一種數(shù)據(jù)庫安全加固的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域����,特別涉及一種數(shù)據(jù)庫安全加固的方法及裝置�����。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展與進(jìn)步����,計(jì)算機(jī)數(shù)據(jù)的量越來越多����,為了更好地對各類數(shù)據(jù)進(jìn)行管理和利用�,數(shù)據(jù)庫運(yùn)應(yīng)而生,通過大容量存儲(chǔ)設(shè)備對計(jì)算機(jī)數(shù)據(jù)進(jìn)行分類存儲(chǔ)��,將數(shù)據(jù)庫中的數(shù)據(jù)共享給多個(gè)用戶進(jìn)行使用���,大大提高了對計(jì)算機(jī)數(shù)據(jù)的管理力度�,同時(shí)為用戶提供了很大的方便�����。數(shù)據(jù)庫作為一個(gè)大容量的存儲(chǔ)設(shè)備�,存儲(chǔ)著很多的數(shù)據(jù),用戶的惡意訪問行為很可能造成其他用戶的重要數(shù)據(jù)泄露����,給用戶造成巨大的損失。
[0003]目前�����,為了限制數(shù)據(jù)庫用戶的訪問行為,避免數(shù)據(jù)庫中重要數(shù)據(jù)發(fā)生泄露��,提高數(shù)據(jù)庫的安全性����,一般由數(shù)據(jù)庫管理員對數(shù)據(jù)庫用戶的訪問權(quán)限進(jìn)行設(shè)置,只有得到數(shù)據(jù)庫管理員的授權(quán)后��,用戶才能夠訪問特定的數(shù)據(jù)�����,否則用戶沒有訪問的權(quán)限���。
[0004]針對于現(xiàn)有技術(shù)對數(shù)據(jù)庫用戶訪問權(quán)限進(jìn)行管理以提高數(shù)據(jù)庫安全性的方法�����,由于數(shù)據(jù)庫管理員具有超級權(quán)限���,可以對任意用戶的任意權(quán)限進(jìn)行設(shè)置,一旦數(shù)據(jù)庫管理員的賬號和密碼被竊取��,不法分子可以通過登錄數(shù)據(jù)庫管理員賬號�,對任意用戶的訪問權(quán)限進(jìn)行設(shè)置或創(chuàng)建新的用戶,以盜取數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)�����,因而�����,現(xiàn)有技術(shù)通過數(shù)據(jù)庫管理員對數(shù)據(jù)庫安全進(jìn)行防護(hù)���,數(shù)據(jù)庫的安全性較低��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種數(shù)據(jù)庫安全加固的方法及裝置����,能夠提高數(shù)據(jù)庫的安全性�。
[0006]本發(fā)明實(shí)施例提供了一種數(shù)據(jù)庫安全加固的方法,應(yīng)用于預(yù)先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫�,包括:
[0007]接收當(dāng)前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當(dāng)前數(shù)據(jù)進(jìn)行訪問的訪問請求;
[0008]根據(jù)所述安全管理員預(yù)先創(chuàng)建的強(qiáng)制訪問控制策略�,判斷所述當(dāng)前數(shù)據(jù)是否允許被所述當(dāng)前數(shù)據(jù)庫用戶進(jìn)行訪問;
[0009]如果否���,阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問�����,如果是����,則根據(jù)所述數(shù)據(jù)庫管理員預(yù)先創(chuàng)建的自主訪問控制策略,進(jìn)一步判斷所述當(dāng)前數(shù)據(jù)庫用戶是否具有對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問的權(quán)限�;
[0010]根據(jù)所述進(jìn)一步判斷的判斷結(jié)果,如果是�,允許所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問,否則阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問��。
[0011]優(yōu)選地�����,該方法進(jìn)一步包括:預(yù)先為所述數(shù)據(jù)庫指定審計(jì)管理員�;
[0012]實(shí)時(shí)對所述數(shù)據(jù)庫管理員及所述安全管理員的操作行為進(jìn)行監(jiān)控,根據(jù)所述審計(jì)管理員預(yù)先創(chuàng)建的審計(jì)控制策略�,判斷所述數(shù)據(jù)庫管理員及所述安全管理員是否出現(xiàn)不符合所述審計(jì)控制策略的操作行為,如果是�,發(fā)出警報(bào)信息。
[0013]優(yōu)選地�,所述強(qiáng)制訪問控制策略包括:針對所述數(shù)據(jù)庫中的每一個(gè)數(shù)據(jù),規(guī)定可以對該數(shù)據(jù)進(jìn)行訪問的數(shù)據(jù)庫用戶����,僅規(guī)定范圍內(nèi)的所述數(shù)據(jù)庫用戶才可以對該數(shù)據(jù)進(jìn)行訪問����。
[0014]優(yōu)選地���,所述強(qiáng)制訪問控制策略包括:針對于所述數(shù)據(jù)庫中的每一個(gè)數(shù)據(jù),規(guī)定該數(shù)據(jù)允許被訪問的時(shí)間段��,僅在所述允許被訪問的時(shí)間段內(nèi)才可以對該數(shù)據(jù)進(jìn)行訪問��。
[0015]優(yōu)選的��,所述強(qiáng)制訪問控制策略包括:針對于所述數(shù)據(jù)庫中的每一個(gè)數(shù)據(jù)���,規(guī)定該數(shù)據(jù)允許被訪問的IP地址���,僅在所述允許被訪問的IP地址范圍內(nèi)的IP地址才可以對該數(shù)據(jù)進(jìn)行訪問。
[0016]優(yōu)選地�,所述自主訪問控制策略包括:規(guī)定各個(gè)所述數(shù)據(jù)庫用戶的訪問權(quán)限,針對于每一個(gè)所述數(shù)據(jù)庫用戶��,該數(shù)據(jù)庫用戶僅能夠在其訪問權(quán)限范圍內(nèi)�����,對所述數(shù)據(jù)庫中特定的數(shù)據(jù)進(jìn)行訪問。
[0017]本發(fā)明實(shí)施例還提供了一種數(shù)據(jù)庫安全加固的裝置����,應(yīng)用于預(yù)先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫,包括:接收單元����、第一判斷單元、第二判斷單元及執(zhí)行單元����;
[0018]所述接收單元,用于接收當(dāng)前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當(dāng)前數(shù)據(jù)進(jìn)行訪問的訪問請求;
[0019]所述第一判斷單元�����,用于根據(jù)所述安全管理員預(yù)先創(chuàng)建的強(qiáng)制訪問控制策略�,判斷所述當(dāng)前數(shù)據(jù)是否允許被所述當(dāng)前數(shù)據(jù)庫用戶進(jìn)行訪問;
[0020]所述第二判斷單元���,用于根據(jù)所述第一判斷單元的判斷結(jié)果����,如果是,根據(jù)所述數(shù)據(jù)庫管理員預(yù)先創(chuàng)建的自主訪問控制策略�,進(jìn)一步判斷所述當(dāng)前數(shù)據(jù)庫用戶是否具有對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問的權(quán)限;
[0021 ]所述執(zhí)行單元�,用于根據(jù)所述第二判斷單元的判斷結(jié)果,如果是��,允許所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問��,否則阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問����,并根據(jù)所述第一判斷單元的判斷結(jié)果����,如果否,阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)期數(shù)據(jù)進(jìn)行訪問����。
[0022]優(yōu)選地,該裝置進(jìn)一步包括:審計(jì)單元�����;
[0023]所述數(shù)據(jù)庫包括預(yù)先指定的審計(jì)管理員,由所述審計(jì)管理員預(yù)先創(chuàng)建審計(jì)控制策略�����;
[0024]所述審計(jì)單元�����,用于實(shí)時(shí)對所述數(shù)據(jù)庫管理員及所述安全管理員的操作行為進(jìn)行監(jiān)控�,根據(jù)所述審計(jì)控制策略,判斷所述數(shù)據(jù)庫管理員及所述安全管理員是否出現(xiàn)不符合所述合計(jì)控制策略的操作行為���,如果是�����,發(fā)出警報(bào)信息����。
[0025]優(yōu)選地��,所述第一判斷單元���,用于根據(jù)所述強(qiáng)制訪問控制策略��,獲取可以對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問的數(shù)據(jù)庫用戶�����,判斷所述當(dāng)前數(shù)據(jù)庫用戶是否在所述數(shù)據(jù)庫用戶的范圍內(nèi)�,如果是,相應(yīng)的執(zhí)行下一步判斷操作由所述第二判斷單元對所述訪問請求進(jìn)行進(jìn)一步判斷�,如果否,則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問���。
