資料庫敏感信息探測方法及系統的製作方法
2023-10-25 19:12:07
資料庫敏感信息探測方法及系統的製作方法
【專利摘要】本發明涉及信息安全【技術領域】,旨在提供資料庫敏感信息探測方法及系統。該資料庫敏感信息探測方法包括步驟:掃描資料庫的系統視圖,獲取所有的用戶表,對每一個用戶表每個欄位抽取一部分數據做為樣本,對樣本進行分析匹配,判斷是否是敏感信息;該資料庫敏感信息探測系統包括系統表、掃描模塊、判斷模塊和顯示模塊,掃描模塊和資料庫連接,判斷模塊分別與敏感信息特徵庫、掃描模塊相連,判斷模塊與顯示模塊連接。本發明基於正則表達特徵庫,通過特徵庫對資料庫裡的用戶數據進行掃描探測,能夠發現手機號、銀行卡號、身份證號以及郵箱等敏感信息所在的位置,並提供詳細的掃描報告,使資料庫管理員能夠重點防護和審計。
【專利說明】資料庫敏感信息探測方法及系統
【技術領域】
[0001] 本發明是關於信息安全【技術領域】,特別涉及資料庫敏感信息探測方法及系統。
【背景技術】
[0002] 當前各種敏感信息洩露的事件還是頻繁發生,數據安全越來越受到人們的重視。 但目前資料庫系統越來越龐大。大數據量給資料庫的安全管理帶來了新的問題。如果數據 庫裡只有幾條數據管理起來很容易,但如果有幾十個資料庫,幾千張表,不知道重要的信息 在哪裡,防護和審計起來就會無從下手。因此必須有方法能快速全面地發現重要信息在數 據庫裡的位置,對這些重要的信息進行重點的防護和審計。
[0003] 常見的資料庫安全掃描軟體主要檢測資料庫系統配置風險和資料庫軟體本身的 安全漏洞,分析的都是資料庫系統的信息,沒有探測敏感信息在哪裡的功能。
【發明內容】
[0004] 本發明的主要目的在於克服現有技術中的不足,提供一種能夠發現敏感信息所在 位置的資料庫探測方法及系統。為解決上述技術問題,本發明的解決方案是:
[0005] 提供資料庫敏感信息探測方法,具體包括下述步驟:
[0006] (1)掃描資料庫的系統視圖,獲取所有的用戶表;
[0007] (2)對每一個用戶表每個欄位抽取一部分數據做為樣本;
[0008] (3)對樣本進行分析匹配,判斷是否是敏感信息;
[0009] 所述步驟(1)具體包括下述步驟:
[0010] 步驟A :連接資料庫;
[0011] 步驟B :用SELECT語句獲取資料庫的系統視圖裡,資料庫所有的表名,並排除系統 表,剩下用戶表;
[0012] 步驟C :將步驟B中獲得的用戶表列表返回;
[0013] 所述步驟(2)具體包括下述步驟:
[0014] 步驟D :在步驟C返回的用戶表列表中,取一個用戶表名;
[0015] 步驟E :用SELECT語句和分頁查詢的方法,獲取步驟D中選取的用戶表中所有字 段的部分數據;所述部分數據是指取一個表開頭的N條記錄(比如一個表有1000條記錄, 如果全部取出來就會對資料庫造成影響,所以用分頁查詢的方法取開頭的20條或30條判 斷);
[0016] 步驟F :將步驟E中獲取的所有欄位的部分數據,作為樣本數據返回;
[0017] 所述步驟(3)具體包括下述步驟:
[0018] 步驟G :取步驟F返回的一個欄位的樣本數據;
[0019] 步驟Η :對步驟G中選取的樣本數據,採用正則表達式匹配的方法判斷樣本數據是 否屬於敏感信息,判斷方法為:如果樣本數據全部跟敏感信息特徵庫中的敏感信息匹配,認 為樣本數據是敏感數據欄位,得出判斷結果是;如果樣本數據跟敏感信息特徵庫中的敏感 信息不低於80%的比例匹配,得出判斷結果疑是;如果樣本數據跟敏感信息特徵庫中的敏 感信息全部不匹配或者低於20%的比例匹配,則得出判斷結果否;
[0020] 步驟I :循環執行步驟D、步驟E、步驟F、步驟G、步驟H,直至完成對步驟C返回的 所有用戶表進行判斷,然後將步驟Η中得出的判斷結果返回,並顯示包含有判斷結果的掃 描報告,且當判斷結果為疑是或者是時,掃描報告中還包括敏感信息欄位清單(即樣本數 據中與敏感信息特徵庫匹配的部分,比如表Α的Β欄位有敏感信息(手機號),返回就是表 名:A、欄位:B、內容:138XXXXXXXX,讓用戶更直觀的看到該敏感信息欄位有什麼樣的敏感 信息)。
[0021] 在本發明中,所述步驟Η中的敏感信息特徵庫是用於判斷敏感信息的正則表達式 的一個集合(比如判斷手機號有一個正則表達式,銀行卡號是另一個正則表達式);敏感信 息是指需要防護和審計的數據,包括手機號、銀行卡號、身份證號和郵箱。
[0022] 在本發明中,所述敏感信息特徵庫中的正則表達式能進行自定義添加,用於敏感 信息的匹配判斷(比如用戶覺得員工編號是敏感信息,他們可以自定義一個匹配員工編號 的正則表達式,用來將包含員工編號的欄位列出來);正則表達式是公開通用的字符串匹 配方法。
[0023] 提供實現所述的資料庫敏感信息探測方法的系統,包括系統表、掃描模塊、判斷模 塊和顯示模塊,掃描模塊和資料庫連接,判斷模塊分別與敏感信息特徵庫、掃描模塊相連, 判斷模塊與顯示模塊連接;
[0024] 所述系統表用於對資料庫進行掃描,並獲取、返回資料庫中的用戶表;
[0025] 所述掃描模塊用於獲取系統表返回的用戶表裡,各個欄位的樣本數據;
[0026] 所述判斷模塊用於將掃描模塊得到的樣本數據,採用正則表達式匹配的方法進行 匹配判斷是否為敏感信息,並得出是、否或者疑是中的一種判斷結果;
[0027] 所述顯示模塊用於反饋顯示資料庫中,被判斷模塊判斷為敏感信息的欄位。
[0028] 本發明的實現原理是:首先正則表達特徵庫定義好敏感信息的特徵,然後是對運 行使用期間的資料庫進行掃描和探測。正則表達特徵庫收集了手機號、銀行卡號、身份證號 以及郵箱等敏感信息的特徵。掃描模塊負責掃描資料庫,並返回掃描到的用戶樣本數據;然 後,由判斷模塊根據正則表達特徵庫進行對比,判斷被掃描的用戶樣本數據是否是敏感信 息。如是或疑是,就在掃描報告裡列出敏感信息欄位清單,供資料庫管理員能夠重點防護和 審計。
[0029] 與現有技術相比,本發明的有益效果是:
[0030] 本發明基於正則表達特徵庫,通過特徵庫對資料庫裡的用戶數據進行掃描探測, 能夠發現手機號、銀行卡號、身份證號以及郵箱等敏感信息所在的位置,並提供詳細的掃描 報告,使資料庫管理員能夠重點防護和審計。
【專利附圖】
【附圖說明】
[0031] 圖1為本發明的資料庫敏感信息探測系統工作原理圖。
[0032] 圖2為本發明的資料庫敏感信息探測方法工作流程圖。
【具體實施方式】
[0033] 首先需要說明的是,本發明涉及資料庫技術,是計算機技術在信息安全【技術領域】 的一種應用。在本發明的實現過程中,會涉及到多個軟體功能模塊的應用。 申請人:認為,如 在仔細閱讀申請文件、準確理解本發明的實現原理和發明目的以後,在結合現有公知技術 的情況下,本領域技術人員完全可以運用其掌握的軟體編程技能實現本發明。前述軟體功 能模塊包括但不限於:正則表達特徵庫、掃描模塊、判斷模塊、顯示模塊等,凡本發明申請文 件提及的均屬此範疇, 申請人:不再一一列舉。
[0034] 下面結合附圖與【具體實施方式】對本發明作進一步詳細描述:
[0035] 如圖2所示,資料庫敏感信息探測方法,具體包括下述步驟:
[0036] (1)掃描資料庫的系統視圖,獲取所有的用戶表;
[0037] (2)對每一個用戶表每個欄位抽取一部分數據做為樣本;
[0038] (3)對樣本進行分析匹配,判斷是否是敏感信息。
[0039] 所述步驟(1)具體包括下述步驟:
[0040] 步驟A :連接資料庫;
[0041] 步驟B :用SELECT語句獲取資料庫的系統視圖裡,資料庫所有的表名,並排除系統 表,剩下用戶表;
[0042] 步驟C :將步驟B中獲得的用戶表列表返回。
[0043] 所述步驟(2)具體包括下述步驟:
[0044] 步驟D :在步驟C返回的用戶表列表中,取一個用戶表名;
[0045] 步驟E :用SELECT語句和分頁查詢的方法,獲取步驟D中選取的用戶表中所有字 段的部分數據;部分數據是指取一個表開頭的N條記錄,比如一個表有1000條記錄,如果全 部取出來就會對資料庫造成影響,所以用分頁查詢的方法取開頭的20條或30條判斷;
[0046] 步驟F :將步驟E中獲取的所有欄位的部分數據,作為樣本數據返回。
[0047] 所述步驟(3)具體包括下述步驟:
[0048] 步驟G :取步驟F返回的一個欄位的樣本數據;
[0049] 步驟Η :對步驟G中選取的樣本數據,採用正則表達式匹配的方法判斷樣本數據是 否屬於敏感信息,判斷方法為:如果樣本數據全部跟敏感信息特徵庫中的敏感信息匹配,認 為樣本數據是敏感數據欄位,得出判斷結果是;如果樣本數據跟敏感信息特徵庫中的敏感 信息不低於80%的比例匹配,得出判斷結果疑是;如果樣本數據跟敏感信息特徵庫中的敏 感信息全部不匹配或者低於20%的比例匹配,則得出判斷結果否;
[0050] 所述敏感信息特徵庫是用於判斷敏感信息的正則表達式的一個集合,比如判斷手 機號有一個正則表達式,銀行卡號是另一個正則表達式;敏感信息是指需要重點防護和審 計的數據,包括手機號、銀行卡號、身份證號和郵箱等。所述正則表達式匹配的方法是指能 夠根據各個用戶對敏感信息的不同定義,採用正則表達式進行自定義匹配,正則表達式是 公開通用的字符串匹配方法;另外,敏感信息特徵庫中的正則表達式能進行自定義添加,t匕 如用戶覺得員工編號是敏感信息,他們可以自定義一個匹配員工編號的正則表達式,用來 將包含員工編號的欄位列出來。
[0051] 步驟I :循環執行步驟D、步驟E、步驟F、步驟G、步驟H,直至完成對步驟C返回的 所有用戶表進行判斷,然後將步驟Η中得出的判斷結果返回,並顯示包含有判斷結果的掃 描報告,且當判斷結果為疑是或者是時,掃描報告中還包括敏感信息欄位清單;敏感信息字 段清單即樣本數據中與敏感信息特徵庫匹配的部分,比如表A的B欄位有敏感信息(手機 號),返回就是表名:A、欄位:B、內容:138XXXXXXXX,讓用戶更直觀的看到該敏感信息欄位 有什麼樣的敏感信息。
[0052] 如圖1所示的資料庫敏感信息探測系統包括系統表、掃描模塊、判斷模塊和顯示 模塊;掃描模塊和資料庫連接,系判斷模塊分別與敏感信息特徵庫、掃描模塊相連,判斷模 塊與顯示模塊連接。
[0053] 所述系統表用於對資料庫進行掃描,並獲取、返回資料庫中的用戶表。
[0054] 所述掃描模塊用於獲取系統表返回的用戶表裡,各個欄位的樣本數據。
[0055] 所述判斷模塊用於將掃描模塊得到的樣本數據,採用正則表達特徵庫進行匹配判 斷是否為敏感信息,並得出是、否或者疑是中的一種判斷結果。
[0056] 所述顯示模塊用於反饋顯示資料庫中,被判斷模塊判斷為敏感信息的欄位。
[0057] 下面的實施例可以使本專業的專業技術人員更全面地理解本發明,但不以任何方 式限制本發明。假設要對一個0RACLE10G資料庫進行敏感信息探測。
[0058] 首先安裝資料庫敏感信息探測系統,輸入待掃描資料庫的IP、埠、SID、用戶名和 密碼,連接資料庫。
[0059] 掃描和判斷操作的過程主要執行以下步驟:
[0060] (1)通過掃描SELECT語句查詢系統視圖ALL_TABLES獲得所有用戶表的表名;
[0061] (2)根據表名採用分頁查詢獲取每個用戶表各個欄位的樣本數據;
[0062] (3)根據樣本數據用正則表達特徵庫判斷是否屬於對應的敏感信息;
[0063] (4)根據探測得到的敏感信息所在的表名和欄位名生成報告,將敏感信息列表提 供給用戶。
[0064] 探測完成後,根據探測報告就可以發現資料庫有哪些敏感信息,都存放在哪些表 的哪些欄位裡。
[0065] 最後,需要注意的是,以上列舉的僅是本發明的具體實施例。顯然,本發明不限於 以上實施例,還可以有很多變形。本領域的普通技術人員能從本發明公開的內容中直接導 出或聯想到的所有變形,均應認為是本發明的保護範圍。
【權利要求】
1. 資料庫敏感信息探測方法,其特徵在於,具體包括下述步驟: (1) 掃描資料庫的系統視圖,獲取所有的用戶表; (2) 對每一個用戶表每個欄位抽取一部分數據做為樣本; (3) 對樣本進行分析匹配,判斷是否是敏感信息; 所述步驟(1)具體包括下述步驟: 步驟A :連接資料庫; 步驟B :用SELECT語句獲取資料庫的系統視圖裡,資料庫所有的表名,並排除系統表, 剩下用戶表; 步驟C :將步驟B中獲得的用戶表列表返回; 所述步驟(2)具體包括下述步驟: 步驟D:在步驟C返回的用戶表列表中,取一個用戶表名; 步驟E :用SELECT語句和分頁查詢的方法,獲取步驟D中選取的用戶表中所有欄位的 部分數據;所述部分數據是指取一個表開頭的N條記錄; 步驟F :將步驟E中獲取的所有欄位的部分數據,作為樣本數據返回; 所述步驟(3)具體包括下述步驟: 步驟G:取步驟F返回的一個欄位的樣本數據; 步驟Η :對步驟G中選取的樣本數據,採用正則表達式匹配的方法判斷樣本數據是否屬 於敏感信息,判斷方法為:如果樣本數據全部跟敏感信息特徵庫中的敏感信息匹配,認為樣 本數據是敏感數據欄位,得出判斷結果是;如果樣本數據跟敏感信息特徵庫中的敏感信息 不低於80%的比例匹配,得出判斷結果疑是;如果樣本數據跟敏感信息特徵庫中的敏感信 息全部不匹配或者低於20%的比例匹配,則得出判斷結果否; 步驟I :循環執行步驟D、步驟Ε、步驟F、步驟G、步驟Η,直至完成對步驟C返回的所有 用戶表進行判斷,然後將步驟Η中得出的判斷結果返回,並顯示包含有判斷結果的掃描報 告,且當判斷結果為疑是或者是時,掃描報告中還包括敏感信息欄位清單。
2. 根據權利要求1所述的資料庫敏感信息探測方法,其特徵在於,所述步驟Η中的敏感 信息特徵庫是用於判斷敏感信息的正則表達式的一個集合;敏感信息是指需要防護和審計 的數據,包括手機號、銀行卡號、身份證號和郵箱。
3. 根據權利要求2所述的資料庫敏感信息探測方法,其特徵在於,所述敏感信息特徵 庫中的正則表達式能進行自定義添加,用於敏感信息的匹配判斷;正則表達式是公開通用 的字符串匹配方法。
4. 實現權利要求1所述的資料庫敏感信息探測方法的系統,其特徵在於,包括系統表、 掃描模塊、判斷模塊和顯示模塊,掃描模塊和資料庫連接,判斷模塊分別與敏感信息特徵 庫、掃描模塊相連,判斷模塊與顯示模塊連接; 所述系統表用於對資料庫進行掃描,並獲取、返回資料庫中的用戶表; 所述掃描模塊用於獲取系統表返回的用戶表裡,各個欄位的樣本數據; 所述判斷模塊用於將掃描模塊得到的樣本數據,採用正則表達式匹配的方法進行匹配 判斷是否為敏感信息,並得出是、否或者疑是中的一種判斷結果; 所述顯示模塊用於反饋顯示資料庫中,被判斷模塊判斷為敏感信息的欄位。
【文檔編號】G06F17/30GK104123370SQ201410356492
【公開日】2014年10月29日 申請日期:2014年7月24日 優先權日:2014年7月24日
【發明者】劉海衛, 範淵 申請人:杭州安恆信息技術有限公司