CN103475727A - 一种基于桥模式的数据库审计方法 - Google Patents
一种基于桥模式的数据库审计方法 Download PDFInfo
- Publication number
- CN103475727A CN103475727A CN2013104269864A CN201310426986A CN103475727A CN 103475727 A CN103475727 A CN 103475727A CN 2013104269864 A CN2013104269864 A CN 2013104269864A CN 201310426986 A CN201310426986 A CN 201310426986A CN 103475727 A CN103475727 A CN 103475727A
- Authority
- CN
- China
- Prior art keywords
- database
- sql statement
- fort machine
- method based
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数据库审计技术领域,特别涉及一种基于桥模式的数据库审计方法。该方法中堡垒机通过桥模式建立本地设备和远程数据库服务器连接的同时,堡垒机根据安全策略,分析用户执行的SQL语句,当SQL语句属于正常数据库操作时,用户可以继续执行,当SQL语句中包含高危操作字段时,禁止用户继续执行,并给出提示。本发明的一种基于桥模式的数据库审计方法,堡垒机通过定制安全策略,从而审计运维用户在本地设备对远程数据库服务器的操作,提高了远程核心数据库的数据安全性。
Description
技术领域
本发明涉及数据库审计技术领域,特别涉及一种基于桥模式的数据库审计方法。
背景技术
堡垒机是一种大型数据中心中面向运维用户的运维安全审计产品,运维用户通过堡垒机的集中管理和授权管理功能,完成对大量设备账号的运维管理操作,同时,堡垒机能够审计运维用户的操作过程。传统的运维模式中,运维用户直接通过本地设备连接远程服务器,进行运维管理操作,整个操作过程不可见、不可控,存在很大风险;采用堡垒机来进行运维,堡垒充当了中间代理的角色,运维用户在本地设备先通过与堡垒机连接,从而间接建立与远程服务器的连接,进行运维管理操作,并且,堡垒机可以完全记录运维用户的完整运维过程。
传统堡垒机采用旁路部署方式,如图1所示,要想规范只允许通过堡垒机来连接远程服务器进行运维管理操作,必须借助路由器和交换机的访问控制列表和端口转发来实现,一旦这些规则失效,远程服务器就处于危险状态。而且,传统堡垒机只能对服务器和网络设备进行运维管理,不能审计数据库。
发明内容
为了解决现有技术的问题,本发明提供了一种基于桥模式的数据库审计方法,。
所述技术方案如下:
一种基于桥模式的数据库审计方法,包括以下步骤:
A、堡垒机通过桥模式建立本地设备和远程数据库服务器的连接;
B、堡垒机的数据库审计模块,通过协议解码技术,分析本地设备上对远程数据库服务器执行的SQL语句;
C、根据堡垒机上制定的安全策略,对执行的SQL语句进行审计;对于符合安全策略的SQL语句,堡垒机予以通过,对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止用户执行,并给出提示。
步骤A中,堡垒机提供专用的数据库管理工具,支持数据库的访问管理。
堡垒机,其管理系统提供远程数据库服务器的虚拟桌面连接,用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程数据库服务器的运维管理。
步骤B中,堡垒机的协议解码模块通过专用数据库管理工具的协议,通过协议解码技术,分析出用户执行的SQL语句。
步骤B中,堡垒机的数据库审计模块,根据堡垒机制定的安全策略,分析用户执行的SQL语句,允许符合安全策略的SQL语句执行,并禁止不符合安全策略、包含高危字段的SQL语句执行。
步骤B中,堡垒机的数据库统计模块,记录用户执行的所有SQL语句,包括符合安全策略和不符合安全策略的SQL语句。
本发明的一种基于桥模式的数据审计方法中,堡垒机通过桥模式部署于本地设备与远程数据库服务器之间,通过协议代理的方式建立本地设备和远程数据库服务器的连接,并且堡垒机提供专用的数据库管理工具,支持MySQL、Oracle、MS SQL等数据库的访问管理;
运维用户在本地设备通过浏览器登录堡垒机的管理系统,建立与远程数据库服务器的连接,并借助堡垒机提供的专用数据库管理工具,对远程数据库服务器进行运维管理操作;
在运维管理操作的过程中,堡垒机的数据库审计模块,通过协议解码技术,分析运维用户在本地设备上对远程数据库服务器执行的SQL语句,并根据堡垒机上制定的安全策略,对执行的SQL语句进行审计,对于符合安全策略的SQL语句,堡垒机予以通过,对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止用户执行,并给出提示;
堡垒机的数据库统计模块,还可以记录用户执行的所有SQL语句,包括符合安全策略和不符合安全策略的SQL语句,以列表的形式展现运维用户的操作记录。
本发明实施例提供的技术方案带来的有益效果是:
本发明的一种基于桥模式的数据审计方法,其堡垒机通过定制安全策略,从而审计运维用户在本地设备对远程数据库服务器的操作,提高了远程核心数据库的数据安全性。
附图说明
图1为现有技术下的数据库审计方法中堡垒机的部署示意图;
图2为本发明的一种基于桥模式的数据库审计方法的堡垒机部署及业务流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
如附图2所示,本发明的一种基于桥模式的数据库审计方法,具体实施方式如下:
1、堡垒机网口配置成桥接模式,部署于本地设备和远程数据库服务器的中间路径上;
2、在本地设备,通过浏览器登录堡垒机的管理系统,添加远程数据库服务器的IP地址、端口、数据库用户名、密码等信息;
3、堡垒机的管理系统可以通过协议代理的方式,创建已添加的远程数据库服务器的虚拟桌面连接,运维用户通过专用数据库管理工具21即可连接远程数据库服务器,进行相关运维管理操作;
4、用户登录专用数据库管理工具后,已经建立了与运程数据库服务器的网络连接,当用户执行相关SQL语句时,向远程数据库服务器发送的网络数据包先发送到堡垒机的协议解码模块22;
5、协议解码模块22收到用户的网络数据包后,通过专业的协议解码技术,对网络数据包进行分析解码,还原出用户执行的SQL语句,然后将SQL语句发送给数据库审计模块23;
6、数据库审计模块23收到用户的SQL语句后,根据堡垒机制定的安全策略,分析用户的操作行为;
7、对于符合安全策略的SQL语句,堡垒机予以通过,发送给数据库统计模块24,该模块统计用户执行的SQL语句历史记录,并将该条SQL语句发送到远程数据库服务器,完成运维用户在本地设备执行的数据库操作;
8、对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止继续向远程数据库服务器发送,只发送给数据库统计模块24,记录本次SQL语句历史记录,同时,返回提示信息给本地设备的运维用户;
9、至此,运维用户在本地设备,通过堡垒机对远程数据库服务器执行的一次数据库操作结束。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于桥模式的数据库审计方法,包括以下步骤:
A、堡垒机通过桥模式建立本地设备和远程数据库服务器的连接;
B、堡垒机的数据库审计模块,通过协议解码技术,分析本地设备上对远程数据库服务器执行的SQL语句;
C、根据堡垒机上制定的安全策略,对执行的SQL语句进行审计;对于符合安全策略的SQL语句,堡垒机予以通过,对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止用户执行,并给出提示。
2.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述步骤A中,堡垒机提供专用的数据库管理工具,支持数据库的访问管理。
3.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的堡垒机,其管理系统提供远程数据库服务器的虚拟桌面连接,用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程数据库服务器的运维管理。
4.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的步骤B中,堡垒机的协议解码模块通过专用数据库管理工具的协议,通过协议解码技术,分析出用户执行的SQL语句。
5.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的步骤B中,堡垒机的数据库审计模块,根据堡垒机制定的安全策略,分析用户执行的SQL语句,允许符合安全策略的SQL语句执行,并禁止不符合安全策略、包含高危字段的SQL语句执行。
6.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的步骤B中,堡垒机的数据库统计模块,记录用户执行的所有SQL语句,包括符合安全策略和不符合安全策略的SQL语句。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013104269864A CN103475727A (zh) | 2013-09-18 | 2013-09-18 | 一种基于桥模式的数据库审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013104269864A CN103475727A (zh) | 2013-09-18 | 2013-09-18 | 一种基于桥模式的数据库审计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103475727A true CN103475727A (zh) | 2013-12-25 |
Family
ID=49800420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013104269864A Pending CN103475727A (zh) | 2013-09-18 | 2013-09-18 | 一种基于桥模式的数据库审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475727A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103747089A (zh) * | 2014-01-14 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种基于堡垒机的文件传输审计系统及方法 |
| CN105930427A (zh) * | 2016-04-19 | 2016-09-07 | 深圳市深信服电子科技有限公司 | 数据库审计方法及装置 |
| CN106302456A (zh) * | 2016-08-15 | 2017-01-04 | 浙江宇视科技有限公司 | 会话保持方法及装置 |
| CN106650478A (zh) * | 2016-12-28 | 2017-05-10 | 上海优刻得信息科技有限公司 | 一种数据操作的管理装置及方法 |
| CN106888084A (zh) * | 2017-01-04 | 2017-06-23 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN107122674A (zh) * | 2017-04-12 | 2017-09-01 | 成都安恒信息技术有限公司 | 一种应用于运维审计系统的oracle数据库的访问方法 |
| CN107992766A (zh) * | 2017-11-29 | 2018-05-04 | 北京安华金和科技有限公司 | 一种基于SQLServer数据库的多语句审计和控制方法 |
| CN108737540A (zh) * | 2018-05-18 | 2018-11-02 | 北京车和家信息技术有限公司 | 服务器的统一登录方法及装置 |
| CN109670297A (zh) * | 2018-12-14 | 2019-04-23 | 泰康保险集团股份有限公司 | 业务权限的开通方法、装置、存储介质及电子设备 |
| CN109934011A (zh) * | 2019-03-18 | 2019-06-25 | 国网安徽省电力有限公司黄山供电公司 | 一种应用于运维审计系统的数据安全分区方法 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833620A (zh) * | 2010-04-28 | 2010-09-15 | 国网电力科学研究院 | 一种基于自定义安全jdbc驱动的数据库防护方法 |
| CN103186733A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 数据库用户行为管理系统和数据库用户行为管理方法 |
| CN103186637A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 一种分析boss数据库用户行为的方法及装置 |
-
2013
- 2013-09-18 CN CN2013104269864A patent/CN103475727A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833620A (zh) * | 2010-04-28 | 2010-09-15 | 国网电力科学研究院 | 一种基于自定义安全jdbc驱动的数据库防护方法 |
| CN103186733A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 数据库用户行为管理系统和数据库用户行为管理方法 |
| CN103186637A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 一种分析boss数据库用户行为的方法及装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103747089A (zh) * | 2014-01-14 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种基于堡垒机的文件传输审计系统及方法 |
| CN105930427B (zh) * | 2016-04-19 | 2019-07-26 | 深信服科技股份有限公司 | 数据库审计方法及装置 |
| CN105930427A (zh) * | 2016-04-19 | 2016-09-07 | 深圳市深信服电子科技有限公司 | 数据库审计方法及装置 |
| CN106302456A (zh) * | 2016-08-15 | 2017-01-04 | 浙江宇视科技有限公司 | 会话保持方法及装置 |
| CN106302456B (zh) * | 2016-08-15 | 2020-01-14 | 浙江宇视科技有限公司 | 会话保持方法及装置 |
| CN106650478A (zh) * | 2016-12-28 | 2017-05-10 | 上海优刻得信息科技有限公司 | 一种数据操作的管理装置及方法 |
| CN106650478B (zh) * | 2016-12-28 | 2019-12-06 | 优刻得科技股份有限公司 | 一种数据操作的管理装置及方法 |
| CN106888084A (zh) * | 2017-01-04 | 2017-06-23 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN107122674A (zh) * | 2017-04-12 | 2017-09-01 | 成都安恒信息技术有限公司 | 一种应用于运维审计系统的oracle数据库的访问方法 |
| CN107122674B (zh) * | 2017-04-12 | 2020-09-08 | 成都安恒信息技术有限公司 | 一种应用于运维审计系统的oracle数据库的访问方法 |
| CN107992766A (zh) * | 2017-11-29 | 2018-05-04 | 北京安华金和科技有限公司 | 一种基于SQLServer数据库的多语句审计和控制方法 |
| CN108737540A (zh) * | 2018-05-18 | 2018-11-02 | 北京车和家信息技术有限公司 | 服务器的统一登录方法及装置 |
| CN109670297A (zh) * | 2018-12-14 | 2019-04-23 | 泰康保险集团股份有限公司 | 业务权限的开通方法、装置、存储介质及电子设备 |
| CN109934011A (zh) * | 2019-03-18 | 2019-06-25 | 国网安徽省电力有限公司黄山供电公司 | 一种应用于运维审计系统的数据安全分区方法 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
| CN115150199B (zh) * | 2022-09-02 | 2023-01-31 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103475727A (zh) | 一种基于桥模式的数据库审计方法 | |
| CN103186733B (zh) | 数据库用户行为管理系统和数据库用户行为管理方法 | |
| CN107667370A (zh) | 使用事件日志检测异常账户 | |
| CN101639879A (zh) | 数据库安全监控方法、装置及其系统 | |
| CN103747089A (zh) | 一种基于堡垒机的文件传输审计系统及方法 | |
| CN106161395A (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN107888613B (zh) | 一种基于云平台的管理系统 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN106600231A (zh) | 一种基建项目动态管理系统 | |
| CN107146154A (zh) | 一种数据管理的方法及装置 | |
| CN107733902A (zh) | 一种目标数据扩散过程的监控方法及装置 | |
| CN111160730B (zh) | 基于网络建模与仿真技术网络安全设备策略配置分析系统 | |
| CN101426008B (zh) | 一种基于回显的审计方法及系统 | |
| CN103475491B (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN103997418B (zh) | 基于扫描码的光网络资源管理方法 | |
| CN104346337B (zh) | 一种拦截垃圾信息的方法和装置 | |
| CN105260658A (zh) | 隐私界面的设置方法和系统 | |
| CN112131544B (zh) | 一种跳板机用户管理的shell脚本方法 | |
| CN103501292B (zh) | 利用备用手机实现保护数据安全的方法及系统 | |
| CN101562603B (zh) | 一种通过回显解析telnet协议的方法及系统 | |
| CN109218101B (zh) | 一种智慧协同网络族群创建的方法和系统 | |
| CN106375109A (zh) | 一种交换机配置模拟下发的方法、系统及计算机 | |
| CN110457897A (zh) | 一种基于通信协议与sql语法的数据库安全检测方法 | |
| CN109560937A (zh) | 口令认证方法、装置及计算机可读存储介质 | |
| CN105429779B (zh) | 一种网络业务数据自动识别系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131225 |