一種數(shù)據(jù)庫(kù)安全加固的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，特別涉及一種數(shù)據(jù)庫(kù)安全加固的方法及裝置。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展與進(jìn)步，計(jì)算機(jī)數(shù)據(jù)的量越來(lái)越多，為了更好地對(duì)各類(lèi)數(shù)據(jù)進(jìn)行管理和利用，數(shù)據(jù)庫(kù)運(yùn)應(yīng)而生，通過(guò)大容量存儲(chǔ)設(shè)備對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行分類(lèi)存儲(chǔ)，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)共享給多個(gè)用戶(hù)進(jìn)行使用，大大提高了對(duì)計(jì)算機(jī)數(shù)據(jù)的管理力度，同時(shí)為用戶(hù)提供了很大的方便。數(shù)據(jù)庫(kù)作為一個(gè)大容量的存儲(chǔ)設(shè)備，存儲(chǔ)著很多的數(shù)據(jù)，用戶(hù)的惡意訪(fǎng)問(wèn)行為很可能造成其他用戶(hù)的重要數(shù)據(jù)泄露，給用戶(hù)造成巨大的損失。
[0003]目前，為了限制數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)行為，避免數(shù)據(jù)庫(kù)中重要數(shù)據(jù)發(fā)生泄露，提高數(shù)據(jù)庫(kù)的安全性，一般由數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置，只有得到數(shù)據(jù)庫(kù)管理員的授權(quán)后，用戶(hù)才能夠訪(fǎng)問(wèn)特定的數(shù)據(jù)，否則用戶(hù)沒(méi)有訪(fǎng)問(wèn)的權(quán)限。
[0004]針對(duì)于現(xiàn)有技術(shù)對(duì)數(shù)據(jù)庫(kù)用戶(hù)訪(fǎng)問(wèn)權(quán)限進(jìn)行管理以提高數(shù)據(jù)庫(kù)安全性的方法，由于數(shù)據(jù)庫(kù)管理員具有超級(jí)權(quán)限，可以對(duì)任意用戶(hù)的任意權(quán)限進(jìn)行設(shè)置，一旦數(shù)據(jù)庫(kù)管理員的賬號(hào)和密碼被竊取，不法分子可以通過(guò)登錄數(shù)據(jù)庫(kù)管理員賬號(hào)，對(duì)任意用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置或創(chuàng)建新的用戶(hù)，以盜取數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)，因而，現(xiàn)有技術(shù)通過(guò)數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)庫(kù)安全進(jìn)行防護(hù)，數(shù)據(jù)庫(kù)的安全性較低。

【發(fā)明內(nèi)容】

[0005]本發(fā)明提供一種數(shù)據(jù)庫(kù)安全加固的方法及裝置，能夠提高數(shù)據(jù)庫(kù)的安全性。
[0006]本發(fā)明實(shí)施例提供了一種數(shù)據(jù)庫(kù)安全加固的方法，應(yīng)用于預(yù)先指定數(shù)據(jù)庫(kù)管理員及安全管理員的數(shù)據(jù)庫(kù)，包括:
[0007]接收當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述數(shù)據(jù)庫(kù)中當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求；
[0008]根據(jù)所述安全管理員預(yù)先創(chuàng)建的強(qiáng)制訪(fǎng)問(wèn)控制策略，判斷所述當(dāng)前數(shù)據(jù)是否允許被所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)；
[0009]如果否，阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，如果是，則根據(jù)所述數(shù)據(jù)庫(kù)管理員預(yù)先創(chuàng)建的自主訪(fǎng)問(wèn)控制策略，進(jìn)一步判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)是否具有對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的權(quán)限；
[0010]根據(jù)所述進(jìn)一步判斷的判斷結(jié)果，如果是，允許所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，否則阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0011]優(yōu)選地，該方法進(jìn)一步包括:預(yù)先為所述數(shù)據(jù)庫(kù)指定審計(jì)管理員；
[0012]實(shí)時(shí)對(duì)所述數(shù)據(jù)庫(kù)管理員及所述安全管理員的操作行為進(jìn)行監(jiān)控，根據(jù)所述審計(jì)管理員預(yù)先創(chuàng)建的審計(jì)控制策略，判斷所述數(shù)據(jù)庫(kù)管理員及所述安全管理員是否出現(xiàn)不符合所述審計(jì)控制策略的操作行為，如果是，發(fā)出警報(bào)信息。
