CN107786517A - 云安全业务的部署方法、系统以及安全控制系统 - Google Patents
云安全业务的部署方法、系统以及安全控制系统 Download PDFInfo
- Publication number
- CN107786517A CN107786517A CN201610768454.2A CN201610768454A CN107786517A CN 107786517 A CN107786517 A CN 107786517A CN 201610768454 A CN201610768454 A CN 201610768454A CN 107786517 A CN107786517 A CN 107786517A
- Authority
- CN
- China
- Prior art keywords
- security
- user
- virtual
- control system
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000012545 processing Methods 0.000 claims description 18
- 238000012508 change request Methods 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 11
- 238000012423 maintenance Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云安全业务的部署方法、系统以及安全控制系统,涉及云计算技术领域。本发明通过新增安全控制系统,实现对用户开通云安全业务的请求的自动识别,自动提取对应的虚拟安全资源和安全策略并将安全策略统一发送至各个虚拟安全资源,并自动将各个虚拟安全资源的地址信息发送至软件定义网络控制系统构建业务链,完成云安全业务的自动部署,节省了人工,提高了效率。
Description
技术领域
本发明涉及云计算技术领域,特别涉及一种云安全业务的部署方法、系统以及安全控制系统。
背景技术
云计算的核心理念就是通过互联网络为用户提供按需的IT资源服务,将资源划分为多组的业务逻辑单元并提供给用户,实现云服务的资源虚拟化。随着云计算技术的不断发展,如何确保用户的资源和业务在虚拟化的环境中的安全性,变得越来越重要。
为了满足用户的各种网络安全防范要求,不少服务提供商推出了云安全业务,例如防火墙访问控制、DDoS(Distributed Denial of Service,分布式拒绝服务)攻击防护、网络异常流量的检测、在线病毒和木马查杀等服务。这些安全业务利用虚拟化的安全资源为用户提供安全保障。用户的数据报文在网络中传递时,经过各个虚拟安全资源,形成业务链,提供给用户安全、快速、稳定的网络服务。
然而,目前用户订购云安全业务,仍需要维护人员手动获取用户的虚拟机相关的信息制定安全策略,并手动的去查找各个安全资源,为各个安全资源进行安全策略的配置等过程,从而实现云安全业务的部署,这种人工的部署方法无法应对云技术环境下的用户需求的快速变化,效率低下。
发明内容
本发明所要解决的一个技术问题是:如何自动实现云安全业务的部署,提高部署效率。
根据本发明的一个方面,提供的一种云安全业务的部署方法,包括:安全控制系统获取用户开通安全业务的请求,开通安全业务的请求中包括用户欲开通的安全业务的标识;安全控制系统根据用户欲开通的安全业务的标识,识别用户欲开通的安全业务,提取所需的虚拟安全资源和安全策略;安全控制系统为用户分配虚拟安全资源;安全控制系统将安全策略发送至各个虚拟安全资源;安全控制系统将用户的地址信息以及各个虚拟安全资源的地址信息发送至软件定义网络控制系统,以便软件定义网络控制系统将用户的流量引导至各个虚拟安全资源进行处理。
根据本发明的第二个方面,提供的一种安全控制系统,包括:开通请求获取单元,用于获取用户开通云安全业务的请求,开通云安全业务的请求中包括用户欲开通的安全业务的标识;安全业务分析单元,用于根据用户欲开通的安全业务的标识,识别用户欲开通的安全业务,提取所需的虚拟安全资源和安全策略;安全资源调度单元,用于为用户分配虚拟安全资源;安全策略配置单元,用于将安全策略发送至各个虚拟安全资源;地址信息发送单元,用于将用户的地址信息以及各个虚拟安全资源的地址信息发送至软件定义网络控制系统,以便软件定义网络控制系统将用户的流量引导至各个虚拟安全资源进行处理。
根据本发明的第三个方面,提供的一种云安全业务的部署系统,包括:前述实施例的安全控制系统,以及软件定义网络控制系统和云管理系统,软件定义网络控制系统,用于接收安全控制系统发送的用户的地址信息与各个虚拟安全资源的地址信息,根据用户的地址信息与各个虚拟安全资源的地址信息构建业务链,将用户的流量引导至各个虚拟安全资源进行处理;云管理系统,用于接收安全控制系统的指令,创建或删除虚拟安全资源。
