一種數(shù)據(jù)庫帳號安全集中管控方法
【專利摘要】本發(fā)明公開了一種數(shù)據(jù)庫帳號安全集中管控方法���,包括如下步驟:a)獲取所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號����;b)對所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號進(jìn)行集中式管理;c)定時(shí)監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間�,自動(dòng)鎖定或回收過期帳號;d)審計(jì)訪問痕跡和用戶行為���,對違規(guī)操作的帳號進(jìn)行自動(dòng)預(yù)警�,并在預(yù)設(shè)時(shí)間內(nèi)終止該帳號的操作權(quán)限����;所述步驟a)為不同的用戶分配不同的帳號,并定制不同的密碼需求屬性組����;根據(jù)各種賬號的訪問目的分配數(shù)據(jù)庫權(quán)限角色,并刪除或鎖定與業(yè)務(wù)運(yùn)行��、日常維護(hù)、監(jiān)控工作無關(guān)的帳號����。本發(fā)明提供的數(shù)據(jù)庫帳號安全集中管控方法,安全可靠�����,能夠?qū)崿F(xiàn)違規(guī)操作自動(dòng)預(yù)警及終止�,大大提升數(shù)據(jù)庫賬號密碼的安全性。
【專利說明】
一種數(shù)據(jù)庫帳號安全集中管控方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種數(shù)據(jù)庫帳號處理方法��,尤其涉及一種數(shù)據(jù)庫帳號安全集中管控方法��。
【背景技術(shù)】
[0002]隨著企業(yè)業(yè)務(wù)的飛速發(fā)展��,支撐用戶數(shù)持續(xù)增長�,業(yè)務(wù)數(shù)據(jù)量不斷攀升,同時(shí)為滿足業(yè)務(wù)發(fā)展需要����,應(yīng)用版本頻繁的變更,新建設(shè)的系統(tǒng)也越來越多�。這無疑給數(shù)據(jù)管理、數(shù)據(jù)安全性帶來極大的影響�����,管理的難度越來越大�����。
[0003]例如移動(dòng)作為全球最大的呼叫中心�,承載10086、1008611&12���、12580���、電客、外呼等業(yè)務(wù)���,接入六大區(qū)域中心坐席�、21個(gè)地市電客坐席���、全省外呼外包坐席�����、12580坐席等�。作為系統(tǒng)核心的Oracle數(shù)據(jù)庫中保存了 IVR自動(dòng)業(yè)務(wù)、知識庫�、CSP公共庫、業(yè)務(wù)受理查詢��、服務(wù)請求�、服務(wù)策略、服務(wù)質(zhì)量管理等一系列重要的業(yè)務(wù)數(shù)據(jù)�����。任何數(shù)據(jù)庫賬號方面的安全隱患��,諸如:非法的數(shù)據(jù)新增�����、讀取���、變更��,不安全的賬號策略����、弱口令等�����,都可能造成用戶關(guān)鍵信息的丟失或泄露。
[0004]隨著系統(tǒng)快速發(fā)展���,一旦積累和掌握了大量的客戶信息��、生產(chǎn)數(shù)據(jù)和運(yùn)營信息,需建設(shè)集中安全管控體系�����,實(shí)現(xiàn)數(shù)據(jù)庫賬號的集中管理�����、審批�、安全審計(jì)等相關(guān)功能;規(guī)范系統(tǒng)的客戶信息����、生產(chǎn)數(shù)據(jù)等核心業(yè)務(wù)數(shù)據(jù)的賬號管理的規(guī)范化、精細(xì)化���,以滿足SOX安全管理要求����。
[0005]現(xiàn)有通常的做法是通過數(shù)據(jù)庫維護(hù)人員利用人工梳理,編寫腳本進(jìn)行數(shù)據(jù)庫帳號創(chuàng)建及授權(quán)���,缺少規(guī)范和標(biāo)準(zhǔn)�、缺少用戶安全訪問控制��、缺少行為審計(jì)及歷史記錄�、帳號授權(quán)后不可回收等安全問題,并且長期需要專家級別的維護(hù)人員才能操作�,梳理難度大,成本非常高����,維護(hù)效率極低。
[0006]由上可見�,現(xiàn)有技術(shù)的主要缺點(diǎn)如下:1、系統(tǒng)中帳號權(quán)限管理沒規(guī)范�����。2����、無法回收帳號權(quán)限���。3、人工處理非常繁瑣����、效率低下。4�、出現(xiàn)安全問題無法跟蹤追查。4�、缺少流程化管控��。
【發(fā)明內(nèi)容】
[0007]本發(fā)明所要解決的技術(shù)問題是提供一種數(shù)據(jù)庫帳號安全集中管控方法���,能夠?qū)?shù)據(jù)庫賬戶���、角色、權(quán)限�、審計(jì)、流程等統(tǒng)一管理���,有效確保系統(tǒng)數(shù)據(jù)的安全性����。
[0008]本發(fā)明為解決上述技術(shù)問題而采用的技術(shù)方案是提供一種數(shù)據(jù)庫帳號安全集中管控方法,包括如下步驟:a)獲取所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號;b)對所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號進(jìn)行集中式管理;c)定時(shí)監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間���,自動(dòng)鎖定或回收過期帳號;d)審計(jì)訪問痕跡和用戶行為��,對違規(guī)操作的帳號進(jìn)行自動(dòng)預(yù)警���,并在預(yù)設(shè)時(shí)間內(nèi)終止該帳號的操作權(quán)限。
[0009]上述的數(shù)據(jù)庫帳號安全集中管控方法���,其中�,所述步驟a)通過數(shù)據(jù)庫實(shí)例配置界面將數(shù)據(jù)庫主機(jī)IP�����、端口��、數(shù)據(jù)庫實(shí)例名�、數(shù)據(jù)庫帳號、數(shù)據(jù)庫密碼保存起來作為數(shù)據(jù)源;并在后臺啟動(dòng)多個(gè)線程�����,采用JDBC方式與指定的待監(jiān)控?cái)?shù)據(jù)庫建立長連接��,一個(gè)線程處理一個(gè)數(shù)據(jù)庫實(shí)例,通過數(shù)據(jù)庫的數(shù)據(jù)字典獲取所有帳號���、角色���、權(quán)限進(jìn)行初始化同步工作。
[0010]上述的數(shù)據(jù)庫帳號安全集中管控方法���,其中��,所述步驟a)為不同的用戶分配不同的帳號��,并定制不同的密碼需求屬性組;根據(jù)各種賬號的訪問目的分配數(shù)據(jù)庫權(quán)限角色�����,并刪除或鎖定與業(yè)務(wù)運(yùn)行、日常維護(hù)�、監(jiān)控工作無關(guān)的帳號。
[0011]上述的數(shù)據(jù)庫帳號安全集中管控方法�,其中,所述步驟b)利用可視化界面對所有帳號�、臨時(shí)賬號進(jìn)行集中分配,對相關(guān)權(quán)限和角色進(jìn)行展示��、授權(quán)配置及修改操作,并按照保存后的相關(guān)配置自動(dòng)生成SQL語句發(fā)送到目標(biāo)數(shù)據(jù)庫���,進(jìn)行授權(quán)工作��,若目標(biāo)數(shù)據(jù)庫授權(quán)失敗�,則回滾相應(yīng)操作��,從而與目標(biāo)數(shù)據(jù)庫的帳號信息保持一致�����。
[0012]上述的數(shù)據(jù)庫帳號安全集中管控方法��,其中�����,所述步驟b)根據(jù)具體審批人手機(jī)號通過調(diào)用短信接口下發(fā)審批短信�����,并根據(jù)審批人回復(fù)短信內(nèi)容向目標(biāo)數(shù)據(jù)庫發(fā)送SQL執(zhí)行語句實(shí)現(xiàn)帳號創(chuàng)建操作��,再通過短信將操作結(jié)果通知相關(guān)用戶,完成整個(gè)審批流程��。
[0013]上述的數(shù)據(jù)庫帳號安全集中管控方法�,其中,所述步驟c)通過定時(shí)器監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間�,若發(fā)現(xiàn)過期,則啟動(dòng)一個(gè)線程獲取帳號信息����,組裝成SQL語句,并發(fā)送到目標(biāo)數(shù)據(jù)庫進(jìn)行帳號回收處理��。
[0014]上述的數(shù)據(jù)庫帳號安全集中管控方法���,其中�,所述步驟c)還包括記錄過期帳號鎖定或回收處理成功后的結(jié)果狀態(tài)�����,并設(shè)置該回收帳號可重新開通的期限����。
[0015]上述的數(shù)據(jù)庫帳號安全集中管控方法�,其中,所述步驟d)中審計(jì)訪問痕跡的過程如下:對用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的帳號��、登錄是否成功���、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址��;審計(jì)用戶行為的過程如下:記錄用戶對數(shù)據(jù)庫的操作�,包括帳號創(chuàng)建�����、刪除/權(quán)限修改����、口令修改、讀取/修改數(shù)據(jù)庫配置以及讀取/修改敏感業(yè)務(wù)表�����。
[0016]上述的數(shù)據(jù)庫帳號安全集中管控方法����,其中,所述步驟d)包括記錄如下操作信息:數(shù)據(jù)庫庫表結(jié)構(gòu)修改���、字段增刪�、索引修改,修改數(shù)據(jù)庫參數(shù)以及人為啟停數(shù)據(jù)庫�����。
[0017]上述的數(shù)據(jù)庫帳號安全集中管控方法�,其中,所述步驟d)包括掃描用戶對數(shù)據(jù)庫的操作�����,包括帳號登陸���、帳號訪問以及修改敏感業(yè)務(wù)表行為��,如發(fā)現(xiàn)存在違規(guī)操作行為且操作次數(shù)超過預(yù)設(shè)次數(shù)則鎖定帳號�����,并通過短信或郵件通知系統(tǒng)管理員和數(shù)據(jù)庫管理員進(jìn)行審計(jì)預(yù)警�����。
[0018]本發(fā)明對比現(xiàn)有技術(shù)有如下的有益效果:本發(fā)明提供的數(shù)據(jù)庫帳號安全集中管控方法,安全可靠,能夠?qū)崿F(xiàn)違規(guī)操作自動(dòng)預(yù)警及終止����,大大提升數(shù)據(jù)庫賬號密碼的安全性。
【附圖說明】
[0019]圖1為本發(fā)明數(shù)據(jù)庫帳號安全集中管控流程示意圖��;
圖2為本發(fā)明建立的數(shù)據(jù)庫帳號����、角色、權(quán)限層級關(guān)系示意圖��。
【具體實(shí)施方式】
[0020]下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的描述����。
[0021 ]圖1為本發(fā)明數(shù)據(jù)庫帳號安全集中管控流程示意圖。
[0022]請參見圖1�����,本發(fā)明提供的數(shù)據(jù)庫帳號安全集中管控方法��,包括如下步驟:
[0023]步驟S1:獲取所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號���;
[0024]步驟S2:對所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號進(jìn)行集中式管理�����;
[0025]步驟S3:定時(shí)監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間��,自動(dòng)鎖定或回收過期帳號����;
[0026]步驟S4:審計(jì)訪問痕跡和用戶行為,對違規(guī)操作的帳號進(jìn)行自動(dòng)預(yù)警���,并在預(yù)設(shè)時(shí)間內(nèi)終止該帳號的操作權(quán)限�。
[0027]本發(fā)明提供的數(shù)據(jù)庫帳號安全集中管控方法����,達(dá)到數(shù)據(jù)庫安全管理,將數(shù)據(jù)庫賬戶�����、角色���、權(quán)限�、審計(jì)��、流程等統(tǒng)一管理,具有如下特點(diǎn):1�����、集中化:集中式管理數(shù)據(jù)庫帳號�、角色����、權(quán)限的授權(quán)。2����、實(shí)時(shí)性:專注于實(shí)時(shí)審計(jì),第一時(shí)間發(fā)現(xiàn)審計(jì)問題�����。3�����、規(guī)范化:角色權(quán)限規(guī)范化����。4�、智能化:過期帳號自動(dòng)鎖定或回收�。5、預(yù)防性:違規(guī)操作自動(dòng)預(yù)警���,第一時(shí)間終止操作權(quán)限����。6��、自動(dòng)化:權(quán)限對象變更自動(dòng)同步更新�。7、移動(dòng)化:短信審批及辦公�,隨時(shí)隨地審批。
[0028]下面詳細(xì)介紹本發(fā)明的具體功能和實(shí)現(xiàn)步驟:
[0029]I)權(quán)限規(guī)范化
[0030]通過數(shù)據(jù)庫實(shí)例配置界面將數(shù)據(jù)庫主機(jī)IP�、端口、數(shù)據(jù)庫實(shí)例名�����、數(shù)據(jù)庫帳號�����、數(shù)據(jù)庫密碼等信息保存起來作為數(shù)據(jù)源���?�;A(chǔ)配置完成后���,采用一鍵式啟動(dòng)���,程序自動(dòng)獲取已配置的數(shù)據(jù)源信息����,在后臺啟動(dòng)多個(gè)線程,采用JDBC方式與指定的數(shù)據(jù)庫建立長連接����,一個(gè)線程處理一個(gè)數(shù)據(jù)庫實(shí)例,通過數(shù)據(jù)庫的數(shù)據(jù)字典獲取所有帳號�����、角色�、權(quán)限進(jìn)行初始化同步工作。按照用戶預(yù)設(shè)的規(guī)則��,實(shí)現(xiàn)數(shù)據(jù)庫現(xiàn)行用戶全面梳理以及規(guī)范化����,建立合理的數(shù)據(jù)庫帳號��、角色�、權(quán)限層級關(guān)系�����,如圖2所示;根據(jù)真實(shí)情況分配數(shù)據(jù)庫權(quán)限角色�����,以符合其賬號使用人的實(shí)際使用需求���,要求為不同的用戶分配不同的帳號����,實(shí)現(xiàn)一人一戶�,杜絕賬號盜用、重用;刪除或鎖定與業(yè)務(wù)運(yùn)行���、日常維護(hù)��、監(jiān)控等工作無關(guān)的帳號�����,回收無用賬號降低泄露風(fēng)險(xiǎn)�����。針對各種賬號(如業(yè)務(wù)賬號���,維護(hù)賬號����、地市公司用戶等)的訪問目的��、不同密碼需求定制屬性組�,調(diào)整賬號數(shù)組的密碼規(guī)則復(fù)雜度����,實(shí)現(xiàn)用戶profile差異化、模塊化管理�����,并監(jiān)控回收無關(guān)的無用的賬號降低泄露風(fēng)險(xiǎn)。
[0031]2)集中式管理
[0032]初始化完成后�����,平臺可以對所有數(shù)據(jù)庫的相關(guān)賬號進(jìn)行集中式管理����,可以利用可視化界面對所有帳號、臨時(shí)賬號進(jìn)行集中分配�����,對相關(guān)權(quán)限�����,相關(guān)角色簡潔展示���,可簡單靈活的進(jìn)行授權(quán)配置����、修改操作��,當(dāng)保存后��,平臺會按照相關(guān)的配置自動(dòng)生成SQL語句(例如鎖定帳號:alter user test account lock)發(fā)送到目標(biāo)數(shù)據(jù)庫,進(jìn)行授權(quán)工作�����,若目標(biāo)數(shù)據(jù)庫授權(quán)失敗��,平臺也會有相應(yīng)回滾操作�,確保平臺與目標(biāo)數(shù)據(jù)庫的帳號信息一致。
[0033]3)過期帳號自動(dòng)鎖定或回收
[0034]平臺通過定時(shí)器監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間�,若發(fā)現(xiàn)過期,會啟動(dòng)一線程獲取帳號信息���,組裝成SQL語句����,發(fā)送到目標(biāo)數(shù)據(jù)庫進(jìn)行帳號回收處理����,處理成功后將處理結(jié)果狀態(tài)記錄到平臺內(nèi)�����,該帳號日后也可重新開通��。
[0035]4)違規(guī)操作自動(dòng)預(yù)警,第一時(shí)間終止操作權(quán)限
[0036]通過實(shí)時(shí)審計(jì)功能實(shí)現(xiàn)用戶安全訪問管控�,降低違規(guī)操作、誤操作等發(fā)生的幾率�����,提高數(shù)據(jù)安全可用性��。
[0037]訪問痕跡審計(jì):對用戶登錄進(jìn)行記錄�,記錄內(nèi)容包括用戶登錄使用的帳號、登錄是否成功����、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。
[0038]用戶行為審計(jì):記錄用戶對數(shù)據(jù)庫的操作���,包括(但不限于):帳號創(chuàng)建����、刪除和權(quán)限修改��、口令修改���、讀取和修改數(shù)據(jù)庫配置���、讀取和修改敏感業(yè)務(wù)表(如用戶的話費(fèi)數(shù)據(jù)����、身份數(shù)據(jù)��、涉及通信隱私數(shù)據(jù)等)��。通通記錄入庫記錄需要包含用戶帳號�,操作時(shí)間,操作內(nèi)容以及操作結(jié)果����。
[0039]安全事件管理:對于數(shù)據(jù)庫內(nèi)的重大操作,如數(shù)據(jù)庫庫表結(jié)構(gòu)修改����、字段增刪、索引修改�����,修改數(shù)據(jù)庫參數(shù)��,人為啟停數(shù)據(jù)庫等高危操作信息一一記錄�����,以策安全��。
[0040]審計(jì)預(yù)警:通過掃描用戶對數(shù)據(jù)庫的操作����,包括(但不限于)帳號登陸、帳號訪問或修改敏感業(yè)務(wù)表等行為�,如發(fā)現(xiàn)有非法行為超過一定次數(shù)則鎖定帳號,并短信或郵件通知系統(tǒng)管理員和數(shù)據(jù)庫管理員�����。
[0041]5)短信審批及辦公
[0042]在數(shù)據(jù)庫賬號申請�����,批量申請����,臨時(shí)賬號申請等功能中系統(tǒng)根據(jù)具體審批人手機(jī)號通過調(diào)用短信接口下發(fā)審批短信,審批人回復(fù)短信即可參與審批����,系統(tǒng)會根據(jù)回復(fù)短信內(nèi)容向目標(biāo)數(shù)據(jù)庫發(fā)送SQL執(zhí)行語句實(shí)現(xiàn)帳號創(chuàng)建等操作�����,并通過短信將結(jié)果通知相關(guān)用戶���,完成整個(gè)審批流程。移動(dòng)審批代替?zhèn)鹘y(tǒng)瀏覽器頁面審批�,提高了整個(gè)審批流程的審批速度,提高了流程操作效率��,更解決了申請單積壓遺漏等問題�����,實(shí)現(xiàn)了隨時(shí)隨地辦公�。
[0043 ] 6)權(quán)限對象變更自動(dòng)同步更新
[0044]系統(tǒng)具有角色權(quán)限、庫表變更自動(dòng)同步更新功能�。業(yè)務(wù)系統(tǒng)可能出現(xiàn)按日、按月來建立新表���,對于此類新增表應(yīng)能將其相應(yīng)的角色權(quán)限自動(dòng)更新����,系統(tǒng)通過JDBC連接目標(biāo)數(shù)據(jù)庫,通過數(shù)據(jù)庫的數(shù)據(jù)字典檢查所有角色權(quán)限����,當(dāng)檢測到出現(xiàn)新表會自動(dòng)對其重新授權(quán)���,能將其相應(yīng)的角色權(quán)限自動(dòng)更新實(shí)現(xiàn)帳號角色權(quán)限對象的同步操作管理���,確保數(shù)據(jù)庫數(shù)據(jù)的一致性、有效性��、安全性�。此類功能需要預(yù)定義規(guī)則,比如按照自然年����、月、日自動(dòng)新建和命名的表����,在授權(quán)之前系統(tǒng)會校驗(yàn)是否為當(dāng)前年份、月份或日期��,避免非法手工添加的表獲得權(quán)限����。
[0045]綜上所述��,本發(fā)明提供的數(shù)據(jù)庫帳號安全集中管控方法���,對各系統(tǒng)進(jìn)行數(shù)據(jù)庫賬戶、角色�、權(quán)限的集中管理和審批、操作記錄與分析����、數(shù)據(jù)分級管理等。通過安全管理����,可以避免因數(shù)據(jù)庫賬戶安全隱患而導(dǎo)致的數(shù)據(jù)泄露,避免引起不必要的經(jīng)濟(jì)損失�����。此外����,本發(fā)明在合理規(guī)劃和利用數(shù)據(jù)安全管理各項(xiàng)指標(biāo),可大大加強(qiáng)數(shù)據(jù)庫管理員對數(shù)據(jù)庫管理把控的力度及更好完成崗位工作��。具體優(yōu)點(diǎn)如下:
[0046]1、有效提高工作效益����。提供統(tǒng)一的數(shù)據(jù)庫賬號集中式管理,可以利用可視化界面對所有帳號�、臨時(shí)賬號進(jìn)行集中分配��,減少相應(yīng)數(shù)據(jù)庫直接操作過程��,節(jié)省了大量繁瑣的編寫腳本操作流程���,至少提高80%的維護(hù)效率�。
[0047]2���、角色權(quán)限規(guī)范化�,提升數(shù)據(jù)庫賬號密碼的安全性��。實(shí)現(xiàn)數(shù)據(jù)庫現(xiàn)行用戶全面梳理以及規(guī)范化���。建立合理的數(shù)據(jù)庫帳號��、角色�����、權(quán)限層級關(guān)系�,要求為不同的用戶分配不同的帳號,實(shí)現(xiàn)一人一戶�,以符合其賬號使用人的實(shí)際使用需求。
[0048]3����、過期帳號自動(dòng)鎖定或回收。系統(tǒng)涉及的所有應(yīng)用系統(tǒng)的數(shù)據(jù)庫賬號進(jìn)行了統(tǒng)一管控��,統(tǒng)一鎖定或回收帳號�,以保障用戶帳號安全,達(dá)到解決各應(yīng)用數(shù)據(jù)庫帳號容易泄漏問題�,有效的提升了應(yīng)用所對應(yīng)的數(shù)據(jù)庫的安全性能,提升了數(shù)據(jù)的安全�����。
[0049]4�����、違規(guī)操作自動(dòng)預(yù)警及終止�����。掃描用戶訪問痕跡,用戶行為�,安全事件,對數(shù)據(jù)庫的操作�,如發(fā)現(xiàn)有非法行為超過一定次數(shù)則鎖定帳號,第一時(shí)間終止操作權(quán)限��,提升數(shù)據(jù)庫賬號密碼的安全性�����。并短信或郵件通知系統(tǒng)管理員和數(shù)據(jù)庫管理員�����。
[0050]5���、運(yùn)維成本大幅度下降。通過本系統(tǒng)的多數(shù)據(jù)庫集中管理����,配合可視化、圖形化展示�����,降低了用戶操作復(fù)雜程度,運(yùn)維人員的工作模式逐步轉(zhuǎn)為自動(dòng)化�,一個(gè)人可以同時(shí)管理多個(gè)數(shù)據(jù)庫帳號,極大地節(jié)省30%的人工成本和時(shí)間成本����,讓數(shù)據(jù)庫維護(hù)人員快速有效地解決數(shù)據(jù)庫帳號管理困難問題。
[0051]雖然本發(fā)明已以較佳實(shí)施例揭示如上��,然其并非用以限定本發(fā)明�,任何本領(lǐng)域技術(shù)人員,在不脫離本發(fā)明的精神和范圍內(nèi)����,當(dāng)可作些許的修改和完善,因此本發(fā)明的保護(hù)范圍當(dāng)以權(quán)利要求書所界定的為準(zhǔn)����。
【主權(quán)項(xiàng)】
1.一種數(shù)據(jù)庫帳號安全集中管控方法,其特征在于����,包括如下步驟: a)獲取所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號; b)對所有待監(jiān)控?cái)?shù)據(jù)庫的相關(guān)賬號進(jìn)行集中式管理�; c)定時(shí)監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間���,自動(dòng)鎖定或回收過期帳號; d)審計(jì)訪問痕跡和用戶行為��,對違規(guī)操作的帳號進(jìn)行自動(dòng)預(yù)警��,并在預(yù)設(shè)時(shí)間內(nèi)終止該帳號的操作權(quán)限�。2.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法,其特征在于��,所述步驟a)通過數(shù)據(jù)庫實(shí)例配置界面將數(shù)據(jù)庫主機(jī)IP��、端口�����、數(shù)據(jù)庫實(shí)例名�、數(shù)據(jù)庫帳號���、數(shù)據(jù)庫密碼保存起來作為數(shù)據(jù)源;并在后臺啟動(dòng)多個(gè)線程�,采用JDBC方式與指定的待監(jiān)控?cái)?shù)據(jù)庫建立長連接�,一個(gè)線程處理一個(gè)數(shù)據(jù)庫實(shí)例,通過數(shù)據(jù)庫的數(shù)據(jù)字典獲取所有帳號��、角色、權(quán)限進(jìn)行初始化同步工作���。3.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法���,其特征在于,所述步驟a)為不同的用戶分配不同的帳號�����,并定制不同的密碼需求屬性組;根據(jù)各種賬號的訪問目的分配數(shù)據(jù)庫權(quán)限角色�����,并刪除或鎖定與業(yè)務(wù)運(yùn)行����、日常維護(hù)、監(jiān)控工作無關(guān)的帳號���。4.如權(quán)利要求3所述的數(shù)據(jù)庫帳號安全集中管控方法�,其特征在于��,所述步驟b)利用可視化界面對所有帳號��、臨時(shí)賬號進(jìn)行集中分配,對相關(guān)權(quán)限和角色進(jìn)行展示����、授權(quán)配置及修改操作,并按照保存后的相關(guān)配置自動(dòng)生成SQL語句發(fā)送到目標(biāo)數(shù)據(jù)庫����,進(jìn)行授權(quán)工作,若目標(biāo)數(shù)據(jù)庫授權(quán)失敗�����,則回滾相應(yīng)操作���,從而與目標(biāo)數(shù)據(jù)庫的帳號信息保持一致����。5.如權(quán)利要求4所述的數(shù)據(jù)庫帳號安全集中管控方法���,其特征在于,所述步驟b)根據(jù)具體審批人手機(jī)號通過調(diào)用短信接口下發(fā)審批短信�����,并根據(jù)審批人回復(fù)短信內(nèi)容向目標(biāo)數(shù)據(jù)庫發(fā)送SQL執(zhí)行語句實(shí)現(xiàn)帳號創(chuàng)建操作,再通過短信將操作結(jié)果通知相關(guān)用戶�,完成整個(gè)審批流程。6.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法�,其特征在于,所述步驟c)通過定時(shí)器監(jiān)聽帳號預(yù)設(shè)的過期時(shí)間�����,若發(fā)現(xiàn)過期�����,則啟動(dòng)一個(gè)線程獲取帳號信息���,組裝成SQL語句�����,并發(fā)送到目標(biāo)數(shù)據(jù)庫進(jìn)行帳號回收處理����。7.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法����,其特征在于����,所述步驟c)還包括記錄過期帳號鎖定或回收處理成功后的結(jié)果狀態(tài)����,并設(shè)置該回收帳號可重新開通的期限。8.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法��,其特征在于�����,所述步驟d)中審計(jì)訪問痕跡的過程如下:對用戶登錄進(jìn)行記錄���,記錄內(nèi)容包括用戶登錄使用的帳號�、登錄是否成功�、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址;審計(jì)用戶行為的過程如下:記錄用戶對數(shù)據(jù)庫的操作���,包括帳號創(chuàng)建���、刪除/權(quán)限修改、口令修改����、讀取/修改數(shù)據(jù)庫配置以及讀取/修改敏感業(yè)務(wù)表。9.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法����,其特征在于,所述步驟d)包括記錄如下操作信息:數(shù)據(jù)庫庫表結(jié)構(gòu)修改�、字段增刪、索引修改�����,修改數(shù)據(jù)庫參數(shù)以及人為啟停數(shù)據(jù)庫�。10.如權(quán)利要求1所述的數(shù)據(jù)庫帳號安全集中管控方法,其特征在于���,所述步驟d)包括掃描用戶對數(shù)據(jù)庫的操作��,包括帳號登陸��、帳號訪問以及修改敏感業(yè)務(wù)表行為�����,如發(fā)現(xiàn)存在違規(guī)操作行為且操作次數(shù)超過預(yù)設(shè)次數(shù)則鎖定帳號�����,并通過短信或郵件通知系統(tǒng)管理員和數(shù)據(jù)庫管理員進(jìn)行審計(jì)預(yù)警��。
【文檔編號】G06F21/45GK105844142SQ201610149405
【公開日】2016年8月10日
【申請日】2016年3月16日
【發(fā)明人】程永新, 韓國盛, 郭振宇
【申請人】上海新炬網(wǎng)絡(luò)信息技術(shù)有限公司