CN107438071A - 云存储安全网关及访问方法 - Google Patents

云存储安全网关及访问方法 Download PDF

Info

Publication number
CN107438071A
CN107438071A CN201710630832.5A CN201710630832A CN107438071A CN 107438071 A CN107438071 A CN 107438071A CN 201710630832 A CN201710630832 A CN 201710630832A CN 107438071 A CN107438071 A CN 107438071A
Authority
CN
China
Prior art keywords
cloud storage
data
user
cloud
security gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710630832.5A
Other languages
English (en)
Inventor
汪宗斌
李伟
张庆勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Infosec Technologies Co Ltd
Original Assignee
Beijing Infosec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Infosec Technologies Co Ltd filed Critical Beijing Infosec Technologies Co Ltd
Priority to CN201710630832.5A priority Critical patent/CN107438071A/zh
Publication of CN107438071A publication Critical patent/CN107438071A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种云存储安全网关及访问方法,包括:身份认证模块对用户身份信息进行身份认证,如果认证通过则允许该用户单点登录;安全检查模块对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略;加解密模块对企业数据进行加密,以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密;传输模块将加密后的企业数据上传至云服务平台,以及将解密后的企业数据发送至用户端;威胁防护检测模块用于检测云存储安全网关工作过程中,是否出现异常或恶意代码攻击,如果有则发出报警提示并进行阻止操作。本发明可以满足四可视化、数据安全、合规性和威胁防范的要求。

Description

云存储安全网关及访问方法
技术领域
本发明涉及云存储技术领域,特别涉及一种云存储安全网关及访问方法。
背景技术
随着互联网技术的发展和应用软件的成熟,云服务平台可以让企业运转地更好、更快、更高效。但是在使用云端SAAS不可避免地需要将您的数据迁移到云端,敏感数据不再受企业直接管控,数据会被哪些人接触到企业也无从知晓。
虽然SaaS服务商可以很专业地抵御网络攻击、保障网络传输中数据的安全。然而,企业将敏感数据交由云服务商,安全性仅凭一纸承诺保证还是显得苍白无力,再加上数据泄漏事件层出不穷。
因此,如何提供一种让企业即能体验云服务提供的便捷服务时又能够得到有效的安全保护是当前面临的一个硬性需求。
发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种云存储安全网关及访问方法。
为了实现上述目的,本发明的实施例提供一种云存储安全网关及访问方法,所述云存储安全网关部署于企业内部,用于对企业存储在云服务平台上的数据提供安全保护,包括:
身份认证模块,用于接收登录请求,并对该登录请求中携带的用户身份信息进行身份认证,如果认证通过则允许该用户单点登录,授权该用户访问云服务平台;
安全检查模块,用于在接收到授权登录用户的数据上传请求后,对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略;
加解密模块,用于在所述安全检查模块判断企业数据符合安全策略后,对企业数据进行加密,以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密;
传输模块,用于将加密后的企业数据上传至云服务平台,以及将解密后的企业数据发送至用户端;
威胁防护检测模块,用于检测所述云存储安全网关工作过程中,是否出现异常或恶意代码攻击,如果有则发出报警提示并进行阻止操作;
可视化展示模块,用于对所述云存储安全网关安全工作中涉及的配置数据、企业数据及传输状态,以可视化界面呈现给用户。
进一步,用户采用以下三种模式之一访问所述云服务平台:
(1)直接访问:所述云存储安全网关运行在用户设备上;
(2)代理访问:用户通过云存储安全代理执行所有访问操作,由所述云存储安全代理根据预先制定的安全策略对用户与云服务平台的交互信息进行安全检查;
(3)嵌入API访问:将所述云存储安全网关的API接口嵌入到应用系统中,由云存储安全代理根据预定义的安全策略对用户与云服务平台的交互数据进行处理,其中,所述云存储安全代理不对云服务协议进行解析,由用户设备对相应的数据进行处理并指定相应的安全策略。
进一步,还包括:日志模块,用于存储所述云存储安全网关工作数据,并以日志形式进行记录。
进一步,所述加解密模块对企业数据进行加密,包括:缺省加密和结构化数据加密。
本发明实施例还提出一种云存储安全网关的访问方法,包括如下步骤:
步骤S1:接收登录请求,并对该登录请求中携带的用户身份信息进行身份认证,如果认证通过则允许该用户单点登录,授权该用户访问云服务平台
步骤S2:在接收到授权登录用户的数据上传请求后,对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略;
步骤S3:在判断企业数据符合安全策略后,对企业数据进行加密,将加密后的企业数据上传至云服务平台;以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密,将解密后的企业数据发送至用户端;
步骤S4:检测所述云存储安全网关工作过程中,是否出现异常或恶意代码攻击,如果有则发出报警提示并进行阻止操作;
步骤S5:对所述云存储安全网关安全工作中涉及的配置数据、企业数据及传输状态,以可视化界面呈现给用户。
进一步,用户采用以下三种模式之一访问所述云服务平台:
(1)直接访问:所述云存储安全网关运行在用户设备上;
(2)代理访问:用户通过云存储安全代理执行所有访问操作,由所述云存储安全代理根据预先制定的安全策略对用户与云服务平台的交互信息进行安全检查;
(3)嵌入API访问:将所述云存储安全网关的API接口嵌入到应用系统中,由云存储安全代理根据预定义的安全策略对用户与云服务平台的交互数据进行处理,其中,所述云存储安全代理不对云服务协议进行解析,由用户设备对相应的数据进行处理并指定相应的安全策略。
进一步,还包括如下步骤:存储所述云存储安全网关工作数据,并以日志形式进行记录。
进一步,在所述步骤S3中,对企业数据进行加密,包括:缺省加密和结构化数据加密。
根据本发明实施例的云存储安全网关及访问方法,可以根据企业预先定义的安全策略,执行安全检查,将符合预定策略的数据在存放到云平台前进行加密,解密从云平台接收的数据,云存储安全网关能够实现身份认证、单点登录、授权管理、设备画像、加密解密、令牌化tokenization、记录日志、发去警告、对恶意代码进行检测并阻止等功能,满足四可视化、数据安全、合规性和威胁防范的要求。
(1)可视化:发现和分析存储的企业数据和网关工作状态;
(2)数据安全:保护敏感信息不泄露到云环境中;
(3)合规性:符合相关的数据隐私保护要求;
(4)控制力:作为安全策略的执行环境,避免云应用出现数据安全问题;
(5)威胁保护:能够标识从哪访问什么应用,并根据安全策略检测安全风险并阻止不合法的访问行为。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明实施例的云存储安全网关的结构图;
图2为根据本发明实施例的云存储安全网关访问方法的流程图;
图3为根据本发明实施例的直接访问的示意图;
图4为根据本发明实施例的代理访问的示意图;
图5为根据本发明实施例的嵌入API访问的示意图。
具体实施方式
下面详细描述本发明的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
本发明提出一种云存储安全网关及访问方法,可以实现对存储在云服务平台上的企业数据提供安全性保护。
如图1所示,本发明实施例的云存储安全网关,该云存储安全网关部署于企业内部,用于对企业存储在云服务平台上的数据提供安全保护。
具体地,云存储安全网关包括:身份认证模块1、安全检查模块2、加解密模块3、传输模块4、威胁防护检测模块5和可视化展示模块6。
具体地,身份认证模块1用于接收登录请求,并对该登录请求中携带的用户身份信息进行身份认证,如果认证通过则允许该用户单点登录,授权该用户访问云服务平台。
安全检查模块2用于在接收到授权登录用户的数据上传请求后,对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略。
在本发明的一个实施例中,预定义的安全策略的策略控制包括:单点登录-安全断言标记语言SSO-SAML、SSO-其他、AD支持、移动执行点、公司安全策略执行点和策略方法支持。其中,策略方法支持包括:全局策略、按应用策略支持、按用户策略支持、按组策略支持。
加解密模块3用于在安全检查模块2判断企业数据符合安全策略后,对企业数据进行加密,以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密。
在本发明的一个实施例中,加解密模块3对企业数据进行加密,包括:缺省加密和结构化数据加密。
具体地,本发明需要对云服务平台上存储的企业数据进行合规性判断,包括:
(1)合格标准:SOC-1、SOC-2Type II、FIPS 140-2、ISO 27001;
(2)缺省加密;
(3)结构化数据加密
(4)令牌化技术Tokenization
传输模块4用于将加密后的企业数据上传至云服务平台,以及将解密后的企业数据发送至用户端。
威胁防护检测模块5用于检测云存储安全网关工作过程中,是否出现异常、恶意代码攻击或沙箱内执行,如果有则发出报警提示并进行阻止操作。
此外,本发明的威胁防护检测模块5还用于提供数据泄露防护功能,包括:系统自带的数据保护特性、与第三方DLP集成和实施第三方DLP制定的策略。
可视化展示模块6用于对云存储安全网关安全工作中涉及的配置数据、企业数据及传输状态,以可视化界面呈现给用户。
具体地,可视化展示模块6可以显示部署选项,包括:带外日志分析、带外API连接器、免代理功能、瘦代理和反向代理。此外,可视化展示模块6还用于提供活动感知功能,包括用户、设备和位置的上下文感知,以及检查SSL(Secure Sockets Layer安全套接层)。
在本发明的一个实施例中,用户采用以下三种模式之一访问云服务平台:
(1)直接访问:云存储安全网关运行在用户设备上。
具体地,如图3所示,云计算服务都是采用直接访问云的方式,云存储安全代理如果做成“胖客户端”的形式,可以将云存储安全网关运行在用户设备上,但这种方式存在客户环境复杂,客户操作不便等诸多问题。
(2)代理访问:用户通过云存储安全代理执行所有访问操作,由云存储安全代理根据预先制定的安全策略对用户与云服务平台的交互信息进行安全检查。
具体地,如图4所示,代理访问模式是切断用户与云服务的直接通道,让用户的所有访问均通过云存储安全代理,这样云存储安全代理就可以根据预先制定的策略对用户与云平台的交互信息进行相应的处理。
(3)嵌入API访问:将云存储安全网关的API接口嵌入到应用系统中,由云存储安全代理根据预定义的安全策略对用户与云服务平台的交互数据进行处理,其中,云存储安全代理不对云服务协议进行解析,由用户设备对相应的数据进行处理并指定相应的安全策略。
具体地,如图5所示,对于新开发的应用,可以采用嵌入API的方式。将云存储安全网关的API接口嵌入到应用系统中,用户与云平台的交互自然会经过云存储安全代理,云存储安全代理能够根据策略对用户与云平台的交互数据进行处理,与代理网关的区别在于API访问时,云存储安全代理无须解析云服务的协议,由客户端应用负责对相应的数据进行处理并指定相应的策略。
进一步,本发明实施例的云存储安全网关,还包括:日志模块。该日志模块用于存储云存储安全网关工作数据,并以日志形式进行记录。
本发明实施例的云存储安全网关还提供HTTP协议解析功能,以及其他常规功能,例如:系统管理、用户管理、权限管理、HA(High Availability,高可用性)和集群管理、监控报表。
