[发明专利]一种基于国产密码数据标识的数据安全审计装置及方法

说明书

本发明实施例涉及一种基于国产密码数据标识的数据安全审计装置及方法，通过采集器采集数据库中用户事件信息并将用户事件信息形成审计日记，分析器对审计日记中的审计事件进行分析，发现数据库中用户事件信息中的用户行为是否存在异常，还通过执行模块将异常的用户行为进行存储，便于发现异常用户行为的发现和处理，加快对数据库中存在的问题进行整改，降低对数据库的风险，该基于国产密码数据标识的数据安全审计装置通过采集器和分析器数据库中用户行为信息是否存在异常的工作效率高、分析速度快且分析结果准确；解决了现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种基于国产密码数据标识的数据安全审计装置及方法。

背景技术

软件系统的安全，包括操作系统的安全，是一个工程问题，仅靠安全模型并不能保证系统安全政策的实施，安全审计是一种事后的监督机制来检查系统中用户行为是否符合既定的安全政策，发现系统存在的安全漏洞以及安全漏洞可能被利用的方式和可能造成的后果，最后根据历史记录追查系统安全破坏者的责任。随着新时代的到来，信息化程度不断提高，信息系统得到了迅速发展，信息系统安全审计内容和对象越来越复杂，一定程度上增加了审计信息的工作量。

数据库作为数据存储系统和服务端，其安全性是十分重要的。任何数据损坏或非法操作都可能导致数据库乃至整个系统的崩溃，故其安全是系统设计是的重点。与一般的信息系统相比而言，数据库存在更多的安全隐患，主要表现在：内部隐患、外部隐患、软硬件隐患和计算机病毒隐患。在数据库系统中存在自己的安全机制，比如身份验证、数据库角色等。但数据库系统现有的安全机制不能完全解决数据库的安全问题。一个数据库用户如果拥有了系统管理员帐号，就能完全控制数据库服务器，数据库访问控制安全机制对此无能为力。

随着科学的进步，目前大多数数据库都提供了审计技术，在Internet环境下，由于访问数据库的用户的不确定性，数据库管理系统难以预知数据库系统的入侵者，用数据库系统提供的安全机制来抵制和发现入侵是困难的，此时往往需要对数据库系统资源的访问进行审计来发现可能的入侵。如果入侵者成功入侵数据库系统，安全审计必须记录入侵者的动作，如果数据被篡改，可以通过审计信息恢复数据，如果数据被窃取，审计记录则可以作为证据来追究肇事者的责任。另外数据库系统产生的审计数据量是非常大的，而真正能体现出非法操作的数据非常少，管理员很难通过肉眼和人工方法发现可疑情况。

发明内容

本发明实施例提供了一种基于国产密码数据标识的数据安全审计装置及方法，用于解决现有对数据库的数据采用人工肉眼方式进行审计，工作效率低且审计入侵数据库信息不准确的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

一种基于国产密码数据标识的数据安全审计装置，包括采集器、分析器和执行模块；

所述采集器，用于从数据库中获取用户事件信息，对所述用户事件信息按审计条件处理后并按日记模式记录，得到审计日记并将所述审计日记传送至所述分析器中；

所述分析器，用于对所述审计日记采用滥用检测、异常检测进行分析，得到用户行为是否属于入侵数据库；

所述执行模块，用于根据所述分析器分析得到用户行为属于入侵数据库，将入侵数据库的用户事件信息记录并存储。

优选地，所述分析器包括滥用检测单元和异常检测单元；

所述滥用检测单元，用于根据规则库中入侵模式分析所述审计日记中用户行为是否属于入侵数据库；

所述异常检测单元，用于对所述审计日记中用户行为与用户正常行为模型比较分析，识别用户行为是否属于异常；

其中，采用用户长期访问数据库行为规律建立的所述用户正常行为模型。