[发明专利]一种数据库审计方法、装置及系统

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种数据库审计方法、装置及系统。

背景技术

数据库审计是指通过对网络数据的分析，实时地、智能地解析用户对数据库所进行的各种操作，并记录所操作的数据，以便进行查询、分析、过滤，实现对数据库的操作的监控和审计。

现有技术中的数据库审计方法：通过路旁镜像的方式抓取网络中通往数据库的应用报文，再通过数据库协议解析提取访问数据库的操作语句信息，审计该操作语句中的操作是否为允许操作，以及通过IP地址对来源的进行身份审计。

接入网络内的終端设备，例如：个人计算、IPAD等，IP地址都是动态分配，終端设备每次接入网络的IP地址都不一定相同，通过IP地址进行身份审计，无法正确审计用户的身份。另外，若有三层的CS架构应用程序或者BS架构应用程序的终端设备在访问应用服务器后，再通过应用服务器访问数据库，则通过路旁镜像的方式截取到的IP地址为应用服务器的IP地址，通过IP地址无法定位到操作数据库的终端设备。若终端设备通过远程登录等方式登录到数据库上或通过跳转到网内其它終端设备，再通过其他終端设备连接到数据库上进行操作，则很难进行网络审计。现有技术中对远程操作数据库的审计方法是：是在数据库上安装插件或者通过堡垒机，对图形化操作进行屏幕录像，后续再通过人工进行审计，但是这种方法依然无审计用户的身份，并且该种方法无法对图形化操作进行实时告警，对图形化操作都以屏幕录像的形式进行审计，需要人工查看每一段录像才能发现违规操作，工作量较大，可行性较弱。

现有技术中也采用数据库账号的方法进行身份审计，即为：终端设备登录数据库均需要数据库账号，但数据库账号的权限分配简单，并且，存在共享数据库账号的情况，很难通过数据库账号进行来源的身份审计。

发明内容

本发明主要解决的技术问题是提供一种数据库审计方法、装置及系统，能够在终端设备访问数据库时，进行身份审计，提高数据库的安全性。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种数据库审计方法，包括从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息，其中，所述标记信息与所述身份信息具有映射关系；在所述网内的终端设备访问数据库时，采集所述终端设备的访问信息，并根据所述访问信息获取终端设备的标记信息；根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计。

其中，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括：在所述网内的终端设备直接连接所述数据库时，截取所述终端设备向所述数据库发送的第一连接报文；解析所述第一连接报文，获取所述终端设备的标记信息。

其中，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括：在所述网内的终端设备通过网内的应用服务器进行间接访问数据库时，截取所述终端设备向所述应用服务器发送的第二连接报文；解析所述第二连接报文，获取所述终端设备的标记信息。

其中，方法还包括：截取所述终端设备向所述应用服务器发送的电子表单，并记录截取到所述电子表单的第一时间，其中，所述电子表单携带所述终端设备向应用服务器所请求的内容；截取所述应用服务器向数据库发送的数据库操作语句，并记录截取到所述数据库操作语句的第二时间；判断所述电子表单携带所述终端设备所请求的内容是否与所述数据库操作语句相匹配，以及所述第一时间是否与第二时间相匹配；所述根据所述标记信息，获取所述标记信息所映射的身份信息，以及根据所述身份信息，结合审计规则，进行审计的步骤包括：若所述电子表单所携带所述终端设备向所述应用服务器所请求的内容与所述数据库操作语句相匹配，以及所述第一时间与第二时间相匹配，则获取所述标记信息所映射的身份信息，并根据所述审计规则，结合所述身份信息和所述数据库操作语句进行审计。

其中，所述在所述网内的终端设备访问数据库时，获取所述终端设备的标记信息的步骤包括：在所述网内的终端设备通过网内的运维服务器远程访问所述数据库时，获取所述运维服务器的日志数据；从所述日志数据中提取所述终端设备的标记信息。

其中，所述方法还包括：获取所述终端设备通过键盘输入的操作命令字符以及记录输入所述操作命令字符的输入时间；检测所述操作命令字符中是否包含告警命令字符；若包含所述告警命令字符，则生成告警信号，并根据所述输入时间提示管理人员审计录像的时间段，其中，所述录像为所述运维服务器记录所述终端设备对所述数据库进行图形化操作时所录取的录像。