[发明专利]一种数据库操作阻断方法及系统

说明书

技术领域

本发明是关于网络技术、数据库防火墙技术领域，特别涉及一种数据库操作阻断方法及系统。

背景技术

当前，网络技术、计算机应用、软件应用已经成为人们工作和生活中不可或缺的一部分。由于大部份的应用数据，客户信息都是存储于数据库中，因此网络技术、计算机应用、软件应用基本都离不开数据库。

面对互联网、计算机应用、软件应用所产生的海量数据，其中一个重要的关注点：安全性。为了保证数据库海量数据的安全性，通常会采用加密传输、数据行为审计等方法。

在数据库操作中，对数据库数据进行update、delete等操作时，如果update、delete条件不小心写错了，数据将会被误删或被误更新。另外，update、delete等操作也往往是黑客的攻击点，很容易被黑客利用，造成数据被破坏并且难以还原。因此，如何在保证正常业务的情况下，又尽可能阻断不小心写错的数据库操作或是黑客的攻击，一直数据库安全性及防护的一个难题。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种数据库操作阻断方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种数据库操作阻断方法，具体包括以下步骤：

A)配置阻断条件，具体包括下述子步骤：

步骤A1：配置阻断操作，对数据库数据操作阻断的配置包括但不限于以下：增加、删除、修改、查询；

步骤A2：配置阻断对象，对数据库数据对象阻断的配置包括但不限于以下：数据表、数据字段、数据行数、数据内容；

步骤A3：保存阻断条件(阻断条件包括上述条件的各种组合)，将步骤A1、步骤A2配置的阻断条件保存在数据库防火墙设备的数据库中；

所述数据库防火墙设备是部署在应用系统与数据库服务器之间的设备，数据库防火墙能通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计(可采用自主开发的数据库防护设备)；

B)分析数据库操作，具体包括下述子步骤：

步骤B1：在数据库防火墙设备中，配置数据库对象的IP、端口；

步骤B2：数据库防火墙设备根据步骤B1配置的数据库IP和端口，抓取来自应用系统到数据库的网络访问流量包；

步骤B3：数据库防火墙设备对步骤B2抓取的数据库网络访问流量包进行解析，解析出SQL语句，即数据库操作；

步骤B4：创建单独的线程或进程来预执行步骤B3获取到的SQL语句，即将数据库操作条件及操作对象，转换成select语句，查询该操作条件下操作对象受影响的记录数以及受影响的内容；

步骤B5：将步骤B4执行的结果与步骤A配置的阻断条件进行比对，比对内容包含但不限于以下：数据库的操作、受影响的行数、受影响的字段、受影响的对象、受影响的内容；

步骤B6：根据步骤B5的比对结果，将达到阻断条件的SQL语句，即数据库操作，进行阻断操作。

在本发明中，所述步骤B4中，将步骤B3获取到的SQL语句，即将数据库操作条件及操作对象，转换成select语句，查询该操作条件下操作对象受影响的记录数以及受影响的内容，具体为：

当delete操作时：将SQL语句delete+对象+条件转换成select+对象+条件，查询出受影响的行数、受影响的对象、受影响的内容；

当update操作时：将SQL语句update+字段+对象+条件转换成select+字段+对象+条件，查询出受影响的行数、受影响的字段、受影响的对象、受影响的内容。

在本发明中，所述所述步骤B5中，将步骤B4执行的结果与步骤A配置的阻断条件进行比对，具体为：

1)执行结果中受影响的行数，与阻断条件配置的数据行数比对；

2)执行结果中受影响的字段，与阻断条件配置的数据字段比对；

3)执行结果中受影响的对象，与阻断条件配置的数据表比对；

4)执行结果中受影响的内容，与阻断条件配置的数据内容比对；

5)执行的数据库的操作，与阻断条件配置的阻断操作比对。

提供一种存储设备，其中存储有多条指令，所述指令适用于由处理器加载并执行：

A)配置阻断条件，具体包括下述子步骤：

步骤A1：配置阻断操作，对数据库数据操作阻断的配置包括但不限于以下：增加、删除、修改、查询；