一种数据库的安全访问控制系统

1.本发明属于数据库安全技术领域，尤其涉及一种数据库的安全访问控制系统。


背景技术：

2.外部网络的入侵主要通过防火墙来解决，甚至一些保密性要求较高的数据库还会断开与互联网的连接以避免外部网络入侵。这些都是比较有效的手段，但是现有的数据库内部的访问却未做过多留意，尤其是小型公司的数据库大多是机柜式服务器，甚至一些直接就是pc电脑改装成的数据库。现在的数据库访问通常是采用分级授权访问的方式，即给员工的账号区分不同的授权等级，员工按照不同的等级可以访问不同的保密等级资料。即将访问的账号分为不同的授权等级，将数据库内的文件分为不同的保密等级。现有的数据库内的文件的均包括该文件的保密等级信息的。但是在这些授权账号被盗用之后，黑客就能异地访问数据库了。客户信息等敏感数据的泄露，且该问题日益成为损害公众利益、威胁企业健康发展以及对企业声誉造成重大影响的信息安全问题。权威数据表明，造成数据泄露的主要原因主要包括：外部网络的入侵造成的数据泄露；数据系统内部的权限监控不完善造成的非授权数据访问造成的数据泄露。数据库本身的审计功能不完善，数据库中的数据安全没有保障。即便一些数据库具有审计功能，对数据库访问行为进行监管，例如，根据数据库审计要求，应用开发人员不能具备审计库/敏感库生产环境数据库的写权限。如果办公网和生产环境数据库之间没有统一的访问限制，一旦数据库账号密码泄漏，则可以在办公网环境下直接连接到数据库进行操作，不仅有误操作或恶意篡改数据的可能，也存在敏感数据泄漏的风险。


