請求執(zhí)行步驟209���。
[0058]步驟205:根據(jù)強制訪問控制策略,判斷當前數(shù)據(jù)是否允許在當前時間進行訪問,如果是�,執(zhí)行步驟206,否則執(zhí)行步驟209����。
[0059]在本發(fā)明一個實施例中,根據(jù)強制訪問策略對當前數(shù)據(jù)規(guī)定的允許被訪問的時間段是數(shù)據(jù)庫的當前系統(tǒng)時間�����,判斷當前數(shù)據(jù)庫用戶發(fā)起對當前數(shù)據(jù)進行訪問的時間是否在當前數(shù)據(jù)允許被訪問的時間段內(nèi)���,如果是����,執(zhí)行步驟206�����,否則執(zhí)行步驟209�。例如,如果當前數(shù)據(jù)庫用戶對財務(wù)報表I進行訪問的時間為12:00��,由于該訪問時間在財務(wù)報表I允許被訪問的時間段8:00-17:00內(nèi)�����,相應(yīng)的執(zhí)行步驟206�����,如果當前數(shù)據(jù)庫用戶對財務(wù)報表I進行訪問的時間為20:00���,由于該訪問時間不在財務(wù)報表I允許被訪問的時間段8:00-17:00內(nèi)�,相應(yīng)的執(zhí)行步驟209���。
[0060]步驟206:根據(jù)強制訪問控制策略�����,判斷當前數(shù)據(jù)庫用戶的IP地址是否在當前數(shù)據(jù)允許被訪問的IP地址范圍內(nèi)����,如果是����,執(zhí)行步驟207,否則執(zhí)行步驟209���。
[0061]在本發(fā)明一個實施例中�����,根據(jù)強制訪問控制策略�����,獲取當前數(shù)據(jù)允許被訪問的IP地址范圍�����,判斷當前數(shù)據(jù)庫用戶的登錄IP是否在獲取到的IP地址范圍內(nèi)�����,如果是�,說明當前數(shù)據(jù)庫用戶的登錄IP符合要求,相應(yīng)的執(zhí)行步驟207���,否則說明當前數(shù)據(jù)庫用戶的登錄IP不符合要求�����,相應(yīng)的執(zhí)行步驟209�����。例如��,獲取登錄當前數(shù)據(jù)庫用戶賬號客戶端的IP地址���,判斷該IP地址是否為數(shù)據(jù)庫I所屬公司內(nèi)部的IP地址,如果是����,說明當前數(shù)據(jù)庫用戶對財務(wù)報表I的訪問滿足登錄IP地址要求,相應(yīng)的執(zhí)行步驟207���,否則說明當前數(shù)據(jù)庫用戶的登錄IP地址不符合財務(wù)報表對登錄IP地址的要求����,相應(yīng)的執(zhí)行步驟209�����。
[0062]步驟207:根據(jù)自主訪問控制策略����,判斷當前數(shù)據(jù)庫用戶是否具有對當前數(shù)據(jù)進行訪問的權(quán)限����,如果是����,執(zhí)行步驟208,否則執(zhí)行步驟209���。
[0063]在本發(fā)明一個實施例中���,判斷當前數(shù)據(jù)庫用戶的訪問請求滿足強制訪問控制策略后,根據(jù)自主訪問控制策略���,獲取當前數(shù)據(jù)庫用戶具有訪問權(quán)限的所有數(shù)據(jù)���,判斷獲取的所有數(shù)據(jù)中是否具有當前數(shù)據(jù),如果是����,說明當前數(shù)據(jù)庫用戶具有對當前數(shù)據(jù)進行訪問的權(quán)限,相應(yīng)的執(zhí)行步驟208���,否則��,說明當前數(shù)據(jù)庫用戶沒有對當前數(shù)據(jù)進行訪問的權(quán)限���,相應(yīng)的執(zhí)行步驟209��。例如,如果當前數(shù)據(jù)庫用戶為數(shù)據(jù)庫用戶2�����,由于自主訪問控制策略規(guī)定數(shù)據(jù)庫用戶2沒有對財務(wù)報表I進行訪問的權(quán)限�����,相應(yīng)的執(zhí)行步驟209����,如果當前數(shù)據(jù)庫用戶為數(shù)據(jù)庫用戶3,由于自主訪問控制策略規(guī)定數(shù)據(jù)庫用戶3具有對財務(wù)報表I進行訪問的權(quán)限�,相應(yīng)的執(zhí)行步驟208。
[0064]步驟208:允許當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)進行訪問�,并結(jié)束當前流程。
