[发明专利]安全设备、服务器及服务器信息安全实现方法

说明书

技术领域

本发明涉及服务器安全防护技术领域，具体而言，涉及一种安全设备、服务器及服务器信息安全实现方法。

背景技术

服务器是企事业信息系统中的重要组成部分，服务器的安全是整个信息系统安全的基石。权威数据显示，整个信息系统中大约有80%的数据2由服务器来处理的，并且，随着服务器的功能和性能的不断发展，信息系统对服务器的依赖程度将越来越大。突然的停机、意外的网络中断、黑客攻击、重要数据被窃取等事件一旦发生，将会对整个信息系统的安全造成非常大的影响，从而给企事业单位造成非常严重的损失。

已知地，服务器的安全防护策略关系到信息系统核心服务器的安全问题，有效的安全防护策略可以避免信息系统的核心服务器面临非法接入、信息劫持、入侵渗透、病毒破坏、后门攻击、特权攻击、数据篡改、数据泄露等安全威胁。

在实际应用当中，服务器中的大量应用以及数据都是信息系统得以安全、稳定且高效运行的保障和基础，但本发明的发明人发现，当前针对服务器安全的众多的安全产品和技术、如传统的防火墙、IDS（Intrusion Detection Systems，入侵检测系统）/IPS（Intrusion Prevention System，入侵预防系统）等都是用来保护网络安全或信息系统本身的安全，然而缺乏旨在对信息系统的核心服务器进行安全防护的技术。因此，现有技术在具体实施时还至少存在如下安全隐患：

其一、物理专网用户无法有效防范第三方开发人员、第三方运维人员、甚至内部人员给数据库带来的风险；

一、特权用户的权限不受控，可以随时获取、篡改任何资料；

二、利用Web代码的缺陷或利用管理的漏洞通过前台渗透，从而实现对数据库的越权访问；

三、缺乏完整详尽的数据审计手段；

四、应用前台用户对数据的访问，在数据库上无法记录最终用户；

五、利用数据库安全漏洞和协议漏洞发起针对数据库的直接攻击行为；

六、大量的安全产品在服务器网络中进行部署，无法有效的防护应用的核心。

发明内容

为了解决上述技术问题中的至少一个，本发明的目的在于提供一种服务器安全实现方法、装置及服务器。

为了达到上述目的，本发明实施例采用以下技术方案实现：

一种安全设备，包括：

通讯模块，用于与服务器提供的网络通信接口对接，并通过该接口实现与服务器的信息交互；

固件模块，用于被预先配置有至少一安全控制策略；

以及，处理模块，用于当服务器检测到该安全设备时，实时地执行这些安全控制策略中的至少一个以实现服务器的信息安全防护。

优选地，所述安全设备可插拔地与服务器的网络通信接口进行通信连接；

或，所述安全设备被集成于服务器的主板上，并与服务器的网络通信接口进行通信连接。

优选地，当网卡芯片在获取到网络数据包时，所述通讯模块用于从所述网卡芯片获取所述网络数据包，所述处理模块包括：

网络协议解析引擎，用于对网络数据包进行网络协议解析；

访问控制模块，根据网络协议解析的结果以及从安全设备获取的至少一安全控制策略分析该当前用户访问是否安全，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

审计模块，用于对网络数据包进行稽核。

优选地，所述处理模块还包括：

策略缓冲模块，用于在用户访问服务器时，保存用户更新的安全控制策略并将其更新至固件模块。

优选地，所述处理模块还包括：

安全策略匹配引擎，用于根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行检测，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

数据库协议解析引擎，用于根据各种数据库协议的特性对允许通过的网络数据包进行解析；

SQL语法分析引擎，用于根据从安全设备获取的至少一安全控制策略对数据库协议解析引擎解析得到的SQL语句进行分析，以判断对数据库的访问是否合法；

数据库安全策略匹配引擎，用于根据从安全设备获取的至少一安全控制策略对允许通过的网络数据包进行安全策略匹配，以判断是否允许网络数据包通过，如是，则允许此网络数据包通过，否则进行阻断并通知审计模块进行稽核；

加解密模块，用于根据从安全设备获取的至少一安全控制策略对所述允许通过的网络数据包进行加解密。

更为优选地，所述可插拔地与服务器连接的安全设备是一张卡或移动介质。