1.本发明涉及数据安全保护
技术领域:
:,尤其涉及一种基于用户权限自动化检查的信息保护方法及系统。
背景技术:
::2.随着信息化发展程度不断加深,越来越多的个性化、定制化服务均需要调用大量数据参与计算。对于一些特定行业,例如银行、金融领域,其涉及的数据有可能包含高度敏感信息,在使用过程中必须充分核定数据请求是否合法,以保障敏感信息安全,不会发生篡改、外泄等问题。3.目前已有的数据安全技术通常包含数据库隐藏用户探测、数据库语句、数据库用户的使用规范、系统外部用户授权等环节。例如关注数据库用户安全的技术,内核入侵隐藏用户的探测,通过正常途径获取数据库用户列表,用底层方法获取数据库用户列表,将正常途径获取的用户列表和用底层方法获取的用户列表进行对比,找出正常途径获取不到的数据库用户列表,以识别不合法用户;或关注数据库语句审计的技术,通过据库语句审计模块采集到的审计数据进行解析,得到sql语句,对得到的sql语句进行检测以检测数据库安全状态;还有关注数据库用户行为的技术,服务器从用户登录认证、账号、授权及审计4a系统后,提取数据库进行的访问操作,以合法性访问操作范围作为判断依据,判断操作行为是否合法;或通过操作指令获取模块获取用户输入的操作指令,操作指令分析模块,分析获取的操作指令,使用合法性判断模块判断所述指令操作范围是否超出所述用户本次操作的允许操作范围,并使用操作指令转发模块,触发数据库拦截不合法操作指令。4.在数据安全领域,已有的技术虽然覆盖了数据库用户安全,数据库用户使用,数据操作等环节,但显然均为事后控制技术或基于对用户本身的安全检测,其检测控制手段多依赖于对用户请求的应对环节,并不能在数据保护方面实现事前控制的最理想效果。且现有的技术也无考虑用户实际使用和敏感信息关联的控制手段,无关联控制技术,导致现有控制手段难以跟随数据系统变化及时调整,容易产生误判。技术实现要素:5.为解决现有技术的不足,本发明提出一种基于用户权限自动化检查的信息保护方法及系统,通过获取用户历史授权记录,用于匹配最新敏感信息关键词来修订用户授权范围;通过锚定实时更新的敏感信息关键字,做到及时调整非法授权用户的权限,达到数据访问前权限检测,事前控制的效果。6.为实现以上目的,本发明所采用的技术方案包括:7.一种基于用户权限自动化检查的信息保护方法,其特征在于,包括:8.批量获取数据库现有用户清单;9.获取现有用户清单中用户的数据库授权记录;10.标注现有用户清单中用户的授权级别;11.依据授权级别分析数据库授权记录,获得潜在不合规用户清单;12.依据潜在不合规用户清单执行预设的安全处理操作。13.进一步地,所述标注现有用户清单中用户的授权级别包括:14.将数据库授权记录中的指定信息转换输出为csv文本格式的数据库用户授权清单,识别数据库用户授权清单中的用户授权级别;15.针对特定数据库,不具有敏感信息查询权限的用户标注为低授权级别;16.针对特定数据库,具有敏感信息查询权限但不具备敏感信息修改权限的用户标注为中授权级别;17.针对特定数据库,具有敏感信息查询权限和敏感信息修改权限的用户标注为高授权级别。18.进一步地,所述依据授权级别分析数据库授权记录包括:19.针对高授权级别下的数据库授权记录,执行非法全局授权检查;所述非法全局授权检查包括检查除特定数据库以外的其他数据库操作权限;20.针对中授权级别下的数据库授权记录,执行非法全局授权检查和非查询类授权检查;所述非查询类授权检查包括检查敏感信息修改权限;21.针对低授权级别下的数据库授权记录,执行非法全局授权检查、非查询类授权检查和查询类授权检查;所述查询类授权检查包括比对数据库授权记录和当前有效的数据库敏感信息地图。22.进一步地,所述批量获取数据库现有用户清单包括使用第一调取脚本自动获取数据库现有用户清单;所述获取现有用户清单中用户的数据库授权记录包括使用第二调取脚本依据数据库现有用户清单自动查询数据库系统表并获取数据库中的历史用户授权记录。23.进一步地,所述获取现有用户清单中用户的数据库授权记录还包括使用第二调取脚本依据数据库现有用户清单自动读取数据库配置文件并获取历史用户的数据库授权记录、全局用户授权记录、表用户授权记录和/或列用户授权记录。24.进一步地,所述将数据库授权记录中的指定信息转换输出为csv文本格式的数据库用户授权清单包括使用转换脚本将包含用户名、库名、表名和用户具有的权限的指定信息转换并输出结果至csv文本格式的数据库用户授权清单中。