工控数据库操作行为安全审计方法、装置及系统

本发明涉及工控数据库操作行为审计技术领域，尤其是涉及一种工控数据库操作行为安全审计方法、装置及系统。

目前，数据库信息泄露呈现出两个趋势：(1)黑客通过B/S应用，以Web服务器为跳板，窃取数据库中的数据。(2)数据库数据泄露常常发生在公司内部，大量的数据库操作用户直接接触敏感数据。

在实际应用中，现有的工控数据库安全解决方案都是以防外部入侵为主，其实，工控数据库的信息泄露往往是由公司内部的工作人员造成的。如果工控数据库安全解决方案只是以防外部入侵为主的话，就会造成工控数据库安全解决过程的效率低的问题。

有鉴于此，本发明的目的在于提供一种工控数据库操作行为安全审计方法、装置及系统，以缓解现有技术中存在的工控数据库安全解决过程的效率低的技术问题。

第一方面，本发明实施例提供了一种工控数据库操作行为安全审计方法，方法应用于审计终端，所述审计终端以旁路部署的方式和交换机连接，所述交换机分别与数据库服务器和多个用户终端连接，方法包括：

接收所述用户终端通过所述交换机发送的访问申请，所述访问申请包括：所述用户终端的待操作资源的资源标识和登录所述用户终端的用户名；

根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源；

若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，以使所述用户终端接收到所述允许访问通知后，通过所述交换机发送操作信息给所述审计终端；

根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；

若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源，包括：

判断所述资源标识是否位于与所述用户名对应的授权访问标识集合中；

若所述资源标识位于与所述用户名对应的授权访问标识集合中，则判断所述用户终端是否满足预设的设备访问条件；

若所述用户终端满足所述设备访问条件，则允许所述用户终端访问所述数据库服务器中的所述待操作资源。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述访问申请中还包括所述用户终端的IP地址，所述判断所述用户终端是否满足预设的设备访问条件，包括：

判断所述IP地址是否位于预设的允许访问所述待操作资源的设备IP地址集合中；

若所述IP地址位于允许访问所述待操作资源的所述设备IP地址集合中，则确定所述用户终端满足所述设备访问条件。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述访问申请中还包括所述用户终端的MAC地址，所述判断所述用户终端是否满足预设的设备访问条件，包括：

判断所述MAC地址是否位于预设的允许访问所述待操作资源的设备MAC地址集合中；

若所述MAC地址位于允许访问所述待操作资源的所述设备MAC地址集合中，则确定所述用户终端满足所述设备访问条件。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述访问申请中还包括所述用户终端的访问时刻，所述判断所述用户终端是否满足预设的设备访问条件，包括：

判断所述访问时刻是否位于预设的允许访问所述待操作资源的设备访问时间段中；

若所述访问时刻位于允许访问所述待操作资源的所述设备访问时间段中，则确定所述用户终端满足所述设备访问条件。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，所述操作信息包括：SQL语句和所述用户名，所述第一审计策略包括：多个所述用户名、多个允许操作类别和多个第一允许操作资源标识，所述根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源，包括：

在所述第一审计策略中，确定与所述用户名对应的第一审计策略为第一用户审计策略；

提取所述SQL语句中的目标操作类别；

判断所述目标操作类别是否位于所述第一用户审计策略包括的多个所述允许操作类别中；

若所述目标操作类别位于所述第一用户审计策略包括的多个所述允许操作类别中，则在所述第一用户审计策略中，确定与所述目标操作类别对应的所述第一允许操作资源标识为待判断资源标识；

判断所述资源标识是否位于所述待判断资源标识中；

若所述资源标识位于所述待判断资源标识中，则确定所述用户终端被允许操作所述待操作资源。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述审计终端存储有第二审计策略，所述第二审计策略包括：多个所述用户名、多个允许操作时间长度和多个第二允许操作资源标识，还包括：

当所述用户终端开始对所述待操作资源进行操作后，在所述第二审计策略中，确定与所述用户名对应的第二审计策略为第二用户审计策略；

判断所述资源标识是否位于所述第二用户审计策略包括的多个所述第二允许操作资源标识中；

若所述资源标识位于所述第二用户审计策略包括的多个所述第二允许操作资源标识中，则在所述第二用户审计策略中，确定与所述资源标识对应的允许操作时间长度为待判断操作时间长度；

