CN110598423A - 数据库账号管理方法 - Google Patents
数据库账号管理方法 Download PDFInfo
- Publication number
- CN110598423A CN110598423A CN201910717775.3A CN201910717775A CN110598423A CN 110598423 A CN110598423 A CN 110598423A CN 201910717775 A CN201910717775 A CN 201910717775A CN 110598423 A CN110598423 A CN 110598423A
- Authority
- CN
- China
- Prior art keywords
- database
- account
- management method
- name
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种数据库账号管理方法:包括以下步骤:1)、配置数据库服务器IP和端口,抓取数据库网络流量。2)、解析步骤1)抓取的数据库流量,得到解析结果,并将解析结果发送到数据库审计设备;解析结果包含但不限于SQL语句、操作时间、操作账号、返回码、客户端程序。3)、数据库审计设备根据解析结果进行账号管理。本发明通过获取数据库服务器流量,过滤执行成功的数据库操作,得到流量中数据库操作账号、操作时间、sql语句、操作应用系统、执行错误代码,并将错误信息发送给对应的应用系统,提醒应用系统运维人员给对应的操作账号做相应处理。
Description
技术领域
本发明涉及一种数据库管理方法,具体涉及一种数据库账号管理方法。
背景技术
随着信息化系统的不断推进和普及,信息系统数据集中化,应用系统平台化。在信息部署环境中,数据库与多个应用系统共享数据。然而,系统运维时,应用系统会对应到不同运维人员,运维人员新旧更替很多,时间一长,会搞不清楚具体公司有哪些数据库账号对应用系统是否有操作权限,具体应该拥有什么操作权限,尤其是一些离职人员的账号使用情况,是否已经完全删除不需要的账号,或者还在被偷偷的使用。
CN201010517307.0一种对数据库中的账号信息进行管理操作的方法、系统及装置,用以解决DBA账号授权的不灵活的问题。该方法用户通过登录安全管控平台的第一账号,通过第一账号发送管理操作命令,当安全管控平台接收到该管理操作命令后,将该管理操作命令及该第一账号的信息发送到数据库,使该数据库能够采用第一账号对应的DMA账号,根据接收到的管理操作命令执行相应的管理操作。是将账号与操作进行绑定实现管理操作。
CN201610149405.0一种数据库帐号安全集中管控方法,包括如下步骤:a)获取所有待监控数据库的相关账号;b)对所有待监控数据库的相关账号进行集中式管理;c)定时监听帐号预设的过期时间,自动锁定或回收过期帐号;d)审计访问痕迹和用户行为,对违规操作的帐号进行自动预警,并在预设时间内终止该帐号的操作权限。通过监听账号行为,从而审计用户行为,对违规行为预警。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的数据库账号管理方法。
为解决上述技术问题,本发明提供一种数据库账号管理方法:包括以下步骤:
1)、配置数据库服务器IP和端口,抓取数据库网络流量。
2)、解析步骤1)抓取的数据库流量,得到解析结果,并将解析结果发送到数据库审计设备;
解析结果包含但不限于SQL语句、操作时间、操作账号、返回码、客户端程序。
3)、数据库审计设备根据解析结果进行账号管理。
2、根据权利要求1所述的数据库账号管理方法,其特征在于:
步骤3包括3A和3B两步骤:
3A、账号清理:
3.11)、获得离职人员名单,并将离职人员名单同步到数据库审计设备。
离职人员名单包含但不限于账号、名称、状态;状态初始均为0。
3.12)、数据库审计设备将步骤2解析到的解析结果中的账号与离职人员名单库中状态为0的名单进行比对;
比对成功则执行步骤3.13);
比对失败则不做任何处理;
离职人员名单库包含但不限于账号、名称、状态。
3.13)、离职人员名单库中相应离职人员的状态置为1,执行步骤3.14);
3.14)、数据库审计设备将该账号标签为离职人员。执行步骤3.21);
3B、权限管理:
3.21)、解析SQL语句,通过SQL语句逻辑语法分析SQL语句信息得到数据库名、数据库操作、表名和字段。
3.22)、根据返回码,获取SQL语句执行错误。
3.23)、依照SQL语句执行错误和预设在数据库服务器中的执行错误对照表,对返回码进行归类,得到错误类别。
3.24)、根据步骤3.21)得到的数据库名、数据库操作、表名和步骤3.23)得到的错误类别,提示相应的客户端程序。
作为对本发明数据库账号管理方法的改进:
还包括3.25):通过步骤3.21)-3.24),发现T时间内客户端程序、账号、相应权限错误、权限不足对象,组织成报表,发送给相应的应用系统运维人员。
作为对本发明数据库账号管理方法的进一步改进:
如果没有从客户端程序删除对应的离职用户,每次离职用户登陆时在客户端提示其为离职人员;
如果从客户端程序删除对应的离职用户,则数据库审计设备中的离职人员名单库中的相应账号的状态更新为2。
作为对本发明数据库账号管理方法的进一步改进:
运维人员可以设置报表发送时间T,也可以主动获取报表。
作为对本发明数据库账号管理方法的进一步改进:
步骤3.11)中的离职人员名单为数据库服务器从保存有员工信息的系统获得。
本发明数据库账号管理方法的技术优势为:
本发明通过获取数据库服务器流量,过滤执行成功的数据库操作,得到流量中数据库操作账号、操作时间、sql语句、操作应用系统、执行错误代码,并将错误信息发送给对应的应用系统,提醒应用系统运维人员给对应的操作账号做相应处理。
本发明与CN201010517307.0相比,实施例中数据库只能根据该安全管控平台发送的管理操作命令执行相应的操作,从而实现了授权最小化。
本发明与CN201610149405.0相比,本发明是通过获取失败的流量,通过返回的错误代码找到账号缺失的权限,自动提醒以免由于权限缺失不能正常工作从而影响工作效率。
1、自动检测离职人员,提高检测效率,降低误报。
2、自动梳理应用系统权限内容,并形成报表,发送给相应运维人员,提高工作效率。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、数据库账号管理方法,本发明通过获取数据库服务器流量,过滤执行成功的数据库操作,得到流量中数据库操作账号、操作时间、sql语句、操作应用系统、执行错误代码,并将错误信息发送给对应的应用系统,提醒应用系统运维人员给对应的操作账号做相应处理。
具体包括以下步骤:
1)、配置数据库服务器IP和端口,抓取数据库网络流量。
2)、根据数据库协议解析步骤1)抓取的数据库流量,分析数据库流量,得到解析结果,并将解析结果发送到数据库审计设备,解析结果包含但不限于SQL语句、操作时间、账号、返回码、客户端程序。
客户端程序即对数据库服务器发送请求的应用程序。
例如可以使用以下数据:
SQL语句:select test.aa from bb
操作时间:2019/04/021456
账号:yltest
返回码:1044
客户端程序:OA
3)、进行账号管理;
账号管理过程分为以下3A、3B两步骤:
3A、账号清理:
3.11)、数据库服务器从保存有员工信息的系统获得离职人员名单,并将离职人员名单同步到数据库审计设备。
离职人员名单包含但不限于账号、名称、状态;状态初始均为0。
如下表所示:
3.12)、数据库审计设备根据步骤2解析到的解析结果中的账号与离职人员名单库中状态为0的名单进行比对,比对成功则提示该账号为离职人员请及时清理,执行步骤3.13);比对失败则说明正在操作的用户不是离职人员,不做任何处理。
离职人员名单库包含但不限于账号、名称、状态。
假设AAA为离职人员,进行登陆。
3.13)、数据库审计设备的离职人员名单库中的该离职人员的状态置为1,1代表已离职,即已经被比对成功。执行步骤3.14);
如下表所示:
3.14)、数据库审计设备将该账号标签为离职人员。该账号一旦登录,审计设备则告警;执行步骤3.21);
如果没有从客户端程序删除对应的离职用户,每次离职用户登陆时在审计设备向客户端提示其为离职人员;
如果从客户端程序删除对应的离职用户,则数据库审计设备中的离职人员名单库中的相应账号的状态更新为2。
如下表所示:
3B、权限管理:
3.21)、数据库审计设备解析SQL语句,通过SQL语句逻辑语法分析SQL语句信息得到(包括但不限于)数据库名、数据库操作、表名、字段。
例如:
数据库名:test
数据库操作:select
表名:bb
3.22)、数据库审计设备根据返回码,获取SQL语句执行错误。
例如返回码为1044,代表当前用户没有访问数据库服务器的权限;
3.23)、数据库审计设备依照SQL语句执行错误和预设在数据库服务器中的执行错误对照表,对返回码进行归类,得到错误类别。
例如类别为权限、数据表不存在等。
3.24)、数据库审计设备处理错误类别,根据步骤3.21)得到的数据库名、数据库操作、表名和步骤3.23)得到的错误类别,提示相应的客户端程序。
3.25)、通过步骤3.21-3.24,能够发现T时间内客户端程序、账号、相应权限错误、权限不足对象,组织成报表,发送给相应的应用系统运维人员。
特别指出,运维人员可以根据需求配置报表发送时间T,也可以根据需求主动获取报表。
例如在客户端程序OA中的用户AAA,权限为:没有访问数据库权利(离职人员)。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (6)
1.数据库账号管理方法,其特征在于:包括以下步骤:
1)、配置数据库服务器IP和端口,抓取数据库网络流量;
2)、解析步骤1)抓取的数据库流量,得到解析结果,并将解析结果发送到数据库审计设备;
解析结果包含但不限于SQL语句、操作时间、操作账号、返回码、客户端程序;
3)、数据库审计设备根据解析结果进行账号管理。
2.根据权利要求1所述的数据库账号管理方法,其特征在于:
步骤3包括3A和3B两步骤:
3A、账号清理:
3.11)、获得离职人员名单,并将离职人员名单同步到数据库审计设备;
离职人员名单包含但不限于账号、名称、状态;状态初始均为0;
3.12)、数据库审计设备将步骤2解析到的解析结果中的账号与离职人员名单库中状态为0的名单进行比对;
比对成功则执行步骤3.13);
比对失败则不做任何处理;
离职人员名单库包含但不限于账号、名称、状态;
3.13)、离职人员名单库中相应离职人员的状态置为1,执行步骤3.14);
3.14)、数据库审计设备将该账号标签为离职人员;执行步骤3.21);
3B、权限管理:
3.21)、解析SQL语句,通过SQL语句逻辑语法分析SQL语句信息得到数据库名、数据库操作、表名和字段;
3.22)、根据返回码,获取SQL语句执行错误;
3.23)、依照SQL语句执行错误和预设在数据库服务器中的执行错误对照表,对返回码进行归类,得到错误类别;
3.24)、根据步骤3.21)得到的数据库名、数据库操作、表名和步骤3.23)得到的错误类别,提示相应的客户端程序。
3.根据权利要求2所述的数据库账号管理方法,其特征在于:
还包括3.25):通过步骤3.21)-3.24),发现T时间内客户端程序、账号、相应权限错误、权限不足对象,组织成报表,发送给相应的应用系统运维人员。
4.根据权利要求3所述的数据库账号管理方法,其特征在于:
如果没有从客户端程序删除对应的离职用户,每次离职用户登陆时在客户端提示其为离职人员;
如果从客户端程序删除对应的离职用户,则数据库审计设备中的离职人员名单库中的相应账号的状态更新为2。
5.根据权利要求4所述的数据库账号管理方法,其特征在于:
运维人员可以设置报表发送时间T,也可以主动获取报表。
6.根据权利要求5所述的数据库账号管理方法,其特征在于:
步骤3.11)中的离职人员名单为数据库服务器从保存有员工信息的系统获得。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910717775.3A CN110598423B (zh) | 2019-08-05 | 2019-08-05 | 数据库账号管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910717775.3A CN110598423B (zh) | 2019-08-05 | 2019-08-05 | 数据库账号管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110598423A true CN110598423A (zh) | 2019-12-20 |
CN110598423B CN110598423B (zh) | 2021-06-01 |
Family
ID=68853469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910717775.3A Active CN110598423B (zh) | 2019-08-05 | 2019-08-05 | 数据库账号管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110598423B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111600857A (zh) * | 2020-03-07 | 2020-08-28 | 浙江齐治科技股份有限公司 | 数据中心账号维护系统 |
CN111800478A (zh) * | 2020-06-15 | 2020-10-20 | 广州海颐信息安全技术有限公司 | 扫描中间件平台后台账号的方法及装置 |
CN111984974A (zh) * | 2020-08-31 | 2020-11-24 | 成都安恒信息技术有限公司 | 一种基于运维审计的windows远程运维隔离方法 |
CN112667742A (zh) * | 2020-09-24 | 2021-04-16 | 紫光云技术有限公司 | 主从副本账号同步优化方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090282083A1 (en) * | 2008-05-07 | 2009-11-12 | Microsoft Corporation | configuration of multiple database audits |
CN104063473A (zh) * | 2014-06-30 | 2014-09-24 | 江苏华大天益电力科技有限公司 | 一种数据库审计监测系统及其方法 |
CN107689958A (zh) * | 2017-09-03 | 2018-02-13 | 中国南方电网有限责任公司 | 一种应用于云审计系统的网络审计子系统 |
CN108874955A (zh) * | 2018-05-30 | 2018-11-23 | 郑州信大天瑞信息技术有限公司 | 一种数据库审计方法 |
CN109729147A (zh) * | 2018-11-28 | 2019-05-07 | 国云科技股份有限公司 | 一种云环境下支持多租户的审计系统及实现方法 |
CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
CN110083647A (zh) * | 2019-03-31 | 2019-08-02 | 广州建皓信息技术有限公司 | 一种大数据管理平台 |
-
2019
- 2019-08-05 CN CN201910717775.3A patent/CN110598423B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090282083A1 (en) * | 2008-05-07 | 2009-11-12 | Microsoft Corporation | configuration of multiple database audits |
