專利名稱:數(shù)據(jù)庫用戶行為管理系統(tǒng)和數(shù)據(jù)庫用戶行為管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及業(yè)務(wù)支撐及管理信息系統(tǒng)領(lǐng)域�,特別是涉及一種數(shù)據(jù)庫用戶行為管理系統(tǒng)和數(shù)據(jù)庫用戶行為管理方法。
背景技術(shù):
目前數(shù)據(jù)庫信息安全是各大企業(yè)關(guān)注的重點(diǎn)。如果數(shù)據(jù)庫用戶通過后臺(tái)對(duì)數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行非法操作���,導(dǎo)致敏感數(shù)據(jù)被泄露或者被惡意修改���,將給企業(yè)帶來巨大的經(jīng)濟(jì)損失和嚴(yán)重的品牌形象影響��。目前的解決方案為:借助4A(認(rèn)證Authentication���、賬號(hào)Account����、授權(quán)Authorization���、審計(jì)Audit)系統(tǒng)對(duì)用戶操作進(jìn)行事后審計(jì)��。如圖1所示為現(xiàn)有技術(shù)中的數(shù)據(jù)庫系統(tǒng)的總體架構(gòu)示意圖�����,該數(shù)據(jù)庫系統(tǒng)包括-AA系統(tǒng)�����、BOSS(業(yè)務(wù)操作支撐系統(tǒng)����,BuSSineSS&Operation Support System)堡魚機(jī)以及BOSS數(shù)據(jù)庫,4A系統(tǒng)能夠限定用戶的訪問權(quán)限等���,并可記錄用戶的操作日志����,甚至能夠借助視頻監(jiān)控系統(tǒng)記錄用戶的操作過程�����。后臺(tái)管理員可以在用戶完成操作后����,導(dǎo)出用戶輸入的針對(duì)BOSS數(shù)據(jù)庫的所有字符命令以及操作過程視頻記錄,通過閱讀操作日志及觀看視頻的方式���,來對(duì)每個(gè)用戶的操作是否合法進(jìn)行人工判斷����?��?梢钥闯?�,管理員只有在發(fā)生安全事故后��,才能知道曾有人違規(guī)操作��,并需要對(duì)海量操作日志進(jìn)行逐條審計(jì)�,即使在審計(jì)過程中發(fā)現(xiàn)了一些非法操作,事故影響已經(jīng)產(chǎn)生����。而從海量日志中進(jìn)行回溯定責(zé)又極其繁瑣��,審計(jì)工作量極大����,造成實(shí)際操作內(nèi)容與審批內(nèi)容匹配正確率低、效率低�、非法操作發(fā)現(xiàn)成功率低等問題。顯而易見�,使用目前的4A解決方案,不能對(duì)操作用戶行為實(shí)時(shí)分析(Analyse),無法實(shí)時(shí)判斷用戶操作是否為合法,無法對(duì)非法操作行為進(jìn)行實(shí)時(shí)攔截���。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明提供一種數(shù)據(jù)庫用戶行為管理系統(tǒng)和數(shù)據(jù)庫用戶行為管理方法,能夠?qū)τ脩舨僮鬟M(jìn)行實(shí)時(shí)分析���,實(shí)時(shí)判斷用戶操作是否合法�����,并對(duì)非法操作進(jìn)行實(shí)時(shí)攔截����。為解決上述問題���,本發(fā)明提供一種數(shù)據(jù)庫用戶行為管理系統(tǒng)�,包括:操作指令獲取模塊�����,用于獲取用戶輸入的操作指令�;操作指令分析模塊,用于對(duì)所述操作指令進(jìn)行分析���,得到所述操作指令對(duì)應(yīng)的指令操作范圍�����;合法性判斷模塊����,用于判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍;操作指令轉(zhuǎn)發(fā)模塊�,用于當(dāng)所述指令操作范圍未超出所述用戶本次操作的允許操作范圍時(shí),將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫��;操作指令攔截模塊��,用于當(dāng)所述指令操作范圍超出所述用戶本次操作的允許操作范圍時(shí)�,攔截所述操作指令����。可選的��,所述數(shù)據(jù)庫用戶行為管理系統(tǒng)還包括:工單同步模塊�����,用于同步工單系統(tǒng)中的審批工單����;工單分析模塊�,用于對(duì)同步的審批工單進(jìn)行分析�����,得到同步的審批工單的允許操作范圍并存儲(chǔ)��;其中��,所述合法性判斷模塊還用于從存儲(chǔ)的所有審批工單的允許操作范圍中��,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍�����,作為所述用戶本次操作的允許操作范圍�����?���?蛇x的,所述數(shù)據(jù)庫用戶行為管理系統(tǒng)還包括:工單標(biāo)識(shí)獲取模塊����,用于獲取所述用戶輸入的工單標(biāo)識(shí)��;其中��,所述工單分析模塊還用于獲取同步的審批工單的工單標(biāo)識(shí)并存儲(chǔ)����;所述合法性判斷模塊還用于從存儲(chǔ)的所有審批工單的允許操作范圍中����,提取出與所述用戶輸入的工單標(biāo)識(shí)相同的審批工單的允許操作范圍,作為所述用戶本次操作的允許操作范圍�����?�?