[0026]優(yōu)選地����,所述第一判斷單元��,用于根據(jù)所述強(qiáng)制訪問控制策略����,獲取所述當(dāng)前數(shù)據(jù)允許被訪問的時(shí)間段���,判斷所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)的訪問時(shí)間是否在所述當(dāng)前數(shù)據(jù)允許被訪問的時(shí)間段內(nèi)���,如果是,由所述第二判斷單元對所述訪問請求進(jìn)行進(jìn)一步判斷,如果否����,則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問。
[0027]優(yōu)選地��,所述第一判斷單元����,用于根據(jù)所述強(qiáng)制訪問控制策略,獲取所述當(dāng)前數(shù)據(jù)庫用戶的IP地址����,判斷所述當(dāng)前數(shù)據(jù)庫用戶的IP地址是否在所述當(dāng)前數(shù)據(jù)允許被訪問的IP地址范圍內(nèi),如果是�����,由所述第二判斷單元對所述訪問請求進(jìn)行進(jìn)一步判斷����,如果否,則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問��。
[0028]優(yōu)選地�����,所述第二判斷單元,用于根據(jù)所述自主訪問控制策略�,獲取所述當(dāng)前數(shù)據(jù)庫用戶的訪問權(quán)限,判斷所述當(dāng)前數(shù)據(jù)庫用戶的訪問權(quán)限范圍內(nèi)是否包括對所述當(dāng)前數(shù)據(jù)的訪問權(quán)限��,如果是����,由所述執(zhí)行單元執(zhí)行所述許所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問,如果否���,則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫用戶對所述當(dāng)前數(shù)據(jù)進(jìn)行訪問����。
[0029]本實(shí)施例提供了一種數(shù)據(jù)庫安全加固的方法及裝置�,為數(shù)據(jù)庫預(yù)先指定數(shù)據(jù)庫管理員及安全管理員����,由數(shù)據(jù)庫管理員預(yù)先創(chuàng)建自主訪問控制策略,由安全管理員預(yù)先創(chuàng)建強(qiáng)制訪問控制策略���,當(dāng)數(shù)據(jù)庫用戶訪問數(shù)據(jù)庫中的數(shù)據(jù)時(shí)��,首先根據(jù)強(qiáng)制訪問控制策略判斷被訪問的數(shù)據(jù)是否允許被該數(shù)據(jù)庫用戶進(jìn)行訪問���,如果是�,進(jìn)一步根據(jù)自主訪問控制策略判斷該數(shù)據(jù)庫用戶是否具有對被訪問數(shù)據(jù)的訪問權(quán)限��,只有當(dāng)兩個(gè)判斷的判斷結(jié)果均為是時(shí)才允許該數(shù)據(jù)庫用戶對被訪問數(shù)據(jù)進(jìn)行訪問���,否則阻止該數(shù)據(jù)庫用戶對被訪問數(shù)據(jù)進(jìn)行訪問��,這樣�,將現(xiàn)有技術(shù)中數(shù)據(jù)庫管理員的權(quán)限削弱�,需要同時(shí)得到數(shù)據(jù)庫管理員與及安全管理員的授權(quán)才能實(shí)現(xiàn)對數(shù)據(jù)的訪問,即使其中一個(gè)管理員的賬號被盜用�����,也不能隨意對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行訪問�,從而提高了數(shù)據(jù)庫的安全性。
【附圖說明】
[0030]圖1是本發(fā)明一個(gè)實(shí)施例提供的一種數(shù)據(jù)庫安全加固的方法流程圖�����;
[0031]圖2是本發(fā)明另一個(gè)實(shí)施例提供的一種數(shù)據(jù)庫安全加固的方法流程圖���;
[0032]圖3是本發(fā)明一個(gè)實(shí)施例提供的一種數(shù)據(jù)庫安全加固的裝置示意圖�。
【具體實(shí)施方式】
[0033]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述。顯然����,所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�����。
[0034]如圖1所示,本發(fā)明一個(gè)實(shí)施例提供了一種數(shù)據(jù)庫安全加固的方法�����,應(yīng)用于預(yù)先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫,包括:
[0035]步驟101:接收當(dāng)前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當(dāng)前數(shù)據(jù)進(jìn)行訪問的訪問請求