25.进一步地,所述当前有效的数据库敏感信息地图通过定期获取的数据库敏感字段建立或更新。26.进一步地,所述预设的安全处理操作包括以下一种或多种的组合:27.向不合规用户进行告警;28.向数据库安全运维人员告警;29.向数据库安全运维人员提示处理建议,所述处理建议包括调整不合规用户的数据库权限和/或收回不合规用户的数据库权限;30.收回不合规用户的数据库权限。31.本发明还涉及一种基于用户权限自动化检查的信息保护系统,其特征在于,包括:32.调度模块,用于执行第一调取脚本批量获取数据库现有用户清单,和,执行第二调取脚本获取现有用户清单中用户的数据库授权记录;33.脱敏模块,用于定期获取数据库敏感字段;34.合规检查模块,用于通过数据库敏感字段建立或更新数据库敏感信息地图,并比对数据库授权记录和当前有效的数据库敏感信息地图,获得具有敏感信息授权的潜在不合规用户清单;35.监控模块,用于依据潜在不合规用户清单执行预设的安全处理操作;36.中转服务器,用于执行转换脚本将包含用户名、库名、表名和用户具有的权限的指定信息转换输出为csv文本格式的数据库用户授权清单并发送至合规检查模块。37.本发明还涉及一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。38.本发明的有益效果为:39.采用本发明所述基于用户权限自动化检查的信息保护方法及系统应用于数据库、数据中心的安全保护过程中,能够在不影响现有基于用户请求的事后安全检查机制基础上,为数据保护提供事前监控功能,特别是可以自动化检查维护数据库用户授权合理性,能够有效的防范潜在的敏感信息泄露风险。附图说明40.图1为本发明基于用户权限自动化检查的信息保护方法流程示意图。41.图2为本发明基于用户权限自动化检查的信息保护系统结构示意图。具体实施方式42.为了更清楚的理解本发明的内容,将结合附图和实施例详细说明。43.如图1所示为本发明基于用户权限自动化检查的信息保护方法流程示意图,主要步骤包括:44.使用第一调取脚本自动批量获取数据库现有用户清单;45.使用第二调取脚本获取现有用户清单中用户的数据库授权记录,特别是包括使用第二调取脚本定期自动化查询数据库系统表syscat.tabauth实现获取数据库的历史用户授权记录,还包括使用第二调取脚本读取配置文件获取历史用户数据库db授权记录、global全局用户授权记录、tables表用户授权记录及列用户授权记录;46.将数据库授权记录中的指定信息转换输出为csv文本格式的数据库用户授权清单,特别是采用转换脚本按照用户名、库名、表名、该用户具有的权限输出结果至csv文本中,优选的,采用定时任务周期性的将获得的数据库用户授权清单传输并用于后续处理;47.识别数据库用户授权清单中的用户授权级别;针对特定数据库,不具有敏感信息查询权限的用户标注为低授权级别;针对特定数据库,具有敏感信息查询权限但不具备敏感信息修改权限的用户标注为中授权级别;针对特定数据库,具有敏感信息查询权限和敏感信息修改权限的用户标注为高授权级别;48.针对高授权级别下的数据库授权记录,执行非法全局授权检查,所述非法全局授权检查包括检查除特定数据库以外的其他数据库操作权限;针对中授权级别下的数据库授权记录,执行非法全局授权检查和非查询类授权检查,所述非查询类授权检查包括检查敏感信息修改权限;针对低授权级别下的数据库授权记录,执行非法全局授权检查、非查询类授权检查和查询类授权检查,所述查询类授权检查包括比对数据库授权记录和当前有效的数据库敏感信息地图;49.通过定期获取的数据库敏感字段建立或更新当前有效的数据库敏感信息地图;50.依据潜在不合规用户清单执行预设的安全处理操作,例如向不合规用户进行告警、向数据库安全运维人员告警、向数据库安全运维人员提示处理建议、收回不合规用户的数据库权限等。51.优选的,所述第一调取脚本、第二调取脚本以及转换脚本可以依据数据库实际操作需要选择任意合适的语言、方式进行编写,也可以根据需要将所述第一调取脚本、第二调取脚本以及转换脚本合并处理为一个具有上述全部必要功能的独立专用脚本;所述的数据库敏感信息地图标定了数据库中所涉及的最新敏感信息关键词以及关键词所涉及的授权范围,通过比对数据库用户授权清单可以自动化的获得授权情况存在异常的用户,进而实施事前管理措施,可以在实际有可能涉及敏感信息泄露的数据请求发出前完全禁止此类请求获得响应,从而有效提升了数据防护能力。