一种数据库加固的方法、系统及相关装置与流程

本申请涉及数据库与信息安全领域，特别涉及一种数据库加固的方法、系统、设备及计算机可读存储介质。

背景技术：

数据是企业的核心资产，数据库也是信息系统的核心基础，保护数据库的安全和合规性，避免数据库泄漏、被攻击和服务中断是企业信息保护极为重要的一个内容。目前，对数据库加固的方法依赖于专业数据库技术人员获取加固脚本，导致无法自动化进行数据库加固工作，工作效率低下。

因此，如何能够自动化进行数据库加固工作，进而提高工作效率是本领域技术人员需要解决的技术问题。

技术实现要素：

本申请的目的是提供一种数据库加固的方法、系统、设备及计算机可读存储介质，能够自动化进行数据库加固工作，进而提高工作效率。

为解决上述技术问题，本申请提供一种数据库加固的方法，包括：

根据预设评估规则，从数据库中采集与所述预设评估规则对应的配置信息；

当判断出所述配置信息中的违规配置信息后，将所述违规配置信息与预设知识库进行匹配，得到匹配结果；

根据所述匹配结果，从所述预设知识库中获取加固脚本；

执行所述加固脚本以完成所述数据库的加固。

优选地，所述根据预设评估规则，从数据库中采集与所述预设评估规则对应的配置信息，包括：

获取数据库合规性要求信息；

将所述数据库合规性要求信息转换为所述预设评估规则；

根据所述预设评估规则，利用规则引擎从所述数据库中采集与所述预设评估规则对应的配置信息。

优选地，所述当判断出所述配置信息中的违规配置信息后，将所述违规配置信息与预设知识库进行匹配，得到匹配结果，包括：

将所述配置信息与所述预设评估规则进行比对，利用所述规则引擎和正则表达式判断出所述配置信息中的所述违规配置信息；

将所述违规配置信息与所述预设知识库进行匹配，得到所述匹配结果。

优选地，该数据库加固的方法还包括：

利用bp神经网络算法对所述预设知识库进行更新。

本申请还提供一种数据库加固的系统，包括：

配置信息采集模块，用于根据预设评估规则，从数据库中采集与所述预设评估规则对应的配置信息；

信息匹配模块，用于当判断出所述配置信息中的违规配置信息后，将所述违规配置信息与预设知识库进行匹配，得到匹配结果；

加固脚本获取模块，用于根据所述匹配结果，从所述预设知识库中获取加固脚本；

加固脚本执行模块，用于执行所述加固脚本以完成所述数据库的加固。

优选地，所述配置信息采集模块，包括：

信息获取单元，用于获取数据库合规性要求信息；

信息转换单元，用于将所述数据库合规性要求信息转换为所述预设评估规则；

配置信息采集单元，用于根据所述预设评估规则，利用规则引擎从所述数据库中采集与所述预设评估规则对应的配置信息。

优选地，所述信息匹配模块，包括：

违规配置信息判断单元，用于将所述配置信息与所述预设评估规则进行比对，利用所述规则引擎和正则表达式判断出所述配置信息中的所述违规配置信息；

信息匹配单元，用于将所述违规配置信息与所述预设知识库进行匹配，得到所述匹配结果。

优选地，该数据库加固的系统还包括：

知识库更新模块，用于利用bp神经网络算法对所述预设知识库进行更新。

本申请还提供一种设备，包括：

存储器和处理器；其中，所述存储器用于存储计算机程序，所述处理器用于执行所述计算机程序时实现上述所述的数据库加固的方法的步骤。

本申请还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述所述的数据库加固的方法的步骤。

本申请所提供的一种数据库加固的方法，包括：根据预设评估规则，从数据库中采集与所述预设评估规则对应的配置信息；当判断出所述配置信息中的违规配置信息后，将所述违规配置信息与预设知识库进行匹配，得到匹配结果；根据所述匹配结果，从所述预设知识库中获取加固脚本；执行所述加固脚本以完成所述数据库的加固。

该方法先是根据预设评估规则，从数据库中采集与所述预设评估规则对应的配置信息，然后当判断出所述配置信息中的违规配置信息后，将所述违规配置信息与预设知识库进行匹配，得到匹配结果，再根据匹配结果，从所述预设知识库中获取加固脚本，最后执行所述加固脚本以完成所述数据库的加固。可见，该方法可以从预设知识库获取加固脚本，进而执行所述加固脚本以完成所述数据库的加固，避免依赖于专业数据库技术人员获取加固脚本，能够自动化进行数据库加固工作，进而提高工作效率。本申请还提供一种数据库加固的系统、设备及计算机可读存储介质，均具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种数据库加固的方法的流程图；

图2为本申请实施例所提供的一种数据库加固的系统的结构框图。

具体实施方式

本申请的核心是提供一种数据库加固的方法，能够自动化进行数据库加固工作，进而提高工作效率。本申请的另一核心是提供一种数据库加固的系统、设备及计算机可读存储介质。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

数据是企业的核心资产，数据库也是信息系统的核心基础，保护数据库的安全和合规性，避免数据库泄漏、被攻击和服务中断是企业信息保护极为重要的一个内容。目前，对数据库加固的方法依赖于专业数据库技术人员获取加固脚本，导致无法自动化进行数据库加固工作，工作效率低下。本申请实施例能够自动化进行数据库加固工作，进而提高工作效率。具体请参考图1，图1为本申请实施例所提供的一种数据库加固的方法的流程图，该数据库加固的方法具体包括：

s101、根据预设评估规则，从数据库中采集与预设评估规则对应的配置信息；

本申请实施例先是根据预设评估规则，从数据库中采集与预设评估规则对应的配置信息，在此对预设评估规则不作具体限定，应由本领域技术人员根据实际情况作出相应的设定。由于预设评估规则不作具体限定，故从数据库中采集的配置信息也不作具体限定，但是需保证采集的配置信息是与预设评估规则对应的。对于配置信息的采集工具，在此也不作具体限定，例如可以使用规则引擎从数据库中采集与预设评估规则对应的配置信息。此外，对于数据库的类型，在此也不作具体限定，应由本领域技术人员根据实际情况作出相应的设定，数据库可以是oracle、sqlserver、mysql、达梦数据库等多个主流厂商数据库的主流版本。

进一步地，上述根据预设评估规则，从数据库中采集与预设评估规则对应的配置信息，通常包括：获取数据库合规性要求信息；将数据库合规性要求信息转换为预设评估规则；根据预设评估规则，利用规则引擎从数据库中采集与预设评估规则对应的配置信息。

在此对数据库合规性要求信息的内容不作具体限定，应由本领域技术人员根据实际情况作出相应的设定，例如可以是数据库合规性要求或条例。进一步地，可以根据行业监管要求和数据库应用场景，输入数据库合规性的具体要求或条例，能够满足用户特定场景的合规性评估要求。

例如，现有一套运行在电力监控系统安全ii区的oracle数据库，运行电网调度自动化主站系统，需根据国家能源局及南方电网《电力监控系统安全防护技术规范》等法规进行数据库的合规性评估和加固工作。根据《电力监控系统安全防护技术规范》，对数据库安全合规性的要求如下：

(1)及时更新经过测试的数据库最新安全补丁；

(2)对新安装的数据库，应及时修改所有账号的默认口令；

(3)及时删除无用和长久不用的账号；

(4)使用安全的口令策略，采用8位以上数字字符混合密码；

(5)使用安全账号策略，为不同的用户账号按需授予相应的权限；

(6)加强数据库审核记录，并定期检查数据库审核记录；

(7)数据库中运行库和开发库应该进行分离。

此外，用户在录入时可按原文逐条录入以上规范要求，也可由数据库专业技术人员录入主要关键词，比如第(1)条要求可录入关键词“最新安全补丁”等。

上述将数据库合规性要求信息转换为预设评估规则，即将用户输入的数据库合规性要求和条例转换为系统可识别的规则。通常系统采用规则引擎和正则表达式，将用户输入的条例与知识库关键字匹配，也可以通过数据库专家人工建立规则。

例如，上述数据库安全合规性的要求可转换为的规则分别为：

(1)是否安装数据库最新安全补丁；

(2)是否有默认账号使用默认口令；

(3)是否有无用和长久不用的账号；

(4)是否所有帐号的密码采用8位以上数字字符混合密码；

(5)是否普通帐号具有dba、resource等超级权限或角色；

(6)是否启用数据库审核，最新审核记录内容；

(7)是否存在开发库test等帐号、数据库对象，不同帐号下是否有完全同名的数据库对象。

上文根据预设评估规则，利用规则引擎从数据库中采集与预设评估规则对应的配置信息，具体地，可以根据系统形成的合规性规则要求，采集数据库相关配置信息。在预设知识库中，利用规则引擎为每条合规性规则匹配对应的信息采集脚本或程序。

例如，根据上述所确定的规则，将对应的信息采集脚本或程序打包并执行，获得当前数据库合规性配置结果。此时，规则引擎如表1所示，表1为信息采集时规则引擎对照表。

表1信息采集时规则引擎对照表

s102、当判断出配置信息中的违规配置信息后，将违规配置信息与预设知识库进行匹配，得到匹配结果；

本申请实施例当判断出配置信息中的违规配置信息后，将违规配置信息与预设知识库进行匹配，得到匹配结果。在此对预设知识库的内容不作具体限定，通常包括已知的互联网最新安全漏洞、补丁、风险信息，来自运营商、金融、公安、电力等行业合规性通用规范要求，以往成功项目的经验和专家人工录入。进一步地，可以对知识库条目根据成功引用次数和失败次数进行打分评价，存优去劣，实现知识库的自学习、自更新。在此对知识库的更新的方法不作具体限定，应由本领域技术人员根据实际情况作出相应的设定，通常可以利用bp神经网络算法对知识库进行更新。此外，对于匹配结果在此也不作具体限定，例如可以是根据实际应用场景而确定的分析建议。

进一步地，上文当判断出配置信息中的违规配置信息后，将违规配置信息与预设知识库进行匹配，得到匹配结果，通常包括：将配置信息与预设评估规则进行比对，利用规则引擎和正则表达式判断出配置信息中的违规配置信息；将违规配置信息与预设知识库进行匹配，得到匹配结果。

例如，将上述采集到的数据库合规性配置结果与合规性规则进行比对，利用规则引擎和正则表达式发现不合规项。此外，还可以出具不合规报告。此时，规则引擎如表2所示，表2为信息评估时规则引擎对照表。

表2信息评估时规则引擎对照表

此外，对不合规项进行分析给出建议。可根据知识库已有内容匹配不合规项，给出相应的整改建议。同时，对知识库中未能匹配的不合规项和建议，可专家自定义添加建议，并自动补充到知识库。在此对整改建议不作具体限定，需根据实际应用场景而确定。例如，针对上述不合规项提出建议，如表3所示，表3为不合规项及建议对照表。

表3不合规项及建议对照表

s103、根据匹配结果，从预设知识库中获取加固脚本；

本申请实施例在得到匹配结果后，根据匹配结果，从预设知识库中获取加固脚本。由上文可知，匹配结果可以为根据实际应用场景而确定的分析建议，进一步地，可以根据分析建议，生成针对当前数据库环境的一键加固脚本或程序，利用本申请实施例实现的一键加固功能极大的降低了数据库加固的技术难度，提升了数据库合规性工作的效率和达标率，保障了数据库和信息系统的安全可靠。加固脚本来自知识库预置内容和以往成功加固操作，用户可查看和编辑脚本，并新增至知识库作为待选方案。在此，对加固脚本的内容不作具体限定，应由本领域技术人员根据实际情况作出相应的设定。此外，部分加固操作，如安装补丁需要下载文件后执行，采用人工协助的半自动方式完成。

s104、执行加固脚本以完成数据库的加固。

本申请实施例在从预设知识库中获取加固脚本后，执行加固脚本以完成数据库的加固。进一步地，用户可选择在指定的时间、权限、环境下执行加固脚本和程序，完成数据库合规性评估和加固工作。加固成功后，将本次加固成功操作更新知识库相应条目，并标记成功应用记录，为下一次知识库引用提供依据。此外，为避免加固失败或误操作造成的数据库或应用系统故障，加固脚本和程序包含相应的备份和恢复操作，用户可通过回退模块回退已执行过的加固操作。

本申请先是根据预设评估规则，从数据库中采集与预设评估规则对应的配置信息，然后当判断出配置信息中的违规配置信息后，将违规配置信息与预设知识库进行匹配，得到匹配结果，再根据匹配结果，从预设知识库中获取加固脚本，最后执行加固脚本以完成数据库的加固。可见，该方法可以从预设知识库获取加固脚本，进而执行加固脚本以完成数据库的加固，避免依赖于专业数据库技术人员获取加固脚本，能够自动化进行数据库加固工作，进而提高工作效率。此外，本申请预设评估规则可以自定义和转换，即可以按行业规范要求或条例进行自动的规则转换。系统内置的知识库不仅包括主流数据库漏洞、配置核查等内容，还可以将每次的评估和加固项目的经验自动学习和补充到知识库，形成知识库的建立、使用、检查、改进的闭环流程。本申请可实现评估后自动生成加固脚本，并根据用户要求在指定的时间、权限、环境下调度自动执行，实现了评估与加固的一体化、自动化。

下面对本申请实施例提供的一种数据库加固的系统、设备及计算机可读存储介质进行介绍，下文描述的数据库加固的系统、设备及计算机可读存储介质与上文描述的数据库加固的方法可相互对应参照。

请参考图2，图2为本申请实施例所提供的一种数据库加固的系统的结构框图；该数据库加固的系统包括：

配置信息采集模块201，用于根据预设评估规则，从数据库中采集与预设评估规则对应的配置信息；

信息匹配模块202，用于当判断出配置信息中的违规配置信息后，将违规配置信息与预设知识库进行匹配，得到匹配结果；

加固脚本获取模块203，用于根据匹配结果，从预设知识库中获取加固脚本；

加固脚本执行模块204，用于执行加固脚本以完成数据库的加固。

优选地，配置信息采集模块201，通常包括：

信息获取单元，用于获取数据库合规性要求信息；

信息转换单元，用于将数据库合规性要求信息转换为预设评估规则；

配置信息采集单元，用于根据预设评估规则，利用规则引擎从数据库中采集与预设评估规则对应的配置信息。

优选地，信息匹配模块202，通常包括：

违规配置信息判断单元，用于将配置信息与预设评估规则进行比对，利用规则引擎和正则表达式判断出配置信息中的违规配置信息；

信息匹配单元，用于将违规配置信息与预设知识库进行匹配，得到匹配结果。

优选地，该数据库加固的系统通常还包括：

知识库更新模块，用于利用bp神经网络算法对预设知识库进行更新。

本申请还提供一种设备，包括：存储器和处理器；其中，存储器用于存储计算机程序，处理器用于执行计算机程序时实现上述任意实施例的数据库加固的方法的步骤。

本申请还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述任意实施例的数据库加固的方法的步骤。

该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言，由于其与实施例提供的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上对本申请所提供的一种数据库加固的方法、系统、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。