安全設備、伺服器及伺服器信息安全實現方法

2023-05-08 13:54:41

安全設備、伺服器及伺服器信息安全實現方法
【專利摘要】本發明公開了一種安全設備、伺服器及伺服器信息安全實現方法。所述安全設備包括：通訊模塊，用於與伺服器提供的對外通信接口對接，並通過該接口實現與伺服器的信息交互；固件模塊，用於被預先配置有至少一安全控制策略；以及，處理模塊，用於當伺服器檢測到該安全設備時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。本發明利用一集成安全控制策略的高速安全設備（例如安全晶片卡），保護伺服器的安全，實現伺服器安全的即插即用功能，實現將對外的伺服器作為一個獨立網絡處理，同時又與內部網關完全隔離。
【專利說明】安全設備、伺服器及伺服器信息安全實現方法
【技術領域】
[0001]本發明涉及伺服器安全防護【技術領域】，具體而言，涉及一種安全設備、伺服器及伺服器信息安全實現方法。
【背景技術】
[0002]伺服器是企事業信息系統中的重要組成部分，伺服器的安全是整個信息系統安全的基石。權威數據顯示，整個信息系統中大約有80%的數據2由伺服器來處理的，並且，隨著伺服器的功能和性能的不斷發展，信息系統對伺服器的依賴程度將越來越大。突然的停機、意外的網絡中斷、黑客攻擊、重要數據被竊取等事件一旦發生，將會對整個信息系統的安全造成非常大的影響，從而給企事業單位造成非常嚴重的損失。
[0003]已知地，伺服器的安全防護策略關係到信息系統核心伺服器的安全問題，有效的安全防護策略可以避免信息系統的核心伺服器面臨非法接入、信息劫持、入侵滲透、病毒破壞、後門攻擊、特權攻擊、數據篡改、數據洩露等安全威脅。
[0004]在實際應用當中，伺服器中的大量應用以及數據都是信息系統得以安全、穩定且高效運行的保障和基礎，但本發明的發明人發現，當前針對伺服器安全的眾多的安全產品和技術、如傳統的防火牆、IDS (Intrusion Detection Systems,入侵檢測系統)/IPS(Intrusion Prevention System,入侵預防系統)等都是用來保護網絡安全或信息系統本身的安全，然而缺乏旨在對信息系統的核心伺服器進行安全防護的技術。因此，現有技術在具體實施時還至少存在如下安全隱患:
其一、物理專網用戶無法有效防範第三方開發人員、第三方運維人員、甚至內部人員給資料庫帶來的風險；
一、特權用戶的權限不受控，可以隨時獲取、篡改任何資料；
二、利用Web代碼的缺陷或利用管理的漏洞通過前臺滲透，從而實現對資料庫的越權訪問；
三、缺乏完整詳盡的數據審計手段；
四、應用前臺用戶對數據的訪問，在資料庫上無法記錄最終用戶；
五、利用資料庫安全漏洞和協議漏洞發起針對資料庫的直接攻擊行為；
六、大量的安全產品在伺服器網絡中進行部署，無法有效的防護應用的核心。

【發明內容】

[0005]為了解決上述技術問題中的至少一個，本發明的目的在於提供一種伺服器安全實現方法、裝置及伺服器。
[0006]為了達到上述目的，本發明實施例採用以下技術方案實現:
一種安全設備，包括:
通訊模塊，用於與伺服器提供的對外通信接口對接，並通過該接口實現與伺服器的信息交互； 固件模塊，用於被預先配置有至少一安全控制策略；
以及，處理模塊，用於當伺服器檢測到該安全設備時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。
[0007]優選地，所述安全設備可插拔地與伺服器的對外通信接口進行通信連接；
或，所述安全設備被集成於伺服器的主板上，並與伺服器的對外通信接口進行通信連接。
[0008]優選地，當網卡晶片在獲取到網絡數據包時，所述通訊模塊用於從所述網卡晶片獲取所述網絡數據包，所述處理模塊包括:
網絡協議解析引擎，用於對網絡數據包進行網絡協議解析；
訪問控制模塊，根據網絡協議解析的結果以及從安全設備獲取的至少一安全控制策略分析該當前用戶訪問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊進行稽核；
審計模塊，用於對網絡數據包進行稽核。
[0009]優選地，所述處理模塊還包括:
策略緩衝模塊，用於在用戶訪問伺服器時，保存用戶更新的安全控制策略並將其更新至固件模塊。
