一种数据库的审计系统技术方案

本发明专利技术涉及数据库安全管控技术领域，尤其涉及一种数据库的审计系统，包括配置端的前置单元用于获取来自用户端的数据请求信息，审计端的分析单元用于将数据请求信息与预先配置的访问策略进行匹配，并根据匹配结果发送数据请求信息所对应的数据操作是否被允许执行的控制指令来控制前置单元对数据请求信息进行操作，分析单元同时根据匹配结果生成访问日志并输出；策略单元预先设置并保存访问策略；审计单元接收访问日志，并定期对访问日志进行审计，以输出针对预设时段内访问数据库的所有用户端的所有访问行为的审计报表。有益效果在于：对数据库的管控力度更细，保证数据库的数据安全，避免数据库的数据不被轻易篡改。

A database audit system

【技术实现步骤摘要】
一种数据库的审计系统
本专利技术涉及数据库安全管控
，尤其涉及一种数据库的审计系统。
技术介绍
数据库是信息时代的产物，各行各业都在用数据库存储企业的核心数据，这些数据包含客户信息、商业信息等。这些信息是企业的无形资产，对企业的生存和发展有重要的战略意义。互联网的发展促进了信息的互联互通，让数据的价值获得了提升，但也使得数据的安全面临严峻的挑战。目前，数据安全面临的问题包括以下几个方面：1)访问控制：数据访问未做限制，或者访问控制的方式和策略不到位，导致关键数据从内部流出或者被外部人员窃取；2)变更控制：对数据库进行的操作没有审核，由于人为因素，导致数据异常，造成企业重大损失；另外黑客通过技术手段，绕开审核系统，从内部进行的操作，可能导致数据被恶意篡改；3)安全审计：大多数数据库因为各种原因，没有相应的审计方法，导致问题发生时，无法追溯具体的原因，也无法定位具体的操作者。
技术实现思路
针对现有技术中存在的上述问题，现提供一种数据库的审计系统。具体技术方案如下：一种数据库的审计系统，其中，所述数据库中保存有来自外部的各个数据源的数据，所述数据库通信连接至少一个用户端；所述审计系统连接所述数据库，并包括：一配置端，所述配置端包括：一前置单元，用于获取来自所述用户端的数据请求信息；一审计端，所述审计端通过一通信模块连接所述配置端，所述审计端包括：一分析单元，用于将所述数据请求信息与预先配置的访问策略进行匹配，并根据匹配结果发送所述数据请求信息所对应的数据操作是否被允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述分析单元同时根据所述匹配结果生成访问日志并输出；一策略单元，连接所述分析单元，用于预先设置并保存所述访问策略，所述访问策略包括访问权限以及当所述数据请求信息不符合所述访问权限时的处理方式；一审计单元，连接所述分析单元，用以接收所述访问日志，并定期对所述访问日志进行审计，以输出针对预设时段内访问所述数据库的所有所述用户端的所有访问行为的审计报表。优选的，所述访问权限用于指示所述用户端的访问数据的数据管控的第一权限；所述分析单元包括：一数据分级模块，用于对来自所述用户端的数据请求信息的访问数据进行分级处理；一第一判断模块，连接所述数据分级模块，用于判断经过所述分级处理后属于敏感数据的所述访问数据是否在所述第一权限内，并输出一第一判断结果；一第一分析模块，连接所述第一判断模块，用于根据所述第一判断结果：当所述访问数据在所述第一权限内时，所述第一分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第一分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据不在所述第一权限内时，所述第一分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第一分析模块同时根据所述匹配结果生成所述访问日志并输出。优选的，所述访问权限用于指示所述用户端的访问数据的访问安全的第二权限；所述分析单元包括：一访问范围设置模块，用于对来自所述用户端的数据请求信息的访问数据设置一访问安全区域；一第二判断模块，连接所述访问范围设置模块，用于判断所述访问数据的访问范围是否在所述访问安全区域内，并输出一第二判断结果；一第二分析模块，连接所述第二判断模块，用于根据所述第二判断结果：当所述访问数据的访问范围在所述访问安全区域内时，所述第二分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第二分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据的访问范围不在所述访问安全区域内时，所述第二分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第二分析模块同时根据所述匹配结果生成所述访问日志并输出。优选的，所述访问权限用于指示所述用户端的访问数据的访问时间段的第三权限；所述分析单元包括：一访问时间设置模块，用于对来自所述用户端的数据请求信息的访问数据设置一访问时间段；一第三判断模块，连接所述访问时间设置模块，用于判断所述访问数据的访问时间是否在所述访问时间段内，并输出一第三判断结果；一第三分析模块，连接所述第三判断模块，用于根据所述第三判断结果：当所述访问数据的访问时间在所述访问时间段内时，所述第三分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第三分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据的访问时间不在所述访问时间段内时，所述第三分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第三分析模块同时根据所述匹配结果生成所述访问日志并输出。优选的，所述访问权限用于指示所述用户端的访问数据的访问类型的第四权限；所述分析单元中包括：一白名单设置模块，用于对来自所述用户端的数据请求信息的访问数据设置一白名单模板；一第四判断模块，连接所述白名单设置模块，用于判断所述访问数据的访问类型是否存在于所述白名单模板内，并输出一第四判断结果；一第四分析模块，连接所述第四判断模块，用于根据所述第四判断模块：当所述访问数据的访问类型在所述白名单模板内时，所述第四分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第四分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据的访问类型不在所述白名单模板内时，所述第四分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第四分析模块同时根据所述匹配结果生成所述访问日志并输出。优选的，所述访问权限用于指示所述用户端的访问数据的访问参数的第五权限；所述分析单元中包括：一参数设置模块，用于对来自所述用户端的数据请求信息的访问数据设置各类访问参数；一第五判断模块，连接所述参数设置模块，用于判断所述访问数据的访问参数是否是各类所述访问参数中的至少一类，并输出一第五判断结果；一第五分析模块，连接所述第五判断模块，用于根据所述第五判断模块：当所述访问数据的访问参数是所述访问参数中的至少一类时，所述第五分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第五分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据的访问参数不是所述访问参数中的至少一类时，所述第五分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第五分析模块同时根据所述匹配结果生成所述访问日志并输出。优选的，所述访问权限用于指示所述用户端的访问数据的访问语句类型参数的第六权限；所述分析单元中包括：一语句类型设置模块，用于对来自所述用户端的数据请求信息的访问数据设置各类操作语句类型；一第六判断模块，连接所述操作语句类型模块，用于判断所述访问数据的访问语句类型是否是各类所述操作语句类型中的至少一种，并输出一第六判断结果；一第六分析模块，连接所述第六判断模块，用于根据所述第六判断模块：当所述访问数据的访问语句类型是所述操作语句类型中的至少一类时，所述第六分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第六分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述本文档来自技高网...

【技术保护点】
1.一种数据库的审计系统，其特征在于，所述数据库中保存有来自外部的各个数据源的数据，所述数据库通信连接至少一个用户端；所述审计系统连接所述数据库，并包括：一配置端，所述配置端包括：一前置单元，用于获取来自所述用户端的数据请求信息；一审计端，所述审计端通过一通信模块连接所述配置端，所述审计端包括：一分析单元，用于将所述数据请求信息与预先配置的访问策略进行匹配，并根据匹配结果发送所述数据请求信息所对应的数据操作是否被允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述分析单元同时根据所述匹配结果生成访问日志并输出；一策略单元，连接所述分析单元，用于预先设置并保存所述访问策略，所述访问策略包括访问权限以及当所述数据请求信息不符合所述访问权限时的处理方式；一审计单元，连接所述分析单元，用以接收所述访问日志，并定期对所述访问日志进行审计，以输出针对预设时段内访问所述数据库的所有所述用户端的所有访问行为的审计报表。

【技术特征摘要】
1.一种数据库的审计系统，其特征在于，所述数据库中保存有来自外部的各个数据源的数据，所述数据库通信连接至少一个用户端；所述审计系统连接所述数据库，并包括：一配置端，所述配置端包括：一前置单元，用于获取来自所述用户端的数据请求信息；一审计端，所述审计端通过一通信模块连接所述配置端，所述审计端包括：一分析单元，用于将所述数据请求信息与预先配置的访问策略进行匹配，并根据匹配结果发送所述数据请求信息所对应的数据操作是否被允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述分析单元同时根据所述匹配结果生成访问日志并输出；一策略单元，连接所述分析单元，用于预先设置并保存所述访问策略，所述访问策略包括访问权限以及当所述数据请求信息不符合所述访问权限时的处理方式；一审计单元，连接所述分析单元，用以接收所述访问日志，并定期对所述访问日志进行审计，以输出针对预设时段内访问所述数据库的所有所述用户端的所有访问行为的审计报表。2.根据权利要求1所述的数据库的审计系统，其特征在于，所述访问权限用于指示所述用户端的访问数据的数据管控的第一权限；所述分析单元包括：一数据分级模块，用于对来自所述用户端的数据请求信息的访问数据进行分级处理；一第一判断模块，连接所述数据分级模块，用于判断经过所述分级处理后属于敏感数据的所述访问数据是否在所述第一权限内，并输出一第一判断结果；一第一分析模块，连接所述第一判断模块，用于根据所述第一判断结果：当所述访问数据在所述第一权限内时，所述第一分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第一分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据不在所述第一权限内时，所述第一分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第一分析模块同时根据所述匹配结果生成所述访问日志并输出。3.根据权利要求1所述的数据库的审计系统，其特征在于，所述访问权限用于指示所述用户端的访问数据的访问安全的第二权限；所述分析单元包括：一访问范围设置模块，用于对来自所述用户端的数据请求信息的访问数据设置一访问安全区域；一第二判断模块，连接所述访问范围设置模块，用于判断所述访问数据的访问范围是否在所述访问安全区域内，并输出一第二判断结果；一第二分析模块，连接所述第二判断模块，用于根据所述第二判断结果：当所述访问数据的访问范围在所述访问安全区域内时，所述第二分析模块发送一允许执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第二分析模块同时根据所述匹配结果生成所述访问日志并输出；当所述访问数据的访问范围不在所述访问安全区域内时，所述第二分析模块发送一拒绝执行的控制指令来控制所述前置单元对所述数据请求信息进行操作，所述第二分析模块同时根据所述匹配结果生成所述访问日志并输出。4.根据权利要求1所述的数据库的审计系统，其特征在于，所述访问权限用于指示所述用户端的访问数据的访问时间段的第三权限；所述分析单元包括：一访问时间设置模块，用于对来自所述用户端的数据请求信息的访问数据设置一访问时间段；一第三判断模块，连接所述访问时间设置模块，用于判断所述访问数据的访问时间是否在所述访问时间段内，并输出一第三判断结果；一第三分析模块，连接所述第三判断模块，用于根据所述第三判断结果：当所述访问数据的访...

【专利技术属性】
技术研发人员：王霖勇，曹平，
申请(专利权)人：上海瀚之友信息技术服务有限公司，
类型：发明
国别省市：上海,31