CN103368973B - 一种云操作系统安全体系 - Google Patents
一种云操作系统安全体系 Download PDFInfo
- Publication number
- CN103368973B CN103368973B CN201310317114.4A CN201310317114A CN103368973B CN 103368973 B CN103368973 B CN 103368973B CN 201310317114 A CN201310317114 A CN 201310317114A CN 103368973 B CN103368973 B CN 103368973B
- Authority
- CN
- China
- Prior art keywords
- virtual
- virtual machine
- module
- resource
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 26
- 230000008569 process Effects 0.000 claims abstract description 22
- 238000012550 audit Methods 0.000 claims abstract description 17
- 230000006854 communication Effects 0.000 claims abstract description 14
- 238000005516 engineering process Methods 0.000 claims description 28
- 238000007726 management method Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 10
- 230000006399 behavior Effects 0.000 claims description 9
- 238000002955 isolation Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000011217 control strategy Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000009795 derivation Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 230000009471 action Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种云操作系统安全体系,通过前台页面安全模块保证了系统网络(WEB)页面的安全,通过访问控制模块保证了对资源访问的安全性;通过数据安全模块保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性;通过物理资源安全模块保证物理资源的安全性;通过虚拟资源安全模块保证虚拟机、虚拟网络、虚拟存储的安全;通过通信安全模块保证系统对外API安全及虚拟机控制台信道的安全;通过审计模块保证保证日志的完备性以及告警的准确性及实时性;通过系统安全模块保证系统相关进程的安全性以及Hypervisor层安全性,从而从整体上保证了云操作系统的安全性,使云操作系统的安全体系更加完善。
Description
技术领域
本发明涉及通信领域,具体涉及一种云操作系统安全体系。
背景技术
当前,云计算逐渐被行业认可,云数据中心操作系统逐渐实现并付诸于实践。在云数据中心操作系统中,云计算安全一直是热点和难点之一,但现有技术中还未提出完善的方案来解决云操作系统的安全问题。
发明内容
本发明需要解决的技术问题是提供一种云操作系统安全体系,保证云操作系统的安全性及稳定性。
为了解决上述技术问题,本发明提供了一种云操作系统安全体系,包括:
前台页面安全模块,用于控制系统网络(WEB)页面的安全;
访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问;
数据安全模块,用于通过加密技术,保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性;
物理资源安全模块,用于对物理资源进行监控,对物理资源之间的通信信息采用加密技术;
虚拟资源安全模块,用于采用相应的底层技术,保证虚拟机、虚拟网络、虚拟存储的安全;
通信安全模块,用于控制系统对外应用编程接口(API)安全及虚拟机控制台信道的安全;
审计模块,用于生成日志,对所述日志进行管理以及访问控制管理;还用于监控系统软硬件告警,并在系统资源达到预设阈值时,产生相应级别的告警;
系统安全模块,用于通过采用监控进程及脚本的方式,保证系统相关进程的安全性以及虚拟机管理程序(Hypervisor)层安全性。
进一步地,所述前台页面安全模块,用于控制系统网络(WEB)页面的安全包括:
通过控制http请求的方式,保证统一资源定位符(URL)中不会显示敏感信息;通过使用参数化的过滤性语句、输入验证、错误消息处理和/或加密处理,防止结构化查询语言(SQL)注入;通过对用户提交的变量中的超文本标记语言(HTML)代码进行过滤和转换,防止跨站攻击;通过修改网络(WEB)服务器属性,使得系统可以进行https的访问。
进一步地,所述访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问,包括:
通过用户名、密码、验证码或数字证书中的一种或多种方式的组合对系统用户进行验证;
当出现用户登陆错误时,结束会话、限制非法登录次数、和/或在一定时间内拒绝登陆;同时,通过结束会话的方式,进行系统无操作处理;
采用RBAC模型建立云操作系统权限控制模块,保证指定权限的用户只能访问对应的资源。
进一步地,所述访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问,还包括:
依据安全策略控制用户对受保护资源的访问,所述受保护资源经过审批审计后,才能被访问;所述受保护的资源包括:主机、存储、网络、虚拟机、用户及权限、日志和告警;
访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操作;
授权用户对受保护资源进行访问的内容、操作权限不能超出预定义的范围;
云操作系统配置访问控制策略,授予不同帐户为完成各自承担任务所需的最小权限。
进一步地,所述数据安全模块,用于通过加密技术,保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性,包括:
通过BASE46密码技术对所述对外通信过程中关键信息加密,并对存储的数据加密。
进一步地,所述虚拟资源安全模块,用于采用相应的底层技术,保证虚拟机、虚拟网络、虚拟存储的安全,包括:
采用指令隔离技术、内存隔离以及物理主机内部网络隔离技术,保证虚拟机的虚拟CPU、虚拟内存和虚拟输入输出端口IO的安全性;
采用调度算法,保证虚拟的高可用,同时采用重复副本检测技术,保证系统虚拟机唯一性;
采用安全组、虚拟局域网VLAN及虚拟路由,保证虚拟网络的安全性;
通过虚拟存储数据加密及完整性检测,保证虚拟存储的安全性。
进一步地,所述采用安全组、虚拟局域网VLAN及虚拟路由,保证虚拟网络的安全性,包括:
对虚拟机进行安全组划分,所述安全组可随虚拟机迁移;
对虚拟机网络进行虚拟局域网VLAN划分,将处于不同物理主机上的虚拟机通过VLAN技术划分在同一个局域网内,同一个物理主机上的同一个VLAN内的虚拟机之间通过虚拟交换机进行通信;
支持虚拟交换机功能,每一个虚拟机连接到虚拟交换机的一个逻辑端口,所有流经虚拟交换机的包传给正确的目标虚拟接口;
在虚拟机内部禁用动态主机设置协议DHCP服务,并且采用IP+MAC绑定的方式。
进一步地,所述通信安全模块,用于控制系统对外应用编程接口(API)安全及虚拟机控制台信道的安全,包括:
在调用API前,对所述API进行认证及权限验证。数据的传输应进行加密;
采用隧道、信道数据加密技术对虚拟机控制台信道传输的数据进行加密。
进一步地,审计模块,用于生成日志,对所述日志进行管理以及访问控制管理,包括:
对以下事件生成日志:用户鉴别机制的使用、用户操作安全模块的行为、用户访问被保护资源的行为、以及系统的安全行为;
提供日志查询、日志导出、定时备份以及删除的功能;
设定日志访问控制权限,只有具有查询、日志导出、删除的访问控制权限才能执行相关访问控制管理操作。
进一步地,审计模块,还用于根据告警或事件,对虚拟机采取不同的操作,包括:
在虚拟机高可用性场景下,主机故障时重新在新的节点创建并启动虚拟机;或者,
当虚拟机出现故障告警时,对虚拟机的操作,包括:
配置高可用性时,在新的节点创建并启动虚拟机;或者,本地重启;或者,不处理。
与现有技术相比,本发明提供的云操作系统安全体系,通过前台页面安全模块保证了系统网络(WEB)页面的安全,通过访问控制模块保证了对资源访问的安全性;通过数据安全模块保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性;通过物理资源安全模块保证物理资源的安全性;通过虚拟资源安全模块保证虚拟机、虚拟网络、虚拟存储的安全;通过通信安全模块保证系统对外API安全及虚拟机控制台信道的安全;通过审计模块保证保证日志的完备性以及告警的准确性及实时性;通过系统安全模块保证系统相关进程的安全性以及Hypervisor层安全性,从而从整体上保证了云操作系统的安全性,使云操作系统的安全体系更加完善。
附图说明
图1实施例中云操作系统安全体系的结构图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例:
如图1所示,本实施例提供了一种云操作系统安全体系,包括:
前台页面安全模块,用于控制系统网络(WEB)页面的安全;
访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问;
数据安全模块,用于通过加密技术,保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性;
物理资源安全模块,用于对物理资源进行监控,对物理资源之间的通信信息采用加密技术;
虚拟资源安全模块,用于采用相应的底层技术,保证虚拟机、虚拟网络、虚拟存储的安全;
通信安全模块,用于控制系统对外应用编程接口(API)安全及虚拟机控制台信道的安全;
审计模块,用于生成日志,对所述日志进行管理以及访问控制管理;还用于监控系统软硬件告警,并在系统资源达到预设阈值时,产生相应级别的告警;
系统安全模块,用于通过采用监控进程及脚本的方式,保证系统相关进程的安全性以及虚拟机管理程序(Hypervisor)层安全性。
其中,所述前台页面安全模块,用于控制系统网络(WEB)页面的安全包括:
通过控制http请求的方式,保证统一资源定位符(URL)中不会显示敏感信息;通过使用参数化的过滤性语句、输入验证、错误消息处理和/或加密处理,防止结构化查询语言(SQL)注入;通过对用户提交的变量中的超文本标记语言(HTML)代码进行过滤和转换,防止跨站攻击;通过修改网络(WEB)服务器属性,使得系统可以进行https的访问。
其中,所述访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问,包括:用户鉴别、资源访问控、安全功能访问控制、访问控制策略管理。
其中,用户鉴别是指,所述访问控制模块,用于:
通过用户名、密码、验证码或数字证书中的一种或多种方式的组合对系统用户进行验证;
当出现用户登陆错误时,结束会话、限制非法登录次数、和/或在一定时间内拒绝登陆;同时,通过结束会话的方式,进行系统无操作处理;
资源访问控制是指,所述访问控制模块用于:
依据安全策略控制用户对受保护资源的访问,所述受保护资源经过审批审计后,才能被访问;所述受保护的资源包括:主机、存储、网络、虚拟机、用户及权限、日志和告警;
访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操作;
授权用户对受保护资源进行访问的内容、操作权限不能超出预定义的范围;
云操作系统配置访问控制策略,授予不同帐户为完成各自承担任务所需的最小权限;
采用RBAC模型建立云操作系统权限控制模块,保证指定权限的用户只能访问对应的资源。
其中,安全功能访问控制是指,所述访问控制模块用于:
控制只能由授权管理员访问系统安全功能模块;
确保在授权管理员执行安全相关的任何操作之前,必须经过身份鉴别。
其中,访问控制策略管理是指,所述访问控制模块用于:
用户管理:对访问系统的用户进行管理,可以创建、修改、删除用户;可以对用户授予不同的角色及组操作权限;用户能够根据预定义好的权限准确访问资源;
角色管理:对用户进行分级分权的角色管理,可以建立具有不同级别的角色,并可以针对不同角色设定不同的访问权限,可以由管理员自己定义合适的角色,实现系统权限的灵活分配,提供系统管理员、审计管理员等默认角色;
分组管理:创建不同的分组,并且将资源集群和组关联;
安全策略管理:对用户账号口令策略、访问失败锁定策略进行配置管理,包括配置密码最小、最大长度、密码是否包含特殊字符及是否包含用户名、密码修改的重复次数、密码有效期、密码被重置和首次登录是否要求修改密码,登录失败的锁定条件及锁定时长;审批流程:对资源的申请制定审批流程,审批流程完成后,才能对受保护资源进行访问、使用,审批操作包括通过、中止、打回等。
其中,所述数据安全模块,用于通过加密技术,保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性,包括:
通过BASE46密码技术对所述对外通信过程中关键信息加密,并对存储的数据加密。
其中,所述虚拟资源安全模块,用于采用相应的底层技术,保证虚拟机、虚拟网络、虚拟存储的安全,包括:
采用指令隔离技术、内存隔离以及物理主机内部网络隔离技术,保证虚拟机的虚拟CPU、虚拟内存和虚拟输入输出端口IO的安全性;
采用调度算法,保证虚拟的高可用,同时采用重复副本检测技术,保证系统虚拟机唯一性;
采用安全组、虚拟局域网VLAN及虚拟路由,保证虚拟网络的安全性;
通过虚拟存储数据加密及完整性检测,保证虚拟存储的安全性。
其中,所述采用安全组、虚拟局域网VLAN及虚拟路由,保证虚拟网络的安全性,包括:
对虚拟机进行安全组划分,所述安全组可随虚拟机迁移;
对虚拟机网络进行虚拟局域网VLAN划分,将处于不同物理主机上的虚拟机通过VLAN技术划分在同一个局域网内,同一个物理主机上的同一个VLAN内的虚拟机之间通过虚拟交换机进行通信;
支持虚拟交换机功能,每一个虚拟机连接到虚拟交换机的一个逻辑端口,所有流经虚拟交换机的包传给正确的目标虚拟接口;
在虚拟机内部禁用动态主机设置协议DHCP服务,并且采用IP+MAC绑定的方式。
其中,通过虚拟存储数据加密及完整性检测,保证虚拟存储的安全性,包括:
保证逻辑卷同一时刻只能被一个虚拟机挂载,对虚拟存储中的数据加密;
虚拟机或虚拟磁盘被删除,保证数据清空。
虚拟存储中的数据有完整性检测机制。
其中,所述通信安全模块,用于控制系统对外应用编程接口(API)安全及虚拟机控制台信道的安全,包括:
在调用API前,对所述API进行认证及权限验证。数据的传输应进行加密;
采用隧道、信道数据加密技术对虚拟机控制台信道传输的数据进行加密。
其中,审计模块,用于生成日志,对所述日志进行管理以及访问控制管理,包括:
对以下事件生成日志:用户鉴别机制的使用、用户操作安全模块的行为、用户访问被保护资源的行为、以及系统的安全行为;
提供日志查询支持操作日志分类查询,查询类别为以上日志内容定义的所有关键字,支持按时间段查询;提供日志导出、定时备份以及删除的功能;
设定日志访问控制权限,只有具有查询、日志导出、删除的访问控制权限才能执行相关访问控制管理操作。
其中,日志内容包括:操作类型、操作对象、操作用户、用户IP、日志级别、操作时间、操作结果、详细信息、失败原因等字段。
其中,审计模块,还用于根据告警或事件,对虚拟机采取不同的操作,包括:
在虚拟机高可用性场景下,主机故障时重新在新的节点创建并启动虚拟机;或者,
当虚拟机出现故障告警时,对虚拟机的操作,包括:
配置高可用性时,在新的节点创建并启动虚拟机;或者,本地重启;或者,不处理。
其中,所述审计模块监控系统所有软硬件告警,所述软硬件告警包括:计算设备告警、存储设备告警、虚拟资源告、操作系统、软件资源告警。所有软硬件告警可通过多种方式(可配置)呈现给管理员。
此外,还可以设置告警触发的条件阈值,如可以设置CPU占用率、内存占用率、磁盘I/O、网络流量等告警阈值,在系统资源达到阈值时,产生相应级别的告警。
支持以下级别的告警信息:
紧急:此类故障会影响系统提供的服务,需立即采取处理措施。
重要:此类故障会影响系统的服务质量,需要采取紧急处理措施。
次要:此类故障不影响服务质量,但为了避免造成更严重的故障,需要在适当时间进行处理或进一步观察。
提示:此类故障提示可能有潜在的错误会影响系统的服务质量,需根据不同错误类型进行处理。
在一个应用示例中,用户通过页面安全模块控制的页面访问系统,经过访问控制模块,用户登陆系统,对于云操作系统的各种资源进行访问和操作,系统中的关键资源通过数据安全模块进行安全性保证。用户通过物理资源安全模块,对系统的物理资源进行监控,从而保证物理资源运行的持续稳定。用户根据自己业务的需求,使用虚拟资源,搭建符合业务要求的虚拟网络,虚拟资源安全模块保证着用户虚拟资源的安全性,用户通过通信安全模块使用虚拟机控制台,第三方系统也可通过通信模块调用安全API进行集成。最后,整个系统的运行有稳定的监控进程进行监控和自恢复,同时,体系的可审计性保证了系统总体的安全性。
从上述实施例可以看出,相对于现有技术,上述实施例中提供的云操作系统安全体系,通过前台页面安全模块保证了系统网络(WEB)页面的安全,通过访问控制模块保证了对资源访问的安全性;通过数据安全模块保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性;通过物理资源安全模块保证物理资源的安全性;通过虚拟资源安全模块保证虚拟机、虚拟网络、虚拟存储的安全;通过通信安全模块保证系统对外API安全及虚拟机控制台信道的安全;通过审计模块保证保证日志的完备性以及告警的准确性及实时性;通过系统安全模块保证系统相关进程的安全性以及Hypervisor层安全性,从而从整体上保证了云操作系统的安全性,使云操作系统的安全体系更加完善。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并非用于限定本发明的保护范围。根据本发明的发明内容,还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种云操作系统安全体系,包括:
前台页面安全模块,用于控制系统网络(WEB)页面的安全;
访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问;
数据安全模块,用于通过加密技术,保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性;
物理资源安全模块,用于对物理资源进行监控,对物理资源之间的通信信息采用加密技术;
虚拟资源安全模块,用于采用相应的底层技术,保证虚拟机、虚拟网络、虚拟存储的安全,包括:
采用指令隔离技术、内存隔离以及物理主机内部网络隔离技术,保证虚拟机的虚拟CPU、虚拟内存和虚拟输入输出端口IO的安全性;
采用调度算法,保证虚拟的高可用,同时采用重复副本检测技术,保证系统虚拟机唯一性;
采用安全组、虚拟局域网VLAN及虚拟路由,保证虚拟网络的安全性;
通过虚拟存储数据加密及完整性检测,保证虚拟存储的安全性;
通信安全模块,用于控制系统对外应用编程接口(API)安全及虚拟机控制台信道的安全;
审计模块,用于生成日志,对所述日志进行管理以及访问控制管理;还用于监控系统软硬件告警,并在系统资源达到预设阈值时,产生相应级别的告警;
系统安全模块,用于通过采用监控进程及脚本的方式,保证系统相关进程的安全性以及虚拟机管理程序(Hypervisor)层安全性。
2.如权利要求1所述的云操作系统安全体系,其特征在于:
所述前台页面安全模块,用于控制系统网络(WEB)页面的安全包括:
通过控制http请求的方式,保证统一资源定位符(URL)中不会显示敏感信息;通过使用参数化的过滤性语句、输入验证、错误消息处理和/或加密处理,防止结构化查询语言(SQL)注入;通过对用户提交的变量中的超文本标记语言(HTML)代码进行过滤和转换,防止跨站攻击;通过修改网络(WEB)服务器属性,使得系统可以进行https的访问。
3.如权利要求1所述的云操作系统安全体系,其特征在于:
所述访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问,包括:
通过用户名、密码、验证码或数字证书中的一种或多种方式的组合对系统用户进行验证;
当出现用户登录错误时,结束会话、限制非法登录次数、和/或在一定时间内拒绝登录;同时,通过结束会话的方式,进行系统无操作处理;
采用基于角色的访问控制RBAC模型建立云操作系统权限控制模块,保证指定权限的用户只能访问对应的资源。
4.如权利要求3所述的云操作系统安全体系,其特征在于:
所述访问控制模块,用于通过制定安全策略,控制与约束用户对系统、资源的访问,还包括:
依据安全策略控制用户对受保护资源的访问,所述受保护资源经过审批审计后,才能被访问;所述受保护资源包括:主机、存储、网络、虚拟机、用户及权限、日志和告警;
访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操作;
授权用户对受保护资源进行访问的内容、操作权限不能超出预定义的范围;
云操作系统配置访问控制策略,授予不同账户为完成各自承担任务所需的最小权限。
5.如权利要求1所述的云操作系统安全体系,其特征在于:
所述数据安全模块,用于通过加密技术,保证系统对外通信过程中关键信息的保密性和完整性以及数据存储的保密性和安全性,包括:
通过BASE46密码技术对所述对外通信过程中关键信息加密,并对存储的数据加密。
6.如权利要求1所述的云操作系统安全体系,其特征在于:
所述采用安全组、虚拟局域网VLAN及虚拟路由,保证虚拟网络的安全性,包括:
对虚拟机进行安全组划分,所述安全组可随虚拟机迁移;
对虚拟网络进行虚拟局域网VLAN划分,将处于不同物理主机上的虚拟机通过VLAN技术划分在同一个局域网内,同一个物理主机上的同一个VLAN内的虚拟机之间通过虚拟交换机进行通信;
支持虚拟交换机功能,每一个虚拟机连接到虚拟交换机的一个逻辑端口,所有流经虚拟交换机的包传给正确的目标虚拟接口;
在虚拟机内部禁用动态主机设置协议DHCP服务,并且采用IP+MAC绑定的方式。
7.如权利要求1所述的云操作系统安全体系,其特征在于:
所述通信安全模块,用于控制系统对外应用编程接口(API)安全及虚拟机控制台信道的安全,包括:
在调用API前,对所述API进行认证及权限验证,数据的传输应进行加密;
采用隧道、信道数据加密技术对虚拟机控制台信道传输的数据进行加密。
8.如权利要求1所述的云操作系统安全体系,其特征在于:
审计模块,用于生成日志,对所述日志进行管理以及访问控制管理,包括:
对以下事件生成日志:用户鉴别机制的使用、用户操作安全模块的行为、用户访问被保护资源的行为、以及系统的安全行为;
提供日志查询、日志导出、定时备份以及删除的功能;
设定日志访问控制权限,只有具有查询、日志导出、删除的访问控制权限才能执行相关访问控制管理操作。
9.如权利要求8所述的云操作系统安全体系,其特征在于:
审计模块,还用于根据告警或事件,对虚拟机采取不同的操作,包括:
在虚拟机高可用性场景下,主机故障时重新在新的节点创建并启动虚拟机;或者,
当虚拟机出现故障告警时,对虚拟机的操作,包括:
配置高可用性时,在新的节点创建并启动虚拟机;或者,本地重启;或者,不处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310317114.4A CN103368973B (zh) | 2013-07-25 | 2013-07-25 | 一种云操作系统安全体系 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310317114.4A CN103368973B (zh) | 2013-07-25 | 2013-07-25 | 一种云操作系统安全体系 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103368973A CN103368973A (zh) | 2013-10-23 |
| CN103368973B true CN103368973B (zh) | 2016-02-17 |
Family
ID=49369510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310317114.4A Active CN103368973B (zh) | 2013-07-25 | 2013-07-25 | 一种云操作系统安全体系 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103368973B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103729308A (zh) * | 2013-12-31 | 2014-04-16 | 曙光云计算技术有限公司 | 虚拟组件的管理方法和装置 |
| CN103780686A (zh) * | 2014-01-15 | 2014-05-07 | 浪潮(北京)电子信息产业有限公司 | 一种云组织内自定义申请审批流程的方法及系统 |
| WO2015175841A1 (en) * | 2014-05-14 | 2015-11-19 | Inferspect, Llc | Three-tiered security and computational architecture |
| CN104134038B (zh) * | 2014-07-31 | 2016-11-23 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟平台的安全可信运行保护方法 |
| CN104301328A (zh) * | 2014-10-29 | 2015-01-21 | 北京思特奇信息技术股份有限公司 | 一种云计算环境下的资源操作安全认证方法及系统 |
| CN104580225B (zh) * | 2015-01-14 | 2017-11-03 | 南京烽火星空通信发展有限公司 | 一种云平台安全防护加密装置和方法 |
| RU2017130338A (ru) * | 2015-02-20 | 2019-03-20 | Пристин Машин, Ллк | Способ разбиения функции обработки данных между уровнями системы |
| CN106295328B (zh) | 2015-05-20 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
| CN105184147B (zh) * | 2015-09-08 | 2017-11-24 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
| CN105306272B (zh) * | 2015-11-10 | 2019-01-25 | 中国建设银行股份有限公司 | 信息系统故障场景信息收集方法及系统 |
| CN105516286A (zh) * | 2015-11-27 | 2016-04-20 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统中计算资源池自动构建方法 |
| CN105763560A (zh) * | 2016-04-15 | 2016-07-13 | 北京思特奇信息技术股份有限公司 | 一种Web Service接口流量实时监控方法和系统 |
| CN106506542B (zh) * | 2016-12-16 | 2019-11-22 | 清华大学 | 基于云目录的统一云存储资源共享方法及装置 |
| CN108243040A (zh) * | 2016-12-23 | 2018-07-03 | 南京联成科技发展股份有限公司 | 一种云计算的身份认证和访问管理安全服务的实现架构 |
| CN106790270A (zh) * | 2017-02-16 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种云操作系统的安全保护系统 |
| CN110233817B (zh) * | 2018-03-06 | 2021-12-28 | 广州西麦科技股份有限公司 | 一种基于云计算的容器安全系统 |
| CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
| US11283800B2 (en) * | 2019-03-08 | 2022-03-22 | International Business Machines Corporation | Secure interface control secure storage hardware tagging |
| US11533174B2 (en) * | 2020-01-29 | 2022-12-20 | International Business Machines Corporation | Binding secure objects of a security module to a secure guest |
| CN111488597B (zh) * | 2020-03-31 | 2022-12-23 | 南方电网科学研究院有限责任公司 | 一种适用于跨网络安全区域的安全审计系统 |
| CN114417395B (zh) * | 2021-12-08 | 2022-08-19 | 慧之安信息技术股份有限公司 | 操作系统安全路由处理方法和系统 |
| CN116545781B (zh) * | 2023-07-06 | 2023-11-24 | 广东维信智联科技有限公司 | 一种云访问数据安全管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202455386U (zh) * | 2011-12-13 | 2012-09-26 | 杭州晟元芯片技术有限公司 | 一种用于云存储的安全系统 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN102761521A (zh) * | 2011-04-26 | 2012-10-31 | 上海格尔软件股份有限公司 | 云安全存储及共享服务平台 |
| CN103038750A (zh) * | 2010-03-31 | 2013-04-10 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2658097T3 (es) * | 2005-11-18 | 2018-03-08 | Security First Corporation | Método y sistema de análisis de datos seguro |
-
2013
- 2013-07-25 CN CN201310317114.4A patent/CN103368973B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103038750A (zh) * | 2010-03-31 | 2013-04-10 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
| CN102761521A (zh) * | 2011-04-26 | 2012-10-31 | 上海格尔软件股份有限公司 | 云安全存储及共享服务平台 |
| CN202455386U (zh) * | 2011-12-13 | 2012-09-26 | 杭州晟元芯片技术有限公司 | 一种用于云存储的安全系统 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103368973A (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103368973B (zh) | 一种云操作系统安全体系 | |
| US9166893B2 (en) | Methods, apparatus and systems for monitoring locations of data within a network service | |
| US8880893B2 (en) | Enterprise information asset protection through insider attack specification, monitoring and mitigation | |
| KR102037160B1 (ko) | 기대치에 따른 데이터 보안 작동 | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US9875372B2 (en) | Redacting restricted content in files | |
| CN109657492B (zh) | 数据库管理方法、介质及电子设备 | |
| CN107483495B (zh) | 一种大数据集群主机管理方法、管理系统及服务端 | |
| CN102227116B (zh) | 一种安全的局域网管理方法和一种局域网 | |
| US20160036812A1 (en) | Database Queries Integrity and External Security Mechanisms in Database Forensic Examinations | |
| CN103413083A (zh) | 单机安全防护系统 | |
| CN111835732A (zh) | 远程接入安全管理系统 | |
| US10848491B2 (en) | Automatically detecting a violation in a privileged access session | |
| CN104506480A (zh) | 基于标记与审计结合的跨域访问控制方法及系统 | |
| CN114338105B (zh) | 一种基于零信任信创堡垒机系统 | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN104901964A (zh) | 一种用于保护云系统的安全监控方法 | |
| US11770363B2 (en) | Systems and methods for secure access smart hub for cyber-physical systems | |
| CN115622792A (zh) | 一种基于零信任的数据安全综合防护系统及方法 | |
| Yu et al. | Research on zero trust access control model and formalization based on rail transit data platform | |
| Jagdish et al. | Modeling software architecture design on data storage security in cloud computing environments | |
| CN112769784A (zh) | 文本的处理方法和装置、计算机可读存储介质及处理器 | |
| Stathopoulos et al. | Secure log management for privacy assurance in electronic communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |