一种数据库帐号安全集中管控方法
【专利摘要】本发明公开了一种数据库帐号安全集中管控方法,包括如下步骤:a)获取所有待监控数据库的相关账号;b)对所有待监控数据库的相关账号进行集中式管理;c)定时监听帐号预设的过期时间,自动锁定或回收过期帐号;d)审计访问痕迹和用户行为,对违规操作的帐号进行自动预警,并在预设时间内终止该帐号的操作权限;所述步骤a)为不同的用户分配不同的帐号,并定制不同的密码需求属性组;根据各种账号的访问目的分配数据库权限角色,并删除或锁定与业务运行、日常维护、监控工作无关的帐号。本发明提供的数据库帐号安全集中管控方法,安全可靠,能够实现违规操作自动预警及终止,大大提升数据库账号密码的安全性。
【专利说明】
一种数据库帐号安全集中管控方法
技术领域
[0001]本发明涉及一种数据库帐号处理方法,尤其涉及一种数据库帐号安全集中管控方法。
【背景技术】
[0002]随着企业业务的飞速发展,支撑用户数持续增长,业务数据量不断攀升,同时为满足业务发展需要,应用版本频繁的变更,新建设的系统也越来越多。这无疑给数据管理、数据安全性带来极大的影响,管理的难度越来越大。
[0003]例如移动作为全球最大的呼叫中心,承载10086、1008611&12、12580、电客、外呼等业务,接入六大区域中心坐席、21个地市电客坐席、全省外呼外包坐席、12580坐席等。作为系统核心的Oracle数据库中保存了 IVR自动业务、知识库、CSP公共库、业务受理查询、服务请求、服务策略、服务质量管理等一系列重要的业务数据。任何数据库账号方面的安全隐患,诸如:非法的数据新增、读取、变更,不安全的账号策略、弱口令等,都可能造成用户关键信息的丢失或泄露。
[0004]随着系统快速发展,一旦积累和掌握了大量的客户信息、生产数据和运营信息,需建设集中安全管控体系,实现数据库账号的集中管理、审批、安全审计等相关功能;规范系统的客户信息、生产数据等核心业务数据的账号管理的规范化、精细化,以满足SOX安全管理要求。
[0005]现有通常的做法是通过数据库维护人员利用人工梳理,编写脚本进行数据库帐号创建及授权,缺少规范和标准、缺少用户安全访问控制、缺少行为审计及历史记录、帐号授权后不可回收等安全问题,并且长期需要专家级别的维护人员才能操作,梳理难度大,成本非常高,维护效率极低。
[0006]由上可见,现有技术的主要缺点如下:1、系统中帐号权限管理没规范。2、无法回收帐号权限。3、人工处理非常繁琐、效率低下。4、出现安全问题无法跟踪追查。4、缺少流程化管控。
【发明内容】
[0007]本发明所要解决的技术问题是提供一种数据库帐号安全集中管控方法,能够将数据库账户、角色、权限、审计、流程等统一管理,有效确保系统数据的安全性。
[0008]本发明为解决上述技术问题而采用的技术方案是提供一种数据库帐号安全集中管控方法,包括如下步骤:a)获取所有待监控数据库的相关账号;b)对所有待监控数据库的相关账号进行集中式管理;c)定时监听帐号预设的过期时间,自动锁定或回收过期帐号;d)审计访问痕迹和用户行为,对违规操作的帐号进行自动预警,并在预设时间内终止该帐号的操作权限。
[0009]上述的数据库帐号安全集中管控方法,其中,所述步骤a)通过数据库实例配置界面将数据库主机IP、端口、数据库实例名、数据库帐号、数据库密码保存起来作为数据源;并在后台启动多个线程,采用JDBC方式与指定的待监控数据库建立长连接,一个线程处理一个数据库实例,通过数据库的数据字典获取所有帐号、角色、权限进行初始化同步工作。
[0010]上述的数据库帐号安全集中管控方法,其中,所述步骤a)为不同的用户分配不同的帐号,并定制不同的密码需求属性组;根据各种账号的访问目的分配数据库权限角色,并删除或锁定与业务运行、日常维护、监控工作无关的帐号。
[0011]上述的数据库帐号安全集中管控方法,其中,所述步骤b)利用可视化界面对所有帐号、临时账号进行集中分配,对相关权限和角色进行展示、授权配置及修改操作,并按照保存后的相关配置自动生成SQL语句发送到目标数据库,进行授权工作,若目标数据库授权失败,则回滚相应操作,从而与目标数据库的帐号信息保持一致。
