CN115203712A - 基于云访问安全代理的数据库审计方法和装置 - Google Patents

基于云访问安全代理的数据库审计方法和装置 Download PDF

Info

Publication number
CN115203712A
CN115203712A CN202110388985.XA CN202110388985A CN115203712A CN 115203712 A CN115203712 A CN 115203712A CN 202110388985 A CN202110388985 A CN 202110388985A CN 115203712 A CN115203712 A CN 115203712A
Authority
CN
China
Prior art keywords
database
target
operation request
data operation
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110388985.XA
Other languages
English (en)
Inventor
王轩
董志强
李普金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110388985.XA priority Critical patent/CN115203712A/zh
Publication of CN115203712A publication Critical patent/CN115203712A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种基于云访问安全代理的数据库审计方法和装置,方法包括:接收应用服务加密发送的用于对数据库进行操作的数据操作请求,通过对数据操作请求中的用户身份标识和目标数据库标识对数据操作请求进行安全校验。在数据操作请求通过安全校验时,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路,以通过消息传输通路将应用服务发送至云访问安全代理的数据操作请求发送至目标数据库。云访问安全代理在发送数据操作请求时对数据操作请求进行采样,并对采样得到的数据操作请求进行审计得到审计结果。从而实现对数据库访问的实时审计,有效提高数据库的安全性和数据审计的可靠性。

