本申請涉及一種數據庫安全訪問控制方法、裝置、系統及終端設備，屬于數據庫安全技術領域，數據庫安全訪問控制方法包括捕獲數據庫訪問請求中的數據包，對數據包進行解析，得到訪問請求信息，將訪問請求信息與預設阻斷規則進行匹配，若匹配成功，則阻斷該訪問請求。本申請實現數據庫安全訪問控制，滿足數據庫審計和數據安全的要求，提升數據安全性。

技術領域

本申請屬于數據庫安全技術領域，具體涉及一種數據庫安全訪問控制方法、裝置、系統及終端設備。

背景技術

目前，各行各業的數據系統均設置有數據庫，數據庫中保存著大量的信息。一些數據庫，例如MySQL、MongoDB、TiDB等數據庫，數據庫本身的審計功能不完善，數據庫中的數據安全沒有保障。即便一些數據庫具有審計功能，對數據庫訪問行為進行監管，例如，根據數據庫審計要求，應用開發人員不能具備審計庫/敏感庫生產環境數據庫的寫權限。如果辦公網和生產環境數據庫之間沒有統一的訪問限制，一旦數據庫賬號密碼泄漏，則可以在辦公網環境下直接連接到數據庫進行操作，不僅有誤操作或惡意篡改數據的可能，也存在敏感數據泄漏的風險。

發明內容

為至少在一定程度上克服傳統數據庫訪問時存數據被惡意篡改或敏感數據泄漏的問題，本申請提供一種數據庫安全訪問控制方法、裝置、系統及終端設備。

第一方面，本申請提供一種數據庫安全訪問控制方法，包括：

捕獲數據庫訪問請求中的數據包；

對所述數據包進行解析，得到訪問請求信息；

將訪問請求信息與預設阻斷規則進行匹配；

若匹配成功，則阻斷所述訪問請求。

進一步的，所述阻斷規則的生成方法包括：

獲取數據庫威脅信息，所述數據庫威脅信息包括審計/敏感數據庫集群信息、實例信息、端口信息和敏感字段信息中的一種或多種；

根據所述數據庫威脅信息生成阻斷規則。

進一步的，所述獲取數據庫威脅信息，包括：

按預設頻率從運維監控系統中采集數據監控信息；

從所述數據監控信息中提取實例信息、端口信息；

和/或，將所述數據監控信息中的審計/敏感數據庫集群進行打標簽操作；

和/或，記錄所述數據監控信息中敏感字段信息。

進一步的，所述阻斷規則包括：黑名單列表和入侵防御系統規則。

進一步的，所述訪問請求信息，包括：

數據庫類型、請求的目標IP、端口、連接賬號、連接賬號的權限信息以及執行的操作類型中的一種或多種。

進一步的，所述操作類型，包括：

查詢操作、修改操作、刪除操作和預處理操作。

進一步的，在得到訪問請求信息后，還包括：

判斷所述操作類型和連接賬號的權限是否匹配；

若否，阻斷所述訪問請求。

進一步的，所述捕獲數據庫訪問請求中的數據包，包括：

通過入侵檢測和防御系統對辦公室與生產環境之間的傳輸網絡進行監控；

從所述傳輸網絡中的信息流中捕獲數據庫訪問請求中的數據包。

第二方面，本申請提供一種數據庫安全訪問控制裝置，包括：

捕獲模塊，用于捕獲數據庫訪問請求中的數據包；