本发明通过新增安全控制系统,实现对用户开通云安全业务的请求的自动识别,自动提取对应的虚拟安全资源和安全策略并将安全策略统一发送至各个虚拟安全资源,并自动将各个虚拟安全资源的地址信息发送至软件定义网络控制系统构建业务链,完成云安全业务的自动部署,节省了人工,提高了效率。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明的一个实施例的云安全业务的部署方法的流程示意图。
图2示出本发明的另一个实施例的云安全业务的部署方法的流程示意图。
图3示出本发明的一个实施例的安全控制系统的结构示意图。
图4示出本发明的一个实施例的云安全业务的部署系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中需要维护人员手动部署云安全业务,效率很低的问题,提出本方案。
以下参考图1至图2描述本发明的云安全业务的部署方法。
图1为本发明云安全业务的部署方法一个实施例的流程图。如图1所示,该实施例的方法包括:
步骤S102,安全控制系统获取用户开通云安全业务的请求。
其中,开通云安全业务的请求中包括用户欲开通的安全业务的标识,还携带用户的标识等信息。安全控制系统例如从业务自服务系统获取用户开通云安全业务的请求,即用户在业务自服务系统可以进行元安全业务的一键开通,业务自服务系统将用户开通云安全业务的请求转发至安全控制系统。
步骤S104,安全控制系统根据用户欲开通的安全业务的标识,识别用户欲开通的安全业务,提取所需的虚拟安全资源和安全策略。
具体的,安全控制系统将用户欲开通的安全业务分解为对应的至少一个安全应用,提取各个安全应用对应的虚拟安全资源。其中,各个安全应用相互独立,并可以根据用户的安全业务需求任意组合。
安全业务与安全应用的对应关系可以根据服务商提供的服务预先进行配置,例如,用户欲开通的安全业务为网站安全监控业务时,可以将网站安全监控业务分解为WAF(Web Application Firewall,网站应用级入侵防御系统)、Web(网络)安全扫描以及网站安全监控等安全应用。虚拟安全资源可以提供与安全应用相对应的安全服务,安全应用与虚拟安全资源的对应关系,在安全控制系统中预先进行配置。
安全控制系统查看是否存在未被占用的与各个安全应用相对应的虚拟安全资源,如果存在未被占用的虚拟安全资源,则为用户配置该虚拟安全资源,如果虚拟安全资源不足,安全控制系统调用云管理系统创建新的虚拟安全资源,并获取新建的虚拟安全资源的配置信息,例如IP地址等信息。其中,虚拟安全资源指的是NFV形态的安全资源,即以虚拟软件的形式运行在通用商业硬件上。虚拟安全资源池指的是同类虚拟安全资源之间通过集群技术或者分布式计算技术,形成的网络安全能力池。
具体的,安全控制系统获取用户的虚拟机配置信息,根据用户的虚拟机配置信息以及欲开通的安全业务提取对应的安全策略。
其中,由于安全策略针对不同的用户以及不同的安全业务区别较大,因此,安全策略由维护人员制定或辅助制定,并由安全控制系统进行提取。安全控制系统将获取的用户的虚拟机配置信息防护目标相关信息,例如用户的标识、用户名称、用户所属的VM(虚拟机)属性、VM的IP地址等信息,以及安全业务需求通知维护人员,由维护人员进行安全策略的制定。例如,针对防火墙业务,根据业务需求以及VM的属性划分安全域制定访问控制策略。
步骤S105,安全控制系统为用户分配虚拟安全资源。
其中,安全控制系统例如存储用户与虚拟安全资源的映射关系表,需要将提取的虚拟安全资源与用户的对应关系添加至该映射关系表,便于安全控制系统对虚拟安全资源的统一管理。
步骤S106,安全控制系统将安全策略发送至各个虚拟安全资源。
其中,由安全控制系统将安全策略统一下发到各个虚拟安全资源,各个虚拟安全资源接收到安全策略后进行配置,当用户的数据报文到达时根据该用户对应的安全策略进行处理。现有技术中,人为的对各个虚拟安全资源进行安全策略的配置,面对规模的动态变化的云计算环境,容易出现失误,造成安全策略不同步,应用本方案的方法降低了安全策略不同步的风险。
步骤S108,安全控制系统将用户的地址信息以及各个虚拟安全资源的地址信息发送至SDN(Software Defined Network,软件定义网络)控制系统。
其中,安全控制系统从云管理系统或安全资源池获取各个虚拟安全资源的地址信息,地址信息例如为IP地址。
步骤S110,SDN控制系统将用户的流量引导至各个虚拟安全资源进行处理。
具体的,SDN控制系统根据用户的地址信息与各个虚拟安全资源的地址信息构建业务链,将用户的流量引导至各个虚拟安全资源进行处理。
