一种数据库审计方法、装置、电子设备和存储介质与流程

1.本技术涉及数据库技术领域，尤其涉及一种数据库审计方法、装置、电子设备和存储介质。


背景技术：

2.目前，工业控制系统广泛应用于电力、石油化工等行业，加之计算机以及信息技术的飞速发展，在为工控产业带来机遇的同时，也引入了大量的安全问题。从各种各样的病毒，到互联网上随处可见的攻击工具，充分表明了解决工业控制系统中信息安全问题的急迫性。而在诸多安全问题中数据库的安全是重中之重。因为信息系统大多是以数据库作为核心，业务核心数据的处理与存储都是借助数据库实现的。因此，数据库应作为信息系统安全性中最重要的部分加以保护。
3.目前数据库的安全性较低的问题亟待解决。


技术实现要素：

4.本技术实施例的目的在于提供一种数据库审计方法、装置、电子设备和存储介质，以解决数据库的安全性较低的问题。具体技术方案如下：
5.第一方面，提供了一种数据库审计方法，所述方法包括：
6.根据审计策略记录用户对数据库的操作行为；
7.根据所述操作行为形成审计记录，其中，所述审计记录具有审计级别；
8.在确定所述审计级别达到预设级别阈值后，进行告警。
9.可选地，所述根据所述操作行为形成审计记录包括：
10.根据用户对工业数据库的操作行为，形成审计记录，其中，所述审计记录包括源ip地址、源端口、目的ip地址、目的端口、日期、监测点、操作指令和操作值。
11.可选地，所述根据所述操作行为形成审计记录包括：
12.根据用对关系型数据库的操作行为，形成审计记录，其中，所述关系型数据库包括oracle、sqlserver、sybase、db2和mysql。
13.可选地，所述操作行为包括：
14.用户对数据库的登录、退出操作行为；或，
15.用户对数据表的查询、插入、修改、删除操作行为；或，
16.登录时使用的用户账号、操作的执行时间及操作的返回结果。
17.可选地，根据所述操作行为形成审计记录之后，所述方法还包括：
18.在检测到筛选指令的情况下，确定筛选字段，其中，所述筛选字段包括地址、时间、监测点、数据库、数据表、用户指令或日志级别；
19.根据所述筛选字段，在所述审计记录中查找与所述筛选字段对应的审计信息；
20.在web界面展示所述审计信息。
21.可选地，根据所述操作行为形成审计记录之后，所述方法还包括：
22.在接收到统计指令的情况下，在界面展示统计选项，其中，所述统计选项包括服务器、数据库、用户操作和时间区间；
23.根据用户选取的统计选项中的统计内容，生成所述统计内容对应的统计报表，其中，所述统计报表能够展示被审计数据库的事件和审计级别；
24.在web界面展示所述统计报表。
25.可选地，在确定所述审计级别达到预设级别阈值后，进行告警包括：
26.确定所述审计级别达到的预设级别阈值，其中，不同的预设级别阈值对应不同的告警方式和告警内容；
27.根据所述告警方式和告警内容，发送告警信息。
28.第二方面，提供了一种数据库审计装置，所述装置包括：
29.记录模块，用于根据审计策略记录用户对数据库的操作行为；
30.形成模块，用于根据所述操作行为形成审计记录，其中，所述审计记录具有审计级别；
31.告警模块，用于在确定所述审计级别达到预设级别阈值后，进行告警。
32.第三方面，提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
33.存储器，用于存放计算机程序；
34.处理器，用于执行存储器上所存放的程序时，实现任一所述的数据库审计方法步骤。
35.第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现任一所述的数据库审计方法步骤。
36.本技术实施例有益效果：
37.本技术实施例提供了一种数据库审计方法，服务器能够针对数据库上的操作行形成审计记录，完整再现用户对数据库的各种操作，配合丰富的报警规则设置和灵活的审计策略，帮助数据库管理员在第一时间内发现数据库面临的风险，并且能够为日后的取证工作提供依据，降低数据库面临的风险，提高数据库的安全性。
38.当然，实施本技术的任一产品或方法并不一定需要同时达到以上的所有优点。
附图说明
39.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
40.图1为本技术实施例提供的一种数据库审计的方法流程图；
41.图2为本技术实施例提供的一种数据库审计装置的结构示意图；
42.图3为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
43.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是
本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
44.在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本技术的说明，其本身并没有特定的意义。因此，“模块”与“部件”可以混合地使用。
45.为了解决背景技术中提及的问题，根据本技术实施例的一方面，提供了一种数据库审计方法的实施例。
