CN107463428B - 一种用于虚拟化环境下的补丁管理方法和装置 - Google Patents

一种用于虚拟化环境下的补丁管理方法和装置 Download PDF

Info

Publication number
CN107463428B
CN107463428B CN201710517147.1A CN201710517147A CN107463428B CN 107463428 B CN107463428 B CN 107463428B CN 201710517147 A CN201710517147 A CN 201710517147A CN 107463428 B CN107463428 B CN 107463428B
Authority
CN
China
Prior art keywords
virtual machine
patch
patch management
platform
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710517147.1A
Other languages
English (en)
Other versions
CN107463428A (zh
Inventor
璧典寒
赵亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Linkdood Technologies SdnBhd
Original Assignee
Linkdood Technologies SdnBhd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Linkdood Technologies SdnBhd filed Critical Linkdood Technologies SdnBhd
Priority to CN201710517147.1A priority Critical patent/CN107463428B/zh
Publication of CN107463428A publication Critical patent/CN107463428A/zh
Application granted granted Critical
Publication of CN107463428B publication Critical patent/CN107463428B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44521Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
    • G06F9/44526Plug-ins; Add-ons
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/4881Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mathematical Physics (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种用于虚拟化环境下的补丁管理方法,在虚拟化平台上部署平台代理,在虚拟机上部署虚拟机代理,在虚拟化平台或虚拟机上部署补丁管理管控平台,补丁管理管控平台控制虚拟机代理进行所述补丁管理工作中的漏洞扫描任务,若存在未修复的漏洞,补丁管理管控平台控制虚拟机代理进行补丁管理工作中的补丁修复任务。本发明提供的用于虚拟化环境下的补丁管理方法,具有以下优点:能够实现虚拟机的开启与关闭以及虚拟机、模板之间的转化,对漏洞修复任务智能调度。本发明还提供一种用于虚拟化环境下的补丁管理装置。

Description

一种用于虚拟化环境下的补丁管理方法和装置
技术领域
本发明涉及虚拟化环境下的终端安全技术领域,具体涉及一种用于虚拟化环境下的补丁管理方法和装置。
背景技术
补丁管理是终端安全最基本的环节。在虚拟化环境下,作为补丁管理核心要素的漏洞修复依旧是安全防护和虚拟机加固的重要环节。当前,虚拟化环境下的补丁管理方案多是将传统的、非虚拟化环境下的补丁管理解决方案直接迁移到虚拟化环境下,依赖于C/S架构,没有充分发挥虚拟机技术的特色。当虚拟机处于关机态或转化为模板时,无法对离线虚拟机(即处于关机状态的虚拟机)和模板虚拟机进行漏洞扫描、修复等补丁管理工作。并且补丁管理是一个长期持续性的运维工作,如果没有良好的自动化运维机制,就需要长期的人工干预,而运维人员的疏忽、失误是无法彻底避免的,会带来安全隐患。虚拟化环境下,一台物理节点上可以部署多台虚拟机,虚拟机之间存在资源竞争。而漏洞修复任务是高资源消耗的作业,尤其对IO资源的占用需求极高。因此,如果没有良好的调度机制,同一物理节点上的虚拟机同时进行漏洞修复任务时,服务器的资源可能出现短缺,严重影响虚拟机的使用体验。
因此需要提出一种用于虚拟化环境下的补丁管理方法和装置,能够实现虚拟机的开启与关闭以及虚拟机、模板之间的转化,对漏洞修复任务智能调度。
发明内容
针对上述现有技术中的问题,需要能够实现虚拟机的开启与关闭以及虚拟机、模板之间的转化,以及对漏洞修复任务智能调度,本发明的目的在于提供一种用于虚拟化环境下的补丁管理方法和装置。
为了实现上述目的,本发明采用的技术方案如下:
根据本发明,提供了一种用于虚拟化环境下的补丁管理方法,包括以下步骤:
S00:在一个或多个虚拟化平台中的每一个上部署一个或多个虚拟机;
在虚拟化平台上部署平台代理,平台代理采集、监控虚拟化平台的资源使用情况;
在虚拟机上部署虚拟机代理,虚拟机代理采集、监控虚拟机的资源使用情况;
S10:在虚拟化平台或虚拟机上部署补丁管理管控平台,并且补丁管理管控平台具有虚拟机分组机制、补丁筛选机制、策略机制;
其中策略机制的配置项包括虚拟化平台的资源使用率阈值、虚拟机的资源使用率阈值、定时扫描类型、定时扫描时间、允许修复的时间段;
S20:补丁管理管控平台自动控制虚拟机代理进行所述补丁管理工作中的漏洞扫描任务,返回扫描结果;
S30:若返回的扫描结果为存在未修复的漏洞,进行步骤S40;
S40:补丁管理管控平台自动地控制虚拟机代理进行补丁管理工作中的补丁修复任务。
进一步地,步骤S20包括:
S21:判断所述虚拟机的状态,若是离线虚拟机,补丁管理管控平台调用虚拟化平台操作接口,开启虚拟机后,然后执行步骤S22、S23、S24、 S25;若是模板,补丁管理管控平台调用虚拟化平台操作接口,将模板转化为虚拟机,并且开启虚拟机,然后执行步骤S22、S23、S24、S25;
S22:虚拟机分组机制将虚拟机划分为逻辑组;
S23:补丁筛选机制对补丁筛选过滤,并且分配到指定的逻辑组;
S24:策略机制自动地定时驱动补丁管理管控平台向虚拟机代理下发漏洞扫描任务,获取虚拟机的补丁修复情况;
S25:虚拟机代理执行漏洞扫描任务,并且将扫描结果上报补丁管理管控平台。
进一步地,步骤S40包括:
S41:依据策略机制中的允许修复的时间段的配置项,在允许虚拟机进行补丁修复的时间内,向虚拟机代理下发漏洞补丁修复任务;
S42:虚拟机代理执行补丁修复任务;
S43:补丁管理管控平台依据虚拟化平台代理、虚拟机代理实时上报的资源使用情况,实时决策补丁修复任务的暂停或继续,若虚拟化平台的资源使用率高于虚拟化平台的资源使用率阈值或虚拟机的资源使用率高于虚拟机的资源使用率阈值,通知虚拟机代理暂停补丁修复任务,若虚拟化平台的资源使用率低于虚拟化平台的资源使用率阈值并且虚拟机的资源使用率低于虚拟机的资源使用率阈值,通知虚拟机代理继续补丁修复任务;
S44:将修复结果上报补丁管理管控平台;
S45:补丁管理管控平台等待补丁修复任务结束后,将离线虚拟机关闭和/或将模板虚拟机转化为模板,并且等待下一次任务的触发。
进一步地,还包括:
补丁管理管控平台的补丁数据信息更新后,自动触发步骤S20中的漏洞扫描任务,依次执行步骤S20、S30、S40。
进一步地,虚拟机分组机制将处于同一或不同虚拟化平台下的虚拟机划归到一个逻辑分组里,以便统一进行补丁管理工作。
进一步地,补丁筛选机制针对补丁级别、补丁所属产品类型、黑白名单机制来对补丁进行筛选过滤,以及进行针对性的补丁管理工作。
进一步地,虚拟机分组机制和/或补丁筛选机制与策略机制绑定。
进一步地,补丁管理管控平台接收虚拟机代理、虚拟化平台代理上报的资源使用状态、任务执行结果,并且生成统计报表或统计视图。
本发明实施例的另一方面,还提供了一种用于虚拟化环境下的补丁管理装置,使用了上述方法。
本发明实施例的另一方面,还提供了一种计算机设备,包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述的方法。
本发明通过以上技术方案,能够获得以下有益技术效果:
借助虚拟化平台提供的操作接口,实现虚拟机的开启与关闭以及虚拟机、模板之间的转化,从而实现可以对离线虚拟机、模板虚拟机实时进行漏洞风险监控与修复;同时,采用“双代理模式”,即在终端虚拟机与虚拟化平台上同时部署代理,自动实时监控终端虚拟机、虚拟化平台的资源使用情况,从而实现对漏洞修复任务的智能调度,避免硬件资源的恶意竞争。此外,策略机制、虚拟机分组机制以及补丁筛选机制,使补丁管理工作更有针对性,避开虚拟机高峰使用时段,降低因漏洞修复作业对用户虚拟机使用体验的影响。
当然,实施本发明的任一产品必不一定需要同时达到以上所述的所有技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的用于虚拟化环境下的补丁管理方法的流程图;
图2为本发明实施例所述的用于虚拟化环境下的补丁管理方法的漏洞扫描步骤的流程图;
图3为本发明实施例所述的用于虚拟化环境下的补丁管理方法的补丁修复的流程图;
图4为本发明实施例所述的用于虚拟化环境下的补丁管理装置的示意图;
图5为本发明实施例所述的用于虚拟化环境下的补丁管理方法的计算机设备的一个实施例的硬件结构示意图。
具体实施方式
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包括”为一开放式用语,故应解释成“包括但不限定于”。说明书后续描述为实施本发明的较佳实施方式,然而所述描述乃以说明本发明的一般原则为目的,并非用以限定本发明的范围。本发明的保护范围当视所附权利要求所界定者为准。
本发明的一个实施例中,如图1-3所示,提供了一种用于虚拟化环境下的补丁管理方法,包括以下步骤:首先,在一个或多个虚拟化平台(即物理节点、亦即物理服务器)中的每一个上部署一个或多个虚拟机;并且在虚拟化平台上部署平台代理,平台代理采集、监控虚拟化平台的资源使用情况;以及在虚拟机上部署虚拟机代理,虚拟机代理采集、监控虚拟机的资源使用情况;之后在虚拟化平台或虚拟机上部署补丁管理管控平台,并且补丁管理管控平台具有虚拟机分组机制、补丁筛选机制、策略机制;其中策略机制的配置项包括虚拟化平台的资源使用率阈值、虚拟机的资源使用率阈值、定时扫描类型、定时扫描时间、允许修复的时间段,其中上述配置项需要最初由使用者进行配置和设定,而在配置和设定之后,策略机制可根据配置项自动运行;然后,所述补丁管理管控平台控制虚拟机代理自动进行补丁管理工作中的漏洞扫描任务,返回扫描结果;若返回的扫描结果为存在未修复的漏洞,则进行下一步骤,即,补丁管理管控平台自动地控制虚拟机代理进行补丁管理工作中的补丁修复任务。当补丁管理管控平台的补丁数据信息更新后,自动触发漏洞扫描任务,并且依次执行上述漏洞扫描、扫描结果判断、补丁修复步骤,从而避免补丁修复不及时,降低补丁防护间隙。等待策略机制的定时触发,从而实现补丁管理的自动化、智能化。
其中,虚拟机分组机制将处于同一或不同虚拟化平台下的虚拟机划归到一个逻辑分组里,以便统一进行补丁管理工作。补丁筛选机制针对补丁级别、补丁所属产品类型、黑白名单机制来对补丁进行筛选过滤,以及进行针对性的补丁管理工作。其中,最初由使用者对补丁筛选机制进行配置,使补丁筛选机制自动对补丁进行筛选、过滤,筛选过滤结果由使用者对其的配置决定。在对补丁筛选机制进行配置之后,补丁筛选机制可自动运行,即可长期使用,无需人工介入。而当使用者需要调整筛选过滤效果时,则再次进行配置。补丁管理工作可以是漏洞扫描任务、补丁修复任务,还可以是其他关于漏洞和补丁的任务。虚拟机分组机制和/或补丁筛选机制与策略机制绑定。
进一步地,漏洞扫描步骤包括:首先,判断虚拟机的状态,其中虚拟化平台下,虚拟机状态有三种:开机态、关机态(即离线虚拟机)、模板态(即模板、模板虚拟机),若是判断虚拟机的状态为离线虚拟机,即关机态虚拟机,补丁管理管控平台调用虚拟化平台操作接口,开启虚拟机后,然后,虚拟机分组机制将虚拟机划分为逻辑组;之后,补丁筛选机制对补丁筛选过滤,并且分配到指定的逻辑组;然后,策略机制驱动补丁管理管控平台的策略机制中的定时扫描配置项自动地定时向虚拟机代理下发漏洞扫描任务,获取虚拟机的补丁修复情况,其中该补丁修复情况包括:虚拟机当前已修复补丁、当前未修复补丁、当前已过期补丁;之后,虚拟机代理执行漏洞扫描任务,并且将扫描结果上报补丁管理管控平台。
其中若是判断虚拟机的状态为模板,即模板态的虚拟机,补丁管理管控平台调用虚拟化平台操作接口,将模板转化为虚拟机,并且开启虚拟机,然后,虚拟机分组机制将虚拟机划分为逻辑组;之后,补丁筛选机制对补丁筛选过滤,并且分配到指定的逻辑组;然后,策略机制驱动补丁管理管控平台的策略机制中的定时扫描配置项自动地定时向虚拟机代理下发漏洞扫描任务,获取虚拟机的补丁修复情况,其中该补丁修复情况包括:虚拟机当前已修复补丁、当前未修复补丁、当前已过期补丁;之后,虚拟机代理执行漏洞扫描任务,并且将扫描结果上报补丁管理管控平台。
其中,依据策略机制绑定的虚拟机分组机制,决定向哪些虚拟机代理下发漏洞扫描任务;依据策略机制绑定补丁筛选机制,决定向虚拟机下发哪些补丁项。
进一步地,补丁修复步骤包括:首先,依据策略机制中的允许修复的时间段的配置项,在允许虚拟机进行补丁修复的时间内,向虚拟机代理下发漏洞补丁修复任务;然后,虚拟机代理执行补丁修复任务;之后,补丁管理管控平台依据虚拟化平台代理、虚拟机代理实时上报的资源使用情况,实时决策补丁修复任务的暂停或继续,若虚拟化平台的资源使用率高于虚拟化平台的资源使用率阈值或虚拟机的资源使用率高于虚拟机的资源使用率阈值,通知虚拟机代理暂停补丁修复任务,若虚拟化平台的资源使用率低于虚拟化平台的资源使用率阈值并且虚拟机的资源使用率低于虚拟机的资源使用率阈值,通知虚拟机代理继续补丁修复任务;然后,将修复结果上报补丁管理管控平台;之后,补丁管理管控平台等待补丁修复任务结束后,将离线虚拟机关闭和/或将模板虚拟机转化为模板,并且等待下一次任务的触发。
进一步地,补丁管理管控平台接收虚拟机代理、虚拟化平台代理上报的资源使用状态、任务执行结果,并且生成统计报表或统计视图。
本实施例中的步骤顺序仅为一种示例的步骤顺序,在其他实施方式中可以改变其中若干步骤之间的顺序,同时也可以省略其中某个或某些步骤。
本发明的一个具体实施例中,如图4所示,提供一种用于虚拟化环境下的补丁管理装置,其中,一个或多个虚拟化平台中的每一个上部署有一个或多个虚拟机;虚拟化平台上部署有平台代理,平台代理采集、监控虚拟化平台的资源使用情况;虚拟机上部署有虚拟机代理,虚拟机代理采集、监控虚拟机的资源使用情况,并且进行补丁管理工作,即执行漏洞扫描、漏洞修复等任务,并将虚拟机资源使用状况、漏洞扫描任务执行结果、漏洞修复任务执行结果实时上报;虚拟化平台或虚拟机上部署有补丁管理管控平台,其中补丁管理管控平台调用虚拟化平台提供的操作接口,实现虚拟机的开启与关闭,以及实现虚拟机与模板之间的相互转化,同时可以获取虚拟化平台中虚拟机的列表信息。
其中,补丁管理管控平台具有:虚拟机分组机制、补丁筛选机制、策略机制,虚拟机分组机制将处于同一或不同虚拟化平台下的虚拟机划归到一个逻辑分组里,以便统一进行补丁管理工作。补丁筛选机制针对补丁级别、补丁所属产品类型(如office 2013、office2007等)、黑白名单机制来对补丁进行筛选过滤,以及进行针对性的如漏洞扫描、修复等的补丁管理工作。策略机制定时触发,驱动补丁管理管控平台向虚拟机代理下发补丁管理工作。
进一步地,策略机制中的配置项包括:虚拟化平台的资源使用率阈值、虚拟机的资源使用率阈值、定时扫描类型(每日、每周、每月等)、定时扫描时间、允许修复的时间段;其中,虚拟化平台的资源使用率阈值和虚拟机的资源使用率阈值确定补丁管理工作是否继续;定时扫描类型和定时扫描时间确定定时扫描的触发方式和时间;允许修复的时间段将补丁管理工作设置在虚拟机的空闲时间进行。虚拟机分组机制和/或补丁筛选机制与策略机制绑定。
如图5所示,为本发明提供的用于虚拟化环境下的补丁管理方法的计算机设备的一个实施例的硬件结构示意图。
以如图5所示的计算机设备为例,在该计算机设备中包括一个处理器 301以及一个存储器302,并还可以包括:输入装置303和输出装置304。
处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接,图5中以通过总线连接为例。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的用于虚拟化环境下的补丁管理方法对应的程序指令/模块。处理器301 通过运行存储在存储器302中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的用于虚拟化环境下的补丁管理方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据用于虚拟化环境下的补丁管理装置的使用所创建的数据等。此外,存储器 302可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置303可接收输入的数字或字符信息,以及产生与用于虚拟化环境下的补丁管理装置的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。
所述一个或者多个用于虚拟化环境下的补丁管理方法对应的程序指令/模块存储在所述存储器302中,当被所述处理器301执行时,执行上述任意方法实施例中的用于虚拟化环境下的补丁管理方法。
以上实施例提供的一种用于虚拟化环境下的补丁管理方法和装置,具有以下有益效果:
借助虚拟化平台提供的操作接口,可以自动地随时对所有虚拟机,包括离线虚拟机、模板虚拟机进行漏洞修复工作,实现虚拟机的开启与关闭以及虚拟机、模板之间的转化,从而到达可以对离线虚拟机、模板虚拟机实时自动地进行漏洞风险监控与修复,降低防护间隙,避免漏洞修复不及时代理的安全风险;同时,采用“双代理模式”,即在终端虚拟机与虚拟化平台上同时部署代理,实时监控终端虚拟机、虚拟化平台的资源使用情况,对虚拟机、虚拟化平台的实时资源使用监控,从而实现对漏洞修复任务 的智能调度,避免硬件资源的恶意竞争。此外,策略机制、虚拟机分组机制以及补丁筛选机制,实现补丁管理的自动化、智能化,使补丁管理工作更有针对性,避开虚拟机高峰使用时段,降低因漏洞修复作业对用户虚拟机使用体验的影响。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的若干实施例而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种用于虚拟化环境下的补丁管理方法,其特征在于,包括以下步骤:
S00:在一个或多个虚拟化平台中的每一个上部署一个或多个虚拟机;
在所述虚拟化平台上部署平台代理,所述平台代理采集、监控所述虚拟化平台的资源使用率情况;
在所述虚拟机上部署虚拟机代理,所述虚拟机代理采集、监控所述虚拟机的资源使用率情况;
S10:在所述虚拟化平台或所述虚拟机上部署补丁管理管控平台,并且所述补丁管理管控平台具有虚拟机分组机制、补丁筛选机制、策略机制;
其中所述策略机制的配置项包括所述虚拟化平台的资源使用率阈值、所述虚拟机的资源使用率阈值、定时扫描类型、定时扫描时间、允许修复的时间段;
S20:所述补丁管理管控平台自动控制所述虚拟机代理进行补丁管理工作中的漏洞扫描任务,返回扫描结果;
S30:若返回的扫描结果为存在未修复的漏洞,进行步骤S40;
S40:所述补丁管理管控平台自动地控制所述虚拟机代理进行所述补丁管理工作中的补丁修复任务;
其中所述补丁管理管控平台依据所述平台代理、所述虚拟机代理实时上报的资源使用率情况,实时决策补丁修复任务的暂停或继续。
2.根据权利要求1所述的补丁管理方法,其特征在于,步骤S20包括:
S21:判断所述虚拟机的状态,若是离线虚拟机,所述补丁管理管控平台调用虚拟化平台操作接口,开启所述虚拟机后,然后执行步骤S22、S23、S24、S25;若是模板,所述补丁管理管控平台调用虚拟化平台操作接口,将模板转化为虚拟机,并且开启所述虚拟机,然后执行步骤S22、S23、S24、S25;
S22:所述虚拟机分组机制将所述虚拟机划分为逻辑组;
S23:所述补丁筛选机制对补丁筛选过滤,并且分配到指定的逻辑组;
S24:所述策略机制定时驱动所述补丁管理管控平台向所述虚拟机代理下发所述漏洞扫描任务,获取所述虚拟机的补丁修复情况;
S25:所述虚拟机代理执行所述漏洞扫描任务,并且将扫描结果上报所述补丁管理管控平台。
3.根据权利要求1所述的补丁管理方法,其特征在于,步骤S40包括:
S41:依据所述策略机制中的所述允许修复的时间段的配置项,在允许所述虚拟机进行补丁修复的时间内,向所述虚拟机代理下发漏洞补丁修复任务;
S42:所述虚拟机代理执行补丁修复任务;
S43:若所述虚拟化平台的资源使用率高于所述虚拟化平台的资源使用率阈值或所述虚拟机的资源使用率高于所述虚拟机的资源使用率阈值,通知所述虚拟机代理暂停补丁修复任务,若所述虚拟化平台的资源使用率低于所述虚拟化平台的资源使用率阈值并且所述虚拟机的资源使用率低于所述虚拟机的资源使用率阈值,通知所述虚拟机代理继续补丁修复任务;
S44:将修复结果上报所述补丁管理管控平台;
S45:所述补丁管理管控平台等待补丁修复任务结束后,将离线虚拟机关闭和/或将模板虚拟机转化为模板,并且等待下一次任务的触发。
4.根据权利要求1所述的补丁管理方法,其特征在于,还包括:
所述补丁管理管控平台的补丁数据信息更新后,自动触发步骤S20中的漏洞扫描任务,依次执行步骤S20、S30、S40。
5.根据权利要求1所述的补丁管理方法,其特征在于:
所述虚拟机分组机制将处于同一或不同所述虚拟化平台下的所述虚拟机划归到一个逻辑分组里,以便统一进行补丁管理工作。
6.根据权利要求1所述的补丁管理方法,其特征在于:
所述补丁筛选机制针对补丁级别、补丁所属产品类型、黑白名单机制来对补丁进行筛选过滤,以及进行针对性的补丁管理工作。
7.根据权利要求5或6所述的补丁管理方法,其特征在于:
所述虚拟机分组机制和/或所述补丁筛选机制与所述策略机制绑定。
8.根据权利要求1所述的补丁管理方法,其特征在于:
所述补丁管理管控平台接收所述虚拟机代理、所述平台代理上报的资源使用状态、任务执行结果,并且生成统计报表或统计视图。
9.一种用于虚拟化环境下的补丁管理装置,其特征在于,使用如权利要求1-8任意一项所述的方法。
10.一种计算机设备,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-8任意一项所述的方法。
CN201710517147.1A 2017-06-29 2017-06-29 一种用于虚拟化环境下的补丁管理方法和装置 Active CN107463428B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710517147.1A CN107463428B (zh) 2017-06-29 2017-06-29 一种用于虚拟化环境下的补丁管理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710517147.1A CN107463428B (zh) 2017-06-29 2017-06-29 一种用于虚拟化环境下的补丁管理方法和装置

Publications (2)

Publication Number Publication Date
CN107463428A CN107463428A (zh) 2017-12-12
CN107463428B true CN107463428B (zh) 2020-06-02

Family

ID=60546504

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710517147.1A Active CN107463428B (zh) 2017-06-29 2017-06-29 一种用于虚拟化环境下的补丁管理方法和装置

Country Status (1)

Country Link
CN (1) CN107463428B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108900366A (zh) * 2018-09-26 2018-11-27 江苏曲速教育科技有限公司 统一数据中心管理系统及其管理方法
CN110413305A (zh) * 2019-06-06 2019-11-05 奇安信科技集团股份有限公司 精细化的漏洞修复管理方法、装置及电子设备
CN111090470A (zh) * 2019-10-15 2020-05-01 平安科技(深圳)有限公司 云主机的安全启动方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571906A (zh) * 2010-10-20 2012-07-11 微软公司 打补丁期间机器的高可用性
CN103365683A (zh) * 2012-03-28 2013-10-23 国际商业机器公司 用于端到端补丁自动化和集成的方法和系统
US9189294B2 (en) * 2009-10-16 2015-11-17 Verizon Patent And Licensing Inc. Environment preserving cloud migration and management

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7409719B2 (en) * 2004-12-21 2008-08-05 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
CN102103518B (zh) * 2011-02-23 2013-11-13 运软网络科技(上海)有限公司 一种在虚拟化环境中管理资源的系统及其实现方法
US20130283263A1 (en) * 2012-04-19 2013-10-24 Dincloud, Inc. System and method for managing resources in a virtual machine environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9189294B2 (en) * 2009-10-16 2015-11-17 Verizon Patent And Licensing Inc. Environment preserving cloud migration and management
CN102571906A (zh) * 2010-10-20 2012-07-11 微软公司 打补丁期间机器的高可用性
CN103365683A (zh) * 2012-03-28 2013-10-23 国际商业机器公司 用于端到端补丁自动化和集成的方法和系统

Also Published As

Publication number Publication date
CN107463428A (zh) 2017-12-12

Similar Documents

Publication Publication Date Title
CN107463428B (zh) 一种用于虚拟化环境下的补丁管理方法和装置
CN109445944B (zh) 一种基于dpdk的网络数据采集处理系统及其方法
CN106161418B (zh) 一种异构功能等价体输出服务响应的装置及方法
CN104468407B (zh) 实现业务平台资源弹性分配的方法与装置
CN110457197B (zh) 服务测试方法、装置、计算机设备和存储介质
EP1963989B1 (en) Program execution service windows
CN108073520B (zh) 一种内存控制方法及装置
CN102081554A (zh) 云计算操作系统及其内核控制系统及方法
CN105138905A (zh) Linux应用程序的隔离运行方法
CN111240935B (zh) 一种自动化智能运维系统及运维方法
CN105101138A (zh) 流量管控方法、系统及终端
CN108052385A (zh) 一种容器管理方法、系统、设备及计算机存储介质
CN113590337A (zh) 一种云环境下自动调整云主机配置的方法及装置
CN104572286A (zh) 一种基于分布式内存集群的任务调度方法
CN112685160A (zh) 定时任务的调度方法、装置,终端设备及计算机存储介质
CN115033375A (zh) 集群模式下分布式任务调度方法、装置、设备及存储介质
CN112989335A (zh) 汽车防护方法、汽车客户端、云服务器及系统
CN109213105A (zh) 一种可重构装置、实现可重构的方法及分布式控制系统
CN112003821B (zh) 一种云平台安全管理方法、系统以及安全管理服务器
CN105487917A (zh) 一种虚拟机实现验证码系统修复的方法及装置
CN103391211A (zh) 一种按策略自动执行配置管理的装置及方法
CN104349506A (zh) 关联管理方法、无线接入设备及系统
CN111343655A (zh) 无线网络的实现方法、无线网络的实现装置及存储介质
CN109992388A (zh) 一种用于核电厂安全级设备软件多任务管理系统
CN113010277A (zh) 一种基于自动化运维的多条件触发自动作业系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant