CN105893376A - 数据库访问监管方法 - Google Patents
数据库访问监管方法 Download PDFInfo
- Publication number
- CN105893376A CN105893376A CN201410729512.1A CN201410729512A CN105893376A CN 105893376 A CN105893376 A CN 105893376A CN 201410729512 A CN201410729512 A CN 201410729512A CN 105893376 A CN105893376 A CN 105893376A
- Authority
- CN
- China
- Prior art keywords
- database
- access
- application system
- managing method
- database access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了数据库访问监管方法,包括以下步骤:1)在数据库之前部署数据库监管服务器,通过应用层代理技术拦截对数据库的访问,把所有数据库访问置于监管服务器控制之下;2)控制连接数据库的用户名和口令,对数据库连接请求采取一次一授权的方式,保证对数据库连接的可控性;3)通过识别应用系统指纹控制可访问数据库的应用系统,保证应用系统的可信性;4)对访问数据库的SQL语句进行分析、检查、审计和控制。本发明阻断数据库用户随意直接连接数据库进行操作,对所有数据库访问活动进行监控,能够有效提高数据库系统的安全性,克服超级用户、数据库管理系统后门和漏洞、应用系统漏洞等可能对数据库安全的危害。
Description
技术领域
本发明属于数据库领域,特别是数据库访问监管方法。
背景技术
数据库是存储数据的仓库。今天的应用,小到手机应用,大到企业级Web应用,都采用数据库来存储要管理的数据。人们已经普遍意识到,数据库安全是信息安全的最后一道防线,对保护信息社会的信息财富具有决定性作用。虽然近年来数据库安全的重要性得到了普遍认识,但普遍使用的数据库管理系统在安全方面却存在一些不足。
数据库管理系统作为信息系统,首先面临许多技术上的安全问题。比如拒绝服务攻击、缓冲区溢出攻击、SQL注入、通信数据包嗅探、数据库存储泄漏、后门、木马、病毒等。另外,数据库管理系统和数据库应用系统一起,面临如下安全问题:
(1)数据库系统中存在超级用户,其权限不受约束,这会导致数据库访问权限的误用和滥用,带来非常严重的安全问题。
(2)应用系统用数据库超级用户身份链接数据库,阻碍数据库管理系统访问控制功能、安全审计功能等安全功能的实施,致使数据库管理系统的许多安全功能无法起到应有的安全保护作用。
(3)在应用系统配置文件中明文记录连接数据库的用户名和口令,导致数据库用户名和口令泄漏,使所有数据库管理系统的安全功能形同虚设。
(4)未对传递给数据库执行的SQL语句作安全性检查,导致SQL注入、缓冲区溢出等安全攻击发生。
从上述数据库和应用系统组成的数据库系统存在的安全问题中可以看出,对数据库访问进行监管非常必要,也非常迫切。这对解决数据库超级用户、数据库管理系统后门、SQL注入等安全问题都有帮助。
发明内容
本发明针对数据库系统存在不受监管的超级用户、后门、SQL注入等安全问题,给出数据库访问监管方法,包括以下步骤:
1)在数据库之前部署数据库监管服务器,通过应用层代理技术拦截对数据库的访问,把所有数据库访问置于监管服务器控制之下;
2)控制连接数据库的用户名和口令,对数据库连接请求采取一次一授权的方式,保证对数据库连接的可控性;
3)通过识别应用系统指纹控制可访问数据库的应用系统,保证应用系统的可信性;
4)对访问数据库的SQL语句进行分析、检查、审计和控制。
由于数据库访问监管服务器控制了访问数据库的通信,保证数据通信的不可绕过;监管服务器控制了连接数据库的身份认证信息,保证数据库登录的不可绕过。这样,即使直接登录数据库服务器主机也无法访问数据库,保证了数据库访问监管的整体不可绕过性。
不可绕过是数据库访问监管的基础。在此基础上,数据库访问监管方法还可识别应用系统指纹,保证访问数据库的应用系统的安全性;可根据监管策略的配置检查SQL语句的安全性,记录审计信息,控制SQL语句执行。
通过部署复合标准的数据库访问接口,数据库访问监管方法不但能够保证包括应用系统指纹提取在内的安全功能的实现,而且能够保证安全功能的应用系统透明性,这对保证数据库监管方法的广泛适用性至关重要。
附图说明
图1数据库访问监管服务器部署位置图
图2数据库访问连接情况图
图3数据库访问监管处理流程图
具体实施方式
下面结合附图对本发明作更进一步的说明。
数据库访问监管方法主要由数据库访问监管服务器DBASS(Database Access SupervisingServer)实施,DBASS部署在数据库应用系统APP(Application)和数据库管理系统DBMS(Database Management System)之间,如图1所示。
DBASS截断了APP所在机器和DBMS间的网络通信,使APP和DBMS之间不能直接进行交互,APP对数据库的访问必须经过DBASS处理,这样DBASS就控制了应用系统到数据库的连接过程和连接建立后的所有访问过程。
为能获取应用系统的特征,也为能给应用系统提供透明的安全数据库访问支持,需要一个复合标准的安全数据库访问接口SecDBAI(Secure DatabaseAccess Interface),如图2所示。这样,应用系统APP配置为使用SecDBAI访问数据库,应用系统和数据库访问监管服务器间建立安全的数据库访问连接,而DBASS与数据库管理系统DBMS间建立数据库连接。
