CN112214372A - 一种敏感sql集中控制系统 - Google Patents
一种敏感sql集中控制系统 Download PDFInfo
- Publication number
- CN112214372A CN112214372A CN202010975089.9A CN202010975089A CN112214372A CN 112214372 A CN112214372 A CN 112214372A CN 202010975089 A CN202010975089 A CN 202010975089A CN 112214372 A CN112214372 A CN 112214372A
- Authority
- CN
- China
- Prior art keywords
- sql
- rule engine
- engine
- database
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种敏感SQL集中控制系统,包括:一系统,该系统由策略管理模块、识别引擎、接入规则引擎、业务规则引擎和威胁分析五个模块构成,其特征在于,通过识别引擎来识别应用系统发送的连接请求,匹配定义的接入规则引擎数据库和安全规则引擎,根据安全规则引擎确定策略,执行相应的策略转发到接入引擎数据库,并将结果集返回,在此过程中,SQL威胁分析贯穿整个过程,分析SQL,针对威胁级别高的SQL语句做拦截并邮箱告警,与现有技术相比,本发明具有如下的有益效果:可以针对数据库数据信息进行安全的保护,阻止未被授权的连接访问数据库的敏感信息。
Description
技术领域
本发明属于数据库数据信息保护领域,特别涉及一种敏感SQL集中控制系统。
背景技术
随着网络技术的发展,数据中心的数据来源多种多样,分散,开放且毫无完整性,数据库管理员很难逐一对其进行跟踪管理,导致大量数据泄露。本发明是针对数据安全保护的,对数据中心的数据做敏感SQL集中控制管理,保护敏感数据不泄露。
发明内容
针对现有技术存在的不足,本发明目的是提供一种敏感SQL集中控制系统,以解决上述背景技术中提出的问题。
本发明的技术方案是这样实现的:一种敏感SQL集中控制系统,包括:一系统,该系统由策略管理模块、识别引擎、接入规则引擎、业务规则引擎和威胁分析五个模块构成,通过识别引擎来识别应用系统发送的连接请求,匹配定义的接入规则引擎数据库和安全规则引擎,根据安全规则引擎确定策略,执行相应的策略转发到接入引擎数据库,并将结果集返回,在此过程中,SQL威胁分析贯穿整个过程,分析SQL,针对威胁级别高的SQL语句做拦截并邮箱告警。
作为一优选的实施方式,策略管理模块分为服务控制和控制台管理两部分,服务控制是对系统做常规操作指令操作管理,控制台管理是对系统做图形化管理,可视化的配置策略和管理策略。
作为一优选的实施方式,规则引擎由接入规则引擎和业务规则引擎两部分组成,接入规则引擎是用来配置接入数据库和接入数据库端口,根绝识别引擎传入的应用系统连接请求来匹配数据库且定位业务引擎规则,业务规则引擎是用来配置常规策略的。
作为一优选的实施方式,SQL威胁分析分为SQL监控管理和告警管理两部分组成,SQL监控管理,定义配置数据库高危指令,贯穿着当前整个系统做SQL做监控,一旦监控到有威胁数据库操作的SQL则启动告警管理配置实现邮箱或者微信拦截并告警。
采用了上述技术方案后,本发明的有益效果是:可以针对数据库数据信息进行安全的保护,阻止未被授权的连接访问数据库的敏感信息。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的敏感SQL集中控制系统总模块结构示意图;
图2为本系统所述策略管理模块结构示意图;
图3为本系统所述的规则引擎模块结构示意图;
图4为本系统所述的SQL威胁分析结构示意图;
图5为本发明的敏感SQL集中控制系统的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:一种敏感SQL集中控制系统,包括:一系统,该系统由策略管理模块、识别引擎、接入规则引擎、业务规则引擎和威胁分析五个模块构成,通过识别引擎来识别应用系统发送的连接请求,匹配定义的接入规则引擎数据库和安全规则引擎,根据安全规则引擎确定策略,执行相应的策略转发到接入引擎数据库,并将结果集返回,在此过程中,SQL威胁分析贯穿整个过程,分析SQL,针对威胁级别高的SQL语句做拦截并邮箱告警。
请参阅图2,策略管理模块分为服务控制和控制台管理两部分,服务控制是对系统做常规操作指令操作管理,控制台管理是对系统做图形化管理,可视化的配置策略和管理策略。
请参阅图3,规则引擎由接入规则引擎和业务规则引擎两部分组成,接入规则引擎是用来配置接入数据库和接入数据库端口,根绝识别引擎传入的应用系统连接请求来匹配数据库且定位业务引擎规则,业务规则引擎是用来配置常规策略的,例如阻断拦截,改写等策略,可灵活业务规则引擎配置。
请参阅图4,SQL威胁分析分为SQL监控管理和告警管理两部分组成,SQL监控管理,定义配置数据库高危指令,贯穿着当前整个系统做SQL做监控,一旦监控到有威胁数据库操作的SQL则启动告警管理配置实现邮箱或者微信拦截并告警
