本發(fā)明涉及可信計算領域，具體而言，涉及一種數(shù)據(jù)中心安全保護方法及系統(tǒng)。

背景技術：

近年來，大數(shù)據(jù)、云計算迅猛發(fā)展，帶來對數(shù)據(jù)安全更高要求，國發(fā)〔2015〕5號國務院關于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見，意見中提出：在現(xiàn)有信息安全保障體系基礎上，結合云計算特點完善相關信息安全制度，強化安全管理和數(shù)據(jù)隱私保護，增強安全技術支撐和服務能力，建立健全安全防護體系，切實保障云計算信息安全。充分運用云計算的大數(shù)據(jù)處理能力，帶動相關安全技術和服務發(fā)展。

但目前，作為大數(shù)據(jù)、云計算的基礎設施——數(shù)據(jù)中心的安全還停留在較低的水平，數(shù)據(jù)中心通常采用防火墻、入侵檢測、病毒防范和防DDOS攻擊等傳統(tǒng)的安全手段，這些手段只能在基礎層面上對數(shù)據(jù)中心起到安全防范的作用，但對于未知病毒、內(nèi)部人員的惡意破壞很難起到?jīng)Q定性的防范作用。從另外一個角度來看，數(shù)據(jù)的最大威脅來源于操作系統(tǒng)和數(shù)據(jù)庫，如果不從這兩個本質(zhì)的角度上去考慮安全問題就無法得到最實質(zhì)性的安全保障。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明實施例的目的在于提供一種數(shù)據(jù)中心安全保護方法及系統(tǒng)，可以從內(nèi)部防止操作系統(tǒng)信息的泄露或篡改，實現(xiàn)操作系統(tǒng)的運行環(huán)境的安全，從外部阻止惡意攻擊和越權訪問，實現(xiàn)了操作系統(tǒng)應用環(huán)境的安全。在操作系統(tǒng)安全的基礎上，運行業(yè)務系統(tǒng)，訪問數(shù)據(jù)庫并對其進行監(jiān)控和審計，保證了數(shù)據(jù)庫的安全，從而保障了整個數(shù)據(jù)中心的安全。

第一方面，本發(fā)明實施例提供了一種數(shù)據(jù)中心安全保護方法，所述方法包括：

構建UKey可信根；

基于所述UKey可信根進行身份認證；

身份認證成功后，操作系統(tǒng)進入可信引導，建立靜態(tài)信任鏈；

基于所述靜態(tài)信任鏈運行白名單模塊，建立動態(tài)信任鏈；基于所述動態(tài)信息鏈獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息；

對所述網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果；

將所述分析結果記入審計數(shù)據(jù)庫中，從而在所述審計數(shù)據(jù)庫中進行查詢、分析和過濾；

其中，所述UKey可信根包括Ukey中存儲的數(shù)據(jù)結構以及Ukey驅動程序，所述網(wǎng)絡數(shù)據(jù)信息包括數(shù)據(jù)庫表、視圖、序列、包、存儲過程信息、函數(shù)、庫、索引、同義詞、快照和觸發(fā)器。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第一種可能的實現(xiàn)方式，其中，構建UKey可信根，具體為：

對服務器終端進行初始化配置；

生成包含相關配置信息的Ukey可信根。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第二種可能的實現(xiàn)方式，其中，基于所述UKey可信根進行身份認證，具體為：

服務器終端對USB接口進行監(jiān)測，判斷是否有合法的用戶UKey設備插入；

若檢測到USB接口有合法的Ukey設備插入時，提示用戶輸入個人識別密碼PIN碼，并將其存儲在主引導記錄MBR中；

所述MBR獲取Ukey可信根中存儲的PIN碼，與用戶輸入PIN碼進行比較；

若所述獲取Ukey可信根中存儲的PIN碼與所述用戶輸入的PIN碼相同，則身份認證成功，所述服務器終端與所述Ukey建立通信連接。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第三種可能的實現(xiàn)方式，其中，身份認證成功后，操作系統(tǒng)進入可信引導，建立靜態(tài)信任鏈，具體為：

身份認證成功后，操作系統(tǒng)進入可信引導，主引導記錄MBR加載Ukey實模式驅動、NTFS文件系統(tǒng)和本地密碼雜湊SM3算法，對操作系統(tǒng)加載程序OSLOADER、操作系統(tǒng)內(nèi)核OSKERNAL組件進行完整性校驗；

校驗通過后，所述MBR將執(zhí)行權順序交給所述OSLOADER、OSKERNAL，正常啟動操作系統(tǒng)，靜態(tài)信任鏈建立完成。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第四種可能的實現(xiàn)方式，其中，基于所述靜態(tài)信任鏈運行白名單模塊，建立動態(tài)信任鏈，具體為：

所述靜態(tài)信任鏈建立以后，加載所述白名單模塊的白名單驅動程序；

所述白名單模塊的白名單驅動程序對在用戶態(tài)動態(tài)加載的應用程序、服務或外部設備驅動進行攔截；

調(diào)用本地SM3算法對攔截到的應用程序、服務或外部設備驅動進行檢驗運算，分別得到應用程序、服務及外部設備驅動對應的校驗值；

根據(jù)應用程序、服務及外部設備驅動的標識從白名單配置文件中獲取應用程序、服務及外部設備驅動對應的校驗值，將上述檢驗運算得到的校驗值與從白名單配置文件中獲取的校驗值比較；

若兩者相同，則校驗通過，確定應用程序、服務及外部設備驅動的完整性高，允許加載應用程序、服務及外部設備驅動，否則拒絕加載。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第五種可能的實現(xiàn)方式，其中，在構建UKey可信根步驟之前，還包括：

管理中心獲取所述白名單模塊的白名單配置文件。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第六種可能的實現(xiàn)方式，其中，對所述網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果，具體為：

根據(jù)預設風險規(guī)則信息對實時監(jiān)控信息進行特征檢測和審計規(guī)則檢測；

針對檢測結果進行處理得到分析結果。

結合第一方面，本發(fā)明實施例提供了上述第一方面的第七種可能的實現(xiàn)方式，其中，將所述分析結果記入審計數(shù)據(jù)庫中，從而在所述審計數(shù)據(jù)庫中進行查詢、分析和過濾，具體為：

查看時間閾值內(nèi)各個數(shù)據(jù)庫服務器的訪問信息，其中，所述訪問信息包括數(shù)據(jù)庫類型信息、用戶登錄信息、操作類型統(tǒng)計信息；

對所述訪問信息進行統(tǒng)計，并提供報表；

將所述報表以柱圖、餅圖和統(tǒng)計表格的形式進行顯示。

第二方面，本發(fā)明實施例提供了一種數(shù)據(jù)中心安全保護系統(tǒng)，所述系統(tǒng)包括操作系統(tǒng)加固裝置和數(shù)據(jù)庫安全監(jiān)審裝置，其中，

操作系統(tǒng)加固裝置包括：

UKey模塊，用于構建UKey可信根；

身份認證模塊，用于基于所述UKey可信根，進行身份認證；

靜態(tài)信任鏈建立模塊，用于身份認證成功后，操作系統(tǒng)進入可信引導，建立靜態(tài)信任鏈；

動態(tài)信任鏈建立模塊，用于基于所述靜態(tài)信任鏈運行白名單模塊，建立動態(tài)信任鏈；

數(shù)據(jù)庫安全監(jiān)審裝置包括：

數(shù)據(jù)獲取模塊，用于基于所述動態(tài)信息鏈獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息；

數(shù)據(jù)分析模塊，用于對所述網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果；

數(shù)據(jù)審計模塊，用于將所述分析結果記入審計數(shù)據(jù)庫中，從而在所述審計數(shù)據(jù)庫中進行查詢、分析和過濾。

結合第二方面，本發(fā)明實施例提供了上述第二方面的第一種可能的實現(xiàn)方式，其中，所述Ukey可信根包括Ukey中存儲的數(shù)據(jù)結構以及Ukey驅動程序，所述網(wǎng)絡數(shù)據(jù)信息包括數(shù)據(jù)庫表、視圖、序列、包、存儲過程信息、函數(shù)、庫、索引、同義詞、快照和觸發(fā)器。

在本發(fā)明實施例中，構建UKey可信根，服務器終端根據(jù)Ukey可信根中存儲的數(shù)據(jù)結構和以及Ukey驅動程序，對用戶進行身份認證，身份認證成功后，操作系統(tǒng)進入可信引導，對操作系統(tǒng)組件進行完整性檢測，檢測通過后正常啟動操作系統(tǒng)，建立了靜態(tài)信任鏈，從內(nèi)部防止操作系統(tǒng)信息的泄露或篡改，實現(xiàn)了操作系統(tǒng)運行環(huán)境的安全。靜態(tài)信任鏈建立后運行白名單模塊，服務器終端根據(jù)白名單模塊的白名單配置文件和白名單驅動程序對動態(tài)加載的應用程序、服務及外部設備驅動進行完整性檢驗，建立了動態(tài)信任鏈，從外部阻止惡意攻擊和越權訪問，實現(xiàn)了操作系統(tǒng)應用環(huán)境的安全。另外，基于操作系統(tǒng)的安全，獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息；對網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果；將所述分析結果記入審計數(shù)據(jù)庫中，從而在審計數(shù)據(jù)庫中進行查詢、分析和過濾；監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，通過對網(wǎng)絡數(shù)據(jù)的分析，實時智能解析對數(shù)據(jù)庫服務器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。在操作系統(tǒng)安全的基礎上，運行業(yè)務系統(tǒng)，訪問數(shù)據(jù)庫并對其進行監(jiān)控和審計，保證了數(shù)據(jù)庫的安全，從而保障了整個數(shù)據(jù)中心的安全。

需要說明的是，本發(fā)明中所提及的操作系統(tǒng)包括Windows操作系統(tǒng)、Linux操作系統(tǒng)、Unix操作系統(tǒng)。

本發(fā)明的其他特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點在說明書、權利要求書以及附圖中所特別指出的結構來實現(xiàn)和獲得。

為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細說明如下。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，應當理解，以下附圖僅示出了本發(fā)明的某些實施例，因此不應被看作是對范圍的限定，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他相關的附圖。

圖1示出了本發(fā)明實施例一所提供的一種數(shù)據(jù)中心安全保護方法的流程圖；

圖2示出了本發(fā)明實施例一所提供的UKey可信根中存儲的數(shù)據(jù)結構示意圖；

圖3示出了本發(fā)明實施例一所提供的一種身份認證的流程圖；

圖4示出了本發(fā)明實施例一所提供的一種靜態(tài)信任鏈的建立流程圖；

圖5示出了本發(fā)明實施例一所提供的一種動態(tài)信任鏈的建立流程圖；

圖6示出了本發(fā)明實施例二所提供的一種數(shù)據(jù)中心安全保護系統(tǒng)的結構框圖；

圖7示出了本發(fā)明實施例二所提供的一種操作系統(tǒng)加固裝置的結構框圖；

圖8示出了本發(fā)明實施例二所提供的一種數(shù)據(jù)庫安全監(jiān)審裝置的結構框圖。

附圖說明：

6-操作系統(tǒng)加固裝置，7-數(shù)據(jù)庫安全監(jiān)審裝置

60-UKey模塊，61-身份認證模塊，62-靜態(tài)信任鏈建立模塊

63-動態(tài)信任鏈建立模塊，64-審計模塊

70-數(shù)據(jù)獲取模塊，71-數(shù)據(jù)分析模塊，72-數(shù)據(jù)審計模塊

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例中附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。因此，以下對在附圖中提供的本發(fā)明的實施例的詳細描述并非旨在限制要求保護的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實施例?；诒景l(fā)明的實施例，本領域技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

現(xiàn)今階段，作為大數(shù)據(jù)、云計算的基礎設施——數(shù)據(jù)中心的安全還停留在較低的水平，數(shù)據(jù)中心通常采用防火墻、入侵檢測、病毒防范和防DDOS攻擊等傳統(tǒng)的安全手段，這些手段只能在基礎層面上對數(shù)據(jù)中心起到安全防范的作用，但對于未知病毒、內(nèi)部人員的惡意破壞很難起到?jīng)Q定性的防范作用。

基于此，本發(fā)明實施例提供了一種數(shù)據(jù)中心安全保護方法及系統(tǒng)。

下面通過具體實施例進行詳細描述。

實施例一

參見圖1，本發(fā)明實施例提供了一種數(shù)據(jù)中心安全保護方法。在本發(fā)明實施例中，以可信計算技術為基礎，通過管理中心對服務器終端進行統(tǒng)一管理。在本發(fā)明中，該方法具體包括以下步驟：

其中，在實現(xiàn)服務器終端的可信增強時，在構建UKey可信根之前，管理中心首先通過步驟S101的操作來獲取白名單配置文件。

步驟S101：管理中心獲取白名單模塊中的白名單配置文件，進一步的是，白名單配置文件由管理中心獲取并存儲到服務器的白名單模塊中，白名單模塊為程序安裝接口，僅允許通過此接口在服務器上安裝應用程序，嚴格控制應用程序的安裝行為；應用程序的升級也通過白名單模塊控制。這種機制使得只有合法的應用程序才能順利進行，否則操作系統(tǒng)將進行自動攔截，記錄該安全事件，生成安全日志，上傳給管理中心，由審計管理員審計查看。白名單配置文件包括應用程序的標識、應用程序的動態(tài)庫的標識及應用程序的摘要值。

具體的，管理中心通過在樣板機上安裝需要的應用程序來生成白名單配置文件，詳細步驟如下：

管理中心在樣板機上安裝應用程序時，通過可信進程調(diào)用本地SM3(密碼雜湊)算法計算應用程序的每個可執(zhí)行文件的摘要值，得到應用程序的摘要值。

管理中心檢測到應用程序安裝過程中加載動態(tài)庫時，獲取動態(tài)庫的名稱。

管理中心將應用程序的名稱、動態(tài)庫的名稱及應用程序的摘要值組成白名單配置文件中該應用程序對應的一條記錄。

需要說明的是，對于需要的每個應用程序，都按照上述方式生成該應用程序對應的一條記錄。管理中心還將所采集應用程序的名稱、采集時間、采集人等信息錄入數(shù)據(jù)庫，便于管理員查看。管理中心具有白名單管理功能，主要包括白名單信息的查看。管理員可以通過管理中心以列表方式查詢當前白名單配置文件中所包含的應用程序名稱、采集時間和采集人等信息。當可信終端需要運行新的應用程序時，可向管理中心提出申請，管理員審查通過后，管理中心通過在樣板機上安裝該新的應用程序的方式，采集該新的應用程序的摘要值加入白名單配置文件，將生成的新的白名單配置文件下發(fā)給可信終端，使可信終端利用新的白名單配置文件替換原有的白名單配置文件，完成白名單配置文件的更新。白名單配置文件可通過在線或離線方式進行更新。

另外，對于不同版本的操作系統(tǒng)存在不同的內(nèi)核應用程序，這部分內(nèi)核應用程序也由樣板機可信進程按照上述方式完成信息采集，將采集到的信息追加到白名單文件中。樣板機將采集到的信息上傳至管理中心，管理中心對每個樣板機上傳的信息進行匯總，得到白名單配置文件。管理中心為每一個服務器終端配置一個通用的基礎白名單配置文件，配置文件中保存了應用程序所有的可執(zhí)行文件(主要包括exe、dll、ocx文件)的摘要值。

步驟S102：構建UKey可信根。

具體的，對服務器終端進行初始化配置，進一步的是，管理中心為服務器終端配置系統(tǒng)管理及安全管理信息。為了對系統(tǒng)資源進行安全、合理控制，管理中心的管理員被定義為三類：系統(tǒng)管理員、安全管理員和審計管理員，三類管理員之間相互獨立、相互監(jiān)督、相互制約，每類管理員各司其職，共同保障服務器系統(tǒng)的安全，從而實現(xiàn)三權分立。

然后生成包含相關配置信息的Ukey可信根，進一步的是，配置信息包括校驗信息，Ukey可信根包括Ukey中存儲的數(shù)據(jù)結構以及Ukey驅動程序。

在本發(fā)明實施例中，管理中心可以為管理服務器或具有管理控制功能的終端等。上述Ukey是一種通過USB(Universal Serial Bus，通用串行總線)接口直接與服務器終端相連、具有密碼驗證功能且可靠高速的小型存儲設備。且本發(fā)明所采用的Ukey中內(nèi)置了SM3(密碼雜湊)算法、SM2(非對稱密碼)算法和SM4(對稱密碼)算法。

管理中心根據(jù)系統(tǒng)運行過程中所需的數(shù)據(jù)結構和算法，生成Ukey數(shù)據(jù)結構。Ukey中存儲的數(shù)據(jù)結構占用Ukey設備存儲空間的大小約為2KB。如圖2所示，Ukey數(shù)據(jù)結構包括PIN(Personal Identification Number，個人識別密碼)碼、Ukey證書、Ukey的私鑰、配置信息、狀態(tài)位和管理中心的公鑰證書。配置信息包括內(nèi)核白名單校驗值、MBR(Main Boot Record，主引導記錄)、OSLOADER(操作系統(tǒng)加載程序)和OSKERNAL(操作系統(tǒng)內(nèi)核)的校驗值。其中，上述校驗值的大小均為32字節(jié)。

其中，PIN碼用于進行設備認證。

Uke證書指管理中心為每個服務器終端生成的證書，存入終端對應的Ukey中。

Ukey私鑰與Ukey證書一一對應。

內(nèi)核白名單校驗值包括系統(tǒng)注冊表中所有boot(引導)項的SM3校驗值。

狀態(tài)位為0或1，0表示啟動時需執(zhí)行安裝流程，即完成校驗值采集過程，1表示啟動時需執(zhí)行靜態(tài)信任鏈建立流程，即正常啟動過程。

管理中心生成Ukey可信根之后，將Ukey可信根中的數(shù)字結構存儲在服務器終端對應的Ukey中。在本發(fā)明實施例中，管理中心可以對多個服務器終端進行統(tǒng)一管理，按照本步驟的操作為每一個服務器終端配置Ukey。

需要說明的是，當服務器終端的配置信息發(fā)生變化時，管理中心對其進行調(diào)整。其中，Ukey的私鑰、Ukey證書及管理中心的公鑰證書通過重新發(fā)行用戶Ukey的方式進行離線更新。

步驟S103：基于UKey可信根進行身份認證。

身份認證流程如圖3所示。

具體的，服務器終端對USB接口進行監(jiān)測，判斷是否有合法的用戶UKey設備插入；

若檢測到USB接口有合法的Ukey設備插入時，提示用戶輸入個人識別密碼PIN碼，并將其存儲在主引導記錄MBR中；

MBR調(diào)用Ukey可信根中存儲的PIN碼，與用戶輸入PIN碼進行比較；

若獲取的PIN碼與所述用戶輸入的PIN碼相同，則身份認證成功，服務器終端與Ukey建立通信連接。否則建立通信連接失敗，可以提示用戶再次輸入PIN碼，按照上述方式再次進行操作，但是為了保障可信終端的安全性，可以設置PIN碼的錯誤次數(shù)，當用戶輸入的PIN碼的錯誤次數(shù)超過設置的錯誤次數(shù)(一般設置為3次)時，禁止與該Ukey建立通信連接，如此可以防止非法用戶惡意破解Ukey的PIN碼。

在本發(fā)明中，采用外置Ukey進行檢驗的方式，實現(xiàn)UKey實模式驅動對用戶的身份認證，保證了服務器終端的可信安全。需要說明的是，UKey可信根的身份認證是一種雙因子的認證方式，即PIN碼與UKey硬件設備。用戶只有在插入可識別的UKey硬件設備且PIN碼輸入正確的情況下，才可使用系統(tǒng)，否則系統(tǒng)無法運行。

步驟S104：身份認證成功后，操作系統(tǒng)進入可信引導，建立靜態(tài)信任鏈。

靜態(tài)信任鏈的建立主要由UKey可信根協(xié)助完成，靜態(tài)信任鏈的建立流程如圖4所示。

具體的，開機BIOS啟動后，身份認證成功后，操作系統(tǒng)進入可信引導，MBR加載Ukey實模式驅動、NTFS文件系統(tǒng)和本地密碼雜湊SM3算法，對OSLOADER(操作系統(tǒng)加載程序)、OSKERNAL(操作系統(tǒng)內(nèi)核)組件進行完整性校驗；進一步的，為操作系統(tǒng)組件進行完整性校驗，具體步驟如下：

①MBR調(diào)用本地SM3算法校驗OSLOADER，生成一個32字節(jié)的校驗值；

②MBR利用NTFS文件系統(tǒng)查找出所有boot項(操作系統(tǒng)內(nèi)核文件)，調(diào)用本地SM3算法生成各boot項校驗值(假設為n項，則為n×32字節(jié))；

③調(diào)用實模式下Ukey SM3算法接口，對校驗OSLOADER生成的32字節(jié)的校驗值進行二次檢驗，與Ukey中存儲的校驗值比對，如通過執(zhí)行④，否則停止執(zhí)行并提示用戶進行狀態(tài)恢復；

④調(diào)用實模式下Ukey SM3算法接口，對②中生成的各boot項校驗值分別二次校驗，并與Ukey中存儲的內(nèi)核白名單進行校驗值比對，如通過執(zhí)行⑤，否則停止執(zhí)行并提示用戶進行狀態(tài)恢復；

⑤讀取Ukey中管理中心的公鑰證書，利用公鑰及Ukey SM2算法接口對應用白名單簽名進行檢查，如通過執(zhí)行下步操作，否則停止執(zhí)行并提示用戶進行狀態(tài)恢復。

同理，完成對OSKERNAL進行完整性校驗過程。

上述所有校驗通過后，MBR將執(zhí)行權順序交給OSLOADER和OSKERNAL等，操作系統(tǒng)正常啟動，完成靜態(tài)信任鏈的建立，如有任一項校驗未通過，則停止執(zhí)行并提示用戶進行狀態(tài)恢復。

該步驟通過為服務器終端配置Ukey可信根后，由Ukey可信根協(xié)助完成操作系統(tǒng)組件的完整性校驗，每個組件只有在確保不被篡改的前提下后才能正常加載。由此實現(xiàn)信任關系的逐層傳遞，從而保證了操作系統(tǒng)運行環(huán)境的安全可信。

步驟S105：基于靜態(tài)信任鏈運行白名單模塊，建立動態(tài)信任鏈。

動態(tài)信任鏈的建立過程主要由白名單模塊的白名單驅動程序完成，其流程如圖5所示。

具體為，操作系統(tǒng)正常啟動，靜態(tài)信任鏈建立以后，加載白名單模塊的白名單驅動程序，白名單模塊的白名單驅動程序對在用戶態(tài)動態(tài)加載的應用程序、服務或外部設備驅動等進行攔截，調(diào)用本地SM3算法對攔截到的應用程序、服務或外部設備驅動進行檢驗運算，分別得到應用程序、服務及外部設備驅動對應的校驗值，服務器終端白名單配置文件和應用程序、服務及外部設備驅動的標識，根據(jù)應用程序、服務及外部設備驅動的標識從白名單配置文件中獲取應用程序、服務及外部設備驅動對應的校驗值，將上述檢驗運算得到的校驗值與從白名單配置文件中獲取的校驗值比較，若兩者相同，則校驗通過，確定應用程序、服務及外部設備驅動的完整性高，允許加載應用程序、服務及外部設備驅動，否則拒絕加載。

本發(fā)明實例中，通過靜態(tài)信任鏈和動態(tài)信任鏈的完整傳遞，保障了服務器操作系統(tǒng)的安全可信。其中，靜態(tài)信任鏈即為操作系統(tǒng)各層文件完整性校驗通過后啟動操作系統(tǒng)，動態(tài)信任鏈即為應用程序完整性檢驗通過后加載應用程序。

步驟S106：基于動態(tài)信息鏈獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息。

具體的，在基于操作系統(tǒng)安全的其前提下，運行業(yè)務系統(tǒng)，訪問數(shù)據(jù)庫服務器，獲取網(wǎng)絡數(shù)據(jù)，進一步的是，網(wǎng)絡數(shù)據(jù)信息包括數(shù)據(jù)庫表、視圖、序列、包、存儲過程信息、函數(shù)、庫、索引、同義詞、快照和觸發(fā)器。

步驟S107：對網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果，進一步的是，

對網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果包括：對數(shù)據(jù)庫表、視圖、序列、包、存儲過程信息、函數(shù)、庫、索引、同義詞、快照和觸發(fā)器進行創(chuàng)建、修改和刪除得到分析結果。

具體的，根據(jù)預設風險規(guī)則信息對實時監(jiān)控信息進行特征檢測和審計規(guī)則檢測；針對檢測結果進行處理得到分析結果。其中，實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動。包括來自應用程序發(fā)起的數(shù)據(jù)庫操作請求和來自數(shù)據(jù)庫客戶端工具的操作請求，不局限于以上數(shù)據(jù)庫活動。

進一步的是，針對檢測結果進行處理得到分析結果包括：

將符合用戶定義的所述審計規(guī)則信息標記為重要事件信息和風險事件信息；具體的，根據(jù)登錄用戶、源IP地址、數(shù)據(jù)庫對象、操作時間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關聯(lián)表數(shù)量、SQL執(zhí)行結果、SQL執(zhí)行時長、報文內(nèi)容靈活組合來定義客戶所關心的重要事件和風險事件。風險級別分為，高、中、低等不同級別。

如果檢測到攻擊源，則進行實時阻斷或報警；具體的，如果檢測到攻擊源，則在預設時間內(nèi)完全屏蔽攻擊源。其中，實時阻斷相關攻擊源，包括IP的阻斷、Session(會話控制)的阻斷和TCP Reset(Transmission Control Protocol傳輸控制協(xié)議)，但不局限于上述攻擊源類型。

當檢測到不符合所述審計規(guī)則的操作信息時，以監(jiān)控中心告警、短信告警或郵件告警的方式向數(shù)據(jù)庫管理員發(fā)送告警信息。

當發(fā)生告警事件時，提供基于審計對象的自定義會話審計查詢及審計數(shù)據(jù)展；具體的，為用戶提供了基于時間、地址、數(shù)據(jù)庫類型、用戶名、操作類型、數(shù)據(jù)庫名、表名、字段名等等多種豐富的組合查詢模式，用戶可以按照自己的需要查找所關心的符合審計規(guī)則的數(shù)據(jù)庫操作記錄。還支持二次檢索功能以達到精確檢索的目的。同時，系統(tǒng)不僅對客戶端工具及各應用層訪問監(jiān)控，還支持對數(shù)據(jù)庫服務器的遠程訪問實時監(jiān)控及回放功能，有助于安全事件的定位查詢、成因分析及責任認定?？蛻艨勺远x選擇操作類型，回放看到真實的輸入和屏幕顯示內(nèi)容，查詢結果將以實際發(fā)生時間的先后進行回放。

步驟S108：分析結果記入審計數(shù)據(jù)庫中，從而在所述審計數(shù)據(jù)庫中進行查詢、分析和過濾，進一步的是，記錄詳細的用戶行為信息，包括登錄的時間、機器名、用戶名、IP/MAC地址、客戶端程序名以及數(shù)據(jù)庫名等信息。將進行處理的網(wǎng)絡數(shù)據(jù)信息分析結果與預設置的審計規(guī)則相結合，從而在審計數(shù)據(jù)庫中進行查詢、分析和過濾。

具體的，查看時間閾值內(nèi)各個數(shù)據(jù)庫服務器的訪問信息，其中，訪問信息包括數(shù)據(jù)庫類型信息、用戶登錄信息、操作類型統(tǒng)計信息，需要說明的是，訪問信息不僅僅局限于數(shù)據(jù)庫類型信息、用戶登錄統(tǒng)計信息、操作類型統(tǒng)計信息和客戶端IP統(tǒng)計信息。

對訪問信息進行統(tǒng)計，并提供報表；具體的，提供從數(shù)據(jù)庫類型信息、事件類型信息、源地址信息和目的地址信息等多個方面進行統(tǒng)計排名的報表。

將報表以柱圖、餅圖和統(tǒng)計表格的形式進行顯示。具體的，將報表通過柱形圖、餅狀圖、統(tǒng)計表格等形式將統(tǒng)計結果直觀地展現(xiàn)給用戶，為用戶提供可視化界面，支持人機交互。同時支持報表的訂閱、導出、打印。

需要說明的是，其中不僅僅局限于以上幾種類型統(tǒng)計報表。而且所述方法還可以包括對結構化查詢語言SQL命令信息、存儲過程的執(zhí)行信息、各個層面的數(shù)據(jù)庫活動信息或通過遠程命令執(zhí)行的SQL命令信息進行細粒度審計和分析。具體地，同時具備完善的雙向審計：系統(tǒng)不僅對數(shù)據(jù)庫操作請求進行實時審計，而且還可對數(shù)據(jù)庫系統(tǒng)返回結果進行完整的還原和審計。

在本發(fā)明實施例中，基于可信計算技術，通過構建UKey可信根，服務器終端首先根據(jù)UKey可信根對用戶身份進行認證，構筑操作系統(tǒng)的第一道防線，只有身份合法才能操作系統(tǒng)才能進行下一步驟操作，保證了系統(tǒng)的安全，根據(jù)Ukey可信根中存儲的數(shù)據(jù)結構信息，加載UKey驅動對操作系統(tǒng)加載程序、操作系統(tǒng)內(nèi)核組件進行完整性校驗，校驗通過后啟動操作系統(tǒng)，建立了靜態(tài)信任鏈，構筑操作系統(tǒng)的第二道防線，從內(nèi)部防止操作系統(tǒng)信息的泄露或篡改。接著，服務器終端根據(jù)白名單模塊中的白名單配置文件和白名單驅動程序對動態(tài)加載的應用程序、服務及外部設備驅動進行完整性檢驗，建立了動態(tài)信任鏈，構筑操作系統(tǒng)的第三道防線，從外部阻止惡意攻擊和越權訪問，實現(xiàn)了服務器操作系統(tǒng)的安全可信。另外，基于操作系統(tǒng)的安全，獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息；對網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果；將所述分析結果記入審計數(shù)據(jù)庫中，從而在審計數(shù)據(jù)庫中進行查詢、分析和過濾；監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，通過對網(wǎng)絡數(shù)據(jù)的分析，實時智能解析對數(shù)據(jù)庫服務器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。在操作系統(tǒng)安全的基礎上，運行業(yè)務系統(tǒng)，訪問數(shù)據(jù)庫并對其進行監(jiān)控和審計，保證了數(shù)據(jù)庫的安全，從而保障了整個數(shù)據(jù)中心的安全。

實施例二

參見圖6，本發(fā)明實施例提供了一種數(shù)據(jù)中心安全保護系統(tǒng)，該系統(tǒng)用于執(zhí)行上述數(shù)據(jù)中心安全保護方法。該系統(tǒng)具體包括：

操作系統(tǒng)加固裝置6和數(shù)據(jù)庫安全監(jiān)審裝置7，其中，

進一步的是，操作系統(tǒng)加固裝置的結構框圖如圖7所示，操作系統(tǒng)加固裝置6具體包括UKey模塊60、身份認證模塊61、靜態(tài)信任鏈建立模塊62和動態(tài)信任鏈建立模塊63，其中，

UKey模塊60用于構建UKey可信根；

身份認證模塊61用于基于所述UKey可信根，進行身份認證；

靜態(tài)信任鏈建立模塊62用于身份認證成功后，操作系統(tǒng)進入可信引導，建立靜態(tài)信任鏈；

動態(tài)信任鏈建立模塊63用于基于所述靜態(tài)信任鏈運行白名單模塊，建立動態(tài)信任鏈。

數(shù)據(jù)庫安全監(jiān)審裝置的結構框圖如圖8所示，數(shù)據(jù)庫安全監(jiān)審裝置7具體包括數(shù)據(jù)獲取模塊70、數(shù)據(jù)分析模塊71和數(shù)據(jù)審計模塊72，其中，

數(shù)據(jù)獲取模塊70用于基于動態(tài)信息鏈獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息。

數(shù)據(jù)分析模塊71用于對所述網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果。

數(shù)據(jù)審計模塊72用于將分析結果記入審計數(shù)據(jù)庫中，從而在審計數(shù)據(jù)庫中進行查詢、分析和過濾。

具體的，上述Ukey可信根包括Ukey中存儲的數(shù)據(jù)結構以及Ukey驅動程序，上述網(wǎng)絡數(shù)據(jù)信息包括數(shù)據(jù)庫表、視圖、序列、包、存儲過程信息、函數(shù)、庫、索引、同義詞、快照和觸發(fā)器。

在本發(fā)明實施例中，基于可信計算技術，通過UKey模塊構建UKey可信根，服務器終端的身份認證模塊根據(jù)UKey可信根對用戶身份進行認證，構筑操作系統(tǒng)的第一道防線，只有身份合法才能操作系統(tǒng)才能進行下一步驟操作，保證了系統(tǒng)的安全，靜態(tài)信任鏈建立模塊調(diào)用Ukey可信根中存儲的數(shù)據(jù)結構信息，加載UKey驅動對操作系統(tǒng)加載程序、操作系統(tǒng)內(nèi)核組件進行完整性校驗，校驗通過后啟動操作系統(tǒng)，建立了靜態(tài)信任鏈，構筑操作系統(tǒng)的第二道防線，從內(nèi)部防止操作系統(tǒng)信息的泄露或篡改。接著，服務器終端的動態(tài)信任鏈建立模塊根據(jù)白名單模塊中的白名單配置文件和白名單驅動程序對動態(tài)加載的應用程序、服務及外部設備驅動進行完整性檢驗，建立了動態(tài)信任鏈，構筑操作系統(tǒng)的第三道防線，從外部阻止惡意攻擊和越權訪問，實現(xiàn)了服務器操作系統(tǒng)的安全可信。另外，基于操作系統(tǒng)的安全，數(shù)據(jù)獲取模塊獲取數(shù)據(jù)庫服務器的網(wǎng)絡數(shù)據(jù)信息；數(shù)據(jù)分析模塊對網(wǎng)絡數(shù)據(jù)信息進行處理得到分析結果；數(shù)據(jù)審計模塊將分析結果記入審計數(shù)據(jù)庫中，從而方便審計管理員在審計數(shù)據(jù)庫中進行查詢、分析和過濾；數(shù)據(jù)監(jiān)審裝置監(jiān)控并記錄對數(shù)據(jù)庫服務器的各類操作行為，通過對網(wǎng)絡數(shù)據(jù)的分析，實時智能解析對數(shù)據(jù)庫服務器的各種操作，并記入審計數(shù)據(jù)庫中以便審計管理員日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。數(shù)據(jù)中心安全保護系統(tǒng)作為一個體系，首先由操作系統(tǒng)加固裝置保證操作系統(tǒng)安全的基礎上，進一步由數(shù)據(jù)庫監(jiān)審裝置對業(yè)務系統(tǒng)、訪問數(shù)據(jù)庫并對其進行監(jiān)控和審計，保證了數(shù)據(jù)庫的安全，從而保障了整個數(shù)據(jù)中心的安全。

對于本發(fā)明實施例所提供的一種數(shù)據(jù)中心安全保護系統(tǒng)，所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，前述描述的系統(tǒng)、模塊和單元的具體工作過程，均可以參考上述方法實施例中的對應過程。

在本申請所提供的幾個實施例中，應該理解到，所揭露系統(tǒng)和方法，可以通過其它的方式實現(xiàn)。以上所描述的系統(tǒng)實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，又例如，多個單元或組件可以結合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。

所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)，可輕易想到變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應所述以權利要求的保護范圍為準。