上述实施例的方法,通过新增安全控制系统,实现对用户开通云安全业务的请求的自动识别,自动提取对应的虚拟安全资源和安全策略并将安全策略统一发送至各个虚拟安全资源,并自动将各个虚拟安全资源的地址信息发送至软件定义网络控制系统构建业务链,完成云安全业务的自动部署,节省了人工,提高了效率,此外,实现了安全控制系统对安全资源和安全策略的自动化的统一管理,降低了安全策略不同步的风险。
本发明还提供如何根据用户的变更安全业务的请求进行部署的方法,下面结合图2进行描述。
图2为本发明云安全业务的部署方法另一个实施例的流程图。如图2所示,该实施例的方法包括:
步骤S202,安全控制系统获取用户变更云安全业务的请求。
其中,变更云安全业务的请求例如包括,欲变更的安全业务的标识,用户的标识、变更云安全业务的类型等信息。变更云安全业务例如分为以下几种类型:变更云安全业务的安全资源、变更安全策略、变更地址信息、注销云安全业务,服务提供商还可以根据用户的需求提供其他变更服务,不限于所举示例,下面以这四种变更业务的类型为例对本方案进行具体描述。
步骤S204,安全控制系统识别用户变更云安全业务的类型,如果为变更云安全业务的安全资源则执行步骤S206至S212,如果为变更安全策略则执行步骤S214至S216,如果为变更地址信息则执行步骤S218至S220,如果为注销云安全业务则执行步骤S222至S224。
步骤S206,安全控制系统获取欲变更的安全业务对应的用户已占有的虚拟安全资源和安全策略。
具体的,安全控制系统可以在用户开通安全业务时记录为用户的安全业务分配的虚拟安全资源,也可以将欲变更的安全业务分解为安全应用,查看安全应用对应的安全资源中哪些分配给该用户。
步骤S208,安全控制系统通知用户已占有的虚拟安全资源删除安全策略,并为用户分配新的虚拟安全资源,将安全策略发送至新的虚拟安全资源。
步骤S210,安全控制系统将新的虚拟安全资源的地址信息发送至SDN控制系统。
步骤S212,SDN控制系统将用户的流量引导至新的虚拟安全资源进行处理。
具体的,SDN控制系统根据用户的地址信息与新的各个虚拟安全资源的地址信息构建业务链,将用户的流量引导至各个虚拟安全资源进行处理。
步骤S214,安全控制系统获取已有的安全策略和对应的用户已占有的虚拟安全资源。
其中,变更云安全业务的请求中可以携带已有的安全策略的标识,或者安全业务的标识,如果为安全业务的标识,安全控制系统根据安全业务的标识查找对应的安全策略。
步骤S216,安全控制系统通知欲变更的安全策略对应的用户已占有的虚拟安全资源删除已有的安全策略,将欲变更的安全策略发送至该对应的虚拟安全资源。
步骤S218,安全控制系统获取用户欲变更的地址信息,将欲变更的地址信息发送至SDN控制系统。
其中,变更云安全业务的请求中携带用户欲变更的地址信息。
步骤S220,SDN控制系统将欲变更的地址信息对应用户的流量引导至各个虚拟安全资源进行处理。
步骤S222,安全控制系统获取欲注销的安全业务对应的用户已占有的虚拟安全资源和安全策略。
步骤S224,安全控制系统通知虚拟安全资源删除安全策略。
步骤S226,安全控制系统取消虚拟安全资源与用户相关性。
具体的,安全控制系统例如存储用户与虚拟安全资源的映射关系表,在该映射关系表中删除用户与虚拟安全资源的对应关系。
步骤S228,安全控制系统通知SDN控制系统不再将此用户的流量引导到该虚拟安全资源。
上述实施例的方法,能够自动识别云安全业务变更的类别,并自动针对不同的变更类别实现云安全业务的变更。节省了人工,提高了效率,并且降低了安全策略不同步的风险。
本发明还提供一种安全控制系统,下面结合图3进行描述。
图3为本发明安全控制系统一个实施例的结构图。如图3所示,安全控制系统30包括:
开通请求获取单元302,用于获取用户开通云安全业务的请求,开通云安全业务的请求中包括用户欲开通的安全业务的标识。
安全业务分析单元304,用于根据用户欲开通的安全业务的标识,识别用户欲开通的安全业务,提取对应的虚拟安全资源和安全策略。
安全业务分析单元304,具体用于将用户欲开通的安全业务分解为对应的至少一个安全应用,提取安全应用对应的虚拟安全资源,进一步,用于提取安全应用对应的空闲虚拟安全资源。
安全资源调度单元305,用于为用户分配虚拟安全资源。
安全策略配置单元306,用于将安全策略发送至各个虚拟安全资源。
地址信息发送单元308,用于将用户的地址信息以及各个虚拟安全资源的地址信息发送至软件定义网络控制系统,以便软件定义网络控制系统将用户的流量引导至各个虚拟安全资源进行处理。
如图3所示,安全控制系统30进一步还可以包括:资源创建单元310,用于在安全应用对应的虚拟安全资源不足的情况下,调用云管理系统创建新的虚拟安全资源。
如图3所示,安全控制系统30进一步还可以包括:变更请求获取单元312。
针对用户不同的云安全业务变更请求,安全控制系统30有以下几种配置方式:
(1)变更请求获取单元312,用于获取用户的变更云安全业务的安全资源的请求;安全业务分析单元304,用于获取欲变更的安全业务对应的用户已占有的虚拟安全资源和安全策略;安全资源调度单元305,用于为用户分配新的虚拟安全资源;安全策略配置单元306,用于通知用户已占有的虚拟安全资源删除安全策略,将安全策略发送至新的虚拟安全资源;地址信息发送单元308,用于将新的虚拟安全资源的地址信息发送至软件定义网络控制系统。
(2)变更请求获取单元312,用于获取用户的变更安全策略的请求;安全业务分析单元304,用于获取已有的安全策略和对应的用户已占有的虚拟安全资源;安全策略配置单元306,用于通知虚拟安全资源删除已有的安全策略,将欲变更的安全策略发送至虚拟安全资源。
(3)变更请求获取单元312,用于获取用户的变更地址信息的请求;地址信息发送单元308,用于将欲变更的地址信息发送至软件定义网络控制系统,以便软件定义网络控制系统将欲变更的地址信息对应用户的流量引导至各个虚拟安全资源进行处理。
(4)变更请求获取单元312,用于获取用户的注销云安全业务的请求;安全业务分析单元304,用于获取欲注销的安全业务对应的用户已占有的虚拟安全资源和安全策略;安全策略调度单元305,用于取消虚拟安全资源与用户的相关性;安全策略配置单元306,用于通知虚拟安全资源删除安全策略;地址信息发送单元308,用于通知软件定义网络控制系统不再将此用户的流量引导到虚拟安全资源。
本发明还提供一种云安全业务的部署系统,下面结合图4进行描述。
图4为本发明云安全业务的部署系统一个实施例的结构图。如图4所示,云安全业务的部署系统40包括:前述实施例的安全控制系统30,还包括SDN控制系统402,云管理系统404,进一步还可以包括:业务自服务系统406和虚拟安全资源池408。
SDN控制系统402,用于接收安全控制系统30发送的用户的地址信息与各个虚拟安全资源的地址信息,根据用户的地址信息与各个虚拟安全资源的地址信息构建业务链,将用户的流量引导至各个虚拟安全资源进行处理。
云管理系统404,用于接收安全控制系统30的指令,创建或删除虚拟安全资源。
业务自服务系统406,用于接收用户开通云安全业务或变更云安全业务的请求并发送至安全控制系统30。
不同的虚拟安全资源构成虚拟安全资源池408。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种云安全业务的部署方法,其特征在于,包括:
所述安全控制系统获取用户开通云安全业务的请求,所述开通云安全业务的请求中包括用户欲开通的安全业务的标识;
所述安全控制系统根据所述用户欲开通的安全业务的标识,识别用户欲开通的安全业务,提取所需的虚拟安全资源和安全策略;
所述安全控制系统为所述用户分配所述虚拟安全资源;
所述安全控制系统将所述安全策略发送至各个虚拟安全资源;
所述安全控制系统将用户的地址信息以及各个虚拟安全资源的地址信息发送至软件定义网络控制系统,以便所述软件定义网络控制系统将用户的流量引导至各个虚拟安全资源进行处理。
2.根据权利要求1所述的方法,其特征在于,
所述安全控制系统提取所需的虚拟安全资源包括:
所述安全控制系统将用户欲开通的安全业务分解为对应的至少一个安全应用;
所述安全控制系统提取所述安全应用对应的虚拟安全资源。
3.根据权利要求2所述的方法,其特征在于,
所述安全控制系统提取所述安全应用对应的虚拟安全资源包括:
所述安全控制系统提取所述安全应用对应的未被占用虚拟安全资源;
如果所述安全应用对应的虚拟安全资源不足,所述安全控制系统调用云管理系统创建新的虚拟安全资源。
4.根据权利要求1所述的方法,其特征在于,
所述安全控制系统提取对应的安全策略包括:
所述安全控制系统获取用户的虚拟机配置信息;
所述安全控制系统根据用户的虚拟机配置信息以及欲开通的安全业务提取对应的安全策略。
5.根据权利要求1所述的方法,其特征在于,还包括:
所述安全控制系统获取用户的变更云安全业务的安全资源的请求,获取欲变更的安全业务对应的用户已占有的虚拟安全资源和安全策略,通知所述用户已占有的虚拟安全资源删除所述安全策略,并为用户分配新的虚拟安全资源,将所述安全策略发送至所述新的虚拟安全资源,将新的虚拟安全资源的地址信息发送至所述软件定义网络控制系统;
或者,
所述安全控制系统获取用户的变更安全策略的请求,获取已有的安全策略和对应的用户已占有的虚拟安全资源,通知所述虚拟安全资源删除所述已有的安全策略,将欲变更的安全策略发送至所述虚拟安全资源;
或者,
所述安全控制系统获取用户的变更地址信息的请求,将欲变更的地址信息发送至所述软件定义网络控制系统,以便所述软件定义网络控制系统将欲变更的地址信息对应用户的流量引导至各个虚拟安全资源进行处理;
或者,
所述安全控制系统获取用户的注销云安全业务的请求,获取欲注销的安全业务对应的用户已占有的虚拟安全资源和安全策略,通知所述虚拟安全资源删除所述安全策略,取消所述虚拟安全资源与所述用户的相关性,并通知软件定义网络控制系统不再将此用户的流量引导到所述虚拟安全资源。