Description

基于云访问安全代理的数据库审计方法和装置
技术领域
本公开一般涉及数据处理技术领域,具体涉及区块链技术领域,尤其涉及一种基于云访问安全代理的数据库审计方法和装置。
背景技术
随着各行业对数据安全的重视程度不断提升,对数据库审计作为一种对数据库访问和操作行为、操作内容进行采集、分析和合规管理的方式而被广泛应用。
但是,相关技术中依赖于数据库操作产生的日志,在数据库日志写入失败、日志存储介质损坏等环境下,无法实现审计目的。
发明内容
鉴于现有技术中的上述缺陷或不足,期望提供一种基于云访问安全代理的数据库审计方法、装置、设备和介质,提供高效、实时、可靠的审计方案。
第一方面,本申请实施例提供了一种基于云访问安全代理的数据库审计方法,所述云访问安全代理设置于应用服务和数据库之间,所述方法包括:
接收应用服务加密发送的用于对目标数据库进行操作的数据操作请求,所述数据操作请求包括用户身份标识和目标数据库标识;
基于所述用户身份标识和所述目标数据库标识,对所述数据操作请求进行安全校验;
在所述数据操作请求通过所述安全校验时,基于所述用户身份标识和所述目标数据库标识,建立所述云访问安全代理与所述目标数据库之间的消息传输通路;
基于所述消息传输通路将所述数据操作请求发送至所述目标数据库,并对所述数据操作请求进行采样,得到待审计的目标数据操作请求;
基于审计规则对所述目标数据操作请求进行解析,得到审计结果。
第二方面,本申请实施例提供了一种云访问安全代理装置,,所述云访问安全代理设置于应用服务和数据库之间,所述云访问安全代理包括:
接收模块,用于接收应用服务加密发送的用于对目标数据库进行操作的数据操作请求,所述数据操作请求包括用户身份标识和目标数据库标识;
校验模块,用于基于所述用户身份标识和所述目标数据库标识,对所述数据操作请求进行安全校验;
通道建立模块,用于在所述数据操作请求通过所述安全校验时,基于所述用户身份标识和所述目标数据库标识,建立与所述目标数据库之间的消息传输通路;
采样模块,用于基于所述消息传输通路将所述数据操作请求发送至所述目标数据库,并对所述数据操作请求进行采样,得到待审计的目标数据操作请求;
审计模块,用于基于审计规则对所述目标数据操作请求进行解析,得到审计结果。
第三方面,本申请实施例提供了一种基于云访问安全代理的数据库审计系统,包括:数据库,用于存储数据信息;执行所述基于云访问安全代理的数据库审计方法的云访问安全代理。
第四方面,本申请实施例提供了一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行该程序时实现如本申请实施例描述的方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例描述的方法。
本申请在应用服务与数据库之间设置云访问安全代理,在用户通过应用服务接入数据库时,先确定用户具有访问云访问安全代理和数据库的权限,并在用户同时具有访问云访问安全代理和数据库的权限时,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路,以通过消息传输通路将应用服务发送至云访问安全代理的数据操作请求发送至目标数据库,并使得云访问安全代理能够在发送数据操作请求时对数据操作请求进行采样和审计。从而实现在应用服务访问数据库时进行实时审计,无需依赖和等待数据库操作日志写入文件,提高数据库的安全性和数据审计的可靠性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是相关技术中一个示意性数据审计系统的结构示意图;
图2是本申请一个示意性实施例提供的数据库审计系统的结构示意图;
图3是本申请实施例提供的一种基于云访问安全代理的数据库审计方法的流程图;
图4是本申请实施例提供的一种基于云访问安全代理的数据库审计方法实施例的流程图;
图5是本申请实施例提供的一种基于云访问安全代理的数据库审计方法的流程图;
图6是本申请实施例提供的一种基于云访问安全代理的数据库审计方法的流程图;
图7是本申请实施例提供的一种基于云访问安全代理的数据库审计方法的流程图;
图8是本申请实施例提供的一种基于云访问安全代理的数据库审计方法的流程图;
图9是本申请实施例提供的一种基于云访问安全代理的数据库审计装置的结构示意图;
图10是本申请实施例提出的一种基于云访问安全代理的数据库审计系统的方框示意图;
图11示出了适于用来实现本申请实施例的电子设备或服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
为了便于对本申请实施例提供的方法的理解,首先对本申请实施例中涉及的名词进行介绍。
云计算(Cloud Computing)是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以随时获取,按需使用,随时扩展,按使用付费。本申请实施例中的云访问安全代理和数据库设置在云服务侧。
云访问安全代理(Cloud Access Security Broker,CASB),云端服务和数据的安全接入中心,配置了数据和安全策略的软件平台。云访问安全代理为云应用的数据保护和数据治理提供通用的访问控制点服务。云访问安全代理CASB为用户提供一致的策略安全地接入不同的云应用,可以进行认证、授权、数据加密、敏感数据发现、恶意行为检测和防护等能力,对云中的数据进行有效的保护。用户可以通过云访问安全代理CASB实现应用发现、数据保护、威胁检测、合规性等全面的数据安全服务。
数据库审计(Database auditing)对数据库的访问和操作行为、操作内容进行采集、分析和合规管理的过程。
访问管理服务(Cloud Access Management,CAM),通过身份管理和策略管理实现云账户和云应用的访问权限控制和资源权限控制。
相关技术中,如图1所示,应用服务直接访问数据库,数据库内每个数据子仓库都具有相应的日志文件,日志文件用于记录应用服务对该数据子仓库的操作信息,审计服务被配置于对日志文件进行审计,即,审计服务可按照预设频率从数据库提取每个数据子仓库的日志文件,预设频率可为小时、日等,审计服务获取到数据子仓库的日志文件后,对日志文件中的操作记录根据对应的审计规则进行审计分析,得到审计结果,并将审计结果发送至用户终端。因此,在数据库的日志功能异常时,例如日志写入失败,或者日志存储介质损坏等,则无法审计,严重威胁到数据库中的数据安全。而且,由于审计服务需要主动从数据库获取日志文件,因此,在新增数据库或数据子仓库时,需要主动配置相应的审计规则,在配置过程中容易出现遗漏,造成审计缺失的风险。
基于上述问题,本申请提出一种基于云访问安全代理的数据库审计方法、装置、设备和介质。
图2是本申请一个示意性实施例提供的数据审计系统的结构示意图。该数据审计系统在应用服务和数据库之间设置有云访问安全代理,云访问安全代理中设置有审计系统模块。其中,审计系统模块是运行于云访问安全代理的审计程序,提供实时审计数据库操作、审计接入权限控制、审计规则管理等审计相关功能模块。审计处理模块用于根据用户已配置的规则,对所有的数据库操作行为和内容进行操作类型判断和分类、危险程度分析等审计操作的执行模块;规则管理模块,用于判断数据库操作记录是否需要被审计,存储数据库操作的操作行为和内容分析以及对操作行为进行分类和分级的规则列表;资源管理模块,用于管理所有的已接入的应用服务、数据库等用户应用和数据库资源;权限管理模块,用于管理应用服务对审计系统、数据库的访问权限和审计权限;审计统计模块,用于对数据操作的实时审计结果进行分类、汇总和分析的综合统计管理;威胁告警模块,用于对存在威胁的审计记录进行综合管理和监控告警,及时的通知到用户。
进一步地,用户还可通过管理控制台进行用户变更、应用审计规则、应用程序、审计系统和数据库的权限分配、查看审计结果和审计统计信息、处理威胁操作行为等操作。
其中,数据审计系统还包括访问管理服务CAM,云访问安全代理可通过访问管理服务CAM验证应用服务接入云访问安全代理的权限,还可验证应用服务对数据库进行数据操作的权限等。
其中,云访问安全代理可为代理服务器,例如可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。数据库用于接收并存储云访问安全代理转发的应用服务发送的数据,以及根据云访问安全代理转发的应用服务发送的数据操作请求对存储的数据进行查询、修改和删除等操作。
图3是本申请实施例提供的一种基于云访问安全代理的数据库审计方法的流程图。其中,需要说明的是,本实施例的基于云访问安全代理的数据库审计方法的执行主体为基于云访问安全代理的数据库审计装置,基于云访问安全代理的数据库审计装置设置于云访问安全代理服务器中,云访问安全代理服务器是位于应用服务客户端和数据库之间的代理服务器。
如图3所示,该基于云访问安全代理的数据库审计方法,包括:
步骤101,接收应用服务加密发送的用于对目标数据库进行操作的数据操作请求,数据操作请求包括用户身份标识和目标数据库标识。
其中,应用服务是需要访问数据库的应用程序和/或访问工具。用户身份标识可以时用户的邮箱、手机号或在应用程序中使用的账号等,目标数据库标识可以为数据表的表名。
用户通过在应用服务的交互界面上进行操作,以输入对目标数据库的数据操作请求,例如,用户对应用服务的交互界面上的“修改密码”控件进行选择操作,则是输入对应用服务对应的密码数据库中存储该用户密码的数据字段进行改写的数据操作请求。
应用服务在采集到用户通过交互界面输入的数据操作请求之后,将数据操作请求发送至云访问安全代理。
步骤102,基于用户身份标识和目标数据库标识,对数据操作请求进行安全校验。
需要说明的是,应用服务在通过云访问安全代理对与云访问安全代理连接的数据库进行数据操作时,需要用户具有接入云访问安全代理的权限,且具有访问数据库的权限。因此,需要进行安全校验,以验证用户具有接入云访问安全代理的权限,且用户具有访问数据库的权限。
在一个或多个实施例中,用户身份标识包括用户用于访问云访问安全代理的第一身份标识和用于访问数据库的第二身份标识,如图4所示,步骤102,基于用户身份标识和目标数据库标识,对数据操作指令进行安全校验,包括:
步骤1021,根据第一身份标识和预存的第一授权关系,确定用户具有访问云访问安全代理的权限,第一授权关系包括第一身份标识和用户访问云访问安全代理的权限之间的对应关系。
可选的,第一授权关系包括用户身份标识和对应的权限标识,例如用户A——有权限、用户B——无权限等,在用户标识对应的权限标识为“有权限”或“有权”(具体标识内容本申请在此不作限定)时确定用户具有访问云访问安全代理的权限,或者,第一授权关系包括用户身份标识和对应的账户密码,在第一身份标识与用户标识和对应的账户密码均匹配时,确定用户具有访问云访问安全代理的权限。
步骤1022,根据云访问安全代理与数据库之间的关联关系,确定用户可以访问的候选数据库集合。
可选的,云访问安全代理与一定的数据库具有关联关系,例如,云访问安全代理可链接有数据库a、数据库b和数据库c,在用户具有访问云访问安全代理的权限时,则包含与云访问安全代理相连的数据库a、数据库b和数据库c的数据库集合即为用户可以访问的候选数据库集合,即,数据库a、数据库b和数据库c为用户可访问的候选数据库。
步骤1023,在候选数据库集合包含目标数据库标识时,根据第二身份标识和预存的第二授权关系,确定用户对目标数据库具有访问权限,第二授权关系包括第二身份标识和用户访问目标数据库的权限之间的对应关系。
其中,目标数据库是候选数据库集合中的一个数据库,例如,目标数据库可以为数据库a、数据库b或者数据库c。
可选的,第二授权关系包括用户身份标识和对应的权限标识,例如用户A——有权限、用户B——无权限等,在用户标识对应的权限标识为“有权限”或“有权”(具体标识内容本申请在此不作限定)时确定用户具有访问目标数据库的权限,或者,第二授权关系包括用户身份标识和对应的账户密码,在第一身份标识与用户标识和对应的账户密码均匹配时,确定用户具有访问目标数据库的权限。
可选的,在实现应用服务访问权限控制的基础上,为实现根据不同的场景、不同的需求,设定不同的访问控制策略,进而满足数据安全的各种要求,如限制用户的IP地址、地理位置、访问时间段和访问次数中的至少一项,更具体地讲,如限制预设IP地址的用户、某些地理位置范围内的用户具有访问权限,或者限制用户在预设的访问时间段才具有访问权限,或者限制用户的访问次数,如果在预设的时间段内超过预设的访问次数,则用户没有访问权限。
步骤103,在数据操作请求通过安全检验时,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路。
也就是说,在数据操作请求通过安全校验时,确定用户具有访问目标数据库的权限,此时,建立云访问安全代理与目标数据库之间的消息传输通路,以替代传统的应用服务与目标数据库之间的消息通路,使得数据操作请求能够从云访问安全代理发送至目标数据库,以实现用户对目标数据库操作的目的。
其中,云访问安全代理与目标数据库之间的消息传输通路的传输方式,与传统的应用服务与数据库之间的传输方式相同。
步骤104,基于消息传输通路将数据操作请求发送至目标数据库,并对数据操作请求进行采样,得到待审计的目标数据操作请求。
步骤105,基于审计规则对目标数据操作请求进行解析,得到审计结果。
具体而言,在应用服务与数据库之间设置云访问安全代理,在用户通过应用服务接入数据库时,先确定用户具有访问云访问安全代理和数据库的权限,并在用户同时具有访问云访问安全代理和数据库的权限时,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路,以通过消息传输通路将应用服务发送至云访问安全代理的数据操作请求发送至目标数据库,并使得云访问安全代理能够在发送数据操作请求时对数据操作请求进行采样和审计。从而实现在应用服务访问数据库时进行实时审计,无需依赖和等待数据库操作日志写入文件,提高数据库的安全性和数据审计的可靠性。