蛇x的����,所述操作指令分析模塊是基于抽象語法樹生成的語法分析器和詞法分析器對(duì)所述操作指令進(jìn)行分析����,得到所述操作指令對(duì)應(yīng)的指令操作范圍��;所述工單分析模塊是基于抽象語法樹生成的語法分析器和詞法分析器對(duì)同步的審批工單進(jìn)行分析����,得到同步的審批工單的允許操作范圍并存儲(chǔ)��?�?蛇x的����,所述合法性判斷模塊還包括:第一判斷模塊,用于判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)���;第二判斷模塊��,用于當(dāng)所述指令操作范圍涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)��,判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍�;其中��,所述操作指令轉(zhuǎn)發(fā)模塊還用于當(dāng)所述指令操作范圍不涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)�����,將所述操作指令轉(zhuǎn)發(fā)給所述數(shù)據(jù)庫。本發(fā)明還提供一種數(shù)據(jù)庫用戶行為管理方法���,包括:獲取用戶輸入的操作指令��;對(duì)所述操作指令進(jìn)行分析�����,得到所述操作指令對(duì)應(yīng)的指令操作范圍��;判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍��; 當(dāng)所述指令操作范圍未超出所述用戶本次操作的允許操作范圍時(shí)�,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫�;當(dāng)所述指令操作范圍超出所述用戶本次操作的允許操作范圍時(shí),攔截所述操作指令����。可選的��,所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟之前還包括:同步工單系統(tǒng)中的審批工單����;對(duì)同步的審批工單進(jìn)行分析,得到同步的審批工單的允許操作范圍并存儲(chǔ)�;所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟包括:從存儲(chǔ)的所有審批工單的允許操作范圍中,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍����,作為所述用戶本次操作的允許操作范圍。
可選的�����,所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟之前還包括:獲取所述用戶輸入的工單標(biāo)識(shí)��;獲取同步的審批工單的工單標(biāo)識(shí)并存儲(chǔ)��;所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟包括:從存儲(chǔ)的所有審批工單的允許操作范圍中�����,提取出與所述用戶輸入的工單標(biāo)識(shí)相同的審批工單的允許操作范圍����,作為所述用戶本次操作的允許操作范圍?���?蛇x的����,所述對(duì)所述操作指令進(jìn)行分析��,得到所述操作指令對(duì)應(yīng)的指令操作范圍的步驟包括:基于抽象語法樹生成的語法分析器和詞法分析器對(duì)所述操作指令進(jìn)行分析�����,得到所述操作指令對(duì)應(yīng)的指令操作范圍����;所述對(duì)同步的審批工單進(jìn)行分析,得到同步的審批工單的允許操作范圍并存儲(chǔ)的步驟包括:基于抽象語法樹生成的語法分析器和詞法分析器對(duì)同步的審批工單進(jìn)行分析�,得到同步的審批工單的允許操作范圍并存儲(chǔ)?����?蛇x的���,所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟包括:判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)��;當(dāng)所述指令操作范圍涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)��,判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍�����;當(dāng)所述指令操作范圍不涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)�,將所述操作指令轉(zhuǎn)發(fā)給所述數(shù)據(jù)庫�。本發(fā)明具有以下有益效果:對(duì)用戶輸入的操作指令進(jìn)行實(shí)時(shí)分析,實(shí)時(shí)判斷用戶輸入的操作指令是否為合法操作指令�����,并對(duì)合法操作指令進(jìn)行轉(zhuǎn)發(fā)���,對(duì)非法操作指令進(jìn)行實(shí)時(shí)攔截�,從而解決了現(xiàn)有的4A系統(tǒng)在對(duì)數(shù)據(jù)庫管理中不能發(fā)現(xiàn)并實(shí)時(shí)攔截非法操作�、無法實(shí)現(xiàn)“事中控制”、審計(jì)匹配正確率低的問題���。
圖1為現(xiàn)有技術(shù)中的數(shù)據(jù)庫系統(tǒng)的總體架構(gòu)示意圖���;圖2為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理系統(tǒng)的一結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理方法的一流程示意圖�;圖4為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理方法的另一流程示意圖;圖5為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理方法的又一流程示意圖;圖6為本發(fā)明實(shí)施例的數(shù)據(jù)庫系統(tǒng)的總體架構(gòu)示意圖���;圖7為圖6中的數(shù)據(jù)庫系統(tǒng)的工作流程示意圖�����。
具體實(shí)施方式
現(xiàn)有技術(shù)中的4A解決方案����,不能發(fā)現(xiàn)用戶的非法操作并實(shí)時(shí)攔截的根本原因在于數(shù)據(jù)庫系統(tǒng)對(duì)所有的操作指令均進(jìn)行透傳����,本發(fā)明實(shí)施例中,對(duì)用戶輸入的所有操作指令均進(jìn)行分析�,判斷操作指令是否合法,并對(duì)非法操作指令進(jìn)行實(shí)時(shí)攔截���,從而在根本上解決目前數(shù)據(jù)庫安全運(yùn)維管控工作的難題��。下面結(jié)合附圖和實(shí)施例��,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述�。如圖2所示為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理系統(tǒng)的一結(jié)構(gòu)示意圖�,該數(shù)據(jù)庫用戶行為管理系統(tǒng)包括:操作指令獲取模塊201���,用于獲取用戶輸入的操作指令;該操作指令是針對(duì)數(shù)據(jù)庫的操作指令���。操作指令分析模塊202,用于對(duì)所述操作指令進(jìn)行分析�����,得到所述操作指令對(duì)應(yīng)的指令操作范圍�;所述操作范圍包括操作對(duì)象以及對(duì)該操作對(duì)象的操作動(dòng)作。合法性判斷模塊203��,用于判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍����;操作指令轉(zhuǎn)發(fā)模塊204,用于當(dāng)所述指令操作范圍未超出所述用戶本次操作的允許操作范圍時(shí)�����,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫�;操作指令攔截模塊205,用于當(dāng)所述指令操作范圍超出所述用戶本次操作的允許操作范圍時(shí)�����,攔截所述操作指令。通過上述實(shí)施例提供的數(shù)據(jù)庫用戶行為管理系統(tǒng)�,能夠?qū)τ脩糨斎氲牟僮髦噶钸M(jìn)行實(shí)時(shí)分析,實(shí)時(shí)判斷用戶輸入的操作指令是否為合法操作指令��,并對(duì)合法操作指令進(jìn)行轉(zhuǎn)發(fā)����,對(duì)非法操作指令進(jìn)行實(shí)時(shí)攔截,從而解決了現(xiàn)有的4A系統(tǒng)在對(duì)數(shù)據(jù)庫管理中不能發(fā)現(xiàn)并實(shí)時(shí)攔截非法操作�、無法實(shí)現(xiàn)“事中控制”、審計(jì)匹配正確率低的問題����。本發(fā)明實(shí)施例中,可以預(yù)先配置用戶對(duì)應(yīng)的允許操作范圍(即用戶的操作權(quán)限)��,并存儲(chǔ)���。當(dāng)檢測(cè)到某一用戶輸入操作指令時(shí)���,首先對(duì)該操作指令進(jìn)行分析,得到該操作指令對(duì)應(yīng)的指令操作范圍�����,并從存儲(chǔ)的所有用戶對(duì)應(yīng)的允許操作范圍中,提取出該用戶對(duì)應(yīng)的允許操作范圍�,判斷該操作指令對(duì)應(yīng)的指令操作范圍是否超出該用戶對(duì)應(yīng)的允許操作范圍,如果是�����,則判定該操作指令為非法操作指令�����,對(duì)該操作指令進(jìn)行攔截����,否則�����,判定該操作指令為合法操作指令���,將該操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫�。本發(fā)明實(shí)施例中����,也可以設(shè)置一工單系統(tǒng)�,用戶在每執(zhí)行一次數(shù)據(jù)庫操作之前���,都需要填寫一個(gè)審批工單��,并將該審批工單存儲(chǔ)到工單系統(tǒng)中�,該審批工單中記錄有該用戶的該次對(duì)數(shù)據(jù)庫操作的允許操作范圍��。數(shù)據(jù)庫用戶行為管理系統(tǒng)可以周期性同步工單系統(tǒng)中的所有審批工單�����,例如每三個(gè)小時(shí)同步一次�,或者,也可以僅在工單系統(tǒng)有更新時(shí)��,同步更新的審批工單��。將工單系統(tǒng)中的審批工單同步過來后�,可以對(duì)審批工單進(jìn)行分析,得到審批工單中記錄的用戶該次操作的允許操作范圍(以下簡稱審批工單的允許操作范圍)�����。數(shù)據(jù)庫用戶行為管理系統(tǒng)檢測(cè)到用戶輸入操作指令時(shí),對(duì)該操作指令進(jìn)行分析�����,得到該操作指令對(duì)應(yīng)的指令操作范圍�����,并從存儲(chǔ)的所有審批工單的允許操作范圍中�����,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍�����,作為所述用戶本次操作的允許操作范圍�,以判斷操作指令對(duì)應(yīng)的指令操作范圍是否超出所述用戶本次操作的允許操作范圍����。對(duì)應(yīng)于上述描述,本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理系統(tǒng)還可以包括:工單同步模塊���,用于同步工單系統(tǒng)中的審批工單�����;
