻斷信息。可支持 ITSM? 可與 ITSM 相結(jié)合，為其優(yōu)化變更管理流程，加強(qiáng)對(duì)變更管理中的風(fēng)險(xiǎn)控制；? 支持對(duì)變更工單錄入操作，實(shí)現(xiàn)變更過(guò)程的監(jiān)控和審計(jì)；38 / 45? 支持對(duì)現(xiàn)有運(yùn)維變更管理系統(tǒng)快速集成；? 支持變更工單號(hào)事后審計(jì)功能。可支持雙人復(fù)核操作? 支持運(yùn)維過(guò)程對(duì)雙人操作流程介入，例如對(duì)某阻斷命令，可以設(shè)置必須由其它人進(jìn)行復(fù)核；復(fù)核人復(fù)核通過(guò)后，運(yùn)維人員才可以執(zhí)行該阻斷命令；? 支持會(huì)話日志記錄雙人復(fù)核操作審批人、時(shí)間、操作符合命令。4. 運(yùn)維事件事后審計(jì)完整記錄網(wǎng)絡(luò)會(huì)話過(guò)程? 系統(tǒng)提供運(yùn)維協(xié)議 Tel、FTP、SSH、SFTP、RDP（Windows Terminal） 、Xwindows、VNC、AS400、Http、Https 以及應(yīng)用發(fā)布等網(wǎng)絡(luò)會(huì)話的完整會(huì)話記錄，完全滿足內(nèi)容審計(jì)中信息百分百不丟失的要求；? 會(huì)話信息包括運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、資源名、協(xié)議、起始時(shí)間、終止時(shí)間、流量大小信息；? 會(huì)話信息包括運(yùn)維過(guò)程中所有進(jìn)出后臺(tái)資源的數(shù)據(jù)。詳盡的會(huì)話審計(jì)與回放? 運(yùn)維操作審計(jì)以會(huì)話為單位，提供當(dāng)日和條件查詢定位。條件查詢支持按運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、協(xié)議、起始時(shí)間、結(jié)束時(shí)間和操作內(nèi)容中關(guān)鍵字等組合方式；? 針對(duì)命令交互方式的協(xié)議，提供逐條命令及相關(guān)操作結(jié)果的顯示；? 提供圖像形式的回放，真實(shí)、直觀、可視地重現(xiàn)當(dāng)時(shí)的操作過(guò)程；? 回放提供快放、慢放、拖拉等方式，方便快速定位和查看；? 針對(duì)命令交互方式的協(xié)議，提供按命令進(jìn)行定位回放；? 針對(duì) RDP、Xwindows、VNC 協(xié)議，提供按時(shí)間進(jìn)行定位回放。? 對(duì)于 RDP 協(xié)議除記錄視頻格式外，對(duì)于各種鍵盤鼠標(biāo)的操作進(jìn)行記錄，具體包括鍵盤信息、屏幕文本信息、文件讀寫信息等。自審計(jì)功能? 管理員、審計(jì)員、運(yùn)維人員在系統(tǒng)中關(guān)鍵操作行為記錄，并可通過(guò)報(bào)表展現(xiàn)；? 可記錄主帳號(hào)訪問(wèn)審計(jì)設(shè)備時(shí)間、終端 IP 記錄；? 可記錄主帳號(hào)訪問(wèn)目標(biāo)設(shè)備、從帳號(hào)記錄。完備的審計(jì)報(bào)表功能39 / 45提供運(yùn)維人員操作、管理員操作以及違規(guī)事件等多種審計(jì)報(bào)表：? 提供日常報(bào)表，包括今日會(huì)話、今日自審計(jì)、用戶信息、資源信息、權(quán)限信息、規(guī)則信息、管理員角色信息等報(bào)表；? 提供會(huì)話報(bào)表，可根據(jù)用戶選定時(shí)間、用戶、資源形成會(huì)話報(bào)表；? 自審計(jì)操作報(bào)表，可根據(jù)用戶選定時(shí)間、管理員、模塊形成自審計(jì)報(bào)表；? 告警報(bào)表，可根據(jù)告警類別、級(jí)別、資源、運(yùn)維用戶、協(xié)議、時(shí)間等條件形成報(bào)表；? 綜合統(tǒng)計(jì)報(bào)表，可根據(jù)時(shí)間、資源、用戶等條件形成綜合統(tǒng)計(jì)報(bào)表，報(bào)表中包括概要信息、每個(gè)用戶操作信息、每個(gè)資源被操作信息等；? 報(bào)表導(dǎo)出，支持 PDF、Excel、Word 等格式。5. 兼容性、可擴(kuò)展性HAC 運(yùn)維審計(jì)作為 IT 運(yùn)維流程中的一個(gè)部分，能夠遵循 ITIL 滿足稽核與審計(jì)的要求，系統(tǒng)能夠通過(guò)定制開(kāi)發(fā)與現(xiàn)有 ITSM、SOC、網(wǎng)管平臺(tái)進(jìn)行集成，滿足大型網(wǎng)絡(luò)系統(tǒng)的管理要求?；?ITIL 要求，HAC 系統(tǒng)自身能夠支持工單管理和雙人復(fù)核，能夠基本滿足用戶使用紙面工單管理的基本審計(jì)需求。