技術領域

本發明屬于電力企業信息系統信息集成領域的跨因特網和電力信息內網的信息交換技術領域，特別是一種基于信息交換總線的內外網數據庫訪問方法。

背景技術

電力信息網承載著電力市場交易、招投標、營銷等多個業務系統，對內提供如審計、評標、核算等業務，對外提供發布、投標、繳費等各項服務。若對信息系統分級過多將會導致各個分區間數據交換帶來的大量延時。為此，把電力信息網絡分為信息內網和信息外網。信息外網和因特網之間采用防火墻相連，屬于低安全級別區域，信息內網與信息外網邏輯隔離，與電力內部其他數據網物理隔離，屬于高級別安全區域，各個業務系統根據其具體需要把相應的服務器分別放置在信息內外網。

為了最大程度地保證電力信息系統的安全，把盡可能多的業務放到信息內網，把對外提供服務的服務器設在外網，其他對內服務器、個人計算機等所有主機都放置在信息內網，特別需要強調為了保護數據的安全，所有業務系統的數據庫放置在信息內網。

目前，由于安全隔離總線放置在信息內外網的邊界，所以首先要起到一般防火墻的基本作用來保證對各個訪問主機的控制。電力信息網絡各個業務系統的主機IP地址、MAC地址、端口等都比較固定，電力系統應用范圍最廣的為Oracle數據庫和SQL?Server數據庫，這兩者占據了電力系統數據庫的90%以上。Oracle數據庫的數據通信采用TNS協議，SQL?Server和Sybase數據庫采用TDS協議，目前信息系統遭受攻擊最多的是針對數據庫的SQL注入攻擊，若能夠把這兩種協議分析出來，并且對其采用JDBC驅動進行偏移量分析，就能實現SQL語句的還原，進而可以基本滿足電力信息系統數據庫訪問控制的需要。

另外，電力信息系統有較多的業務要經過總線進行內外網通信，若此裝置的效率不夠高的話將會成為內外網通信的瓶頸。

發明內容

本發明的目的在于針對現有技術的不足，提供一種基于信息交換總線的內外網數據庫訪問方法。

本發明解決其技術問題是采取以下技術方案實現的：

一種基于信息交換總線的內外網數據庫訪問方法，步驟如下：

（1）總線對進入總線的通信數據在TCP/IP層進行解析，根據關表格數據流協議和透明網絡底層協議做數據包分析；

（2）透明網絡底層協議數據包處理，處理步驟包括：

①分析數據包頭，得到數據包長度、數據長度及包括連接、接收、確認、拒絕、重定向內容的數據包類型；

②根據數據包頭中的參數，計算數據在數據包中的偏移量，分析出數據所處位置；

③將數據取出翻譯成數據庫查詢字符串；

④將數據庫查詢字符串根據配置好的過濾規則進行排查，符合過濾規則的語句進入下一步操作，其它做丟棄處理；

（3）關表格數據流協議數據包處理；

（4）將過濾后的安全數據包經過總線的流轉發送至指定的數據庫服務器。

而且，所述步驟（1）做數據包分析的具體方法為：

①根據數據包頭的不同來區分關表格數據流協議數據包和透明網絡底層協議數據包，不同協議的數據包進入各自的解析通道；

②其余的數據包做丟棄處理。

而且，所述步驟（3）關表格數據流協議數據包處理的方法步驟與步驟（2）透明網絡底層協議數據包處理步驟相同。

本發明的優點和積極效果是

本發明針對跨電力信息內網和因特網的業務應用系統對數據庫安全訪問和操作做了基于信息交換總線的安全訪問方法，該方法實現了跨電力信息內外網的信息安全傳輸，更加對數據庫的操作訪問進行了分析、過濾，避免了外網對電力信息內網的數據庫注入攻擊。

附圖說明

圖1是本發明基于的信息交換總線的原理示意圖；

圖2是本發明基于信息交換總線內外網數據庫訪問方法基本邏輯流程。

具體實施方式

以下結合附圖對本發明實施例做進一步詳述，以下實施例只是描述性的，不是限定性的，不能以此限定本發明的保護范圍。

本發明的基本原理

本發明方法的實現是基于對網絡通信協議進行分析，然后基于傳輸控制/網際協議(TCP/IP)通信流上的數據庫訪問協議解析出數據庫查詢語句進行過濾。