数据库用户行为管理系统和数据库用户行为管理方法

文档序号:6444871阅读:548来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:数据库用户行为管理系统和数据库用户行为管理方法
技术领域
本发明涉及业务支撑及管理信息系统领域,特别是涉及一种数据库用户行为管理系统和数据库用户行为管理方法。
背景技术
目前数据库信息安全是各大企业关注的重点。如果数据库用户通过后台对数据库中的敏感数据进行非法操作,导致敏感数据被泄露或者被恶意修改,将给企业带来巨大的经济损失和严重的品牌形象影响。目前的解决方案为:借助4A(认证Authentication、账号Account、授权Authorization、审计Audit)系统对用户操作进行事后审计。如图1所示为现有技术中的数据库系统的总体架构示意图,该数据库系统包括-AA系统、BOSS(业务操作支撑系统,BuSSineSS&Operation Support System)堡鱼机以及BOSS数据库,4A系统能够限定用户的访问权限等,并可记录用户的操作日志,甚至能够借助视频监控系统记录用户的操作过程。后台管理员可以在用户完成操作后,导出用户输入的针对BOSS数据库的所有字符命令以及操作过程视频记录,通过阅读操作日志及观看视频的方式,来对每个用户的操作是否合法进行人工判断。可以看出,管理员只有在发生安全事故后,才能知道曾有人违规操作,并需要对海量操作日志进行逐条审计,即使在审计过程中发现了一些非法操作,事故影响已经产生。而从海量日志中进行回溯定责又极其繁琐,审计工作量极大,造成实际操作内容与审批内容匹配正确率低、效率低、非法操作发现成功率低等问题。显而易见,使用目前的4A解决方案,不能对操作用户行为实时分析(Analyse),无法实时判断用户操作是否为合法,无法对非法操作行为进行实时拦截。

发明内容
有鉴于此,本发明提供一种数据库用户行为管理系统和数据库用户行为管理方法,能够对用户操作进行实时分析,实时判断用户操作是否合法,并对非法操作进行实时拦截。为解决上述问题,本发明提供一种数据库用户行为管理系统,包括:操作指令获取模块,用于获取用户输入的操作指令;操作指令分析模块,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;合法性判断模块,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;操作指令转发模块,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;操作指令拦截模块,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。可选的,所述数据库用户行为管理系统还包括:工单同步模块,用于同步工单系统中的审批工单;工单分析模块,用于对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储;其中,所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述数据库用户行为管理系统还包括:工单标识获取模块,用于获取所述用户输入的工单标识;其中,所述工单分析模块还用于获取同步的审批工单的工单标识并存储;所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识相同的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述操作指令分析模块是基于抽象语法树生成的语法分析器和词法分析器对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;所述工单分析模块是基于抽象语法树生成的语法分析器和词法分析器对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。可选的,所述合法性判断模块还包括:第一判断模块,用于判断所述指令操作范围是否涉及所述数据库的敏感数据;第二判断模块,用于当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;其中,所述操作指令转发模块还用于当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。本发明还提供一种数据库用户行为管理方法,包括:获取用户输入的操作指令;对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;判断所述指令操作范围是否超出所述用户本次操作的允许操作范围; 当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。可选的,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤之前还包括:同步工单系统中的审批工单;对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储;所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括:从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。
可选的,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤之前还包括:获取所述用户输入的工单标识;获取同步的审批工单的工单标识并存储;所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括:从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识相同的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。可选的,所述对所述操作指令进行分析,得到所述操作指令对应的指令操作范围的步骤包括:基于抽象语法树生成的语法分析器和词法分析器对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;所述对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储的步骤包括:基于抽象语法树生成的语法分析器和词法分析器对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。可选的,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括:判断所述指令操作范围是否涉及所述数据库的敏感数据;当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。本发明具有以下有益效果:对用户输入的操作指令进行实时分析,实时判断用户输入的操作指令是否为合法操作指令,并对合法操作指令进行转发,对非法操作指令进行实时拦截,从而解决了现有的4A系统在对数据库管理中不能发现并实时拦截非法操作、无法实现“事中控制”、审计匹配正确率低的问题。


图1为现有技术中的数据库系统的总体架构示意图;图2为本发明实施例的数据库用户行为管理系统的一结构示意图;图3为本发明实施例的数据库用户行为管理方法的一流程示意图;图4为本发明实施例的数据库用户行为管理方法的另一流程示意图;图5为本发明实施例的数据库用户行为管理方法的又一流程示意图;图6为本发明实施例的数据库系统的总体架构示意图;图7为图6中的数据库系统的工作流程示意图。
具体实施方式
现有技术中的4A解决方案,不能发现用户的非法操作并实时拦截的根本原因在于数据库系统对所有的操作指令均进行透传,本发明实施例中,对用户输入的所有操作指令均进行分析,判断操作指令是否合法,并对非法操作指令进行实时拦截,从而在根本上解决目前数据库安全运维管控工作的难题。下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。如图2所示为本发明实施例的数据库用户行为管理系统的一结构示意图,该数据库用户行为管理系统包括:操作指令获取模块201,用于获取用户输入的操作指令;该操作指令是针对数据库的操作指令。操作指令分析模块202,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;所述操作范围包括操作对象以及对该操作对象的操作动作。合法性判断模块203,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;操作指令转发模块204,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;操作指令拦截模块205,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。通过上述实施例提供的数据库用户行为管理系统,能够对用户输入的操作指令进行实时分析,实时判断用户输入的操作指令是否为合法操作指令,并对合法操作指令进行转发,对非法操作指令进行实时拦截,从而解决了现有的4A系统在对数据库管理中不能发现并实时拦截非法操作、无法实现“事中控制”、审计匹配正确率低的问题。本发明实施例中,可以预先配置用户对应的允许操作范围(即用户的操作权限),并存储。当检测到某一用户输入操作指令时,首先对该操作指令进行分析,得到该操作指令对应的指令操作范围,并从存储的所有用户对应的允许操作范围中,提取出该用户对应的允许操作范围,判断该操作指令对应的指令操作范围是否超出该用户对应的允许操作范围,如果是,则判定该操作指令为非法操作指令,对该操作指令进行拦截,否则,判定该操作指令为合法操作指令,将该操作指令转发给数据库。本发明实施例中,也可以设置一工单系统,用户在每执行一次数据库操作之前,都需要填写一个审批工单,并将该审批工单存储到工单系统中,该审批工单中记录有该用户的该次对数据库操作的允许操作范围。数据库用户行为管理系统可以周期性同步工单系统中的所有审批工单,例如每三个小时同步一次,或者,也可以仅在工单系统有更新时,同步更新的审批工单。将工单系统中的审批工单同步过来后,可以对审批工单进行分析,得到审批工单中记录的用户该次操作的允许操作范围(以下简称审批工单的允许操作范围)。数据库用户行为管理系统检测到用户输入操作指令时,对该操作指令进行分析,得到该操作指令对应的指令操作范围,并从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围,以判断操作指令对应的指令操作范围是否超出所述用户本次操作的允许操作范围。对应于上述描述,本发明实施例的数据库用户行为管理系统还可以包括:工单同步模块,用于同步工单系统中的审批工单;
工单分析模块,用于对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储;其中,所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为用户对应的允许操作范围。所述工单分析模块与上述操作指令分析模块可以采用同一物理功能模块实现,也可以采用不同的物理功能模块实现。本发明实施例中,可以为每一用户配置一唯一的用户身份标识,并在该用户的审批工单中标明出用户身份标识,从而能够方便地从多个审批工单中提取出用户的审批工单,以判断用户输入的操作指令的指令操作范围是否超出该用户的审批工单的允许操作范围。本实施例中,可以为每一审批工单配置一工单标识(本实施例中称为key,例如工单流水号),当用户需要对数据库进行操作时,需要输入该用户对应的审批工单的工单标识,然后根据用户输入的工单标识,从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围,以判断用户输入的操作指令的指令操作范围是否超出该用户本次操作的允许操作范围。对应于上述描述,本发明实施例的数据库用户行为管理系统还可以包括:工单标识获取模块,用于获取所述用户输入的工单标识;其中,上述工单分析模块还用于对同步的审批工单进行分析,得到同步的审批工单的工单标识并存储。所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。当数据库中涉及的数据量较大时,如果针对用户的每一个操作指令均与审批工单的允许操作范围进行匹配操作的话,将会增大数据库用户行为管理系统的负担。因而,本发明实施例中,可以将数据库中的一些重要的数据(例如涉及用户隐私或者涉及商业秘密的数据)配置为敏感数据,仅针对这些敏感数据对应的操作指令与审批工单的允许操作范围进行匹配操作,对于针对普通数据的操作指令则可以直接进行转发。基于上述描述,本发明实施例的合法性判断模块还可以包括以下功能模块:第一判断模块,用于判断所述指令操作范围是否涉及所述数据库的敏感数据;第二判断模块,用于当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;其中,所述操作指令转发模块还用于当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。此外,上述实施例中,当操作指令转发模块将所述操作指令转发给数据库后,所述数据库可以执行所述操作指令,并得到一操作结果,所述数据库用户行为管理系统还可以将所述操作结果返回给用户。也就是说,所述数据库用户行为管理系统还可以包括一返回模块,用于将所述数据库针对所述操作指令的操作结果返回给所述用户。此外,本发明实施例的数据库用户行为管理系统还可以包括一记录模块,用于对用户输入的操作指令的合法性进行记录。
对应于上述数据库用户行为管理系统,本发明实施例还提供一种数据库用户行为管理方法,如图3所示为本发明实施例的数据库用户行为管理方法的一流程示意图,该数据库用户行为管理方法包括以下步骤:步骤301,获取用户输入的操作指令。步骤302,对所述操作指令进行分析,得到所述操作指令对应的指令操作范围。步骤303,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围,如果是,执行步骤304,否则,执行步骤305。步骤304,拦截所述操作指令。步骤305,将所述操作指令转发给数据库。此外,本实施例中,在将操作指令转发给数据库之后,还可以包括:将所述数据库针对所述操作指令的操作结果返回给所述用户的步骤。本发明实施例中,可以依据从工单系统中同步的用户的审批工单,判断用户输入的操作指令的指令操作范围是否超出用户本次操作的允许操作范围。如图4所示为本发明实施例的数据库用户行为管理方法的另一流程示意图,该数据库用户行为管理方法包括以下步骤:步骤401,同步工单系统中的审批工单。步骤402,对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。步骤403,获取用户输入的操作指令。步骤404,对所述操作指令进行分析,得到所述操作指令对应的指令操作范围。步骤405,从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围。步骤406,判断所述指令操作范围是否超出所述用户对应的审批工单的允许操作范围,如果是,执行步骤407,否则,执行步骤408。步骤407,拦截所述操作指令。步骤408,将所述操作指令转发给数据库。本实施例中,可以为每一审批工单配置一工单标识(例如工单流水号),当用户需要对数据库进行操作时,需要输入该用户对应的审批工单的工单标识,然后根据用户输入的工单标识,从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围,以判断用户输入的操作指令的指令操作范围是否超出该用户本次操作的允许操作范围。当数据库中涉及的数据量较大时,如果针对用户的每一个操作指令均与审批工单的允许操作范围进行匹配操作的话,将会增大数据库用户行为管理系统的负担。因而,本发明实施例中,可以将数据库中的一些重要的数据(例如涉及用户隐私或者涉及商业秘密的数据)配置为敏感数据,仅针对这些敏感数据对应的操作指令与审批工单的允许操作范围进行匹配操作,对于针对普通数据的操作指令则可以直接进行转发。如图5所示为本发明实施例的数据库用户行为管理方法的又一流程示意图,该数据库用户行为管理方法包括以下步骤:步骤501,同步工单系统中的审批工单。
步骤502,对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。步骤503,获取用户输入的操作指令。步骤504,对所述操作指令进行分析,得到所述操作指令对应的指令操作范围。步骤505,判断所述指令操作范围是否涉及所述数据库的敏感数据,如果是,执行步骤506,否则,执行步骤509。步骤506,从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围。步骤507,判断所述指令操作范围是否超出所述用户对应的审批工单的允许操作范围,如果是,执行步骤508,否则,执行步骤509。步骤508,拦截所述操作指令。步骤509,将所述操作指令转发给数据库。此外,上述判断所述指令操作范围是否涉及所述数据库的敏感数据的步骤之前,还可以包括:配置数据库的敏感数据的步骤。如图6所示为本发明实施例的数据库系统的总体架构示意图,该数据库系统包括:4A系统、BOSS堡垒机、iAnlyser系统、BOSS数据库以及工单系统,其中,iAnlyser系统即本发明实施例的数据库用户行为管理系统,包括=Secure Sqlplus客户端、工单同步系统、语法分析引擎、合法性判断模块、监控数据库以及展示模块,下面分别对上述各个模块进行详细说明。1> Secure Sqlplus 客户端以下简称为SS客户端,SS客户端可以是通过JAVA程序编写的一个类Sqlplus客户端,管理员可以在操作系统中设置权限,禁止其他数据库访问软件运行,只允许用户使用SS客户端对BOSS数据库进行访问操作。SS客户端能够获取用户输入的所有数据库操作指令(本实施例中为SQL指令),并调用语法分析引擎对每一条操作指令进行语法分析,并将分析结果(即指令操作范围)发送给合法性判断模块,另外,SS客户端还可以将用户输入的key (密钥,即上述工单标识)等信息发送给合法性判断模块,通过合法性判断模块对用户输入的操作指令进行合法性判断,如果操作指令被判定为合法,SS客户端则将该操作指令转发给BOSS数据库,并将BOSS数据库针对该操作指令的操作结果返回给用户,如果操作指令被判定为非法,SS客户端将对该操作指令进行拦截,并将拦截操作提示给用户。也就是说,该SS客户端用于执行上述实施例中的操作指令获取模块、操作指令转发模块、操作指令拦截模块以及工单标识获取模块执行的功能。2、工单同步模块工单同步模块通过工单系统(AMS系统,支持工单审批等流程)提供的Webservice接口,将工单系统中“已审批”的“审批工单”同步过来,并将“工单流水号”记作为key (密钥,即上述工单标识),然后调用语法分析引擎,从包括中文、英文、特殊字符等复杂无规律的工单描述中,提取出用户操作分析所需的操作指令(即SQL指令),并该操作指令进行分析,拆分成语法分析树(数据库对象+操作的简化集合),最终将key、本工单涉及操作的表名、字段表、操作动作等信息项写入监控数据库中。
也就是说,该工单同步模块用于执行上述实施例中的工单同步模块执行的功能。3、语法分析引擎本实施例中的语法分析引擎是一个基于抽象语法树(AST)的SQL语法分析引擎,该语法分析引擎可以被SS客户端及工单同步模块所调用,对工单同步模块或SS客户端传送过来的操作指令进行实时分析,得到该操作指令对应的操作范围(允许操作范围或指令操作范围),例如要操作的数据库表、字段、以及数据内容范围等,并将得到的结果写入监控数据库中。也就是说,该语法分析引擎用于执行上述实施例中的操作操作指令分析模块、工单分析模块执行的功能。4、合法性判断模块:合法性判断模块与SS客户端、监控数据库进行实时交互。当用户登录SS客户端时,SS客户端将用户输入的key发送到合法性判断模块,此时合法性判断模块可以根据该key,从监控数据库中提取出该key对应的审批工单的允许操作范围(作为合法性判断依据二)。当用户输入一条操作指令后,语法分析引擎对该操作指令进行分析,得到该操作指令的指令操作范围(作为合法性判断依据三),并将得到的指令操作范围实时写到监控数据库中,此时,合法性判断模块提取该条操作指令的指令操作范围,同时参考数据库的敏感数据(作为合法性判断依据一,敏感数据的表名、字段名、限定该指定对象下的操作动作等信息均存储于监控数据库中)。根据上述三个判断依据,判断该条操作指令是否合法,如果其中任意一个判断依据不符合要求,则判定该条操作指令非法,另外,合法性判断模块还可以将合法性判断结果写入监控数据库。也就是说,该合法性判断模块用于执行上述实施例中的合法性判断模块执行的功倉泛。5、监控数据库监控数据库接收并记录以下内容:语法分析引擎对用户输入的操作指令以及审批工单中的操作指令的分析结果、合法性判断模块对每条操作指令的合法性判断结果。监控数据库可以被语法分析引擎、合法性判断模块以及展示模块所访问。6、展示模块可以在展示模块前台页面配置BOSS数据库的敏感数据(配置敏感数据的表名、字段名、限定该指定对象下的操作动作等),同时,展示模块还可以对监控数据库中存储的合法性判断结果进行展示,以便管理员可以直接看到用户执行了什么操作,该操作是否合法以及拦截结果等。如图7所示为图6中的数据库系统的工作流程示意图:步骤701,通过展示模块配置敏感数据信息,指定敏感数据的表名、字段名、限定的操作动作等,作为合法性判断的依据一。步骤702,将敏感数据信息存储到表tb.mingan中。具体的,可以利用J2EE构建系统应用框架,提供Web操作界面对敏感数据表tb.mingan进行维护管理。敏感数据表tb.mingan可以如表I所示:表I
权利要求
1.一种数据库用户行为管理系统,其特征在于,包括: 操作指令获取模块,用于获取用户输入的操作指令; 操作指令分析模块,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围; 合法性判断模块,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围; 操作指令转发模块,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库; 操作指令拦截模块,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。
2.如权利要求1所述的数据库用户行为管理系统,其特征在于,还包括: 工单同步模块,用于同步工单系统中的审批工单; 工单分析模块,用于对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储; 其中,所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。
3.如权利要求2所述的数据库用户行为管理系统,其特征在于,还包括: 工单标识获取模块,用于获取所述用户输入的工单标识; 其中,所述工单分析模块还用于获取同步的审批工单的工单标识并存储; 所述合法性判断模块还用于从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识相同的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。
4.如权利要求2或3所述的数据库用户行为管理系统,其特征在于: 所述操作指令分析模块是基于抽象语法树生成的语法分析器和词法分析器对所述操作指令进行分析,得到所述操作指令对应的指令操作范围; 所述工单分析模块是基于抽象语法树生成的语法分析器和词法分析器对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。
5.如权利要求1所述的数据库用户行为管理系统,其特征在于,所述合法性判断模块还包括: 第一判断模块,用于判断所述指令操作范围是否涉及所述数据库的敏感数据; 第二判断模块,用于当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围; 其中,所述操作指令转发模块还用于当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。
6.一种数据库用户行为管理方法,其特征在于,包括: 获取用户输入的操作指令; 对所述操作指令进行分析,得到所述操作指令对应的指令操作范围; 判断所述指令操作范围是否超出所述用户本次操作的允许操作范围; 当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库; 当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。
7.如权利要求6所述的数据库用户行为管理方法,其特征在于: 所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤之前还包括: 同步工单系统中的审批工单; 对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储; 所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括: 从存储的所有审批工单的允许操作范围中,提取出所述用户对应的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。
8.如权利要求7所述的数据库用户行为管理方法,其特征在于: 所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤之前还包括: 获取所述用户输入的工单标识; 获取同步的审批工单的工单标识并存储; 所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括: 从存储的所有审批工单的允许操作范围中,提取出与所述用户输入的工单标识相同的审批工单的允许操作范围,作为所述用户本次操作的允许操作范围。
9.如权利要求7或8所述的数据库用户行为管理方法,其特征在于: 所述对所述操作指令进行分析,得到所述操作指令对应的指令操作范围的步骤包括:基于抽象语法树生成的语法分析器和词法分析器对所述操作指令进行分析,得到所述操作指令对应的指令操作范围; 所述对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储的步骤包括: 基于抽象语法树生成的语法分析器和词法分析器对同步的审批工单进行分析,得到同步的审批工单的允许操作范围并存储。
10.如权利要求6所述的数据库用户行为管理方法,其特征在于,所述判断所述指令操作范围是否超出所述用户本次操作的允许操作范围的步骤包括: 判断所述指令操作范围是否涉及所述数据库的敏感数据; 当所述指令操作范围涉及所述数据库的敏感数据时,判断所述指令操作范围是否超出所述用户本次操作的允许操作范围; 当所述指令操作范围不涉及所述数据库的敏感数据时,将所述操作指令转发给所述数据库。
全文摘要
本发明提供一种数据库用户行为管理系统和数据库用户行为管理方法,该数据库用户行为管理系统包括操作指令获取模块,用于获取用户输入的操作指令;操作指令分析模块,用于对所述操作指令进行分析,得到所述操作指令对应的指令操作范围;合法性判断模块,用于判断所述指令操作范围是否超出所述用户本次操作的允许操作范围;操作指令转发模块,用于当所述指令操作范围未超出所述用户本次操作的允许操作范围时,将所述操作指令转发给数据库;操作指令拦截模块,用于当所述指令操作范围超出所述用户本次操作的允许操作范围时,拦截所述操作指令。本发明能够实时分析用户操作,实时判断用户操作是否合法,实时拦截非法操作。
文档编号G06F17/30GK103186733SQ201110459730
公开日2013年7月3日 申请日期2011年12月30日 优先权日2011年12月30日
发明者冯允, 熊刚, 李启文, 蒋迎锋, 梅铁勇 申请人:中国移动通信集团广东有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:冯允;熊刚;李启文;蒋迎锋;梅铁勇
  • 技术所有人:中国移动通信集团广东有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
数据库管理系统相关技术
数据库应用和管理系统相关技术
数据库管理系统是相关技术
数据库人事管理系统相关技术
图书管理系统数据库相关技术
什么是数据库管理系统相关技术
数据库管理系统的功能相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2