本发明专利技术提供了一种数据中心安全保护方法及系统,属于可信计算领域。本发明专利技术公开的一种数据中心安全保护方法,包括:构建UKey可信根;基于UKey可信根进行身份认证;身份认证成功后,操作系统进入可信引导,建立静态信任链;基于静态信任链运行白名单模块,建立动态信任链;基于动态信任链获取数据库服务器的网络数据信息;对网络数据信息进行处理得到分析结果;将分析结果记入审计数据库中,从而在审计数据库中进行查询、分析和过滤。首先通过静态信任链和动态信任链保障了操作系统的安全,在此基础上监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时智能地解析对数据库服务器的各种操作,保障了数据库的安全。
【技术实现步骤摘要】
本专利技术涉及可信计算领域,具体而言,涉及一种数据中心安全保护方法及系统。
技术介绍
近年来,大数据、云计算迅猛发展,带来对数据安全更高要求,国发〔2015〕5号国务院关于促进云计算创新发展培育信息产业新业态的意见,意见中提出:在现有信息安全保障体系基础上,结合云计算特点完善相关信息安全制度,强化安全管理和数据隐私保护,增强安全技术支撑和服务能力,建立健全安全防护体系,切实保障云计算信息安全。充分运用云计算的大数据处理能力,带动相关安全技术和服务发展。但目前,作为大数据、云计算的基础设施——数据中心的安全还停留在较低的水平,数据中心通常采用防火墙、入侵检测、病毒防范和防DDOS攻击等传统的安全手段,这些手段只能在基础层面上对数据中心起到安全防范的作用,但对于未知病毒、内部人员的恶意破坏很难起到决定性的防范作用。从另外一个角度来看,数据的最大威胁来源于操作系统和数据库,如果不从这两个本质的角度上去考虑安全问题就无法得到最实质性的安全保障。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提供一种数据中心安全保护方法及系统,可以从内部防止操作系统信息的泄露或篡改,实现操作系统的运行环境的安全,从外部阻止恶意攻击和越权访问,实现了操作系统应用环境的安全。在操作系统安全的基础上,运行业务系统,访问数据库并对其进行监控和审计,保证了数据库的安全,从而保障了整个数据中心的安全。第一方面,本专利技术实施例提供了一种数据中心安全保护方法,所述方法包括:构建UKey可信根;基于所述UKey可信根进行身份认证;身份认证成功后,操作系统进入可信引导,建立静态信任链;基于所述静态信任链运行白名单模块,建立动态信任链;基于所述动态信息链获取数据库服务器的网络数据信息;对所述网络数据信息进行处理得到分析结果;将所述分析结果记入审计数据库中,从而在所述审计数据库中进行查询、分析和过滤;其中,所述UKey可信根包括Ukey中存储的数据结构以及Ukey驱动程序,所述网络数据信息包括数据库表、视图、序列、包、存储过程信息、函数、库、索引、同义词、快照和触发器。结合第一方面,本专利技术实施例提供了上述第一方面的第一种可能的实现方式,其中,构建UKey可信根,具体为:对服务器终端进行初始化配置;生成包含相关配置信息的Ukey可信根。结合第一方面,本专利技术实施例提供了上述第一方面的第二种可能的实现方式,其中,基于所述UKey可信根进行身份认证,具体为:服务器终端对USB接口进行监测,判断是否有合法的用户UKey设备插入;若检测到USB接口有合法的Ukey设备插入时,提示用户输入个人识别密码PIN码,并将其存储在主引导记录MBR中;所述MBR获取Ukey可信根中存储的PIN码,与用户输入PIN码进行比较;若所述获取Ukey可信根中存储的PIN码与所述用户输入的PIN码相同,则身份认证成功,所述服务器终端与所述Ukey建立通信连接。结合第一方面,本专利技术实施例提供了上述第一方面的第三种可能的实现方式,其中,身份认证成功后,操作系统进入可信引导,建立静态信任链,具体为:身份认证成功后,操作系统进入可信引导,主引导记录MBR加载Ukey实模式驱动、NTFS文件系统和本地密码杂凑SM3算法,对操作系统加载程序OSLOADER、操作系统内核OSKERNAL组件进行完整性校验;校验通过后,所述MBR将执行权顺序交给所述OSLOADER、OSKERNAL,正常启动操作系统,静态信任链建立完成。结合第一方面,本专利技术实施例提供了上述第一方面的第四种可能的实现方式,其中,基于所述静态信任链运行白名单模块,建立动态信任链,具体为:所述静态信任链建立以后,加载所述白名单模块的白名单驱动程序;所述白名单模块的白名单驱动程序对在用户态动态加载的应用程序、服务或外部设备驱动进行拦截;调用本地SM3算法对拦截到的应用程序、服务或外部设备驱动进行检验运算,分别得到应用程序、服务及外部设备驱动对应的校验值;根据应用程序、服务及外部设备驱动的标识从白名单配置文件中获取应用程序、服务及外部设备驱动对应的校验值,将上述检验运算得到的校验值与从白名单配置文件中获取的校验值比较;若两者相同,则校验通过,确定应用程序、服务及外部设备驱动的完整性高,允许加载应用程序、服务及外部设备驱动,否则拒绝加载。结合第一方面,本专利技术实施例提供了上述第一方面的第五种可能的实现方式,其中,在构建UKey可信根步骤之前,还包括:管理中心获取所述白名单模块的白名单配置文件。结合第一方面,本专利技术实施例提供了上述第一方面的第六种可能的实现方式,其中,对所述网络数据信息进行处理得到分析结果,具体为:根据预设风险规则信息对实时监控信息进行特征检测和审计规则检测;针对检测结果进行处理得到分析结果。结合第一方面,本专利技术实施例提供了上述第一方面的第七种可能的实现方式,其中,将所述分析结果记入审计数据库中,从而在所述审计数据库中进行查询、分析和过滤,具体为:查看时间阈值内各个数据库服务器的访问信息,其中,所述访问信息包括数据库类型信息、用户登录信息、操作类型统计信息;对所述访问信息进行统计,并提供报表;将所述报表以柱图、饼图和统计表格的形式进行显示。第二方面,本专利技术实施例提供了一种数据中心安全保护系统,所述系统包括操作系统加固装置和数据库安全监审装置,其中,操作系统加固装置包括:UKey模块,用于构建UKey可信根;身份认证模块,用于基于所述UKey可信根,进行身份认证;静态信任链建立模块,用于身份认证成功后,操作系统进入可信引导,建立静态信任链;动态信任链建立模块,用于基于所述静态信任链运行白名单模块,建立动态信任链;数据库安全监审装置包括:数据获取模块,用于基于所述动态信息链获取数据库服务器的网络数据信息;数据分析模块,用于对所述网络数据信息进行处理得到分析结果;数据审计模块,用于将所述分析结果记入审计数据库中,从而在所述审计数据库中进行查询、分析和过滤。结合第二方面,本专利技术实施例提供了上述第二方面的第一种可能的实现方式,其中,所述Ukey可信根包括Ukey中存储的数据结构以及Ukey驱动程序,所述网络数据信息包括数据库表、视图、序列、包、存储过程信息、函数、库、索引、同义词、快照和触发器。在本专利技术实施例中,构建UKey可信根,服务器终端根据Ukey可信根中存储的数据结构和以及Ukey驱动程序,对用户进行身份认证,身份认证成功后,操作系统进入可信引导,对操作系统组件进行完整性检测,检测通过后正常启动操作系统,建立了静态信任链,从内部防止操作系统信息的泄露或篡改,实现了操作系统运行环境的安全。静态信任链建立后运行白名单模块,服务器终端根据白名单模块的白名单配置文件和白名单驱动程序对动态加载的应用程序、服务及外部设备驱动进行完整性检验,建立了动态信任链,从外部阻止恶意攻击和越权访问,实现了操作系统应用环境的安全。另外,基于操作系统的安全,获取数据库服务器的网络数据信息;对网络数据信息进行处理得到分析结果;将所述分析结果记入审计数据库中,从而在审计数据库中进行查询、分析和过滤;监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时智能解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据本文档来自技高网...
【技术保护点】
一种数据中心安全保护方法,其特征在于,所述方法包括:构建UKey可信根;基于所述UKey可信根进行身份认证;身份认证成功后,操作系统进入可信引导,建立静态信任链;基于所述静态信任链运行白名单模块,建立动态信任链;基于所述动态信息链获取数据库服务器的网络数据信息;对所述网络数据信息进行处理得到分析结果;将所述分析结果记入审计数据库中,从而在所述审计数据库中进行查询、分析和过滤;其中,所述UKey可信根包括Ukey中存储的数据结构以及Ukey驱动程序,所述网络数据信息包括数据库表、视图、序列、包、存储过程信息、函数、库、索引、同义词、快照和触发器。
【技术特征摘要】
1.一种数据中心安全保护方法,其特征在于,所述方法包括:构建UKey可信根;基于所述UKey可信根进行身份认证;身份认证成功后,操作系统进入可信引导,建立静态信任链;基于所述静态信任链运行白名单模块,建立动态信任链;基于所述动态信息链获取数据库服务器的网络数据信息;对所述网络数据信息进行处理得到分析结果;将所述分析结果记入审计数据库中,从而在所述审计数据库中进行查询、分析和过滤;其中,所述UKey可信根包括Ukey中存储的数据结构以及Ukey驱动程序,所述网络数据信息包括数据库表、视图、序列、包、存储过程信息、函数、库、索引、同义词、快照和触发器。2.根据权利要求1所述的方法,其特征在于,构建UKey可信根,具体为:对服务器终端进行初始化配置;生成包含相关配置信息的Ukey可信根。3.根据权利要求1所述的方法,其特征在于,基于所述UKey可信根进行身份认证,具体为:服务器终端对USB接口进行监测,判断是否有合法的用户UKey设备插入;若检测到USB接口有合法的Ukey设备插入时,提示用户输入个人识别密码PIN码,并将其存储在主引导记录MBR中;所述MBR获取Ukey可信根中存储的PIN码,与用户输入的PIN码进行比较;若所述获取Ukey可信根中存储的PIN码与所述用户输入的PIN码相同,则身份认证成功,所述服务器终端与所述Ukey建立通信连接。4.根据权利要求1所述的方法,其特征在于,身份认证成功后,操作系统进入可信引导,建立静态信任链,具体为:身份认证成功后,操作系统进入可信引导,主引导记录MBR加载Ukey实模式驱动、NTFS文件系统和本地密码杂凑SM3算法,对操作系统加载程序OSLOADER、操作系统内核OSKERNAL组件进行完整性校验;校验通过后,所述MBR将执行权顺序交给所述OSLOADER、OSKERNAL,正常启动操作系统,静态信任链建立完成。5.根据权利要求1所述的方法,其特征在于,基于所述静态信任链运行白名单模块,建立动态信任链,具体为:所述静态信任链建立以后,加载所述白名单模块的白名单驱动程序;所述白名单模块的白名单驱动程序对在用户态动态加载的应用程序、服务或外部设备驱动进行拦截;调用本地SM...
【专利技术属性】
技术研发人员:孙鸿鹏,席利宝,
申请(专利权)人:孙鸿鹏,席利宝,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。