数据库访问的监管处理流程如图3所示。应用系统连接数据库访问监管服务器时,提供DBASS管理的身份认证信息而不是DBMS管理的身份信息,即应用系统不知道连接数据库的真正身份信息。DBASS连接数据库管理系统的身份信息不向外暴露,因此没有人可以直接连接数据库管理系统访问数据库。当特殊情况发生,需要登录数据库管理系统服务器直接连接数据库进行特殊操作时,可在严格授权情况下从DBASS服务器获取数据库超级用户身份信息,以满足特殊管理的需要。
连接建立好后,应用系统就可以发送SQL语句访问数据库。APP将SQL语句传递给SecDBAI,SecDBAI通过网络将SQL语句发送到数据库访问监管服务器DBASS,DBASS根据监管策略对SQL语句进行分析检查。如果SQL语句合法,则交给数据库管理系统执行,并将执行结果返回给SecDBAI,SecDBAI再返回给应用系统APP。如果不合法,则DBASS记录告警信息,阻止SQL语句继续执行,并将检查结果返回给SecDBAI,SecDBAI再将错误状态返回给应用系统。
在数据库访问监管服务器DBASS的控制下,数据库管理系统之外的计算机无法通过网络直接连接DBMS访问数据库,直接登录DBMS服务器的用户由于不知晓连接数据库的用户身份信息也无法直接登录数据库进行操作,这样就确实保证了访问数据库的受控性。而通过DBASS访问数据库的所有操作均在配置的监管策略控制之下,不但能防止数据库访问权限的误用和滥用,对数据库攻击行为也能识别、审计和阻断。
Claims (10)
1.数据库访问监管方法,包括以下步骤:
1)在数据库之前部署数据库监管服务器,通过应用层代理技术拦截对数据库的访问,把所有数据库访问置于监管服务器控制之下;
2)控制连接数据库的用户名和口令,对数据库连接请求采取一次一授权的方式,保证对数据库连接的可控性;
3)通过识别应用系统指纹控制可访问数据库的应用系统,保证应用系统的可信性;
4)对访问数据库的SQL语句进行分析、检查、审计和控制。
2.根据权利要求1所述的数据库访问监管方法,其特征在于监管服务器部署在数据库之前,使用应用层代理技术,截断了数据库客户端和服务器的网络通信,使所有数据库访问都在监管服务器控制之下。
3.根据权利要求1所述的数据库访问监管方法,其特征在于连接数据库的用户名和口令由监管服务器控制,因此数据库管理员或其他人员无法凭借掌握的数据库用户信息随意直接连接数据库进行操作。
4.根据权利要求1所述的数据库访问监管方法,其特征在于数据库连接请求采取一次一授权的方式,防止链接请求被重放和连接信息被重用,保证数据库连接的次次受控。
5.根据权利要求1所述的数据库访问监管方法,其特征在于应用系统指纹是抽取的应用系统特征的摘要,该指纹在应用系统访问数据库时将被检查,检查通过的方能访问数据库。
6.根据权利要求1所述的数据库访问监管方法,其特征在于对访问数据库的SQL语句要进行词法和语法分析,然后根据策略配置检查SQL语句的合法性和记录审计信息,并根据检查结果决定是否允许SQL语句继续执行。
7.根据权利要求2所述的数据库访问监管方法,其特征在于在客户端部署复合标准的数据库访问接口实现监管功能的应用系统透明性。
8.根据权利要求3所述的数据库访问监管方法,其特征在于连接数据库的用户名和口令在特殊情况下经过严格授权,可从监管服务器读出用于特殊的数据库系统维护。
9.根据权利要求4所述的数据库访问监管方法,其特征在于访问数据库的口令在一次成功的连接建立后将被立即修改。
10.根据权利要求1所述的数据库访问监管方法,其特征在于应用系统指纹注册和监管策略配置采用专用管理工具进行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410729512.1A CN105893376A (zh) | 2014-12-05 | 2014-12-05 | 数据库访问监管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410729512.1A CN105893376A (zh) | 2014-12-05 | 2014-12-05 | 数据库访问监管方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105893376A true CN105893376A (zh) | 2016-08-24 |
Family
ID=56699642
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410729512.1A Pending CN105893376A (zh) | 2014-12-05 | 2014-12-05 | 数据库访问监管方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105893376A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107885869A (zh) * | 2017-11-24 | 2018-04-06 | 北京农信互联科技有限公司 | 一种修改数据库的方法和系统 |
CN108959377A (zh) * | 2018-05-25 | 2018-12-07 | 联动优势电子商务有限公司 | 一种数据处理的方法、装置及存储介质 |
CN114844673A (zh) * | 2022-03-25 | 2022-08-02 | 华能信息技术有限公司 | 一种数据安全管理方法 |
CN116136901A (zh) * | 2023-04-19 | 2023-05-19 | 杭州美创科技股份有限公司 | 应用程序防假冒方法、装置、计算机设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102184371A (zh) * | 2011-04-15 | 2011-09-14 | 国都兴业信息审计系统技术(北京)有限公司 | Sql语句的数据库操作权限检测方法与系统 |
