本发明专利技术提出了一种数据库防绕过方法、系统、设备及介质,涉及数据库安全防护领域。该方法包括:在目标防护系统上设置预置代理插件,所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发;以及配置策略处理机制,并基于配置的策略处理机制配合预置代理插件进行数据报文处理;基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理。该方法能够在不改变网络结构情况下,对应用程序透明,同时可以接入业务侧和运维侧的访问流量,做到了全流量监管,用以解决访问数据库的外部访问被绕过,导致的恶意攻击或数据泄露问题。导致的恶意攻击或数据泄露问题。导致的恶意攻击或数据泄露问题。
【技术实现步骤摘要】
一种数据库防绕过方法、系统、设备及介质
[0001]本专利技术涉及数据库安全防护领域,具体而言,涉及一种数据库防绕过方法、系统、设备及介质。
技术介绍
[0002]随着互联网技术的飞速发展,我们身边的各种软件也已经越来越多了起来,各种琳琅满目的网站、app等等,这些都使用了数据库技术来存储数据,随之而来的也有越来越大的风险。为了对数据库进行安全防护,在现有技术中主要是包括类似以网关式访问控制为主进行的安全防护。例如,包括数据库审计,采用旁路反向代理部署作为事后风险定位和追踪的产品,然而其需要应用系统修改访问数据库IP地址,改变的访问结构的复杂性较高;或采用数据库防火墙、动态脱敏类产品,对应的安全运维产品能实时检测敏感访问,或风险操作,能实现对风险行为拦截、脱敏和审批访问,但其局限于部署位置和访问绕过将可能会引起数据防护泄露,这样就形成了无效防御。因此,急需一种不改变网络结构情况下,能够保障安全访问,用以解决访问数据库的外部访问被绕过,导致的恶意攻击或数据泄露问题。
技术实现思路
[0003]本专利技术的目的在于提供一种数据库防绕过方法、系统、设备及介质,其能够在不改变网络结构情况下,对应用程序透明,同时可以接入业务侧和运维侧的访问流量,做到了全流量监管,用以解决访问数据库的外部访问被绕过,导致的恶意攻击或数据泄露问题。
[0004]本专利技术的实施例是这样实现的:第一方面,本申请实施例提供一种数据库防绕过方法,包括以下步骤:在目标防护系统上设置预置代理插件,所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发;以及配置策略处理机制,并基于配置的策略处理机制配合预置代理插件进行数据报文处理;基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理。
[0005]在本专利技术的一些实施例中,上述基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理的步骤具体包括:基于接收的数据库SQL请求数据报文进行数据库协议解析,得到对应的SQL信息;基于SQL信息利用策略处理机制依次进行判断是否具有访问权限和查看明文信息权限,根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库。
[0006]在本专利技术的一些实施例中,上述根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库包括:若不具有访问权限,则构造错误的数据包发送给数据库,否则,进入下一步;若不具有查看明文权限,则构造脱敏数据包发送给数据库,若具有,则直接转发给数据库。
[0007]在本专利技术的一些实施例中,上述基于预置代理插件接收用户侧SQL流量报文包括:对用户侧SQL流量报文进行内容校验,其中内容校验包括:检测字符串的內容,只接纳需要
的值;拒绝包括二进制、转义序列和注释內容;检测输入内容的大小和数据类型,并根据检测结果强制执行对应适度的限定与变换。
[0008]第二方面,本申请实施例提供一种数据库防绕过系统,其包括:插件设置模块,用于在目标防护系统上设置预置代理插件,所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发;策略配置模块,用于配置策略处理机制,并基于配置的策略处理机制配合预置代理插件进行数据报文处理;防护处理模块,用于基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理。
[0009]第三方面,本申请实施例提供一种电子设备,其包括存储器,用于存储一个或多个程序;处理器。当上述一个或多个程序被上述处理器执行时,实现如上述第一方面中任一项上述的方法。
[0010]第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面中任一项上述的方法。
[0011]相对于现有技术,本专利技术的实施例至少具有如下优点或有益效果:本专利技术的实施例提出了一种数据库防绕过方法,其首先在目标防护系统上设置预置代理插件以及配置策略处理机制,从而后续可以基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理。也就是说,其在不改变网络结构的情况下,通过利用预置代理插件以及配置的策略处理机制同时可以接入业务侧和运维侧的访问流量,做到了全流量监管,用以解决访问数据库的外部访问被绕过,导致的恶意攻击或数据泄露问题。从而能够对有价值的数据进行持续有效的保护,同时也能够保证其共享使用功能不受影响,进而提升数据的价值和使用。
附图说明
[0012]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0013]图1为本专利技术一种数据库防绕过方法一实施例的流程图;图2为本专利技术实施例中基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理的步骤的具体流程图;图3为本专利技术一实施例中数据报文检测流程示意图;图4为本专利技术一种数据库防绕过系统一实施例的结构框图;图5为本专利技术实施例提供的一种电子设备的结构框图。
[0014]图标:1、插件设置模块;2、策略配置模块;3、防护处理模块;4、处理器;5、存储器;6、数据总线。
具体实施方式
[0015]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0016]下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例
[0017]现有技术中,为了防止外部访问被绕过,要么是采用数据库防火墙,运维网关,动态脱敏类产品进行物理设备串行部属,但是其虽然解决了业务侧访问,但是对于运维直接接入的情况,却不能进行相应的解决。要么采用旁路反向代理部署,但需要应用系统修改访问数据库IP地址,不仅需要进行改变网络结构,而且改变的访问结构的复杂度较高。
[0018]相应地,请参阅图1
‑
3,本申请实施例提供了一种数据库防绕过方法,其能够在不改变网络结构情况下,对应用程序透明,同时可以接入业务侧和运维侧的访问流量,做到了全流量监管,用以解决访问数据库的外部访问被绕过,导致的恶意攻击或数据泄露问题。该一种数据库防绕过方法包括以下步骤:步骤S101:在目标防护系统上设置预置代理插件,上述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发。
[0019]上述步骤中,其通过设置预置代理插件,可以用于监控采集到的所有数据库访问的流量数据,有效地避本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据库防绕过方法,其特征在于,包括以下步骤:在目标防护系统上设置预置代理插件,所述预置代理插件用于将访问数据库的所有tcp连接经过代理程序转发;以及配置策略处理机制,并基于配置的策略处理机制配合预置代理插件进行数据报文处理;基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理。2.如权利要求1所述的一种数据库防绕过方法,其特征在于,所述基于预置代理插件接收用户侧SQL流量报文,进行数据库协议解析,并根据解析结果进行对应的防护处理的步骤具体包括:基于接收的数据库SQL请求数据报文进行数据库协议解析,得到对应的SQL信息;基于SQL信息利用策略处理机制依次进行判断是否具有访问权限和查看明文信息权限,根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库。3.如权利要求2所述的一种数据库防绕过方法,其特征在于,所述根据判断结果建立预设构造数据包机制将对应的数据包进行重组处理后发送给数据库包括:若不具有访问权限,则构造错误的数据包发送给数据库,否则,进入下一步;若不具有查看明文权限,则构造脱敏数据包发送给数据库,若具有,则直接转发给数据库。4.如权利要求1所述的一种数据库防绕过方法,其特征在...
【专利技术属性】
技术研发人员:唐更新,张朝辉,赵卫国,宋辉,
申请(专利权)人:北京中安星云软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。