[发明专利]一种构建数据库防火墙的方法和装置

说明书

技术领域

本发明涉及通信领域中数据库技术领域，具体地，涉及构建数据库防火墙的方法和装置。

背景技术

信息技术时代，企业的快速发展离不开大型IT系统的支撑。一方面，市场业务的发展对生产型IT系统的运行稳定性提出日渐严苛的要求，另一方面由于企业内部管理、分析统计、软件调整的需要，不可避免地要在生产系统的数据库上运行各种结构化查询语言（Structured Query Language，以下简称SQL），这类SQL我们称为后台事务SQL。因此生产系统数据库常常同时承载着前台业务SQL和后台事务SQL。

通常情况下，前台业务服务对象为企业的单个客户或客户群体，每日执行量大，操作数据量较小，运行速度通常较快，且由于在上线时经过版本测试、压力测试等环节，故运行质量较为稳定，不易发生问题。

反观后台事务SQL，由于通常是企业内部临时性统计或变更需求，由于是人工发起，每日执行量小，而其操作数据量无固定规律可循（可能极小或极大），且其编写质量仅由开发人员技术水平决定，故极易因编写失误、操作数据量过大、误删关键表数据等因素，而产生难以估量的后果，如表1所示：

表1

SQL事务前台事务后台事务执行量相对较大相对较少运行质量稳定未知运行速度通常较快未知结果实时反馈要求要求较高要求较低引起故障可能性较低较高

近年来，大型企业多已注意到后台事务SQL质量难以把控的问题，而制定各种操作审核规范和SQL编写规范，试图对其进行有效管理，随之而来的代价一方面是因流程复杂化导致的开发效率下降，另一方面是在SQL审核工作上需投入更多的人力成本。

图1为现有技术维护终端访问生产数据库的系统架构，维护终端发起的SQL命令可以直接在生产系统数据库中执行，由于数据库自身无法对操作可能的后果做判定，存在以下问题：

1、开发或运维人员的技术水平良莠不齐，常存在因SQL编写失误，导致修改、删除了业务表记录的问题。

2、在生产高峰期对数据库发起数据批量操作，可能引起业务表被锁，导致业务无法办理的故障。

发明内容

本发明是为了克服现有技术中生产数据库的安全性无法保证的缺陷，根据本发明的一个方面，提出一种构建数据库防火墙的方法。

根据本发明实施例的构建数据库防火墙方法，包括：

接收发起账号的SQL查询，对发起账号进行判定：

如果发起账号在账号白名单中，则将SQL转入后端数据库处理；

如果发起账号在账号黑名单中，则将SQL拦截。

本发明是为了克服现有技术中生产数据库的安全性无法保证的缺陷，根据本发明的另一个方面，提出一种构建数据库防火墙的装置。

根据本发明实施例的构建数据库防火墙的装置，包括：

访问接收模块，用于接收发起账号的SQL查询；