本發(fā)明屬于信息安全領(lǐng)域，尤其涉及一種基于登錄參數(shù)的數(shù)據(jù)庫準(zhǔn)入防火墻系統(tǒng)。
背景技術(shù)：
：隨著企業(yè)信息化進(jìn)程的發(fā)展，用戶將企業(yè)的核心業(yè)務(wù)數(shù)據(jù)和客戶信息都放置到了數(shù)據(jù)庫中，數(shù)據(jù)庫的安全管理需求變得越來越迫切，由于數(shù)據(jù)庫自身的安全性不足等原因，攻擊者可通過各種途徑進(jìn)行非法訪問，甚至第三方人員的訪問也無法進(jìn)行有效的管控。為保障數(shù)據(jù)庫以及信息系統(tǒng)的安全，各企業(yè)和單位采取了許多防護(hù)措施，但絕大多數(shù)的防護(hù)措施和方法只能進(jìn)行地址、端口、協(xié)議等網(wǎng)絡(luò)層過濾現(xiàn)有的安全防護(hù)，對(duì)數(shù)據(jù)庫訪問權(quán)限上，并不能進(jìn)行有效的控制，極易發(fā)生越權(quán)訪問，惡意數(shù)據(jù)庫接入，數(shù)據(jù)庫信息外泄和篡改的情況。此外，很多用戶環(huán)境下，攻擊者設(shè)置可以通過偽造IP地址，在合法的設(shè)備上上傳非法的數(shù)據(jù)庫訪問工具，甚至是直接用高權(quán)限數(shù)據(jù)庫賬號(hào)進(jìn)行訪問，現(xiàn)有的數(shù)據(jù)庫安全體系，無法對(duì)這些攻擊進(jìn)行有效防御。技術(shù)實(shí)現(xiàn)要素：為解決上述數(shù)據(jù)庫安全訪問問題，杜絕非授權(quán)用戶接入數(shù)據(jù)庫系統(tǒng)，本發(fā)明提供了一種基于登錄參數(shù)的數(shù)據(jù)庫準(zhǔn)入防火墻系統(tǒng)。為實(shí)現(xiàn)上述目的以及實(shí)際部署需要，本發(fā)明在TCP/IP五元組流標(biāo)識(shí)基礎(chǔ)之上，增加數(shù)據(jù)庫賬號(hào)名稱、訪問工具名稱、訪問源主機(jī)名稱、訪問源用戶名稱、訪問時(shí)間等數(shù)據(jù)庫登錄參數(shù)作為新的流標(biāo)識(shí)因子，利用網(wǎng)絡(luò)防火墻訪問控制邏輯及其展現(xiàn)形式，根據(jù)設(shè)置的過濾規(guī)則觸發(fā)阻斷動(dòng)作。本發(fā)明通過以下方案來實(shí)現(xiàn)：一種基于登錄參數(shù)的數(shù)據(jù)庫準(zhǔn)入防火墻系統(tǒng)，該系統(tǒng)包括網(wǎng)絡(luò)接入模塊、協(xié)議解碼模塊、規(guī)則處理模塊以及日志告警模塊；所述網(wǎng)絡(luò)接入模塊包含兩種接入模式：并聯(lián)接入以及串聯(lián)接入，可根據(jù)不同需求進(jìn)行不同級(jí)別的部署；所述協(xié)議解碼模塊分析并識(shí)別數(shù)據(jù)庫通訊協(xié)議以及SQL操作語句，進(jìn)行應(yīng)用層的協(xié)議解碼，通過流會(huì)話解碼技術(shù)，對(duì)數(shù)據(jù)庫通訊協(xié)議進(jìn)行流重組，所有解析語句都會(huì)標(biāo)記唯一的會(huì)話標(biāo)識(shí)，然后提取出數(shù)據(jù)庫登錄參數(shù)；數(shù)據(jù)庫登錄參數(shù)在網(wǎng)絡(luò)傳輸中依據(jù)數(shù)據(jù)庫協(xié)議不同而有差異；所述規(guī)則處理模塊包含三部分：規(guī)則配置、規(guī)則過濾以及動(dòng)作處理；所述規(guī)則配置采用防火墻規(guī)則表現(xiàn)形式，支持黑、白名單模式；所述規(guī)則過濾支持任意登錄參數(shù)因子組合匹配，所有登錄參數(shù)可以進(jìn)行任意組合，只要有任何一個(gè)登錄參數(shù)因子不符合規(guī)則策略，都會(huì)觸發(fā)后續(xù)的動(dòng)作處理；所述動(dòng)作處理根據(jù)網(wǎng)絡(luò)接入模塊不同采用不同處理辦法，串聯(lián)準(zhǔn)入網(wǎng)絡(luò)墻規(guī)則處理動(dòng)作采用“丟棄+RST阻斷”實(shí)現(xiàn)方式；并聯(lián)接入數(shù)據(jù)庫準(zhǔn)入防火墻采用“RST阻斷”實(shí)現(xiàn)方式；規(guī)則處理模塊采用流標(biāo)記跟蹤每一個(gè)數(shù)據(jù)包，流一旦標(biāo)記為阻斷，對(duì)于與此流相關(guān)聯(lián)的后續(xù)每一個(gè)網(wǎng)絡(luò)包，都將觸發(fā)阻斷操作，以便徹底阻斷用戶接入數(shù)據(jù)庫服務(wù)，避免無法阻斷網(wǎng)絡(luò)聯(lián)接導(dǎo)致準(zhǔn)入策略無效事件發(fā)生；所述日志告警模塊集中處理規(guī)則告警，并以事件形式集中存放于內(nèi)部數(shù)據(jù)庫中，以便管理員分析、總結(jié)和統(tǒng)計(jì)。進(jìn)一步地，所述數(shù)據(jù)庫登錄參數(shù)包括數(shù)據(jù)庫賬號(hào)名稱、訪問工具名稱、訪問源主機(jī)名稱、訪問源用戶名稱、訪問源IP地址、訪問時(shí)間中的一個(gè)或多個(gè)。進(jìn)一步地，所述網(wǎng)絡(luò)接入模塊的串聯(lián)接入模式，通過配置BYPASS網(wǎng)卡實(shí)現(xiàn)透明網(wǎng)橋。進(jìn)一步地，所述協(xié)議解碼模塊，包括對(duì)SQLServer、Mysql、DB2、Oracle、Informix、Sybase的數(shù)據(jù)庫協(xié)議解碼。進(jìn)一步地，所述協(xié)議解碼模塊，針對(duì)SQLServer的TDS協(xié)議登錄參數(shù)加密字段，通過獲取加密證書實(shí)現(xiàn)加密參數(shù)解析。進(jìn)一步地，所述規(guī)則處理模塊，可根據(jù)協(xié)議解碼模塊解析的登錄參數(shù)，通過白名單的方式進(jìn)行規(guī)則配置，即只有配置在策略內(nèi)的數(shù)據(jù)庫接入行為是允許的，其他的數(shù)據(jù)庫接入都會(huì)被拒絕和阻斷。進(jìn)一步地，所述規(guī)則處理模塊采用任意登錄參數(shù)因子組合匹配模式，該模式支持的登錄參數(shù)因子如下：數(shù)據(jù)庫賬號(hào)名稱、訪問工具名稱、訪問源主機(jī)名稱、訪問源用戶名稱，訪問源IP地址，訪問時(shí)間；任一登錄參數(shù)因子不符合策略規(guī)則，都會(huì)觸發(fā)阻斷動(dòng)作。本發(fā)明的有益效果是：本發(fā)明提出的數(shù)據(jù)庫準(zhǔn)入防火墻，通過解析數(shù)據(jù)庫登錄參數(shù)，并且將登錄參數(shù)作為認(rèn)證因子進(jìn)行混合匹配認(rèn)證，只要有一個(gè)因子不符合制定的規(guī)則，就會(huì)被阻斷，確保數(shù)據(jù)庫準(zhǔn)入行為的可靠性。即使攻擊者想通過更換賬號(hào)、工具、接入設(shè)備等方式對(duì)數(shù)據(jù)庫進(jìn)行訪問，都會(huì)被精準(zhǔn)識(shí)別并被阻斷，從數(shù)據(jù)庫安全接入層面杜絕非法訪問數(shù)據(jù)庫，非法操作數(shù)據(jù)庫的行為，從而大大降低了數(shù)據(jù)庫的安全風(fēng)險(xiǎn)。附圖說明圖1為本發(fā)明數(shù)據(jù)庫準(zhǔn)入防火墻的系統(tǒng)架構(gòu)圖；圖2為本發(fā)明數(shù)據(jù)庫準(zhǔn)入防火墻的系統(tǒng)流程圖。具體實(shí)施方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。如圖1所示，本發(fā)明提供的一種基于登錄參數(shù)的數(shù)據(jù)庫準(zhǔn)入防火墻系統(tǒng)，包含四大模塊，分別是網(wǎng)絡(luò)接入模塊、協(xié)議解碼模塊、規(guī)則處理模塊以及日志告警模塊。用戶訪問數(shù)據(jù)庫會(huì)經(jīng)過數(shù)據(jù)庫準(zhǔn)入防火墻系統(tǒng)的分析和規(guī)則匹配，通過規(guī)則允許的才能夠進(jìn)行訪問數(shù)據(jù)庫，非允許訪問會(huì)被阻斷，上述模塊其具體功能如下：1)所述網(wǎng)絡(luò)接入模塊包含兩種接入模式：并聯(lián)接入以及串聯(lián)接入，可根據(jù)不同需求進(jìn)行不同級(jí)別的部署。2)所述協(xié)議解碼模塊分析并識(shí)別數(shù)據(jù)庫通訊協(xié)議以及SQL操作語句，進(jìn)行應(yīng)用層的協(xié)議解碼，比如Oracle的TNS協(xié)議和SQLserver的TDS協(xié)議等，通過流會(huì)話解碼技術(shù)，對(duì)數(shù)據(jù)庫通訊協(xié)議進(jìn)行流重組，所有解析語句都會(huì)標(biāo)記唯一的會(huì)話標(biāo)識(shí)，然后提取出數(shù)據(jù)庫賬號(hào)名稱、訪問工具名稱、訪問源主機(jī)名稱、訪問源用戶名稱、訪問源IP地址、訪問時(shí)間等數(shù)據(jù)庫登錄參數(shù)；數(shù)據(jù)庫登錄參數(shù)在網(wǎng)絡(luò)傳輸中依據(jù)數(shù)據(jù)庫協(xié)議不同而有差異；3)所述規(guī)則處理模塊包含三部分：規(guī)則配置、規(guī)則過濾以及動(dòng)作處理；所述規(guī)則配置采用防火墻規(guī)則表現(xiàn)形式，支持黑、白名單模式；所述規(guī)則過濾支持任意登錄參數(shù)因子組合匹配，所有登錄參數(shù)可以進(jìn)行任意組合，只要有任何一個(gè)登錄參數(shù)因子不符合規(guī)則策略，都會(huì)觸發(fā)后續(xù)的動(dòng)作處理；所述動(dòng)作處理根據(jù)網(wǎng)絡(luò)接入模塊不同采用不同處理辦法，串聯(lián)準(zhǔn)入網(wǎng)絡(luò)墻規(guī)則處理動(dòng)作采用“丟棄+RST阻斷”實(shí)現(xiàn)方式；并聯(lián)接入數(shù)據(jù)庫準(zhǔn)入防火墻采用“RST阻斷”實(shí)現(xiàn)方式；本發(fā)明的規(guī)則處理模塊區(qū)別于傳統(tǒng)IDS、IPS阻斷方式是采用流標(biāo)記跟蹤每一個(gè)數(shù)據(jù)包，流一旦標(biāo)記為阻斷，對(duì)于與此流相關(guān)聯(lián)的后續(xù)每一個(gè)網(wǎng)絡(luò)包，都將觸發(fā)阻斷操作，以便徹底阻斷用戶接入數(shù)據(jù)庫服務(wù)，避免無法阻斷網(wǎng)絡(luò)聯(lián)接導(dǎo)致準(zhǔn)入策略無效事件發(fā)生；4)所述日志告警模塊：集中處理規(guī)則告警，并以事件形式集中存放于內(nèi)部數(shù)據(jù)庫中，以便管理員分析、總結(jié)和統(tǒng)計(jì)。所述網(wǎng)絡(luò)接入模塊的串聯(lián)接入模式，通過配置BYPASS網(wǎng)卡實(shí)現(xiàn)透明網(wǎng)橋。所述協(xié)議解碼模塊，包括對(duì)SQLServer、Mysql、DB2、Oracle、Informix、Sybase的數(shù)據(jù)庫協(xié)議解碼。所述協(xié)議解碼模塊，針對(duì)SQLServer的TDS協(xié)議登錄參數(shù)加密字段，通過獲取加密證書實(shí)現(xiàn)加密參數(shù)解析。所述規(guī)則處理模塊采用任意登錄參數(shù)因子組合匹配模式，該模式支持的登錄參數(shù)因子如下：數(shù)據(jù)庫賬號(hào)名稱、訪問工具名稱、訪問源主機(jī)名稱、訪問源用戶名稱，訪問源IP地址，訪問時(shí)間；任一登錄參數(shù)因子不符合策略規(guī)則，都會(huì)觸發(fā)阻斷動(dòng)作。所述規(guī)則處理模塊，可根據(jù)協(xié)議解碼模塊解析的登錄參數(shù)，通過白名單的方式進(jìn)行規(guī)則配置，即只有配置在策略內(nèi)的數(shù)據(jù)庫接入行為是允許的，其他的數(shù)據(jù)庫接入都會(huì)被拒絕和阻斷。實(shí)施例：數(shù)據(jù)庫準(zhǔn)入防火墻通過串聯(lián)部署在用戶環(huán)境，用戶A和用戶B每次訪問數(shù)據(jù)庫都會(huì)經(jīng)過數(shù)據(jù)庫準(zhǔn)入防火墻的策略檢查。假設(shè)用戶A和用戶B都對(duì)數(shù)據(jù)庫進(jìn)行了登錄訪問，協(xié)議解碼模塊對(duì)兩者的登錄參數(shù)進(jìn)行解析，得出以下的登錄因子：表1用戶源主機(jī)名稱源用戶名稱訪問工具數(shù)據(jù)庫賬號(hào)名稱AA-HostnameA-UserSqlplusNormalBB-HostnameB-UserODBCSystem假設(shè)用戶A和用戶B的數(shù)據(jù)庫訪問權(quán)限是合規(guī)的，在規(guī)則處理模塊的規(guī)則配置部分對(duì)用戶A和用戶B的登錄參數(shù)進(jìn)行準(zhǔn)入規(guī)則制定，用戶A和用戶B登錄數(shù)據(jù)庫必須完全滿足以上表格的登錄參數(shù)才能放行。假設(shè)用戶A從其他途徑獲得數(shù)據(jù)庫高權(quán)限賬號(hào)system，用戶B上傳了一個(gè)強(qiáng)大的客戶端工具Hack-DB，想要對(duì)數(shù)據(jù)庫進(jìn)行一些惡意操作。如圖2所示，系統(tǒng)對(duì)數(shù)據(jù)包進(jìn)行接收，同時(shí)創(chuàng)建和關(guān)聯(lián)流標(biāo)識(shí)，對(duì)用戶A和用戶B的連接進(jìn)行會(huì)話鎖定和關(guān)聯(lián)。之后進(jìn)行協(xié)議解碼，登錄參數(shù)解碼情況如下：表2用戶源主機(jī)名稱源用戶名稱訪問工具數(shù)據(jù)庫賬號(hào)名稱AA-HostnameA-UserSqlplusSystemBB-HostnameB-UserHack-DBSystem表2解析的登錄參數(shù)和表1的規(guī)則策略進(jìn)行對(duì)比，我們可以看到，用戶A的數(shù)據(jù)庫賬號(hào)名稱發(fā)生了變化，由Normal變成了System，用戶B的訪問工具發(fā)生了變化，由ODBC變成了Hack-DB，根據(jù)規(guī)則處理的原則，有一項(xiàng)的登錄參數(shù)不符合，都會(huì)觸發(fā)拒絕阻斷的策略動(dòng)作。阻斷策略觸發(fā)后，將會(huì)對(duì)前面標(biāo)記的流標(biāo)識(shí)會(huì)話的所有動(dòng)作都進(jìn)行阻斷，防止阻斷策略失效，確保數(shù)據(jù)庫準(zhǔn)入策略的可靠性。當(dāng)前第1頁1 2 3