基于ORACLE数据库的用户管理方法.pdf

本发明涉及一种基于ORACLE数据库的用户管理方法，其特点是，通过用户管理工具管理用户分类和操作权限，采用用户管理工具分配执行用户，即对用户的身份进行角色分配，赋予不同的操作权限。并且，角色分配至少包括分配权限、创建用户。在此期间，若出现告警，则触发预警机制，记录操作日志，若存在高危操作，则直接锁定用户。这样，能够从用户管理出发，严格控制不同等级用户的操作类型和权限，把数据库能够分割在一定隔离区段进行分步操作，切断非法操作造成的影响，从入口范围保护生产数据的完整和稳定。并且，对于一定规则的用户操作，能够触发一定的预警机制，通知相应人员进行跟进分析，甚至直接锁定高危操作用户，极大的提高了安全性。

1.  基于ORACLE数据库的用户管理方法，其特征在于：
通过用户管理工具管理用户分类和操作权限，通过用户管理工具分配执行用户，即对用户的身份进行角色分配，赋予不同的操作权限，所述的角色分配至少包括分配权限、创建用户，所述的操作权限中包含用户操作解析、用户管理；
所述管理过程为，
步骤一，连接数据库的应用程序通过ORM对象关系映射生成对应的数据库的SQL语句，应用程序对应的数据库连接池获取数据库对应的用户连接，将SQL在连接中进行执行调用；
步骤二，数据库接收执行的SQL，根据当前用户范围查找对应的同义词名称，如果同义词名称不存在，则抛出异常“对象不存在”的告警，若同义词存在，则进入步骤三；
步骤三，数据根据同义词获取代理的目标对象进行解析SQL操作，若不是有效的操作权限，则抛出异常提示“无效的操作”的告警，若是有效的操作权限，则进入步骤四；
步骤四，数据库到目标对象所在的用户中进行解释执行；
上述过程中，若出现告警，则触发预警机制，记录操作日志，若存在高危操作，则直接锁定用户。

2.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的高危操作为破坏数据库结构和数据的行为，都视为高危操作。

3.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的操作日志内容包括，操作的语句、时间、账号、机器名、访问IP中的一种或是多种。

4.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的用户管理工具为oracle自定义package过程实施包。

5.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的分配权限为预设权限，既根据业务需要，自定义对应的权限级别，或是，按照用户进行指定访问对象的分配。

6.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的创建用户包括，建立用户、分配用户权限、分配用户的对象权限，
所述的创建用户为，调用工具包，输入用户名、密码和权限编号，
所述的权限编号包括管理员、操作员、只读用户，
所述的管理员，拥有DDL权限，能创建、修改、删除表结构、过程包，且能对数据进行增删改查，
所述的操作员，拥有DML权限，能查询表结构，并对于数据进行增删改查操作，
所述的只读用户，仅能查询表结构和数据，
所述的分配用户的对象权限为，把某个用户的所有对象都授权给另一个用户，或是，对用户的某一个对象进行独立授权。

7.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的授权至少包含增加、删除、修改、查找中的一种或是多种，每次授权都是给用户创建了一个重名的同义词进行代理访问。

8.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的用户操作解析过程为，
步骤①，通过用户校验识别对应的角色，赋予不同的角色权限，
步骤②，通过对应角色权限下的同义词，找到对应的代理对象，
步骤③，检查对象的操作权限，若校验通过，则最终执行，若校验不通过，则进行异常提示。

9.  根据权利要求1所述的基于ORACLE数据库的用户管理方法，其特征在于：所述的用户管理为，对于用户的访问操作进行日志记录，且保留扩展预留，可定义用户管理策略，当发现某个用户出现规律性的高危操作时，可对于该用户进行强制收回授权或是锁定，且通知相关管理员。

