[发明专利]基于模板的数据库审计设置方法

说明书

技术领域

本发明涉及一种数据库审计设置方法，尤其涉及一种通过审计模板实现数据库审计参数快速设置的方法，属于数据库安全技术领域。

背景技术

数据库审计是指对数据库系统中发生的动作(或称为事件)、该动作对应的操作对象、操作时间等信息记录下来的过程。该审计功能将用户对数据库的所有操作自动记录下来，放入审计日志(Audit Log)中。数据库管理系统可以利用审计跟踪的俏息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。

在现有技术中，数据库审计可以分为四类：服务器级别审计、系统权限级别审计、语句级别审计、模式对象级别审计。这四类审计都遵循一些共同的基本规则：

1.语法错误不审计，语义错误审计，权限错误审计。

2.相似的审计被设置，只记录一条审计结果。按系统权限级、语句级、对象级的顺序设置审计优先顺序。

对于一个数据库系统来说，只有审计员(SAO)才有权进行审计设置，审计设置使用的语句为：

例如ADUIT SESSION表示要审计所有数据库用户的登录与退出；AUDIT INSERT TABLE BY ACCESS表示要审计所有对表的插入操作。

图1为数据库审计过程的数据流示意图。在传统的数据库审计参数设置过程中，审计员需要一条一条地执行如下这些语句：

对于较大规模的数据库系统而言，采用传统的数据库审计参数设置方法存在审计员操作繁琐，工作效率较低等诸多缺陷。

发明内容

针对现有技术所存在的不足，本发明要解决的技术问题在于提供一种基于模板的数据库审计设置方法。利用该方法可以实现数据库审计参数的快速设置。

为实现上述的发明目的，本发明采用下述的技术方案：

一种基于模板的数据库审计设置方法，其特征在于：

首先设置审计模板，在所述审计模板中保存所需的审计语句；在数据库初始化之后将所述审计模板保存在数据目录下；

审计员登录数据库系统后，查看当前数据库有哪些审计模板；

所述审计员根据数据库审计的需要，通过执行预定的语句将所述审计模板中的审计语句设置到当前数据库中。

其中较优地，所述审计模板分为三个级别：最小级别、中等级别和最大级别。

最小级别审计模板包括对所有用户的登录与退出、策略审计、创建角色的系统权限、审计员、安全员和数据库管理员的所有失败操作、授权操作、修改参数和创建修改用户的审计。

中等级别审计模板进一步包括对创建表、视图、模式、过程和触发器的审计。

最大级别审计模板进一步包括对创建、修改、删除数据库远程连接对象，执行存储过程和查询表的审计。

本发明所提供的数据库审计设置方法方便、快捷，便于审计员进行操作。与现有技术相比较，本发明充分利用模板的可重用性和可扩展性特点，为用户进行繁琐的数据库审计设置提供了便利。

附图说明

下面结合附图和具体实施方式对本发明作进一步的详细说明。

图1为数据库审计过程的数据流示意图。

具体实施方式

为了简化数据库审计参数的设置过程，在本发明的一个实施例中针对不同的安全保护等级和所要审计的内容多少，分别为用户提供了三套缺省审计模板：最小级别、中等级别和最大级别。其中最小级别审计模板所审计的内容最少，相对来说性能也较好；最大级别审计模板所审计的内容最多，相对来说性能也较差。

最小级别审计模板要求审计所有用户的登录与退出、策略审计、创建角色的系统权限、审计员、安全员和数据库管理员的所有失败操作、授权操作、修改参数和创建修改用户等。

中等级别审计模板在最小级别审计模板的基础上增加了对创建表、视图、模式、过程和触发器等操作的审计。

最大级别审计模板在中等级别审计模板的基础上增加了对创建、修改、删除数据库远程连接对象，执行存储过程和查询表等操作的审计。

上述审计模板的共同特点是将要审计的内容统一封装到审计模板中，即在审计模板中保存所需的审计语句。审计模板中的审计内容以SQL语句进行描述，注释可以以“-”开头。另一方面，在数据库中提供一条单独的语句用于应用该审计模板，执行该语句后审计模板中的审计语句都被设置到当前数据库中。这样，审计员只需要执行一条语句就可以将审计模板中的设置应用到数据库中，既便于审计员对审计设置的维护，又减少了审计员的工作量。