3
[0068]#对数据库配置文件的保护
[0069][FileTemplaterule]administroter I % mysqlconfigfile% |3
[0070]#用户对文件的限制
[0071][FileTemplaterule] administroter I % mysqldata% |2
[0072]......
[0073]#用户对进程的限制
[0074][ProcTemplaterule]administroter I % mysqlbaseprocess% |4
[0075]其中,
[0076][mysql]表明该安全策略对应的数据库管理系统的类型为MySQL数据库管理系统;
[0077]#表示注释行;
[0078][FileTemplaterule] % mysqlbaseprocess% % mysqldata% | 3 表不一条策略,该条策略包含4个部分,其中,[FileTemplaterule]表示策略模板,% mysqlbaseprocess%表示主体,% mysqldata%表示客体,3表示主体对壳体的权限等级,主体、客体、权限等级之间用I进行分隔;
[0079]策略模板的格式为[typename],[FileTemplaterule]为文件策略模板,[ProcTemplaterule]为进程策略模板;
[0080]主体以% name %的格式来表示;
[0081]客体为MySQL数据库管理系统的目录结构;
[0082]权限等级包括:允许写入、允许读取\复制创建、允许所有操作、禁止所有操作,其中数字I至4分别对应允许写入、允许读取\复制创建、允许所有操作、禁止所有操作;
[0083]主体或客体既可以是变量也可以是常量,比如用户名或文件路径,为常量时无需加
[0084]例如,[FileTemplaterule]% mysqlbaseprocess% | % mysqldata% 3 这一条策略表示在MySQL数据库管理系统中,允许数据库基本进程对数据库文件的所有操作;
[0085][FileTemplaterule]administroter % mysqldata% |2 这一条策略表不在MySQL数据库管理系统中,允许用户对数据库文件进行读取\复制创建。
[0086]步骤207:根据生成的安全策略,对数据库的安全进行防护。
[0087]在本发明一个实施例中,根据安全策略中主体对客体访问权限的限制,对数据库的安全进行防护。例如,安全策略中包含多条策略,其中一条为[ProcTemplaterule]administroter % mysqlbaseprocess % | 4,那么,根据该条策略,禁止用户对MySQL数据库管理系统基本进程的所有操作。
[0088]需要说明的是,本发明实施例中关于数据库管理系统的类型和目录结构的获取,以及安全策略的生成均以MySQL数据库管理系统为例,其他类型数据库管理系统在实际业务实现中,对于数据库管理系统的类型和目录结构的获取以及安全策略的生成可以与之不同。
[0089]如图3所述,本发明实施例还提供了一种数据库安全防护装置,该装置包括:
[0090]创建单元301,用于创建基本进程库,其中包含至少一个类型的数据库管理系统的基本进程,且每个基本进程对应一类数据库管理系统;
[0091]匹配单元302,用于将当前运行的所有进程与所述创建单元301创建的基本进程库中的基本进程进行匹配,获得当前运行进程中匹配成功的第一进程;
[0092]第一获取单元303,用于根据所述匹配单元302匹配成功的第一进程,获取所述第一进程的基本信息及所述第一进程对应的数据库管理系统的类型;
[0093]第二获取单元304,用于根据所述第一获取单元303获取的第一进程的基本信息,获取所述第一进程对应的数据库管理系统的目录结构;
[0094]生成单元305,用于通过所述第一获取单元303获取的数据库管理系统的类型和所述第二获取单元304获取的数据库管理系统的目录结构生成安全策略;
[0095]防护单元306,用于根据所述生成单元305生成的安全策略,对所述数据库安全进行防护。
[0096]在本发明一个实施例中,
[0097]所述匹配单元302,用于将当前运行的所有进程的进程名分别与所述基本进程库中的基本进程的进程名进行匹配,如果当前运行中的第一进程的进程名与其中一个基本进程的进程名相同,则为匹配成功,获取所述第一进程。
[0098]在本发明一个实施例中,
[0099]所述第一获取单元303,用于获取所述第一进程的基本信息,并通过所述第一进程的文件名,确定与所述第一进程相对应的数据库管理系统的类型。
[0100]在本发明一个实施例中,
[0101]所述生成单元305,用于由所述数据库管理系统的类型确定所述安全策略针对的数据库管理系统的类型,生成包括策略类型、主体、客体及权限等级的所述安全策略,其中,由所述数据库管理系统的目录结构确定所述客体,由所述客体确定所述策略类型及所述主体,根据所述客体的重要程度及所述主体的需求确定所述权限等级.
[0102]在本发明一个实施例中,
[0103]所述防护单元306,用于通过所述权限等级限制所述主体对所述客体的访问形式,从而对所述数据库进行防护。
[0104]根据上述方案,本发明的实施例所提供的一种数据库安全防护方法与装置,至少具有如下有益效果:
[0105]1、本发明实施例中,创建包括至少一个基本进程的基本进程库,其中每个基本进程对应一类数据库管理系统,将运行中的所有进程依次与基本进程库中的基本进程进行匹配,获取运行中的匹配成功的进程,根据匹配成功的进程获取该进程对应的数据库管理系统的类型和目录结构,根据获取到的数据库管理系统的类型和目录结构生成安全策略,根据安全策略对数据库安全进行防护,由于本方案是从操作系统层面对数据库进行防护,可以实现对用户及数据库管理员访问权限的限制,能够提高数据库的安全性。
[0106]2、本发明实施例中,生成安全策略时,访问主体可以为变量或常量,同时被访问客体也可以为变量或常量,主体为变量时可以为一类进程或一类用户,主体为常量时可以为一个用户名,客体为变量时可以为一个文件目录或一个进程目录,客体为常量时可以为一个文件路径,这样对访问权限的配置将更加灵活,可以根据实际情况合理配置访问权利,提高数据库的安全性。
[0107]3、在本发明实施例中,一个服务器中可能包括多个数据库,每个数据库管理系统的类型可能都不一样,在获取数据库管理系统类型过程中可以获取多个数据库管理系统的类型,针对不同类型的数据库管理系统,生成不同的安全策略予以防护,具有很强的兼容性。
[0108]4、在本发明实施例中,生成安全策略过程中,用户可以自定义策略模板,对于同类的客体或主体,仅需对策略模板进行简单