综上,本发明实施例的云存储安全网关能够根据企业预先定义的安全策略,执行安全检查,将符合预定策略的数据在存放到云平台前进行加密,解密从云平台接收的数据。云存储安全网关能够实现身份认证、单点登录、授权管理、设备画像(采集设备特征)、加密解密、令牌化tokenization、记录日志、发去警告、对恶意代码进行检测并阻止。
本发明的云存储安全网关为硬件盒子,集成所有功能在一个硬件设备中,提供命令行和WebUI管理功能。同时,考虑到云环境下用户体验,硬件设备须支持光纤网口扩展能力。
如图2所示,本发明实施例的云存储安全访问方法,包括如下步骤:
步骤S1:接收登录请求,并对该登录请求中携带的用户身份信息进行身份认证,如果认证通过则允许该用户单点登录,授权该用户访问云服务平台。
步骤S2:在接收到授权登录用户的数据上传请求后,对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略。
在本发明的一个实施例中,预定义的安全策略的策略控制包括:单点登录-安全断言标记语言SSO-SAML、SSO-其他、AD支持、移动执行点、公司安全策略执行点和策略方法支持。其中,策略方法支持包括:全局策略、按应用策略支持、按用户策略支持、按组策略支持。
步骤S3:在判断企业数据符合安全策略后,对企业数据进行加密,将加密后的企业数据上传至云服务平台;以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密,将解密后的企业数据发送至用户端。
在本发明的一个实施例中,对企业数据进行加密,包括:缺省加密和结构化数据加密。
具体地,本发明需要对云服务平台上存储的企业数据进行合规性判断,包括:
(1)合格标准:SOC-1、SOC-2Type II、FIPS 140-2、ISO 27001;
(2)缺省加密;
(3)结构化数据加密
(4)令牌化技术Tokenization
步骤S4:检测云存储安全网关工作过程中,是否出现异常或恶意代码攻击,如果有则发出报警提示并进行阻止操作。
此外,本发明进一步提供数据泄露防护功能,包括:系统自带的数据保护特性、与第三方DLP集成和实施第三方DLP制定的策略。
步骤S5:对云存储安全网关安全工作中涉及的配置数据、企业数据及传输状态,以可视化界面呈现给用户。
具体地,在本步骤中,可以显示部署选项,包括:带外日志分析、带外API连接器、免代理功能、瘦代理和反向代理。此外,可视化展示模块还用于提供活动感知功能,包括用户、设备和位置的上下文感知,以及检查SSL(Secure Sockets Layer安全套接层)。
在本发明的一个实施例中,用户采用以下三种模式之一访问云服务平台:
(1)直接访问:云存储安全网关运行在用户设备上。
具体地,如图3所示,云计算服务都是采用直接访问云的方式,云存储安全代理如果做成“胖客户端”的形式,可以将云存储安全网关运行在用户设备上,但这种方式存在客户环境复杂,客户操作不便等诸多问题。
(2)代理访问:用户通过云存储安全代理执行所有访问操作,由云存储安全代理根据预先制定的安全策略对用户与云服务平台的交互信息进行安全检查。
具体地,如图4所示,代理访问模式是切断用户与云服务的直接通道,让用户的所有访问均通过云存储安全代理,这样云存储安全代理就可以根据预先制定的策略对用户与云平台的交互信息进行相应的处理。
(3)嵌入API访问:将云存储安全网关的API接口嵌入到应用系统中,由云存储安全代理根据预定义的安全策略对用户与云服务平台的交互数据进行处理,其中,云存储安全代理不对云服务协议进行解析,由用户设备对相应的数据进行处理并指定相应的安全策略。
具体地,如图5所示,对于新开发的应用,可以采用嵌入API的方式。将云存储安全网关的API接口嵌入到应用系统中,用户与云平台的交互自然会经过云存储安全代理,云存储安全代理能够根据策略对用户与云平台的交互数据进行处理,与代理网关的区别在于API访问时,云存储安全代理无须解析云服务的协议,由客户端应用负责对相应的数据进行处理并指定相应的策略。
进一步,本发明实施例的云存储网关的访问方法,还包括如下步骤:存储云存储安全网关工作数据,并以日志形式进行记录。
本发明实施例的云存储安全网关的访问方法还提供HTTP协议解析功能,以及其他常规功能,例如:系统管理、用户管理、权限管理、HA(High Availability,高可用性)和集群管理、监控报表。
根据本发明实施例的云存储安全网关及访问方法,可以根据企业预先定义的安全策略,执行安全检查,将符合预定策略的数据在存放到云平台前进行加密,解密从云平台接收的数据,云存储安全网关能够实现身份认证、单点登录、授权管理、设备画像、加密解密、令牌化tokenization、记录日志、发去警告、对恶意代码进行检测并阻止等功能,满足四可视化、数据安全、合规性和威胁防范的要求。
(1)可视化:发现和分析存储的企业数据和网关工作状态;
(2)数据安全:保护敏感信息不泄露到云环境中;
(3)合规性:符合相关的数据隐私保护要求;
(4)控制力:作为安全策略的执行环境,避免云应用出现数据安全问题;
(5)威胁保护:能够标识从哪访问什么应用,并根据安全策略检测安全风险并阻止不合法的访问行为。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

Claims (8)

1.一种云存储安全网关,其特征在于,所述云存储安全网关部署于企业内部,用于对企业存储在云服务平台上的数据提供安全保护,包括:
身份认证模块,用于接收登录请求,并对该登录请求中携带的用户身份信息进行身份认证,如果认证通过则允许该用户单点登录,授权该用户访问云服务平台;
安全检查模块,用于在接收到授权登录用户的数据上传请求后,对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略;
加解密模块,用于在所述安全检查模块判断企业数据符合安全策略后,对企业数据进行加密,以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密;
传输模块,用于将加密后的企业数据上传至云服务平台,以及将解密后的企业数据发送至用户端;
威胁防护检测模块,用于检测所述云存储安全网关工作过程中,是否出现异常或恶意代码攻击,如果有则发出报警提示并进行阻止操作;
可视化展示模块,用于对所述云存储安全网关安全工作中涉及的配置数据、企业数据及传输状态,以可视化界面呈现给用户。
2.如权利要求1所述的云存储安全网关,其特征在于,用户采用以下三种模式之一访问所述云服务平台:
(1)直接访问:所述云存储安全网关运行在用户设备上;
(2)代理访问:用户通过云存储安全代理执行所有访问操作,由所述云存储安全代理根据预先制定的安全策略对用户与云服务平台的交互信息进行安全检查;
(3)嵌入API访问:将所述云存储安全网关的API接口嵌入到应用系统中,由云存储安全代理根据预定义的安全策略对用户与云服务平台的交互数据进行处理,其中,所述云存储安全代理不对云服务协议进行解析,由用户设备对相应的数据进行处理并指定相应的安全策略。
3.如权利1所述的云存储安全网关,其特征在于,还包括:日志模块,用于存储所述云存储安全网关工作数据,并以日志形式进行记录。
4.如权利1所述的云存储安全网关,其特征在于,所述加解密模块对企业数据进行加密,包括:缺省加密和结构化数据加密。
5.一种云存储安全网关的访问方法,其特征在于,包括如下步骤:
步骤S1:接收登录请求,并对该登录请求中携带的用户身份信息进行身份认证,如果认证通过则允许该用户单点登录,授权该用户访问云服务平台;
步骤S2:在接收到授权登录用户的数据上传请求后,对待上传的企业数据执行安全检查,判断该企业数据是否符合预定义的安全策略;
步骤S3:在判断企业数据符合安全策略后,对企业数据进行加密,将加密后的企业数据上传至云服务平台;以及在接收到用户的数据下载请求后,从对从云服务平台下载的已加密数据进行解密,将解密后的企业数据发送至用户端;
步骤S4:检测所述云存储安全网关工作过程中,是否出现异常或恶意代码攻击,如果有则发出报警提示并进行阻止操作;
步骤S5:对所述云存储安全网关安全工作中涉及的配置数据、企业数据及传输状态,以可视化界面呈现给用户。
6.如权利要求5所述的云存储安全网关的访问方法,其特征在于,用户采用以下三种模式之一访问所述云服务平台:
(1)直接访问:所述云存储安全网关运行在用户设备上;
(2)代理访问:用户通过云存储安全代理执行所有访问操作,由所述云存储安全代理根据预先制定的安全策略对用户与云服务平台的交互信息进行安全检查;
(3)嵌入API访问:将所述云存储安全网关的API接口嵌入到应用系统中,由云存储安全代理根据预定义的安全策略对用户与云服务平台的交互数据进行处理,其中,所述云存储安全代理不对云服务协议进行解析,由用户设备对相应的数据进行处理并指定相应的安全策略。
7.如权利要求5所述的云存储安全网关的访问方法,其特征在于,还包括如下步骤:存储所述云存储安全网关工作数据,并以日志形式进行记录。
8.如权利要求5所述的云存储安全网关的访问方法,其特征在于,在所述步骤S3中,对企业数据进行加密,包括:缺省加密和结构化数据加密。
CN201710630832.5A 2017-07-28 2017-07-28 云存储安全网关及访问方法 Pending CN107438071A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710630832.5A CN107438071A (zh) 2017-07-28 2017-07-28 云存储安全网关及访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710630832.5A CN107438071A (zh) 2017-07-28 2017-07-28 云存储安全网关及访问方法

Publications (1)

Publication Number Publication Date
CN107438071A true CN107438071A (zh) 2017-12-05

Family

ID=60460842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710630832.5A Pending CN107438071A (zh) 2017-07-28 2017-07-28 云存储安全网关及访问方法

Country Status (1)

Country Link
CN (1) CN107438071A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109241752A (zh) * 2018-08-08 2019-01-18 北京君瑞立信科技有限公司 一种自有数据不泄漏给合作方的数据交互系统及方法
CN109639705A (zh) * 2018-12-27 2019-04-16 成都国信安信息产业基地有限公司 云平台安全检测方法
CN110417723A (zh) * 2019-03-29 2019-11-05 广州腾讯科技有限公司 一种应用登录方法、装置、终端和存储介质
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112583828A (zh) * 2020-12-10 2021-03-30 深圳市中博科创信息技术有限公司 一种企业服务门户的安全防护方法
CN113572738A (zh) * 2021-06-29 2021-10-29 中孚安全技术有限公司 一种零信任网络架构及构建方法
CN114500005A (zh) * 2022-01-05 2022-05-13 上海安几科技有限公司 ModbusTcp指令的保护方法、装置、终端及存储介质
CN115205235A (zh) * 2022-06-24 2022-10-18 广州尚融网络科技有限公司 一种血液细胞类型检测系统及方法
CN115378659A (zh) * 2022-07-28 2022-11-22 中国电子科技集团公司第三十研究所 基于用户身份的高可靠文件加密和细粒度访问控制方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102055730A (zh) * 2009-11-02 2011-05-11 华为终端有限公司 云处理系统、云处理方法和云计算代理装置
CN103780609A (zh) * 2014-01-14 2014-05-07 北京淦蓝润和信息技术有限公司 一种云数据的处理方法、装置和云数据安全网关
CN104270465A (zh) * 2014-10-23 2015-01-07 成都双奥阳科技有限公司 一种云存储的保护系统
WO2015195497A1 (en) * 2014-06-17 2015-12-23 Cisco Technology, Inc. Method and apparatus for enforcing storage encryption for data stored in a cloud
CN105354507A (zh) * 2015-10-23 2016-02-24 浙江远望软件有限公司 一种云环境下的数据安全保密方法
CN205647581U (zh) * 2016-03-16 2016-10-12 无锡十月中宸科技有限公司 一种云安全网关及云安全系统
CN106330869A (zh) * 2016-08-15 2017-01-11 江苏敏捷科技股份有限公司 一种基于云应用的数据安全保护系统和方法
CN106856467A (zh) * 2015-12-08 2017-06-16 中国科学院声学研究所 一种部署在云存储客户端的安全代理装置与安全代理方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102055730A (zh) * 2009-11-02 2011-05-11 华为终端有限公司 云处理系统、云处理方法和云计算代理装置
CN103780609A (zh) * 2014-01-14 2014-05-07 北京淦蓝润和信息技术有限公司 一种云数据的处理方法、装置和云数据安全网关
WO2015195497A1 (en) * 2014-06-17 2015-12-23 Cisco Technology, Inc. Method and apparatus for enforcing storage encryption for data stored in a cloud
CN104270465A (zh) * 2014-10-23 2015-01-07 成都双奥阳科技有限公司 一种云存储的保护系统
CN105354507A (zh) * 2015-10-23 2016-02-24 浙江远望软件有限公司 一种云环境下的数据安全保密方法
CN106856467A (zh) * 2015-12-08 2017-06-16 中国科学院声学研究所 一种部署在云存储客户端的安全代理装置与安全代理方法
CN205647581U (zh) * 2016-03-16 2016-10-12 无锡十月中宸科技有限公司 一种云安全网关及云安全系统
CN106330869A (zh) * 2016-08-15 2017-01-11 江苏敏捷科技股份有限公司 一种基于云应用的数据安全保护系统和方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109241752A (zh) * 2018-08-08 2019-01-18 北京君瑞立信科技有限公司 一种自有数据不泄漏给合作方的数据交互系统及方法
CN109639705A (zh) * 2018-12-27 2019-04-16 成都国信安信息产业基地有限公司 云平台安全检测方法
CN110417723A (zh) * 2019-03-29 2019-11-05 广州腾讯科技有限公司 一种应用登录方法、装置、终端和存储介质
CN110417723B (zh) * 2019-03-29 2022-05-06 广州腾讯科技有限公司 一种应用登录方法、装置、终端和存储介质
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112491788B (zh) * 2020-10-20 2023-04-25 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112583828A (zh) * 2020-12-10 2021-03-30 深圳市中博科创信息技术有限公司 一种企业服务门户的安全防护方法
CN113572738A (zh) * 2021-06-29 2021-10-29 中孚安全技术有限公司 一种零信任网络架构及构建方法
CN114500005A (zh) * 2022-01-05 2022-05-13 上海安几科技有限公司 ModbusTcp指令的保护方法、装置、终端及存储介质
CN115205235A (zh) * 2022-06-24 2022-10-18 广州尚融网络科技有限公司 一种血液细胞类型检测系统及方法
CN115378659A (zh) * 2022-07-28 2022-11-22 中国电子科技集团公司第三十研究所 基于用户身份的高可靠文件加密和细粒度访问控制方法
CN115378659B (zh) * 2022-07-28 2024-04-16 中国电子科技集团公司第三十研究所 基于用户身份的高可靠文件加密和细粒度访问控制方法

Similar Documents

Publication Publication Date Title
CN107438071A (zh) 云存储安全网关及访问方法
US11265347B2 (en) Automated testing of network security policies against a desired set of security controls
Diaz Lopez et al. Shielding IoT against cyber‐attacks: an event‐based approach using SIEM
EP3453136B1 (en) Methods and apparatus for device authentication and secure data exchange between a server application and a device
CN106412024B (zh) 一种页面获取方法和装置
CN104798355A (zh) 移动设备管理和安全
US9473298B2 (en) Simplifying IKE process in a gateway to enable datapath scaling using a two tier cache configuration
CN107666383A (zh) 基于https协议的报文处理方法以及装置
Kumar et al. Mobile cloud computing: Standard approach to protecting and securing of mobile cloud ecosystems
Zdziarski Identifying back doors, attack points, and surveillance mechanisms in iOS devices
US11757915B2 (en) Exercising security control point (SCP) capabilities on live systems based on internal validation processing
US10305930B2 (en) Wireless portable personal cyber-protection device
CN111181831B (zh) 通信数据处理方法和装置、存储介质及电子装置
US10735465B2 (en) Securing an endpoint in a computer network
Zhang et al. Oh-Pwn-VPN! security analysis of OpenVPN-based Android apps
Abbas et al. Security assessment and evaluation of VPNs: a comprehensive survey
Au et al. Mobile security and privacy: Advances, challenges and future research directions
Tully et al. Mobile security: a practitioner’s perspective
EP3058498B1 (en) Crm security core
CN107276874B (zh) 网络连接方法、装置、电子设备及存储介质
Zeybek et al. A study on security awareness in mobile devices
CN110417638B (zh) 通信数据处理方法和装置、存储介质及电子装置
CN109522708B (zh) 对应用程序的运行环境进行安全管控方法及装置
KR102534012B1 (ko) 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법
Thangavel et al. Threats and vulnerabilities of mobile applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100000 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001

Applicant after: Beijing Xin'an century Polytron Technologies Inc

Address before: 100093 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001

Applicant before: Beijing Infosec Technologies Co.,Ltd.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20171205