数据库稽核系统合规性快速检验方法

摘要

本发明公开了数据库稽核系统合规性快速检验方法。本发明将“黑白名单”模式引入到数据库审计产品中，使得数据库稽核系统能够快速在海量信息中筛选出可疑数据，有效地减少了每天的告警数量，极大地减轻了管理员的日常工作负担。

说明书

技术领域

本发明涉及数据库系统技术领域，具体涉及数据库稽核系统合规性快速检 验方法。

背景技术

鉴于数据库系统在每个企业IT信息化系统中的核心地位，无论是信息安全 的防守方（用户）还是进攻方（窃密者、破坏者）都对数据库的数据安全非常 重视。数据库安全的一个重要方面是数据库操作的审计。早期的数据库审计功 能都是数据库系统本身提供的。由于这种数据库系统内置的审计功能具有很多 先天不足，比如：需要消耗生产数据库系统本身的硬件资源、审计的粒度很粗、 没有基于图形化的报表功能等等，使得这种数据库审计工具并没有被广泛使用。

后来，市场上出现了基于网络旁路监听方式的数据库审计产品。这类产品 的特点是：

1、通过分析网络数据包来审计里面的SQL操作命令文本；

2、不占用任何生产数据库系统的硬件资源；

3、采用网络旁路方式部署，只需要在网络交换机上做端口映射即可。

这类产品主要提供以下几种功能：

1、记录所有的数据库操作指令，审计系统自身有一个数据库，用以存放所 有捕获的生产数据库操作指令以及数据库会话信息；

2、实时分析数据库操作指令是否违规；

3、如果存在可疑的数据库违规操作，实时发出告警（短信、邮件等方式）。

上述第1项功能比较容易实现，只要能够拿到数据库网络通信协议的格式 就可以做到。第3项也容易实现。但是第2项功能在实际生产环境中较难实现。 因为在实际生产环境中，每天发往企业核心数据库的操作指令以万计，以一个 较大型的三甲医院为例，每天发往数据库服务器的操作指令有三千万之多。要 在这三千多万的操作指令中辨别出可疑的违规指令无异于大海捞针，而且还要 具有“实时”的特点。否则，即使正确地找到了违规操作指令，也难以追溯到具 体的操作者的身份了。

发明内容

本发明的目的在于提供数据库稽核系统合规性快速检验方法，解决了无法 实时分析数据库操作指令是否违规的问题，即采用“黑白名单”方式解决了无 法在海量数据库操作指令中，快速辨别出可疑的违规操作指令的问题。

为达到上述目的，本发明采用如下技术方案：

数据库稽核系统合规性快速检验方法，包括：

S1，设置判断规则搜索敏感的SQL语句，把数据库操作指令SQL语句进行 HASH编码，每条SQL语句与HASH编码一一对应；

S2，建立黑白名单机制，对S1中搜索出的SQL语句进行鉴别；如果属于 正常的应用程序产生的SQL语句，或者属于无害的SQL语句，将该SQL语句 放入到白名单中；如果属于可疑的违规操作就将SQL语句直接放入黑名单中进 行报警；

S3，如果一条SQL语句的HASH编码不在白名单也不在黑名单中，数据库 稽核系统就会把该SQL语句放入告警名单中通知管理员进行人工鉴别。

进一步，

在步骤S1中：

T1，网络数据包解包模块将数据解包；

T2，导出SQL语句及数据库会话信息；

T3，判断SQL语句是否涉及敏感数据；

T4，对SQL语句进行HASH编码，每条SQL语句与HASH编码一一对应；

在步骤S2中：

T5，判断SQL语句是否在黑名单中，若是则进入步骤T6，若否则进入步骤 T8；

T6，告警模块发短信、邮件通知管理员；

T7，把SQL语句以及数据库会话信息存入审计数据库中；

T8，进入违规操作处理程序，流程结束；

T9，判断编码是否在白名单中，若是则进入步骤T10，若否则进入步骤T11；

T10，把SQL语句以及数据库会话信息存入审计数据库中，然后回到步骤 T2对下一个SQL语句进行判断操作；

在步骤S3中

T11，告警模块发短信、邮件通知管理员；

T12，人工鉴别该SQL语句是否真正违规，若是则进入步骤T13，若否则进 入步骤T10；

T13，把SQL语句的编码放入黑名单，进入步骤T7；

进一步，在步骤T1中，网络数据包解包模块源源不断地把捕获的SQL语 句以及数据库会话信息存入临时文件中，以待数据库稽核系统逐个进行检查。

进一步，在步骤S2中，在初始化“黑白名单”时，有两种方法：一种是通 过人工方式；另一种是自动方式，让审计系统自动完成初始化工作。

进一步，人工方式指在1个业务周期内，管理员手工进行SQL语句鉴别， 将正常的SQL语句放入白名单中。

进一步，自动方式指在1个业务周期内，在能够确保安全的情况下，审计 系统通过学习规则自动判断SQL语句是否应该放入白名单中。

与现有技术相比，本发明的有益效果如下：

本发明将“黑白名单”模式引入到数据库审计产品中，使得数据库稽核系 统能够快速在海量信息中筛选出可疑数据，有效地减少了每天的告警数量，极 大地减轻了管理员的日常工作负担。本发明中的数据库稽核系统就是基于网络 旁听审计模式的数据库稽核系统。