[0012]上述的数据库帐号安全集中管控方法,其中,所述步骤b)根据具体审批人手机号通过调用短信接口下发审批短信,并根据审批人回复短信内容向目标数据库发送SQL执行语句实现帐号创建操作,再通过短信将操作结果通知相关用户,完成整个审批流程。
[0013]上述的数据库帐号安全集中管控方法,其中,所述步骤c)通过定时器监听帐号预设的过期时间,若发现过期,则启动一个线程获取帐号信息,组装成SQL语句,并发送到目标数据库进行帐号回收处理。
[0014]上述的数据库帐号安全集中管控方法,其中,所述步骤c)还包括记录过期帐号锁定或回收处理成功后的结果状态,并设置该回收帐号可重新开通的期限。
[0015]上述的数据库帐号安全集中管控方法,其中,所述步骤d)中审计访问痕迹的过程如下:对用户登录进行记录,记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址;审计用户行为的过程如下:记录用户对数据库的操作,包括帐号创建、删除/权限修改、口令修改、读取/修改数据库配置以及读取/修改敏感业务表。
[0016]上述的数据库帐号安全集中管控方法,其中,所述步骤d)包括记录如下操作信息:数据库库表结构修改、字段增删、索引修改,修改数据库参数以及人为启停数据库。
[0017]上述的数据库帐号安全集中管控方法,其中,所述步骤d)包括扫描用户对数据库的操作,包括帐号登陆、帐号访问以及修改敏感业务表行为,如发现存在违规操作行为且操作次数超过预设次数则锁定帐号,并通过短信或邮件通知系统管理员和数据库管理员进行审计预警。
[0018]本发明对比现有技术有如下的有益效果:本发明提供的数据库帐号安全集中管控方法,安全可靠,能够实现违规操作自动预警及终止,大大提升数据库账号密码的安全性。
【附图说明】
[0019]图1为本发明数据库帐号安全集中管控流程示意图;
图2为本发明建立的数据库帐号、角色、权限层级关系示意图。
【具体实施方式】
[0020]下面结合附图和实施例对本发明作进一步的描述。
[0021 ]图1为本发明数据库帐号安全集中管控流程示意图。
[0022]请参见图1,本发明提供的数据库帐号安全集中管控方法,包括如下步骤:
[0023]步骤S1:获取所有待监控数据库的相关账号;
[0024]步骤S2:对所有待监控数据库的相关账号进行集中式管理;
[0025]步骤S3:定时监听帐号预设的过期时间,自动锁定或回收过期帐号;
[0026]步骤S4:审计访问痕迹和用户行为,对违规操作的帐号进行自动预警,并在预设时间内终止该帐号的操作权限。
[0027]本发明提供的数据库帐号安全集中管控方法,达到数据库安全管理,将数据库账户、角色、权限、审计、流程等统一管理,具有如下特点:1、集中化:集中式管理数据库帐号、角色、权限的授权。2、实时性:专注于实时审计,第一时间发现审计问题。3、规范化:角色权限规范化。4、智能化:过期帐号自动锁定或回收。5、预防性:违规操作自动预警,第一时间终止操作权限。6、自动化:权限对象变更自动同步更新。7、移动化:短信审批及办公,随时随地审批。
[0028]下面详细介绍本发明的具体功能和实现步骤:
[0029]I)权限规范化
[0030]通过数据库实例配置界面将数据库主机IP、端口、数据库实例名、数据库帐号、数据库密码等信息保存起来作为数据源。基础配置完成后,采用一键式启动,程序自动获取已配置的数据源信息,在后台启动多个线程,采用JDBC方式与指定的数据库建立长连接,一个线程处理一个数据库实例,通过数据库的数据字典获取所有帐号、角色、权限进行初始化同步工作。按照用户预设的规则,实现数据库现行用户全面梳理以及规范化,建立合理的数据库帐号、角色、权限层级关系,如图2所示;根据真实情况分配数据库权限角色,以符合其账号使用人的实际使用需求,要求为不同的用户分配不同的帐号,实现一人一户,杜绝账号盗用、重用;删除或锁定与业务运行、日常维护、监控等工作无关的帐号,回收无用账号降低泄露风险。针对各种账号(如业务账号,维护账号、地市公司用户等)的访问目的、不同密码需求定制属性组,调整账号数组的密码规则复杂度,实现用户profile差异化、模块化管理,并监控回收无关的无用的账号降低泄露风险。
[0031]2)集中式管理
