CN104850625A - 一种数据库安全防护方法及装置 - Google Patents
一种数据库安全防护方法及装置 Download PDFInfo
- Publication number
- CN104850625A CN104850625A CN201510259712.XA CN201510259712A CN104850625A CN 104850625 A CN104850625 A CN 104850625A CN 201510259712 A CN201510259712 A CN 201510259712A CN 104850625 A CN104850625 A CN 104850625A
- Authority
- CN
- China
- Prior art keywords
- management system
- database management
- basic
- type
- processes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 324
- 230000008569 process Effects 0.000 claims description 291
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 12
- 239000000758 substrate Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种数据库安全防护方法及装置,该方法包括:创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统,将当前运行的所有进程与所述基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程,根据所述第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型,根据所述第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构,通过所述数据库管理系统的类型和所述数据库管理系统的目录结构生成安全策略,根据所述安全策略,对所述数据库安全进行防护。本方案能够提高数据库的安全性。
Description
技术领域
本发明涉及计算机安全技术领域,特别涉及一种数据库安全防护方法及装置。
背景技术
随着计算机技术的不断发展与进步,数据库的应用也越来越广泛,与此同时数据库的安全问题也越发重要,数据库中存储着大量的数据和信息,如果数据库被非法入侵,将造成数据丢失、泄漏或被恶意修改,带来不可估量的损失。
目前,对于数据库安全的防护技术主要包括:在用户层面通过权限控制手段,数据库系统管理员事先需要对数据库用户进行授权,数据库用户得到授权后,根据授权的范围对数据库进行访问。
可见,现有技术通过权限控制的方法对数据库进行防护,但是数据库管理员享有最高的权限,可以对数据库访问权限进行任意的配置,可以对数据库内的数据进行任意的访问,如果数据库管理员账户出现问题,整个数据库将处于危险之中,因此数据库的安全性较低。
发明内容
本发明提供一种数据库安全防护方法及装置,能够提高数据库的安全性。
本发明实施例提供了一种数据库安全防护方法,包括:
创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
将当前运行的所有进程与所述基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
根据所述第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
根据所述第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
通过所述数据库管理系统的类型和所述数据库管理系统的目录结构生成安全策略;
根据所述安全策略,对所述数据库安全进行防护。
优选地,所述基本进程库中的基本进程与各类数据库管理系统一一对应,且所述基本进程库中的基本进程与对应数据库管理系统启动后运行的进程保持同样的进程名。
优选地,所述将当前运行的所有进程与所述基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程包括:将当前运行的所有进程的进程名分别与所述基本进程库中的基本进程的进程名进行匹配,如果当前运行中的第一进程的进程名与其中一个基本进程的进程名相同,则为匹配成功,获取所述第一进程。
优选地,所述根据所述第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型包括:获取所述第一进程的基本信息,并通过所述第一进程的文件名,确定与所述第一进程相对应的数据库管理系统的类型。
优选地,所述通过所述数据库管理系统的类型和数据库管理系统的目录结构生成安全策略包括:由所述数据库管理系统的类型确定所述安全策略针对的数据库管理系统的类型,生成包括策略类型、主体、客体及权限等级的所述安全策略,其中,由所述数据库管理系统的目录结构确定所述客体,由所述客体确定所述策略类型及所述主体,根据所述客体的重要程度及所述主体的需求确定所述权限等级。
优选地,所述主体包括:变量或常量。
优选地,所述客体包括:变量或常量。
优选地,所述根据所述安全策略,对所述数据库安全进行防护包括:通过所述权限等级限制所述主体对所述客体的访问形式,从而对所述数据库进行防护。
本发明实施例还提供了一种数据库安全防护装置,包括:
创建单元,用于创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
匹配单元,用于将当前运行的所有进程与所述创建单元创建的基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
