本发明专利技术提出了一种基于数据标签的数据库访问控制方法及装置,涉及数据库技术领域。该方法包括:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。针对访问者身份和访问请求,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护。进而更好地对数据库进行防护。进而更好地对数据库进行防护。
【技术实现步骤摘要】
一种基于数据标签的数据库访问控制方法及装置
[0001]本专利技术涉及数据库
,具体而言,涉及一种基于数据标签的数据库访问控制方法及装置。
技术介绍
[0002]现有数据库的访问控制技术在控制粒度、配置复杂度以及安全性等方面存在很大的缺点:
[0003]在控制粒度方面,数据库自身的访问控制机制主要基于用户身份进行访问控制,仅支持实例和表名的控制,无法基于详细的SQL指令以及分类分级结果进行控制。
[0004]在配置复杂度方面,数据库自身访问控制机制主要有DBA人员通过命令行进行设置,复杂度高。
[0005]在安全性方面,数据库自身访问控制机制有DBA进行配置,DBA权限无法进行有效控制,存在DBA恶意删除策略执行违规操作的风险。
[0006]由此看出,现数据库访问控制技术仅能根据静态配置或动态学习的策略进行防护,粒度粗、精准度差、配置复杂度高且安全性低,无法基于数据分类分级标签对数据库进行防护。
技术实现思路
[0007]本专利技术的目的在于提供一种基于数据标签的数据库访问控制方法及装置,用以改善现有技术中数据库访问控制技术仅能根据静态配置或动态学习的策略进行防护,粒度粗、精准度差、配置复杂度高且安全性低,无法基于数据分类分级标签对数据库进行防护的问题。
[0008]本专利技术的实施例是这样实现的:
[0009]第一方面,本申请实施例提供一种基于数据标签的数据库访问控制方法,其包括如下步骤:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。
[0010]在本专利技术的一些实施例中,上述按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签的步骤包括:利用正则表达式对数据库进行逐行扫描,以对所有第一敏感数据进行分类分级。
[0011]在本专利技术的一些实施例中,上述若访问者访问数据库,则获取访问者身份和访问请求的步骤之后,该方法还包括:若访问者身份和访问请求不符合访问控制规则,则拒绝访问请求,并进行告警提醒。
[0012]在本专利技术的一些实施例中,上述对各分类分级标签中的第一敏感数据进行分析,
以划分每个分类分级标签的敏感等级的步骤包括:根据用户业务需求,将分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。
[0013]在本专利技术的一些实施例中,上述对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤之后,该方法还包括:根据敏感等级,对对应第一敏感数据进行加密得到加密数据。利用加密数据替换对应第一敏感数据,保存至数据库。
[0014]在本专利技术的一些实施例中,上述按照预设敏感数据子项,对第一敏感数据进行分类分级的步骤之前,该方法还包括:预先获取多个第二敏感数据。对第二敏感数据进行分析,以得到预设敏感数据子项。
[0015]在本专利技术的一些实施例中,上述预先获取多个第二敏感数据的步骤之后,该方法还包括:分析第二敏感数据,得到敏感数据特征。根据敏感数据特征建立敏感数据特征库,利用敏感数据特征库查找数据库中的第一敏感数据。
[0016]第二方面,本申请实施例提供一种基于数据标签的数据库访问控制装置,其包括:数据库扫描模块,用于根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。分类分级模块,用于按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。敏感等级划分模块,用于对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。访问控制规则制定模块,用于根据敏感等级制定访问控制规则。访问请求获取模块,用于若访问者访问数据库,则获取访问者身份和访问请求。访问请求允许模块,用于若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。
[0017]在本专利技术的一些实施例中,上述分类分级模块包括:敏感数据分类单元,用于利用正则表达式对数据库进行逐行扫描,以对所有第一敏感数据进行分类分级。
[0018]在本专利技术的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:告警提醒模块,用于若访问者身份和访问请求不符合访问控制规则,则拒绝访问请求,并进行告警提醒。
[0019]在本专利技术的一些实施例中,上述敏感等级划分模块包括:等级划分单元,用于根据用户业务需求,将分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。
[0020]在本专利技术的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:加密数据模块,用于根据敏感等级,对对应第一敏感数据进行加密得到加密数据。替换保存模块,用于利用加密数据替换对应第一敏感数据,保存至数据库。
[0021]在本专利技术的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:第二敏感数据获取模块,用于预先获取多个第二敏感数据。预设敏感数据子项得到模块,用于对第二敏感数据进行分析,以得到预设敏感数据子项。
[0022]在本专利技术的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:敏感数据特征得到模块,用于分析第二敏感数据,得到敏感数据特征。第一敏感数据查找模块,用于根据敏感数据特征建立敏感数据特征库,利用敏感数据特征库查找数据库中的第一敏感数据。
[0023]第三方面,本申请实施例提供一种电子设备,其包括存储器,用于存储一个或多个程序;处理器。当一个或多个程序被处理器执行时,实现如上述第一方面中任一项的方法。
[0024]第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面中任一项的方法。
[0025]相对于现有技术,本专利技术的实施例至少具有如下优点或有益效果:
[0026]本专利技术提供一种基于数据标签的数据库访问控制方法及装置,其包括如下步骤:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。该方法及装置可以对数据库中的第一敏感数据进行分类分级,得到分类分级标签。并针对访问者身份和访问请求,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护,不仅保证了较细的粒度和访问控制的精准度,还避免了DBA人员通过命令行进行设置而导致配置复杂度高的问题,保障了数据库访问的安全性。
附图说明
[0027]为了更清楚地说本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于数据标签的数据库访问控制方法,其特征在于,包括如下步骤:根据预置数据特征扫描数据库中的数据,以得到所述数据库中的第一敏感数据;按照预设敏感数据子项,对所述第一敏感数据进行分类分级,以得到分类分级标签;对各所述分类分级标签中的第一敏感数据进行分析,以划分每个所述分类分级标签的敏感等级;根据所述敏感等级制定访问控制规则;若访问者访问数据库,则获取访问者身份和访问请求;若所述访问者身份和所述访问请求符合所述访问控制规则,则允许所述访问者进入数据库。2.根据权利要求1所述的基于数据标签的数据库访问控制方法,其特征在于,按照预设敏感数据子项,对所述第一敏感数据进行分类分级,以得到分类分级标签的步骤包括:利用正则表达式对数据库进行逐行扫描,以对所有所述第一敏感数据进行分类分级。3.根据权利要求1所述的基于数据标签的数据库访问控制方法,其特征在于,若访问者访问数据库,则获取访问者身份和访问请求的步骤之后,还包括:若所述访问者身份和所述访问请求不符合所述访问控制规则,则拒绝所述访问请求,并进行告警提醒。4.根据权利要求1所述的基于数据标签的数据库访问控制方法,对各所述分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤包括:根据用户业务需求,将所述分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。5.根据权利要求1所述的基于数据标签的数据库访问控制方法,对各所述分类分级标签中的第一敏感数据进行分析,以划分每个所述分类分级标签的敏感等级的步骤之后,还包括:根据所述敏感等级,对对应所述第一敏感数据进行加密得到加密数据;利用所述加密数据替换对应所述第一敏感...
【专利技术属性】
技术研发人员:运凯,李浩升,黄强,鲁学仲,任晴晴,马怡璇,赵梅,靳扬,包坚,
申请(专利权)人:国网新疆电力有限公司信息通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。