[0065]在本發(fā)明一個實施例�,當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)發(fā)起的訪問請求經(jīng)過步驟204至步驟207的判斷符合強制訪問控制策略及自主訪問控制策略的規(guī)定后,允許當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)進行訪問����。例如��,允許數(shù)據(jù)庫用戶3對數(shù)據(jù)庫I中的財務(wù)報表I進行訪問�����。
[0066]步驟209:阻止當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)進行訪問����。
[0067]在本發(fā)明一個實施例中�,當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)進行訪問時,如果在步驟204至步驟207中任意一個判斷步驟中判斷出當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)的訪問不符合強制訪問控制策略或自主訪問控制策略的規(guī)定����,則阻止當前數(shù)據(jù)庫用戶對當前數(shù)據(jù)進行訪問。例如�����,阻止數(shù)據(jù)庫用戶I和數(shù)據(jù)庫用戶2對數(shù)據(jù)庫I中的財務(wù)報表I進行訪問���。
[0068]需要說明的是���,在數(shù)據(jù)庫運行的過程中���,實時對數(shù)據(jù)庫管理員及安全管理員的操作行為進行監(jiān)控,將數(shù)據(jù)庫管理員及安全管理員的操作行為與審計管理員創(chuàng)建的審計控制策略中規(guī)定的行為進行對比���,如果數(shù)據(jù)庫管理員或安全管理員的操作行為不符合審計控制策略的規(guī)定�����,則發(fā)出報警信息����,由審計管理員及時進行處理�,例如�����,當數(shù)據(jù)庫管理員將權(quán)限授給不合適的數(shù)據(jù)庫用戶���,或者安全管理員臨時取消某些安全規(guī)則��,以方便某些數(shù)據(jù)庫用戶執(zhí)行非法操作時�����,向?qū)徲嫻芾韱T發(fā)出警報��。
[0069]如圖3所示����,本發(fā)明一個實施例提供了一種數(shù)據(jù)庫安全加固的裝置,應(yīng)用于預先指定數(shù)據(jù)庫管理員及安全管理員的數(shù)據(jù)庫�����,包括:接收單元301�、第一判斷單元302、第二判斷單元303及執(zhí)行單元304 ��;
[0070]所述接收單元301�,用于接收當前數(shù)據(jù)庫用戶對所述數(shù)據(jù)庫中當前數(shù)據(jù)進行訪問的訪問請求;
[0071]所述第一判斷單元302���,用于根據(jù)所述安全管理員預先創(chuàng)建的強制訪問控制策略�����,判斷所述當前數(shù)據(jù)是否允許被所述當前數(shù)據(jù)庫用戶進行訪問���;
[0072]所述第二判斷單元303�����,用于根據(jù)所述第一判斷單元302的判斷結(jié)果���,如果是,根據(jù)所述數(shù)據(jù)庫管理員預先創(chuàng)建的自主訪問控制策略��,進一步判斷所述當前數(shù)據(jù)庫用戶是否具有對所述當前數(shù)據(jù)進行訪問的權(quán)限�;
[0073]所述執(zhí)行單元304,用于根據(jù)所述第二判斷單元303的判斷結(jié)果�,如果是,允許所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問����,否則阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問��,并根據(jù)所述第一判斷單元302的判斷結(jié)果����,如果否,阻止所述當前數(shù)據(jù)庫用戶對所述當期數(shù)據(jù)進行訪問���。
[0074]在本發(fā)明一個實施例中�,該裝置進一步包括:審計單元;
[0075]所述數(shù)據(jù)庫包括預先指定的審計管理員���,由所述審計管理員預先創(chuàng)建審計控制策略���;
[0076]所述審計單元,用于實時對所述數(shù)據(jù)庫管理員及所述安全管理員的操作行為進行監(jiān)控���,根據(jù)所述審計控制策略���,判斷所述數(shù)據(jù)庫管理員及所述安全管理員是否出現(xiàn)不符合所述合計控制策略的操作行為,如果是�,發(fā)出警報信息。
[0077]在本發(fā)明一個實施例中����,所述第一判斷單元,用于根據(jù)所述強制訪問控制策略�,獲取可以對所述當前數(shù)據(jù)進行訪問的數(shù)據(jù)庫用戶,判斷所述當前數(shù)據(jù)庫用戶是否在所述數(shù)據(jù)庫用戶的范圍內(nèi)����,如果是,相應(yīng)的執(zhí)行下一步判斷操作由所述第二判斷單元對所述訪問請求進行進一步判斷,如果否��,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問���。
[0078]在本發(fā)明一個實施例中���,所述第一判斷單元,用于根據(jù)所述強制訪問控制策略��,獲取所述當前數(shù)據(jù)允許被訪問的時間段���,判斷所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)的訪問時間是否在所述當前數(shù)據(jù)允許被訪問的時間段內(nèi)����,如果是�����,由所述第二判斷單元對所述訪問請求進行進一步判斷����,如果否����,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問����。
[0079]在本發(fā)明一個實施例中����,所述第一判斷單元,用于根據(jù)所述強制訪問控制策略�����,獲取所述當前數(shù)據(jù)庫用戶的IP地址���,判斷所述當前數(shù)據(jù)庫用戶的IP地址是否在所述當前數(shù)據(jù)允許被訪問的IP地址范圍內(nèi)���,如果是,由所述第二判斷單元對所述訪問請求進行進一步判斷�,如果否,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問�����。
[0080]在本發(fā)明一個實施例中���,所述第二判斷單元�����,用于根據(jù)所述自主訪問控制策略���,獲取所述當前數(shù)據(jù)庫用戶的訪問權(quán)限�����,判斷所述當前數(shù)據(jù)庫用戶的訪問權(quán)限范圍內(nèi)是否包括對所述當前數(shù)據(jù)的訪問權(quán)限��,如果是���,由所述執(zhí)行單元執(zhí)行所述許所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問,如果否�����,則由所述執(zhí)行單元執(zhí)行所述阻止所述當前數(shù)據(jù)庫用戶對所述當前數(shù)據(jù)進行訪問�。
[0081]需要說明的是,上述設(shè)備內(nèi)的各單元之間的信息交互����、執(zhí)行過程等內(nèi)容,由于與本發(fā)明方法實施例基于同一構(gòu)思��,具體內(nèi)容可參見本發(fā)明方法實施例中的敘述����,此處不再贅述。
[0082]根據(jù)上述方案��,本發(fā)明的實施例所提供的一種數(shù)據(jù)庫安全加固的方法及裝置���,至少具有如下有益效果:
[0083]1���、本發(fā)明實施例中,為數(shù)據(jù)庫預先指定數(shù)據(jù)庫管理員及安全管理員���,由數(shù)據(jù)庫管理員預先創(chuàng)建自主訪問控制策略���,由安全管理員預先創(chuàng)建強制訪問控制策略,當數(shù)據(jù)庫用戶訪問數(shù)據(jù)庫中的數(shù)據(jù)時�����,首先根據(jù)強制訪問控制策略判斷被訪問的數(shù)據(jù)是否允許被該數(shù)據(jù)庫用戶進行訪問���,如果是��,進一步根據(jù)自主訪問控制策略判斷該數(shù)據(jù)庫用戶是否具有對被訪問數(shù)據(jù)的訪問權(quán)限�,只有當兩個判斷的判斷結(jié)果均為是時才允許該數(shù)據(jù)庫用戶對被訪問數(shù)據(jù)進行訪問,否則阻止該數(shù)據(jù)庫用戶對被訪問數(shù)據(jù)進行訪問�����,這樣���,將現(xiàn)有技術(shù)中數(shù)據(jù)庫管理員的權(quán)限削弱���,需要同時得到數(shù)據(jù)庫管理員與及安全管理員的授權(quán)才能實現(xiàn)對數(shù)據(jù)的訪問,即使其中一個管理員的賬號被盜用���,也不能隨意對數(shù)據(jù)庫中的數(shù)據(jù)進行訪問��,從而提高了數(shù)據(jù)庫的安全性�。
[0084