技术实现要素：

3.为解决上述技术问题，本发明提出了一种数据库的安全访问控制系统，解决了数据库访问时存在数据被恶意篡改或者敏感数据泄露的问题，提高了数据库访问的安全性。
4.为实现上述目的，本发明提供了一种数据库的安全访问控制系统，包括：
5.数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块；
6.所述数据捕获模块，用于捕获数据库访问中的数据信息；
7.所述数据解析模块，用于对所述数据信息进行解析，获取访问信息；
8.所述信息匹配模块，用于将所述访问信息与预制阻断规则进行匹配；
9.所述访问阻断模块，用于匹配成功时，阻断访问所述数据库；
10.所述通信控制模块，用于各模块之间的数据交互。
11.可选的，所述数据捕获模块包括网络嗅探单元、数据重构单元和数据对比单元；
12.所述网络嗅探单元，用于嗅探流过的数据，并将所述数据发送给所述数据重构单元；
13.所述数据重构单元，用于接收所述数据，并将所述数据重构为文件；
14.所述数据对比单元，用于接收所述文件，并提取所述文件中的保密等级信息，确定
所述文件的保密等级。
15.可选的，所述数据包括所述数据库内发送的数据包以及数据库访问者的授权等级及ip地址。
16.可选的，所述访问信息包括数据库类型、请求的目标ip、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种。
17.可选的，所述操作类型包括查询操作、修改操作、删除操作和预处理操作。
18.可选的，所述信息匹配模块包括目标ip匹配单元、端口匹配单元和权限匹配单元；
19.所述目标ip匹配单元，用于将所述操作类型与所述目标ip进行匹配，生成第一匹配结果；
20.所述端口匹配单元，用于将所述操作类型与所述端口进行匹配，生成第二匹配结果；
21.所述权限匹配单元，用于将所述操作类型与所述连接账号的权限进行匹配，生成第三匹配结果。
22.可选的，所述访问阻断模块包括：获取威胁信息单元、阻断规则生成单元和阻断判断单元；
23.所述获取威胁信息单元，用于根据所述第一匹配结果、所述第二匹配结果和所述第三匹配结果，提取实例信息和端口信息；
24.所述阻断规则生成单元，用于将所述实例信息和所述端口信息输入黑名单列表或入侵防御系统规则，生成阻断规则；
25.所述阻断判断单元，用于将所述访问信息与所述阻断规则进行匹配判断，获取判断情况。
26.可选的，所述判断情况包括第一种情况和第二种情况，
27.所述第一种情况为所述访问信息与所述阻断规则匹配成功，则阻断访问数据库；
28.所述第二种情况为所述访问信息与所述阻断规则匹配不成功，则允许访问数据库。
29.本发明技术效果：本发明公开了一种数据库的安全访问控制系统，捕捉数据库内发送的数据包以及数据库访问者的授权等级及ip地址，根据捕捉数据进行数据解析，获取数据库类型、请求的目标ip、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种等访问信息；将访问信息与操作类型进行匹配依次获取第一匹配结果、第二匹配结果和第三匹配结果，将这三种匹配结果提取实例信息和端口信息，基于实例信息和端口信息获取阻断规则；将访问信息与阻断规则进行匹配判断是否匹配成功，进而阻断访问或允许访问，实现了数据库的安全访问控制，提高了数据安全性同时也满足了数据库对数据安全的需求。
附图说明
30.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
31.图1为本发明实施例数据库的安全访问控制系统的结构示意图。
具体实施方式
32.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
33.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
34.如图1所示，本实施例中提供一种数据库的安全访问控制系统，包括：
35.数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块；
36.数据捕获模块，用于捕获数据库访问中的数据信息；
37.数据解析模块，用于对数据信息进行解析，获取访问信息；
38.信息匹配模块，用于将访问信息与预制阻断规则进行匹配；
39.访问阻断模块，用于匹配成功时，阻断访问数据库；
40.通信控制模块，用于各模块之间的数据交互。
41.数据捕获模块包括网络嗅探单元、数据重构单元和数据对比单元；嗅探流过的数据，并将数据发送给数据重构单元；接收数据，并将数据重构为文件；接收文件，并提取文件中的保密等级信息，确定文件的保密等级；数据包括数据库内发送的数据包以及数据库访问者的授权等级及ip地址。通过入侵检测和防御系统对办公室与生产环境之间的传输网络进行监控；从传输网络中的信息流中捕获数据库访问请求中的数据包。通过捕获模块捕获数据库访问请求中的数据包，解析模块对数据包进行解析，得到访问请求信息，匹配模块将访问请求信息与预设阻断规则进行匹配，阻断模块在匹配成功时，阻断访问请求，实现数据库安全访问控制，满足数据库审计和数据安全的要求，提升数据安全性。
42.通过入侵检测和防御系统对办公室和生产环境之间的网络信息流进行监控，对捕获的网络数据包进行分析，再根据数据库协议解析出访问请求信息，将访问请求信息与阻断规则进行匹配，一次访问触发一次规则验证，规则命中则阻断此次访问请求，可以防止数据库中数据被误操作或恶意篡改，减少敏感数据泄漏风险，提升数据安全性。访问信息包括数据库类型、请求的目标ip、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种；操作类型包括查询操作、修改操作、删除操作和预处理操作。
43.解析数据信息，提取要素信息，要素信息包括时间、数据库表、访问类型以及变更单号；根据的要素信息提取的数据库访问方式；根据的要素信息及数据库访问方式形成第一语句集合，根据的要素信息提取的数据库访问日志；根据的要素信息及数据库访问日志形成第二语句集合。将第一语句集合与第二语句集合进行比对，得到比对结果。此处的比对结果中即包括了第一语句集合与第二语句集合进行语句的对比后得到的差异部分。根据的比对结果对应的日志要素信息组成识别结果。即将第一语句集合与第二语句集合的差异部分的语句和相关的日志要素信息组成访问信息。
44.信息匹配模块包括目标ip匹配单元、端口匹配单元和权限匹配单元；将操作类型与目标ip进行匹配，生成第一匹配结果；将操作类型与端口进行匹配，生成第二匹配结果；将操作类型与连接账号的权限进行匹配，生成第三匹配结果。
45.访问阻断模块包括：获取威胁信息单元、阻断规则生成单元和阻断判断单元；根据第一匹配结果、第二匹配结果和第三匹配结果，提取实例信息和端口信息；将实例信息和端
口信息输入黑名单列表或入侵防御系统规则，生成阻断规则；将访问信息与阻断规则进行匹配判断，获取判断情况。需要根据不同数据库协议解析数据包，识别数据库类型、请求的目标ip、端口、执行的命令、查询的字段以及访问的账号等。例如mysql服务，客户端与服务端的交互有两个阶段包括：握手认证阶段和命令执行阶段。出若识别数据包中包括握手认证阶段和命令执行阶段则判定所访问的数据库类型为mysql数据库，通过登陆认证交互报文可以获取服务类型、账号、服务端地址。判断情况包括第一种情况和第二种情况，第一种情况为访问信息与阻断规则匹配成功，则阻断访问数据库；第二种情况为访问信息与阻断规则匹配不成功，则允许访问数据库。一次mysql查询请求数据包,可以解析出访问的目标ip、端口、字段以及是条数限制等，和预先定义的黑名单列表进行比对，如果匹配到访问的目标数据库是黑名单对象，且查询的字段包含了敏感字段，那么直接丢弃这个数据包，触发一次警告。
46.该系统还包括数据库接口，通过数据库接口连接多个数据库；筛选安全访问请求和筛选威胁访问请求；新增规则的上线模块用于阻断规则的生成与应用；旧规则的下线模块用于阻断规则失效处理，警告模块用于在触发阻断规则时发出警告信息，用户访问信息表用于存储记录用户访问信息，数据库访问信息表用于存储记录数据库访问信息。还包括运维监控模块、入侵检测和防御模块，该系统分别与运维监控模块、入侵检测和防御模块连接，监控数据库和实时检测和防御用户的访问信息，提高数据库数据安全性。
47.本发明公开了一种数据库的安全访问控制系统，捕捉数据库内发送的数据包以及数据库访问者的授权等级及ip地址，根据捕捉数据进行数据解析，获取数据库类型、请求的目标ip、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种等访问信息；将访问信息与操作类型进行匹配依次获取第一匹配结果、第二匹配结果和第三匹配结果，将这三种匹配结果提取实例信息和端口信息，基于实例信息和端口信息获取阻断规则；将访问信息与阻断规则进行匹配判断是否匹配成功，进而阻断访问或允许访问，实现了数据库的安全访问控制，提高了数据安全性同时也满足了数据库对数据安全的需求。
48.以上，仅为本技术较佳的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。

