專利名稱:一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型是關(guān)于計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,特別是關(guān)于數(shù)據(jù)庫的安全控制技術(shù),具體的講是一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)�。
背景技術(shù):
目前,各行各業(yè)的數(shù)據(jù)系統(tǒng)均設(shè)置有數(shù)據(jù)庫����,數(shù)據(jù)庫中保存著大量的信息。諸如:銀行的數(shù)據(jù)庫中保存著大量的客戶信息�����,例如客戶的賬號�、密碼;IT公司的數(shù)據(jù)庫中保存著大量的源代碼�����;產(chǎn)品銷售公司的數(shù)據(jù)庫中保存著大量的銷售信息���,例如每個型號的產(chǎn)品的成本價����、銷售價、對應(yīng)的客戶群等敏感信息�。上述各個行業(yè)的數(shù)據(jù)系統(tǒng)均存在一個共同的問題:客戶信息等敏感數(shù)據(jù)的泄露,且該問題日益成為損害公眾利益��、威脅企業(yè)健康發(fā)展以及對企業(yè)聲譽(yù)造成重大影響的信息安全問題�。權(quán)威數(shù)據(jù)表明,造成數(shù)據(jù)泄露的主要原因主要包括如下兩點:(1)外部網(wǎng)絡(luò)的入侵造成的數(shù)據(jù)泄露���;(2)數(shù)據(jù)系統(tǒng)內(nèi)部的權(quán)限監(jiān)控不完善造成的非授權(quán)數(shù)據(jù)訪問造成的數(shù)據(jù)泄露�����。因此��,如何對來自系統(tǒng)內(nèi)部的非授權(quán)數(shù)據(jù)訪問進(jìn)行監(jiān)控是至關(guān)重要的研究課題?�,F(xiàn)有技術(shù)中的數(shù)據(jù)庫安全訪問控制包括以下幾個方面:(I)授權(quán)用戶的回收和發(fā)放�����;(2)數(shù)據(jù)保密性的審查,根據(jù)大量的數(shù)據(jù)查詢?nèi)罩具M(jìn)行人工抽查,挑選涉及敏感數(shù)據(jù)且返回結(jié)果數(shù)量較大的情況詢問相關(guān)人員是否有正式的審批手續(xù)��,以滿足保密性要求�。上述工作均耗費(fèi)大量人力和時間�,不但審查的覆蓋面和準(zhǔn)確度無法保證,而且部分高危行為的事后審查難以滿足時效性要求��,更沒有實現(xiàn)實時訪問控制�。因此,傳統(tǒng)的數(shù)據(jù)庫安全訪問控制的方法存在的滯后性和粗粒度性都無法滿足數(shù)據(jù)系統(tǒng)的數(shù)據(jù)安全���,存在嚴(yán)重的安全隱患���。
實用新型內(nèi)容本實用新型實施例提供了一種數(shù)據(jù)庫的安全訪問控制系統(tǒng),通過采集用戶輸入的數(shù)據(jù)庫安全訪問請求信息�����,對從幫助臺系統(tǒng)和郵件系統(tǒng)中獲得的數(shù)據(jù)庫訪問方式與數(shù)據(jù)庫日志系統(tǒng)中獲得的日志進(jìn)行對比���,篩選出沒有數(shù)據(jù)庫訪問方式的日志���,進(jìn)而提升了數(shù)據(jù)庫系統(tǒng)的安全控制,降低了由于數(shù)據(jù)系統(tǒng)內(nèi)部的權(quán)限監(jiān)控不完善造成的非授權(quán)數(shù)據(jù)訪問造成的數(shù)據(jù)泄露。本實用新型的目的是���,提供一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)���,所述的數(shù)據(jù)庫的安全訪問控制系統(tǒng)包括:數(shù)據(jù)來源服務(wù)器、數(shù)據(jù)安全訪問控制服務(wù)器����、SQL請求發(fā)生器以及輸入終立而;其中���,所述的數(shù)據(jù)來源服務(wù)器�����,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接�,用于輸出數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志�;所述的輸入終端,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接��,用于采集用戶輸入的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫安全訪問請求信息�,所述的數(shù)據(jù)庫安全訪問請求信息包括數(shù)據(jù)庫對象數(shù)據(jù)、變更單號���、事件單號���;所述的SQL請求發(fā)生器����,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接�,用于采集SQL阻斷請求信息��,所述的SQL阻斷請求信息包括SQL語句以及變更單號�;所述的數(shù)據(jù)安全訪問控制服務(wù)器具體包括:采集部件,與所述的輸入終端����、所述的數(shù)據(jù)來源服務(wù)器相連接,用于采集數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志����;解析部件,與所述的采集部件相連接�,用于按照數(shù)據(jù)庫訪問安全要素對所述的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志進(jìn)行解析;格式化部件���,與所述的解析部件相連接���,用于將數(shù)據(jù)解析后的所述數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志中的結(jié)構(gòu)化查詢語言SQL語句進(jìn)行格式化操作�;識別結(jié)果輸出部件��,與所述的格式化部件相連接����,用于根據(jù)格式化操作后的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志分別識別所述的數(shù)據(jù)庫安全訪問請求信息以及SQL阻斷請求信息,生成并輸出對應(yīng)的識別結(jié)果�。