[发明专利]基于Mysql代理实现的数据库风险控制方法

说明书

本发明涉及一种基于Mysql代理实现的数据库风险控制方法。本发明提供的基于Mysql代理实现的数据库风险控制方法可以在用户操作数据库时通过旁路功能记录用户操作数据库的动作，作为事后审计时用户在操作数据库的一种行为凭据。同时旁路功能通过监控策略监控用户操作，对影响较大的操作可以进行二次确认以避免误操作带来的安全隐患，对高危操作会向管理员发送告警信息或直接拦截以保障数据库数据的安全。

技术领域

本发明涉及一种对数据库服务器的管理风险进行控制的方法。

背景技术

Mysql代理是一个处于客户端工具和数据库服务器之间的中间程序，其最基本的用法就是作为一个请求拦截、请求中转的中间层，它可以监测、分析或改变它们的通信。Mysql代理使用灵活，没有限制，常见的用途包括：负载均衡，故障、查询分析，查询过滤和修改等等。简单地说，Mysql代理就是一个连接池，负责将前台应用的连接请求转发给后台的数据库。对于应用来说，数据库服务器是不透明的，而Mysql代理则完全透明，应用只需要连接到Mysql代理即可。

虽然Mysql代理为用户提供了很大的便利性，但在现实情况下，数据库服务器每天面对着大量用户执行着不同的命令，这些操作可能会使数据库服务器因误操作或恶意攻击而导致某些关键数据被删除。Mysql代理虽然解决了很多问题，却不能拦截过滤这些安全隐患，也不会记录每个用户的操作行为，这样就大大增加了数据库服务器管理的风险和难度。

发明内容

本发明的目的是：实现在Mysql代理中记录客户端不同用户对应操作的命令以应对事后追查，以及拦截分析执行的命令以控制操作风险。

为了达到上述目的，本发明的技术方案是提供了一种基于Mysql代理实现的数据库风险控制方法，其特征在于，包括以下步骤：

步骤1、Mysql客户端通过Mysql代理建立与Mysql数据库连接的同时建立与旁路的连接，旁路中存储有用户预先设定的策略；

步骤2、当Mysql客户端向Mysql代理发送请求后，Mysql代理将请求数据包转发给旁路，旁路将请求数据包中包含的命令与预先设定的策略相匹配，若旁路策略匹配通过，则Mysql代理向Mysql数据库发送请求数据包并将请求结果返回给Mysql客户端，若旁路策略匹配未通过，则Mysql代理直接向Mysql客户端返回拒绝请求。

优选地，所述步骤1包括以下步骤：

Mysql客户端发起与Mysql数据库的连接请求，Mysql代理在收到来自Mysql客户端的连接请求后，向旁路请求初始化旁路信息，并在旁路初始化成功后向Mysql数据库发起连接请求，连接建立成功后向客户端工具返回连接建立成功的信息。

优选地，步骤1中，所述策略包括审计策略与监控策略。

优选地，所述监控策略用于对所述请求数据包进行事中拦截；所述审计策略用于对所述请求数据包进行事后审计。

本发明提供的基于Mysql代理实现的数据库风险控制方法可以在用户操作数据库时通过旁路功能记录用户操作数据库的动作，作为事后审计时用户在操作数据库的一种行为凭据。同时旁路功能通过监控策略监控用户操作，对影响较大的操作可以进行二次确认以避免误操作带来的安全隐患，对高危操作会向管理员发送告警信息或直接拦截以保障数据库数据的安全。

附图说明

图1为本发明的整体设计构架；

图2为Mysql代理旁路连接过程；

图3为Mysql代理旁路命令过程。

具体实施方式