一種數(shù)據(jù)庫安全加固的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機安全技術(shù)領(lǐng)域���,特別涉及一種數(shù)據(jù)庫安全加固的方法及裝置���。
【背景技術(shù)】
[0002]隨著計算機技術(shù)的不斷發(fā)展與進步,計算機數(shù)據(jù)的量越來越多���,為了更好地對各類數(shù)據(jù)進行管理和利用�����,數(shù)據(jù)庫運應(yīng)而生�,通過大容量存儲設(shè)備對計算機數(shù)據(jù)進行分類存儲��,將數(shù)據(jù)庫中的數(shù)據(jù)共享給多個用戶進行使用�,大大提高了對計算機數(shù)據(jù)的管理力度���,同時為用戶提供了很大的方便。數(shù)據(jù)庫作為一個大容量的存儲設(shè)備���,存儲著很多的數(shù)據(jù)�,用戶的惡意訪問行為很可能造成其他用戶的重要數(shù)據(jù)泄露�����,給用戶造成巨大的損失���。
[0003]目前���,為了限制數(shù)據(jù)庫用戶的訪問行為,避免數(shù)據(jù)庫中重要數(shù)據(jù)發(fā)生泄露����,提高數(shù)據(jù)庫的安全性,一般由數(shù)據(jù)庫管理員對數(shù)據(jù)庫用戶的訪問權(quán)限進行設(shè)置����,只有得到數(shù)據(jù)庫管理員的授權(quán)后,用戶才能夠訪問特定的數(shù)據(jù)����,否則用戶沒有訪問的權(quán)限��。
[0004]針對于現(xiàn)有技術(shù)對數(shù)據(jù)庫用戶訪問權(quán)限進行管理以提高數(shù)據(jù)庫安全性的方法����,由于數(shù)據(jù)庫管理員具有超級權(quán)限��,可以對任意用戶的任意權(quán)限進行設(shè)置�,一旦數(shù)據(jù)庫管理員的賬號和密碼被竊取����,不法分子可以通過登錄數(shù)據(jù)庫管理員賬號,對任意用戶的訪問權(quán)限進行設(shè)置或創(chuàng)建新的用戶����,以盜取數(shù)據(jù)庫中存儲的數(shù)據(jù),因而�����,現(xiàn)有技術(shù)通過數(shù)據(jù)庫管理員對數(shù)據(jù)庫安全進行防護�����,數(shù)據(jù)庫的安全性較低。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種數(shù)據(jù)庫安全加固的方法及裝置�����,能夠提高數(shù)據(jù)庫的安全性����。
[0006]本發(fā)明實施例提供了一種數(shù)據(jù)庫安全加固的方法,應(yīng)用于預(yù)先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫���,包括:
[0007]接收當前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當前數(shù)據(jù)進行訪問的訪問請求���;
[0008]根據(jù)所述安全管理員預(yù)先創(chuàng)建的強制訪問控制策略,判斷所述當前數(shù)據(jù)是否允許被所述當前數(shù)據(jù)庫用戶進行訪問�����;
[0009]如果否���,阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問�����,如果是��,則根據(jù)所述數(shù)據(jù)庫管理員預(yù)先創(chuàng)建的自主訪問控制策略�,進一步判斷所述當前數(shù)據(jù)庫用戶是否具有對所述當前數(shù)據(jù)進行訪問的權(quán)限;
[0010]根據(jù)所述進一步判斷的判斷結(jié)果����,如果是,允許所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問����,否則阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問。
[0011]優(yōu)選地�����,該方法進一步包括:預(yù)先為所述數(shù)據(jù)庫指定審計管理員�����;
[0012]實時對所述數(shù)據(jù)庫管理員及所述安全管理員的操作行為進行監(jiān)控��,根據(jù)所述審計管理員預(yù)先創(chuàng)建的審計控制策略�,判斷所述數(shù)據(jù)庫管理員及所述安全管理員是否出現(xiàn)不符合所述審計控制策略的操作行為��,如果是,發(fā)出警報信息����。
[0013]優(yōu)選地,所述強制訪問控制策略包括:針對所述數(shù)據(jù)庫中的每一個數(shù)據(jù)����,規(guī)定可以對該數(shù)據(jù)進行訪問的數(shù)據(jù)庫用戶,僅規(guī)定范圍內(nèi)的所述數(shù)據(jù)庫用戶才可以對該數(shù)據(jù)進行訪問�����。
[0014]優(yōu)選地��,所述強制訪問控制策略包括:針對于所述數(shù)據(jù)庫中的每一個數(shù)據(jù)�����,規(guī)定該數(shù)據(jù)允許被訪問的時間段����,僅在所述允許被訪問的時間段內(nèi)才可以對該數(shù)據(jù)進行訪問。
[0015]優(yōu)選的���,所述強制訪問控制策略包括:針對于所述數(shù)據(jù)庫中的每一個數(shù)據(jù)�,規(guī)定該數(shù)據(jù)允許被訪問的IP地址,僅在所述允許被訪問的IP地址范圍內(nèi)的IP地址才可以對該數(shù)據(jù)進行訪問���。
[0016]優(yōu)選地�����,所述自主訪問控制策略包括:規(guī)定各個所述數(shù)據(jù)庫用戶的訪問權(quán)限�,針對于每一個所述數(shù)據(jù)庫用戶����,該數(shù)據(jù)庫用戶僅能夠在其訪問權(quán)限范圍內(nèi),對所述數(shù)據(jù)庫中特定的數(shù)據(jù)進行訪問����。
[0017]本發(fā)明實施例還提供了一種數(shù)據(jù)庫安全加固的裝置,應(yīng)用于預(yù)先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫����,包括:接收單元����、第一判斷單元、第二判斷單元及執(zhí)行單元����;
[0018]所述接收單元��,用于接收當前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當前數(shù)據(jù)進行訪問的訪問請求;
[0019]所述第一判斷單元�����,用于根據(jù)所述安全管理員預(yù)先創(chuàng)建的強制訪問控制策略���,判斷所述當前數(shù)據(jù)是否允許被所述當前數(shù)據(jù)庫用戶進行訪問;
[0020]所述第二判斷單元�,用于根據(jù)所述第一判斷單元的判斷結(jié)果,如果是�,根據(jù)所述數(shù)據(jù)庫管理員預(yù)先創(chuàng)建的自主訪問控制策略,進一步判斷所述當前數(shù)據(jù)庫用戶是否具有對所述當前數(shù)據(jù)進行訪問的權(quán)限����;
[0021 ]所述執(zhí)行單元,用于根據(jù)所述第二判斷單元的判斷結(jié)果�,如果是,允許所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問�����,否則阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問���,并根據(jù)所述第一判斷單元的判斷結(jié)果����,如果否,阻止所述當前數(shù)據(jù)庫用戶對所述當期數(shù)據(jù)進行訪問�。
[0022]優(yōu)選地,該裝置進一步包括:審計單元����;
[0023]所述數(shù)據(jù)庫包括預(yù)先指定的審計管理員,由所述審計管理員預(yù)先創(chuàng)建審計控制策略����;
[0024]所述審計單元,用于實時對所述數(shù)據(jù)庫管理員及所述安全管理員的操作行為進行監(jiān)控���,根據(jù)所述審計控制策略��,判斷所述數(shù)據(jù)庫管理員及所述安全管理員是否出現(xiàn)不符合所述合計控制策略的操作行為��,如果是��,發(fā)出警報信息。
[0025]優(yōu)選地�����,所述第一判斷單元,用于根據(jù)所述強制訪問控制策略���,獲取可以對所述當前數(shù)據(jù)進行訪問的數(shù)據(jù)庫用戶���,判斷所述當前數(shù)據(jù)庫用戶是否在所述數(shù)據(jù)庫用戶的范圍內(nèi),如果是���,相應(yīng)的執(zhí)行下一步判斷操作由所述第二判斷單元對所述訪問請求進行進一步判斷���,如果否,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問��。
[0026]優(yōu)選地�����,所述第一判斷單元��,用于根據(jù)所述強制訪問控制策略���,獲取所述當前數(shù)據(jù)允許被訪問的時間段�,判斷所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)的訪問時間是否在所述當前數(shù)據(jù)允許被訪問的時間段內(nèi),如果是��,由所述第二判斷單元對所述訪問請求進行進一步判斷�,如果否,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問�����。
[0027]優(yōu)選地���,所述第一判斷單元�����,用于根據(jù)所述強制訪問控制策略���,獲取所述當前數(shù)據(jù)庫用戶的IP地址,判斷所述當前數(shù)據(jù)庫用戶的IP地址是否在所述當前數(shù)據(jù)允許被訪問的IP地址范圍內(nèi)��,如果是�,由所述第二判斷單元對所述訪問請求進行進一步判斷,如果否�����,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問��。
[0028]優(yōu)選地���,所述第二判斷單元��,用于根據(jù)所述自主訪問控制策略����,獲取所述當前數(shù)據(jù)庫用戶的訪問權(quán)限����,判斷所述當前數(shù)據(jù)庫用戶的訪問權(quán)限范圍內(nèi)是否包括對所述當前數(shù)據(jù)的訪問權(quán)限,如果是����,由所述執(zhí)行單元執(zhí)行所述許所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問,如果否�����,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問�。
[0029]本實施例提供了一種數(shù)據(jù)庫安全加固的方法及裝置,為數(shù)據(jù)庫預(yù)先指定數(shù)據(jù)庫管理員及安全管理員���,由數(shù)據(jù)庫管理員預(yù)先創(chuàng)建自主訪問控制策略���,由安全管理員預(yù)先創(chuàng)建強制訪問控制策略�����,當數(shù)據(jù)庫用戶訪問數(shù)據(jù)庫中的數(shù)據(jù)時�����,首先根據(jù)強制訪問控制策略判斷被訪問的數(shù)據(jù)是否允許被該數(shù)據(jù)庫用戶進行訪問�����,如果是�,進一步根據(jù)自主訪問控制策略判斷該數(shù)據(jù)庫用戶是否具有對被訪問數(shù)據(jù)的訪問權(quán)限��,只有當兩個判斷的判斷結(jié)果均為是時才允許該數(shù)據(jù)庫用戶對被訪問數(shù)據(jù)進行訪問�,否則阻止該數(shù)據(jù)庫用戶對被訪問數(shù)據(jù)進行訪問,這樣�����,將現(xiàn)有技術(shù)中數(shù)據(jù)庫管理員的權(quán)限削弱,需要同時得到數(shù)據(jù)庫管理員與及安全管理員的授權(quán)才能實現(xiàn)對數(shù)據(jù)的訪問�����,即使其中一個管理員的賬號被盜用����,也不能隨意對數(shù)據(jù)庫中的數(shù)據(jù)進行訪問����,從而提高了數(shù)據(jù)庫的安全性。
【附圖說明】
[0030]圖1是本發(fā)明一個實施例提供的一種數(shù)據(jù)庫安全加固的方法流程圖���;
[0031]圖2是本發(fā)明另一個實施例提供的一種數(shù)據(jù)庫安全加固的方法流程圖���;
[0032]圖3是本發(fā)明一個實施例提供的一種數(shù)據(jù)庫安全加固的裝置示意圖。
【具體實施方式】
[0033]下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述����。顯然��,所描述的實施例僅是本發(fā)明一部分實施例�,而不是全部的實施例�����?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍�����。
[0034]如圖1所示���,本發(fā)明一個實施例提供了一種數(shù)據(jù)庫安全加固的方法���,應(yīng)用于預(yù)先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫,包括:
[0035]步驟101:接收當前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當前數(shù)據(jù)進行訪問的訪問請求