工單分析模塊���,用于對(duì)同步的審批工單進(jìn)行分析��,得到同步的審批工單的允許操作范圍并存儲(chǔ)����;其中��,所述合法性判斷模塊還用于從存儲(chǔ)的所有審批工單的允許操作范圍中�����,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍�����,作為用戶對(duì)應(yīng)的允許操作范圍��。所述工單分析模塊與上述操作指令分析模塊可以采用同一物理功能模塊實(shí)現(xiàn)�����,也可以采用不同的物理功能模塊實(shí)現(xiàn)。本發(fā)明實(shí)施例中��,可以為每一用戶配置一唯一的用戶身份標(biāo)識(shí)���,并在該用戶的審批工單中標(biāo)明出用戶身份標(biāo)識(shí)����,從而能夠方便地從多個(gè)審批工單中提取出用戶的審批工單��,以判斷用戶輸入的操作指令的指令操作范圍是否超出該用戶的審批工單的允許操作范圍����。本實(shí)施例中,可以為每一審批工單配置一工單標(biāo)識(shí)(本實(shí)施例中稱為key���,例如工單流水號(hào))���,當(dāng)用戶需要對(duì)數(shù)據(jù)庫進(jìn)行操作時(shí)���,需要輸入該用戶對(duì)應(yīng)的審批工單的工單標(biāo)識(shí)��,然后根據(jù)用戶輸入的工單標(biāo)識(shí)�,從存儲(chǔ)的所有審批工單的允許操作范圍中,提取出與所述用戶輸入的工單標(biāo)識(shí)對(duì)應(yīng)的審批工單的允許操作范圍���,作為所述用戶本次操作的允許操作范圍���,以判斷用戶輸入的操作指令的指令操作范圍是否超出該用戶本次操作的允許操作范圍。對(duì)應(yīng)于上述描述���,本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理系統(tǒng)還可以包括:工單標(biāo)識(shí)獲取模塊�����,用于獲取所述用戶輸入的工單標(biāo)識(shí)����;其中����,上述工單分析模塊還用于對(duì)同步的審批工單進(jìn)行分析,得到同步的審批工單的工單標(biāo)識(shí)并存儲(chǔ)�����。所述合法性判斷模塊還用于從存儲(chǔ)的所有審批工單的允許操作范圍中,提取出與所述用戶輸入的工單標(biāo)識(shí)對(duì)應(yīng)的審批工單的允許操作范圍���,作為所述用戶本次操作的允許操作范圍�����。當(dāng)數(shù)據(jù)庫中涉及的數(shù)據(jù)量較大時(shí)�,如果針對(duì)用戶的每一個(gè)操作指令均與審批工單的允許操作范圍進(jìn)行匹配操作的話���,將會(huì)增大數(shù)據(jù)庫用戶行為管理系統(tǒng)的負(fù)擔(dān)����。因而���,本發(fā)明實(shí)施例中���,可以將數(shù)據(jù)庫中的一些重要的數(shù)據(jù)(例如涉及用戶隱私或者涉及商業(yè)秘密的數(shù)據(jù))配置為敏感數(shù)據(jù),僅針對(duì)這些敏感數(shù)據(jù)對(duì)應(yīng)的操作指令與審批工單的允許操作范圍進(jìn)行匹配操作���,對(duì)于針對(duì)普通數(shù)據(jù)的操作指令則可以直接進(jìn)行轉(zhuǎn)發(fā)���。基于上述描述���,本發(fā)明實(shí)施例的合法性判斷模塊還可以包括以下功能模塊:第一判斷模塊���,用于判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù);第二判斷模塊���,用于當(dāng)所述指令操作范圍涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)���,判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍;其中�����,所述操作指令轉(zhuǎn)發(fā)模塊還用于當(dāng)所述指令操作范圍不涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)��,將所述操作指令轉(zhuǎn)發(fā)給所述數(shù)據(jù)庫�。此外,上述實(shí)施例中�����,當(dāng)操作指令轉(zhuǎn)發(fā)模塊將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫后�,所述數(shù)據(jù)庫可以執(zhí)行所述操作指令�����,并得到一操作結(jié)果���,所述數(shù)據(jù)庫用戶行為管理系統(tǒng)還可以將所述操作結(jié)果返回給用戶。也就是說����,所述數(shù)據(jù)庫用戶行為管理系統(tǒng)還可以包括一返回模塊,用于將所述數(shù)據(jù)庫針對(duì)所述操作指令的操作結(jié)果返回給所述用戶��。此外��,本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理系統(tǒng)還可以包括一記錄模塊���,用于對(duì)用戶輸入的操作指令的合法性進(jìn)行記錄����。
對(duì)應(yīng)于上述數(shù)據(jù)庫用戶行為管理系統(tǒng)���,本發(fā)明實(shí)施例還提供一種數(shù)據(jù)庫用戶行為管理方法�,如圖3所示為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理方法的一流程示意圖�,該數(shù)據(jù)庫用戶行為管理方法包括以下步驟:步驟301��,獲取用戶輸入的操作指令�。步驟302�,對(duì)所述操作指令進(jìn)行分析���,得到所述操作指令對(duì)應(yīng)的指令操作范圍��。步驟303��,判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍����,如果是���,執(zhí)行步驟304��,否則�����,執(zhí)行步驟305�����。步驟304�����,攔截所述操作指令���。步驟305���,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫。此外���,本實(shí)施例中��,在將操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫之后��,還可以包括:將所述數(shù)據(jù)庫針對(duì)所述操作指令的操作結(jié)果返回給所述用戶的步驟��。本發(fā)明實(shí)施例中��,可以依據(jù)從工單系統(tǒng)中同步的用戶的審批工單�����,判斷用戶輸入的操作指令的指令操作范圍是否超出用戶本次操作的允許操作范圍����。如圖4所示為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理方法的另一流程示意圖,該數(shù)據(jù)庫用戶行為管理方法包括以下步驟:步驟401�,同步工單系統(tǒng)中的審批工單。步驟402����,對(duì)同步的審批工單進(jìn)行分析����,得到同步的審批工單的允許操作范圍并存儲(chǔ)。步驟403�,獲取用戶輸入的操作指令。步驟404��,對(duì)所述操作指令進(jìn)行分析�,得到所述操作指令對(duì)應(yīng)的指令操作范圍。步驟405�����,從存儲(chǔ)的所有審批工單的允許操作范圍中��,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍�����。步驟406,判斷所述指令操作范圍是否超出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍���,如果是���,執(zhí)行步驟407,否則�,執(zhí)行步驟408。步驟407�,攔截所述操作指令。步驟408���,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫�����。本實(shí)施例中���,可以為每一審批工單配置一工單標(biāo)識(shí)(例如工單流水號(hào)),當(dāng)用戶需要對(duì)數(shù)據(jù)庫進(jìn)行操作時(shí)�,需要輸入該用戶對(duì)應(yīng)的審批工單的工單標(biāo)識(shí),然后根據(jù)用戶輸入的工單標(biāo)識(shí),從存儲(chǔ)的所有審批工單的允許操作范圍中���,提取出與所述用戶輸入的工單標(biāo)識(shí)對(duì)應(yīng)的審批工單的允許操作范圍���,作為所述用戶本次操作的允許操作范圍,以判斷用戶輸入的操作指令的指令操作范圍是否超出該用戶本次操作的允許操作范圍��。當(dāng)數(shù)據(jù)庫中涉及的數(shù)據(jù)量較大時(shí)�,如果針對(duì)用戶的每一個(gè)操作指令均與審批工單的允許操作范圍進(jìn)行匹配操作的話,將會(huì)增大數(shù)據(jù)庫用戶行為管理系統(tǒng)的負(fù)擔(dān)�。因而,本發(fā)明實(shí)施例中����,可以將數(shù)據(jù)庫中的一些重要的數(shù)據(jù)(例如涉及用戶隱私或者涉及商業(yè)秘密的數(shù)據(jù))配置為敏感數(shù)據(jù)�����,僅針對(duì)這些敏感數(shù)據(jù)對(duì)應(yīng)的操作指令與審批工單的允許操作范圍進(jìn)行匹配操作����,對(duì)于針對(duì)普通數(shù)據(jù)的操作指令則可以直接進(jìn)行轉(zhuǎn)發(fā)。如圖5所示為本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理方法的又一流程示意圖����,該數(shù)據(jù)庫用戶行為管理方法包括以下步驟:步驟501�����,同步工單系統(tǒng)中的審批工單��。
步驟502�,對(duì)同步的審批工單進(jìn)行分析���,得到同步的審批工單的允許操作范圍并存儲(chǔ)�。步驟503�,獲取用戶輸入的操作指令。步驟504���,對(duì)所述操作指令進(jìn)行分析����,得到所述操作指令對(duì)應(yīng)的指令操作范圍��。步驟505�����,判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù),如果是�����,執(zhí)行步驟506���,否則��,執(zhí)行步驟509��。步驟506����,從存儲(chǔ)的所有審批工單的允許操作范圍中��,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍���。步驟507,判斷所述指令操作范圍是否超出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍����,如果是,執(zhí)行步驟508�,否則���,執(zhí)行步驟509。步驟508�����,攔截所述操作指令��。步驟509����,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫。此外�,上述判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)的步驟之前,還可以包括:配置數(shù)據(jù)庫的敏感數(shù)據(jù)的步驟�����。如圖6所示為本發(fā)明實(shí)施例的數(shù)據(jù)庫系統(tǒng)的總體架構(gòu)示意圖���,該數(shù)據(jù)庫系統(tǒng)包括:4A系統(tǒng)����、BOSS堡壘機(jī)�����、iAnlyser系統(tǒng)、BOSS數(shù)據(jù)庫以及工單系統(tǒng)�,其中,iAnlyser系統(tǒng)即本發(fā)明實(shí)施例的數(shù)據(jù)庫用戶行為管理系統(tǒng)��,包括=Secure Sqlplus客戶端�、工單同步系統(tǒng)、語法分析引擎����、合法性判斷模塊、監(jiān)控?cái)?shù)據(jù)庫以及展示模塊��,下面分別對(duì)上述各個(gè)模塊進(jìn)行詳細(xì)說明�。1> Secure Sqlplus 客戶端以下簡稱為SS客戶端,SS客戶端可以是通過JAVA程序編寫的一個(gè)類Sqlplus客戶端��,管理員可以在操作系統(tǒng)中設(shè)置權(quán)限�����,禁止其他數(shù)據(jù)庫訪問軟件運(yùn)行����,只允許用戶使用SS客戶端對(duì)BOSS數(shù)據(jù)庫進(jìn)行訪問操作。SS客戶端能夠獲取用戶輸入的所有數(shù)據(jù)庫操作指令(本實(shí)施例中為SQL指令)����,并調(diào)用語法分析引擎對(duì)每一條操作指令進(jìn)行語法分析,并將分析結(jié)果(即指令操作范圍)發(fā)送給合法性判斷模塊���,另外���,SS客戶端還可以將用戶輸入的key (密鑰,即上述工單標(biāo)識(shí))等信息發(fā)送給合法性判斷模塊����,通過合法性判斷模塊對(duì)用戶輸入的操作指令進(jìn)行合法性判斷,如果操作指令被判定為合法���,SS客戶端則將該操作指令轉(zhuǎn)發(fā)給BOSS數(shù)據(jù)庫���,并將BOSS數(shù)據(jù)庫針對(duì)該操作指令的操作結(jié)果返回給用戶,如果操作指令被判定為非法�����,SS客戶端將對(duì)該操作指令進(jìn)行攔截�����,并將攔截操作提示給用戶。也就是說����,該SS客戶端用于執(zhí)行上述實(shí)施例中的操作指令獲取模塊、操作指令轉(zhuǎn)發(fā)模塊���、操作指令攔截模塊以及工單標(biāo)識(shí)獲取模塊執(zhí)行的功能��。2���、工單同步模塊工單同步模塊通過工單系統(tǒng)(AMS系統(tǒng),支持工單審批等流程)提供的Webservice接口���,將工單系統(tǒng)中“已審批”的“審批工單”同步過來��,并將“工單流水號(hào)”記作為key (密鑰��,即上述工單標(biāo)識(shí))���,然后調(diào)用語法分析引擎,從包括中文����、英文�、特殊字符等復(fù)雜無規(guī)律的工單描述中,提取出用戶操作分析所需的操作指令(即SQL指令)����,并該操作指令進(jìn)行分析,拆分成語法分析樹(數(shù)據(jù)庫對(duì)象+操作的簡化集合)��,最終將key��、本工單涉及操作的表名���、字段表��、操作動(dòng)作等信息項(xiàng)寫入監(jiān)控?cái)?shù)據(jù)庫中�����。
也就是說���,該工單同步模塊用于執(zhí)行上述實(shí)施例中的工單同步模塊執(zhí)行的功能。3、語法分析引擎本實(shí)施例中的語法分析引擎是一個(gè)基于抽象語法樹(AST)的SQL語法分析引擎��,該語法分析引擎可以被SS客戶端及工單同步模塊所調(diào)用�,對(duì)工單同步模塊或SS客戶端傳送過來的操作指令進(jìn)行實(shí)時(shí)分析,得到該操作指令對(duì)應(yīng)的操作范圍(允許操作范圍或指令操作范圍)���,例如要操作的數(shù)據(jù)庫表���、字段、以及數(shù)據(jù)內(nèi)容范圍等����,并將得到的結(jié)果寫入監(jiān)控?cái)?shù)據(jù)庫中。也就是說�,該語法分析引擎用于執(zhí)行上述實(shí)施例中的操作操作指令分析模塊、工單分析模塊執(zhí)行的功能���。4�、合法性判斷模塊:合法性判斷模塊與SS客戶端���、監(jiān)控?cái)?shù)據(jù)庫進(jìn)行實(shí)時(shí)交互���。當(dāng)用戶登錄SS客戶端時(shí)��,SS客戶端將用戶輸入的key發(fā)送到合法性判斷模塊����,此時(shí)合法性判斷模塊可以根據(jù)該key,從監(jiān)控?cái)?shù)據(jù)庫中提取出該key對(duì)應(yīng)的審批工單的允許操作范圍(作為合法性判斷依據(jù)二)��。當(dāng)用戶輸入一條操作指令后�����,語法分析引擎對(duì)該操作指令進(jìn)行分析�����,得到該操作指令的指令操作范圍(作為合法性判斷依據(jù)三)���,并將得到的指令操作范圍實(shí)時(shí)寫到監(jiān)控?cái)?shù)據(jù)庫中,此時(shí)�����,合法性判斷模塊提取該條操作指令的指令操作范圍�,同時(shí)參考數(shù)據(jù)庫的敏感數(shù)據(jù)(作為合法性判斷依據(jù)一,敏感數(shù)據(jù)的表名����、字段名�����、限定該指定對(duì)象下的操作動(dòng)作等信息均存儲(chǔ)于監(jiān)控?cái)?shù)據(jù)庫中)�����。根據(jù)上述三個(gè)判斷依據(jù)���,判斷該條操作指令是否合法,如果其中任意一個(gè)判斷依據(jù)不符合要求���,則判定該條操作指令非法���,另外,合法性判斷模塊還可以將合法性判斷結(jié)果寫入監(jiān)控?cái)?shù)據(jù)庫����。也就是說,該合法性判斷模塊用于執(zhí)行上述實(shí)施例中的合法性判斷模塊執(zhí)行的功倉泛����。5����、監(jiān)控?cái)?shù)據(jù)庫監(jiān)控?cái)?shù)據(jù)庫接收并記錄以下內(nèi)容:語法分析引擎對(duì)用戶輸入的操作指令以及審批工單中的操作指令的分析結(jié)果���、合法性判斷模塊對(duì)每條操作指令的合法性判斷結(jié)果�。監(jiān)控?cái)?shù)據(jù)庫可以被語法分析引擎�����、合法性判斷模塊以及展示模塊所訪問�����。6�����、展示模塊可以在展示模塊前臺(tái)頁面配置BOSS數(shù)據(jù)庫的敏感數(shù)據(jù)(配置敏感數(shù)據(jù)的表名���、字段名、限定該指定對(duì)象下的操作動(dòng)作等)����,同時(shí)�,展示模塊還可以對(duì)監(jiān)控?cái)?shù)據(jù)庫中存儲(chǔ)的合法性判斷結(jié)果進(jìn)行展示���,以便管理員可以直接看到用戶執(zhí)行了什么操作�����,該操作是否合法以及攔截結(jié)果等���。如圖7所示為圖6中的數(shù)據(jù)庫系統(tǒng)的工作流程示意圖:步驟701,通過展示模塊配置敏感數(shù)據(jù)信息���,指定敏感數(shù)據(jù)的表名�����、字段名�、限定的操作動(dòng)作等����,作為合法性判斷的依據(jù)一。步驟702���,將敏感數(shù)據(jù)信息存儲(chǔ)到表tb.mingan中�。具體的,可以利用J2EE構(gòu)建系統(tǒng)應(yīng)用框架����,提供Web操作界面對(duì)敏感數(shù)據(jù)表tb.mingan進(jìn)行維護(hù)管理。敏感數(shù)據(jù)表tb.mingan可以如表I所示:表I
權(quán)利要求
1.一種數(shù)據(jù)庫用戶行為管理系統(tǒng)����,其特征在于,包括: 操作指令獲取模塊�����,用于獲取用戶輸入的操作指令�����; 操作指令分析模塊����,用于對(duì)所述操作指令進(jìn)行分析����,得到所述操作指令對(duì)應(yīng)的指令操作范圍; 合法性判斷模塊���,用于判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍��; 操作指令轉(zhuǎn)發(fā)模塊���,用于當(dāng)所述指令操作范圍未超出所述用戶本次操作的允許操作范圍時(shí)��,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫�����; 操作指令攔截模塊����,用于當(dāng)所述指令操作范圍超出所述用戶本次操作的允許操作范圍時(shí)�����,攔截所述操作指令����。
2.如權(quán)利要求1所述的數(shù)據(jù)庫用戶行為管理系統(tǒng),其特征在于�,還包括: 工單同步模塊,用于同步工單系統(tǒng)中的審批工單����; 工單分析模塊��,用于對(duì)同步的審批工單進(jìn)行分析����,得到同步的審批工單的允許操作范圍并存儲(chǔ)�; 其中,所述合法性判斷模塊還用于從存儲(chǔ)的所有審批工單的允許操作范圍中��,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍���,作為所述用戶本次操作的允許操作范圍�����。
3.如權(quán)利要求2所述的數(shù)據(jù)庫用戶行為管理系統(tǒng),其特征在于����,還包括: 工單標(biāo)識(shí)獲取模塊,用于獲取所述用戶輸入的工單標(biāo)識(shí)���; 其中����,所述工單分析模塊還用于獲取同步的審批工單的工單標(biāo)識(shí)并存儲(chǔ); 所述合法性判斷模塊還用于從存儲(chǔ)的所有審批工單的允許操作范圍中����,提取出與所述用戶輸入的工單標(biāo)識(shí)相同的審批工單的允許操作范圍,作為所述用戶本次操作的允許操作范圍���。
4.如權(quán)利要求2或3所述的數(shù)據(jù)庫用戶行為管理系統(tǒng)����,其特征在于: 所述操作指令分析模塊是基于抽象語法樹生成的語法分析器和詞法分析器對(duì)所述操作指令進(jìn)行分析�����,得到所述操作指令對(duì)應(yīng)的指令操作范圍���; 所述工單分析模塊是基于抽象語法樹生成的語法分析器和詞法分析器對(duì)同步的審批工單進(jìn)行分析��,得到同步的審批工單的允許操作范圍并存儲(chǔ)�。
5.如權(quán)利要求1所述的數(shù)據(jù)庫用戶行為管理系統(tǒng)���,其特征在于�����,所述合法性判斷模塊還包括: 第一判斷模塊�����,用于判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)��; 第二判斷模塊����,用于當(dāng)所述指令操作范圍涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí),判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍��; 其中����,所述操作指令轉(zhuǎn)發(fā)模塊還用于當(dāng)所述指令操作范圍不涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí),將所述操作指令轉(zhuǎn)發(fā)給所述數(shù)據(jù)庫�。
6.一種數(shù)據(jù)庫用戶行為管理方法,其特征在于����,包括: 獲取用戶輸入的操作指令; 對(duì)所述操作指令進(jìn)行分析���,得到所述操作指令對(duì)應(yīng)的指令操作范圍���; 判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍; 當(dāng)所述指令操作范圍未超出所述用戶本次操作的允許操作范圍時(shí)�,將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫; 當(dāng)所述指令操作范圍超出所述用戶本次操作的允許操作范圍時(shí)�,攔截所述操作指令。
7.如權(quán)利要求6所述的數(shù)據(jù)庫用戶行為管理方法�,其特征在于: 所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟之前還包括: 同步工單系統(tǒng)中的審批工單; 對(duì)同步的審批工單進(jìn)行分析����,得到同步的審批工單的允許操作范圍并存儲(chǔ); 所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟包括: 從存儲(chǔ)的所有審批工單的允許操作范圍中�,提取出所述用戶對(duì)應(yīng)的審批工單的允許操作范圍,作為所述用戶本次操作的允許操作范圍�。
8.如權(quán)利要求7所述的數(shù)據(jù)庫用戶行為管理方法,其特征在于: 所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟之前還包括: 獲取所述用戶輸入的工單標(biāo)識(shí)����; 獲取同步的審批工單的工單標(biāo)識(shí)并存儲(chǔ); 所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟包括: 從存儲(chǔ)的所有審批工單的允許操作范圍中���,提取出與所述用戶輸入的工單標(biāo)識(shí)相同的審批工單的允許操作范圍���,作為所述用戶本次操作的允許操作范圍�。
9.如權(quán)利要求7或8所述的數(shù)據(jù)庫用戶行為管理方法�,其特征在于: 所述對(duì)所述操作指令進(jìn)行分析,得到所述操作指令對(duì)應(yīng)的指令操作范圍的步驟包括:基于抽象語法樹生成的語法分析器和詞法分析器對(duì)所述操作指令進(jìn)行分析�,得到所述操作指令對(duì)應(yīng)的指令操作范圍; 所述對(duì)同步的審批工單進(jìn)行分析�����,得到同步的審批工單的允許操作范圍并存儲(chǔ)的步驟包括: 基于抽象語法樹生成的語法分析器和詞法分析器對(duì)同步的審批工單進(jìn)行分析����,得到同步的審批工單的允許操作范圍并存儲(chǔ)。
10.如權(quán)利要求6所述的數(shù)據(jù)庫用戶行為管理方法��,其特征在于��,所述判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍的步驟包括: 判斷所述指令操作范圍是否涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)���; 當(dāng)所述指令操作范圍涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí)���,判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍�����; 當(dāng)所述指令操作范圍不涉及所述數(shù)據(jù)庫的敏感數(shù)據(jù)時(shí),將所述操作指令轉(zhuǎn)發(fā)給所述數(shù)據(jù)庫�。
全文摘要
本發(fā)明提供一種數(shù)據(jù)庫用戶行為管理系統(tǒng)和數(shù)據(jù)庫用戶行為管理方法,該數(shù)據(jù)庫用戶行為管理系統(tǒng)包括操作指令獲取模塊����,用于獲取用戶輸入的操作指令;操作指令分析模塊�,用于對(duì)所述操作指令進(jìn)行分析,得到所述操作指令對(duì)應(yīng)的指令操作范圍���;合法性判斷模塊����,用于判斷所述指令操作范圍是否超出所述用戶本次操作的允許操作范圍�����;操作指令轉(zhuǎn)發(fā)模塊�,用于當(dāng)所述指令操作范圍未超出所述用戶本次操作的允許操作范圍時(shí),將所述操作指令轉(zhuǎn)發(fā)給數(shù)據(jù)庫�����;操作指令攔截模塊,用于當(dāng)所述指令操作范圍超出所述用戶本次操作的允許操作范圍時(shí)���,攔截所述操作指令���。本發(fā)明能夠?qū)崟r(shí)分析用戶操作,實(shí)時(shí)判斷用戶操作是否合法���,實(shí)時(shí)攔截非法操作��。
文檔編號(hào)G06F17/30GK103186733SQ201110459730
公開日2013年7月3日 申請(qǐng)日期2011年12月30日 優(yōu)先權(quán)日2011年12月30日
發(fā)明者馮允, 熊剛, 李啟文, 蔣迎鋒, 梅鐵勇 申請(qǐng)人:中國移動(dòng)通信集團(tuán)廣東有限公司