技术特征：
1.一种数据库的安全访问控制系统，其特征在于，包括：数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块；所述数据捕获模块，用于捕获数据库访问中的数据信息；所述数据解析模块，用于对所述数据信息进行解析，获取访问信息；所述信息匹配模块，用于将所述访问信息与预制阻断规则进行匹配；所述访问阻断模块，用于匹配成功时，阻断访问所述数据库；所述通信控制模块，用于各模块之间的数据交互。2.如权利要求1所述的数据库的安全访问控制系统，其特征在于，所述数据捕获模块包括网络嗅探单元、数据重构单元和数据对比单元；所述网络嗅探单元，用于嗅探流过的数据，并将所述数据发送给所述数据重构单元；所述数据重构单元，用于接收所述数据，并将所述数据重构为文件；所述数据对比单元，用于接收所述文件，并提取所述文件中的保密等级信息，确定所述文件的保密等级。3.如权利要求2所述的数据库的安全访问控制系统，其特征在于，所述数据包括所述数据库内发送的数据包以及数据库访问者的授权等级及ip地址。4.如权利要求1所述的数据库的安全访问控制系统，其特征在于，所述访问信息包括数据库类型、请求的目标ip、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种。5.如权利要求4所述的数据库的安全访问控制系统，其特征在于，所述操作类型包括查询操作、修改操作、删除操作和预处理操作。6.如权利要求5所述的数据库的安全访问控制系统，其特征在于，所述信息匹配模块包括目标ip匹配单元、端口匹配单元和权限匹配单元；所述目标ip匹配单元，用于将所述操作类型与所述目标ip进行匹配，生成第一匹配结果；所述端口匹配单元，用于将所述操作类型与所述端口进行匹配，生成第二匹配结果；所述权限匹配单元，用于将所述操作类型与所述连接账号的权限进行匹配，生成第三匹配结果。7.如权利要求6所述的数据库的安全访问控制系统，其特征在于，所述访问阻断模块包括：获取威胁信息单元、阻断规则生成单元和阻断判断单元；所述获取威胁信息单元，用于根据所述第一匹配结果、所述第二匹配结果和所述第三匹配结果，提取实例信息和端口信息；所述阻断规则生成单元，用于将所述实例信息和所述端口信息输入黑名单列表或入侵防御系统规则，生成阻断规则；所述阻断判断单元，用于将所述访问信息与所述阻断规则进行匹配判断，获取判断情况。8.如权利要求7所述的数据库的安全访问控制系统，其特征在于，所述判断情况包括第一种情况和第二种情况，所述第一种情况为所述访问信息与所述阻断规则匹配成功，则阻断访问数据库；所述第二种情况为所述访问信息与所述阻断规则匹配不成功，则允许访问数据库。

技术总结
本发明公开了一种数据库的安全访问控制系统，包括：数据捕获模块、数据解析模块、通信控制模块、信息匹配模块和访问阻断模块；所述数据捕获模块，用于捕获数据库访问中的数据信息；所述数据解析模块，用于对所述数据信息进行解析，获取访问信息；所述信息匹配模块，用于将所述访问信息与预制阻断规则进行匹配；所述访问阻断模块，用于匹配成功时，阻断访问所述数据库；所述通信控制模块，用于各模块之间的数据交互。本发明解决了数据库访问时存数据被恶意篡改或者敏感数据泄露的问题，实现了数据库的安全访问控制，提高了数据安全性同时也满足了数据库对数据安全的需求。足了数据库对数据安全的需求。足了数据库对数据安全的需求。


技术研发人员：王振辉
受保护的技术使用者：西安翻译学院
技术研发日：2023.07.19
技术公布日：2023/10/19