一种应用于数据安全类产品的数据库防篡改方法,包括设计数据库表的逻辑操作,逻辑操作包括逻辑新增、逻辑删除和逻辑修改。逻辑新增为新增有效数据记录。逻辑删除为新增一条用于表示对象数据已被删除的删除记录。逻辑修改首先执行逻辑删除用以记录对象数据已被删除,其次执行逻辑新增用以记录修改后的对象数据及对象数据的标识。由于仅保留普通用户对于数据库表的写入权限,每张数据库表均包含用于实现底层新增到逻辑操作的转换的数据结构,使得对数据库表底层采取只增操作模拟增、删、改操作,只增过程中记录哈希值作为指纹验证以保证审计历史的真实性,不仅保留了数据库访问层的所有操作,而且实现了所有数据库对象历史的全过程防篡改。
【技术实现步骤摘要】
一种应用于数据安全类产品的数据库防篡改方法及系统
本专利技术涉及数据处理
,具体涉及一种应用于数据安全类产品的数据库防篡改方法及系统。
技术介绍
现在政府、企业和事业单位组织一般采用为应用系统附加堡垒机、旁路监听及实时备份系统的方法,对应用数据库的运维操作进行监控及事后审计,以保证历史发生数据的真实性。现有包含操作审计功能的应用系统或者审计类数据安全应用系统,偏重于审计内容的全面性和审计内容的展示等方面,一般采用旁路或者数据周期备份的方式来保证历史数据真实性,但没有从数据库的设计模型上来对数据安全进行保证,依然存在历史数据被应用或者运维过程中被篡改的可能性,而且这类数据安全保证技术所需要投入的网络资源和硬件设备等其他成本比较高。如果审计信息的历史内容被篡改,则审计数据的真实性无法保证,所以如何保障数据库的历史记录的真实性以及保证审计数据的真实有效,是现有数据安全类产品所面临的挑战。
技术实现思路
本申请提供一种应用于数据安全领域的应用数据库权限和结构模型设计方案,切断现行应用数据库所存在的历史数据信息可能被篡改的途径,在数据安全类产品的升级、使用和运维过程中,解决历史数据被修改后导致审计信息无法体现数据库历史真实情况的问题,极大程度地保障了应用数据库历史数据的真实性。根据第一方面,一种实施例中提供一种应用于数据安全类产品的数据库防篡改方法,包括设计数据库表的逻辑操作,逻辑操作包括逻辑新增、逻辑删除和逻辑修改。逻辑新增为新增有效数据记录。逻辑删除为新增一条用于表示对象数据已被删除的删除记录。逻辑修改首先执行逻辑删除用以记录对象数据已被删除,其次执行逻辑新增用以记录修改后的对象数据及对象数据的标识。进一步的,逻辑操作还包括逻辑查询,逻辑查询为查询除逻辑删除以外的所有有效数据记录。进一步的,每个数据库表的新增记录增加哈希列,哈希列的字段内容可自定义,哈希列中的哈希值和新增记录一同写入数据库表。进一步的,在每次审计操作进行前,对需要审计的数据进行哈希验证,若哈希验证不通过则采取备份恢复的方式对验证无法通过的数据进行修复。进一步的,每张数据库表均包含用于实现底层新增到逻辑操作的转换的数据结构。进一步的,仅保留普通用户对于数据库表的写入权限。进一步的,包括权限验证步骤,若权限为新增操作则权限通过;若权限为除新增操作以外的其他操作则权限阻止。根据第二方面,一种实施例中提供一种应用于数据安全类产品的数据库防篡改系统,包括用于数据库访问层在第一方面实施例所述的逻辑操作下对数据库表进行操作的装置;用于设置哈希列,写入哈希值和进行哈希验证的装置;用于实现底层新增到逻辑操作的转换的装置。根据第三方面,一种实施例中提供一种产品,一种实施例中提供一种产品,包括存储器和处理器,存储器用于存储程序,处理器用于通过执行存储器存储的程序以实现如第一方面实施例所述的方法。根据第四方面,一种实施例中提供一种计算机可读存储介质,包括程序,所述程序能够被处理器执行以实现如第一方面实施例所述的方法。依据上述实施例的应用于数据安全类产品的数据库防篡改方法,由于仅保留普通用户对于数据库表的写入权限,每张数据库表均包含用于实现底层新增到逻辑操作的转换的数据结构,使得对数据库表底层采取只增操作模拟增、删、改操作,只增过程中记录哈希值作为指纹验证以保证审计历史的真实性,不仅保留了数据库访问层的所有操作,而且实现了所有数据库对象历史的全过程防篡改。附图说明图1为实施例一中应用于数据安全类产品的数据库防篡改方法的流程图;图2为实施例二中应用于数据安全类产品的数据库防篡改系统的结构示意图;图3为实施例三中产品的的结构示意图。具体实施方式下面通过具体实施方式结合附图对本专利技术作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中,很多细节描述是为了使得本申请能被更好的理解。然而,本领域技术人员可以毫不费力的认识到,其中部分特征在不同情况下是可以省略的,或者可以由其他元件、材料、方法所替代。