基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)的制作方法

專利名稱：基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)，特別是以集成有安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備為核心，屬于計(jì)算機(jī)信息安全領(lǐng)域。
背景技術(shù)：
隨著國(guó)內(nèi)信息化進(jìn)程的迅猛發(fā)展，電子商務(wù)，電子政務(wù)等信息服務(wù)在政府，企業(yè)，商業(yè)等領(lǐng)域的廣泛應(yīng)用，網(wǎng)絡(luò)已經(jīng)成為政府辦公，商業(yè)貿(mào)易的重要工具之一。而構(gòu)成網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施的服務(wù)器越來越發(fā)揮著舉足輕重的作用，不僅承載著企業(yè)的寶貴數(shù)據(jù)資源，也提供著資源和數(shù)據(jù)的共享服務(wù)。正是由于服務(wù)器在網(wǎng)絡(luò)環(huán)境及網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的顯著作用，它面臨著三方面的惡意網(wǎng)絡(luò)行為，即肆意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)行，甚至導(dǎo)致服務(wù)器所在網(wǎng)絡(luò)的癱瘓；惡意的入侵行為，這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息的泄漏，入侵者更是可以為所欲為，肆意破壞服務(wù)器；服務(wù)器軟件本身所具有的安全漏洞，它是由于軟件設(shè)計(jì)和開發(fā)不完善而造成的，從而使得各種軟件具有了先天的缺陷和隱患，給惡意攻擊者開啟了攻擊的方便之門。這些攻擊和破壞給政府，企業(yè)造成了不可估量的經(jīng)濟(jì)損失。如何保障服務(wù)器的安全可靠運(yùn)行，國(guó)家機(jī)密數(shù)據(jù)和信息不被非法竊取或篡改已是關(guān)及國(guó)家安全的重大問題。
另一方面，目前服務(wù)器的管理方式主要體現(xiàn)在以下三個(gè)方面即基于硬件的管理工具、網(wǎng)絡(luò)操作系統(tǒng)的附加管理功能以及第三方的系統(tǒng)管理軟件。其中，基于硬件的管理工具往往由服務(wù)器生產(chǎn)廠商所提供，它主要是通過服務(wù)器主板上集成的遠(yuǎn)程管理芯片實(shí)現(xiàn)對(duì)服務(wù)器的CPU、硬盤、內(nèi)存、風(fēng)扇等底層部件的監(jiān)控和管理；網(wǎng)絡(luò)操作系統(tǒng)所附帶的管理功能如Windows Server 2003中的服務(wù)器管理向?qū)?，就是為很多服?wù)器網(wǎng)絡(luò)管理人員所熟知的功能。這兩種管理方式局限性較大，不支持異構(gòu)跨平臺(tái)的管理。除此之外，還有一些第三方管理軟件廠商的產(chǎn)品，這些專業(yè)產(chǎn)品具有強(qiáng)大的跨平臺(tái)管理能力，可以完成對(duì)操作系統(tǒng)、應(yīng)用軟件、硬件平臺(tái)等多種系統(tǒng)資源的維護(hù)和監(jiān)控，并具備一些智能化管理的特性。
但是在實(shí)際的應(yīng)用中，隨著網(wǎng)絡(luò)系統(tǒng)越來越復(fù)雜，網(wǎng)絡(luò)技術(shù)的不斷應(yīng)用對(duì)服務(wù)器的可靠性、安全性管理上的要求越來越高，企業(yè)需要服務(wù)器的管理軟件來簡(jiǎn)化服務(wù)器系統(tǒng)管理。此外，由于服務(wù)器數(shù)量的增加，地域的擴(kuò)展，企業(yè)部署并使用了多個(gè)服務(wù)器管理平臺(tái)對(duì)多家服務(wù)器進(jìn)行管理，而這些管理平臺(tái)之間的互操作性、整體擁有成本、管理人員的知識(shí)都會(huì)帶來管理上的挑戰(zhàn)。
因此，必須采用先進(jìn)技術(shù)及管理方式解決服務(wù)器網(wǎng)絡(luò)安全集中管理和監(jiān)控的問題，以通過單一的控制臺(tái)實(shí)現(xiàn)對(duì)系統(tǒng)資源全方位的監(jiān)控、管理和控制，同時(shí)在不影響服務(wù)器正常運(yùn)轉(zhuǎn)和降低其性能的情況下，滿足用戶對(duì)安全、詳細(xì)日志以及報(bào)警等功能的多方面需求。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)。為實(shí)現(xiàn)上述目的，本發(fā)明的技術(shù)解決方案是將集成有安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備部署在被監(jiān)管服務(wù)器中并與安全集中管理平臺(tái)相連，由安全集中管理平臺(tái)統(tǒng)一制訂安全策略并分發(fā)給硬件網(wǎng)絡(luò)設(shè)備，同時(shí)收集各硬件網(wǎng)絡(luò)設(shè)備所生成的安全事件和信息，實(shí)時(shí)監(jiān)控服務(wù)器網(wǎng)絡(luò)的健康程度及安全狀態(tài)，具體步驟如下1)在管理平臺(tái)下設(shè)置監(jiān)管服務(wù)器SA、SB和SC，通過監(jiān)管服務(wù)器對(duì)外分別提供Web和郵件代理服務(wù)以及入侵檢測(cè)功能，通過Web和郵件代理可以訪問外部網(wǎng)站和郵件服務(wù)器；2)部署安裝將集成安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC分別安裝部署到被監(jiān)管服務(wù)器SA、SB和SC中，并加載其驅(qū)動(dòng)程序，配置相應(yīng)的網(wǎng)絡(luò)參數(shù)。通過網(wǎng)絡(luò)線、交換機(jī)將被監(jiān)管服務(wù)器SA、SB和SC與安全集中管理平臺(tái)M所在機(jī)器相連；3)配置安全集中管理平臺(tái)M使之能監(jiān)管服務(wù)器SA、SB和SC；4)策略編制系統(tǒng)管理人員通過安全集中管理平臺(tái)M制訂Web、郵件、入侵檢測(cè)安全策略。Web安全策略以黑白名單，關(guān)鍵字，擴(kuò)展名或應(yīng)用型的形式對(duì)Web訪問進(jìn)行過濾，阻斷對(duì)不良站點(diǎn)或內(nèi)容的訪問；郵件安全策略根據(jù)發(fā)件人、收件人、抄送、郵件主題和附件類型對(duì)郵件進(jìn)行過濾；入侵檢測(cè)安全策略用以實(shí)時(shí)偵測(cè)服務(wù)器網(wǎng)絡(luò)環(huán)境中所發(fā)生的入侵攻擊行為并生成報(bào)警信息；5)策略分發(fā)分別將安全集中管理平臺(tái)M所制訂的Web、郵件和入侵檢測(cè)安全策略分發(fā)給被監(jiān)管服務(wù)器SA、SB和SC的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC中并使這些安全策略生效；6)硬件網(wǎng)絡(luò)設(shè)備以獨(dú)立于服務(wù)器及其操作系統(tǒng)的方式工作，不受服務(wù)器及其操作系統(tǒng)的影響，它只接收安全集中管理平臺(tái)M所分發(fā)的各種安全策略并根據(jù)安全策略的動(dòng)作在滿足安全策略的條件下，采取相應(yīng)的策略動(dòng)作。網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)采集分析以及網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)流量的監(jiān)控都是在硬件網(wǎng)絡(luò)設(shè)備所集成的安全功能芯片中進(jìn)行，不占用任何被監(jiān)管服務(wù)器的CPU資源，更不會(huì)影響甚至降低服務(wù)器的性能；同時(shí)，安全集中管理平臺(tái)M對(duì)硬件網(wǎng)絡(luò)設(shè)備的單一控制，從一定程度上杜絕安全風(fēng)險(xiǎn)的發(fā)生，保障硬件網(wǎng)絡(luò)設(shè)備的安全性和可靠性；7)被監(jiān)管服務(wù)器SA、SB和SC中的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB、和NICC實(shí)時(shí)監(jiān)控通過硬件網(wǎng)絡(luò)設(shè)備進(jìn)入被監(jiān)管服務(wù)器的網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問，對(duì)于滿足安全策略的任何Web訪問，入侵攻擊行為或者郵件發(fā)送或接收，都會(huì)觸發(fā)相應(yīng)的安全策略，根據(jù)安全策略所規(guī)定的動(dòng)作采取對(duì)應(yīng)的處理，即阻斷或通過，并記錄日志；8)安全集中管理平臺(tái)M實(shí)時(shí)監(jiān)控Web、郵件和入侵檢測(cè)安全策略所產(chǎn)生的安全事件日志。根據(jù)安全事件的級(jí)別及數(shù)量，系統(tǒng)管理人員可以通過安全集中管理平臺(tái)M適當(dāng)調(diào)整硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC所加載的Web，入侵檢測(cè)和郵件安全策略的內(nèi)容，使這些安全策略更能準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問，進(jìn)而能提高服務(wù)器網(wǎng)絡(luò)環(huán)境的整體安全性；本發(fā)明的基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)，它包括安全集中管理平臺(tái)，被監(jiān)管服務(wù)器和集成有安全功能芯片的以標(biāo)準(zhǔn)全長(zhǎng)全高千兆線速網(wǎng)卡形式體現(xiàn)的硬件網(wǎng)絡(luò)設(shè)備。
本發(fā)明的優(yōu)點(diǎn)和積極效果是，硬件網(wǎng)絡(luò)設(shè)備所集成的安全功能芯片，根據(jù)安全集中管理平臺(tái)制訂并分發(fā)的安全策略，實(shí)時(shí)監(jiān)控進(jìn)入服務(wù)器的網(wǎng)絡(luò)報(bào)文及網(wǎng)絡(luò)資源訪問，避免了服務(wù)器遭受外部黑客、病毒的攻擊。本發(fā)明將集成有安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備安裝部署到局域網(wǎng)的所有被監(jiān)管服務(wù)器中，而硬件網(wǎng)絡(luò)設(shè)備以獨(dú)立于服務(wù)器及其操作系統(tǒng)的方式運(yùn)行，支持跨平臺(tái)，不受服務(wù)器操作系統(tǒng)的控制，只接收安全集中管理平臺(tái)所制訂分發(fā)的安全策略。本發(fā)明在不影響服務(wù)器和降低服務(wù)器性能的條件下，從物理上保障了服務(wù)器安全可靠的運(yùn)行，增強(qiáng)了服務(wù)器的高可用性和穩(wěn)定性，突破了傳統(tǒng)服務(wù)器單一的管理模式及其局限，有效解決了安全和管理效率之間的矛盾，在低成本、易安裝、性能、穩(wěn)定性、功能等方面都有很大的提高。


圖1是本發(fā)明的安全管理系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說明。
如圖1所示，本發(fā)明提供一種基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)，它包括安全集中管理平臺(tái)M，被監(jiān)管服務(wù)器SA、SB和SC以及集成有安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC。
本發(fā)明的工作原理是1.被監(jiān)管服務(wù)器SA、SB和SC對(duì)外分別提供Web和郵件代理服務(wù)和入侵檢測(cè)功能，通過Web和郵件代理可以訪問外部網(wǎng)站和郵件服務(wù)器。
2.部署安裝將集成安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC分別安裝部署到被監(jiān)管服務(wù)器SA、SB和SC中，并加載其驅(qū)動(dòng)程序，配置相應(yīng)的網(wǎng)絡(luò)參數(shù)。通過網(wǎng)絡(luò)線、交換機(jī)將被監(jiān)管服務(wù)器SA、SB和SC與安全集中管理平臺(tái)M所在機(jī)器相連。
3.配置安全集中管理平臺(tái)M使之能監(jiān)管服務(wù)器SA、SB和SC。
4.策略編制系統(tǒng)管理人員通過安全集中管理平臺(tái)M制訂Web、郵件和入侵檢測(cè)安全策略。Web安全策略以黑白名單，關(guān)鍵字，擴(kuò)展名或應(yīng)用型的形式對(duì)Web訪問進(jìn)行過濾，阻斷對(duì)不良站點(diǎn)或內(nèi)容的訪問；郵件安全策略根據(jù)發(fā)件人、收件人、抄送、郵件主題和附件類型對(duì)郵件進(jìn)行過濾；入侵檢測(cè)安全策略用以實(shí)時(shí)偵測(cè)服務(wù)器網(wǎng)絡(luò)環(huán)境中所發(fā)生的入侵攻擊行為并生成報(bào)警信息。
5.策略分發(fā)分別將安全集中管理平臺(tái)M所制訂的Web、郵件和入侵檢測(cè)安全策略分發(fā)給被監(jiān)管服務(wù)器SA、SB和SC的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC中并使這些安全策略生效。
6.硬件網(wǎng)絡(luò)設(shè)備以獨(dú)立于服務(wù)器及其操作系統(tǒng)的方式工作，不受服務(wù)器及其操作系統(tǒng)的影響。它只接收安全集中管理平臺(tái)M所分發(fā)的各種安全策略并根據(jù)安全策略的動(dòng)作在滿足安全策略的條件下，采取相應(yīng)的策略動(dòng)作。網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)采集分析以及網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)流量的監(jiān)控都是在硬件網(wǎng)絡(luò)設(shè)備所集成的安全功能芯片中進(jìn)行，不占用任何被監(jiān)管服務(wù)器的CPU資源，更不會(huì)影響甚至降低服務(wù)器的性能。同時(shí)，安全集中管理平臺(tái)M對(duì)硬件網(wǎng)絡(luò)設(shè)備的單一控制，從一定程度上杜絕了安全風(fēng)險(xiǎn)的發(fā)生，保障了硬件網(wǎng)絡(luò)設(shè)備的安全性和可靠性。
被監(jiān)管服務(wù)器SA、SB和SC中的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB、和NICC實(shí)時(shí)監(jiān)控通過硬件網(wǎng)絡(luò)設(shè)備進(jìn)入被監(jiān)管服務(wù)器的網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問。對(duì)于滿足安全策略的任何Web訪問，入侵攻擊行為或者郵件發(fā)送或接收，都會(huì)觸發(fā)相應(yīng)的安全策略，根據(jù)安全策略所規(guī)定的動(dòng)作采取對(duì)應(yīng)的處理，即阻斷或通過，并記錄日志。
7.安全集中管理平臺(tái)M實(shí)時(shí)監(jiān)控Web、郵件和入侵檢測(cè)安全策略所產(chǎn)生的安全事件日志。根據(jù)安全事件的級(jí)別及數(shù)量，系統(tǒng)管理人員可以通過安全集中管理平臺(tái)M適當(dāng)調(diào)整硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC所加載的Web，入侵檢測(cè)和郵件安全策略的內(nèi)容，使這些安全策略更能準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問，進(jìn)而能提高服務(wù)器網(wǎng)絡(luò)環(huán)境的整體安全性。
權(quán)利要求
1.一種基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)，其特征在于將集成有安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備與安全集中管理平臺(tái)相連，由安全集中管理平臺(tái)統(tǒng)一制訂安全策略并分發(fā)給硬件網(wǎng)絡(luò)設(shè)備，同時(shí)收集各硬件網(wǎng)絡(luò)設(shè)備所生成的安全事件和信息，實(shí)時(shí)監(jiān)控服務(wù)器網(wǎng)絡(luò)的健康程度及安全狀態(tài)，具體步驟如下1)在管理平臺(tái)下設(shè)置監(jiān)管服務(wù)器SA、SB和SC，通過監(jiān)管服務(wù)器對(duì)外分別提供Web和郵件代理服務(wù)以及入侵檢測(cè)功能，通過Web和郵件代理可以訪問外部網(wǎng)站和郵件服務(wù)器；2)部署安裝將集成安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC分別安裝部署到監(jiān)管服務(wù)器SA、SB和SC中，并加載其驅(qū)動(dòng)程序，配置相應(yīng)的網(wǎng)絡(luò)參數(shù)。通過網(wǎng)絡(luò)線、交換機(jī)將被監(jiān)管服務(wù)器SA、SB和SC與安全集中管理平臺(tái)M所在機(jī)器相連；3)配置安全集中管理平臺(tái)M使之能監(jiān)管服務(wù)器SA、SB和SC；4)策略編制系統(tǒng)管理人員通過安全集中管理平臺(tái)M制訂Web、郵件、入侵檢測(cè)安全策略。Web安全策略以黑白名單，關(guān)鍵字，擴(kuò)展名或應(yīng)用型的形式對(duì)Web訪問進(jìn)行過濾，阻斷對(duì)不良站點(diǎn)或內(nèi)容的訪問；郵件安全策略根據(jù)發(fā)件人、收件人、抄送、郵件主題和附件類型對(duì)郵件進(jìn)行過濾；入侵檢測(cè)安全策略用以實(shí)時(shí)偵測(cè)服務(wù)器網(wǎng)絡(luò)環(huán)境中所發(fā)生的入侵攻擊行為并生成報(bào)警信息；5)策略分發(fā)分別將安全集中管理平臺(tái)M所制訂的Web、郵件和入侵檢測(cè)安全策略分發(fā)給被監(jiān)管服務(wù)器SA、SB和SC的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC中并使這些安全策略生效；6)硬件網(wǎng)絡(luò)設(shè)備以獨(dú)立于服務(wù)器及其操作系統(tǒng)的方式工作，不受服務(wù)器及其操作系統(tǒng)的影響，它只接收安全集中管理平臺(tái)M所分發(fā)的各種安全策略并根據(jù)安全策略的動(dòng)作在滿足安全策略的條件下，采取相應(yīng)的策略動(dòng)作。網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)采集分析以及網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)流量的監(jiān)控都是在硬件網(wǎng)絡(luò)設(shè)備所集成的安全功能芯片中進(jìn)行，不占用任何被監(jiān)管服務(wù)器的CPU資源，更不會(huì)影響甚至降低服務(wù)器的性能；同時(shí)，安全集中管理平臺(tái)M對(duì)硬件網(wǎng)絡(luò)設(shè)備的單一控制，從一定程度上杜絕安全風(fēng)險(xiǎn)的發(fā)生，保障硬件網(wǎng)絡(luò)設(shè)備的安全性和可靠性；7)被監(jiān)管服務(wù)器SA、SB和SC中的硬件網(wǎng)絡(luò)設(shè)備NICA、NICB、和NICC實(shí)時(shí)監(jiān)控通過硬件網(wǎng)絡(luò)設(shè)備進(jìn)入被監(jiān)管服務(wù)器的網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問，對(duì)于滿足安全策略的任何Web訪問，入侵攻擊行為或者郵件發(fā)送或接收，都會(huì)觸發(fā)相應(yīng)的安全策略，根據(jù)安全策略所規(guī)定的動(dòng)作采取對(duì)應(yīng)的處理，即阻斷或通過，并記錄日志；8)安全集中管理平臺(tái)M實(shí)時(shí)監(jiān)控Web、郵件和入侵檢測(cè)安全策略所產(chǎn)生的安全事件日志。根據(jù)安全事件的級(jí)別及數(shù)量，系統(tǒng)管理人員可以通過安全集中管理平臺(tái)M適當(dāng)調(diào)整硬件網(wǎng)絡(luò)設(shè)備NICA、NICB和NICC所加載的Web，入侵檢測(cè)和郵件安全策略的內(nèi)容，使這些安全策略更能準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問，進(jìn)而能提高服務(wù)器網(wǎng)絡(luò)環(huán)境的整體安全性；
2.根據(jù)權(quán)利要求1所述的管理系統(tǒng)，其特征在于此系統(tǒng)包括安全集中管理平臺(tái)，被監(jiān)管服務(wù)器和集成有安全功能芯片的以標(biāo)準(zhǔn)全長(zhǎng)全高千兆線速網(wǎng)卡形式體現(xiàn)的硬件網(wǎng)絡(luò)設(shè)備。
全文摘要
本發(fā)明提供一種基于硬件的與操作系統(tǒng)無關(guān)的服務(wù)器網(wǎng)絡(luò)安全集中管理系統(tǒng)，該系統(tǒng)是以集成有安全功能芯片的硬件網(wǎng)絡(luò)設(shè)備為核心，通過安全集中管理平臺(tái)統(tǒng)一制訂安全策略并分發(fā)給硬件網(wǎng)絡(luò)設(shè)備，集中收集各硬件網(wǎng)絡(luò)設(shè)備的安全事件和信息。其特點(diǎn)包括硬件網(wǎng)絡(luò)設(shè)備中安全功能芯片只執(zhí)行安全集中管理平臺(tái)所分發(fā)的安全策略，它獨(dú)立于服務(wù)器及其操作系統(tǒng)，且不占用服務(wù)器的CPU資源，不會(huì)降低服務(wù)器的性能。它增強(qiáng)了服務(wù)器的安全性，可靠性和高可用性，顯著提高了服務(wù)器安全監(jiān)控管理的效率，有效解決了安全和效率之間的矛盾。
文檔編號(hào)H04L12/58GK101018119SQ20071001354
公開日2007年8月15日 申請(qǐng)日期2007年2月9日 優(yōu)先權(quán)日2007年2月9日
發(fā)明者李大軍, 李清玉, 宋鳳仙 申請(qǐng)人:浪潮電子信息產(chǎn)業(yè)股份有限公司