[0010]優選地，所述處理模塊還包括:
安全策略匹配引擎，用於根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊進行稽核；
資料庫協議解析引擎，用於根據各種資料庫協議的特性對允許通過的網絡數據包進行解析；
SQL語法分析引擎，用於根據從安全設備獲取的至少一安全控制策略對資料庫協議解析引擎解析得到的SQL語句進行分析，以判斷對資料庫的訪問是否合法；
資料庫安全策略匹配引擎，用於根據從安全設備獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊進行稽核；
加解密模塊，用於根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解密。
[0011]更為優選地，所述可插拔地與伺服器連接的安全設備是一張卡或移動介質。
[0012]一種伺服器，其與一安全設備連接，所述安全設備包括:
通訊模塊，用於與伺服器提供的對外通信接口對接，並通過該接口實現與伺服器的信息交互；
固件模塊，用於被預先配置有至少一安全控制策略；
以及，處理模塊，用於當伺服器檢測到該安全設備被連接其上時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。
[0013]優選地，所述安全設備可插拔地與伺服器的對外通信接口進行通信連接；
或，所述安全設備被集成於伺服器的主板上，並與伺服器的對外通信接口進行通信連接。[0014]一種伺服器信息安全實現方法，其包括:
伺服器提供對外通信接口，並通過該對外通信接口實現與安全設備的信息交互，其中，所述安全設備被預先配置有至少一安全控制策略，當該安全設備被連接至伺服器並被其識別時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。
[0015]優選地，所述安全設備可插拔地與伺服器的對外通信接口進行通信連接；
或，所述安全設備被集成於伺服器的主板上，並與伺服器的對外通信接口進行通信連接。
[0016]優選地，當該安全設備被連接至伺服器並被其識別時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護的步驟包括:
在用戶訪問伺服器時，獲取網絡數據包；
對網絡數據包進行網絡協議解析；
根據網絡協議解析的結果以及從安全設備獲取的至少一安全控制策略分析該當前用戶訪問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核。
[0017]根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核。
[0018]根據各種資料庫協議的特性對允許通過的網絡數據包進行解析；
根據從安全設備獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核；
根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解
LU O
[0019]本發明利用一集成安全控制策略的高速安全設備(例如安全晶片卡)，保護伺服器的安全，實現伺服器安全的即插即用功能，實現將對外的伺服器作為一個獨立網絡處理，同時又與內部網關完全隔離。其中，所述安全控制策略包括但不限於應用安全策略、數據安全策略、作業系統安全策略、資料庫安全策略(例如資料庫數據的加解密策略、資料庫結構的加解密策略)、網絡安全策略以及安全審計策略等。
【專利附圖】

【附圖說明】
[0020]圖1為本發明實施例提供的安全設備功能結構示意圖；
圖2為本發明實施例提供的安全設備詳細結構示意圖；
圖3為本發明實施例提供的伺服器信息安全實現方法流程示意圖。
[0021]本發明目的的實現、功能特點及優異效果，下面將結合具體實施例以及附圖做進一步的說明。
【具體實施方式】
[0022]下面結合附圖和具體實施例對本發明所述技術方案作進一步的詳細描述，以使本領域的技術人員可以更好的理解本發明並能予以實施，但所舉實施例不作為對本發明的限定。[0023]如圖1以及圖2所示，本發明實施例提供了一種安全設備500，包括:
通訊模塊10，用於與伺服器600提供的對外通信接口 40對接，並通過該接口實現與伺服器600的信息交互；
固件模塊30，用於被預先配置有至少一安全控制策略；
以及，處理模塊20，用於當伺服器600檢測到該安全設備500時，實時地執行這些安全控制策略中的至少一個以實現伺服器600的信息安全防護。
[0024]本領域的技術人員結合本發明的精神以及現有技術，不難在產業上實現所述通訊模塊10、固件模塊30以及處理模塊20，具體地，所述固件模塊30通過被預先配置有至少一安全控制策略，所述處理模塊20當伺服器600檢測到該安全設備500被連接其上時，實時地執行這些安全控制策略中的至少一個以實現伺服器600的信息安全防護。
[0025]所述安全防護包括但不限於:資料庫顆粒加解密、透明加解密、密文索引和密文檢索、資料庫防火牆、資料庫訪問事件溯源、作業系統訪問控制、作業系統內核加固、非結構化數據加密、伺服器管理信息、工作狀態、伺服器管控、網絡防火牆以及訪問控制。所述安全策略包括但不限於:應用安全策略、數據安全策略、作業系統安全策略、資料庫安全策略(例如資料庫數據的加解密策略、資料庫結構的加解密策略)、網絡安全策略以及安全審計策略等。在實際應用當中，用戶可對這些安全控制策略進行增刪和修改。
[0026]除此之外，所述安全設備500還可以提供擴展接口以實現功能拓展，例如為可信計算、VPN、防病毒、指紋識別、PKI認證、加密、應用防護和安全審計等安全產品和技術提供靈活的擴展。
[0027]本實施例中，所述安全設備500可插拔地與伺服器600的對外通信接口 40進行通信連接；具體地，所述安全設備500為可插拔設備，其兼做插拔端子的通訊模塊10與伺服器600提供的用以插拔安全設備500的對外通信接口 40對接。更為具體地，當所述安全設備500為可插拔設備時,所述可插拔設備是一張卡或移動介質。
[0028]在另一實施例中，所述安全設備500被集成於伺服器600的主板上,並與伺服器600的對外通信接口 40進行通信連接。
[0029]優選地，當網卡晶片50在獲取到網絡數據包時，所述通訊模塊10用於從所述網卡晶片50獲取所述網絡數據包，其中，所述網卡晶片50可以被部署在伺服器600之上，參考圖2所示，所述處理模塊20包括:
網絡協議解析引擎202，用於對網絡數據包進行網絡協議解析；例如所述網絡協議為TCP (Transmission Control Protocol,傳輸控制協議)協議等；
訪問控制模塊203，根據網絡協議解析的結果以及從安全設備500獲取的至少一安全控制策略分析該當前用戶訪問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊206進行稽核；
審計模塊206，用於對網絡數據包進行稽核。
[0030]優選地，所述處理模塊20還包括:
策略緩衝模塊201，用於在用戶訪問伺服器600時，保存用戶更新的安全控制策略並將其更新至固件模塊30。
[0031 ] 優選地，所述處理模塊20還包括:
安全策略匹配引擎204，用於根據從安全設備500獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊206進行稽核；
資料庫協議解析引擎205，用於根據各種資料庫協議的特性對允許通過的網絡數據包進行解析；
SQL語法分析引擎207，用於根據從安全設備500獲取的至少一安全控制策略對資料庫協議解析引擎205解析得到的SQL語句進行分析，以判斷對資料庫的訪問是否合法；
資料庫安全策略匹配引擎208，用於根據從安全設備500獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊206進行稽核；
加解密模塊209，用於根據從安全設備500獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解密。
[0032]下面結合圖3，以插拔式的安全設備500為例對安全設備500的具體工作步驟做進一步的詳細說明，包括以下步驟:
步驟S00、用戶將安全設備500安裝到需要安全防護的伺服器600之上。
[0033]步驟SOl、用戶訪問伺服器600時，策略緩衝模塊201保存用戶的設置，這些設置包括用戶主動輸入的伺服器600安全控制策略。
[0034]步驟S02、用戶訪問伺服器600。
[0035]步驟S03、安全設備500通過伺服器600的網卡晶片50獲取網絡數據包。
[0036]步驟S04、網絡協議解析引擎202對網絡數據包根據各種協議的特點進行解析。
[0037]步驟S05、訪問控制模塊203根據網絡協議解析的結果以及從安全設備500獲得的或從策略緩衝模塊201直接獲取的安全控制策略，分析是否符合訪問安全，如果符合，則允許此網絡數據包通過，否則進行阻斷並進行稽核。
[0038]步驟S06、安全策略匹配引擎204根據從安全設備500獲得的或從策略緩衝模塊201直接獲取的安全控制策略對訪問控制模塊203允許通過的網絡數據包進行安全策略匹配，以檢查是否允許網絡數據包通過，如果不允許，則進行阻斷並進行稽核。
[0039]步驟S07、資料庫協議解析引擎205對網絡數據包根據各種資料庫協議的特點進行解析。
[0040]步驟S08、資料庫安全策略匹配引擎208根據從安全設備500獲得的或從策略緩衝模塊201直接獲取的資料庫安全控制策略對安全策略匹配引擎204允許通過的網絡數據包進行安全策略匹配，以檢查是否允許網絡數據包通過，如果不允許，則進行阻斷並進行稽核。
[0041]步驟S09、加解密模塊209根據從安全設備500獲得的或從策略緩衝模塊201直接獲取的安全控制策略判斷是否需要對網絡數據包包含的數據進行加解密，如果需要，則根據從安全設備500獲取或從策略緩衝模塊201直接獲取的安全控制策略對所述允許通過的網絡數據包進行加解密。
[0042]繼續參考圖2所示，本發明實施例還提供了一種伺服器600，其與一安全設備500連接，所述安全設備500包括:
通訊模塊10，用於與伺服器600提供的對外通信接口 40對接，並通過該接口實現與伺服器600的信息交互； 固件模塊30，用於被預先配置有至少一安全控制策略；
以及，處理模塊20，用於當伺服器600檢測到該安全設備500被連接其上時，實時地執行這些安全控制策略中的至少一個以實現伺服器600的信息安全防護。
[0043]在具體實施時，所述伺服器600自身已經將得以實現安全防護的各種安全控制軟體剝離，例如網絡防火牆軟體等。在需要對相應的伺服器600進行具體防護時，掌握有相應安全設備500管轄權的特定用戶只需要將該安全設備500插入該伺服器600之上，或者相應的用戶對已經集成有安全設備500的伺服器600進行操作，即可實現伺服器600的安全防護。
[0044]優選地，所述安全設備500可以是一張卡或U盤等移動介質，可插拔地與伺服器600的對外通信接口 40進行通信連接；
或，所述安全設備500被集成於伺服器600的主板上，並與伺服器600的對外通信接口40進行通信連接。
[0045]同樣地，當伺服器600的網卡晶片50在獲取到網絡數據包時，所述安全設備500的通訊模塊10用於從所述網卡晶片50獲取所述網絡數據包，所述處理模塊20包括:
網絡協議解析引擎202，用於對網絡數據包進行網絡協議解析；例如所述網絡協議為TCP (Transmission Control Protocol,傳輸控制協議)協議等；
訪問控制模塊203，根據網絡協議解析的結果以及從安全設備500獲取的至少一安全控制策略分析該當前用戶訪問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊206進行稽核；
審計模塊206，用於對網絡數據包進行稽核。
[0046]優選地，所述處理模塊20還包括:
策略緩衝模塊201，用於在用戶訪問伺服器600時，保存用戶更新的安全控制策略並將其更新至固件模塊30。
[0047]優選地，所述處理模塊20還包括:
安全策略匹配引擎204，用於根據從安全設備500獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊206進行稽核；
資料庫協議解析引擎205，用於根據各種資料庫協議的特性對允許通過的網絡數據包進行解析；
SQL語法分析引擎207，用於根據從安全設備500獲取的至少一安全控制策略對資料庫協議解析引擎205解析得到的SQL語句進行分析，以判斷對資料庫的訪問是否合法；
資料庫安全策略匹配引擎208，用於根據從安全設備500獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊206進行稽核；
加解密模塊209，用於根據從安全設備500獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解密。
[0048]如圖3所示並參考圖2，本發明實施例還提供了一種伺服器600信息安全實現方法，其包括如下步驟:
S10、伺服器600提供對外通信接口 40，並通過該對外通信接口 40實現與安全設備500的信息交互，其中，所述安全設備500被預先配置有至少一安全控制策略，當該安全設備500被連接至伺服器600並被其識別時，實時地執行這些安全控制策略中的至少一個以實現伺服器600的信息安全防護。
[0049]本實施例中，所述安全設備500可插拔地與伺服器600的對外通信接口 40進行通信連接；在本實施例中，在實現伺服器600具體應用時，通過採用集成安全功能以及網卡功能的安全設備500，只需將安全設備500插入伺服器600的相應接口，使得伺服器600在執行實際業務時，通過與安全設備500進行信息交互，選擇至少一所述安全控制策略進行安全控制處理，即可以實現伺服器600的安全防護。
[0050]或另一實施例中，所述安全設備500被集成於伺服器600的主板上，並與伺服器600的對外通信接口 40進行通信連接。在該實施例中，在實現伺服器600具體應用時，通過採用集成安全功能以及網卡功能的安全設備500，並將將安全設備500集成到伺服器600的主板之上，使得伺服器600在執行實際業務時，通過與安全設備500進行信息交互，選擇至少一所述安全控制策略進行安全控制處理，即可以實現伺服器600的安全防護。
[0051]依照本發明的精神，本領域的技術人員應當得知:所述被寫入安全設備500的安全控制策略包括但不限於應用安全策略、數據安全策略、作業系統安全策略、資料庫安全策略(例如資料庫數據的加解密策略、資料庫結構的加解密策略)、網絡安全策略以及安全審計策略等。在實際應用當中，用戶可對這些安全控制策略進行增刪和修改。
[0052]優選地，當該安全設備500被連接至伺服器600並被其識別時，實時地執行這些安全控制策略中的至少一個以實現伺服器600的信息安全防護的步驟包括:
S100、在用戶訪問伺服器600時，獲取網絡數據包；
S100、對網絡數據包進行網絡協議解析；
S100、根據網絡協議解析的結果以及從安全設備500獲取的至少一安全控制策略分析該當前用戶訪問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核。
[0053]S100、根據從安全設備500獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核。
[0054]S100、根據各種資料庫協議的特性對允許通過的網絡數據包進行解析；
S100、根據從安全設備500獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核；
S100、根據從安全設備500獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解密。
[0055]以上所述僅為本發明的優選實施例，並非因此限制本發明的專利範圍，凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換，或直接或間接運用在其他相關的【技術領域】，均同理包括在本發明的專利保護範圍內。
【權利要求】
1.一種安全設備，其特徵在於，包括: 通訊模塊，用於與伺服器提供的對外通信接口對接，並通過該接口實現與伺服器的信息交互； 固件模塊，用於被預先配置有至少一安全控制策略； 以及，處理模塊，用於當伺服器檢測到該安全設備時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。
2.如權利要求1所述的安全設備，其特徵在於，所述安全設備可插拔地與伺服器的對外通信接口進行通信連接； 或，所述安全設備被集成於伺服器的主板上，並與伺服器的對外通信接口進行通信連接。
3.如權利要求1所述的安全設備，其特徵在於，當網卡晶片在獲取到網絡數據包時，所述通訊模塊用於從所述網卡晶片獲取所述網絡數據包，所述處理模塊包括: 網絡協議解析引擎，用於對網絡數據包進行網絡協議解析； 訪問控制模塊，根據網絡協議解析的結果以及從安全設備獲取的至少一安全控制策略分析該當前用戶訪 問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊進行稽核； 審計模塊，用於對網絡數據包進行稽核。
4.如權利要求3所述的安全設備，其特徵在於，所述處理模塊還包括: 策略緩衝模塊，用於在用戶訪問伺服器時，保存用戶更新的安全控制策略並將其更新至固件模塊。
5.如權利要求3所述的安全設備，其特徵在於，所述處理模塊還包括: 安全策略匹配引擎，用於根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊進行稽核； 資料庫協議解析引擎，用於根據各種資料庫協議的特性對允許通過的網絡數據包進行解析； SQL語法分析引擎，用於根據從安全設備獲取的至少一安全控制策略對資料庫協議解析引擎解析得到的SQL語句進行分析，以判斷對資料庫的訪問是否合法； 資料庫安全策略匹配引擎，用於根據從安全設備獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並通知審計模塊進行稽核； 加解密模塊，用於根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解密。
6.如權利要求2所述的安全設備，其特徵在於，所述可插拔地與伺服器連接的安全設備是一張卡或移動介質。
7.一種伺服器，其特徵在於，所述伺服器與一安全設備連接，所述安全設備包括: 通訊模塊，用於與伺服器提供的對外通信接口對接，並通過該接口實現與伺服器的信息交互； 固件模塊，用於被預先配置有至少一安全控制策略；以及，處理模塊，用於當伺服器檢測到該安全設備被連接其上時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。
8.如權利要求7所述的伺服器，其特徵在於，所述安全設備可插拔地與伺服器的對外通信接口進行通信連接； 或，所述安全設備被集成於伺服器的主板上，並與伺服器的對外通信接口進行通信連接。
9.一種伺服器信息安全實現方法，其特徵在於，包括: 伺服器提供對外通信接口，並通過該對外通信接口實現與安全設備的信息交互，其中，所述安全設備被預先配置有至少一安全控制策略，當該安全設備被連接至伺服器並被其識別時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護。
10.如權利要求9所述的伺服器信息安全實現方法，其特徵在於，所述安全設備可插拔地與伺服器的對外通信接口進行通信連接； 或，所述安全設備被集成於伺服器的主板上，並與伺服器的對外通信接口進行通信連接。
11.如權利要求9所述的伺服器信息安全實現方法，其特徵在於，當該安全設備被連接至伺服器並被其識別時，實時地執行這些安全控制策略中的至少一個以實現伺服器的信息安全防護的步驟包括: 在用戶訪問伺服器時，獲取網絡數據包； 對網絡數據包進行網絡協議解析； 根據網絡協議解析的結果以及從安全設備獲取的至少一安全控制策略分析該當前用戶訪問是否安全，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核； 根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行檢測，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核； 根據各種資料庫協議的特性對允許通過的網絡數據包進行解析； 根據從安全設備獲取的至少一安全控制策略對允許通過的網絡數據包進行安全策略匹配，以判斷是否允許網絡數據包通過，如是，則允許此網絡數據包通過，否則進行阻斷並進行稽核； 根據從安全設備獲取的至少一安全控制策略對所述允許通過的網絡數據包進行加解LU O
【文檔編號】H04L29/06GK103795735SQ201410082238
【公開日】2014年5月14日 申請日期:2014年3月7日 優先權日:2014年3月7日
【發明者】尹立東, 秦明, 顏國榮, 劉宗臻, 曹毅清, 李彥博, 李靜, 張文精, 葉福林 申請人:深圳市邁科龍電子有限公司