[发明专利]一种用于数据库系统的防护方法及系统

说明书

技术领域

本发明涉及数据库加密技术领域，特别涉及一种用于数据库系统的防护方法及系统。 

背景技术

随着计算机技术的飞速发展，数据库的应用深入到各个领域。数据库系统作为信息的聚集体，其安全性至关重要。 

虽然目前为加强数据库系统的数据安全，采用了许多防护措施，包括机房安全、物理隔离、防火墙、入侵检测、加密传输身份认证系统等等。但这些防护措施无法高效地保证数据库系统的安全，例如，数据库系统通常采用自主访问控制模式，其中数据库管理员拥有至高的权限，一旦攻击者获得数据库管理员的权限，数据库将对其彻底暴露，毫无任何安全性可言，另外数据库系统通常采用基于口令的认证登录方式，而对登录口令缺乏有效的管理机制，从而增大了口令泄露的风险。 

如何在数据库和用户应用之间构筑安全防护机制，是一个亟待解决的问题。 

发明内容

为解决上述问题，本发明提供了一种用于数据库系统的防护方法及系统，能够在数据库和用户应用之间构筑安全防护机制，实现数据库的数据安全。 

本发明实施例提供一种用于数据库系统的防护方法，在客户端与数据库系统之间设置一数据库防护系统，该方法包括： 

A.数据库防护系统通过客户端获取用户所输入的登录信息； 

B.数据库防护系统根据所述登录信息，判断对数据库的操作指令是否允许； 

C.如果判断对数据库的操作指令是允许的，数据库防护系统为所述操作指令配置数据库端口； 

D.数据库防护系统通过数据库端口，对数据库系统执行所述操作。 

通过数据库防护系统，将数据库服务器与应用程序之间进行隔离。所有对数据库的访问都必须经过数据库防护系统，从而使数据传输的通道被屏蔽掉，不会被攻击者直接利用。 

其中，步骤D之后还包括：数据库防护系统将执行后的信息传送给所述客户端。 

通过数据库防护系统，使得数据库服务器与应用程序之间进行隔离，数据库系统相对于用户来说是不透明的，不会被攻击者直接利用。 

其中，步骤B包括：获取所述用户的管理权限；根据所述用户的管理权限，判断对数据库的操作指令是否允许。 

在数据库系统中预先规定各个用户的权限，由数据库防护系统提供独立的权限管理，由于攻击者只能获得受限的权限，不能获取管理员级别的特权。从而有效的遏制了越权访问、注入攻击、存储过程非法使用等攻击类型。 

其中，步骤D之后还包括：数据库防护系统对所有对数据库进行操作的信息进行审计。 

通过审计来自每个应用服务器的访问情况。包括请求的数据库，连接的时间，连接断开的时间，通信量大小等信息，可以及时检测出非法进入数据库系统的企图，以及每次非法越权访问的企图。 

其中，在所述数据库防护系统对所有对数据库进行操作的信息进行审计之后，还包括：发送非法访问数据库系统的警报。 

通过将报警信息发送给具有审计权限的用户，防止任何人人修改审计记录。 

其中，所述登录信息包括动态口令信息，所述动态口令是由数据库防护系统动态提供的。 

数据库系统的防护系统为用户提供动态口令，在每次需要登录的时候，用户可通过动态密码获取当前登录口令，数据库系统的防护系统在每次响应口令请求之后，自动为用户更换登录口令，并使之前使用的口令作废，从而使管理员不必担心口令泄露， 

其中，步骤D包括：数据库防护系统向数据库系统提出操作请求；数据库系统根据所述操作请求，对所述数据库防护系统进行身份认证，并判断对数据库的操作指令是否允许；如果判断对数据库的操作指令是允许的，则数据库防护系统通过数据库端口，对数据库系统执行所述操作。 

应用程序对数据库的访问，必须经过数据库防护系统和数据库系统两层身份认证和权限检查，从而提高了数据库系统的安全性。 

本发明实施例提供一种用于数据库系统的防护系统，包括：登录信息获取模块，用于获取用户所输入的数据库系统的访问请求信息；权限检验模块，用于根据预先制定的安全策略，对提交到数据库系统的访问请求信息进行权限检验，判断所述访问请求是否允许；透明代理模块，用于如果所述访问请求是允许的，数据库防护系统为所述访问请求的操作指令配置数据库端口，通过所述数据库端口，对数据库系统执行所述操作。 

通过数据库防护系统，将数据库服务器与应用程序之间进行隔离。所有对数据库的访问都必须经过数据库防护系统，从而使数据传输的通道被屏蔽掉，不会被攻击者直接利用。