数据库安全管控方法、装置、计算机设备及存储介质与流程

本发明涉及数据库，更具体地说是指数据库安全管控方法、装置、计算机设备及存储介质。

背景技术：

1、目前对数据库安全管控，主要在客户端与数据库服务器中间网络串联一个安全设备，使用中间代理方式对sql访问进行安全管控，这种方式需要修改业务和网络配置，而且原来数据库服务器对外提供的访问接口仍然存在，客户端可以绕开安全设备直接访问数据库服务，存在安全漏洞。

2、对于原来数据库服务器对外提供的访问接口仍然存在的问题，为了防止直连数据库，通常是依靠数据库服务器自身的防火墙可以阻断外部ip，但是这种方式的管控范围不够精细；还可以依靠数据库自身语法使用触发器功能来禁止，但是这种方式只能在某些支持该功能的数据库上使用，通用性差。

3、因此，有必要设计一种新的方法，实现解决需要改造网络部署问题及部署安全设备无法防止直连数据库问题。

技术实现思路

1、本发明的目的在于克服现有技术的缺陷，提供数据库安全管控方法、装置、计算机设备及存储介质。

2、为实现上述目的，本发明采用以下技术方案：数据库安全管控方法，包括：

3、建立探针代理服务；

4、当终端访问数据库时，转发访问流量至探针服务，构建第一tcp会话；

5、利用探针模拟终端访问数据库建立第二tcp会话；

6、获取来自数据库安全设备的安全策略；

7、利用所述第一tcp会话以及所述第二tcp会话获取对应的信息；

8、根据所述安全策略判断所述信息是否存在风险；

9、若所述信息存在风险，则关闭所述第一tcp会话以及所述第二tcp会话；

10、生成sql阻断请求，并反馈至终端；

11、生成告警信息，并反馈至数据库安全设备。

12、其进一步技术方案为：所述建立探针代理服务，包括：

13、获取由数据库安全设备远程推送探针安装包或下载探针安装包方式安装探针；

14、将数据库的ip和port作为需要保护的资产信息配置到探针程序；

15、利用探针程序根据所述资产信息启动tcp代理服务，以监听tcp端口；

16、利用探针根据配置的资产信息获取数据库服务ip地址及端口；

17、将经过指定网口访问数据库端口的流量重定向到代理端口。

18、其进一步技术方案为：所述将经过指定网口访问数据库端口的流量重定向到代理端口，包括：

19、利用windows操作系统的端口映射nat功能将经过指定网口访问数据库端口的流量重定向到代理端口。

20、其进一步技术方案为：所述利用所述第一tcp会话以及所述第二tcp会话获取对应的信息，包括：

21、利用所述第一tcp会话获取终端请求数据；

22、从所述第二tcp会话中读取数据库响应数据；

23、根据所述终端请求数据以及数据库响应数据解析终端登录身份信息、sql语句、访问的数据库信息、表信息、列信息、sql响应信息；

24、将所述终端登录身份信息、sql语句、访问的数据库信息、表信息、列信息、sql响应信息保存到会话上下文中。

25、其进一步技术方案为：所述根据所述安全策略判断所述信息是否存在风险之后，还包括：

26、若所述信息不存在风险，则获取第一tcp会话的终端请求sql；

27、将所述终端请求sql通过第二tcp会话发送至数据库；

28、读取所述第二tcp会话的响应数据通过第一tcp会话发送至终端。

29、本发明还提供了数据库安全管控装置，包括：

30、服务建立单元，用于建立探针代理服务；

31、第一构建单元，用于当终端访问数据库时，转发访问流量至探针服务，构建第一tcp会话；

32、第二构建单元，用于利用探针模拟终端访问数据库建立第二tcp会话；

33、策略获取单元，用于获取来自数据库安全设备的安全策略；

34、信息获取单元，用于利用所述第一tcp会话以及所述第二tcp会话获取对应的信息；

35、判断单元，用于根据所述安全策略判断所述信息是否存在风险；

36、关闭单元，用于若所述信息存在风险，则关闭所述第一tcp会话以及所述第二tcp会话；

37、阻断请求生成单元，用于生成sql阻断请求，并反馈至终端；

38、告警信息生成单元，用于生成告警信息，并反馈至数据库安全设备。

39、其进一步技术方案为：所述服务建立单元包括：

40、安装子单元，用于获取由数据库安全设备远程推送探针安装包或下载探针安装包方式安装探针；

41、配置子单元，用于将数据库的ip和port作为需要保护的资产信息配置到探针程序；

42、服务启动子单元，用于利用探针程序根据所述资产信息启动tcp代理服务，以监听tcp端口；

43、端口获取子单元，用于利用探针根据配置的资产信息获取数据库服务ip地址及端口；

44、定向子单元，用于将经过指定网口访问数据库端口的流量重定向到代理端口。

45、其进一步技术方案为：所述定向子单元，用于利用windows操作系统的端口映射nat功能将经过指定网口访问数据库端口的流量重定向到代理端口。

46、本发明还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。

47、本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法。

48、本发明与现有技术相比的有益效果是：本发明通过在服务器内建立探针代理服务，利用该探针构建第一tcp会话以及第二tcp会话，获取来自数据库安全设备的安全策略，借助该安全策略判断第一tcp会话以及所述第二tcp会话获取对应的信息是否存在风险，当存在风险，则阻断访问并告警，当不存在风险，则完成终端与数据库的访问和数据交互，实现解决需要改造网络部署问题及部署安全设备无法防止直连数据库问题。

49、下面结合附图和具体实施例对本发明作进一步描述。

技术特征：

1.数据库安全管控方法，其特征在于，包括：

2.根据权利要求1所述的数据库安全管控方法，其特征在于，所述建立探针代理服务，包括：

3.根据权利要求2所述的数据库安全管控方法，其特征在于，所述将经过指定网口访问数据库端口的流量重定向到代理端口，包括：

4.根据权利要求1所述的数据库安全管控方法，其特征在于，所述利用所述第一tcp会话以及所述第二tcp会话获取对应的信息，包括：

5.根据权利要求1所述的数据库安全管控方法，其特征在于，所述根据所述安全策略判断所述信息是否存在风险之后，还包括：

6.数据库安全管控装置，其特征在于，包括：

7.根据权利要求6所述的数据库安全管控装置，其特征在于，所述服务建立单元包括：

8.根据权利要求7所述的数据库安全管控装置，其特征在于，所述定向子单元，用于利用windows操作系统的端口映射nat功能将经过指定网口访问数据库端口的流量重定向到代理端口。

9.一种计算机设备，其特征在于，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的方法。

10.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的方法。

技术总结
本发明实施例公开了数据库安全管控方法、装置、计算机设备及存储介质。所述方法包括：建立探针代理服务；当终端访问数据库时，转发访问流量至探针服务，构建第一TCP会话；利用探针模拟终端访问数据库建立第二TCP会话；获取来自数据库安全设备的安全策略利用所述第一TCP会话以及所述第二TCP会话获取对应的信息；根据所述安全策略判断所述信息是否存在风险；若所述信息存在风险，则关闭所述第一TCP会话以及所述第二TCP会话；生成SQL阻断请求，并反馈至终端；生成告警信息，并反馈至数据库安全设备。通过实施本发明实施例的方法可实现解决需要改造网络部署问题及部署安全设备无法防止直连数据库问题。

技术研发人员：柳遵梁,张良,周杰,闻建霞,牛自宾
受保护的技术使用者：杭州美创科技股份有限公司
技术研发日：
技术公布日：2024/1/15