在一个或多个实施例中,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路,包括:基于第二身份标识和预设的第一映射关系,获取第三身份标识,第三身份标识为云访问安全代理用于访问目标数据库的标识信息,利用第三身份标识,建立云访问安全代理与目标数据之间的消息传输通路。
其中,第三身份标识可由用户设置,即,用户在配置云访问安全代理时,同时设置用户基于云访问安全代理访问与云访问安全代理相连的各数据库所用的第三身份标识。
由此,通过使用云访问安全代理访问数据库的独立身份标识,能够进一步确保对数据库访问的安全性。
在一个或多个实施例中,如图5所示,基于消息传输通路将数据操作请求发送至目标数据库,并对数据操作请求进行采样,得到待审计的目标数据操作请求,包括:
步骤1041,基于用户身份标识,确定用户启用云访问安全代理提供的审计功能。
可选的,云访问安全代理先根据用户身份标识确定用户是否开通云访问安全代理的审计权限,其中审计权限为用户是否启用云访问安全代理对应用服务和/或数据库操作的审计功能,在用户启用云访问安全代理对应用服务和/或数据库操作的审计功能,则具有审计权限,若用户未启用云访问安全代理对应用服务和/或数据库操作的审计功能,则不具有审计权限。
步骤1042,获取用户身份标识对应的审计配置信息,并按照审计配置信息加载审计配置。
其中,审计配置可为执行审计功能的程序,具体地,可为如图2所示的审计处理模块。审计配置信息可包括但与限于用户设定的审计规则和云访问安全代理服务器模块加载的规则信息等。
在一个或多个实施例中,审计配置信息包括审计权限,获取与用户身份标识对应的审计配置信息,并按照审计配置信息加载审计配置,包括:根据审计配置西悉尼,识别云访问安全代理对用户身份信息、应用服务和目标数据库标识的审计权限,在云访问安全代理对用户身份信息、应用服务和目标数据库标识均具有审计权限时,按照审计配置信息加载审计配置。
也就是说,用户还可以提前对审计权限进行配置,审计权限可包括但不限于用户身份信息、应用服务和目标数据库标识。换言之,在确定出用户身份信息、应用服务和目标数据库标识时,可与用户提前配置的审计权限进行校验,如果校验通过,则说明需要对当前的用户通过当前应用服务对目标数据库的操作进行伸进,如果任一审计权限不通过,则无需对数据操作请求进行审计,即,无需加载审计配置。
应当理解的是,即使云访问安全代理对数据操作指令不具有审计权限,不影响应用服务通过云访问安全代理向数据库发送数据操作指令,即,在云访问安全代理不具有审计权限时,仅仅是对应用服务对数据库的操作没有审计权限。
步骤1043,利用审计配置,基于采样规则对数据操作请求进行采样,得到所述目标数据操作请求。
其中,审计配置中包括采样规则,采样规则可为用户通过管理控制台根据对数据的不同审计需求、不同业务场景和数据操作等进行配置,可选的,可根据不同的需求设置不同的采样粒度,例如,全采样、随机采样、等距采样、分层采样等。其中,全采样为对全部数据操作请求进行采样并审计,随机采样为提取随机的数据操作请求并审计,等级抽样为按照一定比例等距离审计数据操作请求,分层抽样为将数据操作请求分成多个数据块,对每个数据块内的数据操作请求审计不同比例数量的数据。
举例来说,对于用户存储账号密码、交易信息的数据操作请求,可配置为全采样,以便于提高数据的安全性。而对于用于数据查询的数据操作请求,可配置为随机采样以减少审计频率等。
由此,本申请可根据用户是否开启审计功能,对审计配置进行可插拔式和/或动态配置加载的方式进行控制,提高云访问安全代理数据的整体处理效率和灵活性,且不影响原有数据库的读写效率。
如图6所示,基于审计规则对目标数据操作请求进行解析,得到审计结果,包括:
步骤201,对目标数据操作请求进行解析,得到目标数据操作请求对应的目标操作行为和目标数据。
在一个或多个实施例中,如图7所示,步骤201,对目标数据操作请求进行解析,得到目标数据操作请求对应的目标操作行为和目标数据,包括:
步骤2011,基于消息传输通路,获取云访问安全代理与目标数据库之间的通信协议规则。
步骤2012,基于通信协议规则对目标数据操作请求进行解析,得到原始数据操作请求。
可选的,可利用云访问安全代理与数据库之间的通信协议来对目标数据操作请求进行解析,以得到原始数据操作请求。其中,原始数据操作请求为用户通过应用服务交互界面输入的请求信息。
步骤2013,对原始数据操作请求进行文字识别,得到原始数据操作请求对应的目标操作行为和目标数据。
在一个或多个实施例中,对原始数据操作请求进行文字识别,得到原始数据操作请求对应的目标操作行为和目标数据,包括:对原始数据操作请求中的字符进行文字识别,从原始数据操作请求的字符中确定用于表达操作行为的第一字段,将表达操作行为的第一字段对应的操作行为作为目标操作行为,根据目标操作行为对应的语义规则,确定用于表达目标数据的第二字段,基于审计规则对第二字段进行解析,确定目标数据。
其中,目标操作行为可为对数据表中字段的动作行为,例如查询、修改、新增、删除等。实施的目标数据即为操作行为施加的数据库表中的字段,其中,目标数据可为目标操作行为施加的数据,可选的,包括数据库表中特定或全部字段、特定类型的字段、具有关联性的字段等。
可选的,云访问安全代理可通过数据库逐条读取并执行原始数据操作请求时,通过对原始数据操作请求文本的识别,来实现对原始数据操作请求的识别。例如,在数据操作指令使用python编程语言时,数据操作指令为“print(list2[:])”,此时,通过对原始数据操作请求中的字符进行文字识别,可以得到原始数据操作请求的字符中用于表达操作行为的第一字段为“print”,该字段对应的操作行为查询,说明原始数据操作请求对应的目标操作行为查询,然后根据目标操作行为对应的语义规则确定用于表达目标数据第二字段,其中,语义规则为编程语言的编写规则。在本例中,“print”对应语义规则为查询括号内的记载的数据信息,因此,可得到用于表达目标数据的第二字段“list2[:]”,说明目标数据为第二数据库表中的全部元素。
在一个或多个实施例中,审计规则包括匹配规则,匹配规则用于指示对第二字段进行解析的方式,基于审计规则对第二字段进行解析,确定目标数据,包括:基于匹配规则对第二字段进行解析,得到第二字段对应的参考数据,利用参考数据与数据库中记载的候选数据进行匹配,将与参考数据相匹配的候选数据,作为目标数据。
可以理解的是,上述示例“print(list2[:])”中,第二字段通过正则表达式表达出参考数据为第二数据库表,此时,第二数据库表中全部数据与正则表达是相匹配,因此,可将第二数据库表中的全部数据作为目标数据。在一个或多个实施例中,审计规则中可记载有需要被审计的参考字段,其中参考字段可通过字符的方式记录在审计规则中,也可是将参考字段的编码记录在审计规则中,或者是将参考字段的正则表达式记录在审计规则中,用户可通过管理控制台根据操作的数据源的特定自定义针对性的审计规则,本申请在此不做限定。其中,目标数据与参考字段的匹配,也可采用匹配规则进行匹配,以便于从审计规则中确定出危险类型。