優(yōu)選的,所述的數(shù)據(jù)來源服務(wù)器具體包括數(shù)據(jù)庫幫助臺服務(wù)器��、郵件服務(wù)器和數(shù)據(jù)庫日志服務(wù)器���。優(yōu)選的�,所述的數(shù)據(jù)庫訪問安全要素包括時間��、用戶�����、變更單號�、數(shù)據(jù)庫對象、SQL語句�����。優(yōu)選的,所述數(shù)據(jù)安全訪問控制服務(wù)器還包括:存儲部件��,用于存儲所述的數(shù)據(jù)庫訪問方式�、數(shù)據(jù)庫訪問日志、數(shù)據(jù)庫安全訪問請求信息�、SQL阻斷請求信息以及所述的識別結(jié)果。本實用新型的有益效果在于��,提供了一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)��,通過采集用戶輸入的數(shù)據(jù)庫安全訪問請求信息�����,對從幫助臺系統(tǒng)和郵件系統(tǒng)中獲得的數(shù)據(jù)庫訪問方式與數(shù)據(jù)庫日志系統(tǒng)中獲得的日志進(jìn)行對比���,篩選出沒有數(shù)據(jù)庫訪問方式的日志,進(jìn)而提升了數(shù)據(jù)庫系統(tǒng)的安全控制���,降低了由于數(shù)據(jù)系統(tǒng)內(nèi)部的權(quán)限監(jiān)控不完善造成的非授權(quán)數(shù)據(jù)訪問造成的數(shù)據(jù)泄露��。
為了更清楚 地說明本實用新型實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本實用新型的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。圖1為本實用新型實施例提供的一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)的結(jié)構(gòu)示意圖;圖2為本實用新型實施例提供的一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)中數(shù)據(jù)安全訪問控制服務(wù)器的實施方式一的結(jié)構(gòu)示意圖�����;圖3為本實用新型實施例提供的一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)中數(shù)據(jù)安全訪問控制服務(wù)器的實施方式二的結(jié)構(gòu)示意圖����。
具體實施方式
下面將結(jié)合本實用新型實施例中的附圖,對本實用新型實施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然���,所描述的實施例僅僅是本實用新型一部分實施例����,而不是全部的實施例?����;诒緦嵱眯滦椭械膶嵤├?����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本實用新型保護(hù)的范圍。圖1為本實用新型實施例提供的一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)的結(jié)構(gòu)示意圖���,由圖1可知,所述的數(shù)據(jù)庫的安全訪問控制系統(tǒng)包括數(shù)據(jù)來源服務(wù)器300��、數(shù)據(jù)安全訪問控制服務(wù)器200���、SQL請求發(fā)生器400以及輸入終端100�����,其中��,所述的數(shù)據(jù)來源服務(wù)器300���,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接��,用于提供數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志�����。由圖1可知���,數(shù)據(jù)來源服務(wù)器具體包括:郵件服務(wù)器302,用于提供數(shù)據(jù)庫訪問方式����,其由包含以下要素組成:時間戳、部門郵箱名稱���、SQL語句�����。數(shù)據(jù)庫幫助臺服務(wù)301�,用于提供的數(shù)據(jù)庫訪問方式,其由包含以下要素組成:時間戳��、變更單號/事件單號����、SQL語句、實施部門名稱����。數(shù)據(jù)日志服務(wù)器303,用于提供的數(shù)據(jù)庫訪問日志��,其以包含時間戳的日志報表文件形式存在(報表內(nèi)容如表I所示)�����,包含用戶���、時間戳、SQL語句等要素�����。所述的輸入終端100��,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接,用于采集用戶輸A的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫安全訪問請求信息,所述的數(shù)據(jù)庫安全訪問請求信息包括數(shù)據(jù)庫對象數(shù)據(jù)���、變更單號��、事件單號�。輸入終端采集用戶手工上傳的數(shù)據(jù)庫訪問方式����。數(shù)據(jù)庫訪問方式主要以下 述兩種形式存在:經(jīng)過正式審批渠道獲取的純SQL語句文本文件。由變更單號或者事件單號及相應(yīng)SQL語句組成的CSV文件����。表I
