CN116680749A - 数据库访问管理方法、装置、存储介质及电子设备 - Google Patents

Abstract

本申请公开了一种数据库访问管理方法、装置、存储介质及电子设备。涉及金融科技领域，该方法包括：获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。通过本申请，解决了相关技术难以对数据库访问进行有效管理而导致的数据库安全性较低的问题。

Description

数据库访问管理方法、装置、存储介质及电子设备

技术领域

本申请涉及金融科技领域，具体而言，涉及一种数据库访问管理方法、装置、存储介质及电子设备。

背景技术

数据库(DB2)安全性指保护DB2以防止不合法的使用所造成的数据泄露、更改或破坏。其安全框架可分为三个层次，分别为网络系统层次、宿主操作系统层次、数据库管理系统层次。随着防火墙、入侵检测、安全管理策略等技术的不断加强，网络系统和操作系统层次所面临的威胁得到了较好的控制。而确保企业数据库免遭破坏与未经授权的操作，已成为业界关注的焦点。

在数据库访问的过程中，通常需要部署审计软件实现对数据库(DB2)访问的审计。一般情况下，联机、批量和个人用户都可以对DB2进行访问，因此需要对联机、批量和个人用户访问DB2的情况进行追踪审计。相关技术中，难以对数据库的访问进行有效的管理，由此容易导致数据库的安全性较低。

针对上述问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种数据库访问管理方法，以解决相关技术难以对数据库访问进行有效管理而导致的数据库安全性较低的问题。

为了实现上述目的，根据本申请其中一实施例，提供了一种数据库访问管理方法。该方法包括：获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，数据库访问管理方法还包括：启用目标模式；在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

可选地，访问提示信息包括：目标用户的身份标识、用户名标识、组别标识、策略名称标识、类名标识、访问失败原因、待访问权限和目标权限。

为了实现上述目的，根据本申请其中一实施例，还提供了一种数据库访问管理装置。该装置包括：获取模块，用于获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；检查模块，用于利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中检查结果用于确定目标用户对应的授权策略；生成模块，用于基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，获取模块还用于响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，数据库访问管理装置还包括：启用模块，用于启用目标模式；生成模块还用于在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；写入模块，用于将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，获取模块还用于获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，生成模块还用于响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

为了实现上述目的，根据本申请其中一实施例，还提供了一种非易失性存储介质，存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述任意一项的数据库访问管理方法。

为了实现上述目的，根据本申请其中一实施例，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的数据库访问管理方法。

为了实现上述目的，根据本申请其中一实施例，还提供了一种电子设备，包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述任意一项的数据库访问管理方法。

通过本申请，采用以下步骤：获取资源访问策略和目标用户的访问请求信息，进而利用资源访问策略对访问请求信息进行授权检查，得到检查结果，最后基于检查结果生成访问提示信息，达到了对数据库访问进行有效管理的目的，从而实现了提高数据库安全性的技术效果，进而解决了相关技术难以对数据库访问进行有效管理而导致的数据库安全性较低的技术问题。

附图说明

构成本申请的一部分的附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请施例提供的数据库访问管理方法的流程图；以及

图2是根据本申请实施例提供的数据库访问管理装置的结构框图；以及

图3是根据本申请实施例提供的电子设备的示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

相关技术中，因安全审计要求，通常需要部署审计软件(GUARDIUM)，以实现对DB2访问的审计。举例而言，金融机构的生产环境DB2 PB0A中有16个系统(简称MEMBER)PB1A-PBGA，其中，16个MEMBER功能冗余且均衡分布在4台主机上，分别为主机1(PB1A、PB5A、PB9A、PBDA)、主机2(PB2A、PB6A、PBAA、PBEA)、主机3(PB3A、PB7A、PBBA、PBFA)和主机4(PB4A、PB8A、PBCA、PBGA)。因此需要在每个DB2 MEMBER中开启GUARDIUM 2个地址空间，也即需开启32个地址空间。