CN102722667A (zh) * | 2012-03-07 | 2012-10-10 | 甘肃省电力公司信息通信公司 | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 |
CN203102291U (zh) * | 2013-03-12 | 2013-07-31 | 中国工商银行股份有限公司 | 一种数据库的安全访问控制系统 |
CN103500202A (zh) * | 2013-09-29 | 2014-01-08 | 中国船舶重工集团公司第七0九研究所 | 一种轻量级数据库的安全保护方法及系统 |
-
2014
- 2014-12-05 CN CN201410729512.1A patent/CN105893376A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102184371A (zh) * | 2011-04-15 | 2011-09-14 | 国都兴业信息审计系统技术(北京)有限公司 | Sql语句的数据库操作权限检测方法与系统 |
CN102722667A (zh) * | 2012-03-07 | 2012-10-10 | 甘肃省电力公司信息通信公司 | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 |
CN203102291U (zh) * | 2013-03-12 | 2013-07-31 | 中国工商银行股份有限公司 | 一种数据库的安全访问控制系统 |
CN103500202A (zh) * | 2013-09-29 | 2014-01-08 | 中国船舶重工集团公司第七0九研究所 | 一种轻量级数据库的安全保护方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107885869A (zh) * | 2017-11-24 | 2018-04-06 | 北京农信互联科技有限公司 | 一种修改数据库的方法和系统 |
CN108959377A (zh) * | 2018-05-25 | 2018-12-07 | 联动优势电子商务有限公司 | 一种数据处理的方法、装置及存储介质 |
CN114844673A (zh) * | 2022-03-25 | 2022-08-02 | 华能信息技术有限公司 | 一种数据安全管理方法 |
CN116136901A (zh) * | 2023-04-19 | 2023-05-19 | 杭州美创科技股份有限公司 | 应用程序防假冒方法、装置、计算机设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Alwan et al. | Detection and prevention of SQL injection attack: a survey | |
CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
Malik et al. | Database security-attacks and control methods | |
CN101534300B (zh) | 多访问控制机制结合的系统保护架构及方法 | |
CN103795735B (zh) | 安全设备、服务器及服务器信息安全实现方法 | |
KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
CN103246849A (zh) | 一种Windows下基于增强型ROST的安全运行方法 | |
CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
CN106326699A (zh) | 一种基于文件访问控制和进程访问控制的服务器加固方法 | |
CN104166812A (zh) | 一种基于独立授权的数据库安全访问控制方法 | |
CN103413088A (zh) | 一种计算机文档操作安全审计系统 | |
KR20140035146A (ko) | 정보보안 장치 및 방법 | |
CN106228078A (zh) | 一种Linux下基于增强型ROST的安全运行方法 | |
CN105893376A (zh) | 数据库访问监管方法 | |
CN114418263A (zh) | 一种用于火电厂电力监控装置的防御系统 | |
CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
CN114338105B (zh) | 一种基于零信任信创堡垒机系统 | |
Xu et al. | Network security | |
CN104821943A (zh) | Linux主机接入网络系统安全增强方法 | |
CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
KR101271449B1 (ko) | Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체 | |
Sadotra et al. | SQL Injection Impact on Web Server and Their Risk Mitigation Policy Implementation Techniques: An Ultimate solution to Prevent Computer Network from Illegal Intrusion. | |
KR101025029B1 (ko) | 인증서 기반의 데이터베이스 통합 보안시스템 구축방법 | |
CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160824 |