举例来说,在审计规则中记载的是字符时,如果目标数据为ABC且参考字符为ABC时,则确定当前审计规则中的参考字符与目标数据匹配,如果参考字符为ABD,则确定当前审计规则中的参考字符与目标数据匹配;在审计规则中记载的是参考数据的编码时,可同时提取审计规则中的参考数据的编码和匹配规则,其中,匹配规则包括针对参考数据和目标数据是解码后进行匹配,还是在编码状态进行匹配,例如,如果参考数据记载的是经过GBK(Chinese Internal Code Specification,汉字内码扩展规范)编码的“中文”两个字,目标数据是经过UTF-8(8-bit Unicode Transformation Format,针对Unicode的可变长度字符编码)编码的“中文”两个字,此时,如果审计规则记载的匹配规则是解码后进行匹配,则确定参考数据和目标数据匹配,如果审计规则记载的匹配规则是对编码进行匹配,则因为两种编码方式不同编码结果不同,所以参考数据和目标数据不匹配。优选的,为了降低审计规则的复杂度以及匹配过程的复杂度,通常仅对实际记载的参考数据和目标数据进行比较,此时,经过GBK编码的参考数据与经过UTF-8编码的目标数据不匹配。
审计规则中记载的参考数据还可包括正则表达式,例如,审计规则中记载的参考数据为[a-z]表示参考数据与a~z之间的小写字母匹配,此时目标数据由a~z中的至少一个小写字母组成,则确定参考数据与目标数据匹配,如果目标数据中包含至少一个a~z中的大写字母,例如“A”,则确定参考数据与目标数据不匹配。
步骤202,基于目标操作行为和目标数据,在审计规则提供的第二映射关系中匹配对应的危险类型。
需要说明的是,审计规则中包含有目标操作行为、目标数据与危险类型之间的映射关系,在获取到目标操作行为和施加的目标数据后,可根据映射关系确定出危险类型。
可选的,审计规则可通过映射表格的方式进行存储,例如表1:
表1
Figure BDA0003016167320000151
通过对目标操作行为和目标数据的匹配识别,能够从审计规则中匹配到对应的危险类型。
可选的,审计规则中记载的危险类型可针对同一字段的不同长度,例如,如果对数据库表B的字段A插入数据,如果插入的字符小于10个,确定该数据操作指令为低危,如果插入的字符大于等于10个,则确定该数据操作指令为中危,或者对数据库表C的删除操作都定义为高危等。
可选的,由于针对同一段目标数据的操作行为有限,但同一个操作行为实施的目标数据无限,则通过目标数据的匹配可以加快从审计规则提供的第二映射关系中匹配对应的危险类型的速度。
可选的,危险类型可根据不同危险程度和/或错误类型进行划分,例如,危险等级可包括低危、中危、高危、严重等,或者提示、警告、错误等。
步骤203,根据目标操作行为、目标数据和危险类型,生成审计结果。
也就是说,在根据原始数据操作请求对数据库进行操作之后,即可根据目标操作行为、目标数据和危险类型,生成相应的审计结果。应当理解的是,审计结果还可包括操作时间、操作的应用服务信息等。例如,一条审计信息可为:2020-10-10 10:10:10应用程序X删除了数据库表B中id为100的数据,匹配到审计规则C,确定为危险行为。
可选的,云访问安全代理还可按照预设频率对审计结果进行统计,即,对审计结果进行汇总统计。例如,对至少一个数据库一天内的危险操作次数将进行统计,或者每个应用服务对任一数据库的操作次数等。
作为一个可行实施例,在得到审计结果之后,还包括:根据审计结果从审计规则中查询对应的提醒方式,在按照提醒方式发送提醒信息时,根据提醒信息更新审计结果。
其中,提醒方式可包括邮件、短信、电话、即时通讯工具等多种信息通知方式,用户通过管理控制台可以根据危险等级设置危险类型和至少一种提醒方式之间的映射关系。例如,在危险类型为低危时,提醒方式可为邮件通知,在危险类型为中危时,提醒方式可为邮件和短信同时通知,在危险类型为高危时,提醒方式可为电话通知等。
应当理解的是,云访问安全代理在根据危险类型向用户发送提醒信息时,根据提醒信息更新审计结果,例如,2020-10-10 10:10:10应用程序X删除了数据库表B中id为100的数据,匹配到审计规则C,确定为危险行为,已通过短信进行通知。
作为一个具体实施例,如图8所示,基于云访问安全代理的数据库审计方法,包括以下步骤:
步骤301,应用服务向云访问安全代理发送对目标数据库进行数据操作的数据操作请求。
步骤302,云访问安全代理接收数据操作请求,并对数据操作请求进行解析得到用户身份标识和目标数据库标识。
步骤303,云访问安全代理访问云访问管理服务CAM,以判断用户身份信息是否同时具有访问云访问安全代理的权限和目标数据库的权限。
如果是,则执行步骤304,如果否,则结束。
其中,在用户身份标识同时具有访问云访问安全代理的权限和目标数据库的权限通过时,云访问安全代理以应用服务访问数据库相同的方式将应用服务发送的数据操作请求存入数据库。
步骤304,云访问安全代理根据用户身份标识,确定用户是否启用云访问安全代理的审计功能。
如果启用,则执行步骤305,如果未启用,则结束。
步骤305,云访问安全代理根据用户身份信息、应用服务和目标数据库确定对当前接收到的数据操作请求是否具有审计权限。
如果有,则执行步骤306,如果没有,则结束。
步骤306,云访问安全代理获取用户身份标识对应的审计配置信息,并按照审计配置信息加载审计配置。
步骤307,云访问安全代理利用审计配置,基于采样规则对应的采样粒度对数据操作请求进行采样,得到目标数据操作请求。
步骤308,云访问安全代理利用审计配置,对目标数据操作请求进行解析,得到目标数据操作请求对应的目标操作行为和目标数据。
步骤309,云访问安全代理利用审计配置,根据目标操作行为和目标数据,在审计规则提供第二映射关系中匹配对应的危险类型。
步骤310,云访问安全代理根据目标操作行为、目标数据和危险类型,生成审计结果和统计信息。
步骤311,根据审计结果进行危险行为通知。
应当注意,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。
综上所述,本申请在应用服务与数据库之间设置云访问安全代理,在用户通过应用服务接入数据库时,先确定用户具有访问云访问安全代理和数据库的权限,并在用户同时具有访问云访问安全代理和数据库的权限时,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路,以通过消息传输通路将应用服务发送至云访问安全代理的数据操作请求发送至目标数据库,并使得云访问安全代理能够在发送数据操作请求时对数据操作请求进行采样和审计。从而实现在应用服务访问数据库时进行实时审计,无需依赖和等待数据库操作日志写入文件,提高数据库的安全性和数据审计的可靠性。
进一步参考图9,图9是本申请实施例提供的一种云访问安全代理装置的结构示意图。
如图9所示,本申请实施例的云访问安全代理装置10,包括:
接收模块11,用于接收应用服务加密发送的用于对目标数据库进行操作的数据操作请求,所述数据操作请求包括用户身份标识和目标数据库标识;
校验模块12,用于基于所述用户身份标识和所述目标数据库标识,对所述数据操作请求进行安全校验;
通道建立模块13,用于在所述数据操作请求通过所述安全校验时,基于所述用户身份标识和所述目标数据库标识,建立与所述目标数据库之间的消息传输通路;
采样模块14,用于基于所述消息传输通路将所述数据操作请求发送至所述目标数据库,并对所述数据操作请求进行采样,得到待审计的目标数据操作请求;
审计模块15,用于基于审计规则对所述目标数据操作请求进行解析,得到审计结果。
在一些实施例中,所述用户身份标识包括用户用于访问所述云访问安全代理的第一身份标识和用于访问所述数据库的第二身份标识,校验模块12,还用于:
根据所述第一身份标识和预存的第一授权关系,确定所述用户具有访问所述云访问安全代理的权限,所述第一授权关系包括所述第一身份标识和所述用户访问所述云访问安全代理的权限之间的对应关系;
根据所述云访问安全代理与所述数据库之间的关联关系,确定所述用户可以访问的候选数据库集合;
在所述候选数据库集合包含所述目标数据库标识时,根据所述第二身份标识和预存的第二授权关系,确定所述用户对所述目标数据库具有访问权限,所述第二授权关系包括所述第二身份标识和所述用户访问所述目标数据库的权限之间的对应关系。
在一些实施例中,通道建立模块13,还用于:
基于所述第二身份标识和预设的第一映射关系,获取第三身份标识,所述第三身份标识为所述云访问安全代理用于访问所述目标数据库的标识信息;
利用所述第三身份标识,建立所述云访问安全代理与所述目标数据库之间的消息传输通路。
在一些实施例中,采样模块14,还用于:
基于所述用户身份标识,确定所述用户启用所述云访问安全代理提供的审计功能;
获取与所述用户身份标识对应的审计配置信息,并按照所述审计配置信息加载审计配置;
利用所述审计配置,基于采样规则对所述数据操作请求进行采样,得到所述目标数据操作请求。
在一些实施例中,审计模块15,还用于
对所述目标数据操作请求进行解析,得到所述目标数据操作请求对应的目标操作行为和目标数据;
基于所述目标操作行为和所述目标数据,在所述审计规则提供的第二映射关系中匹配对应的危险类型;
根据所述目标操作行为、所述目标数据和所述危险类型,生成所述审计结果。
在一些实施例中,审计模块15,还用于:
基于所述消息传输通路,获取所述云访问安全代理与所述目标数据库之间的通信协议规则;
基于所述通信协议规则对所述目标数据操作请求进行解析,得到原始数据操作请求;
基于所述匹配规则对所述原始数据操作请求进行识别,得到所述目标操作行为和所述目标数据。
在一些实施例中,审计模块15,还用于:
基于所述审计规则,获取与所述审计结果对应的提醒方式;
按照所述提醒方式发送提醒信息,并根据所述提醒信息更新所述审计结果。
应当理解,云访问安全代理装置10中记载的诸单元或模块与参考图3描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作和特征同样适用于云访问安全代理装置10及其中包含的单元,在此不再赘述。云访问安全代理装置10可以预先实现在电子设备的浏览器或其他安全应用中,也可以通过下载等方式而加载到电子设备的浏览器或其安全应用中。云访问安全代理装置10中的相应单元可以与电子设备中的单元相互配合以实现本申请实施例的方案。
在上文详细描述中提及的若干模块或者单元,这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
综上所述,本申请在应用服务与数据库之间设置云访问安全代理,在用户通过应用服务接入数据库时,先确定用户具有访问云访问安全代理和数据库的权限,并在用户同时具有访问云访问安全代理和数据库的权限时,基于用户身份标识和目标数据库标识,建立云访问安全代理与目标数据库之间的消息传输通路,以通过消息传输通路将应用服务发送至云访问安全代理的数据操作请求发送至目标数据库,并使得云访问安全代理能够在发送数据操作请求时对数据操作请求进行采样和审计。从而实现在应用服务访问数据库时进行实时审计,无需依赖和等待数据库操作日志写入文件,提高数据库的安全性和数据审计的可靠性。
图10是本申请实施例提出的一种基于云访问安全代理的数据库审计系统的方框示意图,如图10所示,本申请提出的基于云访问安全代理的数据库审计系统包括数据库20和云访问安全代理30。
其中,数据库20用于存储数据信息,云访问安全代理20执行前述基于云访问安全代理的数据库审计方法。
下面参考图11,图11示出了适于用来实现本申请实施例的电子设备或服务器的计算机系统的结构示意图,
如图11所示,计算机系统1000包括中央处理单元(CPU)1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM1003中,还存储有系统的操作指令所需的各种程序和数据。CPU1001、ROM1002以及RAM1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
以下部件连接至I/O接口1005;包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本申请的实施例,上文参考流程图图2描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以为的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作指令。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,前述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以不同于附图中所标注的顺序发生。例如,两个连接表示的方框实际上可以基本并行地执行,他们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作指令的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括接收模块、获取模块、审计模块。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定,例如,接收模块,还可以被描述为“接收所述客户端发送的数据操作请求,所述数据操作请求包括授权认证信息和数据操作指令”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的,也可以是单独存在,而未装配入该电子设备中的。上述计算机可读存储介质存储有一个或多个程序,当上述程序被一个或者一个以上的处理器用来执行描述于本申请的基于云访问安全代理的数据库审计方法。
综上所述,本申请通过设置云访问安全代理,并将云访问安全代理接入应用服务和数据库之间,使得云访问安全代理能够监控应用服务对数据库的数据操作,从而实现在应用服务访问数据库时进行实时审计,无需依赖和等待数据库操作日志写入文件,提高数据库的安全性和数据审计的可靠性。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (15)