權(quán)利要求1.一種數(shù)據(jù)庫的安全訪問控制系統(tǒng),其特征是����,所述的數(shù)據(jù)庫的安全訪問控制系統(tǒng)包括:數(shù)據(jù)來源服務(wù)器、數(shù)據(jù)安全訪問控制服務(wù)器�����、SQL請求發(fā)生器以及輸入終端���, 其中�����,所述的數(shù)據(jù)來源服務(wù)器��,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接�����,用于輸出數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志���; 所述的輸入終端�,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接���,用于采集用戶輸入的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫安全訪問請求信息����,所述的數(shù)據(jù)庫安全訪問請求信息包括數(shù)據(jù)庫對象數(shù)據(jù)�����、變更單號�����、事件單號�����; 所述的SQL請求發(fā)生器��,與所述的數(shù)據(jù)安全訪問控制服務(wù)器相連接����,用于采集SQL阻斷請求信息,所述的SQL阻斷請求信息包括SQL語句以及變更單號��; 所述的數(shù)據(jù)安全訪問控制服務(wù)器具體包括: 采集部件�,與所述的輸入終端、所述的數(shù)據(jù)來源服務(wù)器相連接���,用于采集數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志�����; 解析部件�,與所述的采集部件相連接���,用于按照數(shù)據(jù)庫訪問安全要素對所述的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志進(jìn)行解析�����; 格式化部件����,與所述的解析部件相連接,用于將數(shù)據(jù)解析后的所述數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志中的結(jié)構(gòu)化查詢語言SQL語句進(jìn)行格式化操作��; 識別結(jié)果輸出部件���,與所述的格式化部件相連接����,用于根據(jù)格式化操作后的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志分別識別所述的數(shù)據(jù)庫安全訪問請求信息以及SQL阻斷請求信息�,生成并輸出對應(yīng)的識別結(jié)果。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫的安全訪問控制系統(tǒng)����,其特征是,所述的數(shù)據(jù)來源服務(wù)器具體包括數(shù)據(jù)庫幫助臺服務(wù)器��、郵件服務(wù)器和數(shù)據(jù)庫日志服務(wù)器���。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫的安全訪問控制系統(tǒng)����,其特征是�����,所述的數(shù)據(jù)庫訪問安全要素包括時間���、用戶����、變更單號�����、數(shù)據(jù)庫對象�����、SQL語句���。
4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)庫的安全訪問控制系統(tǒng)���,其特征是�����,所述數(shù)據(jù)安全訪問控制服務(wù)器還包括: 存儲部件��,用于存儲所述的數(shù)據(jù)庫訪問方式����、數(shù)據(jù)庫訪問日志���、數(shù)據(jù)庫安全訪問請求信息����、SQL阻斷請求信息以及所述的識別結(jié)果�����。
專利摘要本實用新型提供一種數(shù)據(jù)庫的安全訪問控制系統(tǒng)���,包括數(shù)據(jù)來源服務(wù)器�、數(shù)據(jù)安全訪問控制服務(wù)器�、SQL請求發(fā)生器以及輸入終端����;數(shù)據(jù)來源服務(wù)器���,與數(shù)據(jù)安全訪問控制服務(wù)器相連接���,用于輸出數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫訪問日志�;輸入終端,與數(shù)據(jù)安全訪問控制服務(wù)器相連接�,用于采集用戶輸入的數(shù)據(jù)庫訪問方式以及數(shù)據(jù)庫安全訪問請求信息,數(shù)據(jù)庫安全訪問請求信息包括數(shù)據(jù)庫對象數(shù)據(jù)���、變更單號�、事件單號���;所述的SQL請求發(fā)生器���,與數(shù)據(jù)安全訪問控制服務(wù)器相連接,用于采集SQL阻斷請求信息���。本實用新型提升了數(shù)據(jù)庫系統(tǒng)的安全控制���,降低了由于數(shù)據(jù)系統(tǒng)內(nèi)部的權(quán)限監(jiān)控不完善造成的非授權(quán)數(shù)據(jù)訪問造成的數(shù)據(jù)泄露�。
文檔編號G06F17/30GK203102291SQ20132011072
公開日2013年7月31日 申請日期2013年3月12日 優(yōu)先權(quán)日2013年3月12日
發(fā)明者金海旻, 羅海波, 金晶, 陳靜, 顧駿, 凌奧, 莫李華, 孫佩鋒 申請人:中國工商銀行股份有限公司