CN104063473A (zh) * | 2014-06-30 | 2014-09-24 | 江苏华大天益电力科技有限公司 | 一种数据库审计监测系统及其方法 |
CN107689958A (zh) * | 2017-09-03 | 2018-02-13 | 中国南方电网有限责任公司 | 一种应用于云审计系统的网络审计子系统 |
CN108874955A (zh) * | 2018-05-30 | 2018-11-23 | 郑州信大天瑞信息技术有限公司 | 一种数据库审计方法 |
CN109729147A (zh) * | 2018-11-28 | 2019-05-07 | 国云科技股份有限公司 | 一种云环境下支持多租户的审计系统及实现方法 |
CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
CN110083647A (zh) * | 2019-03-31 | 2019-08-02 | 广州建皓信息技术有限公司 | 一种大数据管理平台 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111600857A (zh) * | 2020-03-07 | 2020-08-28 | 浙江齐治科技股份有限公司 | 数据中心账号维护系统 |
CN111800478A (zh) * | 2020-06-15 | 2020-10-20 | 广州海颐信息安全技术有限公司 | 扫描中间件平台后台账号的方法及装置 |
CN111800478B (zh) * | 2020-06-15 | 2022-08-12 | 广州海颐信息安全技术有限公司 | 扫描中间件平台后台账号的方法及装置 |
CN111984974A (zh) * | 2020-08-31 | 2020-11-24 | 成都安恒信息技术有限公司 | 一种基于运维审计的windows远程运维隔离方法 |
CN112667742A (zh) * | 2020-09-24 | 2021-04-16 | 紫光云技术有限公司 | 主从副本账号同步优化方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110598423B (zh) | 2021-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110598423B (zh) | 数据库账号管理方法 | |
US8624720B2 (en) | Security infrastructure | |
EP1962538B1 (en) | Method for managing terminal device | |
US11575673B2 (en) | Central user management in a distributed healthcare information management system | |
CN109359098B (zh) | 一种调度数据网行为监测系统及方法 | |
CN102195813A (zh) | 一种智能创建运维工单的方法和装置 | |
DE102018215679B4 (de) | Anwendungssicherheitsmanagementsystem und Randserver | |
CN109413642B (zh) | 终端安全检测与监测体系化方法 | |
CN109448231A (zh) | 一种故障信息的上报、处理方法及系统 | |
CN109559064A (zh) | 基于物联网的站台门的运行维护方法 | |
CN110705643A (zh) | 智能工具管理方法、装置、计算机设备以及存储介质 | |
CN112799358A (zh) | 一种工业控制安全防御系统 | |
CN110929896A (zh) | 一种系统设备的安全分析方法及装置 | |
CN112733147A (zh) | 设备安全管理方法及系统 | |
CN114172921A (zh) | 一种调度录音系统的日志审计方法及装置 | |
CN109218050A (zh) | 一种域名系统故障处理方法和系统 | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN113328996B (zh) | 一种基于目标感知的安全策略智能配置方法 | |
CN105550094B (zh) | 一种高可用系统状态自动监控方法 | |
CN108833414A (zh) | 一种在线服务异常监控方法 | |
CN113676356A (zh) | 报警信息处理方法、装置、电子设备及可读存储介质 | |
CN102882843B (zh) | 基于加密软件的自动检测维护方法 | |
CN113625663B (zh) | 一种综合态势管控系统 | |
CN113242154B (zh) | 一种远程资产管理系统及其方法 | |
CN111722983B (zh) | 一种可配置化的事件操作控制方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |