CN112738138B - 云安全托管方法、装置、设备及存储介质 - Google Patents

云安全托管方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112738138B
CN112738138B CN202110337904.3A CN202110337904A CN112738138B CN 112738138 B CN112738138 B CN 112738138B CN 202110337904 A CN202110337904 A CN 202110337904A CN 112738138 B CN112738138 B CN 112738138B
Authority
CN
China
Prior art keywords
target
service
cloud security
hosting
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110337904.3A
Other languages
English (en)
Other versions
CN112738138A (zh
Inventor
刘志高
董志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110337904.3A priority Critical patent/CN112738138B/zh
Publication of CN112738138A publication Critical patent/CN112738138A/zh
Application granted granted Critical
Publication of CN112738138B publication Critical patent/CN112738138B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例提供了一种云安全托管方法、装置、设备及存储介质,涉及云技术领域,该方法包括:终端设备响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,云安全托管请求中携带目标云安全托管服务的标识。服务器基于目标云安全托管服务的标识,获取相应的目标云安全服务内容。按照目标云安全服务内容,分别调用各个执行工具,执行相应的目标云安全服务操作获得目标云安全托管服务的执行结果。再向终端设备发送目标云安全托管服务的执行结果。终端设备展示目标云安全托管服务的执行结果,实现自动化云安全托管,大大降低对人工的依赖,从而提高事件处理效率以及降低人工成本。

Description

云安全托管方法、装置、设备及存储介质
技术领域
本发明实施例涉及云技术领域,尤其涉及一种云安全托管方法、装置、设备及存储介质。
背景技术
安全托管服务通常指为降低安全监控分析和运营投入,将企业安全运营中较繁重的工作托管给专业的第三方厂商处理,从而使企业专注于自身业务发展,实现降本增效。
相关技术通过在企业部署安全运营中心实现安全托管服务。具体实施中,部署在企业的安全运营中心收集主机、网络以及应用层面的安全事件,然后以工单的方式将安全事件推送给安全服务运营团队,由安全服务运营团队针对每类安全事件安排值班人员进行处理,该方法受限于值班人员的精力和经验,从而导致安全托管服务的处理效率低以及人工成本高。
发明内容
本申请实施例提供了一种云安全托管方法、装置、设备及存储介质,用于提高安全托管服务的处理效率低以及降低安全托管服务的人工成本。
一方面,本申请实施例提供了一种云安全托管方法,该方法包括:
接收终端设备响应于针对目标托管对象触发的云安全托管操作发送的云安全托管请求,其中,所述云安全托管请求中携带目标云安全托管服务的标识;
基于所述目标云安全托管服务的标识,获取相应的目标云安全服务内容,所述目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具;
按照所述目标云安全服务内容,分别调用所述各个执行工具,执行相应的目标云安全服务操作,获得所述目标云安全托管服务的执行结果;
向所述终端设备发送所述目标云安全托管服务的执行结果,以使所述终端设备在显示界面中展示所述目标云安全托管服务的执行结果。
一方面,本申请实施例提供了一种云安全托管方法,该方法包括:
响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,所述云安全托管请求中携带目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,获取相应的目标云安全服务内容,所述目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具;按照所述目标云安全服务内容,分别调用所述各个执行工具,执行相应的目标云安全服务操作,获得所述目标云安全托管服务的执行结果;
接收所述服务器发送的所述目标云安全托管服务的执行结果,并在显示界面中展示所述目标云安全托管服务的执行结果。
一方面,本申请实施例提供了一种云安全托管装置,该装置包括:
第一接收模块,用于接收终端设备响应于针对目标托管对象触发的云安全托管操作发送的云安全托管请求,其中,所述云安全托管请求中携带目标云安全托管服务的标识;
查询模块,用于基于所述目标云安全托管服务的标识,获取相应的目标云安全服务内容,所述目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具;
处理模块,用于按照所述目标云安全服务内容,分别调用所述各个执行工具,执行相应的目标云安全服务操作,获得所述目标云安全托管服务的执行结果;
第一发送模块,用于向所述终端设备发送所述目标云安全托管服务的执行结果,以使所述终端设备在显示界面中展示所述目标云安全托管服务的执行结果。
可选地,所述各个目标云安全服务操作包括针对所述目标托管对象的目标评估操作和目标处置操作,所述各个执行工具包括用于执行所述目标评估操作的评估工具,以及用于执行所述目标处置操作的处置工具;
所述处理模块具体用于:
通过编排引擎,按照所述目标评估操作,调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性;
按照所述目标处置操作,基于所述目标托管对象的安全属性,调用相应的处置工具对所述目标托管对象进行处置,获得所述目标云安全托管服务的执行结果。
可选地,还包括采集模块;
所述采集模块具体用于:
通过编排引擎,按照所述目标评估操作,调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性之前,调用云接口从所述目标托管对象对应的云平台中,采集所述目标托管对象的目标状态数据。
可选地,所述处理模块具体用于:
按照所述目标评估操作调用相应的评估工具,基于所述目标托管对象的目标状态数据对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性。
可选地,所述第一发送模块具体用于:
调用报告生成工具,基于预设的编排模板,对所述目标云安全托管服务的执行结果进行编排处理,并向所述终端设备发送编排处理后的所述目标云安全托管服务的执行结果。
可选地,所述第一接收模块还用于:
所述接收终端设备发送的云安全托管请求之前,接收所述终端设备响应于针对目标托管对象触发的云安全托管接入操作发送的接入请求,其中,所述接入请求中携带目标托管对象的接入申请信息;
所述第一发送模块还用于:
若所述目标托管对象的接入申请信息满足预设接入条件,则发送接入成功消息给所述终端设备;
若所述目标托管对象的接入申请信息不满足预设接入条件,则发送接入失败消息给所述终端设备。
可选地,所述第一接收模块还用于:
向所述终端设备发送所述目标云安全托管服务的执行结果之前,接收所述终端设备响应于针对所述目标云安全托管服务触发的服务查看操作发送的服务进度查看请求,其中,所述服务进度查看请求中携带所述目标云安全托管服务的标识;
所述处理模块还用于:
基于所述目标云安全托管服务的标识,获取所述目标云安全托管服务的服务进度;
所述第一发送模块还用于:
将所述目标云安全托管服务的服务进度发送给所述终端设备,以使所述终端设备展示所述目标云安全托管服务的服务进度。
可选地,所述处理模块还用于:
获取所述目标托管对象的新增威胁事件以及所述新增威胁事件的处置流程;
通过编排引擎,基于所述新增威胁事件以及所述新增威胁事件的处置流程,生成所述目标托管对象对应的新增云安全托管服务以及所述新增云安全托管服务相应的云安全服务内容。
一方面,本申请实施例提供了一种云安全托管装置,该装置包括:
第二发送模块,用于响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,所述云安全托管请求中携带目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,获取相应的目标云安全服务内容,所述目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具;按照所述目标云安全服务内容,分别调用所述各个执行工具,执行相应的目标云安全服务操作,获得所述目标云安全托管服务的执行结果;
第二接收模块,用于接收所述服务器发送的所述目标云安全托管服务的执行结果;
展示模块,用于在显示界面中展示所述目标云安全托管服务的执行结果。
可选地,所述第二发送模块还用于:
响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求之前,响应于针对目标托管对象触发的云安全托管接入操作,向所述服务器发送接入请求,所述接入请求中携带目标托管对象的接入申请信息,以使所述服务器判断所述目标托管对象的接入申请信息是否满足预设接入条件,若是,则发送接入成功消息给终端设备,否则发送接入失败消息给终端设备。
可选地,所述第二发送模块还用于:
接收所述服务器发送的所述目标云安全托管服务的执行结果之前,响应于针对所述目标云安全托管服务触发的服务查看操作,向所述服务器发送服务进度查看请求,所述服务进度查看请求中携带所述目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,获取所述目标云安全托管服务的服务进度;
所述第二接收模块还用于:
接收所述服务器发送的所述目标云安全托管服务的服务进度;
所述展示模块还用于:
展示所述目标云安全托管服务的服务进度。
一方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述云安全托管方法的步骤。
一方面,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行上述云安全托管方法的步骤。
本申请实施例中,服务器接收到终端设备发送的云安全托管请求后,基于云安全托管请求中携带的目标云安全托管服务的标识获取相应的目标云安全服务内容。由于目标云安全服务内容中记载了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具,故服务器可以按照目标云安全服务内容,自动调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果,实现自动化安全托管,大大降低对人工的依赖,从而提高事件处理效率以及降低人工成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种系统架构示意图;
图2为本申请实施例提供的一种云安全托管方法的流程示意图;
图3为本申请实施例提供的一种托管接入方法的流程示意图;
图4为本申请实施例提供的一种查询服务进度方法的流程示意图;
图5为本申请实施例提供的一种系统架构示意图;
图6为本申请实施例提供的一种云安全托管方法的流程示意图;
图7为本申请实施例提供的一种云安全托管装置的结构示意图;
图8为本申请实施例提供的一种云安全托管装置的结构示意图;
图9为本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了方便理解,下面对本发明实施例中涉及的名词进行解释。
