[发明专利]一种数据库安全加固的方法及装置

权利要求书

1.一种数据库安全加固的方法，其特征在于，应用于预先指定数据库管 理员及安全管理员的数据库，包括：

接收当前数据库用户对所述数据库中当前数据进行访问的访问请求；

根据所述安全管理员预先创建的强制访问控制策略，判断所述当前数据 是否允许被所述当前数据库用户进行访问；

如果否，阻止所述当前数据库用户对所述当前数据进行访问，如果是， 则根据所述数据库管理员预先创建的自主访问控制策略，进一步判断所述当 前数据库用户是否具有对所述当前数据进行访问的权限；

根据所述进一步判断的判断结果，如果是，允许所述当前数据库用户对 所述当前数据进行访问，否则阻止所述当前数据库用户对所述当前数据进行 访问。

2.根据权利要求1所述的方法，其特征在于，进一步包括：预先为所述 数据库指定审计管理员；

实时对所述数据库管理员及所述安全管理员的操作行为进行监控，根据 所述审计管理员预先创建的审计控制策略，判断所述数据库管理员及所述安 全管理员是否出现不符合所述审计控制策略的操作行为，如果是，发出警报 信息。

3.根据权利要求1所述的方法，其特征在于，

所述强制访问控制策略包括：针对所述数据库中的每一个数据，规定可 以对该数据进行访问的数据库用户，仅规定范围内的所述数据库用户才可以 对该数据进行访问。

4.根据权利要求3所述的方法，其特征在于，

所述强制访问控制策略包括：针对于所述数据库中的每一个数据，规定 该数据允许被访问的时间段，仅在所述允许被访问的时间段内才可以对该数 据进行访问；

和/或，

所述强制访问控制策略包括：针对于所述数据库中的每一个数据，规定 该数据允许被访问的IP地址，仅在所述允许被访问的IP地址范围内的IP地 址才可以对该数据进行访问。

5.根据权利要求1至5中任一所述的方法，其特征在于，

所述自主访问控制策略包括：规定各个所述数据库用户的访问权限，针 对于每一个所述数据库用户，该数据库用户仅能够在其访问权限范围内，对 所述数据库中特定的数据进行访问。

6.一种数据库安全加固的装置，其特征在于，应用于预先指定数据库管 理员及安全管理员的数据库，包括：接收单元、第一判断单元、第二判断单 元及执行单元；

所述接收单元，用于接收当前数据库用户对所述数据库中当前数据进行 访问的访问请求；

所述第一判断单元，用于根据所述安全管理员预先创建的强制访问控制 策略，判断所述当前数据是否允许被所述当前数据库用户进行访问；

所述第二判断单元，用于根据所述第一判断单元的判断结果，如果是， 根据所述数据库管理员预先创建的自主访问控制策略，进一步判断所述当前 数据库用户是否具有对所述当前数据进行访问的权限；

所述执行单元，用于根据所述第二判断单元的判断结果，如果是，允许 所述当前数据库用户对所述当前数据进行访问，否则阻止所述当前数据库用 户对所述当前数据进行访问，并根据所述第一判断单元的判断结果，如果否， 阻止所述当前数据库用户对所述当期数据进行访问。

7.根据权利要求6所述的装置，其特征在于，进一步包括：审计单元；

所述数据库包括预先指定的审计管理员，由所述审计管理员预先创建审 计控制策略；

所述审计单元，用于实时对所述数据库管理员及所述安全管理员的操作 行为进行监控，根据所述审计控制策略，判断所述数据库管理员及所述安全 管理员是否出现不符合所述合计控制策略的操作行为，如果是，发出警报信 息。

8.根据权利要求6所述的装置，其特征在于，

所述第一判断单元，用于根据所述强制访问控制策略，获取可以对所述 当前数据进行访问的数据库用户，判断所述当前数据库用户是否在所述数据 库用户的范围内，如果是，相应的执行下一步判断操作由所述第二判断单元 对所述访问请求进行进一步判断，如果否，则由所述执行单元执行所述阻止 所述当前数据库用户对所述当前数据进行访问。