一种数据库防绕过方法、系统、设备及介质与流程

本发明涉及数据库安全防护领域，具体而言，涉及一种数据库防绕过方法、系统、设备及介质。

背景技术：

1、随着互联网技术的飞速发展，我们身边的各种软件也已经越来越多了起来，各种琳琅满目的网站、app等等，这些都使用了数据库技术来存储数据，随之而来的也有越来越大的风险。为了对数据库进行安全防护，在现有技术中主要是包括类似以网关式访问控制为主进行的安全防护。例如，包括数据库审计，采用旁路反向代理部署作为事后风险定位和追踪的产品，然而其需要应用系统修改访问数据库ip地址，改变的访问结构的复杂性较高；或采用数据库防火墙、动态脱敏类产品，对应的安全运维产品能实时检测敏感访问，或风险操作，能实现对风险行为拦截、脱敏和审批访问，但其局限于部署位置和访问绕过将可能会引起数据防护泄露，这样就形成了无效防御。因此，急需一种不改变网络结构情况下，能够保障安全访问，用以解决访问数据库的外部访问被绕过，导致的恶意攻击或数据泄露问题。

技术实现思路

1、本发明的目的在于提供一种数据库防绕过方法、系统、设备及介质，其能够在不改变网络结构情况下，对应用程序透明，同时可以接入业务侧和运维侧的访问流量，做到了全流量监管，用以解决访问数据库的外部访问被绕过，导致的恶意攻击或数据泄露问题。

2、本发明的实施例是这样实现的：

3、第一方面，本申请实施例提供一种数据库防绕过方法，包括以下步骤：

4、在目标防护系统上设置预置代理插件，所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发；以及配置策略处理机制，并基于配置的策略处理机制配合预置代理插件进行数据报文处理；基于预置代理插件接收用户侧sql流量报文，进行数据库协议解析，并根据解析结果进行对应的防护处理。

5、在本发明的一些实施例中，上述基于预置代理插件接收用户侧sql流量报文，进行数据库协议解析，并根据解析结果进行对应的防护处理的步骤具体包括：基于接收的数据库sql请求数据报文进行数据库协议解析，得到对应的sql信息；基于sql信息利用策略处理机制依次进行判断是否具有访问权限和查看明文信息权限，根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库。

6、在本发明的一些实施例中，上述根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库包括：若不具有访问权限，则构造错误的数据包发送给数据库，否则，进入下一步；若不具有查看明文权限，则构造脱敏数据包发送给数据库，若具有，则直接转发给数据库。

7、在本发明的一些实施例中，上述基于预置代理插件接收用户侧sql流量报文包括：对用户侧sql流量报文进行内容校验，其中内容校验包括：检测字符串的內容，只接纳需要的值；拒绝包括二进制、转义序列和注释內容；检测输入内容的大小和数据类型，并根据检测结果强制执行对应适度的限定与变换。

8、第二方面，本申请实施例提供一种数据库防绕过系统，其包括：

9、插件设置模块，用于在目标防护系统上设置预置代理插件，所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发；策略配置模块，用于配置策略处理机制，并基于配置的策略处理机制配合预置代理插件进行数据报文处理；防护处理模块，用于基于预置代理插件接收用户侧sql流量报文，进行数据库协议解析，并根据解析结果进行对应的防护处理。

10、第三方面，本申请实施例提供一种电子设备，其包括存储器，用于存储一个或多个程序；处理器。当上述一个或多个程序被上述处理器执行时，实现如上述第一方面中任一项上述的方法。

11、第四方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述第一方面中任一项上述的方法。

12、相对于现有技术，本发明的实施例至少具有如下优点或有益效果：

13、本发明的实施例提出了一种数据库防绕过方法，其首先在目标防护系统上设置预置代理插件以及配置策略处理机制，从而后续可以基于预置代理插件接收用户侧sql流量报文，进行数据库协议解析，并根据解析结果进行对应的防护处理。也就是说，其在不改变网络结构的情况下，通过利用预置代理插件以及配置的策略处理机制同时可以接入业务侧和运维侧的访问流量，做到了全流量监管，用以解决访问数据库的外部访问被绕过，导致的恶意攻击或数据泄露问题。从而能够对有价值的数据进行持续有效的保护，同时也能够保证其共享使用功能不受影响，进而提升数据的价值和使用。

技术特征：

1.一种数据库防绕过方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种数据库防绕过方法，其特征在于，所述基于预置代理插件接收用户侧sql流量报文，进行数据库协议解析，并根据解析结果进行对应的防护处理的步骤具体包括：

3.如权利要求2所述的一种数据库防绕过方法，其特征在于，所述根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库包括：

4.如权利要求1所述的一种数据库防绕过方法，其特征在于，所述基于预置代理插件接收用户侧sql流量报文包括：

5.一种数据库防绕过系统， 其特征在于，包括：

6.一种电子设备，其特征在于，包括至少一个处理器、至少一个存储器和数据总线；其中：所述处理器与所述存储器通过所述数据总线完成相互间的通信；所述存储器存储有被所述处理器执行的程序指令，所述处理器调用所述程序指令以执行如权利要求1-4任一项所述的方法。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1-4中任一项所述的方法。

技术总结
本发明提出了一种数据库防绕过方法、系统、设备及介质，涉及数据库安全防护领域。该方法包括：在目标防护系统上设置预置代理插件，所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发；以及配置策略处理机制，并基于配置的策略处理机制配合预置代理插件进行数据报文处理；基于预置代理插件接收用户侧SQL流量报文，进行数据库协议解析，并根据解析结果进行对应的防护处理。该方法能够在不改变网络结构情况下，对应用程序透明，同时可以接入业务侧和运维侧的访问流量，做到了全流量监管，用以解决访问数据库的外部访问被绕过，导致的恶意攻击或数据泄露问题。

技术研发人员：唐更新,张朝辉,赵卫国,宋辉
受保护的技术使用者：北京中安星云软件技术有限公司
技术研发日：
技术公布日：2024/1/11