[发明专利]面向Web安全的数据库安全防护方法和系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种面向Web安全的数据库安全防护方法和系统。

背景技术

数据库（Database）是按照数据结构来组织、存储和管理数据的仓库，它产生于距今五十年前，随着信息技术和市场的发展，特别是二十世纪九十年代以后，数据管理不再仅仅是存储和管理数据，而转变成用户所需要的各种数据管理的方式。数据库有很多种类型，从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。但随之而来产生了数据库的安全问题。数据库系统作为信息的聚合体，是计算机信息系统的核心部件，其安全性至关重要。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况，需要构造巧妙的SQL语句，从而成功获取想要的数据。如何为数据库提供安全防护，成为目前亟需解决的问题。

因此，本领域的技术人员致力于开发一种面向Web的数据库安全防护方法和系统，通过多重保护，为数据库提供全方位的安全。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种面向Web的数据库安全防护方法和系统，在服务器端提高数据库安全性，在Web端被攻击之后，也同样保证数据库的安全。

为实现上述目的，本发明提供了一种面向Web的数据库安全防护方法，包含如下步骤：

（1）Web服务器将数据库查询的请求发送给数据库防火墙；

（2）所述数据库防火墙经过智能处理后，递交所述数据库查询到数据库或者直接拦截；

（3）所述数据库防火墙得到来自所述数据库的返回结果，经过智能处理后返回给所述Web服务器。

在本发明的较佳实施方式中，所述步骤（2）中所述数据库防火墙的智能处理步骤如下：

（2-1）对所述数据库查询语句规格化处理；

（2-2）与所述数据库防火墙的白名单中的语句进行匹配，如果匹配上，则转步骤（2-3），如果没有匹配上，则转步骤（2-4）；

（2-3）直接递交给数据库，等待返回结果；

（2-4）所述查询语句是否涉及了网站的敏感表，如果含有，那么拦截查询；没有涉及所述敏感表，则所述查询请求语句是否包含渗透攻击的关键词，如果有，作为攻击语句进行拦截，如果没有，视为这条请求正常，放行通过，递交给所述数据库。

在本发明的另一较佳实施方式中，所述白名单是通过所述Web服务器正常运行状况下产生的数据库日志提取而来。

在本发明的较佳实施方式中，所述步骤（3）中所述数据库防火墙的智能处理步骤如下：

（3-1）判断所述数据库返回结果是否包含敏感信息，如果包含所述敏感信息，所述数据库防火墙会依据网站管理员给定的条目阈值对输出结果作处理；

（3-2）如果所述输出结果在所述阈值以内，视为正常，递交给所述Web服务器，如果所述输出结果超过阈值，认为有攻击者试图发起拖库攻击，直接拦截。

在本发明的另一较佳实施方式中，所述敏感信息包括身份证号和密码。

一种面向Web安全的数据库安全防护系统，包括Web服务器、数据库防火墙和数据库，所述Web服务器将接收到的数据库查询请求发送给所述数据库防火墙，所述数据库库防火墙对所述数据查询请求进行智能处理后，递交所述数据库查询到数据库或者直接拦截，其特征在于，所述Web服务器连接开放单一端口的所述数据库防火墙，所述数据库防火墙连接开放单一端口的所述数据库。

在本发明的较佳实施方式中，所述数据库防火墙的智能处理包括白名单过滤、敏感表比对、渗透语句防御和输出结果审核。