[0032]初始化完成后,平台可以对所有数据库的相关账号进行集中式管理,可以利用可视化界面对所有帐号、临时账号进行集中分配,对相关权限,相关角色简洁展示,可简单灵活的进行授权配置、修改操作,当保存后,平台会按照相关的配置自动生成SQL语句(例如锁定帐号:alter user test account lock)发送到目标数据库,进行授权工作,若目标数据库授权失败,平台也会有相应回滚操作,确保平台与目标数据库的帐号信息一致。
[0033]3)过期帐号自动锁定或回收
[0034]平台通过定时器监听帐号预设的过期时间,若发现过期,会启动一线程获取帐号信息,组装成SQL语句,发送到目标数据库进行帐号回收处理,处理成功后将处理结果状态记录到平台内,该帐号日后也可重新开通。
[0035]4)违规操作自动预警,第一时间终止操作权限
[0036]通过实时审计功能实现用户安全访问管控,降低违规操作、误操作等发生的几率,提高数据安全可用性。
[0037]访问痕迹审计:对用户登录进行记录,记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
[0038]用户行为审计:记录用户对数据库的操作,包括(但不限于):帐号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改敏感业务表(如用户的话费数据、身份数据、涉及通信隐私数据等)。通通记录入库记录需要包含用户帐号,操作时间,操作内容以及操作结果。
[0039]安全事件管理:对于数据库内的重大操作,如数据库库表结构修改、字段增删、索引修改,修改数据库参数,人为启停数据库等高危操作信息一一记录,以策安全。
[0040]审计预警:通过扫描用户对数据库的操作,包括(但不限于)帐号登陆、帐号访问或修改敏感业务表等行为,如发现有非法行为超过一定次数则锁定帐号,并短信或邮件通知系统管理员和数据库管理员。
[0041]5)短信审批及办公
[0042]在数据库账号申请,批量申请,临时账号申请等功能中系统根据具体审批人手机号通过调用短信接口下发审批短信,审批人回复短信即可参与审批,系统会根据回复短信内容向目标数据库发送SQL执行语句实现帐号创建等操作,并通过短信将结果通知相关用户,完成整个审批流程。移动审批代替传统浏览器页面审批,提高了整个审批流程的审批速度,提高了流程操作效率,更解决了申请单积压遗漏等问题,实现了随时随地办公。
[0043 ] 6)权限对象变更自动同步更新
[0044]系统具有角色权限、库表变更自动同步更新功能。业务系统可能出现按日、按月来建立新表,对于此类新增表应能将其相应的角色权限自动更新,系统通过JDBC连接目标数据库,通过数据库的数据字典检查所有角色权限,当检测到出现新表会自动对其重新授权,能将其相应的角色权限自动更新实现帐号角色权限对象的同步操作管理,确保数据库数据的一致性、有效性、安全性。此类功能需要预定义规则,比如按照自然年、月、日自动新建和命名的表,在授权之前系统会校验是否为当前年份、月份或日期,避免非法手工添加的表获得权限。
[0045]综上所述,本发明提供的数据库帐号安全集中管控方法,对各系统进行数据库账户、角色、权限的集中管理和审批、操作记录与分析、数据分级管理等。通过安全管理,可以避免因数据库账户安全隐患而导致的数据泄露,避免引起不必要的经济损失。此外,本发明在合理规划和利用数据安全管理各项指标,可大大加强数据库管理员对数据库管理把控的力度及更好完成岗位工作。具体优点如下:
[0046]1、有效提高工作效益。提供统一的数据库账号集中式管理,可以利用可视化界面对所有帐号、临时账号进行集中分配,减少相应数据库直接操作过程,节省了大量繁琐的编写脚本操作流程,至少提高80%的维护效率。
[0047]2、角色权限规范化,提升数据库账号密码的安全性。实现数据库现行用户全面梳理以及规范化。建立合理的数据库帐号、角色、权限层级关系,要求为不同的用户分配不同的帐号,实现一人一户,以符合其账号使用人的实际使用需求。
[0048]3、过期帐号自动锁定或回收。系统涉及的所有应用系统的数据库账号进行了统一管控,统一锁定或回收帐号,以保障用户帐号安全,达到解决各应用数据库帐号容易泄漏问题,有效的提升了应用所对应的数据库的安全性能,提升了数据的安全。
[0049]4、违规操作自动预警及终止。扫描用户访问痕迹,用户行为,安全事件,对数据库的操作,如发现有非法行为超过一定次数则锁定帐号,第一时间终止操作权限,提升数据库账号密码的安全性。并短信或邮件通知系统管理员和数据库管理员。
[0050]5、运维成本大幅度下降。通过本系统的多数据库集中管理,配合可视化、图形化展示,降低了用户操作复杂程度,运维人员的工作模式逐步转为自动化,一个人可以同时管理多个数据库帐号,极大地节省30%的人工成本和时间成本,让数据库维护人员快速有效地解决数据库帐号管理困难问题。
[0051]虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作些许的修改和完善,因此本发明的保护范围当以权利要求书所界定的为准。
【主权项】
1.一种数据库帐号安全集中管控方法,其特征在于,包括如下步骤: a)获取所有待监控数据库的相关账号; b)对所有待监控数据库的相关账号进行集中式管理; c)定时监听帐号预设的过期时间,自动锁定或回收过期帐号; d)审计访问痕迹和用户行为,对违规操作的帐号进行自动预警,并在预设时间内终止该帐号的操作权限。2.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤a)通过数据库实例配置界面将数据库主机IP、端口、数据库实例名、数据库帐号、数据库密码保存起来作为数据源;并在后台启动多个线程,采用JDBC方式与指定的待监控数据库建立长连接,一个线程处理一个数据库实例,通过数据库的数据字典获取所有帐号、角色、权限进行初始化同步工作。3.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤a)为不同的用户分配不同的帐号,并定制不同的密码需求属性组;根据各种账号的访问目的分配数据库权限角色,并删除或锁定与业务运行、日常维护、监控工作无关的帐号。4.如权利要求3所述的数据库帐号安全集中管控方法,其特征在于,所述步骤b)利用可视化界面对所有帐号、临时账号进行集中分配,对相关权限和角色进行展示、授权配置及修改操作,并按照保存后的相关配置自动生成SQL语句发送到目标数据库,进行授权工作,若目标数据库授权失败,则回滚相应操作,从而与目标数据库的帐号信息保持一致。5.如权利要求4所述的数据库帐号安全集中管控方法,其特征在于,所述步骤b)根据具体审批人手机号通过调用短信接口下发审批短信,并根据审批人回复短信内容向目标数据库发送SQL执行语句实现帐号创建操作,再通过短信将操作结果通知相关用户,完成整个审批流程。6.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤c)通过定时器监听帐号预设的过期时间,若发现过期,则启动一个线程获取帐号信息,组装成SQL语句,并发送到目标数据库进行帐号回收处理。7.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤c)还包括记录过期帐号锁定或回收处理成功后的结果状态,并设置该回收帐号可重新开通的期限。8.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤d)中审计访问痕迹的过程如下:对用户登录进行记录,记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址;审计用户行为的过程如下:记录用户对数据库的操作,包括帐号创建、删除/权限修改、口令修改、读取/修改数据库配置以及读取/修改敏感业务表。9.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤d)包括记录如下操作信息:数据库库表结构修改、字段增删、索引修改,修改数据库参数以及人为启停数据库。10.如权利要求1所述的数据库帐号安全集中管控方法,其特征在于,所述步骤d)包括扫描用户对数据库的操作,包括帐号登陆、帐号访问以及修改敏感业务表行为,如发现存在违规操作行为且操作次数超过预设次数则锁定帐号,并通过短信或邮件通知系统管理员和数据库管理员进行审计预警。
【文档编号】G06F21/45GK105844142SQ201610149405
【公开日】2016年8月10日
【申请日】2016年3月16日
【发明人】程永新, 韩国盛, 郭振宇
【申请人】上海新炬网络信息技术有限公司