技術領域

本發明涉及數據庫管理，尤其涉及一種數據庫安全監控裝置和方法。

背景技術

在現有的數據庫技術中，數據庫管理系統只對數據庫連接時進行甄別， 甄別方式一般采用用戶名和密碼校驗，對成功的連接不再設置合法性的監控 和管理。實際數據庫運行中，又存在以下數據庫被非法訪問的可能：

1、開發人員一般習慣性將數據庫用戶名和密碼設置成固定的，黑客很容 易通過各種手段獲得到數據庫用戶名和密碼，從而進入數據庫；

2、開發人員將用戶名和密碼進行動態設置，但是由于一些數據庫管理系 統提供了和操作系統信任的技術，使得黑客可以通過騙取操作系統的信任， 從而繞過數據庫管理系統對用戶名和密碼的檢驗；

這樣，數據庫管理系統對成功連接運行過程中監控和管理的缺失，使得 黑客一旦侵入數據庫就會有足夠的時間進行破壞性操作。

發明內容

本發明的目的是克服現有技術中對數據庫運行中的安全情況進行管理和 監控的缺失，容易被人一旦入侵成功有足夠的時間進行破壞的技術問題，提 供一種可以自定義安全級別的數據庫安全監控裝置和方法，從而達到加強數 據庫安全的目的。

本發明提出的數據庫安全監裝置包括一設置在數據庫前端的監控管理模 塊和設置在用戶端的連接申請模塊。數據庫監控管理模塊主要功能是甄別數 據庫連接用戶的合法性以及連接的運行狀況，結合已定義的安全級別記錄數 據庫的運行情況并對非法的或超出安全要求的連接強制斷開；數據庫維護一 個客戶端注冊信息的鏈表L，每個鏈表節點N至少包括標識唯一客戶端的注冊 信息和連接標志；連接申請模塊功能是向數據庫監控管理模塊發出連接請求， 并發送本客戶端的標識信息，以供數據庫監控、管理模塊甄別連接的合法性 和監控、管理到數據庫連接是否在安全級別允許范圍內。

本發明提出的數據庫安全監方法在所述的監控管理模塊在審核連接申請 過程中，執行下列步驟：

a.連接申請模塊，讀取客戶端注冊信息C并將該客戶端參數C和已注冊 客戶鏈表L中的注冊信息進行匹配查找，若匹配查找失敗，直接返回客戶端 申請模塊“未注冊”狀態；如匹配成功執行步驟b；

b.找出注冊用戶的對應節點，提取該節點的數據庫連接標志信息，若該 節點的數據庫連接標志為“未連接”，則將該節點的數據庫連接標志位設置 為“預連接”，同時返回連接申請模塊“預連接”狀態；若該節點的數據庫 連接標志是“預連接”，直接返回給返回連接申請模塊“正在處理請等待” 狀態，以免申請人多次發出請求；

c.客戶端收到轉發的狀態信息后，如是“預連接”狀態，直接連接數 據庫，如是“等待”狀態，則放棄多次請求。

所述的監控管理模塊在監控數據庫安全連接過程中，執行下列步驟：

a.數據庫監控管理模塊按預設的安全參數，定時對數據庫連接用戶進行 掃描，對數據庫的所有連接狀況進行捕捉；

b.將捕捉到的連接用戶與上次掃描捕捉到的用戶進行比較，找出所有的 新的鏈接，并將該新鏈接的客戶端信息查在已注冊用戶鏈表L節點中匹配查 找，若該新鏈接用戶的連接狀態為“預連接”，則是合法用戶，若匹配失敗， 則將該連接用戶斷開；

c.將本次審核的連接狀態參數記錄更新，并存儲到運行日志文件Log中。

與現有技術相比，本發明提出的數據庫安全監控裝置和方法通過數據庫監 控管理模塊對數據庫運行狀況的監控和管理，結合客戶端信息注冊和連接時 的請求設定，能很好地甄別出非法的或超出設定安全范圍的到數據庫的連接， 并及時斷開這些連接，從而自動完成對數據庫運行狀況的監控和管理，很好 地補充了當前數據庫管理系統對數據庫運行狀況監控、管理的缺失，極大地 增強了數據庫的安全性。

附圖說明

下面結合附圖和較佳實施例對本發明進行詳細的說明，其中：

圖1是本發明硬件的原理框圖；

圖2是本發明對數據庫申請鏈接的流程圖；

圖3是本發明對數據庫運行進行監控的流程圖。

具體實施方式