基于ORACLE数据库的用户管理方法
技术领域
本发明涉及一种用户管理方法，尤其涉及一种基于ORACLE数据库的用户管理方法。
背景技术
现代企业的数据正在朝着大容量方向发展，其中数据库在企业的商业数据、业务算法、分析解密中占有的比重越来越大，在不断爆发出用户数据外传、企业商业机密泄露、黑客攻击破坏等恶性事件的警示下，数据库的管理和保护变得尤其重要。
同时，互联网传统数据库用户，往往分为系统管理用户和程序直接访问用户两类。数据库面向程序连接的入口权限都采用静默式全开放，在程序受到恶意破坏的情况下，可以毫不保留的进行数据库的直接更改，对企业数据库产生重大破坏。
发明内容
本发明的目的就是为了解决现有技术中存在的上述问题，提供一种基于ORACLE数据库的用户管理方法。
本发明的目的通过以下技术方案来实现：通过用户管理工具管理用户分类和操作权限，通过用户管理工具分配执行用户，即对用户的身份进行角色分配，赋予不同的操作权限，所述的角色分配至少包括分配权限、创建用户，所述的操作权限中包含用户操作解析、用户管理。
所述管理过程为，步骤一，连接数据库的应用程序通过ORM对象关系映射生成对应的数据库的SQL语句，应用程序对应的数据库连接池获取数据库对应的用户连接，将SQL在连接中进行执行调用。步骤二，数据库接收执行的SQL，根据当前用户范围查找对应的同义词名称，如果同义词名称不存在，则抛出异常“对象不存在”的告警，若同义词存在，则进入步骤三。步骤三，数据根据同义词获取代理的目标对象进行解析SQL操作，若不是有效的操作权限，则抛出异常提示“无效的操作”的告警，若是有效的操作权限，则进入步骤四。步骤四，数据库到目标对象所在的用户中进行解释执行。
上述过程中，若出现告警，则触发预警机制，记录操作日志，若存在高危操作，则直接锁定用户。
上述的基于ORACLE数据库的用户管理方法，其中：所述的高危操作为破坏数据库结构和数据的行为，都视为高危操作。
进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的操作日志内容包括，操作的语句、时间、账号、机器名、访问IP中的一种或是多种。
更进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的用户管理工具为oracle自定义package过程实施包。
更进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的分配权限为预设权限，既根据业务需要，自定义对应的权限级别，或是，按照用户进行指定访问对象的分配。
更进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的创建用户包括，建立用户、分配用户权限、分配用户的对象权限。所述的创建用户为，调用工具包，输入用户名、密码和权限编号。所述的权限编号包括管理员、操作员、只读用户。所述的管理员，拥有DDL权限，能创建、修改、删除表结构、过程包，且能对数据进行增删改查。所述的操作员，拥有DML权限，能查询表结构，并对于数据进行增删改查操作。所述的只读用户，仅能查询表结构和数据。所述的分配用户的对象权限为，把某个用户的所有对象都授权给另一个用户，或是，对用户的某一个对象进行独立授权。
更进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的授权至少包含增加、删除、修改、查找中的一种或是多种，每次授权都是给用户创建了一个重名的同义词进行代理访问。
更进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的用户操作解析过程为，步骤①，通过用户校验识别对应的角色，赋予不同的角色权限。步骤②，通过对应角色权限下的同义词，找到对应的代理对象。步骤③，检查对象的操作权限，若校验通过，则最终执行，若校验不通过，则进行异常提示。
再进一步地，上述的基于ORACLE数据库的用户管理方法，其中：所述的用户管理为，对于用户的访问操作进行日志记录，且保留扩展预留，可定义用户管理策略，当发现某个用户出现规律性的高危操作时，可对于该用户进行强制收回授权或是锁定，且通知相关管理员。
本发明技术方案的优点主要体现在：能够从用户管理出发，严格控制不同等级用户的操作类型和权限，把数据库能够分割在一定隔离区段进行分步操作，切断非法操作造成的影响，从入口范围保护生产数据的完整和稳定。同时，还可以从实施控制的角度进行了程序操作方式的预定义，并且虚拟一个分区进行相应操作的数据隔离，只有被授权的数据在被授权的操作下才行提交到正式环境。再者，对于一定规则的用户操作，能够触发一定的预警机制，通知相应人员进行跟进分析，甚至直接锁定高危操作用户，极大的提高了安全性。由此，为本领域的技术进步拓展了空间，实施效果好。
附图说明
图1是基于ORACLE数据库的用户管理方法的流程示意图。
具体实施方式
基于ORACLE数据库的用户管理方法，其特别之处在于：通过用户管理工具管理用户分类和操作权限。同时，可通过用户管理工具分配执行用户。也就是说，对用户的身份进行角色分配，赋予不同的操作权限。并且，为了实现有效的安全管理，所采用的角色分配至少包括分配权限、创建用户，且操作权限中包含用户操作解析、用户管理。再者，考虑到实施的通用性，用户管理工具为oracle自定义package过程实施包。
具体来说，采用的管理过程如下：
步骤一，连接数据库的应用程序通过ORM对象关系映射生成对应的数据库的SQL语句，应用程序对应的数据库连接池获取数据库对应的用户连接，将SQL在连接中进行执行调用。
步骤二，数据库接收执行的SQL，根据当前用户范围查找对应的同义词名称，如果同义词名称不存在，则抛出异常“对象不存在”的告警，若同义词存在，则进入步骤三。
步骤三，数据根据同义词获取代理的目标对象（例如表结构）解析SQL操作，若不是有效的操作权限，则抛出异常提示“无效的操作”的告警，若是有效的操作权限，则进入步骤四。
步骤四，数据库到目标对象所在的用户中进行解释执行。所采用的解释执行是oracle自身机制所决定的。具体来说，本发明采用的解释执行为，查找对应的数据库表结构，按照条件过滤表数据，然后返回数据。具体细化的过程还可以查询oracle发布的官方技术手册。便于技术人员随时调整定制策略。
上述过程中，若出现告警，则触发预警机制，记录操作日志，若存在高危操作，则直接锁定用户。在实际实施的过程中，采用预警机制说明的原因在于，对于指定的数据修改操作，如果不是程序标准操作，可以实现进行预警通知。例如，修改会员登录密码等。如果出现直接修改密码，并且没有提供当前密码的，则视为不安全的操作，可以进行记录。
就本发明一较佳的实施方式来看，高危操作为破坏数据库结构和数据的行为，都视为高危操作。在实际处理中可以表现为，修改数据库用户密码、修改数据库设置等类型的操作。并且，根据权限的设置，高危操作基本无法执行，但是需要保留日志，并向管理员生成预警通知，由对应程序发送消息，例如发送短信。
进一步来看，为了实现有效的操作记录，便于日后维护，操作日志内容包括，操作的语句、时间、账号、机器名、访问IP中的一种或是多种。当然，考虑到实施的便利，程序或者客户端提交过来的信息里面自动包含语句、时间、账号等信息。考虑到安全管理的需要，采用分配权限为预设权限，既根据业务需要，自定义对应的权限级别，或是，按照用户进行指定访问对象的分配。
再进一步来看，创建用户包括，建立用户、分配用户权限、分配用户的对象权限。具体来说，创建用户为，调用工具包，输入用户名、密码和上述分配的权限编号。为了进行有效的权限分配，采用的权限编号包括，A：管理员，O：操作员，G：只读用户。
具体来说，管理员，拥有DDL（数据结构定义）权限，能创建、修改、删除表结构、过程包，且能对数据进行增删改查。操作员，拥有DML（数据操作管理）权限，能查询表结构，并对于数据进行增删改查操作。只读用户，仅能查询表结构和数据。并且，为了实现稳定的权限管理，分配用户的对象权限为，把某个用户的所有对象都授权给另一个用户。亦可以是对用户的某一个对象进行独立授权。
结合实际的实施过程来看，授权至少包含增加、删除、修改、查找中的一种或是多种。并且，每次授权都是给用户创建了一个重名的同义词进行代理访问。本发明采用的代理，类似我们日常所用的电视遥控器，通过操作遥控器就可以操作电视机进行换台、调音量等功能，提供一个有效的中间控制环节。
为了便于识别用户的操作，所采用的用户操作解析过程为：首先，通过用户校验识别对应的角色，赋予不同的角色权限。之后，通过对应角色权限下的同义词，找到对应的代理对象。最终，检查对象的操作权限，若校验通过，则最终执行，若校验不通过，则进行异常提示。
并且，考虑到能够配合数据库来进行用户管理实现有效的数据跟踪，本发明所涉及的用户管理为，对于用户的访问操作进行日志记录，且保留（用户管理）扩展预留。并且，能够定义用户管理策略，当发现某个用户出现规律性的高危操作时，可对于该用户进行强制收回授权或是锁定，且通知相关管理员。
结合本发明的软件实施来看，可以简答表述为如下过程：
第一步，执行用户管理工具包。
第二步，预设用户分类和权限。
第三步，创建分类用户，调用pkg_admin. p_create_user (用户名, 密码, 权限编号)即可。
第四步，授权用户对象，调用pkg_admin. p_grant_user_object(源用户, 目标用户)，将源用户所有对象授权给目标用户。或者调用pkg_admin. p_grant_user_object(源用户, 目标用户，源对象)，将源用户的指定对象授权给目标用户。
第五步，实施完成，切换新创建的用户，验证使用效果。
通过上述的文字表述可以看出，采用本发明后，能够从用户管理出发，严格控制不同等级用户的操作类型和权限，把数据库能够分割在一定隔离区段进行分步操作，切断非法操作造成的影响，从入口范围保护生产数据的完整和稳定。同时，还可以从实施控制的角度进行了程序操作方式的预定义，并且虚拟一个分区进行相应操作的数据隔离，只有被授权的数据在被授权的操作下才行提交到正式环境。再者，对于一定规则的用户操作，能够触发一定的预警机制，通知相应人员进行跟进分析，甚至直接锁定高危操作用户，极大的提高了安全性。