一种基于桥模式的数据库审计方法
【专利摘要】本发明涉及数据库审计【技术领域】,特别涉及一种基于桥模式的数据库审计方法。该方法中堡垒机通过桥模式建立本地设备和远程数据库服务器连接的同时,堡垒机根据安全策略,分析用户执行的SQL语句,当SQL语句属于正常数据库操作时,用户可以继续执行,当SQL语句中包含高危操作字段时,禁止用户继续执行,并给出提示。本发明的一种基于桥模式的数据库审计方法,堡垒机通过定制安全策略,从而审计运维用户在本地设备对远程数据库服务器的操作,提高了远程核心数据库的数据安全性。
【专利说明】一种基于桥模式的数据库审计方法【技术领域】[0001]本发明涉及数据库审计【技术领域】,特别涉及一种基于桥模式的数据库审计方法。【背景技术】
[0002]堡垒机是一种大型数据中心中面向运维用户的运维安全审计产品,运维用户通过堡垒机的集中管理和授权管理功能,完成对大量设备账号的运维管理操作,同时,堡垒机能够审计运维用户的操作过程。传统的运维模式中,运维用户直接通过本地设备连接远程服务器,进行运维管理操作,整个操作过程不可见、不可控,存在很大风险;采用堡垒机来进行运维,堡垒充当了中间代理的角色,运维用户在本地设备先通过与堡垒机连接,从而间接建立与远程服务器的连接,进行运维管理操作,并且,堡垒机可以完全记录运维用户的完整运维过程。
[0003]传统堡垒机采用旁路部署方式,如图1所示,要想规范只允许通过堡垒机来连接远程服务器进行运维管理操作,必须借助路由器和交换机的访问控制列表和端口转发来实现,一旦这些规则失效,远程服务器就处于危险状态。而且,传统堡垒机只能对服务器和网络设备进行运维管理,不能审计数据库。
【发明内容】
[0004]为了解决现有技术的问题,本发明提供了一种基于桥模式的数据库审计方法,。
[0005]所述技术方案如下:
一种基于桥模式的数据库审计方法,包括以下步骤:
A、堡垒机通过桥模式建立本地设备和远程数据库服务器的连接;
B、堡垒机的数据库审计模块,通过协议解码技术,分析本地设备上对远程数据库服务器执行的SQL语句;
C、根据堡垒机上制定的安全策略,对执行的SQL语句进行审计;对于符合安全策略的SQL语句,堡垒机予以通过,对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止用户执行,并给出提示。
[0006]步骤A中,堡垒机提供专用的数据库管理工具,支持数据库的访问管理。
[0007]堡垒机,其管理系统提供远程数据库服务器的虚拟桌面连接,用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程数据库服务器的运维管理。
[0008]步骤B中,堡垒机的协议解码模块通过专用数据库管理工具的协议,通过协议解码技术,分析出用户执行的SQL语句。
[0009]步骤B中,堡垒机的数据库审计模块,根据堡垒机制定的安全策略,分析用户执行的SQL语句,允许符合安全策略的SQL语句执行,并禁止不符合安全策略、包含高危字段的SQL语句执行。
[0010]步骤B中,堡垒机的数据库统计模块,记录用户执行的所有SQL语句,包括符合安全策略和不符合安全策略的SQL语句。[0011]本发明的一种基于桥模式的数据审计方法中,堡垒机通过桥模式部署于本地设备与远程数据库服务器之间,通过协议代理的方式建立本地设备和远程数据库服务器的连接,并且堡垒机提供专用的数据库管理工具,支持MySQL、0racle、MS SQL等数据库的访问管理;
运维用户在本地设备通过浏览器登录堡垒机的管理系统,建立与远程数据库服务器的连接,并借助堡垒机提供的专用数据库管理工具,对远程数据库服务器进行运维管理操作;
在运维管理操作的过程中,堡垒机的数据库审计模块,通过协议解码技术,分析运维用户在本地设备上对远程数据库服务器执行的SQL语句,并根据堡垒机上制定的安全策略,对执行的SQL语句进行审计,对于符合安全策略的SQL语句,堡垒机予以通过,对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止用户执行,并给出提示;
堡垒机的数据库统计模块,还可以记录用户执行的所有SQL语句,包括符合安全策略和不符合安全策略的SQL语句,以列表的形式展现运维用户的操作记录。
[0012]本发明实施例提供的技术方案带来的有益效果是:
本发明的一种基于桥模式的数据审计方法,其堡垒机通过定制安全策略,从而审计运维用户在本地设备对远程数据库服务器的操作,提高了远程核心数据库的数据安全性。
【专利附图】
【附图说明】
[0013]图1为现有技术下的数据库审计方法中堡垒机的部署示意图;
图2为本发明的一种基于桥模式的数据库审计方法的堡垒机部署及业务流程图。
【具体实施方式】
[0014]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0015]实施例一
如附图2所示,本发明的一种基于桥模式的数据库审计方法,【具体实施方式】如下:
1、堡垒机网口配置成桥接模式,部署于本地设备和远程数据库服务器的中间路径上;
2、在本地设备,通过浏览器登录堡垒机的管理系统,添加远程数据库服务器的IP地址、端口、数据库用户名、密码等信息;
3、堡垒机的管理系统可以通过协议代理的方式,创建已添加的远程数据库服务器的虚拟桌面连接,运维用户通过专用数据库管理工具21即可连接远程数据库服务器,进行相关运维管理操作;
4、用户登录专用数据库管理工具后,已经建立了与运程数据库服务器的网络连接,当用户执行相关SQL语句时,向远程数据库服务器发送的网络数据包先发送到堡垒机的协议解码模块22 ;
5、协议解码模块22收到用户的网络数据包后,通过专业的协议解码技术,对网络数据包进行分析解码,还原出用户执行的SQL语句,然后将SQL语句发送给数据库审计模块23 ;
6、数据库审计模块23收到用户的SQL语句后,根据堡垒机制定的安全策略,分析用户的操作行为; 7、对于符合安全策略的SQL语句,堡垒机予以通过,发送给数据库统计模块24,该模块统计用户执行的SQL语句历史记录,并将该条SQL语句发送到远程数据库服务器,完成运维用户在本地设备执行的数据库操作;
8、对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止继续向远程数据库服务器发送,只发送给数据库统计模块24,记录本次SQL语句历史记录,同时,返回提示信息给本地设备的运维用户;
9、至此,运维用户在本地设备,通过堡垒机对远程数据库服务器执行的一次数据库操作结束。
[0016]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于桥模式的数据库审计方法,包括以下步骤: A、堡垒机通过桥模式建立本地设备和远程数据库服务器的连接; B、堡垒机的数据库审计模块,通过协议解码技术,分析本地设备上对远程数据库服务器执行的SQL语句; C、根据堡垒机上制定的安全策略,对执行的SQL语句进行审计;对于符合安全策略的SQL语句,堡垒机予以通过,对于不符合安全策略、包含高危操作字段的SQL语句,堡垒机禁止用户执行,并给出提示。
2.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述步骤A中,堡垒机提供专用的数据库管理工具,支持数据库的访问管理。
3.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的堡垒机,其管理系统提供远程数据库服务器的虚拟桌面连接,用户在本地设备上通过浏览器访问堡垒机的管理系统即可实现对远程数据库服务器的运维管理。
4.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的步骤B中,堡垒机的协议解码模块通过专用数据库管理工具的协议,通过协议解码技术,分析出用户执行的SQL语句。
5.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的步骤B中,堡垒机的数据库审计模块,根据堡垒机制定的安全策略,分析用户执行的SQL语句,允许符合安全策略的SQL语句执行,并禁止不符合安全策略、包含高危字段的SQL语句执行。
6.根据权利要求1所述的一种基于桥模式的数据库审计方法,其特征在于,所述的步骤B中,堡垒机的数据库统计模块,记录用户执行的所有SQL语句,包括符合安全策略和不符合安全策略的SQL语句。
【文档编号】G06F17/30GK103475727SQ201310426986
【公开日】2013年12月25日 申请日期:2013年9月18日 优先权日:2013年9月18日
【发明者】张和超 申请人:浪潮电子信息产业股份有限公司