[发明专利]数据库的访问控制方法、装置及电子设备

说明书

本发明提供了一种数据库的访问控制方法、装置及电子设备，涉及数据处理技术领域，该方法包括接收用户发送的访问请求；该访问请求携带有该用户的账户信息；根据该账户信息，确定该用户的用户类型；其中，该用户类型包括普通用户、管理员、安全员或审计员；根据确定的用户类型，确定该用户的访问权限和访问规则；根据确定出的访问权限和访问规则响应该访问请求。本发明实施例通过在数据库系统中设置管理员、安全员和审计员三类管理用户，分别独立管理各自的用户信息，三类管理用户的权限相互制约，可以降低用户信息数据被更改和泄露的风险，提高了数据库的安全性以及数据库服务的健壮性。

技术领域

本发明涉及数据处理技术领域，尤其是涉及一种数据库的访问控制方法、装置及电子设备。

背景技术

在传统数据库中，管理员、安全员、审计员、普通用户等所有用户的用户数据都存于同一个表中，当超级用户拥有最高权限时，他可以随意修改数据库中的数据，也即可以删除或复制任何数据资源，例如，对管理员、安全员和审计员的数据进行更改或复制，而且不会留下操作的痕迹，从而导致数据更改和信息泄漏的风险，降低数据库的安全性。

为了缓解上述问题，提出了三权分立的数据库权限管理方式，其中，数据库系统的用户汇集为一张总表，由管理员进行维护。对于云数据库而言，其对服务的稳定性要求较高，而如果在现有三权分立的框架下进行数据库的访问控制，用户数据被更改和泄露的风险依然较高。

发明内容

有鉴于此，本发明的目的在于提供一种数据库的访问控制方法、装置及电子设备，可以降低数据库中用户数据被更改和泄露的风险，有效监督用户对数据的操作，提升数据库的安全性和数据库服务的稳定性。

第一方面，本发明实施例提供了一种数据库的访问控制方法，应用于数据库系统，该方法包括：接收用户发送的访问请求；该访问请求携带有该用户的账户信息；根据该账户信息，确定该用户的用户类型；其中，该用户类型包括普通用户、管理员、安全员或审计员；该管理员用于管理数据库系统的用户的访问权限和管理员信息，该安全员用于管理数据库系统的用户的访问规则和安全员信息，该审计员用于监督数据库系统的用户的访问操作，以及管理审计员信息；根据确定的用户类型，确定该用户的访问权限和访问规则；根据确定出的访问权限和访问规则响应该访问请求。

在本发明较佳的实施例中，上述数据库系统中设置有管理员信息表、安全员信息表、审计员信息表、访问控制表和安全审计表；其中，该管理员信息表用于存储该管理员信息；该安全员信息表用于存储该安全员信息；该审计员信息表用于存储该审计员信息；该访问控制表用于存储该数据库系统的用户的访问规则；该安全审计表用于存储用户对该数据库系统的访问日志，且该安全审计表由该审计员管理。

在本发明较佳的实施例中，上述访问规则通过下述方式制定：获取针对目标数据的访问要求；根据该访问要求，按照预设的限制维度，生成该目标数据的访问规则。

在本发明较佳的实施例中，上述限制维度包括机器信息、用户信息、库、表、字段和操作类型中的至少一种。

在本发明较佳的实施例中，上述限制维度还包括访问开始时间和访问结束时间。

在本发明较佳的实施例中，上述根据确定出的访问权限和访问规则响应该访问请求的步骤，包括：根据确定出的该访问权限，判断该用户是否有权访问请求的目标数据；如果有权访问该目标数据，判断该访问请求是否符合确定出的该访问规则；如果是，按照该访问请求访问该目标数据。

在本发明较佳的实施例中，上述方法还包括：如果该用户无权访问该目标数据，或者，如果该用户有权访问该目标数据，但该访问请求不符合确定出的该访问规则，拒绝该访问请求。

在本发明较佳的实施例中，在上述根据确定出的该访问权限和该访问规则响应该访问请求的步骤之后，该方法还包括：记录该用户的访问操作，生成访问日志；将该访问日志保存到预设的审计表和/或指定的数据文件。