技術領域

本發明屬于涉及數據庫的信息安全技術領域，尤其涉及一種數據庫安全控制系統和方法。

背景技術

隨著社會的發展，越來越多的數據采用電子化形式存儲；無論是生活、工作、學習都離不開信息系統的支撐。數據庫系統作為信息化技術的核心，其安全性和可靠性直接影響到整個信息化系統。

數據庫審計是一種常見的數據庫安全控制技術。數據庫審計是指對指定用戶在數據庫中的操作行為進行監控和記錄的一種安全技術，通過分析和記錄用戶的操作命令以確定操作的合法性，并形成操作的歷史記錄。這樣數據庫審計員可以查閱審計記錄，并對數據泄露問題進行事后追蹤。

PostgreSQL是一種多進程架構的，支持復雜查詢、事務、子查詢、多版本并行控制系統(MVCC)、數據完整性檢查等特性的一種關系型數據庫管理軟件。現有的一些基于基于開源數據庫PostgreSQL進行開發的數據庫并不具有安全審計功能，這樣導致在發生信息安全事故時無法進行追溯，對信息安全具有很大威脅。

發明內容

針對現有技術中一些基于開源數據庫PostgreSQL進行開發的數據庫并不具有安全審計功能的問題，本發明實施例的目的是提供一種有效且高效的數據庫安全控制方法。

為了解決上述問題，本發明實施例提出了一種數據庫安全控制系統，包括：用于確定審計所涉及數據庫、對象、任務的審計定義模塊，用于根據審計定義模塊的設定確定審計目標并對審計目標進行審計的審計操作模塊，用于根據審計操作模塊的審計結果進行報警和/或終止進程的審計預警模塊；

其中所述審計定義模塊包括：范圍定義子模塊、用戶定義子模塊、任務定義子模塊；其中，范圍定義單元用于預先設定需要審計的數據庫，即用戶操作的數據庫的數據庫名dbname；用戶定義單元用于預先設定被審計的用戶，即被審計用戶的用戶名username和地址addr；任務定義單元用于預先設定待審計的任務以及待審計的內容；

其中所述審計操作模塊包括用于根據審計定義模塊的設定確定審計目標的審計判斷單元、用于根據審計判斷單元確定的審計任務及涉及內容對審計目標進行審計的后臺操作單元；

其中審計判斷單元用于根據所述審計定義模塊確定的用戶操作的數據庫的數據庫名dbname、用戶名username和地址addr，并監控該用戶的每一任務；如果用戶的任務為審計定義模塊確定的待審計的任務，則將待審計的任務以及待審計的內容確定為審計目標；在本發明的一個實施例中該審計判斷單元可以通過pgluq_check_log()方法實現；

其中審計操作模塊用于對審計判斷單元確定的審計目標進行相應的審計并生成審計記錄；后臺操作單元是系統的核心內容，在本發明的一個實施例中可以通過log_prefix()、write_syslog()、pgluq_log()三個函數實現：

log_prefix()函數用于在確定審計目標后，對審計目標對應的用戶的系統日志進行格式化；

write_syslog()函數用于在該用戶的系統日志進行格式化后，判斷用戶的系統日志是否正確打開，如果是則將審計信息寫入所述系統日志中以生成審計記錄，如果否則將審計信息寫入錯誤日志中以生成審計記錄；且所述write_syslog()函數還用于對每一日志信息生成順序編碼并隨每一日志信息進行存儲；且當日志信息過長或是嵌入了其他信息時，將日志信息分為多段進行存儲；

pgluq_log()函數用于接收審計目標的每一操作信息，并將每一操作信息寫入該用戶的系統日志中；

其中所述審計預警模塊包括：用于在審計操作模塊審計到用戶進行非法操作時進行報警的報警生成單元、用于在審計操作模塊審計到用戶進行非法操作時終止用戶進程的進程終止單元；

其中所述審計預警模塊用于確定用戶的非法操作的預警級別，如果預警級別低于預設級別時利用所述報警生成單元進行報警，如果預警級別高于預設級別時利用所述進程終止單元終止用戶的非法操作的進程并利用所述報警生成單元進行報警。

其中，所述系統還包括審計轉儲模塊，用于根據預設規則將審計目標對應的用戶操作的數據庫和/或審計記錄進行備份。

其中，所述系統還包括審計保護模塊，用于監測所述數據庫安全控制系統以防止非法篡改；

其中所述審計保護模塊包括過程保護單元和防篡改單元，其中所述過程保護模塊用于讀取對所述數據庫安全控制系統的操作以防止未經授權用戶對系統進行修改；所述防篡改模塊用于監控所述審計記錄以防止未經授權用戶對審計記錄進行修改。