[发明专利]信息网关－业务支撑系统内控安全方法

权利要求书

1、一种信息网关--业务支撑系统内控安全方法，包括以下步骤：

步骤一、网段隔离：阻断客户机与数据库的在网络层的通达；

步骤二、设置信息网关代理系统；

步骤三、客户端鉴权认证；

步骤四、代理数据库连接及信息转发；

步骤五、截取往来包文，记录数据库连接行为及信息访问行为；

步骤六、根据安全日志定时进行事后安全检查，及时采取相关安全措施。

2、根据权利要求1所述的业务支撑系统内控安全方法，其特征在于：

所述设置信息网关代理系统，是指信息网关进行包文拦截及信息提取，其过程如下：

信息网关的服务代理器接收客户端发来的数据访问请求包，根据ORACLE通信协议解析包文，从中提取客户端信息以及所要访问的目标数据库信息；

信息网关的服务代理器根据提取到的上述信息进行客户端鉴权认证之后，根据得到的上述目标数据库信息与目标数据库建立SOCKET连接，开始进行包文转发；

信息网关的服务代理器在包文转发的过程中，根据ORACLE通信协议再解析包文，从中提取数据访问信息。

3、根据权利要求2所述的业务支撑系统内控安全方法，其特征在于：

所述客户端信息是指IP地址、操作系统帐号；所述目标数据库信息是指IP地址、端口号、服务名等。

4、根据权利要求3所述的业务支撑系统内控安全方法，其特征在于：使用以太网组网方式，应用路由安全策略，保证客户机所在网段与数据库服务器所在网段在路由上不可通达；使用SOCKET技术，实时截取TCP/IP报文进行分析；根据截取的报文数据，应用ORACLE的通信协议进行有限解析，提取相关的客户端地址信息及客户端的访问行为信息。

5、一种信息网关--业务支撑系统内控安全装置，其特征在于，它包括：

网段隔离单元，用于阻断客户机与数据库的在网络层的通达；

信息网关代理单元；

客户端鉴权认证单元；

代理数据库连接及信息转发单元；

截取往来包文、记录数据库连接行为及信息访问行为单元；

安全检查单元，根据安全日志定时进行事后安全检查，及时采取相关安全措施。

6、根据权利要求5所述业务支撑系统内控安全装置，其特征在于：

所述的信息网关代理单元是由服务管理器、进程控制器、共享内存、和服务代理池组成，其中，

所述的服务管理器负责侦听客户端应用的访问请求，生产并管理数据库转接服务代理，同时根据实际在线的服务，评估对ORACLE服务群的负载量，以决定对某些服务的高峰限制，以达到负载均衡的目的；

所述的进程控制器：是服务管理器的补充，负责对各服务在进程级的管理工作；

所述的共享内存，用于存放系统在进程间通信所需的共享数据；

所述的服务代理池，是数据库转接服务代理的容器，由各在线的服务转接代理，即服务代理器组成。

7、根据权利要求6所述业务支撑系统内控安全装置，其特征在于：

所述的服务代理器，由两个反向的SOCKET通道组成，以阻塞方式进行单向SOCKET服务，进行报文转发，并在转发报文的过程中有限解析ORACLE通信协议，并据此进行数据访问行为(SQL)的记录；

所述的服务管理器(以及进程控制器)与服务代理器之间，使用共享内存通信，内容包括：服务代理器的相关进程号、所属服务端口号、状态信息、持续活跃时间；

客户端应用与服务管理器之间，使用SOCKET通信，内容包括：ORACLE数据访问相关报文；

服务代理器与ORACLE数据库之间：使用SOCKET通信，内容包括：ORACLE数据访问相关报文。