本发明涉及一种互联网通信
技术领域:
:,特别涉及一种基于网闸系统的数据库安全访问技术。
背景技术:
::计算机网络的迅速发展,已经涉及到人们生活的各个方面,成为实现信息收集处理、加强交流、提交工作生活效率和质量的重要手段。中国互联网络信息中心(cnnic)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。面对internet如此巨大的市场,各行各业都在涉足并不断的寻求internet解决方案,而在众多的行业中都难以避开的就是针对各种数据的存储及处理,而这些数据的处理则暴露出更大的潜在威胁。同时,信息网络的普及和网络中各种潜在的漏洞给我们带来了新的安全威胁,如黑客侵袭、病毒骚扰和系统内部泄密等,必将造成重大损失。因此作为基于internet的各种业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的数据交互的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。针对这个问题,国家保密局早在1988年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》11中就提出了“物理隔离”的要求,稳重明确规定:涉密系统不得直接或者间接与国际联网,必须实行物理隔离。2000年国家保密局正式颁布的《计算机系统国际联网保密管理规定》121中也明确规定:“凡是涉及国家秘密的计算机信息系统,不得直接或者间接的与国际互联网或者其他公共信息网络连接,必须实行物理隔离”,因此网闸的使用必须从物理上实现真正的隔离同时以软件协助实现数据的高效传输和扫描过滤功能,而这些数据的传输就包含了我们数据库中存储的数据的交换。技术实现要素:为克服现有技术的不足,本发明结合平台(linux)防火墙(iptables)及应用代理本身对用户访问进行双重管控,在确保数据源及设备安全的同时保证合法用户对数据源的高效访问及操作。linux系统上提供的iptables防火墙是基于ip包的过滤防护其性能很高,这里巧妙借助iptables则可以高效的拦截非法用户的访问,而后再在应用层对合法用户的非法操作进行二次管控。虽然整体性能对于数据源的性能是有所下降的,但是在确保安全性的基础上较现有技术提升很大,最主要不至于让数据库安全访问网闸设备轻易被攻击。本发明本发明技术方案带来的有益效果:本发明通过采用基于底层防火墙与上层应用的双重管控的方案,在确保数据源及设备安全的同时保证合法用户对数据源的高效访问及操作;对数据库的整体访问方案是基于正向+反向代理实现,这种方案在用户使用网闸进行数据库访问的时候有效的保护了数据源和访问用户,大大提高了数据库访问的安全性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1是本发明的流程图;具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。基于网闸设备的数据库安全访问技术,首先数据库安全访问的第一出发点就是安全访问,那么这里的安全访问不仅仅是数据库安全访问的数据源的安全也包括了其他的网闸设备本身的安全,同时数据库安全访问也要考虑用户的易用性。这里数据库安全访问整体方案对于网闸系统平台也是有要求的,数据库安全访问必须要借助linux下iptables防火墙,下面详细讲一下整个安全访问的技术方案。功能部分,除开代理数据库安全访问需要配置允许访问的合法目标用户以及指定合法用户的合法和非法操作范围,这些配置也是为了给用户提供更加灵活的安全访问控制方案,针对这些访问控制配置可以分为两个部分:一是用户的选择,二是用户操作控制。在数据库安全访问的网闸系统上对于数据库访问的整套代理数据库安全访问首先针对用户的配置自动生成iptablesfilter并加入相应的ip配置项,这样一来数据库安全访问可以在海量的访问中精确快速的分辨出合法和非法的访问用户,对于非法用户的请求直接将整个ip包丢弃不做任何其他处理,针对合法用户的访问数据库安全访问进入应用层对用户访问进行分析,对解析的用户访问数据匹配访问控制策略进行逻辑处理,对于非法的请求直接丢弃,对于合法的请求则接入数据源并返回结果给用户。针对以上访问控制方案数据库安全访问可以清晰的看到每个步骤用户访问数据的流向及处理方式,这种方案即安全的防护了网闸系统及数据源,也有效的保证了代理之后的数据源的访问处理效率。举例说明:数据库访问配置部分表结构数据库访问iptables链部分配置(自动配置)以上对本发明实施例所提供的一种基于网闸系统的数据库安全访问技术进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。当前第1页12当前第1页12