6.根据权利要求1所述的方法,其特征在于,
所述软件定义网络控制系统将用户的流量引导至各个虚拟安全资源进行处理包括:
所述软件定义网络控制系统根据用户的地址信息与各个虚拟安全资源的地址信息构建业务链,将用户的流量引导至各个虚拟安全资源进行处理。
7.一种安全控制系统,其特征在于,包括:
开通请求获取单元,用于获取用户开通云安全业务的请求,所述开通云安全业务的请求中包括用户欲开通的安全业务的标识;
安全业务分析单元,用于根据所述用户欲开通的安全业务的标识,识别用户欲开通的安全业务,提取所需的虚拟安全资源和安全策略;
安全资源调度单元,用于为所述用户分配所述虚拟安全资源;
安全策略配置单元,用于将所述安全策略发送至各个虚拟安全资源;
地址信息发送单元,用于将用户的地址信息以及各个虚拟安全资源的地址信息发送至软件定义网络控制系统,以便所述软件定义网络控制系统将用户的流量引导至各个虚拟安全资源进行处理。
8.根据权利要求7所述的安全控制系统,其特征在于,
所述安全业务分析单元,用于将用户欲开通的安全业务分解为对应的至少一个安全应用,提取所述安全应用对应的虚拟安全资源。
9.根据权利要求8所述的安全控制系统,其特征在于,
所述安全业务分析单元,用于提取所述安全应用对应的未被占用虚拟安全资源;
所述安全控制系统还包括:
资源创建单元,用于在所述安全应用对应的虚拟安全资源不足的情况下,调用云管理系统创建新的虚拟安全资源。
10.根据权利要求7所述的安全控制系统,其特征在于,
所述安全业务分析单元,用于获取用户的虚拟机配置信息,根据用户的虚拟机配置信息以及欲开通的安全业务提取对应的安全策略。
11.根据权利要求7所述的安全控制系统,其特征在于,还包括变更请求获取单元;
所述变更请求获取单元,用于获取用户的变更云安全业务的安全资源的请求;所述安全业务分析单元,用于获取欲变更的安全业务对应的用户已占有的虚拟安全资源和安全策略,所述安全资源调度单元,用于为用户分配新的虚拟安全资源;所述安全策略配置单元,用于通知所述用户已占有的虚拟安全资源删除所述安全策略,并将所述安全策略发送至所述新的虚拟安全资源;所述地址信息发送单元,用于将新的虚拟安全资源的地址信息发送至所述软件定义网络控制系统;
或者,
所述变更请求获取单元,用于获取用户的变更安全策略的请求;所述安全业务分析单元,用于获取已有的安全策略和对应的用户已占有的虚拟安全资源;所述安全策略配置单元,用于通知所述虚拟安全资源删除所述已有的安全策略,将欲变更的安全策略发送至所述虚拟安全资源;
或者,
所述变更请求获取单元,用于获取用户的变更地址信息的请求;所述地址信息发送单元,用于将欲变更的地址信息发送至所述软件定义网络控制系统,以便所述软件定义网络控制系统将欲变更的地址信息对应用户的流量引导至各个虚拟安全资源进行处理;
或者,
所述变更请求获取单元,用于获取用户的注销云安全业务的请求;所述安全业务分析单元,用于获取欲注销的安全业务对应的用户已占有的虚拟安全资源和安全策略;所述安全策略调度单元,用于取消所述虚拟安全资源与所述用户的相关性;所述安全策略配置单元,用于通知所述虚拟安全资源删除所述安全策略;所述地址信息发送单元,用于通知软件定义网络控制系统不再将此用户的流量引导到所述虚拟安全资源。
12.一种云安全业务的部署系统,其特征在于,包括:权利要求7-11任一项所述的安全控制系统,以及软件定义网络控制系统和云管理系统;
所述软件定义网络控制系统,用于接收安全控制系统发送的用户的地址信息与各个虚拟安全资源的地址信息,根据用户的地址信息与各个虚拟安全资源的地址信息构建业务链,将用户的流量引导至各个虚拟安全资源进行处理;
所述云管理系统,用于接收安全控制系统的指令,创建或删除虚拟安全资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610768454.2A CN107786517B (zh) | 2016-08-30 | 2016-08-30 | 云安全业务的部署方法、系统以及安全控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610768454.2A CN107786517B (zh) | 2016-08-30 | 2016-08-30 | 云安全业务的部署方法、系统以及安全控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107786517A true CN107786517A (zh) | 2018-03-09 |
| CN107786517B CN107786517B (zh) | 2020-11-03 |
Family
ID=61440872
