一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法�,基于數(shù)據(jù)庫上應(yīng)用時(shí),通過操作系統(tǒng)網(wǎng)絡(luò)驅(qū)動(dòng)���、文件驅(qū)動(dòng)����、SP1、HOOK和加解密技術(shù)���,可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫中數(shù)據(jù)的防護(hù),以避免數(shù)據(jù)庫數(shù)據(jù)泄露的可能����。
[0002]縮略語及名詞解釋:
[0003]SPI =Windows網(wǎng)絡(luò)訪問控制技術(shù)
[0004]HOOK =Windows 鉤子技術(shù)
[0005]IP:計(jì)算機(jī)網(wǎng)絡(luò)訪問地址
[0006]網(wǎng)絡(luò)驅(qū)動(dòng):基于winodWs / Iinux上的網(wǎng)絡(luò)傳輸驅(qū)動(dòng)。
[0007]Ghost:磁盤備份工具
【背景技術(shù)】
[0008]隨著企業(yè)信息化的不斷發(fā)展����,企業(yè)通過構(gòu)建信息化系統(tǒng):業(yè)務(wù)系統(tǒng),辦公系統(tǒng)����,財(cái)務(wù)系統(tǒng)等等,這些系統(tǒng)數(shù)據(jù)都通過數(shù)據(jù)庫保存�����,其中不乏有企業(yè)客戶敏感的信息數(shù)據(jù)庫����。數(shù)據(jù)庫管理員通過用戶帳戶管理����、用戶權(quán)限管理����,防范數(shù)據(jù)的泄漏。然而這些措施無法防止非法遠(yuǎn)程連接��、非法工具訪問�。用戶可以通過合法的應(yīng)用或工具導(dǎo)出數(shù)據(jù),將數(shù)據(jù)庫的信息導(dǎo)出至訪問終端上存儲(chǔ)��,等等��。因此引發(fā)的數(shù)據(jù)庫信息泄露事件頻頻發(fā)生�����。
[0009]現(xiàn)有的數(shù)據(jù)庫安全軟件����,都是基于數(shù)據(jù)庫審計(jì),事后發(fā)現(xiàn)的原則實(shí)現(xiàn)�,對(duì)于訪問數(shù)據(jù)庫所面臨的信息泄露問題,存在如下嚴(yán)重缺失:
[0010]1�����、對(duì)訪問數(shù)據(jù)庫的設(shè)備無法進(jìn)行控制。任意設(shè)備都能連接到數(shù)據(jù)庫上����,無法防止非法設(shè)備的連接。
[0011]2��、任意應(yīng)用或工具都能連接到數(shù)據(jù)庫���,導(dǎo)致非法應(yīng)用或工具都能從數(shù)據(jù)庫中獲取數(shù)據(jù)信息。
[0012]3�����、對(duì)從數(shù)據(jù)庫中導(dǎo)出的數(shù)據(jù)文件僅進(jìn)行加密處理���,能夠有效地防止因丟失造成的信息泄露��。然而��,因?yàn)闊o法配合信息系統(tǒng)中的權(quán)限管理���,不能有效地限制下載者的使用權(quán)限���,可能會(huì)造成下載者的越權(quán)使用所導(dǎo)致的信息泄露。
[0013]4����、對(duì)數(shù)據(jù)庫文件沒有保護(hù),數(shù)據(jù)庫文件可以隨意拷貝����、刪除、移動(dòng)�。導(dǎo)致數(shù)據(jù)庫文件的安全性沒有保障。
【發(fā)明內(nèi)容】
[0014]本發(fā)明提供了一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法�����,基于企業(yè)應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫時(shí),通過Windows操作系統(tǒng)內(nèi)核驅(qū)動(dòng)����、SP1、Η00Κ和加解密技術(shù)���,可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫中數(shù)據(jù)的防護(hù)����,以避免通過終端進(jìn)行信息泄露的可能。
[0015]本發(fā)明所述的數(shù)據(jù)庫安全防護(hù)系統(tǒng)��,可從三個(gè)層面防護(hù)數(shù)據(jù)庫的安全���。
[0016]1.對(duì)訪問數(shù)據(jù)庫進(jìn)行管理和控制�。允許合法用戶從合法設(shè)備使用合法應(yīng)用和工具訪問數(shù)據(jù)庫���,禁止其他非法連接數(shù)據(jù)庫����,防止非法遠(yuǎn)程連接數(shù)據(jù)庫����。
[0017]2.對(duì)數(shù)據(jù)庫文件進(jìn)行控制��。防止對(duì)數(shù)據(jù)庫文件的拷貝�����、刪除��、移動(dòng)。保障數(shù)據(jù)庫文件的安全��。
[0018]3.對(duì)從合法應(yīng)用�����、數(shù)據(jù)庫工具中下載���、或?qū)С龅臄?shù)據(jù)文件�,進(jìn)行加密并在使用時(shí)進(jìn)行權(quán)限管理���。防止用戶濫用��、越權(quán)等造成的信息泄露����。
[0019]圖1為本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)�����,其中包括
[0020]準(zhǔn)入模塊�、訪問控制模塊、數(shù)據(jù)庫文件保護(hù)模塊���、加解密模塊�、防硬盤拷貝模塊、日志記錄模塊���。
[0021]準(zhǔn)入模塊:控制計(jì)算機(jī)連接數(shù)據(jù)庫請(qǐng)求�。允許安全許可的合法用戶從合法的地址��、用合法的設(shè)備����、以合法的方式訪問數(shù)據(jù)庫,禁止其他非法連接數(shù)據(jù)庫���,防止非法入侵�。
[0022]訪問控制模塊:控制連接數(shù)據(jù)庫的應(yīng)用和工具�。只允許合法的用戶從合法的地址、合法的設(shè)備使用合法數(shù)據(jù)庫的應(yīng)用和工具連接數(shù)據(jù)庫��,其他應(yīng)用和工具禁止訪問數(shù)據(jù)庫�??刂坪戏ㄟB接數(shù)據(jù)庫的應(yīng)用和工具對(duì)數(shù)據(jù)內(nèi)容的復(fù)制粘貼、內(nèi)容另存為�����、內(nèi)容打印、截屏����、控制數(shù)據(jù)備份路徑等操作。
[0023]數(shù)據(jù)庫文件保護(hù)模塊:對(duì)數(shù)據(jù)庫文件進(jìn)行保護(hù)����。禁止拷貝、刪除�����、移動(dòng)數(shù)據(jù)庫文件�����。保障數(shù)據(jù)庫文件的安全���。
[0024]加解密模塊:對(duì)通過合法的應(yīng)用及工具下載����、備份����、導(dǎo)出的數(shù)據(jù)文件進(jìn)行加密�。加密文件可以在安裝本系統(tǒng)的安全環(huán)境中正常打開�����,修改�����。離開安全環(huán)境無法打開�����。加密文件需要導(dǎo)入到數(shù)據(jù)庫時(shí)���,導(dǎo)入前自動(dòng)將加密文件解密成明文���,文件導(dǎo)入完成后,刪除明文文件���。
[0025]防硬盤拷貝模塊:防止利用磁盤備份工具(如:ghost等)對(duì)硬盤數(shù)據(jù)整體備份,導(dǎo)致數(shù)據(jù)庫信息泄露����。
[0026]日志記錄模塊:記錄針對(duì)數(shù)據(jù)庫的操作日志�����,包括(允許/禁止訪問數(shù)據(jù)庫的IP地址�、時(shí)間��。允許/禁止拷貝���、刪除��、移動(dòng)數(shù)據(jù)庫文件的登錄用戶�、時(shí)間�����。允許/禁止訪問數(shù)據(jù)庫的應(yīng)用����、工具等)以及對(duì)打開加密文件記錄,針對(duì)加密文檔的操作(截屏�����、另存、拷貝粘貼����、打印)記錄。
[0027]本發(fā)明提供一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法�,準(zhǔn)入模塊控制連接數(shù)據(jù)庫的設(shè)備,訪問控制模塊控制連接數(shù)據(jù)庫的應(yīng)用和工具��,加解密模塊對(duì)連接數(shù)據(jù)庫應(yīng)用和工具導(dǎo)出/導(dǎo)入的文件���、進(jìn)行加密解密�。防硬盤拷貝模塊���,禁止對(duì)硬盤進(jìn)行磁盤級(jí)的備份�、復(fù)制�。日志記錄模塊記錄所有對(duì)數(shù)據(jù)庫操作、控制行為等信息記錄���。
【具體實(shí)施方式】
:
[0028]數(shù)據(jù)庫服務(wù)上安裝服務(wù)端程序�,應(yīng)用端安裝客戶端�。
[0029]另外,實(shí)現(xiàn)本發(fā)明所述系統(tǒng)很重要的一點(diǎn)是安全策略的設(shè)定:
[0030]1.安全策略規(guī)范
[0031]安全策略包括以下幾項(xiàng)內(nèi)容:
[0032]I)安全等級(jí)設(shè)定
[0033]為滿足各種客戶對(duì)不同安全需求�,安全等級(jí)有三級(jí):核密�,機(jī)密��,秘密��。
[0034]2)加密算法設(shè)定
[0035]通過應(yīng)用程序可以設(shè)定不同加密算法����,如DES����,3DES,AES�����,RC4等�����。
[0036]3)密鑰設(shè)定
[0037]通過應(yīng)用程序可以設(shè)定不同密鑰�����,可以設(shè)定任何長(zhǎng)度的密鑰�����。
【附圖說明】
[0038]圖1為本發(fā)明所述的安全防護(hù)系統(tǒng)示意圖。
【主權(quán)項(xiàng)】
1.一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法���,其特征在于該系統(tǒng)運(yùn)行在操作系統(tǒng)內(nèi)核對(duì)數(shù)據(jù)庫的安全防護(hù)���,包括:準(zhǔn)入模塊、訪問控制模塊�����、數(shù)據(jù)庫文件保護(hù)模塊�、加解密模塊、防硬盤拷貝模塊����、日志記錄模塊。其中: A����、準(zhǔn)入模塊只允許合法的用戶從合法的地址、用合法的設(shè)備����、以合法的方式問數(shù)據(jù)庫�����。 B���、訪問控制模塊控制訪問數(shù)據(jù)應(yīng)用和工具���,只允許合法的用戶從合法的地址��、合法的設(shè)備使用合法數(shù)據(jù)庫連接應(yīng)用和工具訪問數(shù)據(jù)庫�����。 C����、數(shù)據(jù)庫文件保護(hù)模塊:保護(hù)數(shù)據(jù)庫文件的安全�����。防止數(shù)據(jù)庫文件被刪除���、移動(dòng)�、復(fù)制。 D����、加解密模塊:對(duì)合法數(shù)據(jù)訪問的應(yīng)用和工具導(dǎo)出/備份數(shù)據(jù)庫文件時(shí)進(jìn)行加密,導(dǎo)入數(shù)據(jù)庫文件時(shí)進(jìn)行解密���,導(dǎo)入完成后自動(dòng)刪除解密后的數(shù)據(jù)庫文件����。 E����、防硬盤拷貝模塊:禁止對(duì)硬盤的復(fù)制操作,防止利用硬盤備份工具竊走數(shù)據(jù)庫信息�����。 F��、日志記錄模塊:記錄合法/非法設(shè)備訪問數(shù)據(jù)庫時(shí)間���、IP地址�����、訪問狀態(tài)以及數(shù)據(jù)庫文件刪除���、移動(dòng)����、復(fù)制等操作記錄����。
2.如權(quán)利要求1所述的一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法�����,其特征在于準(zhǔn)入模塊允許安全許可的合法用戶從合法的地址�����、用合法的設(shè)備����、以合法的方式訪問數(shù)據(jù)庫,禁止其他非法連接數(shù)據(jù)庫�����,防止非法入侵。
3.如權(quán)利要求1所述的一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法�����,其特征在于���,訪問控制模塊���,控制連接數(shù)據(jù)庫的應(yīng)用和工具。只允許合法的用戶從合法的地址�、合法的設(shè)備使用合法數(shù)據(jù)庫的應(yīng)用和工具連接數(shù)據(jù)庫,其他應(yīng)用和工具禁止訪問數(shù)據(jù)庫����。控制合法連接數(shù)據(jù)庫的應(yīng)用和工具對(duì)數(shù)據(jù)內(nèi)容的復(fù)制粘貼���、內(nèi)容另存為��、內(nèi)容打印�、截屏��、控制數(shù)據(jù)備份路徑等操作。