[0013]優(yōu)選地，所述強(qiáng)制訪(fǎng)問(wèn)控制策略包括:針對(duì)所述數(shù)據(jù)庫(kù)中的每一個(gè)數(shù)據(jù)，規(guī)定可以對(duì)該數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)用戶(hù)，僅規(guī)定范圍內(nèi)的所述數(shù)據(jù)庫(kù)用戶(hù)才可以對(duì)該數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0014]優(yōu)選地，所述強(qiáng)制訪(fǎng)問(wèn)控制策略包括:針對(duì)于所述數(shù)據(jù)庫(kù)中的每一個(gè)數(shù)據(jù)，規(guī)定該數(shù)據(jù)允許被訪(fǎng)問(wèn)的時(shí)間段，僅在所述允許被訪(fǎng)問(wèn)的時(shí)間段內(nèi)才可以對(duì)該數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0015]優(yōu)選的，所述強(qiáng)制訪(fǎng)問(wèn)控制策略包括:針對(duì)于所述數(shù)據(jù)庫(kù)中的每一個(gè)數(shù)據(jù)，規(guī)定該數(shù)據(jù)允許被訪(fǎng)問(wèn)的IP地址，僅在所述允許被訪(fǎng)問(wèn)的IP地址范圍內(nèi)的IP地址才可以對(duì)該數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0016]優(yōu)選地，所述自主訪(fǎng)問(wèn)控制策略包括:規(guī)定各個(gè)所述數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限，針對(duì)于每一個(gè)所述數(shù)據(jù)庫(kù)用戶(hù)，該數(shù)據(jù)庫(kù)用戶(hù)僅能夠在其訪(fǎng)問(wèn)權(quán)限范圍內(nèi)，對(duì)所述數(shù)據(jù)庫(kù)中特定的數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0017]本發(fā)明實(shí)施例還提供了一種數(shù)據(jù)庫(kù)安全加固的裝置，應(yīng)用于預(yù)先指定數(shù)據(jù)庫(kù)管理員及安全管理員的數(shù)據(jù)庫(kù)，包括:接收單元、第一判斷單元、第二判斷單元及執(zhí)行單元；
[0018]所述接收單元，用于接收當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述數(shù)據(jù)庫(kù)中當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求;
[0019]所述第一判斷單元，用于根據(jù)所述安全管理員預(yù)先創(chuàng)建的強(qiáng)制訪(fǎng)問(wèn)控制策略，判斷所述當(dāng)前數(shù)據(jù)是否允許被所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)；
[0020]所述第二判斷單元，用于根據(jù)所述第一判斷單元的判斷結(jié)果，如果是，根據(jù)所述數(shù)據(jù)庫(kù)管理員預(yù)先創(chuàng)建的自主訪(fǎng)問(wèn)控制策略，進(jìn)一步判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)是否具有對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的權(quán)限；
[0021 ]所述執(zhí)行單元，用于根據(jù)所述第二判斷單元的判斷結(jié)果，如果是，允許所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，否則阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，并根據(jù)所述第一判斷單元的判斷結(jié)果，如果否，阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)期數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0022]優(yōu)選地，該裝置進(jìn)一步包括:審計(jì)單元；
[0023]所述數(shù)據(jù)庫(kù)包括預(yù)先指定的審計(jì)管理員，由所述審計(jì)管理員預(yù)先創(chuàng)建審計(jì)控制策略；
[0024]所述審計(jì)單元，用于實(shí)時(shí)對(duì)所述數(shù)據(jù)庫(kù)管理員及所述安全管理員的操作行為進(jìn)行監(jiān)控，根據(jù)所述審計(jì)控制策略，判斷所述數(shù)據(jù)庫(kù)管理員及所述安全管理員是否出現(xiàn)不符合所述合計(jì)控制策略的操作行為，如果是，發(fā)出警報(bào)信息。
[0025]優(yōu)選地，所述第一判斷單元，用于根據(jù)所述強(qiáng)制訪(fǎng)問(wèn)控制策略，獲取可以對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)用戶(hù)，判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)是否在所述數(shù)據(jù)庫(kù)用戶(hù)的范圍內(nèi)，如果是，相應(yīng)的執(zhí)行下一步判斷操作由所述第二判斷單元對(duì)所述訪(fǎng)問(wèn)請(qǐng)求進(jìn)行進(jìn)一步判斷，如果否，則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0026]優(yōu)選地，所述第一判斷單元，用于根據(jù)所述強(qiáng)制訪(fǎng)問(wèn)控制策略，獲取所述當(dāng)前數(shù)據(jù)允許被訪(fǎng)問(wèn)的時(shí)間段，判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)的訪(fǎng)問(wèn)時(shí)間是否在所述當(dāng)前數(shù)據(jù)允許被訪(fǎng)問(wèn)的時(shí)間段內(nèi)，如果是，由所述第二判斷單元對(duì)所述訪(fǎng)問(wèn)請(qǐng)求進(jìn)行進(jìn)一步判斷，如果否，則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0027]優(yōu)選地，所述第一判斷單元，用于根據(jù)所述強(qiáng)制訪(fǎng)問(wèn)控制策略，獲取所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)的IP地址，判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)的IP地址是否在所述當(dāng)前數(shù)據(jù)允許被訪(fǎng)問(wèn)的IP地址范圍內(nèi)，如果是，由所述第二判斷單元對(duì)所述訪(fǎng)問(wèn)請(qǐng)求進(jìn)行進(jìn)一步判斷，如果否，則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0028]優(yōu)選地，所述第二判斷單元，用于根據(jù)所述自主訪(fǎng)問(wèn)控制策略，獲取所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限，判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限范圍內(nèi)是否包括對(duì)所述當(dāng)前數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限，如果是，由所述執(zhí)行單元執(zhí)行所述許所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，如果否，則由所述執(zhí)行單元執(zhí)行所述阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)。
[0029]本實(shí)施例提供了一種數(shù)據(jù)庫(kù)安全加固的方法及裝置，為數(shù)據(jù)庫(kù)預(yù)先指定數(shù)據(jù)庫(kù)管理員及安全管理員，由數(shù)據(jù)庫(kù)管理員預(yù)先創(chuàng)建自主訪(fǎng)問(wèn)控制策略，由安全管理員預(yù)先創(chuàng)建強(qiáng)制訪(fǎng)問(wèn)控制策略，當(dāng)數(shù)據(jù)庫(kù)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí)，首先根據(jù)強(qiáng)制訪(fǎng)問(wèn)控制策略判斷被訪(fǎng)問(wèn)的數(shù)據(jù)是否允許被該數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)，如果是，進(jìn)一步根據(jù)自主訪(fǎng)問(wèn)控制策略判斷該數(shù)據(jù)庫(kù)用戶(hù)是否具有對(duì)被訪(fǎng)問(wèn)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限，只有當(dāng)兩個(gè)判斷的判斷結(jié)果均為是時(shí)才允許該數(shù)據(jù)庫(kù)用戶(hù)對(duì)被訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，否則阻止該數(shù)據(jù)庫(kù)用戶(hù)對(duì)被訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，這樣，將現(xiàn)有技術(shù)中數(shù)據(jù)庫(kù)管理員的權(quán)限削弱，需要同時(shí)得到數(shù)據(jù)庫(kù)管理員與及安全管理員的授權(quán)才能實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)，即使其中一個(gè)管理員的賬號(hào)被盜用，也不能隨意對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)，從而提高了數(shù)據(jù)庫(kù)的安全性。
【附圖說(shuō)明】
[0030]圖1是本發(fā)明一個(gè)實(shí)施例提供的一種數(shù)據(jù)庫(kù)安全加固的方法流程圖；
[0031]圖2是本發(fā)明另一個(gè)實(shí)施例提供的一種數(shù)據(jù)庫(kù)安全加固的方法流程圖；
[0032]圖3是本發(fā)明一個(gè)實(shí)施例提供的一種數(shù)據(jù)庫(kù)安全加固的裝置示意圖。
【具體實(shí)施方式】
[0033]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述。顯然，所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0034]如圖1所示，本發(fā)明一個(gè)實(shí)施例提供了一種數(shù)據(jù)庫(kù)安全加固的方法，應(yīng)用于預(yù)先指定數(shù)據(jù)庫(kù)管理員及安全管理員的數(shù)據(jù)庫(kù)，包括:
[0035]步驟101:接收當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述數(shù)據(jù)庫(kù)中當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求