1.一种基于云访问安全代理的数据库审计方法,其特征在于,所述方法包括:
接收应用服务加密发送的用于对目标数据库进行操作的数据操作请求,所述数据操作请求包括用户身份标识和目标数据库标识;
基于所述用户身份标识和所述目标数据库标识,对所述数据操作请求进行安全校验;
在所述数据操作请求通过所述安全校验时,基于所述用户身份标识和所述目标数据库标识,建立所述云访问安全代理与所述目标数据库之间的消息传输通路;
基于所述消息传输通路将所述数据操作请求发送至所述目标数据库,并对所述数据操作请求进行采样,得到待审计的目标数据操作请求;
基于审计规则对所述目标数据操作请求进行解析,得到审计结果。
2.根据权利要求1所述的方法,其特征在于,所述用户身份标识包括用户用于访问所述云访问安全代理的第一身份标识和用于访问所述数据库的第二身份标识,所述基于所述用户身份标识和所述目标数据库标识,对所述数据操作请求进行安全校验,包括:
根据所述第一身份标识和预存的第一授权关系,确定所述用户具有访问所述云访问安全代理的权限,所述第一授权关系包括所述第一身份标识和所述用户访问所述云访问安全代理的权限之间的对应关系;
根据所述云访问安全代理与所述数据库之间的关联关系,确定所述用户可以访问的候选数据库集合;
在所述候选数据库集合包含所述目标数据库标识时,根据所述第二身份标识和预存的第二授权关系,确定所述用户对所述目标数据库具有访问权限,所述第二授权关系包括所述第二身份标识和所述用户访问所述目标数据库的权限之间的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述基于所述用户身份标识和所述目标数据库标识,建立所述云访问安全代理与所述目标数据库之间的消息传输通路,包括:
基于所述第二身份标识和预设的第一映射关系,获取第三身份标识,所述第三身份标识为所述云访问安全代理用于访问所述目标数据库的标识信息;
利用所述第三身份标识,建立所述云访问安全代理与所述目标数据库之间的消息传输通路。
4.根据权利要求1所述的方法,其特征在于,所述基于所述消息传输通路将所述数据操作请求发送至所述目标数据库,并对所述数据操作请求进行采样,得到待审计的目标数据操作请求,包括:
基于所述用户身份标识,确定所述用户启用所述云访问安全代理提供的审计功能;
获取与所述用户身份标识对应的审计配置信息,并按照所述审计配置信息加载审计配置;
利用所述审计配置,基于采样规则对所述数据操作请求进行采样,得到所述目标数据操作请求。
5.根据权利要求4所述的方法,其特征在于,所述审计配置信息包括审计权限,所述获取与所述用户身份标识对应的审计配置信息,并按照所述审计配置信息加载审计配置,包括:
利用所述审计配置信息,识别所述云访问安全代理对所述用户身份信息、所述应用服务和所述目标数据库标识的审计权限,
在所述云访问安全代理对所述用户身份信息、所述应用服务和所述目标数据库标识均具有审计权限时,按照所述审计配置信息加载所述审计配置。
6.根据权利要求4所述的方法,其特征在于,所述采样规则包括采样频率,所述利用所述审计配置,基于采样规则对所述数据操作请求进行采样,得到所述目标数据操作请求,包括:
基于所述采样规则,获取所述采样规则对应的采样粒度;
按照所述采样粒度,在将所述数据操作请求发送至所述目标数据库时进行采样,得到所述目标数据操作请求。
7.根据权利要求1所述的方法,其特征在于,所述基于审计规则对所述目标数据操作请求进行解析,得到审计结果,包括:
对所述目标数据操作请求进行解析,得到所述目标数据操作请求对应的目标操作行为和目标数据;
基于所述目标操作行为和所述目标数据,在所述审计规则提供的第二映射关系中匹配对应的危险类型;
根据所述目标操作行为、所述目标数据和所述危险类型,生成所述审计结果。
8.根据权利要求7所述的方法,其特征在于,所述对所述目标数据操作请求进行解析,得到所述目标数据操作请求对应的目标操作行为和目标数据,包括:
基于所述消息传输通路,获取所述云访问安全代理与所述目标数据库之间的通信协议规则;
基于所述通信协议规则对所述目标数据操作请求进行解析,得到原始数据操作请求;
对所述原始数据操作请求进行文字识别,得到所述原始数据操作请求对应的所述目标操作行为和所述目标数据。
9.根据权利要求8所述的方法,其特征在于,所述对所述原始数据操作请求进行文字识别,得到所述原始数据操作请求对应的所述目标操作行为和所述目标数据,包括:
对所述原始数据操作请求中的字符进行文字识别,从所述原始数据操作请求的字符中确定用于表达操作行为的第一字段,将所述表达操作行为的第一字段对应的所述操作行为作为所述目标操作行为;
根据所述目标操作行为对应的语义规则,确定用于表达所述目标数据的第二字段;
基于所述审计规则对所述第二字段进行解析,确定所述目标数据。
10.根据权利要求9所述的方法,其特征在于,所述审计规则包括匹配规则,所述匹配规则用于指示对所述第二字段进行解析的方式,基于所述审计规则对所述第二字段进行解析,确定所述目标数据,包括:
基于所述匹配规则,对所述第二字段进行解析,得到所述第二字段对应的参考数据;
利用所述参考数据与所述数据库中记载的数据进行匹配,将与所述参考数据相匹配的所述数据,作为所述目标数据。
11.根据权利要求1所述的方法,其特征在于,还包括:
基于所述审计规则,获取与所述审计结果对应的提醒方式;
按照所述提醒方式发送提醒信息,并根据所述提醒信息更新所述审计结果。
12.一种云访问安全代理装置,其特征在于,所述云访问安全代理包括:
接收模块,用于接收应用服务加密发送的用于对目标数据库进行操作的数据操作请求,所述数据操作请求包括用户身份标识和目标数据库标识;
校验模块,用于基于所述用户身份标识和所述目标数据库标识,对所述数据操作请求进行安全校验;
通道建立模块,用于在所述数据操作请求通过所述安全校验时,基于所述用户身份标识和所述目标数据库标识,建立与所述目标数据库之间的消息传输通路;
采样模块,用于基于所述消息传输通路将所述数据操作请求发送至所述目标数据库,并对所述数据操作请求进行采样,得到待审计的目标数据操作请求;
审计模块,用于基于审计规则对所述目标数据操作请求进行解析,得到审计结果。
13.一种基于云访问安全代理的数据库审计系统,其特征在于,包括:
数据库,用于存储数据信息;
执行如权利要求1-11中任一所述基于云访问安全代理的数据库审计方法的云访问安全代理。
14.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时,实现如权利要求1-11中任一所述的基于云访问安全代理的数据库审计方法。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-11中任一所述的基于云访问安全代理的数据库审计方法。
CN202110388985.XA 2021-04-12 2021-04-12 基于云访问安全代理的数据库审计方法和装置 Pending CN115203712A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110388985.XA CN115203712A (zh) 2021-04-12 2021-04-12 基于云访问安全代理的数据库审计方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110388985.XA CN115203712A (zh) 2021-04-12 2021-04-12 基于云访问安全代理的数据库审计方法和装置