获取所述用户终端开始对所述待操作资源进行操作的开始操作时刻和当前时刻；

根据所述开始操作时刻和所述当前时刻，确定实际操作时间长度；

判断所述实际操作时间长度是否大于所述待判断操作时间长度；

若所述实际操作时间长度大于所述待判断操作时间长度，则终止所述用户终端对所述待操作资源进行的操作。

第二方面，本发明实施例还提供一种工控数据库操作行为安全审计装置，包括：接收模块、第一判断模块、第一发送模块、第二判断模块和第二发送模块；

所述接收模块，用于接收用户终端通过交换机发送的访问申请，所述访问申请包括：所述用户终端的待操作资源的资源标识和登录所述用户终端的用户名；

所述第一判断模块，用于根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问数据库服务器中的所述待操作资源；

所述第一发送模块，用于若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，以使所述用户终端接收到所述允许访问通知后，通过所述交换机发送操作信息给所述审计终端；

所述第二判断模块，用于根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；

所述第二发送模块，用于若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器。

第三方面，本发明实施例还提供一种工控数据库操作行为安全审计系统，包括：数据库服务器、交换机、多个用户终端和一个应用如第一方面任一所述方法的审计终端。

第四方面，本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行如第一方面任一所述的方法。

本发明实施例带来了以下有益效果：本发明实施例提供的工控数据库操作行为安全审计方法，方法应用于审计终端，所述审计终端以旁路部署的方式和交换机连接，所述交换机分别与数据库服务器和多个用户终端连接，方法包括：接收所述用户终端通过所述交换机发送的访问申请，所述访问申请包括：所述用户终端的待操作资源的资源标识和登录所述用户终端的用户名；根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源；若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，以使所述用户终端接收到所述允许访问通知后，通过所述交换机发送操作信息给所述审计终端；根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器。

所以，公司内部的工作人员要通过用户终端发送访问申请给审计终端时，审计终端接收所述用户终端通过所述交换机发送的访问申请，根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源；若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器，所述数据库服务器返回操作结果给用户终端，由于审计终端对用户终端发送的访问申请和操作信息均进行了审计，所以保证了工控数据库的内部使用安全性，避免由于工控数据库安全解决方案只是以防外部入侵为主而导致的工控数据库安全解决过程的效率低的问题，因此，缓解现有技术中存在的工控数据库安全解决过程的效率低的技术问题，达到了提高工控数据库安全解决过程的效率的技术效果。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的工控数据库操作行为安全审计方法的第一种流程图；

图2为图1中步骤S102的流程图；

图3为本发明实施例提供的工控数据库操作行为安全审计方法的第二种流程图；

图4为本发明实施例提供的工控数据库操作行为安全审计方法的第三种流程图；

图5为本发明实施例提供的工控数据库操作行为安全审计方法的第四种流程图；

图6为本发明实施例提供的工控数据库操作行为安全审计系统的结构示意图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，数据库信息泄露呈现出两个趋势：(1)黑客通过B/S应用，以Web服务器为跳板，窃取数据库中的数据。(2)数据库数据泄露常常发生在公司内部，大量的数据库操作用户直接接触敏感数据。

在实际应用中，现有的工控数据库安全解决方案都是以防外部入侵为主，其实，工控数据库的信息泄露往往是由公司内部的工作人员造成的。如果工控数据库安全解决方案只是以防外部入侵为主的话，就会造成工控数据库安全解决过程的效率低的问题，基于此，本发明实施例提供的一种工控数据库操作行为安全审计方法、装置及系统，可以缓解现有技术中存在的工控数据库安全解决过程的效率低的技术问题，达到了提高工控数据库安全解决过程的效率的技术效果。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种工控数据库操作行为安全审计方法进行详细介绍，方法应用于审计终端，所述审计终端以旁路部署的方式和交换机连接，所述交换机分别与数据库服务器和多个用户终端连接，如图1所示，所述工控数据库操作行为安全审计方法可以包括以下步骤。

示例性的，工控数据库可以为Oracle、SQLServer、Sybase、DB2、MySQL、PostgreSQL或者Informix。

步骤S101，接收所述用户终端通过所述交换机发送的访问申请，所述访问申请包括：所述用户终端的待操作资源的资源标识和登录所述用户终端的用户名。

步骤S102，根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源。

示例性的，如图2所示，步骤S102可以包括以下步骤。

步骤S201，判断所述资源标识是否位于与所述用户名对应的授权访问标识集合中。

步骤S202，若所述资源标识位于与所述用户名对应的授权访问标识集合中，则判断所述用户终端是否满足预设的设备访问条件。

示例性的，所述访问申请中还可以包括所述用户终端的IP地址，所述判断所述用户终端是否满足预设的设备访问条件，如图3所示，可以包括以下步骤。

步骤S301，判断所述IP地址是否位于预设的允许访问所述待操作资源的设备IP地址集合中。

步骤S302，若所述IP地址位于允许访问所述待操作资源的所述设备IP地址集合中，则确定所述用户终端满足所述设备访问条件。

示例性的，所述访问申请中还可以包括所述用户终端的MAC地址，所述判断所述用户终端是否满足预设的设备访问条件，如图4所示，可以包括以下步骤。

步骤S401，判断所述MAC地址是否位于预设的允许访问所述待操作资源的设备MAC地址集合中。

步骤S402，若所述MAC地址位于允许访问所述待操作资源的所述设备MAC地址集合中，则确定所述用户终端满足所述设备访问条件。

示例性的，所述访问申请中还可以包括所述用户终端的访问时刻，所述判断所述用户终端是否满足预设的设备访问条件，如图5所示，可以包括以下步骤。

步骤S501，判断所述访问时刻是否位于预设的允许访问所述待操作资源的设备访问时间段中。

步骤S502，若所述访问时刻位于允许访问所述待操作资源的所述设备访问时间段中，则确定所述用户终端满足所述设备访问条件。

步骤S203，若所述用户终端满足所述设备访问条件，则允许所述用户终端访问所述数据库服务器中的所述待操作资源。

步骤S103，若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，以使所述用户终端接收到所述允许访问通知后，通过所述交换机发送操作信息给所述审计终端。

步骤S104，根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源。

示例性的，所述操作信息可以包括：SQL语句和所述用户名。

示例性的，所述第一审计策略可以包括：多个所述用户名、多个允许操作类别和多个第一允许操作资源标识。

示例性的，所述允许操作类别可以为增加操作、删除操作、查操作或者更改操作。

示例性的，所述第一审计策略可以如表1所示。

表1

示例性的，所述根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源，可以包括以下步骤。

在所述第一审计策略中，确定与所述用户名对应的第一审计策略为第一用户审计策略。

示例性的，当所述用户名为第二用户时，则确定与第二用户对应的第一审计策略为第一用户审计策略，第一用户审计策略可以如表2所示。

表2

提取所述SQL语句中的目标操作类别。

示例性的，从所述SQL语句中提取的所述目标操作类别可以为增加操作、删除操作、查操作或者更改操作。

判断所述目标操作类别是否位于所述第一用户审计策略包括的多个所述允许操作类别中。

示例性的，当所述目标操作类别为更改操作时，则所述目标操作类别位于所述第一用户审计策略包括的多个所述允许操作类别中。

示例性的，当所述目标操作类别为增加操作时，则所述目标操作类别未位于所述第一用户审计策略包括的多个所述允许操作类别中。

若所述目标操作类别位于所述第一用户审计策略包括的多个所述允许操作类别中，则在所述第一用户审计策略中，确定与所述目标操作类别对应的所述第一允许操作资源标识为待判断资源标识。

示例性的，当所述目标操作类别为更改操作时，则所述目标操作类别位于所述第一用户审计策略包括的多个所述允许操作类别中，则确定与更改操作对应的所述第一允许操作资源标识D和E为待判断资源标识。即待判断资源标识包括：D和E。

判断所述资源标识是否位于所述待判断资源标识中。

示例性的，当所述资源标识为D时，则所述资源标识位于所述待判断资源标识中。当所述资源标识为A时，则所述资源标识未位于所述待判断资源标识中。

若所述资源标识位于所述待判断资源标识中，则确定所述用户终端被允许操作所述待操作资源。

示例性的，当所述资源标识为D时，则所述资源标识位于所述待判断资源标识中，则确定所述用户终端被允许操作所述待操作资源。即确定所述用户终端被允许对所述待操作资源进行与目标操作类别对应的操作。

步骤S105，若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器。

本发明实施例中，本发明实施例提供的工控数据库操作行为安全审计方法，方法应用于审计终端，所述审计终端以旁路部署的方式和交换机连接，所述交换机分别与数据库服务器和多个用户终端连接，方法包括：接收所述用户终端通过所述交换机发送的访问申请，所述访问申请包括：所述用户终端的待操作资源的资源标识和登录所述用户终端的用户名；根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源；若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，以使所述用户终端接收到所述允许访问通知后，通过所述交换机发送操作信息给所述审计终端；根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器。

所以，公司内部的工作人员要通过用户终端发送访问申请给审计终端时，审计终端接收所述用户终端通过所述交换机发送的访问申请，根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问所述数据库服务器中的所述待操作资源；若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器，所述数据库服务器返回操作结果给用户终端，由于审计终端对用户终端发送的访问申请和操作信息均进行了审计，所以保证了工控数据库的内部使用安全性，避免由于工控数据库安全解决方案只是以防外部入侵为主而导致的工控数据库安全解决过程的效率低的问题，因此，缓解现有技术中存在的工控数据库安全解决过程的效率低的技术问题，达到了提高工控数据库安全解决过程的效率的技术效果。

