具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明并不限于下面公开的具体实施例的限制。
图1是根据本发明的一个实施例的基于云计算的服务管理系统的框图。
如图1所示,本发明提供一种基于云计算的服务管理系统100,包括:安全对象实体装置102,包括安全单元和安全对象实体,安全单元上设置有安全管理权限,其中,每个安全对象实体从属于相应的安全单元;数据库管理装置104,保存安全单元的信息、安全对象实体的信息;服务器实体装置106,包括控制中心和升级服务器集群,控制中心根据来自数据库管理装置104的安全单元的信息、安全对象实体的信息,在安全对象实体装置102中查找出需求服务的安全对象实体和其从属安全单元,并在服务管理系统的管理员满足从属安全单元的安全管理权限时,从升级服务器集群中调用升级服务器为需求服务的安全对象实体提供服务。在该技术方案中,所提供服务包括但不限于安全服务,安全对象实体包括但不限于个人计算机等终端,根据该技术方案,能够调度整个网络内的安全资源为所有的终端提供网络安全防护。
在上述技术方案中,还包括:平衡服务器,获取升级服务器集群的实体信息,以用于判断升级服务器集群的负载情况;数据库管理装置104还存储升级服务器集群的实体信息,控制中心根据升级服务器集群的实体信息来调用升级服务器,以保证升级服务器的负载在预定范围内。
在上述技术方案中,平衡服务器还获取升级服务器集群的状态信息,以用于判断升级服务器集群是否出现异常;数据库管理装置104还存储升级服务器集群的状态信息,控制中心根据升级服务器集群的状态信息来调用升级服务器,以保证升级服务器未出现异常。
在上述技术方案中,平衡服务器还获取升级服务器集群的动态配置信息,管理员还通过控制中心修改升级服务器集群中任一升级服务器的动态配置信息。
在上述技术方案中,安全单元的信息包括安全单元的标识信息,控制中心根据安全单元的标识信息,查找出从属安全单元。
在上述技术方案中,安全单元的信息包括为安全单元指定的服务器的信息,控制中心根据为从属安全单元指定的升级服务器的信息,优先选择指定的升级服务器作为提供服务的升级服务器。
在上述技术方案中,安全对象实体的信息包括安全对象实体的计算机信息,以用于判断安全对象实体上运行的服务的状态;控制中心根据安全对象实体的计算机信息,查找出需求服务的安全对象实体。
在上述技术方案中,安全对象实体的信息包括安全对象实体的中毒信息,以用于判断安全对象实体的中毒情况;控制中心根据安全对象实体的中毒信息,查找出需求服务的安全对象实体。
在上述技术方案中,服务器实体装置106还包括:安全辅助服务器,与安全对象实体建立通信通道,以收集安全对象实体的中毒信息,并储存至安全对象实体装置。
在上述技术方案中,控制中心通过安全辅助服务器,收集每个安全单元下的安全对象实体的信息。
图2是根据本发明的一个实施例的基于云计算的服务管理系统的示意图。
如图2所示,是一个基于云计算的服务管理系统的示意图。
首先,对以下概念进行解释:
1、安全单元:
是指安全管理抽象和概念化的最小单位,它可以由一个或多个安全单元再组合成一个更大的安全单元,它可以同时属于多个安全单元;把安全单元看成一个节点,所有的节点按照这样的归属关系最终形成了一个层次关系,越上层的节点包含的子安全单元个数越多,越下层的节点则越少,安全单元之间的从属关系可以入图3所示;
2、安全管理权限:
指的是将一个或多个安全单元作为一个管理单元,并给该管理单位定义一个名称和访问密码,具有该名称和访问密码的用户就是管理员,该管理员也就具备了管理这个管理单位里所有安全单元及安全实体的能力;任何一个节点都可以定义一个权限,具备该权限的管理员可以访问和管理该节点及归属它的所以子节点;
3、安全实体对象:
它是安全保护抽象和概念化的最小单位,是最小的保护颗粒,是具体的保护单位,它必须处于具体的某个安全单元,它有且仅能属于具体的某个安全单元。安全实体对象的特征是具备基本的硬件设施和操作系统并装有本实施例的服务管理系统或具备安全管理权限的个人PC计算机,该PC计算机可以与外部实现正常的网络通信。它是安全管理和安全保护的实际对象,是以单个个体存在的。
本实施例的服务管理系统200包括:
数据管理域202:该域用于存储所有安全管理对象信息、安全服务对象信息、安全实体对象信息以及其它额外的安全信息,它由一定数量的安全存储设备和安全存储设施如硬盘、磁盘、存储软件等这类存储信息数据所必须的实体共同组合而成。该数据域存储的所有数据信息为安全管理和安全服务提供了基本的后台支持,它是根据服务器实体域和安全单元与安全对象的逻辑关系、安全管理规则和概念以及整个安全平台所必须提供的升级服务、实体对象管理服务而建立起来的数据域。
服务器实体域204:该域是所有安全对象和安全实体得到安全保护和安全管理的服务提供单位,该域所有的服务器暴露于任何一个安全实体对象所能访问的因特网网络环境中,任何一个安全实体对象都从该域中获取到相应的服务;
安全对象实体域206:该域是安全管理和安全保护的基本单位,所有的安全单元2062和安全实体对象2064构成了该域。
其中,所述数据库管理域202包括:
安全单元管理数据库2022:存储安全单元2062的信息,安全单元2062具有从属关系,包含创建与更改时间信息,安全单元2062具有唯一标识、同时包含一个描述它的名称:安全单元2062是安全管理的最小单位,它管理和包含具体的安全实体对象2064,以安全单元2062作为保护单位也就是保护了它所包含的所有安全实体对象2064,做到安全保护整体化而撇开安全保护个体化。
所述安全管理数据库2022就是存储这些与安全单元2062相关的建立与更新时间、从属关系、标识以及可描述的名称等必须的安全管理和安全保护信息。
安全服务器实体管理数据库2024:存储安全服务器集群2044的信息,其中,安全服务器集群2044按层次划分为控制中心2042、升级服务中心2044与辅助服务中心2046三个层面。
其中,控制中心2042是最高管理者管理所有的升级安全保护中心2044、辅助服务中心2046,同时负责安全单元2062的合法性检验并调度升级安全保护中心2044和辅助中心2046的负载平衡;升级服务中心2044为安全单元2062提供保护功能,但基于具体的服务实体具有最大上限、现有保护状态与保护数量、服务实体在空间中的位置这类信息,升级安全保护中心数据库2024存储的就是这类信息;控制中心2042与辅助服务中心2044将从升级安全保护中心数据库2024和安全单元数据库2022存储的数据信息中实现控制和提供辅助服务功能。
所述服务实体域204包括:
其中,所述安全控制中心服务器2042:
只负责控制云安全服务的正常运转和负载平衡,负责对保护单元2062的保护合法性验证,所有服务都是以它为中心。
其中,所述安全升级服务器集群2044:
它们主要负责提供给保护单元2062安全信息的更新服务,我们通过提供一个或多个升级服务器来解决由于硬件和软件的性能极限而导致的升级服务效率低下等性能问题。
其中,所述安全服务器辅助中心2046:
安全管理所针对的具体对象是安全实体2064,安全管理员最终管理的安全实体对象2064,安全辅助中心2046可以辅助安全管理员管理保护单元2062和实际的安全实体对象2064,可以帮助安全管理员查看他所能控制的保护单元2062和实体对象2064的安全状态并帮助解决保护意外发生的问题。
安全服务器辅助中心2046:安全实体对象2064从属于具体的某个单元2062,而且该安全实体2064不能同时属于两个或更多个安全单元2062,它是安全保护的最小颗粒,是具体的安全保护对象,它仅对它所属的安全单元或安全单元2062的父级安全单元可见;安全实体2064的保护和管理是安全单元2062根本重视的对象,安全实体2064的当前保护状态、当前保护的安全层次、当前保护的安全级别以及安全实体2064自身的信息(包括安全实体2064的硬件类型、安全实体2064的系统类型与版本、安全实体2064所属的安全单元2062、安全实体2064所处的空间位置等等),记录这些信息将为安全单元2062和安全管理员查看和分析安全实体2064提供即时依据。
图4是根据本发明的一个实施例的基于云计算的服务管理系统的示意图。
如图4所示,以下对各域模块的功能技术特征进行说明:
一、数据管理域402技术特征
由两大类数据库组成,分别是平衡负载信息数据库4022和升级服务信息数据库4044。
其中平衡负载信息数据库4022运作于平衡负载服务器上,它主要存储安全服务器实体信息和安全单元信息(安全服务器实体即提供具体病毒和软件等升级功能的服务器),安全服务器实体信息为平衡服务器提供优先选择升级地址的主要依据,平衡服务器还要实时监视各个升级地址上的服务器状态和动态配置信息以达到满足服务器功能响应的实时性要求,比如说:
1、每个升级服务器上允许登录的最大的用户数量和当前这个时刻已经登录的用户数量信息已经存储在安全服务器实体作息数据库表中,平衡服务器将根据这两个信息逐个比较挑选出当前时刻用户数量最小的升级服务器给安全单元4064使用,这样将可以减小升级服务器的升级压力的同时可以根据需要适当添加或移除升级服务器数量;
2、我们采取动态配置的技术方案来解决所有服务器需要变更的配置信息的配置方法,通过把所有可以动态配置的信息(例如与服务器的通信端口号、数据库访问的表名和数据库名称等)存放在像INI这样的文件里,每个服务器将实时扫描这个文件并即时响应这些变化;这样我们就可以通过网页的方式达到管理的目的,即我们不需要到指定的机器上重新启动程序来达到重新配置服务器信息的目标而只要在我们的客户机上直接操作要配置的服务器信息就可以达到目标,特别地当我们的服务器是架设在离我公司很远的地方例如美国的时候,这样的服务器管理模式将是很高效的;
安全单元信息存储的是与安全单元4064相关的信息,比如说:
1、基本的安全单元标识ID号(ID号是世界上唯一的不可重复的标识,我们使用25位长度的字母来表示它);
2、每个安全单元4064都被固定赋予一个可用的升级服务器,那么属于这个安全单元4064的所有成员的升级信息、中毒信息以及PC电脑的网络地址、机器型号、系统版本等重要信息均存储在该升级服务器上,并且我们将以这个安全单元4064的ID号命名一个数据库来存储所属成员的这些信息;
另一大类数据库(升级服务信息数据库4044)主要存储所有安全实体对象4062的PC计算机信息、安全实体中毒信息以及我们的安全客户端软件对安全实体做出的安全保护信息,以便于我们或者安全单元管理者实时查看和分析每个安全实体对象4062的安全保护状态,每类信息所起到的作用如下:
1、安全实体对象4062的PC计算机信息主要包括我们的安全客户端软件服务动作状态的信息收集,这些客户机上
安全服务是保护PC计算机的主要手段所在,监视这些服务动作的状态就可以帮助管理员了解各个PC机的安全隐患;特别地我们必须收集PC计算机的网卡号,因为网上号是世界上唯一的,通过它我们或者管理员就可以通过我们提供的软件功能找到这台客户机,以达到通过远程功能来帮助客户机解决疑难问题和提供相应的服务;我们特别强调我们所阐述的安全单元4064是指它的所有成员是可以跨网络、跨区域被管理的,即这些成员可以处在不同的网络和不同的地理区域中,我们提供的对安全单元4064的管理功能是基于因特网的、分布式的管理;
2、实体中毒信息是我们的软件客户端对中病毒后的PC计算机收集起来的,这些信息包括病毒文件名称和存在在PC计算机上的位置以及中毒的时间等,这些信息提供了分析当前中毒的原因;比如是因为未启用安全保护服务软件导致的还是因为该病毒是最新类型的病毒,我们将可以在我们的病毒库中添加上该病毒类型达到实时防护的作用;
二、服务器实体域404技术特征
服务器实体域404包括安全控制中心服务器4042、安全升级服务中心4044和安全辅助中心4046,其中
安全控制中心服务器4042技术特征如下:
1、中心控制服务器4042只有一个,它是管理中心也是通信信息的传输中介;
2、该中心服务器4042是客户端以及管理控制网页与升级服务器之间通信的媒介,服务器的负载平衡以及客户端的合法性(即是否被授予使用权)都是在由它做预判断的,它的特点就是职责轻而且速度快,能够满足大量客户端的同时访问,比如说当有一个客户端申请升级的时候,中心服务器4042主要负责合法性判断和获取升级地址信息返回给服务器,不包含复杂的功能例如传输文件等这类大数据量的操作,它将很快完成此次通话,这样快速的通信机制将可以为控制中心服务器4042预留大量的吞吐空间(吞吐量指的是同一时刻能同时与服务器通信的客户端数量,数量越大吞吐量越大);
3、控制中心服务器4042实时收集各个升级服务器4044的状态和动态配置信息,比如某个升级服务器4044因为故障原因而导致退出那么这个升级服务器4044是不可用的,控制中心服务器4042将马上得知这一信息并把这个通信故障报告给请求升级的客户和管理员;如果升级服务器4044的最大吞吐量被改变,中心服务器4042也将实时地得知这一信息,并在今后平衡升级服务器4044的负载时正确地做出响应;
4、控制中心服务器4042还要负责收集安全单元4064的成员信息,例如成员个数等,这些安全单元4064的成员信息是分布在升级服务器上4044,因此中心服务器4042必须与升级服务器4042通信来获取这些信息;统计安全单元4064的成员信息的意义在于为企业等群体性组织提供相关的被感兴趣的信息,例如企业需要确切地知道自己公司或者某个部门有具体成员数量;
安全升级服务器4044的技术特征如下:
1、安全升级服务器4044可以有一个或多个,它可以根据需要随时增加和移除;
2、它直接负责安全实体对象4062的病毒库和软件的升级,以及接收安全实体对象4062关于安全相关信息的汇报例如安全实体的中毒信息、安全实体机上开启安全保护服务的状态信息等;
安全辅助服务器4046的技术特征如下:
1、安全辅助服务器4046是为安全升级服务器4044提供辅助功能的服务,它不一定要与安全升级服务器4044在同一台计算机上,它可以位于其它任何一台能与安全升级服务器通信4044的计算上;
2、安全辅助服务器4046充当安全升级服务器4044与安全控制中心4042通信的媒介,将把安全控制中心4042的控制操作交给安全辅助中心4046去做,让安全升级服务器4044只负责处理安全实体对象4062的安全升级等安全功能;例如安全控制中心4042需要收集安全单元4064的成员数量的时候,安全辅助中心4046将实际地收集安全升级服务器4044上客户端的数量这一耗时的操作,从而为安全升级服务器4044预留出更多时间去处理传输文件这类大数据量的事情;
3、所有的安全实体对象4062都将与安全辅助服务器4046建立一个长久的通信通道,只要这个安全实体存在这个通道就将一直存在,它的主要作用是实时搜集安全实体对象4062的安全信息,例如中毒信息;特别地,通过这个通信通道管理员可以与安全实体对象4062进行远程通信,帮助或通知安全实体对象4062当前管理员的管理信息;
4、安全辅助服务器4046还提供获取内网与外网的通信IP地址和通信端口映射信息,IP地址和端口映射在技术指的是任何一台位于局域网内的PC计算机都有一个由局域网分配的私有IP和端口信息,当这台PC计算机在因特网上通信时这个私有的IP和端口就要拥有一个因特网上的IP和端口与它对应,这样它就能在因特网上发送通信数据;那么这个因特网上的IP和端口就是我们所阐述的外网IP和端口;
三、安全对象实体域406技术特征
安全对象实体4062即是一台具有独立执行能力的PC计算机,它有自己的硬件设施和操作系统运行平台,能够运载我们云计算的安全客户端软件的PC计算机。这个实体域的技术特征如下:
1、安全对象实体4062能够实时响应安全升级服务器实体发来的对安全数据的搜集请求,例如实时收集安全实体对象4062的中毒信息、实时通信以判断安全实体4062的存在状态;
2、安全对象实体4062始终与为安全升级服务器服务的安全辅助服务器建立一个永久通信通道,以保证在安全对象实体4062存在的情况下能接受来自于管理员等管理对象的远程帮助;
而基于本实施例的服务管理系统400的云计算安全管理平台的整体技术特征如下:
云计算安全管理平台分成两大部分,分别是保护安全对象实体的客户端服务平台和以安全单元为基本单位的管理平台;其中,客户端服务平台的技术特征即安全对象实体对象的技术特征,以安全单元为基本单位的管理平台技术特征如下:
1、该管理平台是以网站的形式提供给管理员使用的;
2、所有管理员都被赋予一个独立的登录名和登录密码,予确保只有管理权限的管理员才能操纵该管理平台;
3、该管理平台提供树型层次管理结构为不同级别的管理员分配操作权限;
4、该管理平台提供给管理员关于它所管理的所有安全单元信息,包括安全单元的基本信息例如硬件配置信息、网卡信息等,该管理平台以饼状图形式提供给管理员观察所有安全单元中处于安全状态的比例数,提供统计受到过威胁和感染病毒的客户机比例,提供所有病毒信息及所在位置的所有相关信息;依据这些信息管理员将可以做出预防判断。
综上所述,根据本发明,可以实现一种基于云计算的服务管理系统,其具有以下优点:
1、能够提供给任何一个独立的群体性组织(例如某一个具体企业或者某一个企业分支)根据管理权限的高低分配不同等级管理员的服务;
2、能够提供给任何一个独立的群体性组织的某个管理员管理它的所有群体成员(该成员必须是个人PC计算机)的服务;
3、能够提供给任何一个群体性组织的某个管理员根据需要有组织、按层次地划分更小的管理单元(例如一个企业具体划分出多个事业部,每个事业部又可以具体地划分出一个或多个具体部门,部门又可以再具体划分出子部门)的服务;
4、能够提供给任何一个群体性组织跨区域跨网络管理归属于它的群体成员的服务;
5、能够提供给任何一个群体性组织的某个管理员所有归属于它的群体成员计算机安全信息,以便于该群体管理者查看和分析具体PC计算机的安全状态:个人电脑基本信息(计算机名等)、病毒升级情况信息、中毒情况与病毒类型统计信息等;
6、能够提供给任何一个群体性组织的某个管理员根据需要远程控制所属的群体成员PC计算机:配置PC计算机安全属性、发送消息给所属群体成员、远程桌面控制PC计算机、远程重启与关闭PC计算机;
7、能够提供给任何一个群体成员(该群体必须被本云信息安全管理服务平台授予使用权限)升级病毒库和升级天讯天网云安全管理客户端最新版本软件的服务;
8、能够提供实时统计任一群体性组织当前组织内成员数量的信息和实时搜集任一个群体成员的安全信息并提供给管理员查看和分析的服务。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。