52.由于采用了事前检测控制的方法,不需要着重考虑安全监控响应的及时性,因此采用本发明所述方法进行数据安全检测可以供相关运维人员从容的进行人工再审核以及进行相应处理。例如,采用本发明所述方法识别获得的潜在不合规用户清单,由运维人员进行人工审核并根据不同情况执行不同操作,判断为合法授权的可以忽略告警,判断为非法的可以依据敏感信息泄露风险高低选择调整用户授权范围或直接收回用户授权;对于检测过程中识别到的异常用户权限问题,例如用户授权范围与用户级别不相符的情况,也可以及时通知运维人员进行人工审核处理,能够及时发现并解决授权错误问题,而无需等待发生风险数据请求后再行管控。53.本发明还涉及一种如图2所示结构的基于用户权限自动化检查的信息保护系统,包括:54.调度模块,用于执行第一调取脚本批量获取数据库现有用户清单,和,执行第二调取脚本获取现有用户清单中用户的数据库授权记录;55.脱敏模块,用于定期获取数据库敏感字段;56.中转服务器,用于执行转换脚本将包含用户名、库名、表名和用户具有的权限的指定信息转换输出为csv文本格式的数据库用户授权清单并发送至合规检查模块;57.合规检查模块,用于通过数据库敏感字段建立或更新数据库敏感信息地图,并比对数据库授权记录和当前有效的数据库敏感信息地图,获得具有敏感信息授权的潜在不合规用户清单;58.监控模块,用于依据潜在不合规用户清单执行预设的安全处理操作。59.优选的,所述系统中的监控模块可以进一步关联额外的告警模块,可以依据数据安全检测结果向预先设定的关联人发送告警信息。60.本发明所述方法可以通过计算机程序存储于任意合适的计算机可读存储介质,使所述方法可以通过执行该计算机可读存储介质所存储的计算机程序实现。61.以上所述仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换等都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。当前第1页12当前第1页12
技术领域:
:,尤其涉及一种基于用户权限自动化检查的信息保护方法及系统。
背景技术:
::2.随着信息化发展程度不断加深,越来越多的个性化、定制化服务均需要调用大量数据参与计算。对于一些特定行业,例如银行、金融领域,其涉及的数据有可能包含高度敏感信息,在使用过程中必须充分核定数据请求是否合法,以保障敏感信息安全,不会发生篡改、外泄等问题。3.目前已有的数据安全技术通常包含数据库隐藏用户探测、数据库语句、数据库用户的使用规范、系统外部用户授权等环节。例如关注数据库用户安全的技术,内核入侵隐藏用户的探测,通过正常途径获取数据库用户列表,用底层方法获取数据库用户列表,将正常途径获取的用户列表和用底层方法获取的用户列表进行对比,找出正常途径获取不到的数据库用户列表,以识别不合法用户;或关注数据库语句审计的技术,通过据库语句审计模块采集到的审计数据进行解析,得到sql语句,对得到的sql语句进行检测以检测数据库安全状态;还有关注数据库用户行为的技术,服务器从用户登录认证、账号、授权及审计4a系统后,提取数据库进行的访问操作,以合法性访问操作范围作为判断依据,判断操作行为是否合法;或通过操作指令获取模块获取用户输入的操作指令,操作指令分析模块,分析获取的操作指令,使用合法性判断模块判断所述指令操作范围是否超出所述用户本次操作的允许操作范围,并使用操作指令转发模块,触发数据库拦截不合法操作指令。4.在数据安全领域,已有的技术虽然覆盖了数据库用户安全,数据库用户使用,数据操作等环节,但显然均为事后控制技术或基于对用户本身的安全检测,其检测控制手段多依赖于对用户请求的应对环节,并不能在数据保护方面实现事前控制的最理想效果。且现有的技术也无考虑用户实际使用和敏感信息关联的控制手段,无关联控制技术,导致现有控制手段难以跟随数据系统变化及时调整,容易产生误判。技术实现要素:5.为解决现有技术的不足,本发明提出一种基于用户权限自动化检查的信息保护方法及系统,通过获取用户历史授权记录,用于匹配最新敏感信息关键词来修订用户授权范围;通过锚定实时更新的敏感信息关键字,做到及时调整非法授权用户的权限,达到数据访问前权限检测,事前控制的效果。6.为实现以上目的,本发明所采用的技术方案包括:7.一种基于用户权限自动化检查的信息保护方法,其特征在于,包括:8.批量获取数据库现有用户清单;9.获取现有用户清单中用户的数据库授权记录;10.标注现有用户清单中用户的授权级别;11.依据授权级别分析数据库授权记录,获得潜在不合规用户清单;12.依据潜在不合规用户清单执行预设的安全处理操作。13.进一步地,所述标注现有用户清单中用户的授权级别包括:14.将数据库授权记录中的指定信息转换输出为csv文本格式的数据库用户授权清单,识别数据库用户授权清单中的用户授权级别;15.针对特定数据库,不具有敏感信息查询权限的用户标注为低授权级别;16.针对特定数据库,具有敏感信息查询权限但不具备敏感信息修改权限的用户标注为中授权级别;17.针对特定数据库,具有敏感信息查询权限和敏感信息修改权限的用户标注为高授权级别。18.进一步地,所述依据授权级别分析数据库授权记录包括:19.针对高授权级别下的数据库授权记录,执行非法全局授权检查;所述非法全局授权检查包括检查除特定数据库以外的其他数据库操作权限;20.针对中授权级别下的数据库授权记录,执行非法全局授权检查和非查询类授权检查;所述非查询类授权检查包括检查敏感信息修改权限;21.针对低授权级别下的数据库授权记录,执行非法全局授权检查、非查询类授权检查和查询类授权检查;所述查询类授权检查包括比对数据库授权记录和当前有效的数据库敏感信息地图。22.进一步地,所述批量获取数据库现有用户清单包括使用第一调取脚本自动获取数据库现有用户清单;所述获取现有用户清单中用户的数据库授权记录包括使用第二调取脚本依据数据库现有用户清单自动查询数据库系统表并获取数据库中的历史用户授权记录。23.进一步地,所述获取现有用户清单中用户的数据库授权记录还包括使用第二调取脚本依据数据库现有用户清单自动读取数据库配置文件并获取历史用户的数据库授权记录、全局用户授权记录、表用户授权记录和/或列用户授权记录。24.进一步地,所述将数据库授权记录中的指定信息转换输出为csv文本格式的数据库用户授权清单包括使用转换脚本将包含用户名、库名、表名和用户具有的权限的指定信息转换并输出结果至csv文本格式的数据库用户授权清单中。25.进一步地,所述当前有效的数据库敏感信息地图通过定期获取的数据库敏感字段建立或更新。26.进一步地,所述预设的安全处理操作包括以下一种或多种的组合:27.向不合规用户进行告警;28.向数据库安全运维人员告警;29.向数据库安全运维人员提示处理建议,所述处理建议包括调整不合规用户的数据库权限和/或收回不合规用户的数据库权限;30.收回不合规用户的数据库权限。31.本发明还涉及一种基于用户权限自动化检查的信息保护系统,其特征在于,包括:32.调度模块,用于执行第一调取脚本批量获取数据库现有用户清单,和,执行第二调取脚本获取现有用户清单中用户的数据库授权记录;33.脱敏模块,用于定期获取数据库敏感字段;34.合规检查模块,用于通过数据库敏感字段建立或更新数据库敏感信息地图,并比对数据库授权记录和当前有效的数据库敏感信息地图,获得具有敏感信息授权的潜在不合规用户清单;35.监控模块,用于依据潜在不合规用户清单执行预设的安全处理操作;36.中转服务器,用于执行转换脚本将包含用户名、库名、表名和用户具有的权限的指定信息转换输出为csv文本格式的数据库用户授权清单并发送至合规检查模块。37.本发明还涉及一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。38.本发明的有益效果为:39.采用本发明所述基于用户权限自动化检查的信息保护方法及系统应用于数据库、数据中心的安全保护过程中,能够在不影响现有基于用户请求的事后安全检查机制基础上,为数据保护提供事前监控功能,特别是可以自动化检查维护数据库用户授权合理性,能够有效的防范潜在的敏感信息泄露风险。附图说明40.图1为本发明基于用户权限自动化检查的信息保护方法流程示意图。41.图2为本发明基于用户权限自动化检查的信息保护系统结构示意图。具体实施方式42.为了更清楚的理解本发明的内容,将结合附图和实施例详细说明。43.如图1所示为本发明基于用户权限自动化检查的信息保护方法流程示意图,主要步骤包括:44.使用第一调取脚本自动批量获取数据库现有用户清单;45.