[发明专利]基于数据库的应用系统信息安全保护系统及信息安全保护方法

说明书

技术领域

本发明属于信息安全技术领域，涉及一种信息安全保护系统，尤其涉及一种基于数据库的应用系统的信息安全保护系统，同时还涉及信息安全保护方法。

背景技术

随着信息技术的发展，越来越多的企事业单位采用电子技术来处理日常事务，采用电子文档方式存储数据具有效率高、成本低、转移方便等优点。而数据库是这方面的典型代表，尤其是结构化查询语句等的发展。数据库具有方便共享，减少数据冗余、保持数据的独立性、实现数据集中控制、便于方便维护等优点。而且可以和前端的应用很方便的结合在一起，从而给用户更好的提供服务。目前基于数据库的应用系统已经深入到工作的各个方便，比如OA系统、ERP系统等。

同时，在考虑数据库提供的便利性的同时，不得不考虑其安全性。影响其安全性方面主要包含：宿主的安全性（所在操作系统的安全性），操作权限，核心数据的加密等。宿主的安全性主要依靠对所在操作系统进行安全漏洞和防护系统进行维护，操作权限包括细颗粒的权限系统，而核心数据加密则是采用MD5等算法对密码等核心数据进行加密。但目前所面临的主要问题是以上方法在面临现实使用时均具有一定的局限性和安全死角。比如系统管理员非法将服务器硬盘拔走，数据库开发人员将公司里面的数据携带出去，管理员有意或无意的非法操作导致数据库内的信息泄露等。

发明内容

本发明的目的在于提供一种基于数据库的应用系统信息安全保护系统，在能够保证应用系统正常访问数据库的前提下，保证数据库系统的安全性。同时提供一整套基于数据库的应用系统信息安全保护方法，以保证数据库系统能够被正常使用。

本发明的技术方案如下：

一种基于数据库的应用系统信息安全保护系统，所述系统包括一个基于数据库系统端的中心端、一个或多个基于应用系统端的终端，以及一个用于中心端的硬件验证电子密匙；所述中心端设置于数据库服务器上，包括文档加密模块、文档解密模块、身份验证模块和安全保护模块；所述终端设置于应用服务器上，包括安全会话模块、安全端口模块和安全保护模块；各终端分别与中心端相连接；所述硬件验证电子密匙与中心端相连接，包括验证信息和权限信息。

所述中心端使用文档加密模块对数据库文件进行透明加密保护，使数据库文件在使用过程中保持加密状态；所述文档解密模块对数据库文件在传送过程中进行透明解密操作，使数据库文件能够被正常使用；所述身份验证模块与硬件验证电子密匙进行强制绑定验证；所述安全保护模块用于防止非法操作，保护数据库系统的安全。

所述终端使用安全会话模块与中心端进行链接，以此保证应用系统在与数据库进行会话时保持安全状态；所述安全端口模块通过建立的安全会话向数据库发送端口信息，只有被验证的端口才能正常向服务器请求和发送信息；所述安全保护模块用于预防终端在建立链接或会话时被劫持。

所述硬件验证电子密匙中的验证信息用于与中心端进行强制验证，所述权限信息用于在验证的基础上对用户提供相对应的权限。

本发明还提供一种基于数据库的应用系统信息安全保护方法，包括：

数据库文件加密步骤：用户在正常安装中心端并插入硬件验证电子密匙的情况下手动对数据库文件进行加密保护，加密保护后的数据库文件不允许任何连接，只有通过管理员设定的可信终端和可信端口才可以正常通信；

数据库文件解密步骤：用户在正常安装中心端并插入硬件验证电子密匙的情况下手动对数据库文件进行解密操作，解密操作后的数据库文件可以在其他电脑上正常使用而无限制；

电子密匙验证步骤：通过将中心端的相关信息与硬件验证电子密匙中的验证信息进行匹配，如果匹配不成功，数据库无法使用，若匹配成功则激活相应的权限模块；

安全会话步骤：终端先与中心端进行地址、端口验证，若成功收到中心端安全验证后的回复则发送用户和操作信息，若验证成功则可以正常会话；反之则无法正常向数据库发送或提取信息。

所述数据库文件加密的具体步骤如下：管理员在安装有中心端的电脑上插入硬件验证电子密匙，输入相关信息，中心端同时读取硬件验证电子密匙中的验证信息，将输入的相关信息、硬件验证电子密匙中的验证信息与中心端内置的相关信息进行比对；若比对失败，则访问被拒绝，用户无法进行相应操作；若比对成功，用户可继续进行下一步操作；当用户选取一个或多个数据库文件进行手动加密操作时，中心端自动比对用户的权限信息，若用户拥有足够的权限进行操作，则可正常进行加密，反之操作被拒绝；当用户对数据库进行加密操作后，可设定相应的数据库权限信息，包括可通信IP与端口，以及是否允许解密操作。