本发明专利技术提供一种数据库用户行为管理系统和数据库用户行为管理方法,该数据库用户行为管理系统包括:操作指令获取模块,用于获取用户输入的操作指令;操作指令分析模块,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;合法性判断模块,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;操作指令转发模块,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;操作指令拦截模块,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。本发明专利技术能够实时分析用户操作,实时判断用户操作是否合法,实时拦截非法操作。
【技术实现步骤摘要】
本专利技术涉及业务支撑及管理信息系统领域,特别是涉及一种。
技术介绍
目前数据库信息安全是各大企业关注的重点。如果数据库用户通过后台对数据库中的敏感数据进行非法操作,导致敏感数据被泄露或者被恶意修改,将给企业带来巨大的经济损失和严重的品牌形象影响。目前的解决方案为:借助4A(认证Authentication、账号Account、授权Authorization、审计Audit)系统对用户操作进行事后审计。如图1所示为现有技术中的数据库系统的总体架构示意图,该数据库系统包括-AA系统、BOSS(业务操作支撑系统,BuSSineSS&Operation Support System)堡鱼机以及BOSS数据库,4A系统能够限定用户的访问权限等,并可记录用户的操作日志,甚至能够借助视频监控系统记录用户的操作过程。后台管理员可以在用户完成操作后,导出用户输入的针对BOSS数据库的所有字符命令以及操作过程视频记录,通过阅读操作日志及观看视频的方式,来对每个用户的操作是否合法进行人工判断。可以看出,管理员只有在发生安全事故后,才能知道曾有人违规操作,并需要对海量操作日志进行逐条审计,即使在审计过程中发现了一些非法操作,事故影响已经产生。而从海量日志中进行回溯定责又极其繁琐,审计工作量极大,造成实际操作内容与审批内容匹配正确率低、效率低、非法操作发现成功率低等问题。显而易见,使用目前的4A解决方案,不能对操作用户行为实时分析(Analyse),无法实时判断用户操作是否为合法,无法对非法操作行为进行实时拦截。
技术实现思路
有鉴于此,本专利技术提供一种,能够对用户操作进行实时分析,实时判断用户操作是否合法,并对非法操作进行实时拦截。为解决上述问题,本专利技术提供一种数据库用户行为管理系统,包括:操作指令获取模块,用于获取用户输入的操作指令;操作指令分析模块,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;合法性判断模块,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;操作指令转发模块,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;操作指令拦截模块,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。可选的,所述数据库用户行为管理系统还包括:工单同步模块,用于同步工单系统中的审批工单;工单分析模块,用于对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储;其中,所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述数据库用户行为管理系统还包括:工单标识获取模块,用于获取所述用户输入的工单标识;其中,所述工单分析模块还用于获取同步的审批工单的工单标识并存储;所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识相同的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述操作指令分析模块是基于抽象语法树生成的语法分析器和词法分析器对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;所述工单分析模块是基于抽象语法树生成的语法分析器和词法分析器对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。可选的,所述合法性判断模块还包括:第一判断模块,用于判断所述指令操作范围是否涉及所述数据库的敏感数据;第二判断模块,用于当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;其中,所述操作指令转发模块还用于当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。本专利技术还提供一种数据库用户行为管理方法,包括:获取用户输入的操作指令;对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;判断所述指令操作范围是否超出所述用户本次操作的允许操作范围; 当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。可选的,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤之前还包括:同步工单系统中的审批工单;对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储;所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括:从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤之前还包括:获取所述用户输入的工单标识;获取同步的审批工单的工单标识并存储;所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括:从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识相同的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述对所述操作指令进行分析,得到所述操作指令对应的指令操作范围的步骤包括:基于抽象语法树生成的语法分析器和词法分析器对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;所述对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储的步骤包括:基于抽象语法树生成的语法分析器和词法分析器对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。可选的,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括:判断所述指令操作范围是否涉及所述数据库的敏感数据;当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。本专利技术具有以下有益效果:对用户输入的操作指令进行实时分析,实时判断用户输入的操作指令是否为合法操作指令,并对合法操作指令进行转发,对非法操作指令进行实时拦截,从而解决了现有的4A系统在对数据库管理中不能发现并实时拦截非法操作、无法实现“事中控制”、审计匹配正确率低的问题。附图说明图1为现有技术中的数据库系统的总体架构示意图;图2为本专利技术实施例的数据库用户行为管理系统的一结构示意图;图3为本专利技术实施例的数据库用户行为管理方法的一流程示意图;图4为本专利技术实施例的数据库用户行为管理方法的另一流程示意图;图5为本专利技术实施例的数据库用户行为管理方法的又一流程示意图;图6为本专利技术实施例的数据库系统的总体架构示意图;图7为图6中的数据库系统的工作流程示意图。具体实施方式现有技术中的4A解决方案,不能发现用户的非法操作并实时拦截的根本原因在于数据库系统对所有的操作指令均进行透传,本专利技术实施例中,对用户输入的所有操作指令均进行分析,判断操作指令是否合法,并对非法操作指令进行实时拦截,从而在根本上解决目前数据库安全运维管控工作的难题。下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。如图2所示为本专利技术实施例的数据库用户行为管理系统的一结构示意图,该数据库用户行为管理系统包括:操作指令本文档来自技高网...
【技术保护点】
一种数据库用户行为管理系统,其特征在于,包括:操作指令获取模块,用于获取用户输入的操作指令;操作指令分析模块,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;合法性判断模块,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;操作指令转发模块,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;操作指令拦截模块,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。
【技术特征摘要】
【专利技术属性】
技术研发人员:冯允,熊刚,李启文,蒋迎锋,梅铁勇,
申请(专利权)人:中国移动通信集团广东有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。