第一获取单元,用于根据所述匹配单元匹配成功的第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
第二获取单元,用于根据所述第一获取单元获取的第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
生成单元,用于通过所述第一获取单元获取的数据库管理系统的类型和所述第二获取单元获取的数据库管理系统的目录结构生成安全策略;
防护单元,用于根据所述生成单元生成的安全策略,对所述数据库安全进行防护。
优选地,所述匹配单元,用于将当前运行的所有进程的进程名分别与所述基本进程库中的基本进程的进程名进行匹配,如果当前运行中的第一进程的进程名与其中一个基本进程的进程名相同,则为匹配成功,获取所述第一进程。
优选地,所述第一获取单元,用于获取所述第一进程的基本信息,并通过所述第一进程的文件名,确定与所述第一进程相对应的数据库管理系统的类型。
优选地,所述生成单元,用于由所述数据库管理系统的类型确定所述安全策略针对的数据库管理系统的类型,生成包括策略类型、主体、客体及权限等级的所述安全策略,其中,由所述数据库管理系统的目录结构确定所述客体,由所述客体确定所述策略类型及所述主体,根据所述客体的重要程度及所述主体的需求确定所述权限等级。
优选地,所述防护单元,用于通过所述权限等级限制所述主体对所述客体的访问形式,从而对所述数据库进行防护。
本发明实施例提供了一种数据库安全防护方法及装置,创建包括至少一个基本进程的基本进程库,其中每个基本进程对应一类数据库管理系统,将运行中的所有进程依次与基本进程库中的基本进程进行匹配,获取运行中的匹配成功的进程,根据匹配成功的进程获取该进程对应的数据库管理系统的类型和目录结构,根据获取到的数据库管理系统的类型和目录结构生成安全策略,根据安全策略对数据库安全进行防护,由于本方案是从操作系统层面对数据库进行防护,可以实现对用户及数据库管理员访问权限的限制,能够提高数据库的安全性。
附图说明
图1是本发明实施例提供的一种数据库安全防护方法流程图;
图2是本发明另一个实施例提供的一种数据库安全防护方法流程图;
图3是本发明实施例提供的一种数据库安全防护装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明一个实施例提供了一种数据库安全防护方法,包括:
步骤101:创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
步骤102:将当前运行的所有进程与所述基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
步骤103:根据所述第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
步骤104:根据所述第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
步骤105:通过所述数据库管理系统的类型和所述数据库管理系统的目录结构生成安全策略;
步骤106:根据所述安全策略,对所述数据库安全进行防护。
本发明实施例提供了一种数据库安全防护方法,创建包括至少一个基本进程的基本进程库,其中每个基本进程对应一类数据库管理系统,将运行中的所有进程依次与基本进程库中的基本进程进行匹配,获取运行中的匹配成功的进程,根据匹配成功的进程获取该进程对应的数据库管理系统的类型和目录结构,根据获取到的数据库管理系统的类型和目录结构生成安全策略,根据安全策略对数据库安全进行防护,由于本方案是从操作系统层面对数据库进行防护,可以实现对用户及数据库管理员访问权限的限制,能够提高数据库的安全性。
在本发明一个实施例中,建立的基本进程库中,基本进程的数量与数据库管理系统类型的数量相同,每个基本进程都对应不同的数据库管理系统,基本进程库中基本进程的进程名与对应的数据库管理系统启动后运行的进程的进程名相同,这样通过匹配,将准确确定数据库管理系统的类型。
在本发明一个实施例中,匹配过程是通过进程名来实现,将运行中的进程的进程名与基本进程库中的基本进程的进程名逐个进行匹配,如果进程名相同,则匹配成功,获得该运行中的进程,如果不成功则对下一个运行中的进程进行匹配,直至所有运行中的进程全部匹配完毕。
在本发明一个实施例中,通过匹配成功的运行中进程的路径,获取该进程的基本信息,并通过该进程的进程名确定该进程对应的数据库管理系统的类型。
在本发明一个实施例中,通过获取的数据库管理系统的类型,确定安全策略的模板,不同类型的数据库管理系统对应不同的安全策略模板,安全策略包括策略类型,主体,客体及权限等级,根据数据库管理系统的目录结构,确定受保护的客体,由客体确定策略类型及对客体进行访问的主体,根据客体的重要程度及主体的需求确定权限等级,最终权限等级决定了主体对客体进行的访问是否被允许,避开用户的控制,从而从操作系统层面对数据库进行防护,提高数据库的安全性。
在本发明一个实施例中,安全策略中的主体可以是变量或常量,同样客体也可以是变量或常量,如果主体和客体都是常量,则体现为一对一,即体现为一个主体对一个客体访问权限的控制,从而灵活的设置访问主体与客体之间的访问关系,进一步提高数据库的安全性。
在本发明一个实施例中,通过安全策略中的主体、客体及访问权限,限制主体对客体的访问,从而对数据库进行防护。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
如图2所示,本发明一个实施例提供了一种数据库安全防护方法,包括:
步骤201:根据数据库管理系统的类型,创建基本进程库。
在本发明一个实施例中,每个数据库管理系统启动后都会运行一个对应的基本进程,不同类型的数据库管理系统,对应的基本进程也不相同,根据数据库管理系统的类型,创建一个基本进程库,其中至少包括一种类型数据库管理系统对应的基本进程。例如,创建一个基本进程库,该基本进程库中包括3个数据库管理系统对应的基本进程,分别为mysql.exe、oracle.exe及sqlserver.exe,其中,MySQL数据库管理系统对应mysql.exe,Oracle数据库管理系统对应oracle.exe,SQL Server数据库管理系统对应sqlserver.exe。
步骤202:获取当前运行的所有进程。
在本发明一个实施例中,获取当前正在运行的所有进程,例如,当前有100个进程正在运行,分别为进程1至进程100,获取这100个进程。
步骤203:遍历所有运行中的进程,将正在运行的进程与基本进程库中的基本进程进行匹配,获取匹配成功的进程
在本发明一个实施例中,分别将正在运行进程的进程名与基本进程库中进程的进程名进行匹配,如果正在运行进程的进程名与基本进程库中其中一个进程的进程名相同,则匹配成功,获得该匹配成功的进程。例如,步骤202中正在运行的100个进程,其中进程1的进程名为mysql.exe,当进程1与基本进程库中的3个基本进程进行匹配时,由于进程1与基本进程mysql.exe的进程名相同,所以进程1匹配成功,其它99个进程的进程名与mysql.exe、oracle.exe及sqlserver.exe中的任何一个都不相同,则这99个进程匹配不成功,至获得匹配成功的进程1。
步骤204:获得匹配成功进程的基本信息及该进程对应的数据库管理系统的类型。
在本发明一个实施例中,通过获得的匹配成功的进程,获得该进程的基本信息及该进程对应的数据库管理系统的类型。例如,通过步骤203中获取的进程1,由于进程1与MySQL数据库管理系统的基本进程mysql.exe的进程名相同,从而可以确定进程1对应的数据库管理系统为MySQL,同时获得进程1的路径信息。
步骤205:根据匹配成功的进程的基本信息,获得该进程对应的数据库管理系统的目录结构。
在本发明一个实施例中,通过获得的匹配成功进程的基本信息,获取与该进程对应的数据库管理系统的目录结构。例如,通过进程1的路径信息,获取启动MySQL数据库管理系统的启动参数,进而获取MySQL数据库管理系统的配置文件,通过读取读取配置文件中的参数,获MySQL数据库管理系统的目录结构,该数据库管理系统的目录结构包括:数据库数据目录,配置文件目录,执行文件目录、数据库安装目录。
步骤206:根据匹配成功进程对应的数据库管理系统的目录结构和类型,生成安全策略。
在本发明一个实施例中,根据数据库管理系统的目录结构和配型,生成安全策略,安全策略包括策略类型、主体、客体和权限等级四部分,其中,由数据库管理系统的目录结构确定客体,由客体确定策略类型及主体,根据客体的重要程度及主体的需求确定权限等级。例如,进程1的进程名为mysql.exe,对应的数据库管理系统为MySQL数据库管理系统,MySQL数据库管理系统的目录结构包括:数据库数据目录,配置文件目录,执行文件目录、数据库安装目录,针对MySQL数据库管理系统的安全策略为:
[mysql]
#对数据库mysql的策略
#对数据库文件的保护
[FileTemplaterule]%mysqlbaseprocess%|%mysqldata%|3
#对数据库配置文件的保护
[FileTemplaterule]administroter|%mysqlconfigfile%|3
#用户对文件的限制
[FileTemplaterule]administroter|%mysqldata%|2
……
#用户对进程的限制
[ProcTemplaterule]administroter|%mysqlbaseprocess%|4
其中,
[mysql]表明该安全策略对应的数据库管理系统的类型为MySQL数据库管理系统;
#表示注释行;
[FileTemplaterule]%mysqlbaseprocess%|%mysqldata%|3表示一条策略,该条策略包含4个部分,其中,[FileTemplaterule]表示策略模板,%mysqlbaseprocess%表示主体,%mysqldata%表示客体,3表示主体对壳体的权限等级,主体、客体、权限等级之间用|进行分隔;
策略模板的格式为[typename],[FileTemplaterule]为文件策略模板,[ProcTemplaterule]为进程策略模板;
主体以%name%的格式来表示;
客体为MySQL数据库管理系统的目录结构;
权限等级包括:允许写入、允许读取\复制创建、允许所有操作、禁止所有操作,其中数字1至4分别对应允许写入、允许读取\复制创建、允许所有操作、禁止所有操作;
主体或客体既可以是变量也可以是常量,比如用户名或文件路径,为常量时无需加%%。
例如,[FileTemplaterule]%mysqlbaseprocess%|%mysqldata%|3这一条策略表示在MySQL数据库管理系统中,允许数据库基本进程对数据库文件的所有操作;
[FileTemplaterule]administroter|%mysqldata%|2这一条策略表示在MySQL数据库管理系统中,允许用户对数据库文件进行读取\复制创建。
步骤207:根据生成的安全策略,对数据库的安全进行防护。
在本发明一个实施例中,根据安全策略中主体对客体访问权限的限制,对数据库的安全进行防护。例如,安全策略中包含多条策略,其中一条为[ProcTemplaterule]administroter|%mysqlbaseprocess%|4,那么,根据该条策略,禁止用户对MySQL数据库管理系统基本进程的所有操作。
需要说明的是,本发明实施例中关于数据库管理系统的类型和目录结构的获取,以及安全策略的生成均以MySQL数据库管理系统为例,其他类型数据库管理系统在实际业务实现中,对于数据库管理系统的类型和目录结构的获取以及安全策略的生成可以与之不同。
如图3所述,本发明实施例还提供了一种数据库安全防护装置,该装置包括:
