本發(fā)明涉及一種用于數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)，特別是關(guān)于一種用于軟件定義網(wǎng)絡(luò)中數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)。

背景技術(shù)：

軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)組織技術(shù)已越來越為世人所接受。原則上，軟件定義網(wǎng)絡(luò)將網(wǎng)絡(luò)設(shè)備，如路由器、分包交換器，以及LAN交換器的數(shù)據(jù)與控制平面，以兩者間精良的應(yīng)用程序編程接口(API)分開。相反地，在多數(shù)大型企業(yè)網(wǎng)絡(luò)中，路由器與其它的網(wǎng)絡(luò)設(shè)備同時含有數(shù)據(jù)與控制平面，這對較大規(guī)模的架構(gòu)如大量終端系統(tǒng)、虛擬機及虛擬網(wǎng)絡(luò)來說，調(diào)整網(wǎng)絡(luò)設(shè)施與操作變得很困難。因而，OpenFlow規(guī)范漸漸成為用來實現(xiàn)軟件定義網(wǎng)絡(luò)的標(biāo)準(zhǔn)。

數(shù)據(jù)庫或儲存安全和軟件定義網(wǎng)絡(luò)安全一樣重要。關(guān)于軟件定義網(wǎng)絡(luò)安全運作的詳細(xì)描述，請參見圖1。圖1顯示一種在一軟件定義網(wǎng)絡(luò)1中的傳統(tǒng)數(shù)據(jù)庫/應(yīng)用程序安全方案(該軟件定義網(wǎng)絡(luò)1也可是一個數(shù)據(jù)網(wǎng)絡(luò))。在軟件定義網(wǎng)絡(luò)1中，通常有多個節(jié)點，比如路由器、交換器、應(yīng)用程序服務(wù)器及主機。在圖1中，為說明方便，一路由器2，兩個LAN交換器3與3'、三個應(yīng)用程序服務(wù)器4'、5與6，及兩個主機7與8繪示于軟件定義網(wǎng)絡(luò)1中。路由器2連接到因特網(wǎng)11，主機7經(jīng)由 LAN交換器3連接到軟件定義網(wǎng)絡(luò)1。應(yīng)用程序服務(wù)器4'進一步經(jīng)由一儲存網(wǎng)絡(luò)1'與一儲存服務(wù)器4連接。儲存網(wǎng)絡(luò)1'可以是一個光纖信道網(wǎng)絡(luò)或iSCSI網(wǎng)絡(luò)，可連接到應(yīng)用程序服務(wù)器5，以便應(yīng)用程序服務(wù)器5能分享來自儲存服務(wù)器4的服務(wù)。儲存網(wǎng)絡(luò)1'也可具有一交換器3"(SAN交換器)，該交換器3"將儲存網(wǎng)絡(luò)1'與其它儲存網(wǎng)絡(luò)連接但不經(jīng)由以太網(wǎng)絡(luò)(Ethernet)。儲存服務(wù)器4具有一磁盤陣列12，該磁盤陣列12有兩個硬盤與一個固態(tài)硬盤。儲存服務(wù)器4具有服務(wù)器虛擬化的功能，以便一云端服務(wù)13、一郵件數(shù)據(jù)庫14與一視頻流數(shù)據(jù)庫15通過分享磁盤陣列12資源而建立。應(yīng)用程序服務(wù)器4'提供的應(yīng)用，比如，視頻流，可來自視頻流數(shù)據(jù)庫15到硬盤實體卷的映像。應(yīng)用程序服務(wù)器6具有一硬盤16，它是一個郵件服務(wù)器，硬盤16用為電子郵件的數(shù)據(jù)庫，供儲存相關(guān)的數(shù)據(jù)。對軟件定義網(wǎng)絡(luò)1的運作來說，一軟件定義網(wǎng)絡(luò)控制服務(wù)器9包含一軟件形式的軟件定義網(wǎng)絡(luò)控制器(如果軟件定義網(wǎng)絡(luò)1僅是一數(shù)據(jù)網(wǎng)絡(luò)，軟件定義網(wǎng)絡(luò)控制服務(wù)器9就不是必要的)。軟件定義網(wǎng)絡(luò)控制服務(wù)器9可以依直接編程來配置及控制網(wǎng)絡(luò)，其架構(gòu)能由應(yīng)用程序與網(wǎng)絡(luò)服務(wù)抽象化而來。

對稽核與安全的目的來說，軟件定義網(wǎng)絡(luò)1進一步具有一安全單元10，其監(jiān)聽軟件定義網(wǎng)絡(luò)1中某些或所有節(jié)點的端口。安全單元10檢查軟件定義網(wǎng)絡(luò)1中傳輸?shù)姆獍?，以登錄或追蹤相關(guān)的數(shù)據(jù)庫活動。它可以在發(fā)現(xiàn)任何異常狀態(tài)時提供警告。每一節(jié)點具有各自的保護機制，網(wǎng)管人員可以操縱保護機制來調(diào)節(jié)節(jié)點對應(yīng)該異常狀態(tài)。從而，軟件定義網(wǎng)絡(luò)1能順利安全地運作。安全單元10也能是在軟件定義網(wǎng)絡(luò)控制服務(wù)器9運行的應(yīng)用程序，而非一臺獨立的機器。

不過，以整體安全而言，在傳統(tǒng)軟件定義網(wǎng)絡(luò)1中還是存在一些問題值得關(guān)注，其中最顯著的就是安全漏洞。比如，假設(shè)磁盤陣列12中的硬盤與固態(tài)硬盤來自相同的制造商，它們可能會被設(shè)定每天自動地復(fù)制固態(tài)硬盤內(nèi)容到某一硬盤中。安全漏洞可能會發(fā)生于硬盤的卷改變之后，儲存數(shù)據(jù)改變但安全單元10并未發(fā)覺，由儲存服務(wù)器4提供的服務(wù)改變卷中的內(nèi)容但無法被偵測。安全漏洞相似的狀況也發(fā)生在當(dāng)一儲存卷映像到其它卷中時、當(dāng)儲存卷錯誤地被指定給無權(quán)使用的用戶時，或上述的幾個狀況的組合。當(dāng)然，這些問題有些可以通過單一供貨商的解決方案來解決。然而，如果該多個儲存設(shè)備是"跨平臺"或"多平臺"，問題還是會存在。

另一個問題是關(guān)于可擴展性。如上所述，安全單元10是在一旁監(jiān)測所有或選定的端口。如果來自用戶(主機)的存取請求在軟件定義網(wǎng)絡(luò)1中或來自因特網(wǎng)大量增加，對由儲存服務(wù)器4提供儲存服務(wù)的應(yīng)用程序服務(wù)器4'來說，軟件定義網(wǎng)絡(luò)1的流量太大，以至于安全單元10不可能聚集所有的封包并實時分析它們。即便所謂的"深度封包檢測"，其架構(gòu)也無法承受規(guī)模增長。

因此，為了解決上述問題，需要一種用于數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)。特別是，該系統(tǒng)能用于軟件定義儲存的功能，并可運作于一軟件定義網(wǎng)絡(luò)環(huán)境中。

技術(shù)實現(xiàn)要素：

為了解決以上問題，本發(fā)明提供了一種用于軟件定義網(wǎng)絡(luò)中數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)。該系統(tǒng)包括：一軟件定義網(wǎng)絡(luò)控制服務(wù)器，用以管理該軟件定義網(wǎng)絡(luò)中的所有節(jié)點； 一數(shù)據(jù)庫監(jiān)視服務(wù)器，用以接收在該軟件定義網(wǎng)絡(luò)中傳輸?shù)姆獍?、登錄?shù)據(jù)庫或來自該多個封包的應(yīng)用程序活動，以及為稽查與安全考慮追蹤該數(shù)據(jù)庫或應(yīng)用程序活動；一儲存設(shè)施，包括多個儲存設(shè)備，該儲存設(shè)施用以映像軟件定義儲存設(shè)備到該多個儲存設(shè)備中的一個或多個卷，以及根據(jù)來自該多個節(jié)點的請求提供應(yīng)用程序及/或數(shù)據(jù)庫服務(wù)；以及一儲存安全網(wǎng)關(guān)服務(wù)器，包括一儲存安全模塊，該儲存安全網(wǎng)關(guān)服務(wù)器連接到該儲存設(shè)施與該軟件定義網(wǎng)絡(luò)的一節(jié)點，用以監(jiān)視該儲存設(shè)施的數(shù)據(jù)流量、與該軟件定義網(wǎng)絡(luò)控制服務(wù)器溝通、登錄應(yīng)用程序與數(shù)據(jù)庫的運作到軟件定義儲存中、儲存應(yīng)用程序與數(shù)據(jù)庫的運作，以及提供一不正常信息到該數(shù)據(jù)庫監(jiān)視服務(wù)器，該不正常信息由一事件所觸發(fā)。

依照本發(fā)明，該儲存安全網(wǎng)關(guān)服務(wù)器進一步包含一軟件定義儲存控制器模塊，用以指定、配置與監(jiān)視該儲存設(shè)施中的儲存設(shè)備。該儲存安全網(wǎng)關(guān)服務(wù)器進一步經(jīng)由可編程端口與該軟件定義網(wǎng)絡(luò)控制服務(wù)器通訊。該儲存安全網(wǎng)關(guān)服務(wù)器進一步發(fā)送該儲存設(shè)施中改變的卷的記錄到一緩沖存儲設(shè)備，其中該改變的卷由該事件所觸發(fā)。該儲存安全網(wǎng)關(guān)服務(wù)器進一步對該儲存設(shè)施改變的卷進行快照。該事件為一未授權(quán)請求要求數(shù)據(jù)復(fù)制、映像同步或刪除、來自一未授權(quán)主機的一請求要求存取該儲存設(shè)備，或未定義數(shù)據(jù)流量發(fā)生在該儲存設(shè)施中兩個儲存設(shè)備之間或在該儲存設(shè)施中一儲存設(shè)備與一外部儲存設(shè)備之間。該儲存安全網(wǎng)關(guān)服務(wù)器在該不正常信息發(fā)出之前或之后，停止該事件的請求與該事件的處理流程。該儲存安全模塊運行在儲存安全網(wǎng)關(guān)服務(wù)器中或一硬設(shè)備的應(yīng)用程序軟件中。

最好，該儲存設(shè)備為硬盤或/及固態(tài)硬盤。該儲存安全網(wǎng)關(guān) 服務(wù)器進一步經(jīng)由一以太網(wǎng)連接線路連接到該軟件定義網(wǎng)絡(luò)。

本發(fā)明還提供了另一種用于軟件定義網(wǎng)絡(luò)中數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)。該系統(tǒng)包括：一軟件定義網(wǎng)絡(luò)控制服務(wù)器，具有數(shù)據(jù)庫監(jiān)視軟件，用以管理該軟件定義網(wǎng)絡(luò)中的所有節(jié)點、接收在該軟件定義網(wǎng)絡(luò)中傳輸?shù)姆獍?、登錄?shù)據(jù)庫或來自該多個封包的應(yīng)用程序活動，以及為稽查與安全考慮追蹤該數(shù)據(jù)庫或應(yīng)用程序活動；一儲存設(shè)施，包括多個儲存設(shè)備，用以映像軟件定義儲存設(shè)備到該些儲存設(shè)備中的一個或多個卷，以及根據(jù)來自該多個節(jié)點的請求提供應(yīng)用程序及/或數(shù)據(jù)庫服務(wù)；以及一儲存安全網(wǎng)關(guān)服務(wù)器，具有一儲存安全模塊，該儲存安全網(wǎng)關(guān)服務(wù)器連接到該儲存設(shè)施與該軟件定義網(wǎng)絡(luò)的一節(jié)點，用以監(jiān)視該儲存設(shè)施的數(shù)據(jù)流量、與該軟件定義網(wǎng)絡(luò)控制服務(wù)器溝通、登錄應(yīng)用程序與數(shù)據(jù)庫的運作到軟件定義儲存中、儲存應(yīng)用程序與數(shù)據(jù)庫的運作，以及提供一不正常信息到該數(shù)據(jù)庫監(jiān)視服務(wù)器，該不正常信息由一事件所觸發(fā)。

依照本發(fā)明，該儲存安全網(wǎng)關(guān)服務(wù)器進一步包含一軟件定義儲存控制器模塊，用以指定、配置與監(jiān)視該儲存設(shè)施中的儲存設(shè)備。該儲存安全網(wǎng)關(guān)服務(wù)器進一步經(jīng)由可編程端口與該軟件定義網(wǎng)絡(luò)控制服務(wù)器通訊。該儲存安全網(wǎng)關(guān)服務(wù)器進一步發(fā)送該儲存設(shè)施中改變的卷的記錄到一緩沖存儲設(shè)備，其中該改變的卷由該事件所導(dǎo)致。該儲存安全網(wǎng)關(guān)服務(wù)器進一步對該儲存設(shè)施改變的卷進行快照。該事件為一未授權(quán)請求要求數(shù)據(jù)復(fù)制、映像同步或刪除、來自一未授權(quán)主機的一請求要求存取該儲存設(shè)備，或未定義數(shù)據(jù)流量發(fā)生在該儲存設(shè)施中兩個儲存設(shè)備之間或在該儲存設(shè)施中一儲存設(shè)備與一外部儲存設(shè)備之間。該儲存安全網(wǎng)關(guān)服務(wù)器在該不正常信息發(fā)出之前或之后，停止 該事件的請求與該事件的處理流程。該儲存安全模塊運行在儲存安全網(wǎng)關(guān)服務(wù)器中或一硬設(shè)備的應(yīng)用程序軟件中。

最好，該儲存設(shè)備為硬盤或/及固態(tài)硬盤。該儲存安全網(wǎng)關(guān)服務(wù)器進一步經(jīng)由一以太網(wǎng)連接線路連接到該軟件定義網(wǎng)絡(luò)。

儲存安全網(wǎng)關(guān)服務(wù)器能由觀察數(shù)據(jù)庫監(jiān)視服務(wù)器能接觸到的儲存設(shè)備的操作狀況，分擔(dān)數(shù)據(jù)庫監(jiān)視服務(wù)器的負(fù)擔(dān)，從而能篩選出安全漏洞的問題，達到儲存安全或網(wǎng)絡(luò)安全的目的。此外，數(shù)據(jù)庫監(jiān)視服務(wù)器能持續(xù)接收封包，而安全漏洞問題篩選的工作是分散到一或多個儲存安全網(wǎng)關(guān)服務(wù)器中，即使軟件定義網(wǎng)絡(luò)變得越來越大且更多的節(jié)點加入其中，該架構(gòu)仍然能夠很順利地工作。可擴展性不會成為軟件定義網(wǎng)絡(luò)的困擾。

附圖說明

圖1為一種現(xiàn)有的軟件定義網(wǎng)絡(luò)中的數(shù)據(jù)庫/應(yīng)用程序安全方案；

圖2為本發(fā)明一實施例的用于數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)；

圖3為一儲存安全網(wǎng)關(guān)服務(wù)器的架構(gòu)；

圖4為本發(fā)明另一實施例的用于數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)；

圖5為一軟件定義網(wǎng)絡(luò)控制服務(wù)器的架構(gòu)。

附圖標(biāo)記說明：1-軟件定義網(wǎng)絡(luò)；1'-儲存網(wǎng)絡(luò)；2-路由器；3-交換器；3'-交換器；3"-交換器；4-儲存服務(wù)器；4'-應(yīng)用程序服務(wù)器；5-應(yīng)用程序服務(wù)器；6-應(yīng)用程序服務(wù)器；7-主機；8-主機；9-軟件定義網(wǎng)絡(luò)控制服務(wù)器；10-安全單元；11-因特網(wǎng)； 12-磁盤陣列；13-云端服務(wù)；14-郵件數(shù)據(jù)庫；15-視頻流數(shù)據(jù)庫；16-硬盤；20-系統(tǒng)；20a-系統(tǒng)；21-軟件定義網(wǎng)絡(luò)；21'-儲存網(wǎng)絡(luò)；21"-以太網(wǎng)連接線路；200-軟件定義網(wǎng)絡(luò)控制服務(wù)器；201-軟件定義網(wǎng)絡(luò)控制服務(wù)器；210-數(shù)據(jù)庫監(jiān)視服務(wù)器；220-儲存安全網(wǎng)關(guān)服務(wù)器；220'-應(yīng)用程序服務(wù)器；221-儲存安全模塊；222-軟件定義儲存控制器模塊；230-儲存設(shè)施；231-第一硬盤；232-第二硬盤；233-固態(tài)硬盤；234-云端應(yīng)用程序；235-郵件數(shù)據(jù)庫；236-視頻流數(shù)據(jù)庫；250-應(yīng)用程序服務(wù)器；251-第四硬盤；260-第一主機；270-第二主機；280-第三主機。

具體實施方式

本發(fā)明將參照下列的實施方式而更具體地描述。

如圖2與圖3所示，該些圖示描述本發(fā)明在一軟件定義網(wǎng)絡(luò)21中一種用于數(shù)據(jù)庫、應(yīng)用程序與儲存安全的系統(tǒng)20的實施例。系統(tǒng)20中的元件由一虛線框所環(huán)繞。系統(tǒng)20包括一軟件定義網(wǎng)絡(luò)控制服務(wù)器200、一數(shù)據(jù)庫監(jiān)視服務(wù)器210、一儲存安全網(wǎng)關(guān)服務(wù)器220與一儲存設(shè)施230。在軟件定義網(wǎng)絡(luò)21中，有可能包括其它的節(jié)點，比如主機、路由器、交換器與轉(zhuǎn)接器。系統(tǒng)10能經(jīng)由許多節(jié)點的鏈接應(yīng)用到軟件定義網(wǎng)絡(luò)上。以下詳細(xì)說明每個元件的功能。

軟件定義網(wǎng)絡(luò)控制服務(wù)器200是用來操作軟件定義網(wǎng)絡(luò)21的主要元件，它由指定往來節(jié)點間封包的流量，管理軟件定義網(wǎng)絡(luò)21中的所有節(jié)點。雖然圖2僅顯示多個主機請求軟件定義儲存設(shè)備，對應(yīng)用程序或數(shù)據(jù)庫服務(wù)進行存取，事實上，軟件定義網(wǎng)絡(luò)中應(yīng)有數(shù)以萬計的主機，由眾多的交換器與路由器連接。圖2僅用于說明聚焦在系統(tǒng)20在軟件定義網(wǎng)絡(luò)21中如何 運作及表現(xiàn)。

數(shù)據(jù)庫監(jiān)視服務(wù)器210能接收軟件定義網(wǎng)絡(luò)21中傳輸?shù)姆獍Ｋ接谲浖x網(wǎng)絡(luò)21上，監(jiān)聽所有或部分節(jié)點的端口。因此，數(shù)據(jù)庫監(jiān)視服務(wù)器210能登錄數(shù)據(jù)庫或來自封包的應(yīng)用程序活動，進一步為稽核與安全的目的，追蹤該數(shù)據(jù)庫或應(yīng)用程序活動。

儲存安全網(wǎng)關(guān)服務(wù)器220包括兩個模塊：一儲存安全模塊221與一軟件定義儲存控制器模塊222，如圖3所示。一應(yīng)用程序服務(wù)器220'為軟件定義網(wǎng)絡(luò)21中的一節(jié)點，并經(jīng)由一儲存網(wǎng)絡(luò)21'連接到儲存安全網(wǎng)關(guān)服務(wù)器220。應(yīng)用程序服務(wù)器220'能根據(jù)來自軟件定義網(wǎng)絡(luò)21其它節(jié)點(主機)的請求，提供多個服務(wù)。儲存安全網(wǎng)關(guān)服務(wù)器220進一步直接連接儲存設(shè)施230，并經(jīng)由應(yīng)用程序服務(wù)器220'連接軟件定義網(wǎng)絡(luò)21。如背景技術(shù)中所提到的，儲存網(wǎng)絡(luò)21'可以是一個光纖信道網(wǎng)絡(luò)或一個iSCSI網(wǎng)絡(luò)。它連接到其它應(yīng)用程序服務(wù)器(未繪示)，以便其它應(yīng)用程序服務(wù)器能分享來自儲存設(shè)施230的服務(wù)。軟件定義儲存控制器模塊222能指定、配置與監(jiān)視儲存設(shè)施230中的儲存設(shè)備。該多個儲存設(shè)備可能都是硬盤，也可能都是固態(tài)硬盤。最常見的是該多個儲存設(shè)備是硬盤與固態(tài)硬盤的混合組合。在本實施例中有三個儲存設(shè)備：一第一硬盤231、一第二硬盤232與一固態(tài)硬盤233。因此，儲存安全網(wǎng)關(guān)服務(wù)器220扮演儲存控制服務(wù)器的角色。儲存設(shè)施230能從儲存設(shè)備的一個卷或多個卷中映像為軟件定義儲存設(shè)備，且依照來自軟件定義網(wǎng)絡(luò)21中節(jié)點的請求，提供給應(yīng)用程序及/或數(shù)據(jù)庫服務(wù)。從而，應(yīng)用程序服務(wù)器220'能從儲存設(shè)施230中提供一特定的服務(wù)(應(yīng)用程序或數(shù)據(jù)庫)。為了具體說明，以一云端應(yīng)用程序234、一 郵件數(shù)據(jù)庫235與一視頻流數(shù)據(jù)庫236作為服務(wù)說明。

要強調(diào)的是雖然有三個儲存設(shè)備用來描述本發(fā)明，實際上，一個儲存設(shè)施可能包括數(shù)百到數(shù)千個儲存設(shè)備。儲存設(shè)施也可以是一個磁盤陣列(RAID)。

通過儲存安全模塊221，儲存安全網(wǎng)關(guān)服務(wù)器220能監(jiān)視儲存設(shè)施230中儲存設(shè)備的數(shù)據(jù)流量。比如，軟件定義網(wǎng)絡(luò)21中的節(jié)點有兩個主機，一第一主機260與一第二主機270。它們被授權(quán)可對郵件服務(wù)電子，存取應(yīng)用程序服務(wù)器220'，而應(yīng)用程序服務(wù)器220'獲得儲存安全網(wǎng)關(guān)服務(wù)器220提供的儲存功能。當(dāng)然，兩個主機是用來說明本發(fā)明，軟件定義網(wǎng)絡(luò)21實際上應(yīng)有很多數(shù)量的主機(或其它形式的節(jié)點)。第一硬盤231與第二硬盤232指定給郵件數(shù)據(jù)庫235，用來儲存來自第一主機260與第二主機270的電子郵件。這些數(shù)據(jù)依照儲存安全網(wǎng)關(guān)服務(wù)器220設(shè)定的原則，可能實體上儲存于第一硬盤231與第二硬盤232的特定卷中。例如，第一主機260指定給第一硬盤231的一第一卷，第二主機270指定給第二硬盤232的一第二卷。在儲存設(shè)備間傳輸?shù)拿恳粋€封包，將由儲存安全網(wǎng)關(guān)服務(wù)器220所監(jiān)視。

儲存安全網(wǎng)關(guān)服務(wù)器220進一步經(jīng)由一以太網(wǎng)連接線路21"連接到軟件定義網(wǎng)絡(luò)21，以便儲存安全網(wǎng)關(guān)服務(wù)器220能與數(shù)據(jù)庫監(jiān)視服務(wù)器210及軟件定義網(wǎng)絡(luò)控制服務(wù)器200溝通。當(dāng)然，儲存安全網(wǎng)關(guān)服務(wù)器220與軟件定義網(wǎng)絡(luò)控制服務(wù)器200之間的連接可經(jīng)應(yīng)用程序服務(wù)器220'而實現(xiàn)，視網(wǎng)絡(luò)的設(shè)計而定。同時，它能登錄應(yīng)用程序與數(shù)據(jù)庫運作，并儲存應(yīng)用程序與數(shù)據(jù)庫的運作，前述的應(yīng)用程序與數(shù)據(jù)庫(在此實施例中為 電子郵件活動)映像到軟件定義儲存設(shè)備。最好，儲存安全網(wǎng)關(guān)服務(wù)器220經(jīng)軟件定義網(wǎng)絡(luò)控制服務(wù)器200的可編程端口(屬于操作系統(tǒng)或一應(yīng)用程序服務(wù))與軟件定義網(wǎng)絡(luò)控制服務(wù)器200進行通訊。

非常重要的是儲存安全網(wǎng)關(guān)服務(wù)器220能提供一不正常信息給數(shù)據(jù)庫監(jiān)視服務(wù)器210，這不正常信息是由一事件所觸發(fā)。此處，事件可以由數(shù)據(jù)庫監(jiān)視服務(wù)器210與儲存安全網(wǎng)關(guān)服務(wù)器220之間的營運方針來界定。該營運方針定義發(fā)生于儲存設(shè)備中，任何不正常(或未授權(quán))的情況，前述的狀況無法由數(shù)據(jù)庫監(jiān)視服務(wù)器210藉"監(jiān)測"封包而偵測出，因此造成安全漏洞。比如，來自第一主機260的一未授權(quán)請求要求第二硬盤232進行數(shù)據(jù)復(fù)制、數(shù)據(jù)同步映像或數(shù)據(jù)刪除。實際上，這可能是一個用戶要獲取其它電子郵件服務(wù)，比如備份他的電子郵件或移除所有很久之前收發(fā)的電子郵件。雖然第一主機260被授權(quán)存取儲存安全網(wǎng)關(guān)服務(wù)器220，任何未授權(quán)命令或請求應(yīng)在它危及儲存設(shè)施230運作前被注意到。該事件也可能是要求存取一未許可證存儲設(shè)備的一個請求。比如，一未授權(quán)第三主機280想要存取固態(tài)硬盤233。此外，某些儲存設(shè)備間的預(yù)設(shè)動作，雖未被該營運方針允許，也能被視為該事件。比如，儲存設(shè)備制造商可能有提供他們儲存設(shè)備間相互數(shù)據(jù)備份的功能，比如，第二硬盤232與固態(tài)硬盤233相互備份數(shù)據(jù)。未定義數(shù)據(jù)流量發(fā)生在兩個儲存設(shè)備之間。未定義數(shù)據(jù)流量不僅存在于儲存設(shè)備之間，也可發(fā)生在儲存設(shè)施230中的一儲存設(shè)備與一外部儲存設(shè)備間，比如，固態(tài)硬盤233與一第四硬盤251之間。如果這樣的數(shù)據(jù)流量為儲存安全網(wǎng)關(guān)服務(wù)器220所發(fā)現(xiàn)，該不正常信息就應(yīng)該被觸發(fā)。

要強調(diào)的是在本實施例里，雖然只有一個儲存安全網(wǎng)關(guān)服務(wù)器220與一個儲存設(shè)施230使用于軟件定義網(wǎng)絡(luò)21中，事實上，對任何的軟件定義網(wǎng)絡(luò)來說，儲存設(shè)施的數(shù)量并不限定，數(shù)個儲存設(shè)施能同時在線運作并與數(shù)據(jù)庫監(jiān)視服務(wù)器210互動。此外，除了管理員，數(shù)據(jù)庫監(jiān)視服務(wù)器210也能通知儲存安全網(wǎng)關(guān)服務(wù)器220，來安排新的儲存設(shè)備組態(tài)給受該事件影響的一應(yīng)用程序或數(shù)據(jù)庫?；蛘?，依照該營運方針，儲存安全網(wǎng)關(guān)服務(wù)器220能自動安排儲存設(shè)備組態(tài)并接著反饋這改變給數(shù)據(jù)庫監(jiān)視服務(wù)器210。比如，郵件數(shù)據(jù)庫235的反應(yīng)時間超過其定義的時間，儲存安全網(wǎng)關(guān)服務(wù)器220將交換儲存設(shè)備，由第二硬盤232變成固態(tài)硬盤233，而第一硬盤231仍用于郵件數(shù)據(jù)庫235。

在實施例的一個例子中，儲存安全網(wǎng)關(guān)服務(wù)器220能進一步經(jīng)由一應(yīng)用程序服務(wù)器250，發(fā)送儲存設(shè)施230中改變的卷的記錄到一緩沖存儲設(shè)備，即第四硬盤251。事實上，緩沖存儲設(shè)備可以是任何連接到軟件定義網(wǎng)絡(luò)21的儲存設(shè)備，甚至是儲存安全網(wǎng)關(guān)服務(wù)器220內(nèi)的一個儲存設(shè)備或儲存設(shè)施230中任何可用的儲存設(shè)備。前述改變的卷由該上述界定的事件所導(dǎo)致，該記錄能被用于后續(xù)對該事件的分析。如果需要，該儲存安全網(wǎng)關(guān)服務(wù)器220可進行推回(rolling back)作業(yè)。那么，儲存安全網(wǎng)關(guān)服務(wù)器220可快取儲存設(shè)施230改變的卷的影像，用于之后數(shù)據(jù)庫的推回作業(yè)。為了實現(xiàn)這樣的目的，儲存安全網(wǎng)關(guān)服務(wù)器220可以提供應(yīng)用程序編程接口(API)，以與其它數(shù)據(jù)庫/應(yīng)用程序工具或模塊溝通，以保護整個儲存設(shè)施230。這樣的工具或模塊能幫助重建儲存的影像，并測試出其它那些儲存設(shè)施230內(nèi)的檔案或數(shù)據(jù)可能被非法存取。如果事件涉及 儲存安全嚴(yán)重的漏洞，儲存安全網(wǎng)關(guān)服務(wù)器220能在該不正常信息發(fā)出之前或之后，停止該事件的請求與該事件的處理流程。這樣能防止儲存設(shè)施230中的儲存設(shè)備受緊急事件的損害。

實際上，儲存安全模塊221可以是運行在儲存安全網(wǎng)關(guān)服務(wù)器220的應(yīng)用程序軟件，或者是一個硬設(shè)備，使儲存安全網(wǎng)關(guān)服務(wù)器220的功能分散到兩個機器中。也就是說，有兩個服務(wù)器連接到儲存設(shè)施230。一個用來運作儲存設(shè)施230及提供來自儲存設(shè)施230的服務(wù)(應(yīng)用程序或數(shù)據(jù)庫)，而另外一個負(fù)責(zé)儲存安全。

由以上描述可知，很明顯，儲存安全網(wǎng)關(guān)服務(wù)器220的儲存安全模塊221能由監(jiān)視儲存設(shè)施230中儲存設(shè)備的操作狀況，分擔(dān)傳統(tǒng)數(shù)據(jù)庫監(jiān)視服務(wù)器的工作負(fù)擔(dān)，而該多個儲存設(shè)備是傳統(tǒng)數(shù)據(jù)庫監(jiān)視服務(wù)器無法顧及的，從而就能篩選出安全漏洞的問題，達到儲存安全或網(wǎng)絡(luò)安全的目的。此外，數(shù)據(jù)庫監(jiān)視服務(wù)器210能持續(xù)接收封包，而安全漏洞問題的篩選工作分布到一個或多個儲存安全網(wǎng)關(guān)服務(wù)器220中。這使得架構(gòu)能順利運作，即使軟件定義網(wǎng)絡(luò)21變得越來越大，且更多的節(jié)點(比如主機)加入也不會影響結(jié)構(gòu)的順利運作。可擴展性不會是系統(tǒng)10的困難挑戰(zhàn)。

依照本發(fā)明的精神，數(shù)據(jù)庫監(jiān)視服務(wù)器210無須是一臺獨立的機器，它可以是在軟件定義網(wǎng)絡(luò)控制服務(wù)器操作系統(tǒng)中運作的軟件。在本實施例中，前述的架構(gòu)描述于圖4中，軟件定義網(wǎng)絡(luò)控制服務(wù)器的詳細(xì)解說繪示于圖5。使用圖2中相同的元件，一系統(tǒng)20a包含了一軟件定義網(wǎng)絡(luò)控制服務(wù)器201、該儲存安全網(wǎng)關(guān)服務(wù)器220及儲存設(shè)施230。儲存安全網(wǎng)關(guān)服務(wù) 器220與儲存設(shè)施230的功能及運作方式圖同前所述，無須重復(fù)說明。軟件定義網(wǎng)絡(luò)控制服務(wù)器201具有一數(shù)據(jù)庫監(jiān)視軟件。從而，軟件定義網(wǎng)絡(luò)控制服務(wù)器201不僅能管理軟件定義網(wǎng)絡(luò)21中的所有節(jié)點，也能接受軟件定義網(wǎng)絡(luò)21中傳輸?shù)姆獍?、登錄?shù)據(jù)庫或來自封包的應(yīng)用程序活動，并為了稽核與安全考慮，追蹤該數(shù)據(jù)庫或應(yīng)用程序活動。簡言之，軟件定義網(wǎng)絡(luò)控制服務(wù)器201合并了前一實施例中的軟件定義網(wǎng)絡(luò)控制服務(wù)器200與數(shù)據(jù)庫監(jiān)視服務(wù)器210。

本發(fā)明具有多個優(yōu)點。先前的數(shù)據(jù)庫效能調(diào)整工具偵測儲存設(shè)備的指令與響應(yīng)時間。數(shù)據(jù)庫管理員以經(jīng)驗并耗時費工分析登錄/追蹤資料后，手動嘗試重新分布數(shù)據(jù)記錄及/或儲存塊大小來增進其效能。而通過本發(fā)明新提出的架構(gòu)，儲存安全網(wǎng)關(guān)服務(wù)器與軟件定義網(wǎng)絡(luò)控制服務(wù)器進行通訊，并接收及分析結(jié)果。儲存安全網(wǎng)關(guān)服務(wù)器能基于該營運方針，自動執(zhí)行重新分布數(shù)據(jù)庫到不同的儲存層(諸如由硬盤到固態(tài)硬盤)或其它的運作中。該儲存安全網(wǎng)關(guān)服務(wù)器能備用作為QoS工具，以達成軟件定義儲存或軟件定義網(wǎng)絡(luò)的需求。此外，本發(fā)明可促使數(shù)據(jù)虛擬實現(xiàn)(整個系統(tǒng)影像或環(huán)境)。通過儲存安全網(wǎng)關(guān)服務(wù)器定義的軟件定義儲存與營運方針的快照功能，能于遇到問題的一個關(guān)注時間點，立即建構(gòu)數(shù)據(jù)虛擬實現(xiàn)，而不是僅對最新的系統(tǒng)環(huán)境與數(shù)據(jù)輸入進行推回作業(yè)。

雖然本發(fā)明已以實施方式揭露如上，然其并非用以限定本發(fā)明，任何所屬技術(shù)領(lǐng)域中具有通常知識者，在不脫離本發(fā)明的精神和范圍內(nèi)，當(dāng)可作些許之更動與潤飾，因此本發(fā)明的保護范圍當(dāng)視本案權(quán)利要求所界定為準(zhǔn)。