技術領域

本實用新型涉及數據庫安全領域，具體涉及一種數據庫的安全訪問控制系統。

背景技術

目前，各行各業的數據系統均設置有數據庫，數據庫中保存這大量的信息。這些信息大多屬于公司的機密，如果這些信息泄露，將會嚴重影響企業聲譽，甚至給企業造成重大損失。權威數據表明，造成數據泄露的主要原因包括如下兩點：1、外部網絡的入侵造成的數據泄露，即外部黑客；2、數據庫內部的訪問權限監控不完善造成了非授權訪問造成的數據泄露，即內部人員。

外部網絡的入侵主要通過防火墻來解決，甚至一些保密性要求較高的數據庫還會斷開與互聯網的連接以避免外部網絡入侵。這些都是比較有效的手段，但是現有的數據庫內部的訪問卻未做過多留意，尤其是小型公司的數據庫大多是機柜式服務器，甚至一些直接就是PC電腦改裝成的數據庫。現在的數據庫訪問通常是采用分級授權訪問的方式，即給員工的賬號區分不同的授權等級，員工按照不同的等級可以訪問不同的保密等級資料。即將訪問的賬號分為不同的授權等級，將數據庫內的文件分為不同的保密等級。現有的數據庫內的文件的均包括該文件的保密等級信息的。

但是在這些授權賬號被盜用之后，黑客就能異地訪問數據庫了。所以一些企業就將數據庫設置成異地不能訪問，這又出現一些特殊外出人員不方便辦公的情況。針對這種情況企業的負責人又需要根據實際情況，授予這部分外出人員訪問數據庫的權限，但是現有的數據庫在授予權限之后，又缺少了實時監控的能力。

針對現有的數據庫不便于異地授權訪問且沒有實時監控能力的技術問題，現在急需一種數據庫的安全訪問控制系統。

實用新型內容

本實用新型針對現有的數據庫不便于異地授權訪問且沒有實時監控能力的技術問題，提供了一種數據庫的安全訪問控制系統。

本實用新型提供的基礎方案為：數據庫的安全訪問控制系統，包括：

數據庫服務器，用于存儲文件，文件中包含該文件保密等級信息；

數據交換機，數據交換機與數據庫服務器連接，用于完成數據庫內的信息與通訊網絡的轉接；

網絡嗅探器，網絡嗅探器連接在數據交換機和通訊網絡之間，用于嗅探流過數據交換機的信息，該信息包括從數據庫內發送的數據包以及數據庫訪問者的授權等級以及IP地址；

數據重構模塊，數據重構模塊與網絡嗅探器連接，用于接收網絡嗅探器嗅探的數據包，并將該數據包重構為文件；

數據對比模塊，數據對比模塊與數據重構模塊連接，用于接收數據重構模塊的文件，并提取該文件的保密等級信息，確定該文件的保密等級；

微控制器，微控制器分別接收數據對比模塊和網絡嗅探器的反饋，用于將訪問者的授權等級、IP地址以及訪問者訪問文件的保密等級進行匹配，微控制器還用于控制數據庫服務器的啟動或關閉；

GPRS收發器，GPRS收發器與微控制器連接，用于接收微控制器將訪問者的授權等級、IP地址以及訪問者訪問文件的保密等級的匹配信息，并將該信息發送；

控制終端，用于接收GPRS收發器發送的信息，控制終端還用于通過GPRS收發器向微控制器發送將數據庫服務器啟動或關閉的信號，微控制器接收到控制終端的信號后控制數據庫服務器的啟動或關閉。

本實用新型的工作原理及優點在于：數據庫服務器與通訊網絡的信息交換是通過數據交換機進行的，因此只需要檢測流過數據交換機的數據包是否存在異常情況就較為準確的知道數據庫是否安全。在本方案中，網絡嗅探器是應用現有技術中的數據包（復制）抓取功能，文件在數據交換機和通訊網絡中是以數據包的形式傳輸的，在網絡嗅探器將數據包（復制）抓取之后，由數據重構模塊將數據包重新生成文件。原本流過數據交換機的數據包的接收端只有一個，就是目的地址端的PC電腦，由目的地址端的PC電腦將數據包重構回文件，在本方案中網絡嗅探器讓數據包發往兩個地址，一個是目的地址端的PC電腦，另一個是數據重構模塊。即本方案中的數據重構模塊就類似于接收端的PC電腦，將網絡嗅探器抓取過來的數據包重構形成重構文件。

數據重構模塊將數據包重構為文件之后，數據對比模塊讀取重構文件的特征信息（如文件名和生成日期），然后通過特征信息在數據庫服務器中查詢對比，從而確定重構文件的保密等級。然后數據重構模塊將重構文件的保密等級發送至微控制器。微控制器也與網絡嗅探器連接，網絡嗅探器將訪問者的授權等級和IP地址的信息發送給微控制器，微控制器將訪問者的授權等級、被訪問文件（重構問價）的保密等級以及IP地址進行匹配。