创建单元301,用于创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
匹配单元302,用于将当前运行的所有进程与所述创建单元301创建的基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
第一获取单元303,用于根据所述匹配单元302匹配成功的第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
第二获取单元304,用于根据所述第一获取单元303获取的第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
生成单元305,用于通过所述第一获取单元303获取的数据库管理系统的类型和所述第二获取单元304获取的数据库管理系统的目录结构生成安全策略;
防护单元306,用于根据所述生成单元305生成的安全策略,对所述数据库安全进行防护。
在本发明一个实施例中,
所述匹配单元302,用于将当前运行的所有进程的进程名分别与所述基本进程库中的基本进程的进程名进行匹配,如果当前运行中的第一进程的进程名与其中一个基本进程的进程名相同,则为匹配成功,获取所述第一进程。
在本发明一个实施例中,
所述第一获取单元303,用于获取所述第一进程的基本信息,并通过所述第一进程的文件名,确定与所述第一进程相对应的数据库管理系统的类型。
在本发明一个实施例中,
所述生成单元305,用于由所述数据库管理系统的类型确定所述安全策略针对的数据库管理系统的类型,生成包括策略类型、主体、客体及权限等级的所述安全策略,其中,由所述数据库管理系统的目录结构确定所述客体,由所述客体确定所述策略类型及所述主体,根据所述客体的重要程度及所述主体的需求确定所述权限等级.
在本发明一个实施例中,
所述防护单元306,用于通过所述权限等级限制所述主体对所述客体的访问形式,从而对所述数据库进行防护。
根据上述方案,本发明的实施例所提供的一种数据库安全防护方法与装置,至少具有如下有益效果:
1、本发明实施例中,创建包括至少一个基本进程的基本进程库,其中每个基本进程对应一类数据库管理系统,将运行中的所有进程依次与基本进程库中的基本进程进行匹配,获取运行中的匹配成功的进程,根据匹配成功的进程获取该进程对应的数据库管理系统的类型和目录结构,根据获取到的数据库管理系统的类型和目录结构生成安全策略,根据安全策略对数据库安全进行防护,由于本方案是从操作系统层面对数据库进行防护,可以实现对用户及数据库管理员访问权限的限制,能够提高数据库的安全性。
2、本发明实施例中,生成安全策略时,访问主体可以为变量或常量,同时被访问客体也可以为变量或常量,主体为变量时可以为一类进程或一类用户,主体为常量时可以为一个用户名,客体为变量时可以为一个文件目录或一个进程目录,客体为常量时可以为一个文件路径,这样对访问权限的配置将更加灵活,可以根据实际情况合理配置访问权利,提高数据库的安全性。
3、在本发明实施例中,一个服务器中可能包括多个数据库,每个数据库管理系统的类型可能都不一样,在获取数据库管理系统类型过程中可以获取多个数据库管理系统的类型,针对不同类型的数据库管理系统,生成不同的安全策略予以防护,具有很强的兼容性。
4、在本发明实施例中,生成安全策略过程中,用户可以自定义策略模板,对于同类的客体或主体,仅需对策略模板进行简单的修改即可实现,具有很强的易用性;用户还可以对策略模板进行灵活的修改,而不需要知道数据库管理系统的文件和进程细节。
5、在本发明实施例中,对数据库进行防护的方案,可以在不同的操作系统上实现,也可以对不同的数据库管理系统进行防护,因此,具有较高的移植性。
上述设备内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种数据库安全防护方法,其特征在于,包括:
创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
将当前运行的所有进程与所述基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
根据所述第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
根据所述第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
通过所述数据库管理系统的类型和所述数据库管理系统的目录结构生成安全策略;
根据所述安全策略,对所述数据库安全进行防护。
2.根据权利要求1所述的方法,其特征在于,所述基本进程库中的基本进程与各类数据库管理系统一一对应,且所述基本进程库中的基本进程与对应数据库管理系统启动后运行的进程保持同样的进程名。
3.根据权利要求1或2所述的方法,其特征在于,所述将当前运行的所有进程与所述基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程包括:将当前运行的所有进程的进程名分别与所述基本进程库中的基本进程的进程名进行匹配,如果当前运行中的第一进程的进程名与其中一个基本进程的进程名相同,则为匹配成功,获取所述第一进程。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型包括:获取所述第一进程的基本信息,并通过所述第一进程的文件名,确定与所述第一进程相对应的数据库管理系统的类型。
5.根据权利要求1所述的方法,其特征在于,所述通过所述数据库管理系统的类型和数据库管理系统的目录结构生成安全策略包括:由所述数据库管理系统的类型确定所述安全策略针对的数据库管理系统的类型,生成包括策略类型、主体、客体及权限等级的所述安全策略,其中,由所述数据库管理系统的目录结构确定所述客体,由所述客体确定所述策略类型及所述主体,根据所述客体的重要程度及所述主体的需求确定所述权限等级。
6.根据权利要求5所述的方法,其特征在于,所述主体包括:变量或常量;
和/或,
所述客体包括:变量或常量。
7.根据权利要求5或6所述的方法,其特征在于,所述根据所述安全策略,对所述数据库安全进行防护包括:通过所述权限等级限制所述主体对所述客体的访问形式,从而对所述数据库进行防护。
8.一种数据库安全防护装置,其特征在于,包括:
创建单元,用于创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
匹配单元,用于将当前运行的所有进程与所述创建单元创建的基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
第一获取单元,用于根据所述匹配单元匹配成功的第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
第二获取单元,用于根据所述第一获取单元获取的第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
生成单元,用于通过所述第一获取单元获取的数据库管理系统的类型和所述第二获取单元获取的数据库管理系统的目录结构生成安全策略;
防护单元,用于根据所述生成单元生成的安全策略,对所述数据库安全进行防护。
9.根据权利要求8所述的装置,其特征在于,包括:
所述匹配单元,用于将当前运行的所有进程的进程名分别与所述基本进程库中的基本进程的进程名进行匹配,如果当前运行中的第一进程的进程名与其中一个基本进程的进程名相同,则为匹配成功,获取所述第一进程。
10.根据权利要求8所述的装置,其特征在于,包括:
所述第一获取单元,用于获取所述第一进程的基本信息,并通过所述第一进程的文件名,确定与所述第一进程相对应的数据库管理系统的类型;
和/或,
所述生成单元,用于由所述数据库管理系统的类型确定所述安全策略针对的数据库管理系统的类型,生成包括策略类型、主体、客体及权限等级的所述安全策略,其中,由所述数据库管理系统的目录结构确定所述客体,由所述客体确定所述策略类型及所述主体,根据所述客体的重要程度及所述主体的需求确定所述权限等级;
和/或,
所述防护单元,用于通过所述权限等级限制所述主体对所述客体的访问形式,从而对所述数据库进行防护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510259712.XA CN104850625B (zh) | 2015-05-20 | 2015-05-20 | 一种数据库安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510259712.XA CN104850625B (zh) | 2015-05-20 | 2015-05-20 | 一种数据库安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104850625A true CN104850625A (zh) | 2015-08-19 |
| CN104850625B CN104850625B (zh) | 2018-05-04 |
Family
ID=53850269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510259712.XA Active CN104850625B (zh) | 2015-05-20 | 2015-05-20 | 一种数据库安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104850625B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096448A (zh) * | 2016-06-20 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种基于ssr加密技术的数据库安全加固方法和系统 |
| CN108229200A (zh) * | 2017-12-14 | 2018-06-29 | 浪潮软件股份有限公司 | 一种对数据库进行安全保护的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101630351A (zh) * | 2009-06-04 | 2010-01-20 | 中国人民解放军理工大学指挥自动化学院 | 利用进程注入及TNS协议解析增强Oracle数据库服务器安全的方法 |
| US20100250519A1 (en) * | 2009-03-24 | 2010-09-30 | Software Ag | XML database management system for an XML database comprising access protected XML data |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN102123149A (zh) * | 2011-03-04 | 2011-07-13 | 哈尔滨工程大学 | 面向服务的大规模网络安全态势评估装置及方法 |
-
2015
- 2015-05-20 CN CN201510259712.XA patent/CN104850625B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100250519A1 (en) * | 2009-03-24 | 2010-09-30 | Software Ag | XML database management system for an XML database comprising access protected XML data |
