[发明专利]一种对数据库管理员权限进行控制的方法

说明书

技术领域

本发明涉及一种数据库管理员权限控制方法，尤其涉及一种通过转移自主访问控制归属和受限管理员权限模式实现的数据库管理员权限控制方法，属于数据库安全技术领域。

背景技术

在通常的数据库系统中，管理员拥有以下权限：

启动或停止非安全相关的系统功能

实现对系统中基本资源的管理，例如：表空间、数据库管理等

管理自主存取控制的权限

●普通用户的创建和管理

●角色的创建和管理

●GRANT(授权)和REVOKE(撤销授权)语句

具有普通用户创建各种对象的能力

而数据库安全员拥有以下权限：

启动和停止强制存取控制功能

创建、删除、应用或移除策略

创建、删除标签

授予和回收强制存取控制的特权

管理默认安全员的用户属性，例如：密码

创建和管理其它安全员

对于数据库管理员而言，其拥有的操作特权越多，受到的访问限制越少。一旦出现账号泄露的情况，造成的损失也越大。因此，通过合理限制数据库管理员的权限，能够有效减少数据库管理中的不安全因素。

在申请号为200610019230.8的中国发明专利申请中，公开了一种应用于数据库安全管理的三权分立安全方法，其特点是：把数据库管理员分为数据库管理员、数据库审计员和数据库安全员三类，其中数据库管理员完成自主存取控制、系统维护及管理，数据库审计员完成系统的审计，而数据库安全员完成系统的安全(标记)管理。该方法实现了数据库系统权限的三权分立，对应这三个权限的系统管理员之间分工明确，各司其责，既相互制约又相互配合，共同实现数据库的安全管理功能。这种体系结构不仅解决了国内外数据库产品中存在的系统权限过于集中的问题，同时也实现了国家标准中所要求的强制访问控制功能，进一步提高了系统的安全性。

在没有采用三权分立的数据库系统中，数据库管理员拥有极大的权限，从另一个角度说也带来了无尽的隐患。一旦账号泄密，则数据库所有的安全保障都不复存在。因此对于数据库系统的安全管理来说，对数据库管理员进行一定程度的权限控制是非常必要的。另一方面，数据库管理员对数据库中各种对象的无限制访问，通常也会带来安全隐患。通过限制数据库管理员对私有对象的访问，从而减少安全隐患的发生也是非常有必要的。

发明内容

本发明所要解决的技术问题在于提供一种对数据库管理员权限进行控制的方法。利用该方法可以使数据库管理员不再对普通用户的私有对象具有访问和操作的权限。

为实现上述的发明目的，本发明采用下述的技术方案：

一种对数据库管理员权限进行控制的方法，其特征在于包括如下步骤：

步骤1：通过权限控制接口，对数据库管理员是否为受限状态进行设置；

步骤2：设置数据库管理员运行状态；

步骤3：将数据库管理员的运行状态保存成为一个布尔值，如果该值为真，则表示数据库管理员运行于不能访问私有对象的受限模式；如果该值为假，则表示数据库管理员运行于权限开放模式。

其中较优地，所述步骤2中，通过增加SQL语句设置数据库管理员运行状态。

其中较优地，在所述步骤3中，通过对所述SQL语句进行解析和执行，将数据库管理员的运行状态保存成为布尔值。

其中较优地，在对数据库管理员的权限操作中，通过固定的API去查询数据库管理员的权限状态。

其中较优地，将所述API的返回值与反映数据库管理员运行状态的所述布尔值进行与操作，判断出所述数据库管理员当前是否有权限执行相关的操作。

其中较优地，进行自主访问控制权限查询时，如果是数据库安全员则继续执行；如果是数据库管理员则结束执行。

其中较优地，所述自主访问控制通过SQL语句的方式进行设置。

本发明对数据库管理员的权限进行了重新界定，使数据库管理员不再必然拥有自主访问控制权限和对普通用户的私有对象进行访问和操作的权限，从而有效减少了安全隐患的发生，进一步改善了数据库系统的安全性能。

附图说明

下面结合附图和具体实施方式对本发明作进一步的详细说明。

图1为本发明中设置自主访问控制权限的示意图；

图2为本发明中设置数据库管理员访问私有对象权限的示意图；

图3为本发明中，数据库管理员访问私有对象的操作流程图。