Publications (1)

Publication Number Publication Date
CN115203712A true CN115203712A (zh) 2022-10-18

Family

ID=83570553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110388985.XA Pending CN115203712A (zh) 2021-04-12 2021-04-12 基于云访问安全代理的数据库审计方法和装置

Country Status (1)

Country Link
CN (1) CN115203712A (zh)

Similar Documents

Publication Publication Date Title
US11552969B2 (en) Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US11032312B2 (en) Programmatic discovery, retrieval, and analysis of communications to identify abnormal communication activity
US11050793B2 (en) Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior
US20220278997A1 (en) Multistage analysis of emails to identify security threats
US11468192B2 (en) Runtime control of automation accuracy using adjustable thresholds
JP6476339B6 (ja) クラウド・コンピューティング・サービス(ccs)上に保存された企業情報をモニター、コントロール、及び、ドキュメント当たりの暗号化を行うシステム及び方法
US20200412767A1 (en) Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks
Bates et al. Towards secure provenance-based access control in cloud environments
US11714906B2 (en) Reducing threat detection processing by applying similarity measures to entropy measures of files
CN107577939B (zh) 一种基于关键字技术的数据防泄漏方法
US10367786B2 (en) Configuration management for a capture/registration system
CN103679031B (zh) 一种文件病毒免疫的方法和装置
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
US20200279139A1 (en) Systems and methods for data protection
CN112270012B (zh) 一种用于分布式数据安全防护的装置、方法及其系统
US10445514B1 (en) Request processing in a compromised account
US20170270602A1 (en) Object manager
CN115242434A (zh) 应用程序接口api的识别方法及装置
CN113778709B (zh) 接口调用方法、装置、服务器及存储介质
CN115203712A (zh) 基于云访问安全代理的数据库审计方法和装置
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
Avorgbedor et al. Enhancing User Privacy Protection by Enforcing Clark-Wilson Security Model on Facebook
US11082454B1 (en) Dynamically filtering and analyzing internal communications in an enterprise computing environment
CN110933064A (zh) 确定用户行为轨迹的方法及其系统
Nived et al. Secure Data Processing System Using Decision Tree Architecture

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination