本發(fā)明公開(kāi)了一種基于訪問(wèn)特征標(biāo)示的自主可控?cái)?shù)據(jù)庫(kù)審計(jì)方法和系統(tǒng)，方法包括：操作權(quán)限樹(shù)OAT建立步驟，可操作數(shù)據(jù)域樹(shù)DAT建立步驟，權(quán)限分配步驟，用戶請(qǐng)求解析步驟，數(shù)據(jù)庫(kù)審計(jì)步驟。上述技術(shù)方案能夠根據(jù)操作集合OP、可操作數(shù)據(jù)域集合DF、操作權(quán)限樹(shù)OAT進(jìn)行實(shí)時(shí)數(shù)據(jù)庫(kù)權(quán)限審計(jì)。

技術(shù)領(lǐng)域

本發(fā)明涉及電子技術(shù)領(lǐng)域，特別是一種基于訪問(wèn)特征標(biāo)示的自主可控?cái)?shù) 據(jù)庫(kù)審計(jì)方法和系統(tǒng)。

背景技術(shù)

隨著信息技術(shù)的發(fā)展，越來(lái)越多的數(shù)據(jù)通過(guò)電子形式存儲(chǔ)和發(fā)送，因此 對(duì)數(shù)據(jù)的加密也直接關(guān)系到數(shù)據(jù)的安全性。為了確保存儲(chǔ)數(shù)據(jù)的安全性，現(xiàn) 有技術(shù)中需要用戶采用數(shù)據(jù)庫(kù)審計(jì)的機(jī)制來(lái)達(dá)到一定的事前防范、事后數(shù)據(jù) 恢復(fù)以及責(zé)任認(rèn)定的目的。在最新的數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)問(wèn)題研究中，用戶擁有 過(guò)多不必要的權(quán)限被認(rèn)為是數(shù)據(jù)庫(kù)最大的安全風(fēng)險(xiǎn)，而傳統(tǒng)流行的數(shù)據(jù)庫(kù)審 計(jì)方案都難以解決權(quán)限細(xì)粒度與過(guò)大的系統(tǒng)開(kāi)銷之間的矛盾。同時(shí)，目前流 行的數(shù)據(jù)庫(kù)審計(jì)方案為了降低系統(tǒng)開(kāi)銷，事前防范的安全級(jí)別往往不能滿足系統(tǒng)安全的要求。

目前主要流行的兩種數(shù)據(jù)庫(kù)審計(jì)方案分別為：基于日志的數(shù)據(jù)庫(kù)審計(jì)和 基于網(wǎng)絡(luò)監(jiān)聽(tīng)的數(shù)據(jù)庫(kù)審計(jì)。在基于數(shù)據(jù)庫(kù)系統(tǒng)自帶的日志審計(jì)方案中，由 于開(kāi)啟日志審計(jì)功能，不僅在數(shù)據(jù)庫(kù)性能上面造成較大影響，同時(shí)日志記錄 的權(quán)限細(xì)粒度較差，缺少關(guān)鍵信息。而在基于網(wǎng)絡(luò)監(jiān)聽(tīng)的審計(jì)方案中，由于 審計(jì)系統(tǒng)部署在專用的硬件設(shè)備上，并對(duì)交換機(jī)端口進(jìn)行監(jiān)聽(tīng)，因此只能實(shí) 現(xiàn)會(huì)話級(jí)別的審計(jì)，而無(wú)法對(duì)操作內(nèi)容進(jìn)行審計(jì)。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題，本發(fā)明實(shí)施例的目的是提供一種能夠提高 數(shù)據(jù)安全性的基于訪問(wèn)特征標(biāo)示的自主可控?cái)?shù)據(jù)庫(kù)審計(jì)方法和系統(tǒng)，至少部 分的解決現(xiàn)有技術(shù)中存在的缺陷。

為了實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例提出了一種基于訪問(wèn)特征標(biāo)示的自主 可控?cái)?shù)據(jù)庫(kù)審計(jì)方法，包括：

操作權(quán)限樹(shù)OAT建立步驟，用于根據(jù)不同的應(yīng)用邏輯對(duì)操作關(guān)鍵詞進(jìn)行 劃分以建立操作權(quán)限樹(shù)OAT；根據(jù)數(shù)據(jù)庫(kù)操作-權(quán)限等級(jí)二元組op_j,rank_j構(gòu) 成節(jié)點(diǎn)node_j，其中op_j為操作集合OP的第j個(gè)數(shù)據(jù)庫(kù)操作,rank_j為對(duì)應(yīng)操作 op_j的權(quán)限等級(jí)；構(gòu)建權(quán)限偏序關(guān)系規(guī)則集合Rule_auth＝{node_s≥node_r|node_j＝ op_j,rank_j,s≠r,s＝1,2,3,…,n,r＝1,2,3,…,n}，其中node_s與node_r分別 為集合中任意的第s個(gè)與第r個(gè)二元組；然后根據(jù)權(quán)限偏序關(guān)系規(guī)則集合構(gòu) 建m個(gè)規(guī)則子樹(shù)T₁,T₂,T₃…T_m；其中每一規(guī)則子樹(shù)對(duì)應(yīng)一個(gè)操作關(guān)鍵詞，且該規(guī)則子樹(shù)的每一層對(duì)應(yīng)不同的權(quán)限級(jí)別；其中權(quán)限偏序關(guān)系規(guī)則集中相同 權(quán)限級(jí)別的操作關(guān)鍵詞構(gòu)成兄弟節(jié)點(diǎn)，而相鄰權(quán)限級(jí)別的操作關(guān)鍵字構(gòu)成父 子節(jié)點(diǎn)，從根節(jié)點(diǎn)到葉子結(jié)點(diǎn)權(quán)限級(jí)別依次降低，構(gòu)建出該操作關(guān)鍵詞的規(guī) 則子樹(shù)；根據(jù)用戶設(shè)定的操作關(guān)鍵字和權(quán)限級(jí)別構(gòu)成子樹(shù)集合T＝{op_i, rank_j|i＝1,2,3,…,m,m0,j＝1,2,3,…,n,n0}；