技術領域

本發明涉及數據庫系統技術領域，具體涉及數據庫稽核系統合規性快速檢驗方法。

背景技術

鑒于數據庫系統在每個企業IT信息化系統中的核心地位，無論是信息安全的防守方（用戶）還是進攻方（竊密者、破壞者）都對數據庫的數據安全非常重視。數據庫安全的一個重要方面是數據庫操作的審計。早期的數據庫審計功能都是數據庫系統本身提供的。由于這種數據庫系統內置的審計功能具有很多先天不足，比如：需要消耗生產數據庫系統本身的硬件資源、審計的粒度很粗、沒有基于圖形化的報表功能等等，使得這種數據庫審計工具并沒有被廣泛使用。

后來，市場上出現了基于網絡旁路監聽方式的數據庫審計產品。這類產品的特點是：

1、通過分析網絡數據包來審計里面的SQL操作命令文本；

2、不占用任何生產數據庫系統的硬件資源；

3、采用網絡旁路方式部署，只需要在網絡交換機上做端口映射即可。

這類產品主要提供以下幾種功能：

1、記錄所有的數據庫操作指令，審計系統自身有一個數據庫，用以存放所有捕獲的生產數據庫操作指令以及數據庫會話信息；

2、實時分析數據庫操作指令是否違規；

3、如果存在可疑的數據庫違規操作，實時發出告警（短信、郵件等方式）。

上述第1項功能比較容易實現，只要能夠拿到數據庫網絡通信協議的格式就可以做到。第3項也容易實現。但是第2項功能在實際生產環境中較難實現。因為在實際生產環境中，每天發往企業核心數據庫的操作指令以萬計，以一個較大型的三甲醫院為例，每天發往數據庫服務器的操作指令有三千萬之多。要在這三千多萬的操作指令中辨別出可疑的違規指令無異于大海撈針，而且還要具有“實時”的特點。否則，即使正確地找到了違規操作指令，也難以追溯到具體的操作者的身份了。

發明內容

本發明的目的在于提供數據庫稽核系統合規性快速檢驗方法，解決了無法實時分析數據庫操作指令是否違規的問題，即采用“黑白名單”方式解決了無法在海量數據庫操作指令中，快速辨別出可疑的違規操作指令的問題。

為達到上述目的，本發明采用如下技術方案：

數據庫稽核系統合規性快速檢驗方法，包括：

S1，設置判斷規則搜索敏感的SQL語句，把數據庫操作指令SQL語句進行HASH編碼，每條SQL語句與HASH編碼一一對應；

S2，建立黑白名單機制，對S1中搜索出的SQL語句進行鑒別；如果屬于正常的應用程序產生的SQL語句，或者屬于無害的SQL語句，將該SQL語句放入到白名單中；如果屬于可疑的違規操作就將SQL語句直接放入黑名單中進行報警；

S3，如果一條SQL語句的HASH編碼不在白名單也不在黑名單中，數據庫稽核系統就會把該SQL語句放入告警名單中通知管理員進行人工鑒別。

進一步，

在步驟S1中：

T1，網絡數據包解包模塊將數據解包；

T2，導出SQL語句及數據庫會話信息；

T3，判斷SQL語句是否涉及敏感數據；

T4，對SQL語句進行HASH編碼，每條SQL語句與HASH編碼一一對應；

在步驟S2中：

T5，判斷SQL語句是否在黑名單中，若是則進入步驟T6，若否則進入步驟T8；

T6，告警模塊發短信、郵件通知管理員；

T7，把SQL語句以及數據庫會話信息存入審計數據庫中；

T8，進入違規操作處理程序，流程結束；

T9，判斷編碼是否在白名單中，若是則進入步驟T10，若否則進入步驟T11；

T10，把SQL語句以及數據庫會話信息存入審計數據庫中，然后回到步驟T2對下一個SQL語句進行判斷操作；

在步驟S3中

T11，告警模塊發短信、郵件通知管理員；

T12，人工鑒別該SQL語句是否真正違規，若是則進入步驟T13，若否則進入步驟T10；

T13，把SQL語句的編碼放入黑名單，進入步驟T7；

進一步，在步驟T1中，網絡數據包解包模塊源源不斷地把捕獲的SQL語句以及數據庫會話信息存入臨時文件中，以待數據庫稽核系統逐個進行檢查。

進一步，在步驟S2中，在初始化“黑白名單”時，有兩種方法：一種是通過人工方式；另一種是自動方式，讓審計系統自動完成初始化工作。

進一步，人工方式指在1個業務周期內，管理員手工進行SQL語句鑒別，將正常的SQL語句放入白名單中。