在本发明的又一实施例中，所述审计终端存储有第二审计策略，所述第二审计策略包括：多个所述用户名、多个允许操作时间长度和多个第二允许操作资源标识，所述工控数据库操作行为安全审计方法还可以包括以下步骤。

示例性的，所述第二审计策略可以如表3所示。

表3

当所述用户终端开始对所述待操作资源进行操作后，在所述第二审计策略中，确定与所述用户名对应的第二审计策略为第二用户审计策略。

示例性的，当所述用户名为第二用户时，确定与第二用户对应的第二审计策略为第二用户审计策略，所述第二用户审计策略可以如表4所示。

表4

判断所述资源标识是否位于所述第二用户审计策略包括的多个所述第二允许操作资源标识中。

示例性的，当所述资源标识为D时，判断所述资源标识D是否位于所述第二用户审计策略包括的多个所述第二允许操作资源标识(A、D和E)中。

若所述资源标识位于所述第二用户审计策略包括的多个所述第二允许操作资源标识中，则在所述第二用户审计策略中，确定与所述资源标识对应的允许操作时间长度为待判断操作时间长度。

示例性的，当所述资源标识为D时，则所述资源标识D位于所述第二用户审计策略包括的多个所述第二允许操作资源标识(A、D和E)中，则在所述第二用户审计策略中，确定与所述资源标识D对应的允许操作时间长度1小时为待判断操作时间长度。

获取所述用户终端开始对所述待操作资源进行操作的开始操作时刻和当前时刻。

根据所述开始操作时刻和所述当前时刻，确定实际操作时间长度。

示例性的，当所述开始操作时刻为09:12:00，所述当前时刻为10:15:00时，则确定实际操作时间长度为1小时3分钟。

判断所述实际操作时间长度是否大于所述待判断操作时间长度。

示例性的，判断实际操作时间长度为1小时3分钟是否大于所述待判断操作时间长度1小时。

若所述实际操作时间长度大于所述待判断操作时间长度，则终止所述用户终端对所述待操作资源进行的操作。

示例性的，由于实际操作时间长度为1小时3分钟大于待判断操作时间长度1小时，因此终止所述用户终端对所述待操作资源进行的操作。

在本发明的又一实施例中，对本发明实施例所公开的一种工控数据库操作行为安全审计装置进行详细介绍，包括：接收模块、第一判断模块、第一发送模块、第二判断模块和第二发送模块；

所述接收模块，用于接收用户终端通过交换机发送的访问申请，所述访问申请包括：所述用户终端的待操作资源的资源标识和登录所述用户终端的用户名；

所述第一判断模块，用于根据所述资源标识和所述用户名，判断所述用户终端是否被允许访问数据库服务器中的所述待操作资源；

所述第一发送模块，用于若所述用户终端被允许访问所述待操作资源，则发送允许访问通知给所述用户终端，以使所述用户终端接收到所述允许访问通知后，通过所述交换机发送操作信息给所述审计终端；

所述第二判断模块，用于根据预设的第一审计策略和接收到的所述操作信息，判断所述用户终端是否被允许操作所述待操作资源；

所述第二发送模块，用于若所述用户终端被允许操作所述待操作资源，则将所述操作信息发送给所述数据库服务器。

在本发明的又一实施例中，对本发明实施例所公开的一种工控数据库操作行为安全审计系统进行详细介绍，包括：数据库服务器、交换机、多个用户终端和一个应用如上述实施例任一所述方法的审计终端。

示例性的，以所述工控数据库操作行为安全审计系统包括四个用户终端为例进行说明。如图6所示，所述工控数据库操作行为安全审计系统可以包括：数据库服务器11、交换机12、审计终端13和四个用户终端。四个用户终端分别为：第一用户终端14、第二用户终端15、第三用户终端16和第四用户终端17。

示例性的，所述审计终端13以旁路部署的方式和交换机12连接，所述交换机12分别与数据库服务器11和四个用户终端连接。在所述工控数据库操作行为安全审计系统中，只需要将审计终端13的数据监听网口接到交换机12的镜像口即可，不需要对原有的网络做其他的改动，保证所述工控数据库操作行为安全审计系统的灵活性和稳定性。

在本发明的又一实施例中，对本发明实施例所公开的一种工控数据库操作行为安全审计方法进行详细介绍，所述程序代码使所述处理器执行上述实施例任一所述的方法。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明实施例所提供的进行工控数据库操作行为安全审计方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。