一种保护应用业务数据库数据安全技术

技术领域

本发明涉及数据安全领域技术领域，尤其涉及一种保护应用业务数据库数据安全技术。

背景技术

现在业务数据库安全采用数据库审计产品进行旁路审计，有的甚至没有纵深防御，数据库防火墙也更多是防护数据库运维场景；出现这种情况主要的缺陷在于产品实现原理：

数据库网络协议属于七层的应用层协议，其复杂度远超一般网络防火墙所管的三层和四层网络通信协议。同时数据库是有不同的厂家开发的本身并没有统一的网络协议层的标准，且这些协议都是厂家私有的不公开的。所以安全厂家要想做数据库防火墙或数据库审计的话，就需要逆向解析数据库厂家的协议，这样的逆向工作就不能达到100％精准，没有100％的精准用户就不敢把墙放在数据库前面。而数据库审计因为不用完全正确，只要有个七八十正确就行了，这也是数据库审计的市场都远远好于数据库防火墙的市场。随着传输加密的合规要求，越来越多的应用和数据库选择了加密通信，这种网络协议的数据库防火墙和数据库审计产品都将面临严峻挑战。本发明目的是减少业务数据库暴露面，防止数据库被勒索软件，恶意软件攻击，业务应用和数据库之间实现加密通讯以及已知数据库账户也无法访问数据库。为此，我们提出一种保护应用业务数据库数据安全技术。

发明内容

本发明主要是解决上述现有技术所存在的技术问题，提供一种保护应用业务数据库数据安全技术。

为了实现上述目的，本发明采用了如下技术方案，一种保护应用业务数据库数据安全技术，包括业务数据库数据安全系统，业务数据库数据安全系统包括安全驱动模块、数据源管理模块、虚拟数据库模块和数据库服务模块，安全驱动模块、数据源管理模块、虚拟数据库模块和数据库服务模块均双向电信号连接业务数据库数据安全系统，安全驱动模块采用私有加密的通信协议，实现JDBC规范的一种数据库驱动程序，数据源管理模块包括管理业务数据库信息、维护数据库连接和获取数据库元数据信息，虚拟数据库模块包括构建虚拟数据库、虚拟的表视图和虚拟的用户，业务数据库数据安全系统技术采用应用SQL代理的方式，即通过专用的数据库驱动或SDK来链接应用和数据库。

作为优选，所述管理业务数据库信息包括数据库IP、端口、用户和密码信息。

作为优选，所述虚拟数据库模块还包括维护虚拟数据库与真实业务数据库的关联关系，虚拟数据库模块还包括维护虚拟的表视图和真实的表视图的关联关系。

作为优选，所述数据库服务包括开启统一的服务监听、接受安全驱动的连接、解析SQL、清洗检查SQL、重组SQL、SQL请求、结果集处理和返回结果集。

有益效果

本发明提供了一种保护应用业务数据库数据安全技术。具备以下有益效果：

(1)、该一种保护应用业务数据库数据安全技术，本发明的业务数据库数据安全系统包括安全驱动模块、数据源管理模块、虚拟数据库模块和数据库服务模块，并且本发明的业务数据库数据安全系统技术采用应用SQL代理的方式，则实现了可以有效放在业务数据库前进行后续的数据防护，提高对业务数据库的防护效率。

(2)、该一种保护应用业务数据库数据安全技术，本发明采用了隐藏了真实的数据库信息，减少攻击暴露面，则提高了对业务数据库的防护效率。

(3)、该一种保护应用业务数据库数据安全技术，本发明通过专用的数据库驱动或SDK来链接应用和数据库，数据库不对外开放，实现网络隔离，则实现了业务应用和数据库之间加密通讯传输，则进一步提高了对业务数据库的防护效率。

(4)、该一种保护应用业务数据库数据安全技术，本发明不存在逆向解析，可以100％保证正确，即使数据库账户泄露，也访问不了数据库，则进一步提高了对业务数据库的防护效率。

(5)、该一种保护应用业务数据库数据安全技术，本发明有效阻止数据库勒索软件和数据库恶意软件等攻击，基于此技术后续可以做到传统数据库防火墙做不到的对数据透明的的加解密和实时的数据脱敏等高级数据变形功能。

(6)、该一种保护应用业务数据库数据安全技术，本方面基于业务数据库数据安全系统技术，后续可以做更多的数据防护的扩展，并且例如Oracle这样的商业数据库厂家也提供了OCI等编程接口，则实现了可以在API层对数据库和数据库中的数据进行保护。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单的介绍。显而易见的，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其他的实施附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容得能涵盖的范围内。

图1为本发明系统流程图；

图2为本发明数据库服务模块示意图；

图3为本发明数据库服务模块示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：一种保护应用业务数据库数据安全技术，如图1-图3所示，包括业务数据库数据安全系统，业务数据库数据安全系统包括安全驱动模块、数据源管理模块、虚拟数据库模块和数据库服务模块，安全驱动模块、数据源管理模块、虚拟数据库模块和数据库服务模块均双向电信号连接业务数据库数据安全系统，安全驱动模块采用私有加密的通信协议，实现JDBC规范的一种数据库驱动程序，数据源管理模块包括管理业务数据库信息、维护数据库连接和获取数据库元数据信息，虚拟数据库模块包括构建虚拟数据库、虚拟的表视图和虚拟的用户，管理业务数据库信息包括数据库IP、端口、用户和密码信息，虚拟数据库模块还包括维护虚拟数据库与真实业务数据库的关联关系，虚拟数据库模块还包括维护虚拟的表视图和真实的表视图的关联关系，数据库服务包括开启统一的服务监听、接受安全驱动的连接、解析SQL、清洗检查SQL、重组SQL、SQL请求、结果集处理和返回结果集，本发明的业务数据库数据安全系统技术采用应用SQL代理的方式，即通过专用的数据库驱动或SDK来链接应用和数据库，数据库不对外开放，实现网络隔离，而数据库驱动的规范如JDBC、ODBC都是公开的，即使像Oracle这样的商业数据库厂家也提供了OCI等编程接口，这样我们就可以在API层对数据库和数据库中的数据进行保护。本发明不存在逆向解析，可以100％保证正确，并且基于此技术后续可以做到传统数据库防火墙做不到的对数据透明的的加解密和实时的数据脱敏等高级数据变形功能。

本发明的业务数据库数据安全系统包括安全驱动模块、数据源管理模块、虚拟数据库模块和数据库服务模块，并且本发明的业务数据库数据安全系统技术采用应用SQL代理的方式，则实现了可以有效放在业务数据库前进行后续的数据防护，提高对业务数据库的防护效率，本发明采用了隐藏了真实的数据库信息，减少攻击暴露面，则提高了对业务数据库的防护效率，本发明通过专用的数据库驱动或SDK来链接应用和数据库，数据库不对外开放，实现网络隔离，则实现了业务应用和数据库之间加密通讯传输，则进一步提高了对业务数据库的防护效率，本发明不存在逆向解析，可以100％保证正确，即使数据库账户泄露，也访问不了数据库，则进一步提高了对业务数据库的防护效率，本发明有效阻止数据库勒索软件和数据库恶意软件等攻击，基于此技术后续可以做到传统数据库防火墙做不到的对数据透明的的加解密和实时的数据脱敏等高级数据变形功能，本方面基于业务数据库数据安全系统技术，后续可以做更多的数据防护的扩展，并且例如Oracle这样的商业数据库厂家也提供了OCI等编程接口，则实现了可以在API层对数据库和数据库中的数据进行保护。

工作步骤：本发明的业务数据库数据安全系统技术采用应用SQL代理的方式，则实现了可以有效放在业务数据库前进行后续的数据防护，本发明采用了隐藏了真实的数据库信息，减少攻击暴露面，本发明通过专用的数据库驱动或SDK来链接应用和数据库，数据库不对外开放，实现网络隔离，则实现了业务应用和数据库之间加密通讯传输，本发明不存在逆向解析，可以100％保证正确，即使数据库账户泄露，也访问不了数据库，则进一步提高了对业务数据库的防护效率，本发明有效阻止数据库勒索软件和数据库恶意软件等攻击，基于此技术后续可以做到传统数据库防火墙做不到的对数据透明的的加解密和实时的数据脱敏等高级数据变形功能，本方面基于业务数据库数据安全系统技术，后续可以做更多的数据防护的扩展，并且例如Oracle这样的商业数据库厂家也提供了OCI等编程接口，则实现了可以在API层对数据库和数据库中的数据进行保护。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。