一种数据库审计方法、装置及系统的制作方法

一种数据库审计方法、装置及系统的制作方法
【专利摘要】本发明公开了一种数据库审计的方法、装置及系统，方法包括从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系；在所述网内的终端设备访问数据库时，采集所述终端设备的访问信息，并根据所述访问信息获取终端设备的标记信息；根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计。通过上述方式，本发明能够在终端设备访问数据库时，进行身份审计，提高数据库的安全性。
【专利说明】一种数据库审计方法、装置及系统
【技术领域】
[0001]本发明涉及通信【技术领域】，特别是涉及一种数据库审计方法、装置及系统。
【背景技术】
[0002]数据库审计是指通过对网络数据的分析，实时地、智能地解析用户对数据库所进行的各种操作，并记录所操作的数据，以便进行查询、分析、过滤，实现对数据库的操作的监控和审计。
[0003]现有技术中的数据库审计方法:通过路旁镜像的方式抓取网络中通往数据库的应用报文，再通过数据库协议解析提取访问数据库的操作语句信息，审计该操作语句中的操作是否为允许操作，以及通过IP地址对来源的进行身份审计。
[0004]接入网络内的終端设备，例如:个人计算、IPAD等，IP地址都是动态分配，終端设备每次接入网络的IP地址都不一定相同，通过IP地址进行身份审计，无法正确审计用户的身份。另外，若有三层的CS架构应用程序或者BS架构应用程序的终端设备在访问应用服务器后，再通过应用服务器访问数据库，则通过路旁镜像的方式截取到的IP地址为应用服务器的IP地址，通过IP地址无法定位到操作数据库的终端设备。若终端设备通过远程登录等方式登录到数据库上或通过跳转到网内其它終端设备，再通过其他終端设备连接到数据库上进行操作，则很难进行网络审计。现有技术中对远程操作数据库的审计方法是:是在数据库上安装插件或者通过堡垒机，对图形化操作进行屏幕录像，后续再通过人工进行审计，但是这种方法依然无审计用户的身份，并且该种方法无法对图形化操作进行实时告警，对图形化操作都以屏幕录像的形式进行审计，需要人工查看每一段录像才能发现违规操作，工作量较大，可行性较弱。
[0005]现有技术中也采用数据库账号的方法进行身份审计，即为:终端设备登录数据库均需要数据库账号，但数据库账号的权限分配简单，并且，存在共享数据库账号的情况，很难通过数据库账号进行来源的身份审计。

【发明内容】

[0006]本发明主要解决的技术问题是提供一种数据库审计方法、装置及系统，能够在终端设备访问数据库时，进行身份审计，提高数据库的安全性。
[0007]为解决上述技术问题，本发明采用的一个技术方案是:提供一种数据库审计方法，包括从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系；在所述网内的终端设备访问数据库时，采集所述终端设备的访问信息，并根据所述访问信息获取终端设备的标记信息；根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计。
[0008]其中，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括:在所述网内的终端设备直接连接所述数据库时，截取所述终端设备向所述数据库发送的第一连接报文；解析所述第一连接报文，获取所述终端设备的标记信息。
[0009]其中，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括:在所述网内的终端设备通过网内的应用服务器进行间接访问数据库时，截取所述终端设备向所述应用服务器发送的第二连接报文；解析所述第二连接报文，获取所述终端设备的标记信息。
[0010]其中，方法还包括:截取所述终端设备向所述应用服务器发送的电子表单，并记录截取到所述电子表单的第一时间，其中，所述电子表单携带所述终端设备向应用服务器所请求的内容；截取所述应用服务器向数据库发送的数据库操作语句，并记录截取到所述数据库操作语句的第二时间；判断所述电子表单携带所述终端设备所请求的内容是否与所述数据库操作语句相匹配，以及所述第一时间是否与第二时间相匹配；所述根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计的步骤包括:若所述电子表单所携带所述终端设备向所述应用服务器所请求的内容与所述数据库操作语句相匹配，以及所述第一时间与第二时间相匹配，则获取所述标记信息所映射的身份信息，并根据所述审计规则，结合所述身份信息和所述数据库操作语句进行审计。
[0011]其中，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括:在所述网内的终端设备通过网内的运维服务器远程访问所述数据库时，获取所述运维服务器的日志数据；从所述日志数据中提取所述终端设备的标记信息。
[0012]其中，所述方法还包括:获取所述终端设备通过键盘输入的操作命令字符以及记录输入所述操作命令字符的输入时间；检测所述操作命令字符中是否包含告警命令字符；若包含所述告警命令字符，则生成告警信号，并根据所述输入时间提示管理人员审计录像的时间段，其中，所述录像为所述运维服务器记录所述终端设备对所述数据库进行图形化操作时所录取的录像。
[0013]其中，所述标记信息包括所述终端设备的IP地址、MAC地址和用户名。
[0014]为解决上述技术问题，本发明采用的另一个技术方案是:提供一种数据库审计装置，包括第一获取模块，用于从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系；第二获取模块，用于在所述网内的终端设备访问数据库时，采集所述终端设备的访问信息，并根据所述访问信息获取所述终端设备的标记信息；获取审计模块，用于获取所述标记信息映射的身份信息，并根据所述身份信息，结合审计规则，进行审计。
[0015]其中，所述标记信息包括所述终端设备的IP地址、MAC地址和用户名。
[0016]为解决上述技术问题，本发明采用的另一个技术方案是:提供一种数据库审计系统，包括数据库审计装置、网络准入服务器和采集装置、终端设备和数据库；所述数据库审计装置包括第一获取模块、第二获取模块和获取审计模块；所述第一获取模块用于从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系；所述采集装置用于在网内的终端设备访问数据库时，采集终端设备的访问信息；所述第二获取模块用于从所述采集装置获取所述访问信息，并根据所述访问信息获取终端设备的标记信息；所述获取审计模块用于根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规贝U，进行审计。
[0017]本发明的有益效果是:区别于现有技术的情况，本发明预先建立终端设备的标记信息和身份信息的映射关系，在终端设备访问数据库时，从终端设备的访问信息中提出终端设备的标记信息，从而可以根据标记信息，获取身份信息，进而定位到访问数据库的具体的用户的真实身份，对真实身份进行审计，提高数据库的安全性。
【专利附图】

【附图说明】
[0018]图1是本发明数据库审计系统第一实施方式的运行示意图；
[0019]图2是本发明数据库审计系统第一实施方式的结构示意图；
[0020]图3是本发明数据库审计实施方式的结构示意图；
[0021]图4是本发明数据库审计方法实施方式的流程图；
[0022]图5是本发明数据库审计方法实施方式中終端设备直接访问数据库的审计方法流程图；
[0023]图6是本发明数据库审计方法实施方式中終端设备通过应用服务器间接访问数据库的审计方法流程图；
[0024]图7是本发明数据库审计方法实施方式中終端设备通过运维服务器远程访问数据库的审计方法流程图。
【具体实施方式】
[0025]下面结合附图和实施方式对本发明进行详细说明。
[0026]请参阅图1和图2，数据库审计系统包括数据库审计装置21、网络准入服务器22和采集装置23。数据库审计装置21包括第一获取模块211、第二获取模块212和获取审计模块213。终端设备在接入网络时，网络准入服务器22需要提取终端设备的标记信息以及终端设备的认证信息，并根据认证信息和标记信息对终端设备进行认证，并在认证成功后，将标记信息和认证信息存储在网络准入服务器22的日志文件中。网络准入服务器22还存储有终端设备的身份信息，其中，标记信息和身份信息具有映射关系，相当于将终端设备具体绑定到特定的用户，定位到具体的终端设备后，即能够定位具体操作的用户，在本发明实施方式中，身份信息包括与终端设备绑定的用户的真实姓名、联系方式和工作部门；标记信息包括IP地址、MAC地址和用户名。
[0027]第一获取模块211从网络准入服务器22获取所有网内终端设备的标记信息以及与终端设备绑定的身份信息，其中，标记信息与身份信息具有映射关系。第二获取模块212在网内的终端设备访问数据库时，采集终端设备的访问信息，并根据访问信息获取终端设备的标记信息。获取审计模块213获取标记信息映射的身份信息，并根据身份信息，结合审计规则，进行审计。
[0028]终端设备可直接访问数据库，或者，通过应用服务器间接访问数据库，或者，通过登录运维服务器，远程访问数据库。
[0029]若终端设备直接访问数据库，则采集装置23包括报文采集单元231，第一获取模块211包括第一截取单元2121和第一解析单元2122。终端设备与数据库之间通过报文进行通信，终端设备访问数据库包括三个过程:连接数据库、操作数据库和断开数据库。终端设备在连接数据库时，需要向数据库发送第一连接报文，第一连接报文携带终端设备的标记信息。报文采集单元231采集终端设备与数据库之间交互的报文。在网内的终端设备直接连接数据库时，第一截取单元2121通过报文采集单元231截取终端设备向数据库发送的第一连接报文。第一解析单元2122解析第一连接报文，获取终端设备的标记信息。
[0030]进一步的，第一获取模块212还可包括第一记录单元和第一关联单元(图未示)，第一记录单元通过报文采集单元231所采集的报文，获取终端设备向数据库发送的数据库操作语句、终端设备登录数据库的账号和密码、终端设备登录数据库的时间。第一关联单元将终端设备的标记信息、登录数据库的账号和密码登录数据库的时间进行关联，并存储关联信息，以使得日后对关联信息进行审计的时候，能够获知操作数据库的真实用户。
[0031]若终端设备通过连接应用服务器，再由应用服务器访问数据库，则采集装置23包括应用采集单元232，第一获取模块包括第二截取单元2123和第二解析单元2124。应用采集单元232采集终端设备与应用服务器之间交互的报文。终端设备通过应用服务器间接访问数据库时，终端设备需要先建立与应用服务器之间连接，然后向应用服务器发送请求，应用服务器根据请求向数据库请求数据，应用服务器获得数据后，向终端设备返回数据。在网内的终端设备通过网内的应用服务器进行间接访问数据库时，第二截取单元通过应用采集单元232截取终端设备向应用服务器发送的第二连接报文，其中，第二连接报文是终端设备连接应用服务器时所发送的报文，第二连接报文携带终端设备的标记信息。第二解析模块2124解析第二连接报文，获取终端设备的标记信息。
[0032]第二获取模块还可包括第一截取记录单元2125和第二截取记录单元2126和判断单元2127。采集装置23还包括数据库采集单元233。终端设备需要向应用服务器请求内容，终端设备向应用服务器发送电子表单，电子表单中携带所请求的内容，例如:終端设备查询“2012-01-12至2012-03-30的工作任务”，则终端设备向应用服务器发送电子表单，电子表单携带“2012-01-12至2012-03-30的工作任务”。第一截取记录单元通过应用采集单元232截取终端设备向所述应用服务器发送的电子表单，并记录截取到电子表单的第一时间，其中，电子表单携带终端设备向应用服务器所请求的内容。
[0033]应用服务器接收到电子表单后，根据电子表单中所携带的内容，生成数据库操作语句，并数据库发送数据库操作语句，以使数据库根据数据库操作语句进行操作，并向返回操作所得的数据。数据库采集单元233采集应用服务器与数据库之间交互的内容。第二截取记录单元2126通过数据库采集单元233截取应用服务器向数据库发送的数据库操作语句，并记录截取到数据库操作语句的第二时间。
[0034]判断单元2127判断电子表单携带终端设备所请求的内容是否与数据库操作语句相匹配，以及第一时间是否与第二时间相匹配。其中，电子所携带终端设备向应用服务器所请求的内容与数据库操作语句相匹配，以及第一时间与第二时间相匹配，则说明截取数据库操作语句来源于该终端设备，例如:电子表单中携单“終端设备查询“2012-01-12至2012-03-30的工作任务”，截取的第一时间:2014-04-0212:00:00，截取到数据库操作语句“select*from 工作任务表 where time between “2012-01-12” and “2012-02-12，，，截取的第二时间为:2014-04-0212:00:01，第一时间与第二时间相差的时间小于预定值，并电子表单所携带的内容与数据库操作语句的内容也相匹配，因此，可以说明该操作语句来自该终端设备。若电子所携带终端设备向应用服务器所请求的内容与数据库操作语句相匹配，以及第一时间与第二时间相匹配，则获取审计模块213具体用于获取标记信息所映射的身份信息，并根据审计规则，结合身份信息和数据库操作语句进行审计，例如:审计具有该身份信息的用户是否具有对数据库执行数据库操作语句中指示的操作的权限。
[0035]进一步的，第一获取模块212还可包括第二记录单元(图未示)和第二关联单元(图未示)。第二记录单元通过应用采集单元所采集的报文，获取终端设备登录应用服务器的账号和密码和终端设备登录应用服务器的时间，以及通过数据库采集单元所采集的报文，获取应用服务器登录数据库的账号和密码。第二关联单元将终端设备登录应用服务器的账号和密码、终端设备登录应用服务器的时间、应用服务器登录数据库的账号和密码以及第二截取单元2126所截取到的数据库操作语句进行关联，并存储关联信息，以使得日后对关联信息进行审计的时候，能够获知操作数据库的具体信息。
[0036]若终端设备登录运维服务器，通过运维服务器远程操作数据库，则第一获取模块212还包括第一获取单元2128和提取单元2129。采集装置23包括运维采集单元234。终端设备登录运维服务器，并通过运维服务器所进行的各种操作，均会记录在运维服务器的日志数据中。运维采集单元234能够获取运维服务器中的日志数据。在所述网内的终端设备通过网内的运维服务器远程访问数据库时，第一获取单元2128通过运维采集单元234获取运维服务器的日志数据。提取单元2129从日志数据中提取终端设备的标记信息。获取审计模块213具体用于根据提取单元2129提取得到标记信息，获取标记信息所映射的身份信息，以及根据身份信息，结合审计规则，进行审计。
[0037]终端设备通过运维服务器远程登录数据库，对数据库进行图形式操作时，运维服务器会终端设备所执行的操作进行录像。数据库审计装置还包括获取记录单元214、检测单元215和告警单元216。当终端设备通过键盘输入操作命令字符，运维采集单元234能够到该操作命令字符。获取记录单元214通过运维采集单元234获取终端设备通过键盘输入的操作命令字符以及记录输入操作命令字符的输入时间。检测单元215检测操作命令字符中是否包含告警命令字符。在检测单元215检测到包括告警命令字符时，告警单元216生成告警信号，并根据输入时间提示管理人员审计录像的时间段，其中，录像为运维服务器记录终端设备对数据库进行图图形化操作录取的录像，例如:数据库不允计删除数据，若检测到输入的Delete操作命令字符时，则进行告警，并提示审查输入时间附近的时间段的录像。
[0038]进一步的，第一获取模块还包括第三记录单元(图未示)和第三关联单元(图未示)。第三记录单元通过运维采集单元234，记录终端设备登录运维服务器的账号和密码、登录数据库的账号和密码、终端设备登录的时间和数据库操作命令。第三关联单元将终端设备登录运维服务器的账号和密码、登录数据库的账号和密码、终端设备登录的时间、终端设备输入数据库操作命令和终端设备的标记信息进行关联，并存储关联信息，以使得曰后对关联信息进行审计的时候，能够获知操作数据库的具体信息。
[0039]在本发明实施方式中，预先建立终端设备的标记信息和身份信息的映射关系，在终端设备访问数据库时，从终端设备的访问信息中提出终端设备的标记信息，从而可以根据标记信息，获取身份信息，进而定位到访问数据库的具体的用户的真实身份，对真实身份进行审计，提高数据库的安全性。
[0040]本发明还提供一种数据库审计装置实施方式中。请参阅图3，数据库审计装置31包括第一获取模块311、第二获取模块312和获取审计模块313。终端设备在接入网络时，网络准入服务器32需要对终端设备进行身份认证，其中，网络准入服务器32还存储与终端设备的标记信息对应的身份信息，简而言之，终端设备接入网络，网络准入服务器获知谁访问了网络。在本发明实施方式中，身份信息包括与终端设备绑定的用户的真实姓名、联系方式和工作部门；标记信息包括IP地址、MAC地址和用户名。
[0041]第一获取模块311从网络准入服务器32获取网内所有终端设备的标记信息以及与终端设备绑定的身份信息，其中，标记信息与身份信息具有映射关系。第二获取模块312在网内的终端设备访问数据库时，采集终端设备的访问信息，并根据访问信息获取终端设备的标记信息。获取审计模块313获取标记信息映射的身份信息，并根据身份信息，结合审计规则，进行审计。
[0042]终端设备可直接访问数据库，或者，通过应用服务器间接访问数据库，或者，通过登录运维服务器，远程访问数据库。
[0043]若终端设备直接访问数据库，则第一获取模块311包括第一截取单元3121和第一解析单元3122。终端设备与数据库之间通过报文进行通信，终端设备访问数据库包括三个过程:连接数据库、操作数据库和断开数据库。终端设备在直接连接数据库时，需要向数据库发送第一连接报文，第一连接报文携带终端设备的标记信息，第一截取单元3121通过截取终端设备向数据库发送的第一连接报文。第一解析单元3122解析第一连接报文，获取终端设备的标记信息。
[0044]进一步的，第一获取模块312还可包括第一记录单元和第一关联单元(图未示)，第一记录单元通过截取终端设备与数据库交互的报文，获取终端设备向数据库发送的数据库操作语句、终端设备登录数据库的账号和密码、终端设备登录数据库的时间。第一关联单元将终端设备的标记信息、登录数据库的账号和密码登录数据库的时间进行关联，并存储关联信息，以使得日后对关联信息进行审计的时候，能够获知操作数据库的真实用户。
[0045]需要说明的是:也可设置采集装置(图未示)，采集装置采集终端设备与数据库之间交互的报文，则第一截取单元3121通过报文采集单元采集终端设备与数据库交互的报文。
[0046]若终端设备通过连接应用服务器，再由应用服务器访问数据库，则第一获取模块包括第二截取单元3123和第二解析单元3124。终端设备通过应用服务器间接访问数据库时，终端设备需要先建立与应用服务器之间连接，然后向应用服务器发送请求，应用服务器根据请求向数据库请求数据，应用服务器获得数据后，向终端设备返回数据。在网内的终端设备通过网内的应用服务器进行间接访问数据库时，第二截取单元通过截取终端设备向应用服务器发送的第二连接报文，其中，第二连接报文是终端设备连接应用服务器时所发送的报文，第二连接报文携带终端设备的标记信息。第二解析模块3124解析第二连接报文，获取终端设备的标记信息。
[0047]第二获取模块还可包括第一截取记录单元3125和第二截取记录单元3126和判断单元3127。当终端设备向应用服务器请求内容时，终端设备向应用服务器发送电子表单，电子表单中携带所请求的内容，例如:終端设备查询“2012-01-12至2012-03-30的工作任务”，则终端设备向应用服务器发送电子表单，电子表单携带“2012-01-12至2012-03-30的工作任务”。第一截取记录单元3125截取终端设备向应用服务器发送的电子表单，并记录截取到电子表单的第一时间，其中，电子表单携带终端设备向应用服务器所请求的内容。[0048]应用服务器接收到电子表单后，根据电子表单中所携带的内容，生成数据库操作语句，并数据库发送数据库操作语句，以使数据库根据数据库操作语句进行操作，并返回操作所得的数据。第二截取记录单元3126截取应用服务器向数据库发送的数据库操作语句，并记录截取到数据库操作语句的第二时间。
[0049]判断单元3127判断电子表单携带终端设备所请求的内容是否与数据库操作语句相匹配，以及第一时间是否与第二时间相匹配。其中，电子所携带终端设备向应用服务器所请求的内容与数据库操作语句相匹配，以及第一时间与第二时间相匹配，则说明截取的数据库操作语句来源于该终端设备，例如:电子表单中携单“終端设备查询“2012-01-12至2012-03-30的工作任务”，截取的第一时间:2014-04-0212:00:00，截取到数据库操作语句“select*from 工作任务表 where time between “2012-01_12”and “2012-02-12”,截取的第二时间为:2014-04-0212:00:01，第一时间与第二时间相差的时间小于预定值，则第一时间与第二时间相匹配，并且电子表单所携带的内容与数据库操作语句的内容也相匹配，因此，可以说明该操作语句来自该终端设备。若电子所携带终端设备向应用服务器所请求的内容与数据库操作语句相匹配，以及第一时间与第二时间相匹配，则获取审计模块313具体用于获取标记信息所映射的身份信息，并根据审计规则，结合身份信息和数据库操作语句进行审计，例如:审计具有该身份信息的用户是否具有对数据库执行数据库操作语句中指示的操作的权限。
[0050]进一步的，第一获取模块312还可包括第二记录单元(图未示)和第二关联单元(图未示)。第二记录单元通过应用采集单元所采集的报文，获取终端设备登录应用服务器的账号和密码和终端设备登录应用服务器的时间，以及通过数据库采集单元所采集的报文，获取应用服务器登录数据库的账号和密码。第二关联单元将终端设备登录应用服务器的账号和密码、终端设备登录应用服务器的时间、应用服务器登录数据库的账号和密码以及第二截取单元2126所截取到的数据库操作语句进行关联，并存储关联信息，以使得日后对关联信息进行审计的时候，能够获知操作数据库的具体信息。
[0051]需要说明的是:也可设置采集装置(图未示)，采集装置采集终端设备与应用服务器之间交互的内容，以及应用服务器与数据库之间交互的内容，则第二截取单元、第一截取记录单元和第二截取记录单元均通过采集装置获取内容。
[0052]若终端设备登录运维服务器，通过运维服务器远程操作数据库，则第一获取模块312还包括第一获取单元3128和提取单元3129。终端设备登录运维服务器，并通过运维服务器所进行的各种操作，均会记录在运维服务器的日志数据中。在网内的终端设备通过网内的运维服务器远程访问数据库时，第一获取单元3128通过获取运维服务器的日志数据。提取单元3129从日志数据中提取终端设备的标记信息。获取审计模块313具体用于根据提取单元3129提取得到标记信息，获取标记信息所映射的身份信息，以及根据身份信息，结合审计规则，进行审计。
[0053]终端设备通过运维服务器远程登录数据库，对数据库进行图形式操作时，运维服务器会终端设备所执行的操作进行录像。数据库审计装置31还包括获取记录单元314、检测单元315和告警单元316。获取记录单元214通过获取终端设备通过键盘输入的操作命令字符以及记录输入操作命令字符的输入时间。检测单元315检测操作命令字符中是否包含告警命令字符。在检测单元315检测到包括告警命令字符时，告警单元316生成告警信号，并根据输入时间提示管理人员审计录像的时间段，其中，录像为运维服务器记录终端设备对数据库进行图图形化操作录取的录像，例如:数据库不允计删除数据，若检测到输入的Delete操作命令字符时，则进行告警，并提示审查输入时间附近的时间段的录像。
[0054]进一步的，第一获取模块还包括第三记录单元(图未示)和第三关联单元(图未示)。第三记录单元记录终端设备登录运维服务器的账号和密码、登录数据库的账号和密码、终端设备登录的时间和数据库操作命令。第三关联单元将终端设备登录运维服务器的账号和密码、登录数据库的账号和密码、终端设备登录的时间、终端设备输入数据库操作命令和终端设备的标记信息进行关联，并存储关联信息，以使得日后对关联信息进行审计的时候，能够获知操作数据库的具体信息。
[0055]需要说明的是:也可设置采集装置(图未示)，采集装置能够获取运维服务器的日志数据，以及采集终端设备通过键盘输入的操作命令字符，则第一获取单元3128和获取记录单元314均通过采集装置获取内容。
[0056]在本发明实施方式中，预先建立终端设备的标记信息和身份信息的映射关系，在终端设备访问数据库时，从终端设备的访问信息中提出终端设备的标记信息，从而可以根据标记信息，获取身份信息，进而定位到访问数据库的具体的用户的真实身份，对真实身份进行审计，提高数据库的安全性。
[0057]本发明还提供数据库审计方法实施方式。如图4所示，方法包括:
[0058]步骤S401:从网络准入服务器获取网内所有终端设备的标记信息以及与终端设备绑定的身份信息，其中，标记信息与身份信息具有映射关系；
[0059]终端设备在接入网络时，网络准入服务器需要提取终端设备的标记信息以及终端设备的认证信息，并根据认证信息和标记信息对终端设备进行认证，并在认证成功后，将标记信息和认证信息存储在网络准入服务器的日志文件中。网络准入服务器还存储有终端设备的身份信息，其中，标记信息和身份信息具有映射关系，相当于将终端设备具体绑定到特定的用户。在本发明实施方式中，身份信息包括与终端设备绑定的用户的真实姓名、联系方式和工作部门；标记信息包括IP地址、MAC地址和用户名。
[0060]步骤S402:在网内的终端设备访问数据库时，采集终端设备的访问信息，并根据访问信息获取终端设备的标记信息；
[0061]终端设备的访问信息包括终端设备连接数据库的连接信息和终端设备操作数据库的操作信息，其中，终端设备可以直接访问数据库，也可以通过应用服务器间接访问，又可以登录运维服务器，通过运维服务器远程访问数据库。
[0062]步骤S403:根据标记信息，获取标记信息所映射的身份信息，以及根据身份信息，结合审计规则，进行审计。
[0063]获取了访问数据库的终端设备的身份信息，相当于定位到访问数据库的用户的真实身份。根据真实身份进行审计，避免无权限的用户操作数据库，提高数据库的安全性。
[0064]进一步的，由于终端设备可直接访问数据库，或者，通过应用服务器间接访问数据库，或者，通过登录运维服务器，远程访问数据库。
[0065]若终端设备直接访问数据库，则采集终端设备的访问信息为终端设备向数据库发送的第一连接报文，第一连接报文用于终端设备请求连接数据库，则如图5所示，步骤S402包括:[0066]步骤S4021:在网内的终端设备直接连接数据库时，截取终端设备向数据库发送的第一连接报文；
[0067]第一连接报文携带终端设备的标记信息，以使得数据库知道与谁建立连接关系。
[0068]步骤S4022:解析第一连接报文，获取终端设备的标记信息；
[0069]获得标记信息，即可获取身份信息，从而能够进行身份审计。
[0070]若终端设备通过应用服务器间接访问数据库，则如图6所示，步骤S402又包括:
[0071]步骤S4031:在网内的终端设备通过网内的应用服务器进行间接访问数据库时，截取终端设备向应用服务器发送的第二连接报文；
[0072]终端设备通过应用服务器间接访问数据库时，终端设备还需要先建立与应用服务器的连接，其中，第二连接报文是終端设备请求建立与应用服务器连接的报文，第二连接报文携带終端设备的标记信息。
[0073]步骤S4032:解析第二连接报文，获取终端设备的标记信息；
[0074]获取到终端设备的标记信息后，可以进一步获取终端的身份信息，进而进入步骤S403，进行身份审计。
[0075]在其他替代实施方式中，获取终端设备的标记信息后，进一步获取标记信息所映射的身份信息，以及终端设备的请求操作数据库的操作信息，结合操作信息和身份信息进行审计，则步骤S402还包括:
[0076]步骤S4033:截取终端设备向应用服务器发送的电子表单，并记录截取到电子表单的第一时间，其中，电子表单携带终端设备向应用服务器所请求的内容；
[0077]终端设备通过电子表单向应用服务器请求内容。
[0078]步骤S4034:截取应用服务器向数据库发送的数据库操作语句，并记录截取到所述数据库操作语句的第二时间；
[0079]应用服务器在接收到终端设备发送的电子表单后，根据电子表单的内容，生成数据库操作语句，并数据库发送数据库操作语句，数据库根据数据库操作语句进行操作，并返回操作结果。
[0080]步骤S4035:判断电子表单携带终端设备所请求的内容是否与数据库操作语句相匹配，以及第一时间是否与第二时间相匹配，电子表单携带终端设备所请求的内容与数据库操作语句不匹配，和/或，第一时间第二时间不匹配，则进入步骤S4036，否则进入步骤S4037:
[0081]步骤S4036:不处理。
[0082]步骤S4037:获取标记信息所映射的身份信息，并根据审计规则，结合身份信息和数据库操作语句进行审计；
[0083]电子表单携带终端设备所请求的内容与数据库操作语句相匹配，并第一时间与第二时间相匹配，则说明该数据库操作请求来源于该终端设备。
[0084]需要说明的是:步骤S4037是对步骤S403进一步细化。
[0085]若终端设备通过网内的运维服务器远程访问数据库，则如图7所示，步骤S402又包括:
[0086]步骤S4041:在网内的终端设备通过网内的运维服务器远程访问数据库时，获取运维服务器的日志数据；[0087]終端设备通过网内的运维服务器远程访问数据库，则终端设备需要登录运维服务器，通过运维服务器进行远程操作，其中，运维服务器会记录终端设备登录信息和操作信息，并存储在日志数据。
[0088]步骤S4042:从日志数据中提取终端设备的标记信息；
[0089]提取到终端设备的标记信息，即能够获取标记信息所映射的身份信息，进而进行身份认证。
[0090]进一步的，终端设备远程操作数据库时，运维服务器会对终端设备的图形化操作数据库进行录像，并且运维服务器也能够获取终端设备通过键盘输入的操作命令字符，则还可以对终端设备的图形化操作进行审计，方法还包括:获取终端设备通过键盘输入的操作命令字符以及记录输入操作命令字符的输入时间；检测操作命令字符中是否包含告警命令字符；若包含告警命令字符，则生成告警信号，并根据所述输入时间提示管理人员审计录像的时间段，其中，所述录像为所述运维服务器记录所述终端设备对所述数据库进行图图形化操作录取的录像。
[0091]在本发明实施方式中，预先建立终端设备的标记信息和身份信息的映射关系，在终端设备访问数据库时，从终端设备的访问信息中提出终端设备的标记信息，从而可以根据标记信息，获取身份信息，进而定位到访问数据库的具体的用户的真实身份，对真实身份进行审计，提高数据库的安全性。
[0092]以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的【技术领域】，均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种数据库审计的方法，其特征在于，包括: 从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系； 在所述网内的终端设备访问数据库时，采集所述终端设备的访问信息，并根据所述访问信息获取终端设备的标记信息； 根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计。
2.根据权利要求1所述的方法，其特征在于，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括: 在所述网内的终端设备直接连接所述数据库时，截取所述终端设备向所述数据库发送的第一连接报文； 解析所述第一连接报文，获取所述终端设备的标记信息。
3.根据权利要求2所述的方法，其特征在于，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括: 在所述网内的终端设备通过网内的应用服务器进行间接访问数据库时，截取所述终端设备向所述应用服务器发送的第二连接报文； 解析所述第二连接报文， 获取所述终端设备的标记信息。
4.根据权利要求3所述的方法，其特征在于，所述方法还包括: 截取所述终端设备向所述应用服务器发送的电子表单，并记录截取到所述电子表单的第一时间，其中，所述电子表单携带所述终端设备向应用服务器所请求的内容； 截取所述应用服务器向数据库发送的数据库操作语句，并记录截取到所述数据库操作语句的第二时间； 判断所述电子表单携带所述终端设备所请求的内容是否与所述数据库操作语句相匹配，以及所述第一时间是否与第二时间相匹配； 所述根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计的步骤包括: 若所述电子表单所携带所述终端设备向所述应用服务器所请求的内容与所述数据库操作语句相匹配，以及所述第一时间与第二时间相匹配，则获取所述标记信息所映射的身份信息，并根据所述审计规则，结合所述身份信息和所述数据库操作语句进行审计。
5.根据权利要求1所述的方法，其特征在于，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括: 在所述网内的终端设备通过网内的运维服务器远程访问所述数据库时，获取所述运维服务器的日志数据； 从所述日志数据中提取所述终端设备的标记信息。
6.根据权利要求5所述的方法，其特征在于，所述方法还包括: 获取所述终端设备通过键盘输入的操作命令字符以及记录输入所述操作命令字符的输入时间； 检测所述操作命令字符中是否包含告警命令字符； 若包含所述告警命令字符，则生成告警信号，并根据所述输入时间提示管理人员审计录像的时间段，其中，所述录像为所述运维服务器记录所述终端设备对所述数据库进行图形化操作时所录取的录像。
7.根据权利要求1~6中任意一项所述的方法,其特征在于， 所述标记信息包括所述终端设备的IP地址、MAC地址和用户名。
8.一种数据库审计装置，其特征在于，包括: 第一获取模块，用于从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系； 第二获取模块，用于在所述网内的终端设备访问数据库时，采集所述终端设备的访问信息，并根据所述访问信息获取所述终端设备的标记信息； 获取审计模块，用于获取所述标记信息映射的身份信息，并根据所述身份信息，结合审计规则，进行审计。
9.根据权利要求8所述的装置，其特征在于，所述标记信息包括所述终端设备的IP地址、MAC地址和用户名。
10.一种数据库审计系统，其特征在于，包括数据库审计装置、网络准入服务器和采集装置、终端设备和数据库； 所述数据库审计装置包括第一获取模块、第二获取模块和获取审计模块； 所述第一获取模块用于从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系； 所述采集装置用于在网内的终端设备访问数据库时，采集终端设备的访问信息； 所述第二获取模块用于从所述采集装置获取所述访问信息，并根据所述访问信息获取终端设备的标记信息； 所述获取审计模块用于根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计。
【文档编号】G06F21/31GK104036000SQ201410264981
【公开日】2014年9月10日 申请日期:2014年6月13日 优先权日:2014年6月13日
【发明者】赵维佺, 魏小锐, 刘永波 申请人:赵维佺, 魏小锐, 东莞理工学院, 深圳昂楷科技有限公司