4.如權(quán)利要求1所述的一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法����,其特征在于數(shù)據(jù)庫文件保護(hù)模塊,保護(hù)數(shù)據(jù)庫文件不被刪除����、拷貝、移動(dòng)等操作����。
5.如權(quán)利要求1所述的一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法,其特征在于加解密模塊對(duì)合法連接數(shù)據(jù)庫應(yīng)用和工具導(dǎo)出�����、備份的數(shù)據(jù)庫文件進(jìn)行加密���,導(dǎo)入加密的數(shù)據(jù)庫文件時(shí)先進(jìn)行解密,然后導(dǎo)入數(shù)據(jù)庫文件���。導(dǎo)入完成后自動(dòng)刪除解密后的數(shù)據(jù)庫文件���。
6.如權(quán)利要求1所述的一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法��,其特征在于防硬盤拷貝模塊防止利用磁盤備份工具(如:ghost等)對(duì)硬盤數(shù)據(jù)整體備份�����,導(dǎo)致數(shù)據(jù)庫信息泄露����。
7.如權(quán)利要求1所述的一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法�����,其特征在于�,日志記錄模塊,記錄合法訪問數(shù)據(jù)庫的IP�、時(shí)間,狀態(tài)等信息���,記錄非法訪問數(shù)據(jù)庫的IP���、時(shí)間、狀態(tài)�����。記錄復(fù)制、刪除��、移動(dòng)數(shù)據(jù)庫文件等操作信息�����。
8.一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法���,其特征在于采用權(quán)利要求1-7任一所述之?dāng)?shù)據(jù)庫安全防護(hù)和方法��。只允許合法機(jī)器��、合法數(shù)據(jù)庫訪問應(yīng)用和工具訪問數(shù)據(jù)庫并控制數(shù)據(jù)庫訪問應(yīng)用和工具對(duì)數(shù)據(jù)的復(fù)制粘貼����、截屏�、打印等功能,對(duì)備份的數(shù)據(jù)進(jìn)行加密��?�?刂茖?duì)數(shù)據(jù)庫文件的復(fù)制��、刪除��、移動(dòng)等操作���。禁止利用磁盤備份工具備份整個(gè)硬盤數(shù)據(jù)����。保護(hù)數(shù)據(jù)庫安全���。
【專利摘要】本發(fā)明提供一種數(shù)據(jù)庫提供安全防護(hù)的系統(tǒng)和方法���。準(zhǔn)入模塊、訪問控制模塊�����、數(shù)據(jù)庫文件保護(hù)模塊�、加解密模塊、防硬盤拷貝模塊�����、日志記錄模塊�����。準(zhǔn)入模塊允許/禁止訪問數(shù)據(jù)庫。訪問控制模塊允許合法的應(yīng)用和工具連接數(shù)據(jù)庫�����,禁止其他應(yīng)用和工具連接����。數(shù)據(jù)庫文件保護(hù)模塊保護(hù)數(shù)據(jù)庫文件不被刪除、拷貝����、移動(dòng)等。加解密模塊對(duì)合法應(yīng)用和工具從數(shù)據(jù)庫導(dǎo)出文件進(jìn)行加密���;導(dǎo)入加密數(shù)據(jù)文件時(shí)��,先解密后導(dǎo)入數(shù)據(jù)庫�����。防硬盤拷貝模塊禁止對(duì)硬盤的磁盤級(jí)備份����。日志記錄模塊記錄對(duì)數(shù)據(jù)庫的所有操作�����,記錄操作時(shí)間��、操作類型�、操作人等。本發(fā)明所述的系統(tǒng)和方法��,對(duì)數(shù)據(jù)庫提供安全防護(hù)���,防護(hù)全面��、可擴(kuò)展性強(qiáng)���、安全性高、系統(tǒng)資源占用率����、用戶體驗(yàn)好。
【IPC分類】G06F21-62, G06F17-30
【公開號(hào)】CN104636675
【申請(qǐng)?zhí)枴緾N201310548294
【發(fā)明人】王松山, 周亮
【申請(qǐng)人】蘇州慧盾信息安全科技有限公司
【公開日】2015年5月20日
【申請(qǐng)日】2013年11月8日