由于需要开启过多的地址空间，势必会耗费大量资源，包括CPU、存储空间等，并且容易造成GUARDIUM产品故障导致DB2数据库下宕。

而本申请中，仅在每台主机的一个DB2 MEMBER上开启GUARDIUM地址空间，例如，分别在PB1A-PB4A上开启GUARDIUM地址空间。因为PB5A-PBGA与PB1A-PB4A功能冗余，个人用户仅能访问PB1A-PB4A数据库。使用资源访问控制设备(RESOURCE ACCESS CONTROLFACILITY，RACF)策略控制，禁止个人用户访问PB5A-PBGA。从而确保个人用户访问DB2均被追踪审计。下述详述此实施方案。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了便于描述，以下对本申请实施例涉及的部分名词或术语进行说明：

资源访问控制设备(RESOURCE ACCESS CONTROL FACILITY，RACF)：主机操作系统(Z/OS)的一个附加软件产品，通过对用户(USER)、组(GROUP)、数据集(DATA SET)、通用资源(GENERAL RESOURCE)的授权管理和访问控制，可以保护系统资源与应用数据的安全，从而能够避免资源被无意或者恶意的使用、泄露、破坏和篡改，同时还具有认证用户、资源授权检查、安全审计和安全管理等功能。

资源访问策略：RACF有一个专有名称策略(PROFILE)，其保存了用户、资源和访问授权等信息，能够决定是否允许用户访问受保护的系统资源。RACF中共有4种PROFILE，分别为用户PROFILE、组PROFILE、数据集PROFILE和通用资源PROFILE。所有这些PROFILE都保存在RACF数据库中，因此RACF数据库的整合即PROFILE的整合。

目标数据库(DB2)：一种分布式数据库解决方案，是一种大型关系型数据库平台，有单系统或多系统情况。

审计监控软件(GUARDIUM)：一款数据库安全审计监控软件，实现对主机DB2访问的审计。

下面结合优选的实施步骤对本发明进行说明，图1是根据本申请实施例的数据库访问管理方法的流程图，如图1所示，该方法包括如下步骤：

步骤S12，获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库。

上述步骤S12中，在管理数据库访问的过程中，可以获取资源访问策略和目标用户的访问请求信息，以便利用资源访问策略对目标用户的访问请求信息进行授权检查，从而能够确定目标数据库的资源授权状态。

具体的，资源访问策略可以为RACF策略，可以利用RACF策略确定目标数据库的资源授权状态。目标用户可以通过发送访问请求信息以访问目标数据库。

举例而言，获取到RACF策略和用户请求访问DB2的访问请求信息时，可以利用RACF策略对用户发送的访问请求信息进行授权检测，当检测到已授权该用户访问DB2，则该用户有权限对DB2的资源进行访问。

步骤S14，利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略。

上述步骤S14中，在获取到资源访问策略和目标用户的访问请求信息之后，可以利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略。

具体的，可以利用资源访问策略检查目标用户是否有权限访问各外部系统以及DB2。

举例而言，可以利用RACF策略对用户发送的访问请求信息进行授权检测，当检测到未授权该用户访问DB2，则该用户无法对DB2的资源进行访问。

再举例而言，可以利用RACF策略对用户发送的访问请求信息进行授权检测，检测到授权该用户访问PB1A-PB4A，而未授权该用户访问PB5A-PBGA，则该用户可以对PB1A-PB4A的资源进行访问，而无法对PB5A-PBGA的资源进行访问。

步骤S16，基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

上述步骤S16中，在利用资源访问策略对访问请求信息进行授权检查，得到检查结果之后，可以基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

具体的，在检查到用户是否具有权限访问各外部系统以及DB2之后，可以生成提示信息，告知用户能否访问各外部系统以及DB2的资源。

基于上述步骤S12至S16，通过获取资源访问策略和目标用户的访问请求信息，进而利用资源访问策略对访问请求信息进行授权检查，得到检查结果，最后基于检查结果生成访问提示信息，达到了对数据库访问进行有效管理的目的，从而实现了提高数据库安全性的技术效果，进而解决了难以对数据库访问进行有效管理而导致的数据库安全性较低的技术问题。

在一个可选的实施例中，可以使用资源访问策略和目标数据库的内部安全机制共同维护目标数据库的安全。

在使用资源访问策略和目标数据库的内部安全机制共同维护目标数据库的安全时，需要定义DB2的外部安全控制模块，此时通过RACF来控制DB2，需定义RACF访问控制模块，命名为DSNXRXAC。具体的定义内容可以入表1所示。

表1

根据表1的内容可知，通配符&CLASSOPT含义为定义RACF启用类(CLASS)的范围；单系统值为1，多系统值为2；值为2。通配符&CLASSNMT含义为定启用类(CLASS)名，仅当&CLASSOPT为2才需设置；值为DSN。此处不再对表1中的其余内容进行赘述。

DSNXRXAC是一个汇编程序，需要将其组合、链接、编辑到DB2出口库。在安装上述RACF访问控制模块(DSNXRXAC)后，需重启DB2，使DB2生效。随后，在RACF中激活DB2对应类(CLASS)后，DB2就可以调用RACF进行授权检查，进而可以和DB2的内部安全机制一起，共同维护DB2安全。

每个DB2命令、UTILITY和SQL语句都对应一系列的权限和特权。基于此，通过在RACF定义匹配的策略，可以实现DB2内部授权机制的转换。DB2与FACF的对应关系可以如表2所示。

表2

根据表2的内容可知，DB2中的对象类型对应RACF中的类名，DB2中的特权对应RACF中的DB2对象的资源名，DB2中的权限对应RACF中的DSNADM和DB2权限的资源名，DB2中的安全策略对应RACF中的策略。其中，DB2的对象类型在RACF中定义的类名可以如表3所示。

表3

根据表3的内容可知，RACF的类名为MDSNDB和GDSNDB对应DB2的对象类型为Database，RACF的类名为MDSNTS和GDSNTS对应DB2的对象类型为Tablespace，RACF的类名为MDSNTB和GDSNTB对应DB2的对象类型为Table。此处不再对表3中的其余内容进行赘述。

RACF通过定义每个资源类的具体PROFILE，以决定是否允许用户访问受保护的系统资源。不同的资源类，对应的PROFILE也会不同，并且对于多系统和单系统的DB2情况，其PROFILE形式也会不一样。对于多系统，设置一个RACF资源类即可保护多个DB2系统，并以DB2子系统名作为前缀加以区分。而对于单个DB2子系统情况，一个资源类即对应一个DB2系统，无需以DB2子系统名作为前缀区分。

DSNR可以用于保护DB2子系统。对于批量、TSO、CICS、DDF和RRSAF等访问DB2的情况，可分别设置具体的策略。其PROFILE形式为“SUBSYSTEM.ENVIR ONMENT”，其中，SUBSYSTEM是DB2子系统名字，ENVIRONMENT是环境名，如表4所示，具体包括以下几种类型：

表4

在RACF中定义各种对象的具体策略后，当访问DB2资源时，RACF会先检查各外部系统和DB2地址空间对应的用户ID是否授权。如用户ID已被授权，则允许对应的外部系统或DB2地址空间访问DB2，否则不允许访问。且只有当激活了对应RACF资源类后，系统才会转向检查RACF安全策略。否则，则由DB2自身进行安全性检查。两者可互为补充共同维护DB2的安全。

在使用DSNR类保护DB2子系统时，第一步需要激活DSNR类的通配符保护。可以利用RACF命令语句”SETROPTS GENERIC(DSNR)”激活通配符，其中，GENERIC表示通配符，SETROPTS为激活关键字。

在使用DSNR类保护DB2子系统时，第二步需要定义DB2子系统RACF策略。以子系统名为PB5A进行举例，U(R)表示策略为可访问，OW($GRPDB2)表示拥有者为组$GRPDB2，RDEF(全称RDEFINE)是策略定义语句关键字。可以利用语句”RDEF DSNR(PB5A.BATCH PB5A.DISTPB5A.SASS PB5A.RRSAF)OW($GRPDB2)U(R)”定义DB2子系统RACF策略。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：

步骤S121，响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

上述步骤S121中，目标类名可以为DSNR，用于保护DB2子系统。当DSNR类对应的通配符处于激活状态时，可以使用通配符允许全体用户可以访问。例如，可以利用语句”RDEFDSNR**OW($GRPDB2)U(READ)”为全体用户授权，以使全体用户具有访问权限，其中，**为通配符，用于覆盖DSNR类下的所有策略。

基于上述步骤S121，通过响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，能够为第一覆盖范围内的全体用户授权，从而能够实现对数据库访问的有效管理。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，数据库访问管理方法还包括：

步骤S151，启用目标模式。

上述步骤S151中，在利用资源访问策略对访问请求信息进行授权检查之后，可以启用目标模式，其中，目标模式为告警(WARNING)模式，该模式为暂时性的访问策略。

步骤S152，在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足。

上述步骤S152中，目标模式下，用户可以访问数据库中的资源，但是会产生告警提示信息，以提醒用户的访问权限不足。

步骤S153，将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

上述步骤S153中，在目标模式下基于访问请求信息生成告警提示信息之后，可以将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

具体的，可以将目标模式下用户访问数据库时产生的告警提示信息写入审计日志，可以将用户对数据库的访问信息进行记录。

在一个可选的实施例中，跟踪审计日志并择机回收WARNING属性，真正生效RACF定义。

基于上述步骤S151至步骤S153，通过启用目标模式，进而在目标模式下基于访问请求信息生成告警提示信息，最后将告警提示信息写入审计日志，能够使访问权限不足的用户在目标模式下访问数据库，并且能够记录用户的访问行为，实现了对数据库访问的有效管理。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：

步骤S1221，获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识。

上述资源访问策略中的第二策略可以表示访问目标数据库的具体授权策略，可以包括为用户授权和拒绝为用户授权，从而使部分用户有权访问目标数据库，部分用户无法访问数据库。

上述步骤S1221中，获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识。具体的，可以获取不能访问数据库的用户的组名和标识。

举例而言，获取到所有不能访问DB2的个人用户清单，包括应用高低权限用户(组名#GRPAMT、#GRPAMON)、系统高低权限用户(组名#GRPSMON)、安全部用户(#GRPUMON)、运行部用户(#GRPOMON)、监控用户(#GRPJK)。

步骤S1222，基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

上述步骤S1222中，在获取到目标用户清单之后，可以基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

具体的，根据不能访问目标数据库的个人用户清单，可以确定该用户清单中的全体用户无法访问目标数据库。

具体的授权语句可以为”PE PB5A.BATCH CL(DSNR)ID(#GRPSMON,#GRPSM T,#GRPAMT,#GRPAMON)AC(NONE)，”其中，ID表示用户标识，AC(NONE)表示不能访问，PE(全称PERMIT)表示授权。

在一个可选的实施例中，除了目标用户之外的其它用户(如特权用户、批量用户、专用用户等)可以访问目标数据库。因定义子系统RACF策略为U(R)，即通用策略为可访问，因而对于可访问PB5A的用户无需再授权。

基于上述步骤S1221至步骤S1222，通过获取目标用户清单，进而基于目标用户清单设置目标类名对应的第二覆盖范围，能够确定第二覆盖范围内的全体用户不具备访问权限，从而实现了对数据库访问的有效管理，进而提高了数据库的安全性。

可选地，步骤S16中，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

上述步骤S16中，当基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

可选地，访问提示信息包括：目标用户的身份标识、用户名标识、组别标识、策略名称标识、类名标识、访问失败原因、待访问权限和目标权限。

例如，当根据检查结果确定用户实际拥有的权限与访问目标数据库需要的权限不匹配时，生成访问提示信息，包括目标用户的身份标识、用户名标识、组别标识、策略名称标识、类名标识、访问失败原因、待访问权限和目标权限，以便向用户提示访问失败。

基于上述步骤S16，通过响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，能够在用户无访问权限时，向用户提示访问失败。

在一个可选的实施例中，还可以利用RACF命令语句”SETROPTS CLASSACT(DSNR)”激活DSNR类。

在一个可选的实施例中，还可以将DSNR类的有关定义刷新到内存，实时生效策略，使用的语句如下：

”SETROPTS RACLIST(DSNR)”；

”SETROPTS RACLIST(DSNR)REFRESH”；

”SETROPTS GENERIC(DSNR)REFRESH”。

通过以上步骤，RACF会拒绝未授权的用户访问DB2资源，且会在审计日志中记录失败访问信息。例如，以下为用户PVS1030作业访问PB5A DB2子系统的失败信息：

”ICH408I USER(PVS1030)GROUP(#GRPSMT)NAME(JINHUIMIN)”；

”PB5A.BATCH CL(DSNR)”；

”INSUFFICIENT ACCESS AUTHORITY”；

”ACCESS INTENT(READ)ACCESS ALLOWED(NONE)”。

其中，第1行表示：用户PVS1030，对应的用户名为JINHUIMIN，所属组为系统维护组(#GRPSMT)；第2行表示：PROFILE名为PB5A.BATCH，类名为DSRN；第3行表示：访问权限不足；第4行表示：访问失败的原因为需要访问的权限为READ，实际允许的权限为NONE。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例还提供了一种数据库访问管理装置，需要说明的是，本申请实施例的数据库访问管理装置可以用于执行本申请实施例所提供的用于数据库访问管理方法。以下对本申请实施例提供的数据库访问管理装置进行介绍。

图2是根据本申请实施例的数据库访问管理装置的结构框图。如图2所示，该装置包括：获取模块201，用于获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；检查模块202，用于利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中检查结果用于确定目标用户对应的授权策略；生成模块203，用于基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，获取模块201还用于响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在本申请实施例提供的数据库访问管理装置中，还包括：启用模块204，用于启用目标模式；生成模块203还用于在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；写入模块205，用于将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，获取模块201还用于获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，生成模块203还用于响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

本申请实施例提供的数据库访问管理装置，获取资源访问策略和目标用户的访问请求信息，进而利用资源访问策略对访问请求信息进行授权检查，得到检查结果，最后基于检查结果生成访问提示信息，达到了对数据库访问进行有效管理的目的，从而实现了提高数据库安全性的技术效果，进而解决了相关技术难以对数据库访问进行有效管理而导致的数据库安全性较低的技术问题。

上述数据库访问管理装置包括处理器和存储器，上述获取模块201、检查模块202和生成模块203等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来获取资源访问策略和目标用户的访问请求信息，进而利用资源访问策略对访问请求信息进行授权检查，得到检查结果，最后基于检查结果生成访问提示信息，达到了对数据库访问进行有效管理的目的，从而实现了提高数据库安全性的效果，进而解决了相关技术难以对数据库访问进行有效管理而导致的数据库安全性较低的问题。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本发明实施例提供了一种非易失性存储介质，存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述任意一项方法实施例中的步骤：

获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，方法还包括：启用目标模式；在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

本发明实施例提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的数据库访问管理方法。

如图3所示，本发明实施例提供了一种电子设备，电子设备30包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现以下步骤：

获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，方法还包括：启用目标模式；在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

此外，电子设备30中的处理器被设置为运行计算机程序时还可以实现以下步骤：

获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，方法还包括：启用目标模式；在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

本文中的电子设备可以是服务器、PC、PAD、手机等。

本申请还提供了一种计算机程序产品，当在电子设备上执行时，适于执行初始化有如下方法步骤的程序：

获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，方法还包括：启用目标模式；在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

此外，该计算机程序产品在电子设备上执行时，还适于执行初始化有如下方法步骤的程序：

获取资源访问策略和目标用户的访问请求信息，其中，资源访问策略用于确定目标数据库的资源授权状态，访问请求信息用于访问目标数据库；利用资源访问策略对访问请求信息进行授权检查，得到检查结果，其中，检查结果用于确定目标用户对应的授权策略；基于检查结果生成访问提示信息，其中，访问提示信息用于提示目标用户对于目标数据库的访问结果。

可选地，资源访问策略包括：第一策略，其中，第一策略用于表示访问目标数据库的通用授权策略，获取第一策略包括：响应于目标类名对应的通配符处于激活状态，基于通配符设置目标类名对应的第一覆盖范围，其中，通配符用于为第一覆盖范围内的全体用户授权，目标类名用于对目标数据库中对应的目标对象类型进行保护。

可选地，在利用资源访问策略对访问请求信息进行授权检查之后，方法还包括：启用目标模式；在目标模式下基于访问请求信息生成告警提示信息，其中，告警提示信息用于提示目标用户的访问权限不足；将告警提示信息写入审计日志，其中，审计日志用于记录目标用户对于目标数据库的访问信息。

可选地，资源访问策略还包括：第二策略，其中，第二策略用于表示访问目标数据库的具体授权策略，获取第二策略包括：获取目标用户清单，其中，目标用户清单包括禁止访问的用户组名和用户标识；基于目标用户清单设置目标类名对应的第二覆盖范围，其中，第二覆盖范围内的全体用户不具备访问权限。

可选地，基于检查结果生成访问提示信息包括：响应基于检查结果确定目标用户对应的目标权限与待访问权限不匹配，生成访问提示信息，其中，访问提示信息用于提示目标用户访问失败。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种数据库访问管理方法，其特征在于，包括：

获取资源访问策略和目标用户的访问请求信息，其中，所述资源访问策略用于确定目标数据库的资源授权状态，所述访问请求信息用于访问所述目标数据库；

利用所述资源访问策略对所述访问请求信息进行授权检查，得到检查结果，其中，所述检查结果用于确定所述目标用户对应的授权策略；

基于所述检查结果生成访问提示信息，其中，所述访问提示信息用于提示所述目标用户对于所述目标数据库的访问结果。

2.根据权利要求1所述的方法，其特征在于，所述资源访问策略包括：第一策略，其中，所述第一策略用于表示访问所述目标数据库的通用授权策略，获取所述第一策略包括：

响应于目标类名对应的通配符处于激活状态，基于所述通配符设置所述目标类名对应的第一覆盖范围，其中，所述通配符用于为所述第一覆盖范围内的全体用户授权，所述目标类名用于对所述目标数据库中对应的目标对象类型进行保护。

3.根据权利要求2所述的方法，其特征在于，在利用所述资源访问策略对所述访问请求信息进行授权检查之后，所述方法还包括：

启用目标模式；

在所述目标模式下基于所述访问请求信息生成告警提示信息，其中，所述告警提示信息用于提示所述目标用户的访问权限不足；

将所述告警提示信息写入审计日志，其中，所述审计日志用于记录所述目标用户对于所述目标数据库的访问信息。

4.根据权利要求1所述的方法，其特征在于，所述资源访问策略还包括：第二策略，其中，所述第二策略用于表示访问所述目标数据库的具体授权策略，获取所述第二策略包括：

获取目标用户清单，其中，所述目标用户清单包括禁止访问的用户组名和用户标识；

基于所述目标用户清单设置所述目标类名对应的第二覆盖范围，其中，所述第二覆盖范围内的全体用户不具备所述访问权限。

5.根据权利要求1所述的方法，其特征在于，基于所述检查结果生成所述访问提示信息包括：

响应基于所述检查结果确定所述目标用户对应的目标权限与待访问权限不匹配，生成所述访问提示信息，其中，所述访问提示信息用于提示所述目标用户访问失败。

6.根据权利要求5所述的方法，其特征在于，所述访问提示信息包括：所述目标用户的身份标识、用户名标识、组别标识、策略名称标识、类名标识、访问失败原因、所述待访问权限和所述目标权限。

7.一种数据库访问管理装置，其特征在于，包括：

获取模块，用于获取资源访问策略和目标用户的访问请求信息，其中，所述资源访问策略用于确定目标数据库的资源授权状态，所述访问请求信息用于访问所述目标数据库；

检查模块，用于利用所述资源访问策略对所述访问请求信息进行授权检查，得到检查结果，其中所述检查结果用于确定所述目标用户对应的授权策略；

生成模块，用于基于所述检查结果生成访问提示信息，其中，所述访问提示信息用于提示所述目标用户对于所述目标数据库的访问结果。

8.一种非易失性存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至6任意一项所述的数据库访问管理方法。

9.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至6中任意一项所述的数据库访问管理方法。

10.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至6中任意一项所述的数据库访问管理方法。