���;
[0036]步驟102:根據(jù)所述安全管理員預(yù)先創(chuàng)建的強(qiáng)制訪(fǎng)問(wèn)控制策略,判斷所述當(dāng)前數(shù)據(jù)是否允許被所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)����,如果是,執(zhí)行步驟103��,否則執(zhí)行步驟104;
[0037]步驟103:根據(jù)所述數(shù)據(jù)庫(kù)管理員預(yù)先創(chuàng)建的自主訪(fǎng)問(wèn)控制策略��,進(jìn)一步判斷所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)是否具有對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的權(quán)限����,如果是�����,執(zhí)行步驟105�,否則執(zhí)行步驟104;
[0038]步驟104:阻止所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)�,并結(jié)束當(dāng)前流程;
[0039]步驟105:允許所述當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)所述當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)�����。
[0040]本發(fā)明實(shí)施例提供了一種數(shù)據(jù)庫(kù)安全加固的方法�,為數(shù)據(jù)庫(kù)預(yù)先指定數(shù)據(jù)庫(kù)管理員及安全管理員,由數(shù)據(jù)庫(kù)管理員預(yù)先創(chuàng)建自主訪(fǎng)問(wèn)控制策略����,由安全管理員預(yù)先創(chuàng)建強(qiáng)制訪(fǎng)問(wèn)控制策略,當(dāng)數(shù)據(jù)庫(kù)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí)���,首先根據(jù)強(qiáng)制訪(fǎng)問(wèn)控制策略判斷被訪(fǎng)問(wèn)的數(shù)據(jù)是否允許被該數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)���,如果是,進(jìn)一步根據(jù)自主訪(fǎng)問(wèn)控制策略判斷該數(shù)據(jù)庫(kù)用戶(hù)是否具有對(duì)被訪(fǎng)問(wèn)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限�����,只有當(dāng)兩個(gè)判斷的判斷結(jié)果均為是時(shí)才允許該數(shù)據(jù)庫(kù)用戶(hù)對(duì)被訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn),否則阻止該數(shù)據(jù)庫(kù)用戶(hù)對(duì)被訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)����,這樣,將現(xiàn)有技術(shù)中數(shù)據(jù)庫(kù)管理員的權(quán)限削弱���,需要同時(shí)得到數(shù)據(jù)庫(kù)管理員與及安全管理員的授權(quán)才能實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)�,即使其中一個(gè)管理員的賬號(hào)被盜用���,也不能隨意對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn),從而提高了數(shù)據(jù)庫(kù)的安全性����。
[0041]在本發(fā)明一個(gè)實(shí)施例中,數(shù)據(jù)庫(kù)還包括預(yù)先指定的審計(jì)管理員���,由審計(jì)管理員預(yù)先創(chuàng)建審計(jì)控制策略�,在數(shù)據(jù)庫(kù)運(yùn)行過(guò)程中�����,實(shí)時(shí)對(duì)數(shù)據(jù)庫(kù)管理員及安全管理員的操作行為進(jìn)行監(jiān)控,將監(jiān)控?cái)?shù)據(jù)與設(shè)計(jì)管理員創(chuàng)建的設(shè)計(jì)控制策略進(jìn)行對(duì)比����,判斷數(shù)據(jù)庫(kù)管理員及安全管理員是否出現(xiàn)不符合設(shè)計(jì)控制策略的異常操作行文,如果是�����,則發(fā)出警報(bào)信息�,這樣審計(jì)管理員可以及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)管理員及安全管理員的異常操作行為,相應(yīng)的采取對(duì)應(yīng)的補(bǔ)救措施���,避免造成更大的損失���,進(jìn)一步提高了數(shù)據(jù)庫(kù)的安全性。
[0042]在本發(fā)明一個(gè)實(shí)施例中���,強(qiáng)制訪(fǎng)問(wèn)控制策略可以對(duì)數(shù)據(jù)庫(kù)中的每一個(gè)數(shù)據(jù)規(guī)定可以訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)用戶(hù)�����,當(dāng)接收到對(duì)數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求后����,首先獲取強(qiáng)制訪(fǎng)問(wèn)控制策略規(guī)定的可以對(duì)該數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)用戶(hù)范圍,判斷該數(shù)據(jù)庫(kù)用戶(hù)范圍內(nèi)是否包括發(fā)起該訪(fǎng)問(wèn)請(qǐng)求的數(shù)據(jù)庫(kù)用戶(hù)��,如果是���,針對(duì)該訪(fǎng)問(wèn)請(qǐng)求執(zhí)行下一步的判斷過(guò)程��,如果否���,直接阻止該訪(fǎng)問(wèn)請(qǐng)求的訪(fǎng)問(wèn)行為,這樣��,通過(guò)強(qiáng)制訪(fǎng)問(wèn)控制策略為數(shù)據(jù)庫(kù)中的數(shù)據(jù)規(guī)定可以進(jìn)行訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)用戶(hù)�����,在文件層面實(shí)現(xiàn)訪(fǎng)問(wèn)權(quán)限的分配��,無(wú)需針對(duì)一個(gè)數(shù)據(jù)對(duì)每一個(gè)數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)置����,提高了數(shù)據(jù)庫(kù)權(quán)限管理的效率�。
[0043]在本發(fā)明一個(gè)實(shí)施例中,強(qiáng)制訪(fǎng)問(wèn)控制策略可以對(duì)數(shù)據(jù)庫(kù)中每一個(gè)數(shù)據(jù)規(guī)定允許訪(fǎng)問(wèn)的時(shí)間段���,當(dāng)接收到對(duì)數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求后��,根據(jù)數(shù)據(jù)庫(kù)的系統(tǒng)時(shí)間��,判斷該訪(fǎng)問(wèn)請(qǐng)求發(fā)起的時(shí)間是否在強(qiáng)制訪(fǎng)問(wèn)控制策略規(guī)定的允許訪(fǎng)問(wèn)的時(shí)間段內(nèi)�����,如果是����,針對(duì)該訪(fǎng)問(wèn)請(qǐng)求執(zhí)行下一步的判斷操作,如果否����,直接阻止該訪(fǎng)問(wèn)請(qǐng)求的訪(fǎng)問(wèn)行為,這樣����,針對(duì)某些特殊的數(shù)據(jù),可以靈活的規(guī)定其允許被訪(fǎng)問(wèn)的時(shí)間段�,以達(dá)到對(duì)數(shù)據(jù)進(jìn)行控制及保護(hù)的目的,提高了配置數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限的靈活性����。
[0044]在本發(fā)明一個(gè)實(shí)施例中�����,強(qiáng)制訪(fǎng)問(wèn)控制策略可以對(duì)數(shù)據(jù)庫(kù)中的每一個(gè)數(shù)據(jù)規(guī)定可以訪(fǎng)問(wèn)的IP地址�,當(dāng)接收到對(duì)數(shù)據(jù)庫(kù)中的一個(gè)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求后�,獲取發(fā)起該訪(fǎng)問(wèn)請(qǐng)求的數(shù)據(jù)庫(kù)用戶(hù)的IP地址,判斷該IP地址是否在強(qiáng)制訪(fǎng)問(wèn)控制策略規(guī)定的可以對(duì)該被訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的IP地址范圍內(nèi)����,如果是,針對(duì)該訪(fǎng)問(wèn)請(qǐng)求執(zhí)行下一步的判斷操作����,如果否,直接阻止該訪(fǎng)問(wèn)請(qǐng)求的訪(fǎng)問(wèn)行為��,這樣�����,可以對(duì)訪(fǎng)問(wèn)數(shù)據(jù)的數(shù)據(jù)庫(kù)用戶(hù)的登錄客戶(hù)端進(jìn)行限制����,以將訪(fǎng)問(wèn)權(quán)限授予特定IP地址范圍或特定區(qū)域的數(shù)據(jù)庫(kù)用戶(hù),以達(dá)到對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限的靈活配置���。
[0045]在本發(fā)明一個(gè)實(shí)施例中�����,自主訪(fǎng)問(wèn)控制策略可以對(duì)各個(gè)數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行限制�����,數(shù)據(jù)庫(kù)管理員通過(guò)自主訪(fǎng)問(wèn)控制策略分別對(duì)每一個(gè)數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行設(shè)定�,當(dāng)數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求通過(guò)強(qiáng)制訪(fǎng)問(wèn)控制策略的判斷����,當(dāng)前數(shù)據(jù)允許當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)后,根據(jù)自主訪(fǎng)問(wèn)控制策略為當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)配置的訪(fǎng)問(wèn)權(quán)限���,判斷當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)是否具有對(duì)當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的權(quán)限���,如果有,則當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)可以對(duì)當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)�����,否則當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求將被阻止,這樣�,通過(guò)自主訪(fǎng)問(wèn)控制策略可以單獨(dú)為每一個(gè)數(shù)據(jù)庫(kù)用戶(hù)設(shè)置訪(fǎng)問(wèn)權(quán)限,以靈活的配置數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)權(quán)限�����。
[0046]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述�。
[0047]如圖2所示,本發(fā)明一個(gè)實(shí)施例提供了一種數(shù)據(jù)庫(kù)安全加固的方法�����,包括:
[0048]步驟201:為數(shù)據(jù)庫(kù)指定數(shù)據(jù)庫(kù)管理員�、安全管理員及審計(jì)管理員。
[0049]在本發(fā)明一個(gè)實(shí)施例中����,創(chuàng)建數(shù)據(jù)庫(kù)管理員賬號(hào)、安全管理員賬號(hào)及審計(jì)管理員賬號(hào)����,將對(duì)應(yīng)的賬號(hào)分配給對(duì)應(yīng)的管理人員����,從而為數(shù)據(jù)庫(kù)指定數(shù)據(jù)庫(kù)管理員��、安全管理員及審計(jì)管理員����,數(shù)據(jù)庫(kù)管理員可以對(duì)數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限進(jìn)行管理�����,并對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行維護(hù)���、更新及備份等操作����,安全管理員對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)配置訪(fǎng)問(wèn)權(quán)限���,并負(fù)責(zé)數(shù)據(jù)庫(kù)新用戶(hù)的創(chuàng)建�����,審計(jì)管理員對(duì)數(shù)據(jù)庫(kù)管理員及安全管理員的操作行為進(jìn)行監(jiān)控�����,判斷是否出現(xiàn)不符合法規(guī)或內(nèi)部控制要求的操作行為��。
[0050]步驟202:數(shù)據(jù)庫(kù)管理員創(chuàng)建自主訪(fǎng)問(wèn)控制策略�,安全管理員創(chuàng)建強(qiáng)制訪(fǎng)問(wèn)控制策略,審計(jì)管理員創(chuàng)建審計(jì)控制策略�����。
[0051]在本發(fā)明一個(gè)實(shí)施例中����,數(shù)據(jù)庫(kù)管理員通過(guò)分配的數(shù)據(jù)庫(kù)管理員賬號(hào)登錄數(shù)據(jù)庫(kù),對(duì)數(shù)據(jù)庫(kù)創(chuàng)建自主訪(fǎng)問(wèn)控制策略���,其中自主訪(fǎng)問(wèn)控制策略規(guī)定了每一個(gè)數(shù)據(jù)庫(kù)用戶(hù)的訪(fǎng)問(wèn)權(quán)限�,訪(fǎng)問(wèn)權(quán)限包括可以訪(fǎng)問(wèn)的數(shù)據(jù)以及對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)形式����。例如,數(shù)據(jù)庫(kù)I具有3個(gè)數(shù)據(jù)庫(kù)用戶(hù)�,分別為數(shù)據(jù)庫(kù)用戶(hù)1、數(shù)據(jù)庫(kù)用戶(hù)2及數(shù)據(jù)庫(kù)用戶(hù)3���,通過(guò)自主訪(fǎng)問(wèn)控制策略�����,規(guī)定數(shù)據(jù)庫(kù)用戶(hù)I和數(shù)據(jù)庫(kù)用戶(hù)3具有對(duì)數(shù)據(jù)庫(kù)I中的財(cái)務(wù)報(bào)表I進(jìn)行訪(fǎng)問(wèn)的權(quán)限�����,并規(guī)定數(shù)據(jù)庫(kù)用戶(hù)2沒(méi)有對(duì)數(shù)據(jù)庫(kù)I中的財(cái)務(wù)報(bào)表I進(jìn)行訪(fǎng)問(wèn)的權(quán)限��。
[0052]安全管理員通過(guò)分配的安全管理員賬號(hào)登錄數(shù)據(jù)庫(kù)�����,對(duì)數(shù)據(jù)庫(kù)創(chuàng)建強(qiáng)制訪(fǎng)問(wèn)控制策略��,其中強(qiáng)制訪(fǎng)問(wèn)控制策略對(duì)數(shù)據(jù)庫(kù)中的每一個(gè)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行限定�,包括可以對(duì)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)用戶(hù)�����、可以對(duì)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的時(shí)間段及可以對(duì)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的IP地址中的任意一項(xiàng)或多項(xiàng)�。例如,針對(duì)于數(shù)據(jù)庫(kù)I中的財(cái)務(wù)報(bào)表I����,通過(guò)強(qiáng)制訪(fǎng)問(wèn)控制策略規(guī)定財(cái)務(wù)報(bào)表I可以被數(shù)據(jù)庫(kù)用戶(hù)I和數(shù)據(jù)庫(kù)用戶(hù)3進(jìn)行訪(fǎng)問(wèn)����,不可以被數(shù)據(jù)庫(kù)用戶(hù)I進(jìn)行訪(fǎng)問(wèn)��,并規(guī)定財(cái)務(wù)報(bào)表I僅能夠在每天的8:00-17:00被訪(fǎng)問(wèn)��,而且發(fā)出訪(fǎng)問(wèn)請(qǐng)求的數(shù)據(jù)庫(kù)用戶(hù)的IP必須為公司內(nèi)部IP地址�。
[0053]審計(jì)管理員通過(guò)分配的審計(jì)管理員賬號(hào)登錄數(shù)據(jù)庫(kù),對(duì)數(shù)據(jù)庫(kù)創(chuàng)建審計(jì)控制策略����,其中審計(jì)控制策略規(guī)定了數(shù)據(jù)庫(kù)管理員及安全管理員對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作的規(guī)范。例如��,設(shè)計(jì)控制策略規(guī)定了數(shù)據(jù)庫(kù)管理員對(duì)自主訪(fǎng)問(wèn)控制策略進(jìn)行修改的標(biāo)準(zhǔn)以及安全管理員對(duì)強(qiáng)制訪(fǎng)問(wèn)控制策略的進(jìn)行修改的標(biāo)準(zhǔn)�。
[0054]步驟203:接收當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求。
[0055]在本發(fā)明一個(gè)實(shí)施例中�,當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)數(shù)據(jù)庫(kù)中的當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)時(shí),接收當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)發(fā)送的訪(fǎng)問(wèn)請(qǐng)求信息���,從該訪(fǎng)問(wèn)請(qǐng)求信息中獲取當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)要訪(fǎng)問(wèn)的當(dāng)前數(shù)據(jù)����、當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)的IP地址及訪(fǎng)問(wèn)時(shí)間。
[0056]步驟204:根據(jù)強(qiáng)制訪(fǎng)問(wèn)控制策略���,判斷當(dāng)前數(shù)據(jù)是否允許被當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)訪(fǎng)問(wèn)��,如果是���,執(zhí)行步驟205,否則執(zhí)行步驟209���。
[0057]在本發(fā)明一個(gè)實(shí)施例中,當(dāng)接收到當(dāng)前數(shù)據(jù)庫(kù)對(duì)當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求后��,根據(jù)強(qiáng)制訪(fǎng)問(wèn)控制策略����,獲取可以對(duì)當(dāng)前數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)用戶(hù)名單,判斷獲取到的數(shù)據(jù)庫(kù)用戶(hù)名單中是否包括當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)���,如果包括���,說(shuō)明當(dāng)前數(shù)據(jù)允許當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn),相應(yīng)的執(zhí)行步驟205,否則說(shuō)明當(dāng)前數(shù)據(jù)不允許當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行訪(fǎng)問(wèn)�,相應(yīng)的執(zhí)行步驟209。例如����,接收到當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)對(duì)數(shù)據(jù)庫(kù)I中的財(cái)務(wù)報(bào)表I進(jìn)行訪(fǎng)問(wèn)的訪(fǎng)問(wèn)請(qǐng)求后,如果當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)為數(shù)據(jù)庫(kù)用戶(hù)2或數(shù)據(jù)庫(kù)用戶(hù)3���,由于強(qiáng)制訪(fǎng)問(wèn)控制策略中規(guī)定財(cái)務(wù)報(bào)表I可以被數(shù)據(jù)庫(kù)用戶(hù)2或數(shù)據(jù)庫(kù)用戶(hù)3進(jìn)行訪(fǎng)問(wèn)�����,針對(duì)數(shù)據(jù)庫(kù)用戶(hù)2或數(shù)據(jù)庫(kù)用戶(hù)3對(duì)財(cái)務(wù)報(bào)表I的訪(fǎng)問(wèn)請(qǐng)求執(zhí)行步驟205����,如果當(dāng)前數(shù)據(jù)庫(kù)用為數(shù)據(jù)庫(kù)用戶(hù)I��,由于強(qiáng)制訪(fǎng)問(wèn)控制策略規(guī)定財(cái)務(wù)報(bào)表I不可以被數(shù)據(jù)庫(kù)用戶(hù)I進(jìn)行訪(fǎng)問(wèn)�����,針對(duì)數(shù)據(jù)庫(kù)用戶(hù)I對(duì)財(cái)務(wù)報(bào)表I的訪(fǎng)問(wèn)