WO2015131412A1

WO2015131412A1 - 安全设备、服务器及服务器信息安全实现方法

Info

Publication number: WO2015131412A1
Application number: PCT/CN2014/073567
Authority: WO
Inventors: 尹立东; 秦明; 颜国荣; 刘宗臻; 曹毅清; 李彦博; 李静; 张文精; 叶福林
Original assignee: 深圳市迈科龙电子有限公司
Priority date: 2014-03-07
Filing date: 2014-03-18
Publication date: 2015-09-11
Also published as: US20150256558A1; CN103795735B; CN103795735A

Abstract

本发明公开了一种安全设备、服务器及服务器信息安全实现方法。所述安全设备包括：通讯模块，用于与服务器提供的对外通信接口对接，并通过该接口实现与服务器的信息交互；固件模块，用于被预先配置有至少一安全控制策略；以及，处理模块，用于当服务器检测到该安全设备时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。本发明利用一集成安全控制策略的高速安全设备（例如安全芯片卡），保护服务器的安全，实现服务器安全的即插即用功能，实现将对外的服务器作为一个独立网络处理，同时又与内部网关完全隔离。

Description

安全设备、服务器及服务器信息安全实现方法

技术领域

本发明涉及服务器安全防护技术领域，具体而言，涉及一种安全设备、服务器及服务器信息安全实现方法。

背景技术

服务器是企事业信息系统中的重要组成部分，服务器的安全是整个信息系统安全的基石。权威数据显示，整个信息系统中大约有 80% 的数据 2 由服务器来处理的，并且，随着服务器的功能和性能的不断发展，信息系统对服务器的依赖程度将越来越大。突然的停机、意外的网络中断、黑客攻击、重要数据被窃取等事件一旦发生，将会对整个信息系统的安全造成非常大的影响，从而给企事业单位造成非常严重的损失。

已知地，服务器的安全防护策略关系到信息系统核心服务器的安全问题，有效的安全防护策略可以避免信息系统的核心服务器面临非法接入、信息劫持、入侵渗透、病毒破坏、后门攻击、特权攻击、数据篡改、数据泄露等安全威胁。

在实际应用当中，服务器中的大量应用以及数据都是信息系统得以安全、稳定且高效运行的保障和基础，但本发明的发明人发现，当前针对服务器安全的众多的安全产品和技术、如传统的防火墙、 IDS （ Intrusion Detection Systems ，入侵检测系统） /IPS （ Intrusion Prevention System ，入侵预防系统）等都是用来保护网络安全或信息系统本身的安全，然而缺乏旨在对信息系统的核心服务器进行安全防护的技术。因此，现有技术在具体实施时还至少存在如下安全隐患：

其一、物理专网用户无法有效防范第三方开发人员、第三方运维人员、甚至内部人员给数据库带来的风险；

一、特权用户的权限不受控，可以随时获取、篡改任何资料；

二、利用 Web 代码的缺陷或利用管理的漏洞通过前台渗透，从而实现对数据库的越权访问；

三、缺乏完整详尽的数据审计手段；

四、应用前台用户对数据的访问，在数据库上无法记录最终用户；

五、利用数据库安全漏洞和协议漏洞发起针对数据库的直接攻击行为；

六、大量的安全产品在服务器网络中进行部署，无法有效的防护应用的核心。

发明内容

为了解决上述技术问题中的至少一个，本发明的目的在于提供一种服务器安全实现方法、装置及服务器。

为了达到上述目的，本发明实施例采用以下技术方案实现：

一种安全设备，包括：

通讯模块，用于与服务器提供的对外通信接口对接，并通过该接口实现与服务器的信息交互；

固件模块，用于被预先配置有至少一安全控制策略；

以及，处理模块，用于当服务器检测到该安全设备时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。

优选地，所述安全设备可插拔地与服务器的对外通信接口进行通信连接；

或，所述安全设备被集成于服务器的主板上，并与服务器的对外通信接口进行通信连接。

优选地，当网卡芯片在获取到网络数据包时，所述通讯模块用于从所述网卡芯片获取所述网络数据包，所述处理模块包括：

网络协议解析引擎，用于对网络数据包进行网络协议解析；

访问控制模块，根据网络协议解析的结果以及从安全设备获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

审计模块，用于对网络数据包进行稽核。

优选地，所述处理模块还包括：

策略缓冲模块，用于在用户访问服务器时，保存用户更新的安全控制策略并将其更新至固件模块。

优选地，所述处理模块还包括：

安全策略匹配引擎，用于根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

数据库协议解析引擎，用于根据各种数据库协议的特性对允许通过的网络数据包进行解析；

SQL 语法分析引擎，用于根据从安全设备获取的至少一安全控制策略对数据库协议解析引擎解析得到的 SQL 语句进行分析，以判断对数据库的访问是否合法；

数据库安全策略匹配引擎，用于根据从安全设备获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

加解密模块，用于根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。

更为优选地，所述可插拔地与服务器连接的安全设备是一张卡或移动介质。

一种服务器，其与一安全设备连接，所述安全设备包括：

固件模块，用于被预先配置有至少一安全控制策略；

以及，处理模块，用于当服务器检测到该安全设备被连接其上时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。

一种服务器信息安全实现方法，其包括：

服务器提供对外通信接口，并通过该对外通信接口实现与安全设备的信息交互，其中，所述安全设备被预先配置有至少一安全控制策略，当该安全设备被连接至服务器并被其识别时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。

优选地，当该安全设备被连接至服务器并被其识别时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护的步骤包括：

在用户访问服务器时，获取网络数据包；

对网络数据包进行网络协议解析；

根据网络协议解析的结果以及从安全设备获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并进行稽核。

根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并进行稽核。

根据各种数据库协议的特性对允许通过的网络数据包进行解析；

根据从安全设备获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并进行稽核；

根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。

本发明利用一集成安全控制策略的高速安全设备（例如安全芯片卡），保护服务器的安全，实现服务器安全的即插即用功能，实现将对外的服务器作为一个独立网络处理，同时又与内部网关完全隔离。其中，所述安全控制策略包括但不限于应用安全策略、数据安全策略、操作系统安全策略、数据库安全策略（例如数据库数据的加解密策略、数据库结构的加解密策略）、网络安全策略以及安全审计策略等。

附图说明

图 1 为本发明实施例提供的安全设备功能结构示意图；

图 2 为本发明实施例提供的安全设备详细结构示意图；

图 3 为本发明实施例提供的服务器信息安全实现方法流程示意图。

本发明目的的实现、功能特点及优异效果，下面将结合具体实施例以及附图做进一步的说明。

具体实施方式

下面结合附图和具体实施例对本发明所述技术方案作进一步的详细描述，以使本领域的技术人员可以更好的理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

如图 1 以及图 2 所示，本发明实施例提供了一种安全设备 500 ，包括：

通讯模块 10 ，用于与服务器 600 提供的对外通信接口 40 对接，并通过该接口实现与服务器 600 的信息交互；

固件模块 30 ，用于被预先配置有至少一安全控制策略；

以及，处理模块 20 ，用于当服务器 600 检测到该安全设备 500 时，实时地执行这些安全控制策略中的至少一个以实现服务器 600 的信息安全防护。

本领域的技术人员结合本发明的精神以及现有技术，不难在产业上实现所述通讯模块 10 、固件模块 30 以及处理模块 20 ，具体地，所述固件模块 30 通过被预先配置有至少一安全控制策略，所述处理模块 20 当服务器 600 检测到该安全设备 500 被连接其上时，实时地执行这些安全控制策略中的至少一个以实现服务器 600 的信息安全防护。

所述安全防护包括但不限于：数据库颗粒加解密、透明加解密、密文索引和密文检索、数据库防火墙、数据库访问事件溯源、操作系统访问控制、操作系统内核加固、非结构化数据加密、服务器管理信息、工作状态、服务器管控、网络防火墙以及访问控制。所述安全策略包括但不限于：应用安全策略、数据安全策略、操作系统安全策略、数据库安全策略（例如数据库数据的加解密策略、数据库结构的加解密策略）、网络安全策略以及安全审计策略等。在实际应用当中，用户可对这些安全控制策略进行增删和修改。

除此之外，所述安全设备 500 还可以提供扩展接口以实现功能拓展，例如为可信计算、 VPN 、防病毒、指纹识别、 PKI 认证、加密、应用防护和安全审计等安全产品和技术提供灵活的扩展。

本实施例中，所述安全设备 500 可插拔地与服务器 600 的对外通信接口 40 进行通信连接；具体地，所述安全设备 500 为可插拔设备，其兼做插拔端子的通讯模块 10 与服务器 600 提供的用以插拔安全设备 500 的对外通信接口 40 对接。更为具体地，当所述安全设备 500 为可插拔设备时，所述可插拔设备是一张卡或移动介质。

在另一实施例中，所述安全设备 500 被集成于服务器 600 的主板上，并与服务器 600 的对外通信接口 40 进行通信连接。

优选地，当网卡芯片 50 在获取到网络数据包时，所述通讯模块 10 用于从所述网卡芯片 50 获取所述网络数据包，其中，所述网卡芯片 50 可以被部署在服务器 600 之上，参考图 2 所示，所述处理模块 20 包括：

网络协议解析引擎 202 ，用于对网络数据包进行网络协议解析；例如所述网络协议为 TCP （ Transmission Control Protocol ，传输控制协议）协议等；

访问控制模块 203 ，根据网络协议解析的结果以及从安全设备 500 获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块 206 进行稽核；

审计模块 206 ，用于对网络数据包进行稽核。

优选地，所述处理模块 20 还包括：

策略缓冲模块 201 ，用于在用户访问服务器 600 时，保存用户更新的安全控制策略并将其更新至固件模块 30 。

优选地，所述处理模块 20 还包括：

安全策略匹配引擎 204 ，用于根据从安全设备 500 获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块 206 进行稽核；

数据库协议解析引擎 205 ，用于根据各种数据库协议的特性对允许通过的网络数据包进行解析；

SQL 语法分析引擎 207 ，用于根据从安全设备 500 获取的至少一安全控制策略对数据库协议解析引擎 205 解析得到的 SQL 语句进行分析，以判断对数据库的访问是否合法；

数据库安全策略匹配引擎 208 ，用于根据从安全设备 500 获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块 206 进行稽核；

加解密模块 209 ，用于根据从安全设备 500 获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。

下面结合图 3 ，以插拔式的安全设备 500 为例对安全设备 500 的具体工作步骤做进一步的详细说明，包括以下步骤：

步骤 S00 、用户将安全设备 500 安装到需要安全防护的服务器 600 之上。

步骤 S01 、用户访问服务器 600 时，策略缓冲模块 201 保存用户的设置，这些设置包括用户主动输入的服务器 600 安全控制策略。

步骤 S02 、用户访问服务器 600 。

步骤 S03 、安全设备 500 通过服务器 600 的网卡芯片 50 获取网络数据包。

步骤 S04 、网络协议解析引擎 202 对网络数据包根据各种协议的特点进行解析。

步骤 S05 、访问控制模块 203 根据网络协议解析的结果以及从安全设备 500 获得的或从策略缓冲模块 201 直接获取的安全控制策略，分析是否符合访问安全，如果符合，则允许此网络数据包通过，否则进行阻断并进行稽核。

步骤 S06 、安全策略匹配引擎 204 根据从安全设备 500 获得的或从策略缓冲模块 201 直接获取的安全控制策略对访问控制模块 203 允许通过的网络数据包进行安全策略匹配，以检查是否允许网络数据包通过，如果不允许，则进行阻断并进行稽核。

步骤 S07 、数据库协议解析引擎 205 对网络数据包根据各种数据库协议的特点进行解析。

步骤 S08 、数据库安全策略匹配引擎 208 根据从安全设备 500 获得的或从策略缓冲模块 201 直接获取的数据库安全控制策略对安全策略匹配引擎 204 允许通过的网络数据包进行安全策略匹配，以检查是否允许网络数据包通过，如果不允许，则进行阻断并进行稽核。

步骤 S09 、加解密模块 209 根据从安全设备 500 获得的或从策略缓冲模块 201 直接获取的安全控制策略判断是否需要对网络数据包包含的数据进行加解密，如果需要，则根据从安全设备 500 获取或从策略缓冲模块 201 直接获取的安全控制策略对所述允许通过的网络数据包进行加解密。

继续参考图 2 所示，本发明实施例还提供了一种服务器 600 ，其与一安全设备 500 连接，所述安全设备 500 包括：

固件模块 30 ，用于被预先配置有至少一安全控制策略；

以及，处理模块 20 ，用于当服务器 600 检测到该安全设备 500 被连接其上时，实时地执行这些安全控制策略中的至少一个以实现服务器 600 的信息安全防护。

在具体实施时，所述服务器 600 自身已经将得以实现安全防护的各种安全控制软件剥离，例如网络防火墙软件等。在需要对相应的服务器 600 进行具体防护时，掌握有相应安全设备 500 管辖权的特定用户只需要将该安全设备 500 插入该服务器 600 之上，或者相应的用户对已经集成有安全设备 500 的服务器 600 进行操作，即可实现服务器 600 的安全防护。

优选地，所述安全设备 500 可以是一张卡或 U 盘等移动介质，可插拔地与服务器 600 的对外通信接口 40 进行通信连接；

或，所述安全设备 500 被集成于服务器 600 的主板上，并与服务器 600 的对外通信接口 40 进行通信连接。

同样地，当服务器 600 的网卡芯片 50 在获取到网络数据包时，所述安全设备 500 的通讯模块 10 用于从所述网卡芯片 50 获取所述网络数据包，所述处理模块 20 包括：

审计模块 206 ，用于对网络数据包进行稽核。

优选地，所述处理模块 20 还包括：

如图 3 所示并参考图 2 ，本发明实施例还提供了一种服务器 600 信息安全实现方法，其包括如下步骤：

S10 、服务器 600 提供对外通信接口 40 ，并通过该对外通信接口 40 实现与安全设备 500 的信息交互，其中，所述安全设备 500 被预先配置有至少一安全控制策略，当该安全设备 500 被连接至服务器 600 并被其识别时，实时地执行这些安全控制策略中的至少一个以实现服务器 600 的信息安全防护。

本实施例中，所述安全设备 500 可插拔地与服务器 600 的对外通信接口 40 进行通信连接；在本实施例中，在实现服务器 600 具体应用时，通过采用集成安全功能以及网卡功能的安全设备 500 ，只需将安全设备 500 插入服务器 600 的相应接口，使得服务器 600 在执行实际业务时，通过与安全设备 500 进行信息交互，选择至少一所述安全控制策略进行安全控制处理，即可以实现服务器 600 的安全防护。

或另一实施例中，所述安全设备 500 被集成于服务器 600 的主板上，并与服务器 600 的对外通信接口 40 进行通信连接。在该实施例中，在实现服务器 600 具体应用时，通过采用集成安全功能以及网卡功能的安全设备 500 ，并将将安全设备 500 集成到服务器 600 的主板之上，使得服务器 600 在执行实际业务时，通过与安全设备 500 进行信息交互，选择至少一所述安全控制策略进行安全控制处理，即可以实现服务器 600 的安全防护。

依照本发明的精神，本领域的技术人员应当得知：所述被写入安全设备 500 的安全控制策略包括但不限于应用安全策略、数据安全策略、操作系统安全策略、数据库安全策略（例如数据库数据的加解密策略、数据库结构的加解密策略）、网络安全策略以及安全审计策略等。在实际应用当中，用户可对这些安全控制策略进行增删和修改。

优选地，当该安全设备 500 被连接至服务器 600 并被其识别时，实时地执行这些安全控制策略中的至少一个以实现服务器 600 的信息安全防护的步骤包括：

S100 、在用户访问服务器 600 时，获取网络数据包；

S100 、对网络数据包进行网络协议解析；

S100 、根据网络协议解析的结果以及从安全设备 500 获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并进行稽核。

S100 、根据从安全设备 500 获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并进行稽核。

S100 、根据各种数据库协议的特性对允许通过的网络数据包进行解析；

S100 、根据从安全设备 500 获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并进行稽核；

S100 、根据从安全设备 500 获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

一种安全设备，其特征在于，包括：

通讯模块，用于与服务器提供的对外通信接口对接，并通过该接口实现与服务器的信息交互；

固件模块，用于被预先配置有至少一安全控制策略；

以及，处理模块，用于当服务器检测到该安全设备时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。
如权利要求 1 所述的安全设备，其特征在于，所述安全设备可插拔地与服务器的对外通信接口进行通信连接；

或，所述安全设备被集成于服务器的主板上，并与服务器的对外通信接口进行通信连接。
如权利要求 1 所述的安全设备，其特征在于，当网卡芯片在获取到网络数据包时，所述通讯模块用于从所述网卡芯片获取所述网络数据包，所述处理模块包括：

网络协议解析引擎，用于对网络数据包进行网络协议解析；

访问控制模块，根据网络协议解析的结果以及从安全设备获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

审计模块，用于对网络数据包进行稽核。
如权利要求 3 所述的安全设备，其特征在于，所述处理模块还包括：

策略缓冲模块，用于在用户访问服务器时，保存用户更新的安全控制策略并将其更新至固件模块。
如权利要求 3 所述的安全设备，其特征在于，所述处理模块还包括：

安全策略匹配引擎，用于根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

数据库协议解析引擎，用于根据各种数据库协议的特性对允许通过的网络数据包进行解析；

SQL 语法分析引擎，用于根据从安全设备获取的至少一安全控制策略对数据库协议解析引擎解析得到的 SQL 语句进行分析，以判断对数据库的访问是否合法；

数据库安全策略匹配引擎，用于根据从安全设备获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

加解密模块，用于根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。
如权利要求 2 所述的安全设备，其特征在于，所述可插拔地与服务器连接的安全设备是一张卡或移动介质。
一种服务器，其特征在于，所述服务器与一安全设备连接，所述安全设备包括：

通讯模块，用于与服务器提供的对外通信接口对接，并通过该接口实现与服务器的信息交互；

固件模块，用于被预先配置有至少一安全控制策略；

以及，处理模块，用于当服务器检测到该安全设备被连接其上时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。
如权利要求 7 所述的服务器，其特征在于，所述安全设备可插拔地与服务器的对外通信接口进行通信连接；

或，所述安全设备被集成于服务器的主板上，并与服务器的对外通信接口进行通信连接。
一种服务器信息安全实现方法，其特征在于，包括：

服务器提供对外通信接口，并通过该对外通信接口实现与安全设备的信息交互，其中，所述安全设备被预先配置有至少一安全控制策略，当该安全设备被连接至服务器并被其识别时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。
如权利要求 9 所述的服务器信息安全实现方法，其特征在于，所述安全设备可插拔地与服务器的对外通信接口进行通信连接；

或，所述安全设备被集成于服务器的主板上，并与服务器的对外通信接口进行通信连接。
如权利要求 9 所述的服务器信息安全实现方法，其特征在于，当该安全设备被连接至服务器并被其识别时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护的步骤包括：

在用户访问服务器时，获取网络数据包；

对网络数据包进行网络协议解析；

根据网络协议解析的结果以及从安全设备获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并进行稽核。

根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并进行稽核。

根据各种数据库协议的特性对允许通过的网络数据包进行解析；

根据从安全设备获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并进行稽核；

根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。