技術(shù)領(lǐng)域

本發(fā)明涉及云計(jì)算技術(shù)領(lǐng)域，特別是涉及一種基于云環(huán)境的網(wǎng)絡(luò)安全系統(tǒng)。

背景技術(shù)

隨著信息科技的發(fā)展，云計(jì)算逐步成為業(yè)界的發(fā)展熱點(diǎn)，國(guó)內(nèi)外各大廠商的云計(jì)算服務(wù)平臺(tái)也開(kāi)始紛紛投入到科學(xué)、教育、文化、衛(wèi)生、政府、高性能計(jì)算、電子商務(wù)、物聯(lián)網(wǎng)等多個(gè)領(lǐng)域進(jìn)行使用。

云計(jì)算最大的風(fēng)險(xiǎn)之一源于其性質(zhì)：它允許數(shù)據(jù)被傳送和保存在幾乎任何地方，甚至分開(kāi)保存在世界的不同位置。隨著云計(jì)算技術(shù)的成熟，云計(jì)算的安全問(wèn)題日益受到關(guān)注。使用云計(jì)算的企業(yè)必須認(rèn)真對(duì)待數(shù)據(jù)隱私性及網(wǎng)絡(luò)安全性問(wèn)題，對(duì)云計(jì)算發(fā)揮作用的時(shí)間、地點(diǎn)以及所產(chǎn)生的風(fēng)險(xiǎn)加以評(píng)估。雖然各安全廠商提出各式各樣的安全產(chǎn)品，但目前并沒(méi)有形成成熟的整體化云安全方案。

因此，為了更加充分地發(fā)揮云計(jì)算及虛擬化的優(yōu)勢(shì)，更好的保護(hù)云化環(huán)境的安全，標(biāo)準(zhǔn)化云計(jì)算環(huán)境的安全體系架構(gòu)，如何提供一種易開(kāi)發(fā)、易擴(kuò)展、易維護(hù)的云環(huán)境網(wǎng)絡(luò)安全系統(tǒng)，是本領(lǐng)域技術(shù)人員目前需要解決的技術(shù)問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于云環(huán)境的網(wǎng)絡(luò)安全系統(tǒng)，可以更加充分地發(fā)揮云計(jì)算及虛擬化的優(yōu)勢(shì)，更好的保護(hù)云化環(huán)境的安全，標(biāo)準(zhǔn)化云計(jì)算環(huán)境的安全體系架構(gòu)，且使得安全體系架構(gòu)易開(kāi)發(fā)、易擴(kuò)展、易維護(hù)。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了如下技術(shù)方案：

一種基于云環(huán)境的網(wǎng)絡(luò)安全系統(tǒng)，包括：

云外管控模塊，用于將預(yù)設(shè)的安全組件以虛擬機(jī)的形式部署在目標(biāo)云環(huán)境的邊界，對(duì)外界的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行安全檢測(cè)；

云中防護(hù)模塊，用于對(duì)所述目標(biāo)云環(huán)境的內(nèi)部安全進(jìn)行監(jiān)測(cè)和控制；

云內(nèi)加固模塊，用于對(duì)所述目標(biāo)云環(huán)境內(nèi)的虛擬主機(jī)進(jìn)行殺毒防護(hù)和加固。

優(yōu)選地，所述云外管控模塊包括：虛擬防火墻單元，用于構(gòu)造網(wǎng)絡(luò)層保護(hù)屏障，進(jìn)行區(qū)域隔離和制定訪(fǎng)問(wèn)控制規(guī)則，界定不同的訪(fǎng)問(wèn)請(qǐng)求是否符合安全要求，并隔離不同區(qū)域的安全風(fēng)險(xiǎn)。

優(yōu)選地，所述云外管控模塊還包括：IPS單元，用于對(duì)所述目標(biāo)云環(huán)境進(jìn)行漏洞攻擊以及入侵行為檢測(cè)。

優(yōu)選地，所述云外管控模塊還包括：VPN單元，用于根據(jù)不同用戶(hù)的身份向各訪(fǎng)問(wèn)用戶(hù)進(jìn)行對(duì)應(yīng)的訪(fǎng)問(wèn)授權(quán)。

優(yōu)選地，所述云中防護(hù)模塊包括：隔離監(jiān)控單元，用于對(duì)所述目標(biāo)云環(huán)境內(nèi)的虛擬機(jī)進(jìn)行東西向流量的監(jiān)測(cè)分析，并同步輸出監(jiān)測(cè)日志和報(bào)表。

優(yōu)選地，所述云中防護(hù)模塊還包括：堡壘機(jī)單元，用于對(duì)訪(fǎng)問(wèn)所述目標(biāo)云環(huán)境的用戶(hù)進(jìn)行認(rèn)證，并對(duì)用戶(hù)的訪(fǎng)問(wèn)過(guò)程進(jìn)行日記記錄以及管理日志和服務(wù)日志的核查審計(jì)。

優(yōu)選地，所述云中防護(hù)模塊還包括：數(shù)據(jù)加密單元，用于對(duì)所述目標(biāo)云環(huán)境和外界用戶(hù)的交互數(shù)據(jù)進(jìn)行加密；數(shù)據(jù)備份單元，用于對(duì)所述目標(biāo)云環(huán)境中的數(shù)據(jù)進(jìn)行容災(zāi)備份。

優(yōu)選地，所述云內(nèi)加固模塊包括：殺毒單元，用于對(duì)所述目標(biāo)云環(huán)境中的虛擬機(jī)的操作系統(tǒng)進(jìn)行病毒查殺掃描和安全防護(hù)；可信計(jì)算單元，用于構(gòu)建可信計(jì)算池資源和可信虛擬機(jī)系統(tǒng)；加固單元，用于建立關(guān)于所述目標(biāo)云環(huán)境內(nèi)的虛擬機(jī)的正常以及異常行為的模型，以識(shí)別各所述虛擬機(jī)端點(diǎn)的安全威脅，并對(duì)攻擊進(jìn)行響應(yīng)。

與現(xiàn)有技術(shù)相比，上述技術(shù)方案具有以下優(yōu)點(diǎn)：

本發(fā)明所提供的一種基于云環(huán)境的網(wǎng)絡(luò)安全系統(tǒng)，包括：云外管控模塊，用于將預(yù)設(shè)的安全組件以虛擬機(jī)的形式部署在目標(biāo)云環(huán)境的邊界，對(duì)外界的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行安全檢測(cè)；云中防護(hù)模塊，用于對(duì)目標(biāo)云環(huán)境的內(nèi)部安全進(jìn)行監(jiān)測(cè)和控制；云內(nèi)加固模塊，用于對(duì)目標(biāo)云環(huán)境內(nèi)的虛擬主機(jī)進(jìn)行殺毒防護(hù)和加固。在本技術(shù)方案中，綜合考慮了云計(jì)算的應(yīng)用環(huán)境，充分發(fā)揮虛擬化的特點(diǎn)，以虛擬安全組件的形式，整體管控內(nèi)、外、中部云化環(huán)境，為云計(jì)算環(huán)境提供安全保障支持。其中，云外管控實(shí)現(xiàn)云環(huán)境外部的安全控制，為云環(huán)境到互聯(lián)網(wǎng)環(huán)境之間提供雙向防護(hù)；云中防護(hù)實(shí)現(xiàn)云化環(huán)境內(nèi)部各類(lèi)資源間的防護(hù)；云內(nèi)加固實(shí)現(xiàn)虛擬機(jī)自身的安全防護(hù)，保護(hù)云化業(yè)務(wù)應(yīng)用的安全性。可以更加充分地發(fā)揮云計(jì)算及虛擬化的優(yōu)勢(shì)，更好的保護(hù)云化環(huán)境的安全，標(biāo)準(zhǔn)化云計(jì)算環(huán)境的安全體系架構(gòu)，且使得安全體系架構(gòu)易開(kāi)發(fā)、易擴(kuò)展、易維護(hù)。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種具體實(shí)施方式所提供的基于云環(huán)境的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)示意圖。

具體實(shí)施方式