本發(fā)明屬于信息安全技術(shù)領(lǐng)域，具體涉及一種云資源池?cái)?shù)據(jù)安全檢測(cè)防護(hù)系統(tǒng)及其方法。

背景技術(shù)：

云資源池在系統(tǒng)組成方面與傳統(tǒng)平臺(tái)建設(shè)最主要的區(qū)別就是將資源虛擬化形成統(tǒng)一的資源池，簡(jiǎn)化資源的配置與管理，提高硬件的利用率，從而實(shí)現(xiàn)云計(jì)算的靈活性與彈性。虛擬層的引入使以訪問(wèn)控制為核心的安全防護(hù)體系與傳統(tǒng)的業(yè)務(wù)平臺(tái)建設(shè)防護(hù)體系有很大不同，除了包括傳統(tǒng)的主機(jī)安全、網(wǎng)絡(luò)安全等外，還需要包含云計(jì)算中特殊的虛擬化安全。

在云資源池中，CRM等多個(gè)業(yè)務(wù)系統(tǒng)主機(jī)保存了UIP日志、與CRM的交互日志，以及包含用戶信息、繳費(fèi)、信用度、外圍代收費(fèi)日志等關(guān)鍵敏感數(shù)據(jù)，部分主機(jī)還保存了業(yè)務(wù)系統(tǒng)更新前的最終程序代碼。目前對(duì)于云資源池環(huán)境的中敏感數(shù)據(jù)安全，沒(méi)有通過(guò)技術(shù)手段防護(hù)和監(jiān)控，對(duì)于敏感數(shù)據(jù)在虛擬資源池中的傳輸、存儲(chǔ)以及數(shù)據(jù)保護(hù)等，急需一套完整的建設(shè)方案來(lái)實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的安全防護(hù)和監(jiān)控。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問(wèn)題是通過(guò)對(duì)云資源池環(huán)境中敏感數(shù)據(jù)的管理與監(jiān)控，實(shí)現(xiàn)對(duì)云資源池敏感數(shù)據(jù)的各個(gè)生命周期的管理與監(jiān)控，避免非法人員通過(guò)技術(shù)手段獲取敏感數(shù)據(jù)，造成信息泄露等風(fēng)險(xiǎn)。

為解決上述問(wèn)題，本發(fā)明提供了一種云資源池?cái)?shù)據(jù)安全檢測(cè)方法，包括如下步驟：

S1：獲取制定的敏感數(shù)據(jù)；

S2：獲取從云資源池引流出的導(dǎo)出數(shù)據(jù)；

S3：掃描并識(shí)別導(dǎo)出數(shù)據(jù)中的敏感數(shù)據(jù)；

S4：建立敏感數(shù)據(jù)生命周期，對(duì)敏感數(shù)據(jù)進(jìn)行分級(jí)管理；

S5：抓取云資源環(huán)境中敏感數(shù)據(jù)宿主虛擬機(jī)，對(duì)其進(jìn)行流量監(jiān)管；

S6：分析敏感數(shù)據(jù)及敏感數(shù)據(jù)宿主虛擬機(jī)的異常操作行為，發(fā)出告警。

進(jìn)一步地，獲取S2中所述導(dǎo)出數(shù)據(jù)的步驟包括：

S201：實(shí)時(shí)抓取云資源池中的目標(biāo)數(shù)據(jù)；

S202：過(guò)濾抓取的目標(biāo)數(shù)據(jù)，并將數(shù)據(jù)轉(zhuǎn)發(fā)到指定虛擬機(jī)中的目標(biāo)位置。

進(jìn)一步地，所述S3具體包括如下步驟：

S301：掃描S202中所述目標(biāo)位置中的導(dǎo)出數(shù)據(jù)；

S302：識(shí)別導(dǎo)出數(shù)據(jù)中與S1中匹配的敏感數(shù)據(jù)，并入庫(kù)存儲(chǔ)；

S303：識(shí)別導(dǎo)出數(shù)據(jù)中與S1中不匹配的非敏感數(shù)據(jù)，對(duì)非敏感數(shù)據(jù)進(jìn)行銷毀標(biāo)簽標(biāo)識(shí)。

進(jìn)一步地，采用關(guān)鍵字、正則表達(dá)式、文件指紋或文件MD5識(shí)別導(dǎo)出數(shù)據(jù)中的敏感數(shù)據(jù)。

進(jìn)一步地，所述S303中標(biāo)有銷毀標(biāo)識(shí)的非敏感數(shù)據(jù)在虛擬機(jī)下線前通過(guò)擦除工具進(jìn)行刪除。實(shí)現(xiàn)了對(duì)虛擬機(jī)需要脫敏或銷毀的數(shù)據(jù)進(jìn)行標(biāo)簽化管理，實(shí)現(xiàn)格式化數(shù)據(jù)的庫(kù)內(nèi)和庫(kù)外脫敏

進(jìn)一步地，所述S4采用聚類算法對(duì)敏感數(shù)據(jù)進(jìn)行分級(jí)管理。

進(jìn)一步地，所述S5具體包括對(duì)敏感數(shù)據(jù)宿主虛擬機(jī)的傳輸通道監(jiān)控和網(wǎng)絡(luò)連接狀態(tài)，獲取敏感數(shù)據(jù)異常傳輸，具體步驟如下：

S501：識(shí)別、掃描敏感數(shù)據(jù)宿主虛擬機(jī)主機(jī)端口之間的數(shù)據(jù)傳輸，獲取敏感數(shù)據(jù)異常傳輸；

S502：監(jiān)控敏感數(shù)據(jù)所存放虛擬機(jī)主機(jī)的端口連接狀態(tài)，獲取異常端口連接信息；

S503：監(jiān)控敏感數(shù)據(jù)宿主虛擬機(jī)主機(jī)網(wǎng)絡(luò)連接狀態(tài)，獲取異常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。

另外，本發(fā)明還提供了一種云資源池敏感數(shù)據(jù)安全檢測(cè)系統(tǒng)，包括控制模塊、采集模塊、處理模塊、監(jiān)管模塊、審計(jì)模塊；

其中，所述控制模塊：用于定義敏感數(shù)據(jù)并下發(fā)至各個(gè)功能模塊；

所述采集模塊：用于將需要檢測(cè)的數(shù)據(jù)從云資源池中導(dǎo)出到物理安全設(shè)備中；

所述敏感數(shù)據(jù)監(jiān)管模塊：用于掃描所述采集模塊中的導(dǎo)出數(shù)據(jù)，識(shí)別導(dǎo)出數(shù)據(jù)中的敏感數(shù)據(jù)，并實(shí)現(xiàn)敏感數(shù)據(jù)的分級(jí)管理，并反饋至審計(jì)模塊；

所述安全流量監(jiān)控模塊：用于抓取云資源池中敏感數(shù)據(jù)宿主虛擬機(jī)，實(shí)時(shí)監(jiān)測(cè)敏感數(shù)據(jù)宿主虛擬機(jī)的流量，并反饋至審計(jì)模塊；

所述審計(jì)模塊：用于接收各個(gè)模塊反饋的信息，分析敏感數(shù)據(jù)及敏感數(shù)據(jù)宿主虛擬機(jī)的異常操作行為，發(fā)出告警。

進(jìn)一步地，所述采集模塊包括虛擬導(dǎo)流機(jī)和SDN交換機(jī)；

其中，所述虛擬導(dǎo)流機(jī)導(dǎo)出云資源池中的目標(biāo)數(shù)據(jù)至SDN交換機(jī)，所述SDN交換機(jī)將目標(biāo)數(shù)據(jù)轉(zhuǎn)發(fā)到指定目標(biāo)位置。通過(guò)虛擬導(dǎo)流機(jī)將需要監(jiān)控的數(shù)據(jù)從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備中，具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來(lái)處理。這種方式對(duì)業(yè)務(wù)和網(wǎng)絡(luò)影響小，用物理安全設(shè)備處理安全業(yè)務(wù)可以獲取極高的性能，使得虛擬導(dǎo)流機(jī)的處理邏輯變得很簡(jiǎn)單，只需要占用少量的虛擬化資源即可。

進(jìn)一步地，所述敏感數(shù)據(jù)管理模塊包括掃描組件、識(shí)別組件、擦除組件、分級(jí)組件；

所述掃描組件：用于掃描所述采集模塊中的數(shù)據(jù)；

所述識(shí)別組件：用于識(shí)別掃描后數(shù)據(jù)中的敏感數(shù)據(jù)和非敏感數(shù)據(jù)；

所述擦除組件：用于擦除非敏感數(shù)據(jù)；

所述分級(jí)組件：用于將識(shí)別出的不同級(jí)別敏感數(shù)據(jù)進(jìn)行分級(jí)管理。

進(jìn)一步地，所述分級(jí)組件采用聚類算法對(duì)不同敏感數(shù)據(jù)進(jìn)行分級(jí)管理。

進(jìn)一步地，所述安全流量監(jiān)控模塊包括主機(jī)端口監(jiān)控模塊、傳輸通道監(jiān)控模塊、主機(jī)互聯(lián)關(guān)系模塊；

其中，所述主機(jī)端口監(jiān)控模塊：用于監(jiān)控敏感數(shù)據(jù)宿主虛擬機(jī)主機(jī)端口連接狀態(tài)；

所述傳輸通道監(jiān)控模塊：用于監(jiān)控敏感數(shù)據(jù)宿主虛擬機(jī)端口之間的數(shù)據(jù)傳輸狀態(tài)；

所述主機(jī)互聯(lián)關(guān)系模塊：用于監(jiān)控敏感數(shù)據(jù)虛擬機(jī)主機(jī)網(wǎng)絡(luò)連接狀態(tài)。

進(jìn)一步地，所述審計(jì)模塊包括接收模塊、分析模塊；

其中，所述接收模塊：用于接收各個(gè)功能模塊的反饋信息；

所述分析模塊：用于分析反饋信息中的異常行為，并進(jìn)行告警。

本發(fā)明與現(xiàn)有技術(shù)相比，具有如下的優(yōu)點(diǎn)和有益效果：

1、本發(fā)明具有良好的可擴(kuò)展性，具備靈活的體系框架；

2、本發(fā)明實(shí)現(xiàn)了云資源池環(huán)境下網(wǎng)絡(luò)層與主機(jī)層全生命周期敏感數(shù)據(jù)的識(shí)別；

3、本發(fā)明實(shí)現(xiàn)了對(duì)敏感數(shù)據(jù)的分級(jí)、分類管理，對(duì)敏感數(shù)據(jù)的狀態(tài)進(jìn)行監(jiān)控與管理，展示各個(gè)生命周期場(chǎng)景下的敏感數(shù)據(jù)分布和狀態(tài)；

4、本發(fā)明對(duì)虛擬機(jī)需要脫敏或銷毀的數(shù)據(jù)進(jìn)行標(biāo)簽化管理，實(shí)現(xiàn)格式化數(shù)據(jù)的庫(kù)內(nèi)和庫(kù)外脫敏；

5、本發(fā)明實(shí)現(xiàn)了云資源池環(huán)境下的流量監(jiān)控，對(duì)云資源池中的所有虛擬主機(jī)，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的傳輸、訪問(wèn)、通道端口連接的實(shí)時(shí)狀態(tài)監(jiān)控，對(duì)敏感數(shù)據(jù)宿主虛擬機(jī)的端口和業(yè)務(wù)信息流監(jiān)控，發(fā)現(xiàn)異常和違規(guī)行為。

附圖說(shuō)明

此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明實(shí)施例的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。在附圖中：

圖1為本發(fā)明的方法流程框圖；

圖2為本發(fā)明的系統(tǒng)框圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，下面結(jié)合實(shí)施例和附圖，對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明，本發(fā)明的示意性實(shí)施方式及其說(shuō)明僅用于解釋本發(fā)明，并不作為對(duì)本發(fā)明的限定。

在云資源池中，虛擬主機(jī)使用共享資源動(dòng)態(tài)生成，存在共享前數(shù)據(jù)未被擦除，數(shù)據(jù)未加密傳輸，通過(guò)數(shù)據(jù)監(jiān)聽、恢復(fù)技術(shù)泄露敏感數(shù)據(jù)的可能。實(shí)現(xiàn)對(duì)云計(jì)算環(huán)境下域內(nèi)及跨域虛擬機(jī)業(yè)務(wù)數(shù)據(jù)調(diào)取傳輸以及遷移過(guò)程中各類敏感數(shù)據(jù)的創(chuàng)建、生產(chǎn)、使用、銷毀等各環(huán)節(jié)的全生命周期安全管控。監(jiān)控處于數(shù)據(jù)生命周期各環(huán)節(jié)的各虛擬機(jī)傳輸過(guò)程和存儲(chǔ)涉及哪類敏感數(shù)據(jù)；對(duì)敏感數(shù)據(jù)傳輸、分類，并給虛擬機(jī)打上需要銷毀的標(biāo)簽，可靠擦除，避免虛擬機(jī)被共享后數(shù)據(jù)恢復(fù)。同時(shí)，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)宿主虛擬機(jī)的傳輸實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)異常和違規(guī)行為，避免違規(guī)或非法人員通過(guò)網(wǎng)絡(luò)訪問(wèn)、隱蔽通道、非常規(guī)端口等方式盜取敏感數(shù)據(jù)。

如圖1所示，本發(fā)明提供了一種云資源池?cái)?shù)據(jù)安全檢測(cè)方法，包括如下步驟：

步驟S1：獲取制定的敏感數(shù)據(jù)；

根據(jù)業(yè)務(wù)需求按照數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容制定敏感數(shù)據(jù)及敏感數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)，如按照敏感性程度分為一級(jí)、二級(jí)等不同等級(jí)；按照安全屬性分為非常重要、重要等不同等級(jí)；按照安全級(jí)別分為嚴(yán)格受限、機(jī)密信息、內(nèi)部信息、限制級(jí)、涉及隱私、授權(quán)級(jí)、保密級(jí)等不同級(jí)別。

S2：獲取從云資源池引流出的導(dǎo)出數(shù)據(jù)；

采用通過(guò)虛擬導(dǎo)流機(jī)將需要監(jiān)控的流量從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備的原理，將具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來(lái)處理。這種方式對(duì)用戶業(yè)務(wù)和網(wǎng)絡(luò)影響?。挥梦锢戆踩O(shè)備處理安全業(yè)務(wù)可以獲取極高的性能，使得虛擬導(dǎo)流系統(tǒng)的處理邏輯變得很簡(jiǎn)單，只需要占用少量的虛擬化資源即可。

根據(jù)此原理，通過(guò)S201：實(shí)時(shí)抓取云資源池中的目標(biāo)數(shù)據(jù)；S202過(guò)濾抓取的目標(biāo)數(shù)據(jù)，并將數(shù)據(jù)轉(zhuǎn)發(fā)到指定虛擬機(jī)中的目標(biāo)位置，實(shí)現(xiàn)從元資源池引流出導(dǎo)出數(shù)據(jù)。

S3：掃描并識(shí)別導(dǎo)出數(shù)據(jù)中的敏感數(shù)據(jù)；

通過(guò)S301：掃描S202中所述目標(biāo)位置中的導(dǎo)出數(shù)據(jù)；S302：識(shí)別導(dǎo)出數(shù)據(jù)中與S1中匹配的敏感數(shù)據(jù)，并入庫(kù)存儲(chǔ)；S303：識(shí)別導(dǎo)出數(shù)據(jù)中與S1中不匹配的非敏感數(shù)據(jù)，對(duì)非敏感數(shù)據(jù)進(jìn)行銷毀標(biāo)簽標(biāo)識(shí)。

對(duì)現(xiàn)有云資源池虛擬主機(jī)模板變更，嵌入敏感數(shù)據(jù)掃描賬號(hào)進(jìn)行自動(dòng)發(fā)現(xiàn)新增、新建的虛擬主機(jī)。通過(guò)掃描策略進(jìn)行敏感數(shù)據(jù)掃描，敏感數(shù)據(jù)掃描通過(guò)agent進(jìn)行掃描，agent客戶端在電腦上靜默安裝，并以“旁觀者”的方式觀察和記錄員工對(duì)電腦、文件、軟件的使用操作，并發(fā)送到服務(wù)端；服務(wù)端通過(guò)多種方式(文件簽名、敏感詞識(shí)別與權(quán)重分析、正則表達(dá)式過(guò)濾)識(shí)別敏感機(jī)密信息，并入庫(kù)存檔；服務(wù)端通過(guò)數(shù)據(jù)匯總與分析，得出人員、文件、安全事件這三個(gè)維度的趨勢(shì)，并通過(guò)相應(yīng)的安全策略定義，對(duì)用戶的操作進(jìn)行識(shí)別，從而確認(rèn)是否存在泄密風(fēng)險(xiǎn)。敏感數(shù)據(jù)涉密識(shí)別技術(shù)采用關(guān)鍵字、正則表達(dá)式、文件指紋、文件MD5對(duì)敏感文件進(jìn)行識(shí)別。

云資源池虛擬機(jī)之間共享數(shù)據(jù)時(shí)導(dǎo)致敏感信息泄露，通過(guò)敏感信息識(shí)別技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)的脫敏、銷毀以及標(biāo)簽化管理。從而實(shí)現(xiàn)虛擬數(shù)據(jù)的可靠“零”擦除。為防止虛擬機(jī)在下線后被恢復(fù)或共享訪問(wèn)引起的數(shù)據(jù)泄露，利用存儲(chǔ)層敏感數(shù)據(jù)管控模塊對(duì)已識(shí)別信息進(jìn)行擦除操作，提升恢復(fù)的技術(shù)難度，并對(duì)虛擬機(jī)的后續(xù)狀態(tài)進(jìn)行監(jiān)控和跟蹤。

S4：建立敏感數(shù)據(jù)生命周期，對(duì)敏感數(shù)據(jù)進(jìn)行分級(jí)管理；

敏感數(shù)據(jù)發(fā)現(xiàn)與分級(jí)采用高效的聚類算法，針對(duì)敏感數(shù)據(jù)可以進(jìn)行分級(jí)、分類管理，不同密級(jí)的文檔觸發(fā)不同事件動(dòng)作。結(jié)合敏感數(shù)據(jù)資產(chǎn)生命周期場(chǎng)景可以呈現(xiàn)出各個(gè)階段的敏感文件或敏感數(shù)據(jù)狀態(tài)。

S5：抓取云資源環(huán)境中敏感數(shù)據(jù)宿主虛擬機(jī)，對(duì)其進(jìn)行流量監(jiān)管；

通過(guò)S501：識(shí)別、掃描敏感數(shù)據(jù)宿主虛擬機(jī)主機(jī)端口之間的數(shù)據(jù)傳輸，獲取敏感數(shù)據(jù)異常傳輸；S502：監(jiān)控敏感數(shù)據(jù)所存放虛擬機(jī)主機(jī)的端口連接狀態(tài)，獲取異常端口連接信息；S503：監(jiān)控敏感數(shù)據(jù)宿主虛擬機(jī)主機(jī)網(wǎng)絡(luò)連接狀態(tài)，獲取異常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。

通過(guò)對(duì)虛擬導(dǎo)流器引流出來(lái)的流量，抓取云資源池環(huán)境中敏感數(shù)據(jù)宿主虛擬機(jī)，在安全域內(nèi)部各子域、安全域與其它企業(yè)自有安全域的數(shù)據(jù)交互、傳輸、業(yè)務(wù)信息流，形成可視化的互連關(guān)系視圖。實(shí)現(xiàn)虛擬機(jī)的發(fā)現(xiàn)和實(shí)時(shí)流量監(jiān)測(cè)，同時(shí)結(jié)合APT和合規(guī)思路，及時(shí)發(fā)現(xiàn)不合規(guī)的連接行為，保障主機(jī)安全。

S6：分析敏感數(shù)據(jù)及敏感數(shù)據(jù)宿主虛擬機(jī)的異常操作行為，發(fā)出告警。

按照敏感數(shù)據(jù)的場(chǎng)景對(duì)存儲(chǔ)敏感數(shù)據(jù)的虛擬設(shè)備進(jìn)行網(wǎng)絡(luò)流量和數(shù)據(jù)庫(kù)的監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)對(duì)敏感數(shù)據(jù)的異常操作行為。系統(tǒng)實(shí)時(shí)或周期性監(jiān)控云資源池內(nèi)敏感信息在存儲(chǔ)層即網(wǎng)絡(luò)層的訪問(wèn)及變更情況，與生命周期模型進(jìn)行對(duì)比分析，識(shí)別數(shù)據(jù)安全事件。數(shù)據(jù)安全事件將通過(guò)告警或工單方式與SMP或EOMS進(jìn)行對(duì)接及時(shí)保護(hù)數(shù)據(jù)資產(chǎn)，防范數(shù)據(jù)泄露。

另外，如圖2所示，本發(fā)明還提供了一種云資源池敏感數(shù)據(jù)安全檢測(cè)系統(tǒng)，包括控制模塊、采集模塊、處理模塊、監(jiān)管模塊、審計(jì)模塊。

其中，控制模塊用于定義敏感數(shù)據(jù)并下發(fā)至各個(gè)功能模塊，根據(jù)業(yè)務(wù)需求按照數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容制定敏感數(shù)據(jù)及敏感數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)。

采集模塊用于將需要檢測(cè)的數(shù)據(jù)從云資源池中導(dǎo)出到物理安全設(shè)備中，包括虛擬導(dǎo)流機(jī)和SDN交換機(jī)。虛擬導(dǎo)流機(jī)導(dǎo)出云資源池中的目標(biāo)數(shù)據(jù)至SDN交換機(jī)，所述SDN交換機(jī)將目標(biāo)數(shù)據(jù)轉(zhuǎn)發(fā)到指定目標(biāo)位置。通過(guò)虛擬導(dǎo)流機(jī)將需要監(jiān)控的數(shù)據(jù)從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備中，具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來(lái)處理。這種方式對(duì)業(yè)務(wù)和網(wǎng)絡(luò)影響小，用物理安全設(shè)備處理安全業(yè)務(wù)可以獲取極高的性能，使得虛擬導(dǎo)流機(jī)的處理邏輯變得很簡(jiǎn)單，只需要占用少量的虛擬化資源即可。

敏感數(shù)據(jù)監(jiān)管模塊用于掃描所述采集模塊中的導(dǎo)出數(shù)據(jù)，識(shí)別導(dǎo)出數(shù)據(jù)中的敏感數(shù)據(jù)，并實(shí)現(xiàn)敏感數(shù)據(jù)的分級(jí)管理，并反饋至審計(jì)模塊；包括掃描組件、識(shí)別組件、擦除組件、分級(jí)組件。掃描組件用于掃描所述采集模塊中的數(shù)據(jù)；識(shí)別組件用于識(shí)別掃描后數(shù)據(jù)中的敏感數(shù)據(jù)和非敏感數(shù)據(jù)；擦除組件用于擦除非敏感數(shù)據(jù)；分級(jí)組件采用聚類算法將識(shí)別出的不同級(jí)別敏感數(shù)據(jù)進(jìn)行分級(jí)管理。

安全流量監(jiān)控模塊用于抓取云資源池中敏感數(shù)據(jù)宿主虛擬機(jī)，實(shí)時(shí)監(jiān)測(cè)敏感數(shù)據(jù)宿主虛擬機(jī)的流量，并反饋至審計(jì)模塊。安全流量監(jiān)控模塊包括主機(jī)端口監(jiān)控模塊、傳輸通道監(jiān)控模塊、主機(jī)互聯(lián)關(guān)系模塊。其中，主機(jī)端口監(jiān)控模塊：用于監(jiān)控敏感數(shù)據(jù)宿主虛擬機(jī)主機(jī)端口連接狀態(tài)；傳輸通道監(jiān)控模塊：用于監(jiān)控敏感數(shù)據(jù)宿主虛擬機(jī)端口之間的數(shù)據(jù)傳輸狀態(tài)；主機(jī)互聯(lián)關(guān)系模塊：用于監(jiān)控敏感數(shù)據(jù)虛擬機(jī)主機(jī)網(wǎng)絡(luò)連接狀態(tài)。

審計(jì)模塊：用于接收各個(gè)模塊反饋的信息，分析敏感數(shù)據(jù)及敏感數(shù)據(jù)宿主虛擬機(jī)的異常操作行為，發(fā)出告警。審計(jì)模塊包括接收模塊、分析模塊。其中，所述接收模塊用于接收各個(gè)功能模塊的反饋信息；分析模塊用于分析反饋信息中的異常行為，并進(jìn)行告警。

本發(fā)明通過(guò)對(duì)敏感數(shù)據(jù)的管理與監(jiān)控，實(shí)現(xiàn)對(duì)云資源池敏感數(shù)據(jù)的各個(gè)生命周期的管理與監(jiān)控，保護(hù)敏感數(shù)據(jù)非法外泄，對(duì)可以外發(fā)和敏感數(shù)據(jù)的訪問(wèn)操作行為，實(shí)現(xiàn)即時(shí)審計(jì)監(jiān)控、報(bào)警和阻斷。通過(guò)掃描識(shí)別技術(shù)對(duì)云資源池敏感數(shù)據(jù)的識(shí)別與標(biāo)識(shí)，建立全生命周期監(jiān)控管理模型；實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的分級(jí)、分類管理，對(duì)敏感數(shù)據(jù)的狀態(tài)進(jìn)行監(jiān)控與管理，展示各個(gè)生命周期場(chǎng)景下的敏感數(shù)據(jù)分布和狀態(tài)；對(duì)虛擬機(jī)需要脫敏或銷毀的數(shù)據(jù)進(jìn)行標(biāo)簽化管理，實(shí)現(xiàn)格式化數(shù)據(jù)的庫(kù)內(nèi)和庫(kù)外脫敏；實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)宿主虛擬機(jī)的互聯(lián)狀態(tài)和傳輸通道監(jiān)控，實(shí)施發(fā)現(xiàn)是否非法外聯(lián)傳輸敏感數(shù)據(jù)；實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)宿主虛擬機(jī)的端口和業(yè)務(wù)信息流監(jiān)控，發(fā)現(xiàn)異常和違規(guī)行為。

以上所述的具體實(shí)施方式，對(duì)本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明，所應(yīng)理解的是，以上所述僅為本發(fā)明的具體實(shí)施方式而已，并不用于限定本發(fā)明的保護(hù)范圍，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。