| CN101630351A (zh) * | 2009-06-04 | 2010-01-20 | 中国人民解放军理工大学指挥自动化学院 | 利用进程注入及TNS协议解析增强Oracle数据库服务器安全的方法 |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN102123149A (zh) * | 2011-03-04 | 2011-07-13 | 哈尔滨工程大学 | 面向服务的大规模网络安全态势评估装置及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096448A (zh) * | 2016-06-20 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种基于ssr加密技术的数据库安全加固方法和系统 |
| CN108229200A (zh) * | 2017-12-14 | 2018-06-29 | 浪潮软件股份有限公司 | 一种对数据库进行安全保护的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104850625B (zh) | 2018-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109313690A (zh) | 自包含的加密引导策略验证 | |
| US7290279B2 (en) | Access control method using token having security attributes in computer system | |
| US8627104B2 (en) | Secure data storage | |
| KR100380807B1 (ko) | 휴대단말장치, 서버장치, 시스템 및 그 프로그램기록매체 | |
| US11509467B2 (en) | Story assisted mnemonic phrase | |
| CN102368230A (zh) | 移动存储器的访问控制方法、移动存储器及系统 | |
| CN105577644A (zh) | 一种加密认证方法和系统 | |
| JP3867188B2 (ja) | セキュリティ管理システムおよびそのプログラム記録媒体 | |
| KR20050004097A (ko) | 인증 확장 모듈에 의한 디지털 데이터 인증 방법 및 장치 | |
| US10158623B2 (en) | Data theft deterrence | |
| CN104850625B (zh) | 一种数据库安全防护方法及装置 | |
| CN113395271A (zh) | 一种云计算平台中数据安全访问方法及云计算平台 | |
| US8132261B1 (en) | Distributed dynamic security capabilities with access controls | |
| CN114357514A (zh) | 一种基于安全芯片的多用户分区隔离方法 | |
| CN108256351B (zh) | 文件处理方法和装置、存储介质及终端 | |
| CN109583242A (zh) | 一种k-ux系统下硬盘分区加密的方法和系统 | |
| JP5797666B2 (ja) | 計算リソースの安全な実行 | |
| CN115174185B (zh) | 一种访问控制方法及装置 | |
| CN106228091A (zh) | 一种安全的固件验证更新方法 | |
| KR20110080121A (ko) | 컴퓨터 파일이 복사되었는지를 검출하는 방법 및 디바이스와, 이러한 검출을 가능하게 하는 방법 및 디바이스 | |
| CN109508550A (zh) | 基于SEAndroid的用户隐私保护方法及系统 | |
| EP4040319B1 (en) | Devices and methods for safe storage of media containing personal data and erasure of stored personal data | |
| CN114254325A (zh) | 一种嵌入式固件加密防破解的方法 | |
| JP2003208234A (ja) | ソフトウェア記録部分離型情報処理装置及びソフトウェア管理方法 | |
| EP3168768B1 (en) | Software protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180817 Address after: 250101 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong. Patentee after: Shandong wave cloud Mdt InfoTech Ltd Address before: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong Patentee before: Langchao Electronic Information Industry Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park Patentee after: Inspur cloud Information Technology Co., Ltd Address before: 250101 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong. Patentee before: SHANDONG LANGCHAO YUNTOU INFORMATION TECHNOLOGY Co.,Ltd. |