云安全服務(wù)的實(shí)現(xiàn)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,具體而言,涉及一種云安全服務(wù)的實(shí)現(xiàn)方法及系統(tǒng)。
【背景技術(shù)】
[0002]由于云計(jì)算涉及個(gè)人和企業(yè)運(yùn)算模式的改變,涉及個(gè)人和企業(yè)的敏感信息,因此云計(jì)算面臨的第一個(gè)重要問題就是安全問題。
[0003]在云計(jì)算環(huán)境下,除了面對(duì)傳統(tǒng)環(huán)境下的安全問題外,還有由于虛擬化以及數(shù)據(jù)的集中帶來的新的安全威脅。
[0004]傳統(tǒng)的安全防護(hù)設(shè)備(例如,網(wǎng)絡(luò)層的防火墻、IPS (Intrus1n Prevent1nSystem,入侵檢測(cè)系統(tǒng))、流量清洗設(shè)備,數(shù)據(jù)層的4A、UDS (Universal DistributeStorage,通用分布式存儲(chǔ))、殺毒軟件等)都屬于被動(dòng)防御型設(shè)備,這些傳統(tǒng)設(shè)備在云計(jì)算環(huán)境下很難相互協(xié)同提供智能化的安全服務(wù)。
[0005]目前業(yè)界針對(duì)云計(jì)算的安全問題一般有兩種處理方式:1、是傳統(tǒng)安全設(shè)備的虛擬化,虛擬化也包括兩種方案:(I)把傳統(tǒng)硬件的物理防火墻設(shè)備虛擬化為多個(gè)防火墻,讓虛擬出來的不同防火墻處理經(jīng)過防火墻的不同網(wǎng)段的數(shù)據(jù),這種方案的好處是防火墻的策略配置更加靈活;(2)把傳統(tǒng)硬件的物理防火墻改造成可以運(yùn)行在虛擬化軟件上的虛擬防火墻(軟件防火墻),這種虛擬防火墻可以更好地服務(wù)于虛擬機(jī),對(duì)于同一個(gè)物理機(jī)上虛擬的不同虛擬機(jī),需要設(shè)置不同的防火墻策略。2、建立云安全中心,通過把安全設(shè)備或者安全服務(wù)云化的方式對(duì)外提供安全服務(wù),這種方式需要在被服務(wù)的網(wǎng)絡(luò)出口處部署代理,通過代理來監(jiān)控被服務(wù)的網(wǎng)絡(luò)情況。
[0006]傳統(tǒng)安全設(shè)備的虛擬化解決了云計(jì)算虛擬化帶來的安全威脅,但是,只能適用于有虛擬機(jī)的場(chǎng)景中;傳統(tǒng)安全設(shè)備或者安全服務(wù)的云化解決了安全設(shè)備或者安全服務(wù)占用本地網(wǎng)絡(luò)和資源的問題,但是,通過在網(wǎng)絡(luò)出口處部署代理同時(shí)也給網(wǎng)絡(luò)帶來安全威脅。由此可見,這兩種方式由于適用場(chǎng)景受限或引入新的安全威脅并不能很好地解決云計(jì)算的安全問題。
[0007]針對(duì)相關(guān)技術(shù)中不能很好地解決云計(jì)算的安全威脅的問題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0008]本發(fā)明提供了一種云安全服務(wù)的實(shí)現(xiàn)方法及系統(tǒng),以至少解決相關(guān)技術(shù)中不能很好地解決云計(jì)算的安全威脅的問題。
[0009]根據(jù)本發(fā)明的一個(gè)方面,提供了一種云安全服務(wù)的實(shí)現(xiàn)方法,包括:安全中間件接收來自云安全運(yùn)營(yíng)中心的執(zhí)行消息,其中,安全中間件預(yù)置在安全引擎層,云安全運(yùn)營(yíng)中心預(yù)置在管理層;安全中間件根據(jù)執(zhí)行消息執(zhí)行相應(yīng)的動(dòng)態(tài)安全操作,得到執(zhí)行結(jié)果;安全中間件根據(jù)執(zhí)行結(jié)果對(duì)云安全策略進(jìn)行動(dòng)態(tài)調(diào)整。
[0010]優(yōu)選地,執(zhí)行消息包括:網(wǎng)絡(luò)掃描消息、或安全配置檢查消息。
[0011]優(yōu)選地,當(dāng)執(zhí)行消息為網(wǎng)絡(luò)掃描消息時(shí),云安全策略為網(wǎng)絡(luò)掃描策略;當(dāng)執(zhí)行消息為安全配置檢查消息,云安全策略為安全配置檢查策略。
[0012]優(yōu)選地,當(dāng)執(zhí)行消息為網(wǎng)絡(luò)掃描消息時(shí),安全中間件根據(jù)執(zhí)行消息執(zhí)行相應(yīng)的動(dòng)態(tài)安全操作,得到執(zhí)行結(jié)果,包括:安全中間件對(duì)網(wǎng)絡(luò)掃描消息進(jìn)行解析,根據(jù)分析后的網(wǎng)絡(luò)掃描消息調(diào)用相應(yīng)的網(wǎng)絡(luò)掃描器對(duì)現(xiàn)網(wǎng)進(jìn)行掃描,并接收網(wǎng)絡(luò)掃描器進(jìn)行掃描后得到的掃描報(bào)告;安全中間件根據(jù)執(zhí)行結(jié)果對(duì)云安全策略進(jìn)行動(dòng)態(tài)調(diào)整,包括:安全中間件根據(jù)現(xiàn)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和服務(wù)器的部署情況分析掃描報(bào)告中的漏洞情況,并根據(jù)漏洞情況對(duì)網(wǎng)絡(luò)掃描策略進(jìn)行調(diào)整。
[0013]優(yōu)選地,安全中間件根據(jù)漏洞情況對(duì)網(wǎng)絡(luò)掃描策略進(jìn)行調(diào)整,包括:在漏洞情況是掃描報(bào)告中存在SQl注入漏洞的情況下,安全中間件通過向WEB防火墻發(fā)送安全策略的方式,使WEB防火墻啟動(dòng)對(duì)應(yīng)于安全策略的安全功能,以對(duì)存在風(fēng)險(xiǎn)的WEB服務(wù)器進(jìn)行安全防護(hù),并接收WEB防火墻發(fā)送的防護(hù)日志。
[0014]優(yōu)選地,安全中間件根據(jù)漏洞情況對(duì)網(wǎng)絡(luò)掃描策略進(jìn)行調(diào)整,包括:在漏洞情況是掃描報(bào)告中存在多種漏洞,且多種漏洞中存在與服務(wù)器不相符的漏洞情況下,安全中間件啟動(dòng)多個(gè)網(wǎng)絡(luò)掃描器對(duì)與服務(wù)器不相符的漏洞繼續(xù)進(jìn)行掃描確認(rèn),并根據(jù)每個(gè)網(wǎng)絡(luò)掃描器反饋的掃描報(bào)告進(jìn)行匯總分析,提供對(duì)網(wǎng)絡(luò)掃描策略的調(diào)整建議。
[0015]優(yōu)選地,當(dāng)執(zhí)行消息為安全配置檢查消息時(shí),安全中間件根據(jù)執(zhí)行消息執(zhí)行相應(yīng)的動(dòng)態(tài)安全操作,得到執(zhí)行結(jié)果,包括:安全中間件協(xié)同安全檢查工具,根據(jù)安全配置檢查消息對(duì)云環(huán)境下的租戶主機(jī)進(jìn)行安全配置檢查,由安全檢查工具獲得安全配置檢查結(jié)果;安全中間件根據(jù)執(zhí)行結(jié)果對(duì)云安全策略進(jìn)行動(dòng)態(tài)調(diào)整,包括:安全中間件根據(jù)現(xiàn)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和服務(wù)器的部署情況對(duì)安全配置檢查結(jié)果進(jìn)行分析,并根據(jù)分析結(jié)果對(duì)安全配置檢查策略進(jìn)行調(diào)整。
[0016]優(yōu)選地,安全中間件根據(jù)分析結(jié)果對(duì)安全配置檢查策略進(jìn)行調(diào)整,包括:在服務(wù)器為特定服務(wù)器的情況下,安全中間件根據(jù)特定服務(wù)器的功能對(duì)特定服務(wù)器的配置繼續(xù)進(jìn)行檢查,其中,特定服務(wù)器為預(yù)定類型的服務(wù)器;在服務(wù)器為郵件服務(wù)器的情況下,安全中間件對(duì)郵件服務(wù)器的服務(wù)端口和參數(shù)配置繼續(xù)進(jìn)行檢查,并將檢查報(bào)告發(fā)送給郵件服務(wù)器;在分析結(jié)果中存在常用配置問題的情況下,向服務(wù)器下發(fā)安全加固策略以對(duì)服務(wù)器進(jìn)行安全加固操作。
[0017]根據(jù)本發(fā)明的另一方面,提供了一種云安全服務(wù)的實(shí)現(xiàn)系統(tǒng),包括:預(yù)置在安全引擎層中的安全中間件,和預(yù)置在管理層的云安全運(yùn)營(yíng)中心,其中,安全中間件包括:接收模塊,用于接收來自云安全運(yùn)營(yíng)中心的執(zhí)行消息;執(zhí)行模塊,用于根據(jù)執(zhí)行消息執(zhí)行相應(yīng)的動(dòng)態(tài)安全操作,得到執(zhí)行結(jié)果;調(diào)整模塊,用于根據(jù)執(zhí)行結(jié)果對(duì)云安全策略進(jìn)行動(dòng)態(tài)調(diào)整。
[0018]優(yōu)選地,執(zhí)行消息包括:網(wǎng)絡(luò)掃描消息、或安全配置檢查消息,其中,當(dāng)執(zhí)行消息為網(wǎng)絡(luò)掃描消息時(shí),云安全策略為網(wǎng)絡(luò)掃描策略;當(dāng)執(zhí)行消息為安全配置檢查消息,云安全策略為安全配置檢查策略。
[0019]通過本發(fā)明,采用預(yù)置在安全引擎層中的安全中間件和預(yù)置在管理層中的云安全運(yùn)營(yíng)中心進(jìn)行信息交互,從而實(shí)現(xiàn)云安全服務(wù)并可以對(duì)云安全策略進(jìn)行調(diào)整的方式,解決了相關(guān)技術(shù)中不能很好地解決云計(jì)算的安全威脅的問題,可以動(dòng)態(tài)調(diào)配安全設(shè)備或者安全服務(wù),進(jìn)而達(dá)到了提高在非人工干預(yù)的條件下迅速應(yīng)對(duì)安全威脅、處理安全事件的效率的效果。
【附圖說明】
[0020]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0021]圖1是根據(jù)本發(fā)明實(shí)施例的云安全服務(wù)的實(shí)現(xiàn)方法的流程圖;
[0022]圖2是根據(jù)本發(fā)明實(shí)施例的云安全服務(wù)的實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖;
[0023]圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的動(dòng)態(tài)云安全服務(wù)的實(shí)現(xiàn)系統(tǒng)的部署結(jié)構(gòu)示意圖;
[0024]圖4是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全中間件動(dòng)態(tài)擴(kuò)展的示意圖;
[0025]圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的調(diào)用網(wǎng)絡(luò)掃描主機(jī)并啟用web防火墻對(duì)有漏洞的服務(wù)器進(jìn)行防護(hù)的示意圖;
[0026]圖6是根據(jù)本發(fā)明優(yōu)選實(shí)施例的調(diào)用安全配置管理設(shè)備進(jìn)行檢查后再加固的示意圖。
【具體實(shí)施方式】
[0027]下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。
[0028]本發(fā)明實(shí)施例主要涉及云計(jì)算環(huán)境下的安全服務(wù)技術(shù),可以通過將現(xiàn)有的傳統(tǒng)安全設(shè)備組合在一起,以應(yīng)對(duì)云計(jì)算環(huán)境下的安全威脅。具體地,通過云安全中心集成現(xiàn)有的安全設(shè)備,通過安全中間件來屏蔽不同廠商不同安全設(shè)備之間的差異,以及通過安全中間件調(diào)用安全設(shè)備或者安全服務(wù),來實(shí)現(xiàn)動(dòng)態(tài)調(diào)配安全設(shè)備或者安全服務(wù),提供給云計(jì)算環(huán)境下租戶租用的主機(jī)或者網(wǎng)絡(luò)安全服務(wù),實(shí)現(xiàn)安全服務(wù)的按需分配。進(jìn)而,通過安全中間件動(dòng)態(tài)調(diào)配安全設(shè)備或者安全服務(wù),可以提高在非人工干預(yù)的條件下迅速應(yīng)對(duì)安全威脅、處理安全事件的效率。
[0029]本實(shí)施例提供了云安全服務(wù)的實(shí)現(xiàn)方法。圖1是根據(jù)本發(fā)明實(shí)施例的云安全服務(wù)的實(shí)現(xiàn)方法的流程圖,如圖1所示,該方法主要包括以下步驟(步驟S102-步驟S106):
[003