[发明专利]一种数据库安全加固的方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别涉及一种数据库安全加固的方法 及装置。

背景技术

随着计算机技术的不断发展与进步，计算机数据的量越来越多，为了更 好地对各类数据进行管理和利用，数据库运应而生，通过大容量存储设备对 计算机数据进行分类存储，将数据库中的数据共享给多个用户进行使用，大 大提高了对计算机数据的管理力度，同时为用户提供了很大的方便。数据库 作为一个大容量的存储设备，存储着很多的数据，用户的恶意访问行为很可 能造成其他用户的重要数据泄露，给用户造成巨大的损失。

目前，为了限制数据库用户的访问行为，避免数据库中重要数据发生泄 露，提高数据库的安全性，一般由数据库管理员对数据库用户的访问权限进 行设置，只有得到数据库管理员的授权后，用户才能够访问特定的数据，否 则用户没有访问的权限。

针对于现有技术对数据库用户访问权限进行管理以提高数据库安全性的 方法，由于数据库管理员具有超级权限，可以对任意用户的任意权限进行设 置，一旦数据库管理员的账号和密码被窃取，不法分子可以通过登录数据库 管理员账号，对任意用户的访问权限进行设置或创建新的用户，以盗取数据 库中存储的数据，因而，现有技术通过数据库管理员对数据库安全进行防护， 数据库的安全性较低。

发明内容

本发明提供一种数据库安全加固的方法及装置，能够提高数据库的安全 性。

本发明实施例提供了一种数据库安全加固的方法，应用于预先指定数据 库管理员及安全管理员的数据库，包括：

接收当前数据库用户对所述数据库中当前数据进行访问的访问请求；

根据所述安全管理员预先创建的强制访问控制策略，判断所述当前数据 是否允许被所述当前数据库用户进行访问；

如果否，阻止所述当前数据库用户对所述当前数据进行访问，如果是， 则根据所述数据库管理员预先创建的自主访问控制策略，进一步判断所述当 前数据库用户是否具有对所述当前数据进行访问的权限；

根据所述进一步判断的判断结果，如果是，允许所述当前数据库用户对 所述当前数据进行访问，否则阻止所述当前数据库用户对所述当前数据进行 访问。

优选地，该方法进一步包括：预先为所述数据库指定审计管理员；

实时对所述数据库管理员及所述安全管理员的操作行为进行监控，根据 所述审计管理员预先创建的审计控制策略，判断所述数据库管理员及所述安 全管理员是否出现不符合所述审计控制策略的操作行为，如果是，发出警报 信息。

优选地，所述强制访问控制策略包括：针对所述数据库中的每一个数据， 规定可以对该数据进行访问的数据库用户，仅规定范围内的所述数据库用户 才可以对该数据进行访问。

优选地，所述强制访问控制策略包括：针对于所述数据库中的每一个数 据，规定该数据允许被访问的时间段，仅在所述允许被访问的时间段内才可 以对该数据进行访问。

优选的，所述强制访问控制策略包括：针对于所述数据库中的每一个数 据，规定该数据允许被访问的IP地址，仅在所述允许被访问的IP地址范围 内的IP地址才可以对该数据进行访问。

优选地，所述自主访问控制策略包括：规定各个所述数据库用户的访问 权限，针对于每一个所述数据库用户，该数据库用户仅能够在其访问权限范 围内，对所述数据库中特定的数据进行访问。

本发明实施例还提供了一种数据库安全加固的装置，应用于预先指定数 据库管理员及安全管理员的数据库，包括：接收单元、第一判断单元、第二 判断单元及执行单元；

所述接收单元，用于接收当前数据库用户对所述数据库中当前数据进行 访问的访问请求；

所述第一判断单元，用于根据所述安全管理员预先创建的强制访问控制 策略，判断所述当前数据是否允许被所述当前数据库用户进行访问；

所述第二判断单元，用于根据所述第一判断单元的判断结果，如果是， 根据所述数据库管理员预先创建的自主访问控制策略，进一步判断所述当前 数据库用户是否具有对所述当前数据进行访问的权限；