云技术(Cloud technology):基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云安全(Cloud Security) 是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1. 云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2. 安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3. 云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。本申请实施例中基于云计算平台为用户提供云安全托管服务。
MSS:Managed Security Service,也称为安全托管服务,或托管安全服务,通常指用户为降低安全监控分析和运营投入,将企业安全运营中较繁重的工作托管给专业的第三方厂商进行,从而专注于自身业务发展,实现降本增效。
MSSP:Managed Security Service Provider,安全托管服务商,指开展安全托管服务的运营商或服务厂商。
SOAR:Security Orchestration, Automation and Response,安全编排和自动化响应,SOAR将人和技术编入业务流程中,以简化流程,加快事件响应,减少事件处置响应时间。
剧本:在SOAR中,剧本的概念即一个事件处置流程,SOAR即将各处置流程的步骤进行分解并进行自动化关联处置,实现一个处置流程的自动化。
SLA:Service Level Agreement,服务等级协议,SLA是服务提供者与用户之间协商并签订的一个具有法律约束力的合同,合同规定了在服务提供过程中双方所承担的商务条款,当服务方无法满足协议中规定要求时,则需要提供相应的补偿给用户,当用户无法按照协议中的要求进行配合时,服务方有权拒绝服务。
下面对本申请实施例的设计思想进行介绍。
相关技术通过在企业部署安全运营中心实现安全托管服务。具体实施中,部署在企业的安全运营中心收集主机、网络以及应用层面的安全事件,然后以工单的方式将安全事件推送给安全服务运营团队,由安全服务运营团队针对每类安全事件安排值班人员进行处理,该方法受限于值班人员的精力和经验,从而导致安全托管服务的处理效率低以及人工成本高。
考虑到若将托管服务中人工处理流程替换为系统自动执行,将大大降低对人工的依赖,从而提高事件处理效率以及降低人工成本。鉴于此,本申请实施例提供了一种云安全托管方法,该方法具体为:终端设备响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,其中,安全托管请求中携带目标云安全托管服务的标识。服务器基于目标云安全托管服务的标识,获取相应的目标云安全服务内容,其中,目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具。按照目标云安全服务内容,分别调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果。之后再向终端设备发送目标云安全托管服务的执行结果。终端设备在显示界面中展示目标云安全托管服务的执行结果。
本申请实施例中,服务器接收到终端设备发送的云安全托管请求后,基于云安全托管请求中携带的目标云安全托管服务的标识获取相应的目标云安全服务内容。由于目标云安全服务内容中记载了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具,故服务器可以按照目标云安全服务内容,自动调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果,实现自动化安全托管,大大降低对人工的依赖,从而提高事件处理效率以及降低人工成本。
下面对本申请实施例中云安全托管方法所适用的系统架构图进行示例介绍,参考图1,其为本申请实施例适用的一种系统架构图,该系统架构至少包括终端设备101和服务器102。
终端设备101安装有云安全托管应用,该应用可以是预先安装的客户端、网页版应用或嵌入在其他应用中的小程序等。终端设备101可以包括一个或多个处理器1011、存储器1012、与服务器102交互的I/O接口1013以及显示面板1014等。终端设备101可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。
服务器102为云安全托管应用的后台服务器,为云安全托管应用提供服务。服务器102可以包括一个或多个处理器1021、存储器1022以及与终端设备101、交互的I/O接口1023等。此外,服务器102还可以配置数据库1024。服务器102可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备101与服务器102可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
终端设备101响应于在云安全托管应用中针对目标托管对象触发的云安全托管操作,向服务器102发送云安全托管请求,其中,安全托管请求中携带目标云安全托管服务的标识。服务器102基于目标云安全托管服务的标识,获取相应的目标云安全服务内容,其中,目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具。然后按照目标云安全服务内容,分别调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果。之后再向终端设备101发送目标云安全托管服务的执行结果。终端设备101在显示界面中展示目标云安全托管服务的执行结果。
基于图1所示的系统架构图,本申请实施例提供了一种云安全托管方法的流程,该方法可以由计算机设备执行,计算机设备可以是图1中的终端设备和服务器,如图2所示,包括以下步骤:
步骤S201,终端设备响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求。
具体地,托管对象可以是设备、网络、应用、数据等,用户可以根据需要设置将一个或多个托管对象。服务器提供多类云安全托管服务,比如安全评估服务、风险检测服务、漏洞感知与风险监测服务、安全监控服务、风险处置服务、应急响应服务等。另外,每类云安全托管服还可以进一步划分多个子云安全托管服务。比如,安全评估服务包括系统安全架构评估、主机安全风险评估、网络安全风险评估、应用安全风险评估等。风险检测服务包括高危端口扫描、系统漏洞扫描、Web漏洞扫描等。漏洞感知与风险监测服务包括最新漏洞情报监控、分析、预警,以及云密钥泄露事件监控、分析、预警。安全监控服务包括安全事件监控分析、安全产品策略指导、安全运营分析总结。风险处置服务包括提供详尽修复方案、提供风险修复验证、提供安全加固指导。应急响应服务器提供及时的事件响应分析和专业处置,将突发事件损失降到最低,并协助开展溯源、损失评估、加固指导,提升安全防护水平,应急事件类型包括:主机入侵事件、网络攻击事件、信息破坏事件以及数据泄露事件。
云安全托管请求中携带目标云安全托管服务的标识,目标云安全托管服务的标识可以是目标云安全托管服务的名称、编号等。目标云安全托管服务可以是上述各类云安全托管服务中的一种或多种服务,或各类云安全托管服务的子云安全托管服务中的一种或多种服务,对此,本申请不做具体限定。
步骤S202,服务器基于目标云安全托管服务的标识,获取相应的目标云安全服务内容。
其中,目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具。
具体实施中,服务器中保存了各类云安全托管服务的云安全服务内容,云安全服务内容中记录了各个云安全服务操作以及用于执行各个云安全服务操作的各个执行工具。云安全服务操作指实现云安全托管服务的各类执行动作,执行工具可以是具体的设备、也可以是应用程序。可选地,云安全服务内容还可以记录各个云安全服务操作的执行顺序。另外,各类云安全托管服务的云安全服务内容也可以保存于区块链中。
云安全托管服务的云安全服务内容可以以剧本的形式进行记录。具体实施中,从数据平台中获取事件源以及事件处置流程,其中,事件源可以是从云平台或其他外部安全系统中采集的历史安全事件。事件处置流程可以由人工录入,也可以从外部安全系统中获取。通过编排引擎对事件源以及事件处置流程进行编排处理,获得相应的云安全托管服务以及云安全托管服务的剧本。
步骤S203,服务器按照目标云安全服务内容,分别调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果。
具体地,针对不同类型的云安全服务操作,可以构建相应的安全能力资源池,安全能力资源池中包括用于执行相应类型的云安全服务操作的执行工具。从目标云安全服务内容中确定目标云安全服务操作后,先基于目标云安全服务操作确定相应的安全能力资源池,然后从相应的安全能力资源池中调用用于执行目标云安全服务操作的执行工具,再控制执行工具执行目标云安全服务操作。
另外,若目标云安全服务内容中还包括各个目标云安全服务操作的执行顺序,则按照目标云安全服务内容中各个目标云安全服务操作的执行顺序,调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果。
步骤S204,服务器向终端设备发送目标云安全托管服务的执行结果。
步骤S205,终端设备在显示界面中展示目标云安全托管服务的执行结果。
具体地,服务器以报告的方式将目标云安全托管服务的执行结果发送给终端设备,终端设备在显示界面中展示报告形式的目标云安全托管服务的执行结果。目标云安全托管服务的执行结果中包括针对目标托管对象执行的各个目标云安全服务操作,以及各个目标云安全服务操作对应的执行结果等。
本申请实施例中,服务器接收到终端设备发送的云安全托管请求后,基于云安全托管请求中携带的目标云安全托管服务的标识获取相应的目标云安全服务内容。由于目标云安全服务内容中记载了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具,故服务器可以按照目标云安全服务内容,自动调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果,实现自动化安全托管,大大降低对人工的依赖,从而提高事件处理效率以及降低人工成本。
可选地,在步骤S203中,各个目标云安全服务操作包括针对目标托管对象的目标评估操作和目标处置操作,各个执行工具包括用于执行目标评估操作的评估工具,以及用于执行目标处置操作的处置工具。
通过编排引擎,按照目标评估操作,调用相应的评估工具对目标托管对象进行安全评估,获得目标托管对象的安全属性。然后按照目标处置操作,基于目标托管对象的安全属性,调用相应的处置工具对目标托管对象进行处置,获得目标云安全托管服务的执行结果。
具体实施中,编排引擎可以是安全编排和自动化响应(Security Orchestration,Automation and Response,简称SOAR)。编排引擎按照目标云安全托管服务的剧本,自动调用评估工具执行目标评估操作,然后调用处置工具执行目标处置操作。
目标评估操作可以是检测操作,也可以是监控操作。预先建立检测操作和监控操作分别对应的安全能力资源池,检测操作对应的安全能力资源池中包括用于执行检测操作的执行工具,监控操作对应的安全能力资源池中包括用于执行监控操作的执行工具。
检测操作可以指对目标托管对象进行一次性检测。比如,从安全能力资源池中,调用配置检查应用程序接口(Application Programming Interface,简称API),对主机的配置进行一次性检测,获得主机的配置安全属性。监控操作可以指对目标托管对象进行周期性监控,比如,从安全能力资源池中,调用泄露监控API,周期性监控业务数据,确定业务数据的泄露情况。
预先建立处置操作对应的安全能力资源池,该安全能力资源池中包括用于执行处置操作的执行工具。对于评估阶段确定的高危级别的安全事件,调用相应的安全处置工具进行处置响应。
比如,当主机的配置安全属性为不安全配置时,从安全能力资源池中,调用配置更新工具对主机的配置进行更新。当主机的配置安全属性为安全配置时,则可以不处理。
对于评估阶段确定的满足应急响应条件的应急事件,调用相应的应急响应工具,对所述目标托管对象进行应急处置,将突发事件损失降到最低,并协助开展溯源、损失评估、加固指导,从而提升安全防护水平。
应急事件的类型包括:
1、主机入侵事件:勒索病毒、蠕虫病毒、远控木马、僵尸网络事件、恶意有害程序事件。
2、网络攻击事件:分布式拒绝服务攻击 (Distributed denial of serviceattack,简称DDoS)、异常流量导致业务不可用事件、漏洞攻击事件、恶意扫描及网站钓鱼、挂马等事件。
3、信息破坏事件:信息篡改事件、信息伪造假冒事件、信息窃取事件、信息丢失事件等。
4、数据泄露事件:数据库泄露、敏感凭据泄露、代码泄露等信息泄露事件。
需要说明的是,云安全服务操作并不仅限于前文描述的评估操作和处置操作,还可以包括数据采集操作、应急响应操作等。另外,一个云安全托管服务的服务内容中可以只包括上述各种云安全服务操作中的一种云安全服务操作,也可以包括上述各种云安全服务操作中的多种服务操作,对此,本申请不做具体限定。
本申请实施例中,通过自动化编排引擎对目标托管对象进行安全评估,并基于评估结果自动进行处置,中间省去了大量人力分析和处置的时间,节约大量的人力分析成本,降低在分析和运营方面的安全人力投入,从而帮助服务提供方更好的实现降本增效,大大提升了事件处置效率。
可选地,本申请实施例中通过云原生API,实现对托管对象在云上的各类资产执行安全托管服务。具体实施中,通过编排引擎,按照目标评估操作,调用相应的评估工具对目标托管对象进行安全评估,获得目标托管对象的安全属性之前,调用云接口从目标托管对象对应的云平台中,采集目标托管对象的目标状态数据。
具体地,云接口可以为云原生API,目标托管对象可以部署在本地,然后将自身的状态数据上传至云平台。目标托管对象也可以直接部署在云平台中。服务器可以通过云原生API从云平台中获取目标托管对象的目标状态数据。然后按照目标评估操作调用相应的评估工具,基于目标托管对象的目标状态数据对目标托管对象进行安全评估,获得目标托管对象的安全属性。
举例来说,设定主机部署在云平台上,目标云安全托管服务为针对主机的漏洞感知服务。服务器调用云接口对云平台上的主机进行漏洞扫描,获得主机的漏洞情况。当确定主机存在漏洞时,调用告警工具通知相关人员。
举例来说,设定企业内包括主机等设备资产,当企业在本地部署各个设备后,将各个设备的配置信息上传至云平台。若目标云安全托管服务为针对设备资产的配置检测服务,则服务器调用云接口从云平台中获取各个设备的配置信息,然后基于各个设备的配置信息对各个设备进行配置安全评估,获得各个设备的配置安全属性。当各个设备的配置安全属性为不安全配置时,调用配置更新工具对各个设备的配置进行更新。
通过与云原生API进行集成,实现了对云计算环境中各类云资产的托管服务覆盖,避免资产的遗漏和监控不全的问题,实现更全面完整的服务覆盖。
可选地,云安全托管服务在实际执行过程中,往往会以报告的方式进行交付呈现。相关技术在进行云安全托管服务时,需要人工对设备或机器生成的机打报告进行数据分析、统计、梳理和重点提炼,期间需要花费数天时间进行报告编制,效率相对比较低。
鉴于此,本申请实施例中调用报告生成工具,基于预设的编排模板,对目标云安全托管服务的执行结果进行编排处理,并向终端设备发送编排处理后的目标云安全托管服务的执行结果。
具体地,目标云安全托管服务的执行结果包括一个或多个目标云安全服务操作的执行数据,通过编排引擎调用报告生成工具,从各个目标云安全服务操作的执行数据提取相关内容,然后基于预设的编排模板将相关内容自动化整合,获得包括目标云安全托管服务的执行结果的运营报告。
本申请实施例中,调用报告生成工具,基于预设的编排模板,自动化整合云安全托管服务的执行内容到一份报告中,从而大大提升生成报告的效率和准确度,实现准时准点、快速的为用户提供可靠、准确的服务运营报告,帮助用户了解整体服务进度和安全状态。
可选地,受传统企业业务稳定性运行需求,设备策略无法进行较为频繁的策略升级更新,从而导致安全事件的发现能力存在滞后,在出现一些新漏洞后,存在被利用风险。
鉴于此,本申请实施例中通过云全网大数据安全分析能力,识别全网新增威胁事件,并配置新增威胁事件的处置流程。再通过编排引擎,基于新增威胁事件以及新增威胁事件的处置流程,生成目标托管对象对应的新增云安全托管服务以及新增云安全托管服务相应的云安全服务内容。
具体实施中,新增云安全托管服务相应的云安全服务内容可以以剧本的形式保存在剧本库中。后续可以针对托管对象执行该新增云安全托管服务,以避免新增威胁事件影响托管对象的安全。
本申请实施例中,通过云全网大数据安全分析能力,识别全网最新攻击威胁,并基于威胁应对方案生成新剧本补充至剧本库,实现安全服务能力的不断更新和迭代优化,最终通过该方式,可以以较小的服务人力,为云上海量用户提供标准化的安全服务能力。
可选地,终端设备向服务器发送云安全托管请求之前,需要先进行云安全托管接入,如图3所示,包括以下步骤:
步骤S301,终端设备响应于针对目标托管对象触发的云安全托管接入操作,向服务器发送接入请求。
具体地,用户可以在终端设备显示的云控制台界面提交云安全托管接入申请。接入请求中携带目标托管对象的接入申请信息,其中,接入申请信息包括目标托管对象的部署信息、服务协议信息等。
步骤S302,服务器判断目标托管对象的接入申请信息是否满足预设接入条件,若是,则执行步骤S303,否则执行步骤S304。
步骤S303,服务器发送接入成功消息给终端设备。
步骤S304,服务器发送接入失败消息给终端设备。
具体地,服务器根据目标托管对象的部署信息、用户是否接受服务协议等情况自动判定是否允许接入。如果用户在申请接入过程中,并没有部署目标托管对象,则服务器不能对目标托管对象进行识别检测,也就不能获得进行云安全托管服务的基础分析数据,进而也就不能实现云安全托管服务,这种情况下,服务器拒绝接入。如果用户未选择接受云安全托管服务的服务协议,服务器将无法获得服务评估授权,此时服务器也拒绝接入。
当服务器判定允许接入时,服务器发送接入成功消息给终端设备。终端设备展示云安全托管服务的服务类型、服务版本(如基础版、专业版、高级版、重保专版等)、服务时间、服务地址等服务信息。不同的服务版本对应不同的服务项目。比如基础版通常提供5*8小时基础安全巡检、监控、评估、预警、响应等安全服务。而专业版、高级版或重保专版,则提供7*24小时全天候安全预警、评估、检测、监控及应急等服务。
在用户选择服务版本后,将跳转进入付费页面,用户在确认服务信息无误后,即可进行付款操作。完成付款操作后,服务器可立即启动相应云安全服务工作。
本申请实施例中,通过线上申请的形式自动接入云安全托管服务的后台服务器,不需要在本地部署云安全托管服务设备以及通过调研确定托管服务方案,从而降低了接入成本和接入难度,同时提高了接入效率。
