技術(shù)領(lǐng)域

本實(shí)用新型涉及一種數(shù)據(jù)庫(kù)安全防泄漏系統(tǒng)，屬于數(shù)據(jù)安全技術(shù)領(lǐng)域。

背景技術(shù)

企業(yè)信息網(wǎng)絡(luò)中的結(jié)構(gòu)化數(shù)據(jù)，它的生成、存儲(chǔ)和應(yīng)用都限制在關(guān)系型數(shù)據(jù)庫(kù)(如Oracle)中，用戶可以通過(guò)內(nèi)網(wǎng)或外網(wǎng)利用結(jié)構(gòu)化查詢語(yǔ)言(SQL)實(shí)現(xiàn)對(duì)存儲(chǔ)在該關(guān)系型數(shù)據(jù)庫(kù)中的結(jié)構(gòu)化數(shù)據(jù)進(jìn)行操作，如創(chuàng)建、查詢、添加、刪除等。然而這些結(jié)構(gòu)化數(shù)據(jù)中往往存在著大量的敏感信息，如果不對(duì)這些敏感信息的訪問(wèn)加以控制，則很有可能導(dǎo)致企業(yè)信息資產(chǎn)泄露，對(duì)企業(yè)造成嚴(yán)重?fù)p失。

實(shí)用新型內(nèi)容

本實(shí)用新型的目的在于，提供一種數(shù)據(jù)庫(kù)安全防泄漏系統(tǒng)，它可以有效解決現(xiàn)有技術(shù)中的問(wèn)題，防止企業(yè)信息資產(chǎn)中的敏感結(jié)構(gòu)化數(shù)據(jù)發(fā)生泄漏。

為解決上述技術(shù)問(wèn)題，本實(shí)用新型采用如下的技術(shù)方案：一種數(shù)據(jù)庫(kù)安全防泄漏系統(tǒng)，包括：受控終端、應(yīng)用服務(wù)器、匯聚交換機(jī)、數(shù)據(jù)庫(kù)防火墻、防護(hù)服務(wù)器、接入交換機(jī)和數(shù)據(jù)庫(kù)服務(wù)器，所述的受控終端、應(yīng)用服務(wù)器、匯聚交換機(jī)、數(shù)據(jù)庫(kù)防火墻、防護(hù)服務(wù)器、接入交換機(jī)和數(shù)據(jù)庫(kù)服務(wù)器順次連接。

優(yōu)選的，還包括：邊界路由器，所述的邊界路由器與匯聚交換機(jī)連接，從而可以實(shí)現(xiàn)通過(guò)外網(wǎng)對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)進(jìn)行安全訪問(wèn)，防止數(shù)據(jù)泄露。

更有選的，還包括：網(wǎng)絡(luò)管理服務(wù)器，所述的網(wǎng)絡(luò)管理服務(wù)器與匯聚交換機(jī)連接，從而可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)動(dòng)態(tài)情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

前述的數(shù)據(jù)庫(kù)安全防泄漏系統(tǒng)中，所述的受控終端為PC機(jī)，從而可以實(shí)現(xiàn)通過(guò)普通內(nèi)網(wǎng)對(duì)數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)的安全訪問(wèn)，防止數(shù)據(jù)泄露。

與現(xiàn)有技術(shù)相比，本實(shí)用新型通過(guò)利用受控終端、應(yīng)用服務(wù)器、匯聚交換機(jī)、數(shù)據(jù)庫(kù)防火墻、防護(hù)服務(wù)器、接入交換機(jī)和數(shù)據(jù)庫(kù)服務(wù)器，尤其是通過(guò)利用數(shù)據(jù)庫(kù)防火墻對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)行為進(jìn)行充分過(guò)濾，從而減輕了惡意訪問(wèn)和違規(guī)操作帶來(lái)的影響；另通過(guò)利用防護(hù)服務(wù)器進(jìn)行訪問(wèn)細(xì)粒度過(guò)濾或?qū)?shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行加解密，從而可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器的二重保護(hù)，進(jìn)一步防止了惡意泄露等行為，保證了數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全存儲(chǔ)和使用；同時(shí)可以有效防止非法用戶繞過(guò)邊界發(fā)起的外部數(shù)據(jù)攻擊、高權(quán)限用戶的內(nèi)部數(shù)據(jù)竊取以及由于磁盤、磁帶失竊等引起的意外數(shù)據(jù)泄密。此外，本實(shí)用新型中通過(guò)利用網(wǎng)絡(luò)管理服務(wù)器，從而可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)動(dòng)態(tài)情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，有助于日后查詢和追蹤。

附圖說(shuō)明

圖1是本實(shí)用新型的一種實(shí)施例的結(jié)構(gòu)連接示意圖

圖2是本實(shí)用新型的一種實(shí)施例的網(wǎng)絡(luò)拓?fù)鋱D。

附圖標(biāo)記：1-受控終端，2-應(yīng)用服務(wù)器，3-匯聚交換機(jī)，4-數(shù)據(jù)庫(kù)防火墻，5-防護(hù)服務(wù)器，6-接入交換機(jī)，7-數(shù)據(jù)庫(kù)服務(wù)器，8-邊界路由器，9-網(wǎng)絡(luò)管理服務(wù)器。

下面結(jié)合附圖和具體實(shí)施方式對(duì)本實(shí)用新型作進(jìn)一步的說(shuō)明。

具體實(shí)施方式

本實(shí)用新型的實(shí)施例1：一種數(shù)據(jù)庫(kù)安全防泄漏系統(tǒng)，如圖1、圖2所示，包括：受控終端1、應(yīng)用服務(wù)器2、匯聚交換機(jī)3、數(shù)據(jù)庫(kù)防火墻4、防護(hù)服務(wù)器5、接入交換機(jī)6和數(shù)據(jù)庫(kù)服務(wù)器7，所述的受控終端1、應(yīng)用服務(wù)器2、匯聚交換機(jī)3、數(shù)據(jù)庫(kù)防火墻4、防護(hù)服務(wù)器5、接入交換機(jī)6和數(shù)據(jù)庫(kù)服務(wù)器7順次連接。還包括：邊界路由器8，所述的邊界路由器8與匯聚交換機(jī)3連接。還包括：網(wǎng)絡(luò)管理服務(wù)器9，所述的網(wǎng)絡(luò)管理服務(wù)器9與匯聚交換機(jī)3連接。所述的受控終端1為PC機(jī)。

實(shí)施例2：一種數(shù)據(jù)庫(kù)安全防泄漏系統(tǒng)，如圖1所示，包括：受控終端1、應(yīng)用服務(wù)器2、匯聚交換機(jī)3、數(shù)據(jù)庫(kù)防火墻4、防護(hù)服務(wù)器5、接入交換機(jī)6和數(shù)據(jù)庫(kù)服務(wù)器7，所述的受控終端1、應(yīng)用服務(wù)器2、匯聚交換機(jī)3、數(shù)據(jù)庫(kù)防火墻4、防護(hù)服務(wù)器5、接入交換機(jī)6和數(shù)據(jù)庫(kù)服務(wù)器7順次連接。

本實(shí)用新型的一種實(shí)施例的工作原理：將結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)存入數(shù)據(jù)庫(kù)服務(wù)器7中時(shí)，利用防護(hù)服務(wù)器5對(duì)該結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)中的敏感數(shù)據(jù)進(jìn)行加密；當(dāng)外部請(qǐng)求通過(guò)Internet網(wǎng)和邊界路由器8訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器7中的數(shù)據(jù)，或者是內(nèi)部的受控終端1(如PC機(jī))通過(guò)應(yīng)用服務(wù)器2訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器7中的數(shù)據(jù)時(shí)，所述的訪問(wèn)請(qǐng)求通過(guò)匯聚交換機(jī)3發(fā)送到數(shù)據(jù)庫(kù)防火墻4，數(shù)據(jù)庫(kù)防火墻4對(duì)數(shù)據(jù)庫(kù)服務(wù)器7的訪問(wèn)行為進(jìn)行充分過(guò)濾，再通過(guò)防護(hù)服務(wù)器5進(jìn)行訪問(wèn)細(xì)粒度過(guò)濾，若符合策略要求則數(shù)據(jù)庫(kù)服務(wù)器7中的數(shù)據(jù)通過(guò)接入交換機(jī)6傳出，防護(hù)服務(wù)器5對(duì)數(shù)據(jù)進(jìn)行解密后通過(guò)數(shù)據(jù)庫(kù)防火墻4、匯聚交換機(jī)3返回給用戶客戶端；同時(shí)匯聚交換機(jī)3將其中的訪問(wèn)動(dòng)態(tài)情況發(fā)送到網(wǎng)絡(luò)管理服務(wù)器進(jìn)行實(shí)時(shí)監(jiān)測(cè)管理。本實(shí)用新型的系統(tǒng)可以實(shí)時(shí)阻斷違反安全策略的數(shù)據(jù)庫(kù)訪問(wèn)操作，實(shí)現(xiàn)全方位保護(hù)數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)安全。其中，利用防護(hù)服務(wù)器5對(duì)該結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)中的敏感數(shù)據(jù)進(jìn)行加密、數(shù)據(jù)庫(kù)防火墻4對(duì)數(shù)據(jù)庫(kù)服務(wù)器7的訪問(wèn)行為進(jìn)行充分過(guò)濾、通過(guò)防護(hù)服務(wù)器5進(jìn)行訪問(wèn)細(xì)粒度過(guò)濾、防護(hù)服務(wù)器5對(duì)數(shù)據(jù)進(jìn)行解密均屬于本領(lǐng)域的常規(guī)技術(shù)。