CN116894259A - 一种数据库的安全访问控制*** - Google Patents

一种数据库的安全访问控制*** Download PDF

Info

Publication number
CN116894259A
CN116894259A CN202310891380.1A CN202310891380A CN116894259A CN 116894259 A CN116894259 A CN 116894259A CN 202310891380 A CN202310891380 A CN 202310891380A CN 116894259 A CN116894259 A CN 116894259A
Authority
CN
China
Prior art keywords
data
information
database
matching
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310891380.1A
Other languages
English (en)
Inventor
王振辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Fanyi University
Original Assignee
Xian Fanyi University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Fanyi University filed Critical Xian Fanyi University
Priority to CN202310891380.1A priority Critical patent/CN116894259A/zh
Publication of CN116894259A publication Critical patent/CN116894259A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种数据库的安全访问控制***,包括:数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块;所述数据捕获模块,用于捕获数据库访问中的数据信息;所述数据解析模块,用于对所述数据信息进行解析,获取访问信息;所述信息匹配模块,用于将所述访问信息与预制阻断规则进行匹配;所述访问阻断模块,用于匹配成功时,阻断访问所述数据库;所述通信控制模块,用于各模块之间的数据交互。本发明解决了数据库访问时存数据被恶意篡改或者敏感数据泄露的问题,实现了数据库的安全访问控制,提高了数据安全性同时也满足了数据库对数据安全的需求。

Description

一种数据库的安全访问控制***
技术领域
本发明属于数据库安全技术领域,尤其涉及一种数据库的安全访问控制***。
背景技术
外部网络的入侵主要通过防火墙来解决,甚至一些保密性要求较高的数据库还会断开与互联网的连接以避免外部网络入侵。这些都是比较有效的手段,但是现有的数据库内部的访问却未做过多留意,尤其是小型公司的数据库大多是机柜式服务器,甚至一些直接就是PC电脑改装成的数据库。现在的数据库访问通常是采用分级授权访问的方式,即给员工的账号区分不同的授权等级,员工按照不同的等级可以访问不同的保密等级资料。即将访问的账号分为不同的授权等级,将数据库内的文件分为不同的保密等级。现有的数据库内的文件的均包括该文件的保密等级信息的。但是在这些授权账号被盗用之后,黑客就能异地访问数据库了。客户信息等敏感数据的泄露,且该问题日益成为损害公众利益、威胁企业健康发展以及对企业声誉造成重大影响的信息安全问题。权威数据表明,造成数据泄露的主要原因主要包括:外部网络的入侵造成的数据泄露;数据***内部的权限监控不完善造成的非授权数据访问造成的数据泄露。数据库本身的审计功能不完善,数据库中的数据安全没有保障。即便一些数据库具有审计功能,对数据库访问行为进行监管,例如,根据数据库审计要求,应用开发人员不能具备审计库/敏感库生产环境数据库的写权限。如果办公网和生产环境数据库之间没有统一的访问限制,一旦数据库账号密码泄漏,则可以在办公网环境下直接连接到数据库进行操作,不仅有误操作或恶意篡改数据的可能,也存在敏感数据泄漏的风险。
发明内容
为解决上述技术问题,本发明提出了一种数据库的安全访问控制***,解决了数据库访问时存在数据被恶意篡改或者敏感数据泄露的问题,提高了数据库访问的安全性。
为实现上述目的,本发明提供了一种数据库的安全访问控制***,包括:
数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块;
所述数据捕获模块,用于捕获数据库访问中的数据信息;
所述数据解析模块,用于对所述数据信息进行解析,获取访问信息;
所述信息匹配模块,用于将所述访问信息与预制阻断规则进行匹配;
所述访问阻断模块,用于匹配成功时,阻断访问所述数据库;
所述通信控制模块,用于各模块之间的数据交互。
可选的,所述数据捕获模块包括网络嗅探单元、数据重构单元和数据对比单元;
所述网络嗅探单元,用于嗅探流过的数据,并将所述数据发送给所述数据重构单元;
所述数据重构单元,用于接收所述数据,并将所述数据重构为文件;
所述数据对比单元,用于接收所述文件,并提取所述文件中的保密等级信息,确定所述文件的保密等级。
可选的,所述数据包括所述数据库内发送的数据包以及数据库访问者的授权等级及IP地址。
可选的,所述访问信息包括数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种。
可选的,所述操作类型包括查询操作、修改操作、删除操作和预处理操作。
可选的,所述信息匹配模块包括目标IP匹配单元、端口匹配单元和权限匹配单元;
所述目标IP匹配单元,用于将所述操作类型与所述目标IP进行匹配,生成第一匹配结果;
所述端口匹配单元,用于将所述操作类型与所述端口进行匹配,生成第二匹配结果;
所述权限匹配单元,用于将所述操作类型与所述连接账号的权限进行匹配,生成第三匹配结果。
可选的,所述访问阻断模块包括:获取威胁信息单元、阻断规则生成单元和阻断判断单元;
所述获取威胁信息单元,用于根据所述第一匹配结果、所述第二匹配结果和所述第三匹配结果,提取实例信息和端口信息;
所述阻断规则生成单元,用于将所述实例信息和所述端口信息输入黑名单列表或入侵防御***规则,生成阻断规则;
所述阻断判断单元,用于将所述访问信息与所述阻断规则进行匹配判断,获取判断情况。
可选的,所述判断情况包括第一种情况和第二种情况,
所述第一种情况为所述访问信息与所述阻断规则匹配成功,则阻断访问数据库;
所述第二种情况为所述访问信息与所述阻断规则匹配不成功,则允许访问数据库。
本发明技术效果:本发明公开了一种数据库的安全访问控制***,捕捉数据库内发送的数据包以及数据库访问者的授权等级及IP地址,根据捕捉数据进行数据解析,获取数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种等访问信息;将访问信息与操作类型进行匹配依次获取第一匹配结果、第二匹配结果和第三匹配结果,将这三种匹配结果提取实例信息和端口信息,基于实例信息和端口信息获取阻断规则;将访问信息与阻断规则进行匹配判断是否匹配成功,进而阻断访问或允许访问,实现了数据库的安全访问控制,提高了数据安全性同时也满足了数据库对数据安全的需求。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例数据库的安全访问控制***的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
如图1所示,本实施例中提供一种数据库的安全访问控制***,包括:
数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块;
数据捕获模块,用于捕获数据库访问中的数据信息;
数据解析模块,用于对数据信息进行解析,获取访问信息;
信息匹配模块,用于将访问信息与预制阻断规则进行匹配;
访问阻断模块,用于匹配成功时,阻断访问数据库;
通信控制模块,用于各模块之间的数据交互。
数据捕获模块包括网络嗅探单元、数据重构单元和数据对比单元;嗅探流过的数据,并将数据发送给数据重构单元;接收数据,并将数据重构为文件;接收文件,并提取文件中的保密等级信息,确定文件的保密等级;数据包括数据库内发送的数据包以及数据库访问者的授权等级及IP地址。通过入侵检测和防御***对办公室与生产环境之间的传输网络进行监控;从传输网络中的信息流中捕获数据库访问请求中的数据包。通过捕获模块捕获数据库访问请求中的数据包,解析模块对数据包进行解析,得到访问请求信息,匹配模块将访问请求信息与预设阻断规则进行匹配,阻断模块在匹配成功时,阻断访问请求,实现数据库安全访问控制,满足数据库审计和数据安全的要求,提升数据安全性。
通过入侵检测和防御***对办公室和生产环境之间的网络信息流进行监控,对捕获的网络数据包进行分析,再根据数据库协议解析出访问请求信息,将访问请求信息与阻断规则进行匹配,一次访问触发一次规则验证,规则命中则阻断此次访问请求,可以防止数据库中数据被误操作或恶意篡改,减少敏感数据泄漏风险,提升数据安全性。访问信息包括数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种;操作类型包括查询操作、修改操作、删除操作和预处理操作。
解析数据信息,提取要素信息,要素信息包括时间、数据库表、访问类型以及变更单号;根据的要素信息提取的数据库访问方式;根据的要素信息及数据库访问方式形成第一语句集合,根据的要素信息提取的数据库访问日志;根据的要素信息及数据库访问日志形成第二语句集合。将第一语句集合与第二语句集合进行比对,得到比对结果。此处的比对结果中即包括了第一语句集合与第二语句集合进行语句的对比后得到的差异部分。根据的比对结果对应的日志要素信息组成识别结果。即将第一语句集合与第二语句集合的差异部分的语句和相关的日志要素信息组成访问信息。
信息匹配模块包括目标IP匹配单元、端口匹配单元和权限匹配单元;将操作类型与目标IP进行匹配,生成第一匹配结果;将操作类型与端口进行匹配,生成第二匹配结果;将操作类型与连接账号的权限进行匹配,生成第三匹配结果。
访问阻断模块包括:获取威胁信息单元、阻断规则生成单元和阻断判断单元;根据第一匹配结果、第二匹配结果和第三匹配结果,提取实例信息和端口信息;将实例信息和端口信息输入黑名单列表或入侵防御***规则,生成阻断规则;将访问信息与阻断规则进行匹配判断,获取判断情况。需要根据不同数据库协议解析数据包,识别数据库类型、请求的目标IP、端口、执行的命令、查询的字段以及访问的账号等。例如MySQL服务,客户端与服务端的交互有两个阶段包括:握手认证阶段和命令执行阶段。出若识别数据包中包括握手认证阶段和命令执行阶段则判定所访问的数据库类型为MySQL数据库,通过登陆认证交互报文可以获取服务类型、账号、服务端地址。判断情况包括第一种情况和第二种情况,第一种情况为访问信息与阻断规则匹配成功,则阻断访问数据库;第二种情况为访问信息与阻断规则匹配不成功,则允许访问数据库。一次MySQL查询请求数据包,可以解析出访问的目标IP、端口、字段以及是条数限制等,和预先定义的黑名单列表进行比对,如果匹配到访问的目标数据库是黑名单对象,且查询的字段包含了敏感字段,那么直接丢弃这个数据包,触发一次警告。
该***还包括数据库接口,通过数据库接口连接多个数据库;筛选安全访问请求和筛选威胁访问请求;新增规则的上线模块用于阻断规则的生成与应用;旧规则的下线模块用于阻断规则失效处理,警告模块用于在触发阻断规则时发出警告信息,用户访问信息表用于存储记录用户访问信息,数据库访问信息表用于存储记录数据库访问信息。还包括运维监控模块、入侵检测和防御模块,该***分别与运维监控模块、入侵检测和防御模块连接,监控数据库和实时检测和防御用户的访问信息,提高数据库数据安全性。
本发明公开了一种数据库的安全访问控制***,捕捉数据库内发送的数据包以及数据库访问者的授权等级及IP地址,根据捕捉数据进行数据解析,获取数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种等访问信息;将访问信息与操作类型进行匹配依次获取第一匹配结果、第二匹配结果和第三匹配结果,将这三种匹配结果提取实例信息和端口信息,基于实例信息和端口信息获取阻断规则;将访问信息与阻断规则进行匹配判断是否匹配成功,进而阻断访问或允许访问,实现了数据库的安全访问控制,提高了数据安全性同时也满足了数据库对数据安全的需求。
以上,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。

Claims (8)

1.一种数据库的安全访问控制***,其特征在于,包括:
数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块;
所述数据捕获模块,用于捕获数据库访问中的数据信息;
所述数据解析模块,用于对所述数据信息进行解析,获取访问信息;
所述信息匹配模块,用于将所述访问信息与预制阻断规则进行匹配;
所述访问阻断模块,用于匹配成功时,阻断访问所述数据库;
所述通信控制模块,用于各模块之间的数据交互。
2.如权利要求1所述的数据库的安全访问控制***,其特征在于,
所述数据捕获模块包括网络嗅探单元、数据重构单元和数据对比单元;
所述网络嗅探单元,用于嗅探流过的数据,并将所述数据发送给所述数据重构单元;
所述数据重构单元,用于接收所述数据,并将所述数据重构为文件;
所述数据对比单元,用于接收所述文件,并提取所述文件中的保密等级信息,确定所述文件的保密等级。
3.如权利要求2所述的数据库的安全访问控制***,其特征在于,
所述数据包括所述数据库内发送的数据包以及数据库访问者的授权等级及IP地址。
4.如权利要求1所述的数据库的安全访问控制***,其特征在于,
所述访问信息包括数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种。
5.如权利要求4所述的数据库的安全访问控制***,其特征在于,
所述操作类型包括查询操作、修改操作、删除操作和预处理操作。
6.如权利要求5所述的数据库的安全访问控制***,其特征在于,
所述信息匹配模块包括目标IP匹配单元、端口匹配单元和权限匹配单元;
所述目标IP匹配单元,用于将所述操作类型与所述目标IP进行匹配,生成第一匹配结果;
所述端口匹配单元,用于将所述操作类型与所述端口进行匹配,生成第二匹配结果;
所述权限匹配单元,用于将所述操作类型与所述连接账号的权限进行匹配,生成第三匹配结果。
7.如权利要求6所述的数据库的安全访问控制***,其特征在于,
所述访问阻断模块包括:获取威胁信息单元、阻断规则生成单元和阻断判断单元;
所述获取威胁信息单元,用于根据所述第一匹配结果、所述第二匹配结果和所述第三匹配结果,提取实例信息和端口信息;
所述阻断规则生成单元,用于将所述实例信息和所述端口信息输入黑名单列表或入侵防御***规则,生成阻断规则;
所述阻断判断单元,用于将所述访问信息与所述阻断规则进行匹配判断,获取判断情况。
8.如权利要求7所述的数据库的安全访问控制***,其特征在于,
所述判断情况包括第一种情况和第二种情况,
所述第一种情况为所述访问信息与所述阻断规则匹配成功,则阻断访问数据库;
所述第二种情况为所述访问信息与所述阻断规则匹配不成功,则允许访问数据库。
CN202310891380.1A 2023-07-19 2023-07-19 一种数据库的安全访问控制*** Pending CN116894259A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310891380.1A CN116894259A (zh) 2023-07-19 2023-07-19 一种数据库的安全访问控制***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310891380.1A CN116894259A (zh) 2023-07-19 2023-07-19 一种数据库的安全访问控制***

Publications (1)

Publication Number Publication Date
CN116894259A true CN116894259A (zh) 2023-10-17

Family

ID=88311923

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310891380.1A Pending CN116894259A (zh) 2023-07-19 2023-07-19 一种数据库的安全访问控制***

Country Status (1)

Country Link
CN (1) CN116894259A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117478423A (zh) * 2023-11-30 2024-01-30 东方物通科技(北京)有限公司 数据安全通信***及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117478423A (zh) * 2023-11-30 2024-01-30 东方物通科技(北京)有限公司 数据安全通信***及方法
CN117478423B (zh) * 2023-11-30 2024-05-03 东方物通科技(北京)有限公司 数据安全通信***及方法

Similar Documents

Publication Publication Date Title
US20180352003A1 (en) Network Access Control with Compliance Policy Check
US8880893B2 (en) Enterprise information asset protection through insider attack specification, monitoring and mitigation
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及***
CN114372286A (zh) 数据安全管理方法、装置、计算机设备及存储介质
US20060149848A1 (en) System, apparatuses, and method for linking and advising of network events related to resource access
CN108780485A (zh) 基于模式匹配的数据集提取
US9288199B1 (en) Network access control with compliance policy check
CN106657011A (zh) 一种业务服务器授权安全访问方法
US11310278B2 (en) Breached website detection and notification
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和***
CN109936555A (zh) 一种基于云平台的数据存储方法、装置及***
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及***
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及***
CN113032793A (zh) 数据安全智能加固***及方法
US20190018751A1 (en) Digital Asset Tracking System And Method
CN116894259A (zh) 一种数据库的安全访问控制***
CN115314286A (zh) 一种安全保障***
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及***
KR101201629B1 (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
Sureshkumar et al. A study of the cloud security attacks and threats
CN110958236A (zh) 基于风险因子洞察的运维审计***动态授权方法
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
WO2003034687A1 (en) Method and system for securing computer networks using a dhcp server with firewall technology
Raut Log based intrusion detection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination