技術(shù)領(lǐng)域

本發(fā)明涉及一種數(shù)據(jù)庫(kù)提供安全防護(hù)的系統(tǒng)和方法，基于數(shù)據(jù)庫(kù)上應(yīng)用時(shí)，通過(guò)操作系統(tǒng)網(wǎng)絡(luò)驅(qū)動(dòng)、文件驅(qū)動(dòng)、SPI、HOOK和加解密技術(shù)，可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)的防護(hù)，以避免數(shù)據(jù)庫(kù)數(shù)據(jù)泄露的可能。

縮略語(yǔ)及名詞解釋：

SPI：Windows網(wǎng)絡(luò)訪問(wèn)控制技術(shù)

HOOK：Windows鉤子技術(shù)

IP：計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)地址

網(wǎng)絡(luò)驅(qū)動(dòng)：基于winodWs／linux上的網(wǎng)絡(luò)傳輸驅(qū)動(dòng)。

Ghost：磁盤(pán)備份工具

背景技術(shù)

隨著企業(yè)信息化的不斷發(fā)展，企業(yè)通過(guò)構(gòu)建信息化系統(tǒng)：業(yè)務(wù)系統(tǒng)，辦公系統(tǒng)，財(cái)務(wù)系統(tǒng)等等，這些系統(tǒng)數(shù)據(jù)都通過(guò)數(shù)據(jù)庫(kù)保存，其中不乏有企業(yè)客戶敏感的信息數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)管理員通過(guò)用戶帳戶管理、用戶權(quán)限管理，防范數(shù)據(jù)的泄漏。然而這些措施無(wú)法防止非法遠(yuǎn)程連接、非法工具訪問(wèn)。用戶可以通過(guò)合法的應(yīng)用或工具導(dǎo)出數(shù)據(jù)，將數(shù)據(jù)庫(kù)的信息導(dǎo)出至訪問(wèn)終端上存儲(chǔ)，等等。因此引發(fā)的數(shù)據(jù)庫(kù)信息泄露事件頻頻發(fā)生。

現(xiàn)有的數(shù)據(jù)庫(kù)安全軟件，都是基于數(shù)據(jù)庫(kù)審計(jì)，事后發(fā)現(xiàn)的原則實(shí)現(xiàn)，對(duì)于訪問(wèn)數(shù)據(jù)庫(kù)所面臨的信息泄露問(wèn)題，存在如下嚴(yán)重缺失：

1、對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的設(shè)備無(wú)法進(jìn)行控制。任意設(shè)備都能連接到數(shù)據(jù)庫(kù)上，無(wú)法防止非法設(shè)備的連接。

2、任意應(yīng)用或工具都能連接到數(shù)據(jù)庫(kù)，導(dǎo)致非法應(yīng)用或工具都能從數(shù)據(jù)庫(kù)中獲取數(shù)據(jù)信息。

3、對(duì)從數(shù)據(jù)庫(kù)中導(dǎo)出的數(shù)據(jù)文件僅進(jìn)行加密處理，能夠有效地防止因丟失造成的信息泄露。然而，因?yàn)闊o(wú)法配合信息系統(tǒng)中的權(quán)限管理，不能有效地限制下載者的使用權(quán)限，可能會(huì)造成下載者的越權(quán)使用所導(dǎo)致的信息泄露。

4、對(duì)數(shù)據(jù)庫(kù)文件沒(méi)有保護(hù)，數(shù)據(jù)庫(kù)文件可以隨意拷貝、刪除、移動(dòng)。導(dǎo)致數(shù)據(jù)庫(kù)文件的安全性沒(méi)有保障。

發(fā)明內(nèi)容

本發(fā)明提供了一種數(shù)據(jù)庫(kù)提供安全防護(hù)的系統(tǒng)和方法，基于企業(yè)應(yīng)用系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，通過(guò)Windows操作系統(tǒng)內(nèi)核驅(qū)動(dòng)、SPI、HOOK和加解密技術(shù)，可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)的防護(hù)，以避免通過(guò)終端進(jìn)行信息泄露的可能。

本發(fā)明所述的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)，可從三個(gè)層面防護(hù)數(shù)據(jù)庫(kù)的安全。

1.對(duì)訪問(wèn)數(shù)據(jù)庫(kù)進(jìn)行管理和控制。允許合法用戶從合法設(shè)備使用合法應(yīng)用和工具訪問(wèn)數(shù)據(jù)庫(kù)，禁止其他非法連接數(shù)據(jù)庫(kù)，防止非法遠(yuǎn)程連接數(shù)據(jù)庫(kù)。

2.對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行控制。防止對(duì)數(shù)據(jù)庫(kù)文件的拷貝、刪除、移動(dòng)。保障數(shù)據(jù)庫(kù)文件的安全。

3.對(duì)從合法應(yīng)用、數(shù)據(jù)庫(kù)工具中下載、或?qū)С龅臄?shù)據(jù)文件，進(jìn)行加密并在使用時(shí)進(jìn)行權(quán)限管理。防止用戶濫用、越權(quán)等造成的信息泄露。

圖1為本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)，其中包括

準(zhǔn)入模塊、訪問(wèn)控制模塊、數(shù)據(jù)庫(kù)文件保護(hù)模塊、加解密模塊、防硬盤(pán)拷貝模塊、日志記錄模塊。

準(zhǔn)入模塊：控制計(jì)算機(jī)連接數(shù)據(jù)庫(kù)請(qǐng)求。允許安全許可的合法用戶從合法的地址、用合法的設(shè)備、以合法的方式訪問(wèn)數(shù)據(jù)庫(kù)，禁止其他非法連接數(shù)據(jù)庫(kù)，防止非法入侵。

訪問(wèn)控制模塊：控制連接數(shù)據(jù)庫(kù)的應(yīng)用和工具。只允許合法的用戶從合法的地址、合法的設(shè)備使用合法數(shù)據(jù)庫(kù)的應(yīng)用和工具連接數(shù)據(jù)庫(kù)，其他應(yīng)用和工具禁止訪問(wèn)數(shù)據(jù)庫(kù)?？刂坪戏ㄟB接數(shù)據(jù)庫(kù)的應(yīng)用和工具對(duì)數(shù)據(jù)內(nèi)容的復(fù)制粘貼、內(nèi)容另存為、內(nèi)容打印、截屏、控制數(shù)據(jù)備份路徑等操作。

數(shù)據(jù)庫(kù)文件保護(hù)模塊：對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行保護(hù)。禁止拷貝、刪除、移動(dòng)數(shù)據(jù)庫(kù)文件。保障數(shù)據(jù)庫(kù)文件的安全。

加解密模塊：對(duì)通過(guò)合法的應(yīng)用及工具下載、備份、導(dǎo)出的數(shù)據(jù)文件進(jìn)行加密。加密文件可以在安裝本系統(tǒng)的安全環(huán)境中正常打開(kāi)，修改。離開(kāi)安全環(huán)境無(wú)法打開(kāi)。加密文件需要導(dǎo)入到數(shù)據(jù)庫(kù)時(shí)，導(dǎo)入前自動(dòng)將加密文件解密成明文，文件導(dǎo)入完成后，刪除明文文件。

防硬盤(pán)拷貝模塊：防止利用磁盤(pán)備份工具(如：ghost等)對(duì)硬盤(pán)數(shù)據(jù)整體備份，導(dǎo)致數(shù)據(jù)庫(kù)信息泄露。

日志記錄模塊：記錄針對(duì)數(shù)據(jù)庫(kù)的操作日志，包括(允許／禁止訪問(wèn)數(shù)據(jù)庫(kù)的IP地址、時(shí)間。允許／禁止拷貝、刪除、移動(dòng)數(shù)據(jù)庫(kù)文件的登錄用戶、時(shí)間。允許／禁止訪問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用、工具等)以及對(duì)打開(kāi)加密文件記錄，針對(duì)加密文檔的操作(截屏、另存、拷貝粘貼、打印)記錄。

本發(fā)明提供一種數(shù)據(jù)庫(kù)提供安全防護(hù)的系統(tǒng)和方法，準(zhǔn)入模塊控制連接數(shù)據(jù)庫(kù)的設(shè)備，訪問(wèn)控制模塊控制連接數(shù)據(jù)庫(kù)的應(yīng)用和工具，加解密模塊對(duì)連接數(shù)據(jù)庫(kù)應(yīng)用和工具導(dǎo)出／導(dǎo)入的文件、進(jìn)行加密解密。防硬盤(pán)拷貝模塊，禁止對(duì)硬盤(pán)進(jìn)行磁盤(pán)級(jí)的備份、復(fù)制。日志記錄模塊記錄所有對(duì)數(shù)據(jù)庫(kù)操作、控制行為等信息記錄。