本发明专利技术公开了一种数据库审计的方法、装置及系统,方法包括从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息,其中,所述标记信息与所述身份信息具有映射关系;在所述网内的终端设备访问数据库时,采集所述终端设备的访问信息,并根据所述访问信息获取终端设备的标记信息;根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规则,进行审计。通过上述方式,本发明专利技术能够在终端设备访问数据库时,进行身份审计,提高数据库的安全性。
【技术实现步骤摘要】
一种数据库审计方法、装置及系统
本专利技术涉及通信
,特别是涉及一种数据库审计方法、装置及系统。
技术介绍
数据库审计是指通过对网络数据的分析,实时地、智能地解析用户对数据库所进行的各种操作,并记录所操作的数据,以便进行查询、分析、过滤,实现对数据库的操作的监控和审计。现有技术中的数据库审计方法:通过路旁镜像的方式抓取网络中通往数据库的应用报文,再通过数据库协议解析提取访问数据库的操作语句信息,审计该操作语句中的操作是否为允许操作,以及通过IP地址对来源的进行身份审计。接入网络内的終端设备,例如:个人计算、IPAD等,IP地址都是动态分配,終端设备每次接入网络的IP地址都不一定相同,通过IP地址进行身份审计,无法正确审计用户的身份。另外,若有三层的CS架构应用程序或者BS架构应用程序的终端设备在访问应用服务器后,再通过应用服务器访问数据库,则通过路旁镜像的方式截取到的IP地址为应用服务器的IP地址,通过IP地址无法定位到操作数据库的终端设备。若终端设备通过远程登录等方式登录到数据库上或通过跳转到网内其它終端设备,再通过其他終端设备连接到数据库上进行操作,则很难进行网络审计。现有技术中对远程操作数据库的审计方法是:是在数据库上安装插件或者通过堡垒机,对图形化操作进行屏幕录像,后续再通过人工进行审计,但是这种方法依然无审计用户的身份,并且该种方法无法对图形化操作进行实时告警,对图形化操作都以屏幕录像的形式进行审计,需要人工查看每一段录像才能发现违规操作,工作量较大,可行性较弱。现有技术中也采用数据库账号的方法进行身份审计,即为:终端设备登录数据库均需要数据库账号,但数据库账号的权限分配简单,并且,存在共享数据库账号的情况,很难通过数据库账号进行来源的身份审计。
技术实现思路
本专利技术主要解决的技术问题是提供一种数据库审计方法、装置及系统,能够在终端设备访问数据库时,进行身份审计,提高数据库的安全性。为解决上述技术问题,本专利技术采用的一个技术方案是:提供一种数据库审计方法,包括从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息,其中,所述标记信息与所述身份信息具有映射关系;在所述网内的终端设备访问数据库时,采集所述终端设备的访问信息,并根据所述访问信息获取终端设备的标记信息;根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规则,进行审计。其中,所述在所述网内的终端设备访问数据库时,获取所述终端设备的标记信息的步骤包括:在所述网内的终端设备直接连接所述数据库时,截取所述终端设备向所述数据库发送的第一连接报文;解析所述第一连接报文,获取所述终端设备的标记信息。其中,所述在所述网内的终端设备访问数据库时,获取所述终端设备的标记信息的步骤包括:在所述网内的终端设备通过网内的应用服务器进行间接访问数据库时,截取所述终端设备向所述应用服务器发送的第二连接报文;解析所述第二连接报文,获取所述终端设备的标记信息。其中,方法还包括:截取所述终端设备向所述应用服务器发送的电子表单,并记录截取到所述电子表单的第一时间,其中,所述电子表单携带所述终端设备向应用服务器所请求的内容;截取所述应用服务器向数据库发送的数据库操作语句,并记录截取到所述数据库操作语句的第二时间;判断所述电子表单携带所述终端设备所请求的内容是否与所述数据库操作语句相匹配,以及所述第一时间是否与第二时间相匹配;所述根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规则,进行审计的步骤包括:若所述电子表单所携带所述终端设备向所述应用服务器所请求的内容与所述数据库操作语句相匹配,以及所述第一时间与第二时间相匹配,则获取所述标记信息所映射的身份信息,并根据所述审计规则,结合所述身份信息和所述数据库操作语句进行审计。其中,所述在所述网内的终端设备访问数据库时,获取所述终端设备的标记信息的步骤包括:在所述网内的终端设备通过网内的运维服务器远程访问所述数据库时,获取所述运维服务器的日志数据;从所述日志数据中提取所述终端设备的标记信息。其中,所述方法还包括:获取所述终端设备通过键盘输入的操作命令字符以及记录输入所述操作命令字符的输入时间;检测所述操作命令字符中是否包含告警命令字符;若包含所述告警命令字符,则生成告警信号,并根据所述输入时间提示管理人员审计录像的时间段,其中,所述录像为所述运维服务器记录所述终端设备对所述数据库进行图形化操作时所录取的录像。其中,所述标记信息包括所述终端设备的IP地址、MAC地址和用户名。为解决上述技术问题,本专利技术采用的另一个技术方案是:提供一种数据库审计装置,包括第一获取模块,用于从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息,其中,所述标记信息与所述身份信息具有映射关系;第二获取模块,用于在所述网内的终端设备访问数据库时,采集所述终端设备的访问信息,并根据所述访问信息获取所述终端设备的标记信息;获取审计模块,用于获取所述标记信息映射的身份信息,并根据所述身份信息,结合审计规则,进行审计。其中,所述标记信息包括所述终端设备的IP地址、MAC地址和用户名。为解决上述技术问题,本专利技术采用的另一个技术方案是:提供一种数据库审计系统,包括数据库审计装置、网络准入服务器和采集装置、终端设备和数据库;所述数据库审计装置包括第一获取模块、第二获取模块和获取审计模块;所述第一获取模块用于从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息,其中,所述标记信息与所述身份信息具有映射关系;所述采集装置用于在网内的终端设备访问数据库时,采集终端设备的访问信息;所述第二获取模块用于从所述采集装置获取所述访问信息,并根据所述访问信息获取终端设备的标记信息;所述获取审计模块用于根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规贝U,进行审计。本专利技术的有益效果是:区别于现有技术的情况,本专利技术预先建立终端设备的标记信息和身份信息的映射关系,在终端设备访问数据库时,从终端设备的访问信息中提出终端设备的标记信息,从而可以根据标记信息,获取身份信息,进而定位到访问数据库的具体的用户的真实身份,对真实身份进行审计,提高数据库的安全性。【附图说明】图1是本专利技术数据库审计系统第一实施方式的运行示意图;图2是本专利技术数据库审计系统第一实施方式的结构示意图;图3是本专利技术数据库审计实施方式的结构示意图;图4是本专利技术数据库审计方法实施方式的流程图;图5是本专利技术数据库审计方法实施方式中終端设备直接访问数据库的审计方法流程图;图6是本专利技术数据库审计方法实施方式中終端设备通过应用服务器间接访问数据库的审计方法流程图;图7是本专利技术数据库审计方法实施方式中終端设备通过运维服务器远程访问数据库的审计方法流程图。【具体实施方式】下面结合附图和实施方式对本专利技术进行详细说明。请参阅图1和图2,数据库审计系统包括数据库审计装置21、网络准入服务器22和采集装置23。数据库审计装置21包括第一获取模块211、第二获取模块212和获取审计模块213。终端设备在接入网络时,网络准入服务器22需要提取终端设备的标记信息本文档来自技高网...
【技术保护点】
一种数据库审计的方法,其特征在于,包括:从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息,其中,所述标记信息与所述身份信息具有映射关系;在所述网内的终端设备访问数据库时,采集所述终端设备的访问信息,并根据所述访问信息获取终端设备的标记信息;根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规则,进行审计。
【技术特征摘要】
1.一种数据库审计的方法,其特征在于,包括: 从网络准入服务器获取网内所有终端设备的标记信息以及与所述终端设备绑定的身份信息,其中,所述标记信息与所述身份信息具有映射关系; 在所述网内的终端设备访问数据库时,采集所述终端设备的访问信息,并根据所述访问信息获取终端设备的标记信息; 根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规则,进行审计。2.根据权利要求1所述的方法,其特征在于,所述在所述网内的终端设备访问数据库时,获取所述终端设备的标记信息的步骤包括: 在所述网内的终端设备直接连接所述数据库时,截取所述终端设备向所述数据库发送的第一连接报文; 解析所述第一连接报文,获取所述终端设备的标记信息。3.根据权利要求2所述的方法,其特征在于,所述在所述网内的终端设备访问数据库时,获取所述终端设备的标记信息的步骤包括: 在所述网内的终端设备通过网内的应用服务器进行间接访问数据库时,截取所述终端设备向所述应用服务器发送的第二连接报文; 解析所述第二连接报文, 获取所述终端设备的标记信息。4.根据权利要求3所述的方法,其特征在于,所述方法还包括: 截取所述终端设备向所述应用服务器发送的电子表单,并记录截取到所述电子表单的第一时间,其中,所述电子表单携带所述终端设备向应用服务器所请求的内容; 截取所述应用服务器向数据库发送的数据库操作语句,并记录截取到所述数据库操作语句的第二时间; 判断所述电子表单携带所述终端设备所请求的内容是否与所述数据库操作语句相匹配,以及所述第一时间是否与第二时间相匹配; 所述根据所述标记信息,获取所述标记信息所映射的身份信息,以及根据所述身份信息,结合审计规则,进行审计的步骤包括: 若所述电子表单所携带所述终端设备向所述应用服务器所请求的内容与所述数据库操作语句相匹配,以及所述第一时间与第二时间相匹配,则获取所述标记信息所映射的身份信息,并根据所述审计规则,结合所述身份信息和所述数据库操作语句进行审计。5.根据权利要求1所述的方法,其特征在于,所述在所述网内的终端设备访问数据库时,获取所述终端...
【专利技术属性】
技术研发人员:赵维佺,魏小锐,刘永波,
申请(专利权)人:赵维佺,魏小锐,东莞理工学院,深圳昂楷科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。