可选地,服务器向终端设备发送目标云安全托管服务的执行结果之前,用户也可以通过终端设备查看目标云安全托管服务的服务进度,如图4所示,包括以下步骤:
步骤S401,终端设备响应于针对目标云安全托管服务触发的服务查看操作,向服务器发送服务进度查看请求。
其中,服务进度查看请求中携带目标云安全托管服务的标识,目标云安全托管服务的标识可以是目标云安全托管服务的名称、编号等。
步骤S402,服务器基于目标云安全托管服务的标识,获取目标云安全托管服务的服务进度。
具体地,服务进度可以目标云安全服务内容中各个目标云安全服务操作的执行进展,以及已执行的目标云安全服务操作的执行结果。当目标云安全托管服务为周期性执行的服务时,服务进度可以是目标云安全服务内容中各个目标云安全服务操作的执行次数,比如,执行了多少次漏洞扫描操作、执行了多少次漏洞修复操作等。当目标云安全托管服务与其他安全托管服务联合执行时,服务进度可以是目标云安全服务内容中各个目标云安全服务操作的执行进展以及其他安全托管服务中的服务操作的执行进展。
步骤S403,服务器将目标云安全托管服务的服务进度发送给终端设备。
步骤S404,终端设备展示目标云安全托管服务的服务进度。
本申请实施例中,为用户提供服务进度查询功能,用户可以在终端设备上查看各个安全托管服务的服务进度,使得用户可以直接感知服务交付结果,了解完成质量情况,从而提升用户体验。
为了更好的解释本申请实施例,下面结合具体场景描述本申请实施例提供的一种云安全托管方法,该方法由终端设备和服务器交互执行。首先介绍云安全托管方法适用的系统架构,如图5所示,包括终端设备和服务器,其中,服务器包括数据收集模块、数据平台模块、服务引擎模块、服务能力模块。终端设备包括服务查看模块、服务管理模块。
数据收集模块:数据采集模块采集云原生API或者其他外部安全系统的事件,形成事件源数据输送到数据平台进行分析。事件源数据包括资产数据、异常行为数据、云配置数据、DDoS数据、网站应用级入侵防御系统(Web Application Firewall,简称WAF)数据、主机安全、情报数据、蜜罐数据等。
数据平台模块:整理来自数据采集模块的事件源数据,并对事件源数据包含的要素进行分析提炼,形成标准化字段并进行存储操作。同时,数据平台模块还支持数据录入操作,可以将事件源的处置方案进行录入,形成最佳实践知识库。在数据平台实现事件源与对应处置方案的关联整合。
服务引擎模块:由自动化编排引擎构建,利用SOAR技术,对来自数据平台的事件源、处置方案进行编排处置,构建剧本。在执行云安全托管服务时,通过编排引擎,基于剧本实现自动化响应,形成事件的自动化检测、监控、处置和响应。
服务能力模块:将云安全托管服务的服务内容划分为几个阶段,分别为:检测、监控、处置和响应,具体为事前的一次性检测、周期性监控、事中的事件处置和事后的应急响应。针对每个阶段,可以构建安全能力资源池,安全能力资源池包括执行各个阶段的服务操作的工具,具体包括:检测工具、监控工具、处置工具、应急工具,其中,检测工具包括端口检测工具、配置核查工具、漏洞扫描工具、策略检测工具等。监控工具包括资产监控工具、密钥泄露监控工具、漏洞情报监控工具、运营平台监控工具等。处置工具包括知识库、处置流程工具、事件编排工具、加固工具等。应急工具包括应急响应工具、应用流程预案等。通过编排引擎整合或串联安全能力资源池中的执行工具,执行各个阶段的云安全服务操作,自动完成日常安全运营中重复且耗费大量人力的工作,从而大大降低了人工运营成本,提升企业分析和处置速度,实现安全运营的降本增效。
服务查看模块:该模块为用户提供服务查看界面,用户可以通过服务查看界面查看到各类云安全托管服务的实施进展和汇总指标,以了解当前各类风险事件的处置进展和数据,如用户可以查看服务提供商进行了多少次评估扫描、发现了多少安全事件及事件对应响应事件,同时也可以下载评估报告、查看每个安全事件解决结果等。用户可查看的各类云安全托管服务包括安全评估服务、风险检测服务、漏洞感知与风险监测服务、安全监控服务、风险处置服务、应急响应服务。用户通过服务查看模块可以直接感知服务交付结果,了解完成质量情况。
服务管理模块:该模块为服务提供方提供服务管理界面,具体包括服务总览、用户管理、值班管理、评估管理、报表管理、事件管理、漏洞管理和配置管理等内容。用于对服务用户、值班人员、服务报表进行统一管理和质量监控,同时对服务总览、服务情况、服务事件、总体漏洞风险、安全配置等情况有宏观了解和专项管理,从而实现整个服务从用户接入、数据采集、事件入库、事件分析、编排处置及响应反馈等各环节的闭环运营。
介绍完云安全托管方法适用的系统架构之后,接下来介绍云安全托管方法的流程,如图6所示,包括以下步骤:
步骤S601,申请安全托管服务。
具体地,用户可以在终端设备显示的云控制台界面提交目标托管对象的云安全托管接入申请。
步骤S602,服务器判断是否允许接入,若是,则执行步骤S603,否则返回开始状态。
具体地,服务器根据目标托管对象的部署信息、用户是否接受服务协议等情况自动判定是否允许接入。如果用户在申请接入过程中,并没有部署目标托管对象,则服务器不能对目标托管对象进行识别检测,也就不能获得进行云安全托管服务的基础安全分析数据,进而也就不能实现云安全托管服务,这种情况下,服务器拒绝接入。如果用户未选择接受云安全托管服务的服务协议,服务器将无法获得服务评估授权,此时服务器也拒绝接入。
步骤S603,服务付费。
具体地,当服务器判定允许接入时,服务器发送接入成功消息给终端设备。终端设备展示云安全托管服务的服务类型、服务版本(如基础版、专业版、高级版、重保专版等)、服务时间、服务地址等服务信息。不同的服务版本对应不同的服务项目。比如基础版通常提供5*8小时基础安全巡检、监控、评估、预警、响应等安全服务。而专业版、高级版或重保专版,则提供7*24小时全天候安全预警、评估、检测、监控及应急等服务。在用户选择服务版本后,将跳转进入付费页面,用户在确认服务信息无误后,即可在付款页面进行付款操作。
步骤S604,服务登记。
具体地,完成付款操作后,服务器为用户开通云控制台权限,同时会将用户账号和服务申请信息进行入库登记,并将用户开通信息通知到服务团队人员。
步骤S605,服务实施。
具体地,完成服务登记和授权后,服务生效。服务器同时启动云安全托管服务流程。服务器根据用户选择的服务版本确定需要执行的目标云安全托管服务。然后通过编排引擎(SOAR),按照目标云安全托管服务的目标云安全服务内容,自动化调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果,实现大部分服务内容的自动化处置,而少部分无法自动化实现的,则可以借助人工分析进行完善和补齐,从而提升服务响应效率。
具体地,编排引擎包括事件采集模块、事件分析模块以及事件处置模块。编排引擎通过上述各个模块可以实现各类安全托管服务。比如,事件采集模块通过资产采集接口采集资产数据,若事件分析模块对资产数据进行分析,获得资产事件,则事件处置模块通知值班人员针对资产事件对资产进行管理。
又比如,事件采集模块通过告警接入模块获取告警数据,若事件分析模块对告警数据进行分析,获得产品告警事件,则事件处置模块生成产品告警事件对应的解决方案。
又比如,事件采集模块通过漏扫模块对托管对象进行漏洞扫描,获取扫描数据,若事件分析模块对扫描数据进行分析,获得漏洞事件,则事件处置模块针对漏洞事件进行告警通知。
又比如,事件采集模块通过配置检查API对托管对象进行配置检查,获取配置检查数据,若事件分析模块对配置检查数据进行分析,获得不安全配置,则事件处置模块针对不安全配置进行配置更新。
又比如,事件采集模块通过情报监控API对托管对象进行情报监控,获取情报监控数据,若事件分析模块对情报监控数据进行分析,获得情报事件,则事件处置模块针对情报事件下发策略。
又比如,事件采集模块通过泄露监控API对托管对象进行数据泄露监控,获取监控数据,若事件分析模块对监控数据进行分析,获得泄露事件,则事件处置模块针对泄露事件进行配置更新。
步骤S606,输出运营报告。
具体地,调用报告生成工具,基于预设的编排模板,自动化整合云安全托管服务的执行内容到一份报告中,从而大大提升生成报告的效率和准确度,实现准时准点、快速的为用户提供可靠、准确的服务运营报告,帮助用户了解整体服务进度和安全状态。
步骤S607,确定服务交付内容。
具体地,在完成规定时间段的服务后,根据时间自动结束监控,并提醒用户和服务值班人员,同时将整个服务过程中的相关指标、服务内容、服务次数、服务交付报告等信息提供给用户确认,完成服务的最终交付确认。
本申请实施例中,通过编排引擎对托管对象的安全事件进行自动化分析、反馈和处置,中间省去了大量人力分析、通知和报告时间,大大提升了事件处置效率。通过与云原生API进行集成,实现对云计算环境中各类云资产的托管服务覆盖,避免资产的遗漏和监控不全的问题,实现更全面完整的服务覆盖。
其次,相较于传统的服务模式(基于设备的服务模式和基于运维的服务模式),本申请中的服务模式降低了在分析和运营方面的人力要求以及资金成本,从而帮助服务提供方更好的实现降本增效。传统的服务模式与本申请中的服务模式在人力要求以及资金成本上的比对结果如表1所示:
表1.
Figure DEST_PATH_IMAGE001
另外,相较于传统的服务模式,本申请中的服务模式通过线上申请的形式自动接入云安全托管服务的后台服务器,不需要在本地部署安全托管服务设备以及调研指定托管服务方案,从而降低了接入成本和接入难度,同时提高了接入效率。传统的服务模式与本申请中的服务模式在接入成本上的比对结果如表2所示:
表2.
Figure 862255DEST_PATH_IMAGE002
基于相同的技术构思,本申请实施例提供了一种云安全托管装置,如图7所示,该装置700包括:
第一接收模块701,用于接收终端设备响应于针对目标托管对象触发的云安全托管操作发送的云安全托管请求,其中,所述云安全托管请求中携带目标云安全托管服务的标识;
查询模块702,用于基于所述目标云安全托管服务的标识,获取相应的目标云安全服务内容,所述目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具;
处理模块703,用于按照所述目标云安全服务内容,分别调用所述各个执行工具,执行相应的目标云安全服务操作,获得所述目标云安全托管服务的执行结果;
第一发送模块704,用于向所述终端设备发送所述目标云安全托管服务的执行结果,以使所述终端设备在显示界面中展示所述目标云安全托管服务的执行结果。
可选地,所述各个目标云安全服务操作包括针对所述目标托管对象的目标评估操作和目标处置操作,所述各个执行工具包括用于执行所述目标评估操作的评估工具,以及用于执行所述目标处置操作的处置工具;
所述处理模块703具体用于:
通过编排引擎,按照所述目标评估操作,调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性;
按照所述目标处置操作,基于所述目标托管对象的安全属性,调用相应的处置工具对所述目标托管对象进行处置,获得所述目标云安全托管服务的执行结果。
可选地,还包括采集模块705;
所述采集模块705具体用于:
通过编排引擎,按照所述目标评估操作,调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性之前,调用云接口从所述目标托管对象对应的云平台中,采集所述目标托管对象的目标状态数据。
可选地,所述处理模块703具体用于:
按照所述目标评估操作调用相应的评估工具,基于所述目标托管对象的目标状态数据对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性。
可选地,所述第一发送模块704具体用于:
调用报告生成工具,基于预设的编排模板,对所述目标云安全托管服务的执行结果进行编排处理,并向所述终端设备发送编排处理后的所述目标云安全托管服务的执行结果。
可选地,所述第一接收模块701还用于:
所述接收终端设备发送的云安全托管请求之前,接收所述终端设备响应于针对目标托管对象触发的云安全托管接入操作发送的接入请求,其中,所述接入请求中携带目标托管对象的接入申请信息;
所述第一发送模块704还用于:
若所述目标托管对象的接入申请信息满足预设接入条件,则发送接入成功消息给所述终端设备;
若所述目标托管对象的接入申请信息不满足预设接入条件,则发送接入失败消息给所述终端设备。
可选地,所述第一接收模块701还用于:
向所述终端设备发送所述目标云安全托管服务的执行结果之前,接收所述终端设备响应于针对所述目标云安全托管服务触发的服务查看操作发送的服务进度查看请求,其中,所述服务进度查看请求中携带所述目标云安全托管服务的标识;