能夠與 KVM 系統(tǒng)進(jìn)行整合，解決 KVM 系統(tǒng)本身審計(jì)功能薄弱的問(wèn)題。能夠與專業(yè)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行整合，審計(jì)日志信息既滿足直觀、方面查看的目的，又可以記錄詳細(xì)的數(shù)據(jù)庫(kù)操作記錄，便于故障分析。40 / 454 應(yīng)用效果分析該系統(tǒng)是一個(gè)完全獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)的“黑盒子” ，審計(jì)記錄自保護(hù)性強(qiáng)，彌補(bǔ)了數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)置日志審計(jì)的缺陷。數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)置的日志審計(jì)功能單一，日志記錄可以被人為修改、刪除，彌補(bǔ)了數(shù)據(jù)庫(kù)內(nèi)置日志審計(jì)的缺陷。首先，詳細(xì)記錄了所有通過(guò)網(wǎng)絡(luò)方式對(duì)數(shù)據(jù)庫(kù)系統(tǒng)所進(jìn)行的操作，包括操作時(shí)間、計(jì)算機(jī)名、數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)用戶名、操作方式、操作內(nèi)容等等，這些都便于以后的查詢?nèi)∽C，同時(shí)可以跟蹤是否有異常的計(jì)算機(jī)或用戶或程序訪問(wèn)系統(tǒng)數(shù)據(jù)庫(kù)。其次，利用審計(jì)數(shù)據(jù)對(duì)業(yè)務(wù)系統(tǒng)性能進(jìn)行優(yōu)化。通過(guò)分析業(yè)務(wù)系統(tǒng)中各個(gè)子系統(tǒng)或各個(gè)功能中對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)量來(lái)分析業(yè)務(wù)系統(tǒng)中存在的性能問(wèn)題。比如，通過(guò)各個(gè)子業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)訪問(wèn)次數(shù)統(tǒng)計(jì)來(lái)分析業(yè)務(wù)系統(tǒng)中對(duì)數(shù)據(jù)庫(kù)的操作是否可進(jìn)行優(yōu)化，從而提供整個(gè)業(yè)務(wù)系統(tǒng)的運(yùn)行性能。再次，因?yàn)橛涗浰腥藛T對(duì)數(shù)據(jù)庫(kù)操作。可以提醒所以對(duì)數(shù)據(jù)庫(kù)操作的人員按照規(guī)范來(lái)操作，有利于銀行對(duì)數(shù)據(jù)庫(kù)操作規(guī)范的執(zhí)行。針對(duì) XX 數(shù)據(jù)庫(kù)安全保護(hù)解決方案的重要業(yè)務(wù)功能的實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全是一個(gè)綜合性的工程。它面臨的問(wèn)題是多方面的。41 / 452 Imperva Confidential 數(shù) 據(jù) 安 全 需 要 解 決 的 問(wèn) 題控 制 針 對(duì) 企 業(yè) 核 心 的 數(shù) 據(jù) 中 心 的 來(lái) 自 外 部 和 內(nèi) 部 的 威 脅數(shù) 據(jù) 安 全 需 要 解 決 的 問(wèn) 題控 制 針 對(duì) 企 業(yè) 核 心 的 數(shù) 據(jù) 中 心 的 來(lái) 自 外 部 和 內(nèi) 部 的 威 脅商 業(yè) 用 戶網(wǎng) 管 員軟 件 系 統(tǒng) 開(kāi) 發(fā) 人 員內(nèi) 部 用 戶黑 客合 作 伙 伴企 業(yè) 臨 時(shí) 用 戶外 部 用 戶應(yīng) 用 數(shù) 據(jù)權(quán) 限 濫 用漏 洞 攻 擊漏 洞 攻 擊權(quán) 力 限 用?權(quán) 限 濫 用 –一 般 來(lái) 自 企 業(yè) 內(nèi) 部 的 非 法 威 脅–內(nèi) 部 人 員 對(duì) 核 心 數(shù) 據(jù) 的 有 意 或 無(wú) 意 的 非 法 操 作?技 術(shù) 支 持 人 員 將 很 容 易 通 過(guò) 網(wǎng) 絡(luò) 對(duì) 他 們 自 己 維 護(hù) 的 數(shù) 據(jù) 資 源 進(jìn) 行 修 改–外 部 人 員 通 過(guò) 黑 客 方 式 模 擬 內(nèi) 部 人 員 的 帳 號(hào) 實(shí) 施 的 惡 意 修 改?利 用 軟 件 漏 洞 的 攻 擊 –一 般 來(lái) 自 企 業(yè) 外 部 非 法 威 脅–內(nèi) 部 或 外 部 的 人 員 通 過(guò) 對(duì) 數(shù) 據(jù) 庫(kù) 軟 件 本 身 的 漏 洞 來(lái) 實(shí) 施 對(duì) 數(shù) 據(jù) 的 偷 竊 和 修 改權(quán) 限 濫 用 一 般 來(lái) 自 企 業(yè) 內(nèi) 部 的 非 法 威 脅內(nèi) 部 人 員 對(duì) 核 心 數(shù) 據(jù) 的 有 意 或 無(wú) 意 的 非 法 操 作技 術(shù) 支 持 人 員 將 很 容 易 通 過(guò) 網(wǎng) 絡(luò) 對(duì) 他 們 自 己 維 護(hù) 的 數(shù) 據(jù) 資 源 進(jìn) 行 修 改外 部 人 員 通 過(guò) 黑 客 方 式 模 擬 內(nèi) 部 人 員 的 帳 號(hào) 實(shí) 施 的 惡 意 修 改利 用 軟 件 漏 洞 的 攻 擊 一 般 來(lái) 自 企 業(yè) 外 部 非 法 威 脅內(nèi) 部 或 外 部 的 人 員 通 過(guò) 對(duì) 數(shù) 據(jù) 庫(kù) 軟 件 本 身 的 漏 洞 來(lái) 實(shí) 施 對(duì) 數(shù) 據(jù) 的 偷 竊 和 修 改保證數(shù)據(jù)庫(kù)的安全和正常運(yùn)行，其中一個(gè)重要的功能是數(shù)據(jù)庫(kù)的審計(jì)功能。這是數(shù)據(jù)庫(kù)周期性的業(yè)務(wù)運(yùn)行狀況的總結(jié)。其中即包括對(duì)一段時(shí)間內(nèi)的總體運(yùn)行狀況的描述，也包括詳細(xì)的分項(xiàng)說(shuō)明，以及細(xì)致到每一次事務(wù)/查詢的原始信息記錄。Imperva 的產(chǎn)品可以提供針對(duì)數(shù)據(jù)庫(kù)操作的詳細(xì)審計(jì)。 不僅包括正常業(yè)務(wù)運(yùn)行狀況，對(duì)安全威脅和事件也進(jìn)行特別重點(diǎn)和詳細(xì)的報(bào)告。報(bào)告和審計(jì)對(duì)于企業(yè)提供符合專業(yè)規(guī)范（如：塞班斯）要求的審計(jì)依據(jù)具有重大的意義，更重要的是對(duì)數(shù)據(jù)庫(kù)安全的整個(gè)維護(hù)和實(shí)施生命周期提供了不斷自我檢查，自我完善的依據(jù)。這是在系統(tǒng)運(yùn)行時(shí)，對(duì)正在進(jìn)行的業(yè)務(wù)和管理層面的數(shù)據(jù)庫(kù)交互活動(dòng)進(jìn)行檢測(cè)。對(duì)其中違反既定的安全策略的行為可以即時(shí)發(fā)現(xiàn)，同時(shí)可以產(chǎn)生報(bào)警、阻斷以及供事后分析和審計(jì)的依據(jù)。實(shí)時(shí)的監(jiān)控和防護(hù)可以第一時(shí)間消除共計(jì)和違規(guī)操作對(duì)系統(tǒng)的影響。SecureSphere 自動(dòng)處理數(shù)據(jù)庫(kù)安全問(wèn)題的核心是 Imperva 的“動(dòng)態(tài)建模”技術(shù)。“動(dòng)態(tài)建?！弊詣?dòng)檢測(cè)實(shí)時(shí)數(shù)據(jù)庫(kù)通信，然后應(yīng)用復(fù)雜的學(xué)習(xí)算法來(lái)創(chuàng)建包含訪問(wèn)數(shù)據(jù)庫(kù)的每個(gè)用戶和應(yīng)用程序的所有合法活動(dòng)的“業(yè)務(wù)模型” ?！皹I(yè)務(wù)模型”不僅用作以后審計(jì)評(píng)估用戶或應(yīng)用程序行為更改的依據(jù)，而且還是針對(duì)數(shù)據(jù)庫(kù)使用自動(dòng)生成的安全策略，信息安全團(tuán)隊(duì)使用“業(yè)務(wù)模型”不僅能夠監(jiān)視和審計(jì)數(shù)42 / 45據(jù)庫(kù)使用狀況，而且還可以防止數(shù)據(jù)庫(kù)受到攻擊。SecureSphere 學(xué)習(xí)算法不斷應(yīng)用于實(shí)時(shí)通信中，這樣，當(dāng)用戶活動(dòng)隨時(shí)間推移不斷增加時(shí)，有效的更改被自動(dòng)識(shí)別并合并到“業(yè)務(wù)模型”中。如果數(shù)據(jù)庫(kù)行為與“業(yè)務(wù)模型”不同，則會(huì)自動(dòng)觸發(fā)警報(bào)，而且該行為可能會(huì)根據(jù)嚴(yán)重程度被阻止。每個(gè)“業(yè)務(wù)模型”都包括：用戶名、源 IP 地址、訪問(wèn)的表、針對(duì)每張表所執(zhí)行的 SQL 操作、查詢、查詢組、源應(yīng)用程序、允許