如果没有在数据库稽核系统中引入“黑白名单”模式，只能通过文本检索 方式对捕获的所有SQL语句进行过滤。这样，不仅速度慢，没有时效性，而且 会占用审计系统宝贵的硬件资源，严重时，审计系统的解包模块会因为性能问 题而错过网络数据包。另外，每天都需要管理员对数以万计的SQL语句进行人 工鉴别也是不现实的。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明 的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提 下，还可以根据这些附图获得其他的附图。

图1是本发明数据库稽核系统合规性快速检验方法实施例的流程示意图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是 全部的实施例。

本发明实施例中的数据库审计系统就是基于网络旁听审计模式的数据库稽 核系统。

本实施例数据库稽核系统合规性快速检验方法，包括：

S1，根据客户最为关心的数据设置判断规则，一旦SQL语句满足这些规则 就意味着该操作涉及到了敏感数据，即根据判断规则搜索敏感的SQL语句，把 数据库操作指令SQL语句进行HASH编码，每条SQL语句与HASH编码一一 对应；

S2，建立黑白名单机制，对S1中搜索出的SQL语句进行鉴别；如果属于 正常的应用程序产生的SQL语句，或者属于无害的SQL语句，将该SQL语句 放入到白名单中；如果属于可疑的违规操作就将SQL语句直接放入黑名单中进 行报警；

S3，如果一条SQL语句的HASH编码不在白名单也不在黑名单中，数据库 稽核系统就会把该SQL语句放入告警名单中通知管理员进行人工鉴别。

作为对本实施例的进一步说明，如图1所示，本实施例的具体流程如下：

在步骤S1中：

T1，网络数据包解包模块将数据解包；网络数据包解包模块源源不断地把 捕获的SQL语句以及数据库会话信息存入临时文件中，以待数据库稽核系统逐 个进行检查；

T2，导出SQL语句及数据库会话信息；

T3，判断SQL语句是否涉及敏感数据；

T4，对SQL语句进行HASH编码，每条SQL语句与HASH编码一一对应；

在步骤S2中：

T5，判断SQL语句是否在黑名单中，若是则进入步骤T6，若否则进入步骤 T8；

T6，告警模块发短信、邮件通知管理员；

T7，把SQL语句以及数据库会话信息存入审计数据库中；

T8，进入违规操作处理程序，流程结束；

T9，判断编码是否在白名单中，若是则进入步骤T10，若否则进入步骤T11；

T10，把SQL语句以及数据库会话信息存入审计数据库中，然后回到步骤 T2；

在步骤S3中

T11，告警模块发短信、邮件通知管理员；

T12，人工鉴别该SQL语句是否真正违规，若是则进入步骤T13，若否则进 入步骤T10；

T13，把SQL语句的编码放入黑名单，进入步骤T7；

作为对本实施例的进一步说明，在步骤S2中，在初始化“黑白名单”时，有 两种方法：一种是通过人工方式；另一种是自动方式，让审计系统自动完成初 始化工作。在步骤S2中，一开始可采用人工方式鉴别SQL语句，将SQL语句 分别放入黑名单或白名单，黑名单和白名单的数据量较为稳定时，可采用自动 方式鉴别SQL语句是属于黑名单还是白名单。白名单中的SQL语句数量会越来 越多，但是鉴于每套应用系统都属于比较稳定的系统，其SQL语句总数基本上 是有限的，所以经过一个业务周期后，白名单的SQL语句数量会稳定在一个数 量上；考虑到经过一个业务周期后，白名单已经涵盖了几乎所有的正常的SQL 语句，那些不在白名单中的SQL语句的数量就不会太大，这也极大地减轻了管 理员进行人工鉴别的负担。

本实施例中的人工方式指在1个业务周期内，管理员手工进行SQL语句鉴 别，将正常的SQL语句放入白名单中。自动方式指在1个业务周期内，在能够 确保安全的情况下，审计系统通过学习规则自动判断SQL语句是否应该放入白 名单中。

本实施例中，数据库稽核系统将“黑白名单”思路应用到数据库审计技术方案 中，使得该数据库稽核系统能够快速定位出某条数据库操作指令是否属于可疑 的违规操作。

本实施例数据库稽核系统合规性快速检验方法的其它技术参加现有技术。

本实施例将“黑白名单”模式引入到数据库审计产品中，使得数据库稽核系统 能够快速在海量信息中筛选出可疑数据，有效地减少了每天的告警数量，极大 地减轻了管理员的日常工作负担。

如果没有在数据库稽核系统中引入“黑白名单”模式，只能通过文本检索方式 对捕获的所有SQL语句进行过滤。这样，不仅速度慢，没有时效性，而且会占 用审计系统宝贵的硬件资源，严重时，审计系统的解包模块会因为性能问题而 错过网络数据包。另外，每天都需要管理员对数以万计的SQL语句进行人工鉴 别也是不现实的。

本发明并不局限于上述实施方式，如果对本发明的各种改动或变型不脱离 本发明的精神和范围，倘若这些改动和变型属于本发明的权利要求和等同技术 范围之内，则本发明也意图包含这些改动和变型。