使用第二调取脚本获取现有用户清单中用户的数据库授权记录,特别是包括使用第二调取脚本定期自动化查询数据库系统表syscat.tabauth实现获取数据库的历史用户授权记录,还包括使用第二调取脚本读取配置文件获取历史用户数据库db授权记录、global全局用户授权记录、tables表用户授权记录及列用户授权记录;46.将数据库授权记录中的指定信息转换输出为csv文本格式的数据库用户授权清单,特别是采用转换脚本按照用户名、库名、表名、该用户具有的权限输出结果至csv文本中,优选的,采用定时任务周期性的将获得的数据库用户授权清单传输并用于后续处理;47.识别数据库用户授权清单中的用户授权级别;针对特定数据库,不具有敏感信息查询权限的用户标注为低授权级别;针对特定数据库,具有敏感信息查询权限但不具备敏感信息修改权限的用户标注为中授权级别;针对特定数据库,具有敏感信息查询权限和敏感信息修改权限的用户标注为高授权级别;48.针对高授权级别下的数据库授权记录,执行非法全局授权检查,所述非法全局授权检查包括检查除特定数据库以外的其他数据库操作权限;针对中授权级别下的数据库授权记录,执行非法全局授权检查和非查询类授权检查,所述非查询类授权检查包括检查敏感信息修改权限;针对低授权级别下的数据库授权记录,执行非法全局授权检查、非查询类授权检查和查询类授权检查,所述查询类授权检查包括比对数据库授权记录和当前有效的数据库敏感信息地图;49.通过定期获取的数据库敏感字段建立或更新当前有效的数据库敏感信息地图;50.依据潜在不合规用户清单执行预设的安全处理操作,例如向不合规用户进行告警、向数据库安全运维人员告警、向数据库安全运维人员提示处理建议、收回不合规用户的数据库权限等。51.优选的,所述第一调取脚本、第二调取脚本以及转换脚本可以依据数据库实际操作需要选择任意合适的语言、方式进行编写,也可以根据需要将所述第一调取脚本、第二调取脚本以及转换脚本合并处理为一个具有上述全部必要功能的独立专用脚本;所述的数据库敏感信息地图标定了数据库中所涉及的最新敏感信息关键词以及关键词所涉及的授权范围,通过比对数据库用户授权清单可以自动化的获得授权情况存在异常的用户,进而实施事前管理措施,可以在实际有可能涉及敏感信息泄露的数据请求发出前完全禁止此类请求获得响应,从而有效提升了数据防护能力。52.由于采用了事前检测控制的方法,不需要着重考虑安全监控响应的及时性,因此采用本发明所述方法进行数据安全检测可以供相关运维人员从容的进行人工再审核以及进行相应处理。例如,采用本发明所述方法识别获得的潜在不合规用户清单,由运维人员进行人工审核并根据不同情况执行不同操作,判断为合法授权的可以忽略告警,判断为非法的可以依据敏感信息泄露风险高低选择调整用户授权范围或直接收回用户授权;对于检测过程中识别到的异常用户权限问题,例如用户授权范围与用户级别不相符的情况,也可以及时通知运维人员进行人工审核处理,能够及时发现并解决授权错误问题,而无需等待发生风险数据请求后再行管控。53.本发明还涉及一种如图2所示结构的基于用户权限自动化检查的信息保护系统,包括:54.调度模块,用于执行第一调取脚本批量获取数据库现有用户清单,和,执行第二调取脚本获取现有用户清单中用户的数据库授权记录;55.脱敏模块,用于定期获取数据库敏感字段;56.中转服务器,用于执行转换脚本将包含用户名、库名、表名和用户具有的权限的指定信息转换输出为csv文本格式的数据库用户授权清单并发送至合规检查模块;57.合规检查模块,用于通过数据库敏感字段建立或更新数据库敏感信息地图,并比对数据库授权记录和当前有效的数据库敏感信息地图,获得具有敏感信息授权的潜在不合规用户清单;58.监控模块,用于依据潜在不合规用户清单执行预设的安全处理操作。59.优选的,所述系统中的监控模块可以进一步关联额外的告警模块,可以依据数据安全检测结果向预先设定的关联人发送告警信息。60.本发明所述方法可以通过计算机程序存储于任意合适的计算机可读存储介质,使所述方法可以通过执行该计算机可读存储介质所存储的计算机程序实现。61.以上所述仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换等都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
