(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211275361.8 (22)申请日 2022.10.18 (71)申请人 北京人大金仓信息技 术股份有限公 司 地址 100102 北京市朝阳区容达路7号院5 号楼1至3层101内二层201 (72)发明人 车晓瑶　冷建全　王建华　 (74)专利代理 机构 北京智汇东方知识产权代理 事务所(普通 合伙) 11391 专利代理师 刘长江 (51)Int.Cl. G06F 16/33(2019.01) G06F 21/62(2013.01) (54)发明名称 数据库的审计方法、 机器可读存储介质与计 算机设备 (57)摘要 本发明提供了一种数据库的审计方法、 存储 介质与计算机设备。 其中上述方法包括： 获取对 待审计数据库的操作； 执行操作， 并获取操作结 果； 判断操作结果是否包含设定数据类型的查询 结果； 若是， 判断设定数据类型的查询结果是否 满足预设的审计条件； 在满足预设的审计条件的 情况下， 对操作进行审计。 本发明的方案， 审计由 数据库根据操作结果判断是否进行， 减少了人为 操作操作， 实现了更加准确的审计， 解决了遗漏 审计导致的无法追溯 问题以及过度审计导致的 数据量过大的问题， 为数据库安全性能的提升提 供了准确依据。 权利要求书1页 说明书6页 附图4页 CN 115455154 A 2022.12.09 CN 115455154 A 1.一种数据库的审计方法， 包括： 获取对待审计数据库的操作； 执行所述操作， 并获取操作结果； 判断所述操作结果是否包 含设定数据类型的查询结果； 若是， 判断所述设定数据类型的查询结果是否满足预设的审计条件； 在满足所述审计条件的情况 下， 对所述操作进行审计。 2.根据权利要求1所述的数据库的审计方法， 其中所述判断所述设定数据类型的查询 结果是否满足预设的审计条件的步骤 包括： 获取与所述数据类型对应的敏感值 域； 判断所述查询结果是否属于所述敏感值域， 若是， 判定所述查询结果满足预设的审计 条件。 3.根据根据权利要求2所述的数据库的审计方法， 其中， 所述获取与 所述数据类型对应 的敏感值 域的步骤 包括： 获取所述数据库预先配置的敏感数据字典； 所述敏感数据字典用于保存各数据类型对 应的敏感值域， 其中与字符类型对应的所述敏感值域包括敏感关键字， 与数值类型对应的 所述敏感值 域包括异常数值范围。 4.根据权利要求1所述的数据库的审计方法， 其中， 在所述获取对待审计数据库的操作 的步骤之后还 包括： 提取所述操作的操作特 征； 根据所述操作特 征判断所述操作是否属于敏感操作， 若是， 对所述操作进行审计。 5.根据权利要求 4所述的数据库的审计方法， 其中， 所述操作特 征包括以下任意 一项或多 项： 操作类型、 操作时间、 操作来源、 操作频率。 6.根据权利要求1所述的数据库的审计方法， 其中， 在所述获取对待审计数据库的操作 的步骤之后还 包括： 判断所述操作针对的数据列是否被标记为敏感列， 若是， 对所述操作进行审计。 7.根据权利要求1所述的数据库的审计方法， 还 包括： 按照预设的周期扫描数据表， 以得到所述数据表的各列的列信息； 将所述列信息包 含敏感特 征的数据列标识为敏感列。 8.根据权利要求7所述的数据库的审计方法， 其中， 所述按照预设的周期扫描数据表的 步骤包括： 扫描所述数据表各列的列名； 和/或 从所述数据库的元 数据记录查询所述数据表各列的指定标记。 9.一种机器可读存储介质， 其上存储有机器可执行程序， 所述机器可执行程序被处理 器执行时实现根据权利要求1至8任一项所述的数据库的审计方法。 10.一种计算机设备， 包括存储器、 处理器及存储在所述存储器上并在所述处理器上运 行的机器可执行程序， 并且所述处理器执行所述机器可执行程序时实现根据权利要求 1至8 任一项所述的数据库的审计方法。权　利　要　求　书 1/1 页 2 CN 115455154 A 2数据库的审 计方法、 机器可读存储介质与计算机设 备 技术领域 [0001]本发明涉及数据库技术， 特别是涉及一种数据库的审计方法、 机器可读存储介质 与计算机设备。 背景技术 [0002]审计(audit)是提高数据库安全级别的重要手段。 审计是指将用于对数据库的操 作自动记录放入审计日志。 审计者可以利用审计日志监控数据库中的各种 行为， 重现导致 数据库现有状况的事件， 以便于找出其中不当操作， 为分析潜在威胁提前采取措施。 审 计可 以约束用户可能的恶意操作。 [0003]审计通常是很费时间和空间的， 因此数据库管理系统往往将审计设置为可选功 能。 目前审 计在实际使用时需要 数据库管理系统的操作者设置审 计规则， 基于服务器事件、 系统权限、 语句事件、 模式对象事件等手动配置审计规则。 这种审计规则的配置方式， 一方 面增加了人为操作， 增加了工作量； 另一方面由于存在 主观性， 容易出现遗漏审计或者审 计 过度的情况。 遗漏审计会导致审计日志无法记录安全风险信息； 审计过度会导致审计数据 量增大， 增 加了分析处 理的难度。 发明内容 [0004]本发明的一个目的是要数据库实现对自主审计。 [0005]本发明一个进一 步的目的是提高数据库的数据安全性。 [0006]本发明一个进一 步的目的是审计功能满足数据库追溯的要求。 [0007]特别地， 本发明提供了一种数据库的审计方法， 其包括： [0008]获取对待审计数据库的操作； [0009]执行操作， 并获取操作结果； [0010]判断操作结果是否包 含设定数据类型的查询结果； [0011]若是， 判断设定数据类型的查询结果是否满足预设的审计条件； [0012]在满足预设的审计条件的情况 下， 对操作进行审计。 [0013]可选地， 判断设定数据类型的查询结果是否满足预设的审计条件的步骤 包括： [0014]获取与数据类型对应的敏感值 域； [0015]判断查询结果是否属于敏感值 域， 若是， 判定查询结果满足预设的审计条件。 [0016]可选地， 获取与数据类型对应的敏感值 域的步骤 包括： [0017]获取数据库预先配置的敏感数据字典； 敏感数据字典用于保存各数据类型对应的 敏感值域， 其中与字符类型对应的敏感值域包括敏感关键字， 与数值类型对应的敏感值域 包括异常数值范围。 [0018]可选地， 在获取对待审计数据库的操作的步骤之后还 包括： [0019]提取操作的操作特 征； [0020]根据操作特 征判断操作是否属于敏感操作， 若是， 对操作进行审计。说　明　书 1/6 页 3 CN 115455154 A 3