专利名称:基于硬件的与操作系统无关的服务器网络安全集中管理系统的制作方法
技术领域:
本发明涉及一种基于硬件的与操作系统无关的服务器网络安全集中管理系统,特别是以集成有安全功能芯片的硬件网络设备为核心,属于计算机信息安全领域。
背景技术:
随着国内信息化进程的迅猛发展,电子商务,电子政务等信息服务在政府,企业,商业等领域的广泛应用,网络已经成为政府办公,商业贸易的重要工具之一。而构成网络重要基础设施的服务器越来越发挥着举足轻重的作用,不仅承载着企业的宝贵数据资源,也提供着资源和数据的共享服务。正是由于服务器在网络环境及网络基础设施中的显著作用,它面临着三方面的恶意网络行为,即肆意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运行,甚至导致服务器所在网络的瘫痪;恶意的入侵行为,这种行为更是会导致服务器敏感信息的泄漏,入侵者更是可以为所欲为,肆意破坏服务器;服务器软件本身所具有的安全漏洞,它是由于软件设计和开发不完善而造成的,从而使得各种软件具有了先天的缺陷和隐患,给恶意攻击者开启了攻击的方便之门。这些攻击和破坏给政府,企业造成了不可估量的经济损失。如何保障服务器的安全可靠运行,国家机密数据和信息不被非法窃取或篡改已是关及国家安全的重大问题。
另一方面,目前服务器的管理方式主要体现在以下三个方面即基于硬件的管理工具、网络操作系统的附加管理功能以及第三方的系统管理软件。其中,基于硬件的管理工具往往由服务器生产厂商所提供,它主要是通过服务器主板上集成的远程管理芯片实现对服务器的CPU、硬盘、内存、风扇等底层部件的监控和管理;网络操作系统所附带的管理功能如Windows Server 2003中的服务器管理向导,就是为很多服务器网络管理人员所熟知的功能。这两种管理方式局限性较大,不支持异构跨平台的管理。除此之外,还有一些第三方管理软件厂商的产品,这些专业产品具有强大的跨平台管理能力,可以完成对操作系统、应用软件、硬件平台等多种系统资源的维护和监控,并具备一些智能化管理的特性。
但是在实际的应用中,随着网络系统越来越复杂,网络技术的不断应用对服务器的可靠性、安全性管理上的要求越来越高,企业需要服务器的管理软件来简化服务器系统管理。此外,由于服务器数量的增加,地域的扩展,企业部署并使用了多个服务器管理平台对多家服务器进行管理,而这些管理平台之间的互操作性、整体拥有成本、管理人员的知识都会带来管理上的挑战。
因此,必须采用先进技术及管理方式解决服务器网络安全集中管理和监控的问题,以通过单一的控制台实现对系统资源全方位的监控、管理和控制,同时在不影响服务器正常运转和降低其性能的情况下,满足用户对安全、详细日志以及报警等功能的多方面需求。
发明内容
本发明的目的在于提供一种基于硬件的与操作系统无关的服务器网络安全集中管理系统。为实现上述目的,本发明的技术解决方案是将集成有安全功能芯片的硬件网络设备部署在被监管服务器中并与安全集中管理平台相连,由安全集中管理平台统一制订安全策略并分发给硬件网络设备,同时收集各硬件网络设备所生成的安全事件和信息,实时监控服务器网络的健康程度及安全状态,具体步骤如下1)在管理平台下设置监管服务器SA、SB和SC,通过监管服务器对外分别提供Web和邮件代理服务以及入侵检测功能,通过Web和邮件代理可以访问外部网站和邮件服务器;2)部署安装将集成安全功能芯片的硬件网络设备NICA、NICB和NICC分别安装部署到被监管服务器SA、SB和SC中,并加载其驱动程序,配置相应的网络参数。通过网络线、交换机将被监管服务器SA、SB和SC与安全集中管理平台M所在机器相连;3)配置安全集中管理平台M使之能监管服务器SA、SB和SC;4)策略编制系统管理人员通过安全集中管理平台M制订Web、邮件、入侵检测安全策略。Web安全策略以黑白名单,关键字,扩展名或应用型的形式对Web访问进行过滤,阻断对不良站点或内容的访问;邮件安全策略根据发件人、收件人、抄送、邮件主题和附件类型对邮件进行过滤;入侵检测安全策略用以实时侦测服务器网络环境中所发生的入侵攻击行为并生成报警信息;5)策略分发分别将安全集中管理平台M所制订的Web、邮件和入侵检测安全策略分发给被监管服务器SA、SB和SC的硬件网络设备NICA、NICB和NICC中并使这些安全策略生效;6)硬件网络设备以独立于服务器及其操作系统的方式工作,不受服务器及其操作系统的影响,它只接收安全集中管理平台M所分发的各种安全策略并根据安全策略的动作在满足安全策略的条件下,采取相应的策略动作。网络报文的实时采集分析以及网络访问和网络流量的监控都是在硬件网络设备所集成的安全功能芯片中进行,不占用任何被监管服务器的CPU资源,更不会影响甚至降低服务器的性能;同时,安全集中管理平台M对硬件网络设备的单一控制,从一定程度上杜绝安全风险的发生,保障硬件网络设备的安全性和可靠性;7)被监管服务器SA、SB和SC中的硬件网络设备NICA、NICB、和NICC实时监控通过硬件网络设备进入被监管服务器的网络报文和网络访问,对于满足安全策略的任何Web访问,入侵攻击行为或者邮件发送或接收,都会触发相应的安全策略,根据安全策略所规定的动作采取对应的处理,即阻断或通过,并记录日志;8)安全集中管理平台M实时监控Web、邮件和入侵检测安全策略所产生的安全事件日志。根据安全事件的级别及数量,系统管理人员可以通过安全集中管理平台M适当调整硬件网络设备NICA、NICB和NICC所加载的Web,入侵检测和邮件安全策略的内容,使这些安全策略更能准确地检测网络报文和网络访问,进而能提高服务器网络环境的整体安全性;本发明的基于硬件的与操作系统无关的服务器网络安全集中管理系统,它包括安全集中管理平台,被监管服务器和集成有安全功能芯片的以标准全长全高千兆线速网卡形式体现的硬件网络设备。
本发明的优点和积极效果是,硬件网络设备所集成的安全功能芯片,根据安全集中管理平台制订并分发的安全策略,实时监控进入服务器的网络报文及网络资源访问,避免了服务器遭受外部黑客、病毒的攻击。本发明将集成有安全功能芯片的硬件网络设备安装部署到局域网的所有被监管服务器中,而硬件网络设备以独立于服务器及其操作系统的方式运行,支持跨平台,不受服务器操作系统的控制,只接收安全集中管理平台所制订分发的安全策略。本发明在不影响服务器和降低服务器性能的条件下,从物理上保障了服务器安全可靠的运行,增强了服务器的高可用性和稳定性,突破了传统服务器单一的管理模式及其局限,有效解决了安全和管理效率之间的矛盾,在低成本、易安装、性能、稳定性、功能等方面都有很大的提高。
图1是本发明的安全管理系统结构示意图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步的说明。
如图1所示,本发明提供一种基于硬件的与操作系统无关的服务器网络安全集中管理系统,它包括安全集中管理平台M,被监管服务器SA、SB和SC以及集成有安全功能芯片的硬件网络设备NICA、NICB和NICC。
本发明的工作原理是1.被监管服务器SA、SB和SC对外分别提供Web和邮件代理服务和入侵检测功能,通过Web和邮件代理可以访问外部网站和邮件服务器。
2.部署安装将集成安全功能芯片的硬件网络设备NICA、NICB和NICC分别安装部署到被监管服务器SA、SB和SC中,并加载其驱动程序,配置相应的网络参数。通过网络线、交换机将被监管服务器SA、SB和SC与安全集中管理平台M所在机器相连。
3.配置安全集中管理平台M使之能监管服务器SA、SB和SC。
4.策略编制系统管理人员通过安全集中管理平台M制订Web、邮件和入侵检测安全策略。Web安全策略以黑白名单,关键字,扩展名或应用型的形式对Web访问进行过滤,阻断对不良站点或内容的访问;邮件安全策略根据发件人、收件人、抄送、邮件主题和附件类型对邮件进行过滤;入侵检测安全策略用以实时侦测服务器网络环境中所发生的入侵攻击行为并生成报警信息。
5.策略分发分别将安全集中管理平台M所制订的Web、邮件和入侵检测安全策略分发给被监管服务器SA、SB和SC的硬件网络设备NICA、NICB和NICC中并使这些安全策略生效。
6.硬件网络设备以独立于服务器及其操作系统的方式工作,不受服务器及其操作系统的影响。它只接收安全集中管理平台M所分发的各种安全策略并根据安全策略的动作在满足安全策略的条件下,采取相应的策略动作。网络报文的实时采集分析以及网络访问和网络流量的监控都是在硬件网络设备所集成的安全功能芯片中进行,不占用任何被监管服务器的CPU资源,更不会影响甚至降低服务器的性能。同时,安全集中管理平台M对硬件网络设备的单一控制,从一定程度上杜绝了安全风险的发生,保障了硬件网络设备的安全性和可靠性。
被监管服务器SA、SB和SC中的硬件网络设备NICA、NICB、和NICC实时监控通过硬件网络设备进入被监管服务器的网络报文和网络访问。对于满足安全策略的任何Web访问,入侵攻击行为或者邮件发送或接收,都会触发相应的安全策略,根据安全策略所规定的动作采取对应的处理,即阻断或通过,并记录日志。
7.安全集中管理平台M实时监控Web、邮件和入侵检测安全策略所产生的安全事件日志。根据安全事件的级别及数量,系统管理人员可以通过安全集中管理平台M适当调整硬件网络设备NICA、NICB和NICC所加载的Web,入侵检测和邮件安全策略的内容,使这些安全策略更能准确地检测网络报文和网络访问,进而能提高服务器网络环境的整体安全性。
权利要求
1.一种基于硬件的与操作系统无关的服务器网络安全集中管理系统,其特征在于将集成有安全功能芯片的硬件网络设备与安全集中管理平台相连,由安全集中管理平台统一制订安全策略并分发给硬件网络设备,同时收集各硬件网络设备所生成的安全事件和信息,实时监控服务器网络的健康程度及安全状态,具体步骤如下1)在管理平台下设置监管服务器SA、SB和SC,通过监管服务器对外分别提供Web和邮件代理服务以及入侵检测功能,通过Web和邮件代理可以访问外部网站和邮件服务器;2)部署安装将集成安全功能芯片的硬件网络设备NICA、NICB和NICC分别安装部署到监管服务器SA、SB和SC中,并加载其驱动程序,配置相应的网络参数。通过网络线、交换机将被监管服务器SA、SB和SC与安全集中管理平台M所在机器相连;3)配置安全集中管理平台M使之能监管服务器SA、SB和SC;4)策略编制系统管理人员通过安全集中管理平台M制订Web、邮件、入侵检测安全策略。Web安全策略以黑白名单,关键字,扩展名或应用型的形式对Web访问进行过滤,阻断对不良站点或内容的访问;邮件安全策略根据发件人、收件人、抄送、邮件主题和附件类型对邮件进行过滤;入侵检测安全策略用以实时侦测服务器网络环境中所发生的入侵攻击行为并生成报警信息;5)策略分发分别将安全集中管理平台M所制订的Web、邮件和入侵检测安全策略分发给被监管服务器SA、SB和SC的硬件网络设备NICA、NICB和NICC中并使这些安全策略生效;6)硬件网络设备以独立于服务器及其操作系统的方式工作,不受服务器及其操作系统的影响,它只接收安全集中管理平台M所分发的各种安全策略并根据安全策略的动作在满足安全策略的条件下,采取相应的策略动作。网络报文的实时采集分析以及网络访问和网络流量的监控都是在硬件网络设备所集成的安全功能芯片中进行,不占用任何被监管服务器的CPU资源,更不会影响甚至降低服务器的性能;同时,安全集中管理平台M对硬件网络设备的单一控制,从一定程度上杜绝安全风险的发生,保障硬件网络设备的安全性和可靠性;7)被监管服务器SA、SB和SC中的硬件网络设备NICA、NICB、和NICC实时监控通过硬件网络设备进入被监管服务器的网络报文和网络访问,对于满足安全策略的任何Web访问,入侵攻击行为或者邮件发送或接收,都会触发相应的安全策略,根据安全策略所规定的动作采取对应的处理,即阻断或通过,并记录日志;8)安全集中管理平台M实时监控Web、邮件和入侵检测安全策略所产生的安全事件日志。根据安全事件的级别及数量,系统管理人员可以通过安全集中管理平台M适当调整硬件网络设备NICA、NICB和NICC所加载的Web,入侵检测和邮件安全策略的内容,使这些安全策略更能准确地检测网络报文和网络访问,进而能提高服务器网络环境的整体安全性;
2.根据权利要求1所述的管理系统,其特征在于此系统包括安全集中管理平台,被监管服务器和集成有安全功能芯片的以标准全长全高千兆线速网卡形式体现的硬件网络设备。
全文摘要
本发明提供一种基于硬件的与操作系统无关的服务器网络安全集中管理系统,该系统是以集成有安全功能芯片的硬件网络设备为核心,通过安全集中管理平台统一制订安全策略并分发给硬件网络设备,集中收集各硬件网络设备的安全事件和信息。其特点包括硬件网络设备中安全功能芯片只执行安全集中管理平台所分发的安全策略,它独立于服务器及其操作系统,且不占用服务器的CPU资源,不会降低服务器的性能。它增强了服务器的安全性,可靠性和高可用性,显著提高了服务器安全监控管理的效率,有效解决了安全和效率之间的矛盾。
文档编号H04L12/58GK101018119SQ20071001354
公开日2007年8月15日 申请日期2007年2月9日 优先权日2007年2月9日
发明者李大军, 李清玉, 宋凤仙 申请人:浪潮电子信息产业股份有限公司