数据库安全访问控制方法、装置、系统及终端设备制造方法及图纸

本申请涉及一种数据库安全访问控制方法、装置、系统及终端设备，属于数据库安全技术领域，数据库安全访问控制方法包括捕获数据库访问请求中的数据包，对数据包进行解析，得到访问请求信息，将访问请求信息与预设阻断规则进行匹配，若匹配成功，则阻断该访问请求。本申请实现数据库安全访问控制，满足数据库审计和数据安全的要求，提升数据安全性。提升数据安全性。提升数据安全性。

【技术实现步骤摘要】
数据库安全访问控制方法、装置、系统及终端设备


[0001]本申请属于数据库安全
，具体涉及一种数据库安全访问控制方法、装置、系统及终端设备。

技术介绍

[0002]目前，各行各业的数据系统均设置有数据库，数据库中保存着大量的信息。一些数据库，例如MySQL、MongoDB、TiDB等数据库，数据库本身的审计功能不完善，数据库中的数据安全没有保障。即便一些数据库具有审计功能，对数据库访问行为进行监管，例如，根据数据库审计要求，应用开发人员不能具备审计库/敏感库生产环境数据库的写权限。如果办公网和生产环境数据库之间没有统一的访问限制，一旦数据库账号密码泄漏，则可以在办公网环境下直接连接到数据库进行操作，不仅有误操作或恶意篡改数据的可能，也存在敏感数据泄漏的风险。

技术实现思路

[0003]为至少在一定程度上克服传统数据库访问时存数据被恶意篡改或敏感数据泄漏的问题，本申请提供一种数据库安全访问控制方法、装置、系统及终端设备。
[0004]第一方面，本申请提供一种数据库安全访问控制方法，包括：
[0005]捕获数据库访问请求中的数据包；
[0006]对所述数据包进行解析，得到访问请求信息；
[0007]将访问请求信息与预设阻断规则进行匹配；
[0008]若匹配成功，则阻断所述访问请求。
[0009]进一步的，所述阻断规则的生成方法包括：
[0010]获取数据库威胁信息，所述数据库威胁信息包括审计/敏感数据库集群信息、实例信息、端口信息和敏感字段信息中的一种或多种；
[0011]根据所述数据库威胁信息生成阻断规则。
[0012]进一步的，所述获取数据库威胁信息，包括：
[0013]按预设频率从运维监控系统中采集数据监控信息；
[0014]从所述数据监控信息中提取实例信息、端口信息；
[0015]和/或，将所述数据监控信息中的审计/敏感数据库集群进行打标签操作；
[0016]和/或，记录所述数据监控信息中敏感字段信息。
[0017]进一步的，所述阻断规则包括：黑名单列表和入侵防御系统规则。
[0018]进一步的，所述访问请求信息，包括：
[0019]数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执行的操作类型中的一种或多种。
[0020]进一步的，所述操作类型，包括：
[0021]查询操作、修改操作、删除操作和预处理操作。
[0022]进一步的，在得到访问请求信息后，还包括：
[0023]判断所述操作类型和连接账号的权限是否匹配；
[0024]若否，阻断所述访问请求。
[0025]进一步的，所述捕获数据库访问请求中的数据包，包括：
[0026]通过入侵检测和防御系统对办公室与生产环境之间的传输网络进行监控；
[0027]从所述传输网络中的信息流中捕获数据库访问请求中的数据包。
[0028]第二方面，本申请提供一种数据库安全访问控制装置，包括：
[0029]捕获模块，用于捕获数据库访问请求中的数据包；
[0030]解析模块，用于对所述数据包进行解析，得到访问请求信息；
[0031]匹配模块，用于将访问请求信息与预设阻断规则进行匹配；
[0032]阻断模块，用于在匹配成功时，阻断所述访问请求。
[0033]第三方面，本申请提供一种数据库安全访问控制系统，包括：
[0034]如第二方面所述的数据库安全访问控制装置。
[0035]第四方面，本申请提供一种智能终端，包括：
[0036]如第三方面所述的数据库安全访问控制系统。
[0037]本申请的实施例提供的技术方案可以包括以下有益效果：
[0038]本专利技术实施例提供的数据库安全访问控制方法、方法及智能终端，数据库安全访问控制方法包括捕获数据库访问请求中的数据包，对数据包进行解析，得到访问请求信息，将访问请求信息与预设阻断规则进行匹配，若匹配成功，则阻断该访问请求，实现数据库安全访问控制，满足数据库审计和数据安全的要求，提升数据安全性。
[0039]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。
附图说明
[0040]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0041]图1为本申请一个实施例提供的一种数据库安全访问控制方法的流程图。
[0042]图2为本申请另一个实施例提供的一种数据库安全访问控制方法的流程图。
[0043]图3为本申请一个实施例提供的一种MySQL数据库访问时序图。
[0044]图4为本申请一个实施例提供的一种数据库安全访问控制装置的功能结构图。
[0045]图5为本申请一个实施例提供的一种数据库安全访问控制系统的功能结构图。
具体实施方式
[0046]为使本申请的目的、技术方案和优点更加清楚，下面将对本申请的技术方案进行详细的描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本申请所保护的范围。
[0047]图1为本申请一个实施例提供的数据库安全访问控制方法的流程图，如图1所示，该数据库安全访问控制方法，包括：
[0048]S11：捕获数据库访问请求中的数据包；
[0049]S12：对数据包进行解析，得到访问请求信息；
[0050]S13：将访问请求信息与预设阻断规则进行匹配；
[0051]S14：若匹配成功，则阻断该访问请求。
[0052]传统办公网和生产环境数据库之间没有统一的访问限制，一旦数据库账号密码泄漏，则可以在办公网环境下直接连接到生产环境数据库进行操作，不仅有误操作或恶意篡改数据的可能，也存在敏感数据泄漏的风险。
[0053]本实施例中，通过捕获数据库访问请求中的数据包，对数据包进行解析，得到访问请求信息，将访问请求信息与预设阻断规则进行匹配，若匹配成功，则阻断所述访问请求，实现数据库安全访问控制，满足数据库审计和数据安全的要求，提升数据安全性。
[0054]图2为本申请一个实施例提供的数据库安全访问控制方法的流程图，如图2所示，该数据库安全访问控制方法，包括：
[0055]S21：获取数据库威胁信息，数据库威胁信息包括审计/敏感数据库集群信息、实例信息、端口信息和敏感字段信息中的一种或多种；
[0056]一些实施例中，获取数据库威胁信息，包括：
[0057]S211：按预设频率从运维监控系统中采集数据监控信息；
[0058]S212：从数据监控信息中提取实例信息、端口信息，将数据监控信息中的审计/敏感数据库集群进行打标签操作，记录数据监控信息中敏感字段信息。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据库安全访问控制方法，其特征在于，包括：捕获数据库访问请求中的数据包；对所述数据包进行解析，得到访问请求信息；将访问请求信息与预设阻断规则进行匹配；若匹配成功，则阻断所述访问请求。2.根据权利要求1所述的数据库安全访问控制方法，其特征在于，所述阻断规则的生成方法包括：获取数据库威胁信息，所述数据库威胁信息包括审计/敏感数据库集群信息、实例信息、端口信息和敏感字段信息中的一种或多种；根据所述数据库威胁信息生成阻断规则。3.根据权利要求2所述的数据库安全访问控制方法，其特征在于，所述获取数据库威胁信息，包括：按预设频率从运维监控系统中采集数据监控信息；从所述数据监控信息中提取实例信息、端口信息；和/或，将所述数据监控信息中的审计/敏感数据库集群进行打标签操作；和/或，记录所述数据监控信息中敏感字段信息。4.根据权利要求1所述的数据库安全访问控制方法，其特征在于，所述阻断规则包括：黑名单列表和入侵防御系统规则。5.根据权利要求1所述的数据库安全访问控制方法，其特征在于，所述访问请求信息，包括：数据库类型、请求的目标IP、端口、连接账号、连接账号的权限信息以及执...

【专利技术属性】
技术研发人员：路希，孙宇，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：