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610768454.2A Active CN107786517B (zh) | 2016-08-30 | 2016-08-30 | 云安全业务的部署方法、系统以及安全控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107786517B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900551A (zh) * | 2018-08-16 | 2018-11-27 | 中国联合网络通信集团有限公司 | Sdn/nfv网络安全防护方法及装置 |
| CN108984294A (zh) * | 2018-05-25 | 2018-12-11 | 中国科学院计算机网络信息中心 | 资源调度方法、装置及存储介质 |
| CN109361675A (zh) * | 2018-10-30 | 2019-02-19 | 深信服科技股份有限公司 | 一种信息安全保护的方法、系统及相关组件 |
| CN110740049A (zh) * | 2018-07-19 | 2020-01-31 | 北京邮电大学 | 一种sdn环境下安全防护部署的方法及装置 |
| CN110868371A (zh) * | 2018-08-27 | 2020-03-06 | 中国电信股份有限公司 | 安全策略的处理方法、系统、云管理平台和子网管理装置 |
| CN110912934A (zh) * | 2019-12-17 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种云安全产品开通控制系统、方法、设备、介质 |
| CN112199581A (zh) * | 2020-09-11 | 2021-01-08 | 卞美玲 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120304275A1 (en) * | 2011-05-24 | 2012-11-29 | International Business Machines Corporation | Hierarchical rule development and binding for web application server firewall |
| CN103607426A (zh) * | 2013-10-25 | 2014-02-26 | 中兴通讯股份有限公司 | 安全服务订制方法和装置 |
| CN103905508A (zh) * | 2012-12-28 | 2014-07-02 | 华为技术有限公司 | 云平台应用部署方法及装置 |
| CN103916378A (zh) * | 2012-12-28 | 2014-07-09 | 中国电信股份有限公司 | 应用系统在云资源池中自动部署的系统和方法 |
| US20140282944A1 (en) * | 2013-03-12 | 2014-09-18 | Stackinsider Technology LLC | Methods and systems of deploying cloud computing platforms |
| CN104067265A (zh) * | 2012-01-23 | 2014-09-24 | 国际商业机器公司 | 用于支持在云中的安全应用部署的系统和方法 |
| CN104320258A (zh) * | 2014-10-24 | 2015-01-28 | 西安未来国际信息股份有限公司 | 一种云计算服务接入网关的方法 |
| CN104333600A (zh) * | 2014-11-13 | 2015-02-04 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的资源管理方法及系统 |
| CN104601530A (zh) * | 2013-10-31 | 2015-05-06 | 中兴通讯股份有限公司 | 云安全服务的实现方法及系统 |
| CN105227664A (zh) * | 2015-10-10 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种云计算中心的基础安全服务引擎 |
| CN105450668A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 云安全服务实现系统和云安全服务实现方法 |
-
2016
- 2016-08-30 CN CN201610768454.2A patent/CN107786517B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120304275A1 (en) * | 2011-05-24 | 2012-11-29 | International Business Machines Corporation | Hierarchical rule development and binding for web application server firewall |
| CN104067265A (zh) * | 2012-01-23 | 2014-09-24 | 国际商业机器公司 | 用于支持在云中的安全应用部署的系统和方法 |
| CN103905508A (zh) * | 2012-12-28 | 2014-07-02 | 华为技术有限公司 | 云平台应用部署方法及装置 |
| CN103916378A (zh) * | 2012-12-28 | 2014-07-09 | 中国电信股份有限公司 | 应用系统在云资源池中自动部署的系统和方法 |
| US20140282944A1 (en) * | 2013-03-12 | 2014-09-18 | Stackinsider Technology LLC | Methods and systems of deploying cloud computing platforms |
| CN103607426A (zh) * | 2013-10-25 | 2014-02-26 | 中兴通讯股份有限公司 | 安全服务订制方法和装置 |
| CN104601530A (zh) * | 2013-10-31 | 2015-05-06 | 中兴通讯股份有限公司 | 云安全服务的实现方法及系统 |
| CN104320258A (zh) * | 2014-10-24 | 2015-01-28 | 西安未来国际信息股份有限公司 | 一种云计算服务接入网关的方法 |
| CN104333600A (zh) * | 2014-11-13 | 2015-02-04 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的资源管理方法及系统 |
| CN105227664A (zh) * | 2015-10-10 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种云计算中心的基础安全服务引擎 |
| CN105450668A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 云安全服务实现系统和云安全服务实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 胡小明: "云安全漏洞扫描系统虚拟节点管理模块的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108984294A (zh) * | 2018-05-25 | 2018-12-11 | 中国科学院计算机网络信息中心 | 资源调度方法、装置及存储介质 |
| CN108984294B (zh) * | 2018-05-25 | 2022-03-29 | 中国科学院计算机网络信息中心 | 资源调度方法、装置及存储介质 |
| CN110740049A (zh) * | 2018-07-19 | 2020-01-31 | 北京邮电大学 | 一种sdn环境下安全防护部署的方法及装置 |
| CN110740049B (zh) * | 2018-07-19 | 2021-01-05 | 北京邮电大学 | 一种sdn环境下安全防护部署的方法及装置 |
| CN108900551A (zh) * | 2018-08-16 | 2018-11-27 | 中国联合网络通信集团有限公司 | Sdn/nfv网络安全防护方法及装置 |
| CN110868371A (zh) * | 2018-08-27 | 2020-03-06 | 中国电信股份有限公司 | 安全策略的处理方法、系统、云管理平台和子网管理装置 |
| CN110868371B (zh) * | 2018-08-27 | 2022-03-01 | 中国电信股份有限公司 | 安全策略的处理方法、系统、云管理平台和子网管理装置 |
| CN109361675A (zh) * | 2018-10-30 | 2019-02-19 | 深信服科技股份有限公司 | 一种信息安全保护的方法、系统及相关组件 |
| CN109361675B (zh) * | 2018-10-30 | 2021-08-13 | 深信服科技股份有限公司 | 一种信息安全保护的方法、系统及相关组件 |
| CN110912934A (zh) * | 2019-12-17 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种云安全产品开通控制系统、方法、设备、介质 |
| CN112199581A (zh) * | 2020-09-11 | 2021-01-08 | 卞美玲 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107786517B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107786517B (zh) | 云安全业务的部署方法、系统以及安全控制系统 | |
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| CN111488595B (zh) | 用于实现权限控制的方法及相关设备 | |
| US10904277B1 (en) | Threat intelligence system measuring network threat levels | |
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| US9166988B1 (en) | System and method for controlling virtual network including security function | |
| US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
| CN102682242B (zh) | 用于管理虚拟机系统的方法以及虚拟机系统 | |
| CN103346912B (zh) | 告警相关性分析的方法、装置及系统 | |
| CN108632378B (zh) | 一种面向云平台业务的监控方法 | |
| CN111480326A (zh) | 分布式多层云环境中基于事件关联的安全管理的装置、系统和方法 | |
| US10805166B2 (en) | Infrastructure-agnostic network-level visibility and policy enforcement for containers | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| CN101009683A (zh) | 处理网络流量的计算机系统及方法 | |
| US20230179638A1 (en) | Method and apparatus for preventing network attacks in a network slice | |
| US20210144159A1 (en) | Managing a segmentation policy based on attack pattern detection | |
| US11425007B2 (en) | Label-based rules for squelching visible traffic in a segmented network environment | |
| CN111800408B (zh) | 策略配置装置、终端的安全策略配置方法和可读存储介质 | |
| KR101916676B1 (ko) | 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템 | |
| CN115843429A (zh) | 用于网络切片中隔离支持的方法与装置 | |
| CN115934202A (zh) | 一种数据管理方法、系统、数据服务网关及存储介质 | |
| CN109361675B (zh) | 一种信息安全保护的方法、系统及相关组件 | |
| US10785115B2 (en) | Allocating enforcement of a segmentation policy between host and network devices | |
| CN114070637B (zh) | 基于属性标签的访问控制方法、系统、电子设备及存储介质 | |
| CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180309 Assignee: Dbappsecurity Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2023110000022 Denomination of invention: Deployment method, system and security control system of cloud security business Granted publication date: 20201103 License type: Common License Record date: 20230220 |