一种用于监测数据库安全的运维操作管控系统技术方案

本发明专利技术涉及一种用于监测数据库安全的运维操作管控系统，涉及数据库安全技术领域，本发明专利技术通过在数据库管控系统设置虚拟认证模块，用以对用户进行虚拟认证，并在认证时，根据认证结果确定用户可访问的数据的权限，从而保证用户在访问数据库时先与数据库进行隔离，放置用户通过虚假手段直接进入数据库，并在通过多组合的认证方式认证完成时，使用户进入数据库，保障数据库的安全性。尤其，本发明专利技术通过在用户访问过程进行用户行为识别和数据安全识别，并在确定用户行为不合规和数据不安全时，对数据库中的数据的管控力度和细度进行调整，提高对该系统的控制精度，进一步提高了数据库的安全性。全性。全性。

【技术实现步骤摘要】
一种用于监测数据库安全的运维操作管控系统


[0001]本专利技术涉及数据库安全
，尤其涉及一种用于监测数据库安全的运维操作管控系统。

技术介绍

[0002]随着烟草行业信息化快速发展即云计划、虚拟化、移动应用等新兴技术运用，使烟草行业的信息安全面临新的挑战，烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力。
[0003]但当前烟草行业的信息系统基础设施，包括主机存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌，使得烟草行业信息系统比较容易被国外掌控，随着电子商务的快速发展，烟草行业信息系统由半封闭的行业内网向互联网转变，网上订货、网上营销等新型业务与互联网结合日益紧密，同样面临的网络攻击和威胁形式日益复杂严峻，传统互联网威胁（如僵尸网络、病毒、木马等）威胁烟草行业信息安全。
[0004]现有技术中，对于信息安全的保障，缺乏终端、主机和应用系统安全保障机制，没有及时发现和弥补系统的漏洞和弱点，存在大量弱口令本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于监测数据库安全的运维操作管控系统，其特征在于，包括：虚拟认证模块，其包括用以进行用户身份认证的安全接入单元和用以根据安全接入单元的用户身份认证结果确定用户是否可进入机房以及用户的对机房内存储数据库的访问权限的权限确定单元；安全识别模块，其包括用以对用户访问机房与数据库过程中的行为进行识别记录的用户行为识别单元和对用户访问所述存储数据库内的数据的安全进行识别的数据识别单元；数据安全管控模块，其包括用以控制用户可访问存储数据库中数据的敏感数据的数据控制单元、用以在用户访问所述存储数据库时进行敏感数据识别的敏感数据识别单元和用以根据用户访问过程中的行为和用户权限对敏感数据进行实时脱敏的脱敏单元；所述用户行为识别单元在用户访问所述存储数据库时，根据用户访问过程的行为和被访问的数据确定用户行为是否合规和数据是否安全，并在用户行为不合规时对用户访问的数据中敏感数据比例进行调整。2.根据权利要求1所述的用于监测数据库安全的运维操作管控系统，其特征在于，所述安全接入单元在进行用户身份认证时，根据人脸识别设备进行人脸识别初步确认用户身份，并在识别完成后对用户进行多组合身份认证，所述权限确定单元在所述安全接入单元确定用户多组合身份认证通过时，确定用户可进入访问存储数据库，并根据用户信息确定用户可访问的数据级别Ui。3.根据权利要求2所述的用于监测数据库安全的运维操作管控系统，其特征在于，所述用户行为识别单元在所述权限确定单元确定用户可访问的数据级别Ui完成时，获取用户在认证过程中的是否存在错误认证，并在存在错误认证时，获取错误认证次数C，并根据该错误认证次数确定用户行为是否合规，所述用户行为识别单元设有预设错误认证次数C0，若C＞C0，所述用户行为识别单元判定用户行为不合规，若C≤C0，所述用户行为识别单元初步判定用户行为合规。4.根据权利要求3所述的用于监测数据库安全的运维操作管控系统，其特征在于，所述用户行为识别单元在初步判定用户行为合规时，确定所述用户是否访问超出其可访问的数据级别Ui，若超出，则判定用户行为不合规，若未超出，则判定用户行为合规，其中i=1，2，
…
n。5.根据权利要求4所述的用于监测数据库安全的运维操作管控系统，其特征在于，所述数据识别单元在所述用户访问存储数据库时对所述用户访问的存储数据库中的数据进行识别，并识别该数据是否存在被恶意下载，若存在恶意下载，则获取恶意下载的尝试次数F，并根据该尝试次数F和预设尝试次数F的比值B确定数据是否安全，所述数据识别单元中设有预设次数比值B0，若B≤B0，则初步判定数据安全，若B＞B0，则判定数据不安全。6.根据权利要求5所述的用于监测数据库安全的运维操作管控系统，其特征在于，所述数据控制单元中设有数据级别Ui对应的可访问敏感数据比例Bmi，所述数据控制单元在所述用户行为识别单元判定用户行为不合规且C＞C0时，所述数据控制单元计算所述错误认证次数C和预设错误认证次数C的次数差值ΔC，设定ΔC=C
‑
C0，并根据该次数差值与预设次数差值的比对结果选取对应的调节系数对可访问敏感数据的数据比例进行调节，其中，所述数据控制单元中设置有第一预设次数差值ΔC1、第二预设次数差值ΔC2、第三预设次数差值ΔC3、第一数据比例调节系数Kb1、第二数据比例调节系数Kb2以及第三数
据比例调节系数Kb3，ΔC1＜ΔC2＜ΔC3，0.7＜Kb1＜Kb2＜Kb3＜1，当ΔC≤ΔC1时，所述数据控制单元选取第一数据比例调节系数Kb1对所述可访问敏感数据比例Bmi进行调节；当ΔC1＜ΔC≤ΔC2时，所述数据控制单元选取第一数据比例调...

【专利技术属性】
技术研发人员：王龙华，詹越，苗棋江，张倚榕，付斌，李先峰，陈杰皓，
申请(专利权)人：北京国信网联科技有限公司，
类型：发明
国别省市：