专利名称:一种数据库的安全访问控制系统的制作方法
技术领域:
本实用新型是关于计算机网络安全技术领域,特别是关于数据库的安全控制技术,具体的讲是一种数据库的安全访问控制系统。
背景技术:
目前,各行各业的数据系统均设置有数据库,数据库中保存着大量的信息。诸如:银行的数据库中保存着大量的客户信息,例如客户的账号、密码;IT公司的数据库中保存着大量的源代码;产品销售公司的数据库中保存着大量的销售信息,例如每个型号的产品的成本价、销售价、对应的客户群等敏感信息。上述各个行业的数据系统均存在一个共同的问题:客户信息等敏感数据的泄露,且该问题日益成为损害公众利益、威胁企业健康发展以及对企业声誉造成重大影响的信息安全问题。权威数据表明,造成数据泄露的主要原因主要包括如下两点:(1)外部网络的入侵造成的数据泄露;(2)数据系统内部的权限监控不完善造成的非授权数据访问造成的数据泄露。因此,如何对来自系统内部的非授权数据访问进行监控是至关重要的研究课题。现有技术中的数据库安全访问控制包括以下几个方面:(I)授权用户的回收和发放;(2)数据保密性的审查,根据大量的数据查询日志进行人工抽查,挑选涉及敏感数据且返回结果数量较大的情况询问相关人员是否有正式的审批手续,以满足保密性要求。上述工作均耗费大量人力和时间,不但审查的覆盖面和准确度无法保证,而且部分高危行为的事后审查难以满足时效性要求,更没有实现实时访问控制。因此,传统的数据库安全访问控制的方法存在的滞后性和粗粒度性都无法满足数据系统的数据安全,存在严重的安全隐患。
实用新型内容本实用新型实施例提供了一种数据库的安全访问控制系统,通过采集用户输入的数据库安全访问请求信息,对从帮助台系统和邮件系统中获得的数据库访问方式与数据库日志系统中获得的日志进行对比,筛选出没有数据库访问方式的日志,进而提升了数据库系统的安全控制,降低了由于数据系统内部的权限监控不完善造成的非授权数据访问造成的数据泄露。本实用新型的目的是,提供一种数据库的安全访问控制系统,所述的数据库的安全访问控制系统包括:数据来源服务器、数据安全访问控制服务器、SQL请求发生器以及输入终立而;其中,所述的数据来源服务器,与所述的数据安全访问控制服务器相连接,用于输出数据库访问方式以及数据库访问日志;所述的输入终端,与所述的数据安全访问控制服务器相连接,用于采集用户输入的数据库访问方式以及数据库安全访问请求信息,所述的数据库安全访问请求信息包括数据库对象数据、变更单号、事件单号;所述的SQL请求发生器,与所述的数据安全访问控制服务器相连接,用于采集SQL阻断请求信息,所述的SQL阻断请求信息包括SQL语句以及变更单号;所述的数据安全访问控制服务器具体包括:采集部件,与所述的输入终端、所述的数据来源服务器相连接,用于采集数据库访问方式以及数据库访问日志;解析部件,与所述的采集部件相连接,用于按照数据库访问安全要素对所述的数据库访问方式以及数据库访问日志进行解析;格式化部件,与所述的解析部件相连接,用于将数据解析后的所述数据库访问方式以及数据库访问日志中的结构化查询语言SQL语句进行格式化操作;识别结果输出部件,与所述的格式化部件相连接,用于根据格式化操作后的数据库访问方式以及数据库访问日志分别识别所述的数据库安全访问请求信息以及SQL阻断请求信息,生成并输出对应的识别结果。优选的,所述的数据来源服务器具体包括数据库帮助台服务器、邮件服务器和数据库日志服务器。优选的,所述的数据库访问安全要素包括时间、用户、变更单号、数据库对象、SQL语句。优选的,所述数据安全访问控制服务器还包括:存储部件,用于存储所述的数据库访问方式、数据库访问日志、数据库安全访问请求信息、SQL阻断请求信息以及所述的识别结果。本实用新型的有益效果在于,提供了一种数据库的安全访问控制系统,通过采集用户输入的数据库安全访问请求信息,对从帮助台系统和邮件系统中获得的数据库访问方式与数据库日志系统中获得的日志进行对比,筛选出没有数据库访问方式的日志,进而提升了数据库系统的安全控制,降低了由于数据系统内部的权限监控不完善造成的非授权数据访问造成的数据泄露。
为了更清楚 地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实用新型的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本实用新型实施例提供的一种数据库的安全访问控制系统的结构示意图;图2为本实用新型实施例提供的一种数据库的安全访问控制系统中数据安全访问控制服务器的实施方式一的结构示意图;图3为本实用新型实施例提供的一种数据库的安全访问控制系统中数据安全访问控制服务器的实施方式二的结构示意图。
具体实施方式
下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。图1为本实用新型实施例提供的一种数据库的安全访问控制系统的结构示意图,由图1可知,所述的数据库的安全访问控制系统包括数据来源服务器300、数据安全访问控制服务器200、SQL请求发生器400以及输入终端100,其中,所述的数据来源服务器300,与所述的数据安全访问控制服务器相连接,用于提供数据库访问方式以及数据库访问日志。由图1可知,数据来源服务器具体包括:邮件服务器302,用于提供数据库访问方式,其由包含以下要素组成:时间戳、部门邮箱名称、SQL语句。数据库帮助台服务301,用于提供的数据库访问方式,其由包含以下要素组成:时间戳、变更单号/事件单号、SQL语句、实施部门名称。数据日志服务器303,用于提供的数据库访问日志,其以包含时间戳的日志报表文件形式存在(报表内容如表I所示),包含用户、时间戳、SQL语句等要素。所述的输入终端100,与所述的数据安全访问控制服务器相连接,用于采集用户输A的数据库访问方式以及数据库安全访问请求信息,所述的数据库安全访问请求信息包括数据库对象数据、变更单号、事件单号。输入终端采集用户手工上传的数据库访问方式。数据库访问方式主要以下 述两种形式存在:经过正式审批渠道获取的纯SQL语句文本文件。由变更单号或者事件单号及相应SQL语句组成的CSV文件。表I
权利要求1.一种数据库的安全访问控制系统,其特征是,所述的数据库的安全访问控制系统包括:数据来源服务器、数据安全访问控制服务器、SQL请求发生器以及输入终端, 其中,所述的数据来源服务器,与所述的数据安全访问控制服务器相连接,用于输出数据库访问方式以及数据库访问日志; 所述的输入终端,与所述的数据安全访问控制服务器相连接,用于采集用户输入的数据库访问方式以及数据库安全访问请求信息,所述的数据库安全访问请求信息包括数据库对象数据、变更单号、事件单号; 所述的SQL请求发生器,与所述的数据安全访问控制服务器相连接,用于采集SQL阻断请求信息,所述的SQL阻断请求信息包括SQL语句以及变更单号; 所述的数据安全访问控制服务器具体包括: 采集部件,与所述的输入终端、所述的数据来源服务器相连接,用于采集数据库访问方式以及数据库访问日志; 解析部件,与所述的采集部件相连接,用于按照数据库访问安全要素对所述的数据库访问方式以及数据库访问日志进行解析; 格式化部件,与所述的解析部件相连接,用于将数据解析后的所述数据库访问方式以及数据库访问日志中的结构化查询语言SQL语句进行格式化操作; 识别结果输出部件,与所述的格式化部件相连接,用于根据格式化操作后的数据库访问方式以及数据库访问日志分别识别所述的数据库安全访问请求信息以及SQL阻断请求信息,生成并输出对应的识别结果。
2.根据权利要求1所述的数据库的安全访问控制系统,其特征是,所述的数据来源服务器具体包括数据库帮助台服务器、邮件服务器和数据库日志服务器。
3.根据权利要求1所述的数据库的安全访问控制系统,其特征是,所述的数据库访问安全要素包括时间、用户、变更单号、数据库对象、SQL语句。
4.根据权利要求1所述的数据库的安全访问控制系统,其特征是,所述数据安全访问控制服务器还包括: 存储部件,用于存储所述的数据库访问方式、数据库访问日志、数据库安全访问请求信息、SQL阻断请求信息以及所述的识别结果。
专利摘要本实用新型提供一种数据库的安全访问控制系统,包括数据来源服务器、数据安全访问控制服务器、SQL请求发生器以及输入终端;数据来源服务器,与数据安全访问控制服务器相连接,用于输出数据库访问方式以及数据库访问日志;输入终端,与数据安全访问控制服务器相连接,用于采集用户输入的数据库访问方式以及数据库安全访问请求信息,数据库安全访问请求信息包括数据库对象数据、变更单号、事件单号;所述的SQL请求发生器,与数据安全访问控制服务器相连接,用于采集SQL阻断请求信息。本实用新型提升了数据库系统的安全控制,降低了由于数据系统内部的权限监控不完善造成的非授权数据访问造成的数据泄露。
文档编号G06F17/30GK203102291SQ20132011072
公开日2013年7月31日 申请日期2013年3月12日 优先权日2013年3月12日
发明者金海旻, 罗海波, 金晶, 陈静, 顾骏, 凌奥, 莫李华, 孙佩锋 申请人:中国工商银行股份有限公司