[发明专利]基于信息交换总线的内外网数据库访问方法

说明书

技术领域

本发明属于电力企业信息系统信息集成领域的跨因特网和电力信息内网的信息交换技术领域，特别是一种基于信息交换总线的内外网数据库访问方法。

背景技术

电力信息网承载着电力市场交易、招投标、营销等多个业务系统，对内提供如审计、评标、核算等业务，对外提供发布、投标、缴费等各项服务。若对信息系统分级过多将会导致各个分区间数据交换带来的大量延时。为此，把电力信息网络分为信息内网和信息外网。信息外网和因特网之间采用防火墙相连，属于低安全级别区域，信息内网与信息外网逻辑隔离，与电力内部其他数据网物理隔离，属于高级别安全区域，各个业务系统根据其具体需要把相应的服务器分别放置在信息内外网。

为了最大程度地保证电力信息系统的安全，把尽可能多的业务放到信息内网，把对外提供服务的服务器设在外网，其他对内服务器、个人计算机等所有主机都放置在信息内网，特别需要强调为了保护数据的安全，所有业务系统的数据库放置在信息内网。

目前，由于安全隔离总线放置在信息内外网的边界，所以首先要起到一般防火墙的基本作用来保证对各个访问主机的控制。电力信息网络各个业务系统的主机IP地址、MAC地址、端口等都比较固定，电力系统应用范围最广的为Oracle数据库和SQL Server数据库，这两者占据了电力系统数据库的90%以上。Oracle数据库的数据通信采用TNS协议，SQL Server和Sybase数据库采用TDS协议，目前信息系统遭受攻击最多的是针对数据库的SQL注入攻击，若能够把这两种协议分析出来，并且对其采用JDBC驱动进行偏移量分析，就能实现SQL语句的还原，进而可以基本满足电力信息系统数据库访问控制的需要。

另外，电力信息系统有较多的业务要经过总线进行内外网通信，若此装置的效率不够高的话将会成为内外网通信的瓶颈。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于信息交换总线的内外网数据库访问方法。

本发明解决其技术问题是采取以下技术方案实现的：

一种基于信息交换总线的内外网数据库访问方法，步骤如下：

（1）总线对进入总线的通信数据在TCP/IP层进行解析，根据关表格数据流协议和透明网络底层协议做数据包分析；

（2）透明网络底层协议数据包处理，处理步骤包括：

①分析数据包头，得到数据包长度、数据长度及包括连接、接收、确认、拒绝、重定向内容的数据包类型；

②根据数据包头中的参数，计算数据在数据包中的偏移量，分析出数据所处位置；

③将数据取出翻译成数据库查询字符串；

④将数据库查询字符串根据配置好的过滤规则进行排查，符合过滤规则的语句进入下一步操作，其它做丢弃处理；

（3）关表格数据流协议数据包处理；

（4）将过滤后的安全数据包经过总线的流转发送至指定的数据库服务器。

而且，所述步骤（1）做数据包分析的具体方法为：

①根据数据包头的不同来区分关表格数据流协议数据包和透明网络底层协议数据包，不同协议的数据包进入各自的解析通道；

②其余的数据包做丢弃处理。

而且，所述步骤（3）关表格数据流协议数据包处理的方法步骤与步骤（2）透明网络底层协议数据包处理步骤相同。

本发明的优点和积极效果是

本发明针对跨电力信息内网和因特网的业务应用系统对数据库安全访问和操作做了基于信息交换总线的安全访问方法，该方法实现了跨电力信息内外网的信息安全传输，更加对数据库的操作访问进行了分析、过滤，避免了外网对电力信息内网的数据库注入攻击。

附图说明

图1是本发明基于的信息交换总线的原理示意图；

图2是本发明基于信息交换总线内外网数据库访问方法基本逻辑流程。

具体实施方式

以下结合附图对本发明实施例做进一步详述，以下实施例只是描述性的，不是限定性的，不能以此限定本发明的保护范围。

本发明的基本原理

本发明方法的实现是基于对网络通信协议进行分析，然后基于传输控制/网际协议(TCP/IP)通信流上的数据库访问协议解析出数据库查询语句进行过滤。