做为本发明的一个实施例:由图5可知,在本系统中,在策略管理的控制台管理中统一管理配置接入规则引擎、业务规则引擎和SQL威胁分析。通过识别引擎来识别应用系统发送的连接请求,匹配定义的接入规则引擎数据库和安全规则引擎,根据安全规则引擎确定策略,执行相应的策略转发到接入引擎数据库,并将结果集返回本系统,本系统再不做任何操作的传回应用系统。在此过程中,SQL威胁分析贯穿整个过程,分析SQL,针对威胁级别高的SQL语句做拦截并邮箱告警。在业务规则引擎策略的制定中,可采用系统本身策略也可自定义策略做配置转发限制。在限制中还能规范使用,实现统一的流程管理,平台化的对数据接入进行管理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种敏感SQL集中控制系统,包括:一系统,该系统由策略管理模块、识别引擎、接入规则引擎、业务规则引擎和威胁分析五个模块构成,其特征在于,通过识别引擎来识别应用系统发送的连接请求,匹配定义的接入规则引擎数据库和安全规则引擎,根据安全规则引擎确定策略,执行相应的策略转发到接入引擎数据库,并将结果集返回,在此过程中,SQL威胁分析贯穿整个过程,分析SQL,针对威胁级别高的SQL语句做拦截并邮箱告警。
2.如权利要求1所述的一种敏感SQL集中控制系统,其特征在于:策略管理模块分为服务控制和控制台管理两部分,服务控制是对系统做常规操作指令操作管理,控制台管理是对系统做图形化管理,可视化的配置策略和管理策略。
3.如权利要求1所述的一种敏感SQL集中控制系统,其特征在于:规则引擎由接入规则引擎和业务规则引擎两部分组成,接入规则引擎是用来配置接入数据库和接入数据库端口,根绝识别引擎传入的应用系统连接请求来匹配数据库且定位业务引擎规则,业务规则引擎是用来配置常规策略的。
4.如权利要求1所述的一种敏感SQL集中控制系统,其特征在于:SQL威胁分析分为SQL监控管理和告警管理两部分组成,SQL监控管理,定义配置数据库高危指令,贯穿着当前整个系统做SQL做监控,一旦监控到有威胁数据库操作的SQL则启动告警管理配置实现邮箱或者微信拦截并告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010975089.9A CN112214372A (zh) | 2020-09-16 | 2020-09-16 | 一种敏感sql集中控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010975089.9A CN112214372A (zh) | 2020-09-16 | 2020-09-16 | 一种敏感sql集中控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112214372A true CN112214372A (zh) | 2021-01-12 |
Family
ID=74048931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010975089.9A Pending CN112214372A (zh) | 2020-09-16 | 2020-09-16 | 一种敏感sql集中控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112214372A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448007A (zh) * | 2008-12-31 | 2009-06-03 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御系统 |
| CN101526947A (zh) * | 2009-04-23 | 2009-09-09 | 山东中创软件商用中间件股份有限公司 | 应用正则表达式防sql注入技术 |
| CN102130965A (zh) * | 2011-04-13 | 2011-07-20 | 北京邮电大学 | 一种基于规则引擎的服务动态组合方法和系统 |
| CN103927243A (zh) * | 2013-01-15 | 2014-07-16 | 株式会社日立制作所 | 图形用户界面操作的监控方法和监控装置 |
| US20140222706A1 (en) * | 2007-10-19 | 2014-08-07 | Oracle International Corporation | Privacy Management Policy Hub |
| CN104008349A (zh) * | 2014-04-28 | 2014-08-27 | 国家电网公司 | 数据库安全访问控制方法和系统 |
| CN106789186A (zh) * | 2016-12-02 | 2017-05-31 | 山东中创软件商用中间件股份有限公司 | 一种规则管理方法及装置、ump监控系统及监控方法 |
| CN111444067A (zh) * | 2020-05-18 | 2020-07-24 | 湖南御家科技有限公司 | 一种基于规则引擎的配置化系统监控方法、装置及设备 |
| CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
-
2020
- 2020-09-16 CN CN202010975089.9A patent/CN112214372A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140222706A1 (en) * | 2007-10-19 | 2014-08-07 | Oracle International Corporation | Privacy Management Policy Hub |
| CN101448007A (zh) * | 2008-12-31 | 2009-06-03 | 中国电力科学研究院 | 一种结构化查询语言sql攻击防御系统 |
| CN101526947A (zh) * | 2009-04-23 | 2009-09-09 | 山东中创软件商用中间件股份有限公司 | 应用正则表达式防sql注入技术 |
| CN102130965A (zh) * | 2011-04-13 | 2011-07-20 | 北京邮电大学 | 一种基于规则引擎的服务动态组合方法和系统 |
| CN103927243A (zh) * | 2013-01-15 | 2014-07-16 | 株式会社日立制作所 | 图形用户界面操作的监控方法和监控装置 |
| CN104008349A (zh) * | 2014-04-28 | 2014-08-27 | 国家电网公司 | 数据库安全访问控制方法和系统 |
| CN106789186A (zh) * | 2016-12-02 | 2017-05-31 | 山东中创软件商用中间件股份有限公司 | 一种规则管理方法及装置、ump监控系统及监控方法 |
| CN111444067A (zh) * | 2020-05-18 | 2020-07-24 | 湖南御家科技有限公司 | 一种基于规则引擎的配置化系统监控方法、装置及设备 |
| CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN110443048A (zh) | 数据中心查数系统 | |
| CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
| CN114826880B (zh) | 一种数据安全运行在线监测系统 | |
| CN103646198A (zh) | 一种锁定移动终端工作区的方法、系统及装置 | |
| KR102160950B1 (ko) | 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법 | |
| CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
| CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
| CN108965208A (zh) | 基于相关性分析的日志审计方法 | |
| CN107506408A (zh) | 对海量事件分布式关联匹配的方法及系统 | |
| CN112350858A (zh) | 一种云端智能家居数据安全管理系统 | |
| CN109005156A (zh) | 账号共用的确定方法及装置 | |
| CN115499840A (zh) | 一种移动互联网用安全评估系统及方法 | |
| CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN112214372A (zh) | 一种敏感sql集中控制系统 | |
| CN108900328A (zh) | 一种电网网络数据安全测试系统及方法 | |
| CN116389089A (zh) | 一种安全运维方法及装置 | |
| CN107451468A (zh) | 一种控制设备的在线安全检测实现方法 | |
| CN112769815A (zh) | 一种智能工控安全监控与防护方法和系统 | |
| CN102298675B (zh) | 移动存储装置发送报警信号的方法及其系统 | |
| Kai | Risk Analysis of Industrial InternetIdentity System | |
| Wang et al. | Constructing a Security System for Classified Computer Information Using Distributed Parallel Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210112 |
|
| RJ01 | Rejection of invention patent application after publication |