在某些情况下,本申请相关的一些操作并没有在说明书中显示或者描述,这是为了避免本申请的核心部分被过多的描述所淹没,而对于本领域技术人员而言,详细描述这些相关操作并不是必要的,他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。另外,说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时,方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此,说明书和附图中的各种顺序只是为了清楚描述某一个实施例,并不意味着是必须的顺序,除非另有说明其中某个顺序是必须遵循的。在本专利技术实施例中,通过应用所在数据库用户的权限控制,所有数据库表只能新增数据,通过所有数据库对象采取统一的标准,使用一定规则的逻辑操作将数据库底层的新增操作转换为应用层的删除、修改操作,保证了每个数据库表只有新增操作,保证操作历史无可篡改的途径。实施例一:实施例一提供了一种应用于数据安全类产品的数据库防篡改方法,请参考图1,包括以下步骤:步骤S100:设计数据库表的逻辑操作。逻辑操作包括逻辑新增、逻辑删除、逻辑修改和逻辑查询。逻辑新增为新增有效数据记录。逻辑删除为新增一条用于表示对象数据已被删除的删除记录。逻辑修改按照先删后增的方式进行,首先执行逻辑删除用以记录对象数据已被删除,其次执行逻辑新增用以记录修改后的对象数据及对象数据的标识。逻辑查询为查询除逻辑删除以外的所有有效数据记录。步骤S110:为每个数据库表的新增记录增加哈希列。哈希列的字段内容可自定义,哈希列中的哈希值和新增记录一同写入数据库表。增设哈希列的目的在于对,为所有新增记录进行带有哈希算法的指纹认证,周期性校验其有效性,配合适当的备份规则即可实现审计历史数据的读写存多种机制防篡改。在每次审计操作进行前,对需要审计的数据进行哈希验证,若哈希验证不通过则采取备份恢复的方式对验证无法通过的数据进行修复。步骤S120:为每张数据库表增设用于实现底层新增到逻辑操作的转换的数据结构。该数据结构的作用在于将数据库底层的新增操作转换为应用层的删除、修改操作。普通用户在应用中对数据库表不再通过SQL语句(全称StructuredQueryLanguage即结构化查询语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统,同时也是数据库脚本文件的扩展名。)进行数据库表的操作,而是通过按照上述步骤S100中数据库表的逻辑操作实现的统一组件进行增、删、改、查等操作,在此规则下数据库访问层实现业务逻辑。步骤S130:对于普通用户仅保留其对于数据库表的写入权限。数据转储、备份、恢复等操作使用更高级权限进行操作,不在应用中使用,并由少数人及更安全的管理机制进行管理。从数据库权限层面决定数据库表记录的只增原则,历史记录记入数据库系统后则不能以任何方式更改。在一具体实施方式中,普通用户在进行应用操作时,首先对其权限进行验证,即权限验证步骤,若权限为新增操作则权限通过;若权限为除新增操作以外的其他操作则权限阻止。权限验证步骤的目的在于对数据库应用操作进行二次核查,保证普通用户的数据库操作权限只限制在新增记录,切断普通用户对数据库历史数据更改的途径本文档来自技高网...
【技术保护点】
一种应用于数据安全类产品的数据库防篡改方法,其特征在于包括:设计数据库表的逻辑操作,所述逻辑操作包括逻辑新增、逻辑删除和逻辑修改;所述逻辑新增为新增有效数据记录;所述逻辑删除为新增一条用于表示对象数据已被删除的删除记录;所述逻辑修改首先执行逻辑删除用以记录对象数据已被删除,其次执行逻辑新增用以记录修改后的对象数据及对象数据的标识。
【技术特征摘要】
1.一种应用于数据安全类产品的数据库防篡改方法,其特征在于包括:设计数据库表的逻辑操作,所述逻辑操作包括逻辑新增、逻辑删除和逻辑修改;所述逻辑新增为新增有效数据记录;所述逻辑删除为新增一条用于表示对象数据已被删除的删除记录;所述逻辑修改首先执行逻辑删除用以记录对象数据已被删除,其次执行逻辑新增用以记录修改后的对象数据及对象数据的标识。2.如权利要求1所述的方法,其特征在于所述逻辑操作还包括逻辑查询,所述逻辑查询为查询除逻辑删除以外的所有有效数据记录。3.如权利要求1所述的方法,其特征在于还包括,每个数据库表的新增记录增加哈希列,所述哈希列的字段内容可自定义,所述哈希列中的哈希值和新增记录一同写入数据库表。4.如权利要求3所述的方法,其特征在于,在每次审计操作进行前,对需要审计的数据进行哈希验证,若哈希验证不通过则采取备份恢复的方式对验证无法通过的数据进行修复。5.如权...
【专利技术属性】
技术研发人员:谢宇波,
申请(专利权)人:四川盛世天成信息技术有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。