46.本技术实施例提供了一种数据库审计方法，可以应用服务器，用于提高数据库的安全性。
47.下面将结合具体实施方式，对本技术实施例提供的一种数据库审计方法进行详细的说明，如图1所示，具体步骤如下：
48.步骤101：根据审计策略记录用户对数据库的操作行为。
49.用户对数据库进行操作，服务器在获取原始数据报文时记录tcp协议的相关信息，源ip地址、源端口、登录用户名、使用的数据库名等信息，通过tcp还原、关联分析等手段还原指定用户对数据库的所有操作行为，实现对事件的追踪溯源。其中，数据库包括工业数据库和关系型数据库，关系型数据库包括oracle、sqlserver、sybase、db2和mysql。
50.操作行为包括用户对数据库的登录、退出，对数据表的查询、插入、修改、删除等操作，登录时使用的用户、各种操作的执行时间及操作的返回结果，实现对敏感信息的精细监控。
51.步骤102：根据操作行为形成审计记录。
52.其中，审计记录具有审计级别。
53.服务器根据操作行为形成审计记录，审计记录的内容包括数据库地址、操作时间、监测点、数据库类型、数据表名称、用户指令和日志级别，用户可以按照审计内容进行筛选。每条审计记录具有对应的审计级别。
54.步骤103：在确定审计级别达到预设级别阈值后，进行告警。
55.每条审计记录具有对应的审计级别，服务器确定审计级别达到的预设级别阈值，由于不同的预设级别阈值对应不同的告警方式和告警内容，因此，服务器需要根据预设级别阈值对应的告警方式和告警内容，发送告警信息。其中，告警方式包括但不限于带电话、发短信、即时工具内容推送、警铃等。
56.服务器提供了丰富的报警设置，用户能够完全根据当前业务系统的情况自定义报警策略，提供了从低到高多个报警等级以便区分问题的严重程度，并将报警信息上报至远程日志平台集中进行审计。
57.在本技术中，服务器能够针对数据库上的操作行形成审计记录，完整再现用户对数据库的各种操作，配合丰富的报警规则设置和灵活的审计策略，帮助数据库管理员在第一时间内发现数据库面临的风险，并且能够为日后的取证工作提供依据。
58.作为一种可选的实施方式，根据操作行为形成审计记录包括：
59.根据用户对工业数据库的操作行为，形成审计记录，其中，审计记录包括源ip地址、源端口、目的ip地址、目的端口、日期、监测点、操作指令和操作值。
60.服务器支持对工业数据库操作行为的记录，根据审计策略记录用户对数据库的所
有操作，并且可生成审计记录，审计记录包括源ip地址、源端口、目的ip地址、目的端口、日期、时间、监测点、操作指令、操作值等信息，达到预设级别阈值后进行告警，帮助管理员及时发现异常的操作行为。
61.作为一种可选的实施方式，根据操作行为形成审计记录之后，方法还包括：在检测到筛选指令的情况下，确定筛选字段，其中，筛选字段包括地址、时间、监测点、数据库、数据表、用户指令或日志级别；根据筛选字段，在审计记录中查找与筛选字段对应的审计信息；在web界面展示审计信息。
62.用户在界面上进行字段筛选，服务器根据筛选指令筛选和字段对应的审计信息，然后在web界面展示审计信息。筛选字段包括地址、时间、监测点、数据库、数据表、用户指令或日志级别。本技术通过筛选功能能够快速准确的获取到需要的信息，减少管理人员查询的工作量。
63.作为一种可选的实施方式，根据操作行为形成审计记录之后，方法还包括：在接收到统计指令的情况下，在界面展示统计选项，其中，统计选项包括服务器、数据库、用户操作和时间区间；根据用户选取的统计选项中的统计内容，生成统计内容对应的统计报表，其中，统计报表能够展示被审计数据库的事件和审计级别；在web界面展示统计报表。
64.用户若想查看某方面的数据统计，可以先选择统计按钮，服务器根据统计指令在界面展示统计选项，统计选项包括服务器、数据库、用户操作和时间区间等统计内容。用户选中所需要统计的统计内容，服务器生成统计内容对应的统计报表，其中，统计报表能够展示被审计数据库的事件和审计级别的分布情况，在web界面展示统计报表，以使人员了解数据库当前的安全态势。
65.服务器采用b/s模式，提供专业化的分析图表，统计结果支持柱状图、饼图、曲线图等展示，使统计结果简明直观，更易于理解。
66.为了避免数据库管理员被淹没在大量无用的审计信息中，服务器提供了丰富的审计策略：使用者可以根据ip地址(支持网段)、端口、数据库名、表名、时间等字段结合系统自身情况灵活的设置审计策略，只展现管理员关心的审计信息，降低了维护成本，提高了运维效率。
67.基于相同的技术构思，本技术实施例还提供了一种数据库审计装置，如图2所示，该装置包括：
68.记录模块201，用于根据审计策略记录用户对数据库的操作行为；
69.形成模块202，用于根据操作行为形成审计记录，其中，审计记录具有审计级别；
70.告警模块203，用于在确定审计级别达到预设级别阈值后，进行告警。
71.可选地，形成模块202用于：
72.根据用户对工业数据库的操作行为，形成审计记录，其中，审计记录包括源ip地址、源端口、目的ip地址、目的端口、日期、监测点、操作指令和操作值。
73.可选地，形成模块202用于：
74.根据用对关系型数据库的操作行为，形成审计记录，其中，关系型数据库包括oracle、sqlserver、sybase、db2和mysql。
75.可选地，操作行为包括：
76.用户对数据库的登录、退出操作行为；或，
77.用户对数据表的查询、插入、修改、删除操作行为；或，
78.登录时使用的用户账号、操作的执行时间及操作的返回结果。
79.可选地，该装置还用于：
80.在检测到筛选指令的情况下，确定筛选字段，其中，筛选字段包括地址、时间、监测点、数据库、数据表、用户指令或日志级别；
81.根据筛选字段，在审计记录中查找与筛选字段对应的审计信息；
82.在web界面展示审计信息。
83.可选地，该装置还用于：
84.在接收到统计指令的情况下，在界面展示统计选项，其中，统计选项包括服务器、数据库、用户操作和时间区间；
85.根据用户选取的统计选项中的统计内容，生成统计内容对应的统计报表，其中，统计报表能够展示被审计数据库的事件和审计级别；
86.在web界面展示统计报表。
87.可选地，记录模块201用于：
88.确定审计级别达到的预设级别阈值，其中，不同的预设级别阈值对应不同的告警方式和告警内容；
89.根据告警方式和告警内容，发送告警信息。
90.根据本技术实施例的另一方面，本技术提供了一种电子设备，如图3所示，包括存储器303、处理器301、通信接口302及通信总线304，存储器303中存储有可在处理器301上运行的计算机程序，存储器303、处理器301通过通信接口302和通信总线304进行通信，处理器301执行计算机程序时实现上述方法的步骤。
91.上述电子设备中的存储器、处理器通过通信总线和通信接口进行通信。所述通信总线可以是外设部件互连标准(peripheralcomponent interconnect，简称pci)总线或扩展工业标准结构(extendedindustry standardarchitecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
92.存储器可以包括随机存取存储器(randomaccessmemory，简称ram)，也可以包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
93.上述的处理器可以是通用处理器，包括中央处理器(central processingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
94.根据本技术实施例的又一方面还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质。
95.可选地，在本技术实施例中，计算机可读介质被设置为存储用于所述处理器执行上述方法的程序代码。
96.可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。
97.本技术实施例在具体实现时，可以参阅上述各个实施例，具有相应的技术效果。
98.可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(applicationspecificintegratedcircuits，asic)、数字信号处理器(digitalsignalprocessing，dsp)、数字信号处理设备(dspdevice，dspd)、可编程逻辑设备(programmablelogic device，pld)、现场可编程门阵列(field-programmablegatearray，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本技术所述功能的其它电子单元或其组合中。
99.对于软件实现，可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
100.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
101.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
102.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
103.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
104.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
105.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者
设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
106.以上所述仅是本技术的具体实施方式，使本领域技术人员能够理解或实现本技术。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

技术特征：
1.一种数据库审计方法，其特征在于，所述方法包括：根据审计策略记录用户对数据库的操作行为；根据所述操作行为形成审计记录，其中，所述审计记录具有审计级别；在确定所述审计级别达到预设级别阈值后，进行告警。2.根据权利要求1所述的方法，其特征在于，所述根据所述操作行为形成审计记录包括：根据用户对工业数据库的操作行为，形成审计记录，其中，所述审计记录包括源ip地址、源端口、目的ip地址、目的端口、日期、监测点、操作指令和操作值。3.根据权利要求1所述的方法，其特征在于，所述根据所述操作行为形成审计记录包括：根据用对关系型数据库的操作行为，形成审计记录，其中，所述关系型数据库包括oracle、sqlserver、sybase、db2和mysql。4.根据权利要求1所述的方法，其特征在于，所述操作行为包括：用户对数据库的登录、退出操作行为；或，用户对数据表的查询、插入、修改、删除操作行为；或，登录时使用的用户账号、操作的执行时间及操作的返回结果。5.根据权利要求1所述的方法，其特征在于，根据所述操作行为形成审计记录之后，所述方法还包括：在检测到筛选指令的情况下，确定筛选字段，其中，所述筛选字段包括地址、时间、监测点、数据库、数据表、用户指令或日志级别；根据所述筛选字段，在所述审计记录中查找与所述筛选字段对应的审计信息；在web界面展示所述审计信息。6.根据权利要求1所述的方法，其特征在于，根据所述操作行为形成审计记录之后，所述方法还包括：在接收到统计指令的情况下，在界面展示统计选项，其中，所述统计选项包括服务器、数据库、用户操作和时间区间；根据用户选取的统计选项中的统计内容，生成所述统计内容对应的统计报表，其中，所述统计报表能够展示被审计数据库的事件和审计级别；在web界面展示所述统计报表。7.根据权利要求1所述的方法，其特征在于，在确定所述审计级别达到预设级别阈值后，进行告警包括：确定所述审计级别达到的预设级别阈值，其中，不同的预设级别阈值对应不同的告警方式和告警内容；根据所述告警方式和告警内容，发送告警信息。8.一种数据库审计装置，其特征在于，所述装置包括：记录模块，用于根据审计策略记录用户对数据库的操作行为；形成模块，用于根据所述操作行为形成审计记录，其中，所述审计记录具有审计级别；告警模块，用于在确定所述审计级别达到预设级别阈值后，进行告警。9.一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理
器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现权利要求1-7任一所述的方法步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。

技术总结
本申请提供了一种数据库审计方法、装置、电子设备和存储介质。所述方法包括：根据审计策略记录用户对数据库的操作行为；根据所述操作行为形成审计记录，其中，所述审计记录具有审计级别；在确定所述审计级别达到预设级别阈值后，进行告警。本申请能够提高数据库的安全性。性。性。


技术研发人员：杨继 王晔 衣然 王绍杰 霍朝宾
受保护的技术使用者：中国电子信息产业集团有限公司第六研究所
技术研发日：2023.04.11
技术公布日：2023/7/13