所述处理模块703还用于:
基于所述目标云安全托管服务的标识,获取所述目标云安全托管服务的服务进度;
所述第一发送模块704还用于:
将所述目标云安全托管服务的服务进度发送给所述终端设备,以使所述终端设备展示所述目标云安全托管服务的服务进度。
可选地,所述处理模块703还用于:
获取所述目标托管对象的新增威胁事件以及所述新增威胁事件的处置流程;
通过编排引擎,基于所述新增威胁事件以及所述新增威胁事件的处置流程,生成所述目标托管对象对应的新增云安全托管服务以及所述新增云安全托管服务相应的云安全服务内容。
基于相同的技术构思,本申请实施例提供了一种云安全托管装置,如图8所示,该装置800包括:
第二发送模块801,用于响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,所述云安全托管请求中携带目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,获取相应的目标云安全服务内容,所述目标云安全服务内容中记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具;按照所述目标云安全服务内容,分别调用所述各个执行工具,执行相应的目标云安全服务操作,获得所述目标云安全托管服务的执行结果;
第二接收模块802,用于接收所述服务器发送的所述目标云安全托管服务的执行结果;
展示模块803,用于在显示界面中展示所述目标云安全托管服务的执行结果。
可选地,所述第二发送模块801还用于:
响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求之前,响应于针对目标托管对象触发的云安全托管接入操作,向所述服务器发送接入请求,所述接入请求中携带目标托管对象的接入申请信息,以使所述服务器判断所述目标托管对象的接入申请信息是否满足预设接入条件,若是,则发送接入成功消息给终端设备,否则发送接入失败消息给终端设备。
可选地,所述第二发送模块801还用于:
接收所述服务器发送的所述目标云安全托管服务的执行结果之前,响应于针对所述目标云安全托管服务触发的服务查看操作,向所述服务器发送服务进度查看请求,所述服务进度查看请求中携带所述目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,获取所述目标云安全托管服务的服务进度;
所述第二接收模块802还用于:
接收所述服务器发送的所述目标云安全托管服务的服务进度;
所示展示模块803还用于:
展示所述目标云安全托管服务的服务进度。
本申请实施例中,服务器接收到终端设备发送的云安全托管请求后,基于云安全托管请求中携带的目标云安全托管服务的标识获取相应的目标云安全服务内容。由于目标云安全服务内容中记载了各个目标云安全服务操作,以及用于执行各个目标云安全服务操作的各个执行工具,故服务器可以按照目标云安全服务内容,自动调用各个执行工具,执行相应的目标云安全服务操作,获得目标云安全托管服务的执行结果,实现自动化安全托管,大大降低对人工的依赖,从而提高事件处理效率以及降低人工成本。
基于相同的技术构思,本申请实施例提供了一种计算机设备,如图9所示,包括至少一个处理器901,以及与至少一个处理器连接的存储器902,本申请实施例中不限定处理器901与存储器902之间的具体连接介质,图9中处理器901和存储器902之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请实施例中,存储器902存储有可被至少一个处理器901执行的指令,至少一个处理器901通过执行存储器902存储的指令,可以执行上述云安全托管方法中所包括的步骤。
其中,处理器901是计算机设备的控制中心,可以利用各种接口和线路连接计算机设备的各个部分,通过运行或执行存储在存储器902内的指令以及调用存储在存储器902内的数据,从而实现云安全托管服务。可选的,处理器901可包括一个或多个处理单元,处理器901可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器901中。在一些实施例中,处理器901和存储器902可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器901可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器902作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器902可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器902是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器902还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于同一发明构思,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当程序在计算机设备上运行时,使得计算机设备执行上述云安全托管方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (13)

1.一种云安全托管方法,其特征在于,包括:
接收终端设备响应于针对目标托管对象触发的云安全托管操作发送的云安全托管请求,其中,所述云安全托管请求中携带目标云安全托管服务的标识;
基于所述目标云安全托管服务的标识,通过云安全托管服务的剧本获取相应的目标云安全服务内容和云安全服务操作的执行顺序,所述目标云安全服务内容中以剧本形式记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具,所述各个目标云安全服务操作包括针对所述目标托管对象的目标评估操作和目标处置操作,所述各个执行工具包括用于执行所述目标评估操作的评估工具,以及用于执行所述目标处置操作的处置工具,所述云安全托管服务的剧本通过编排引擎,对事件源以及事件处置流程进行编排处理得到;
通过编排引擎,按照所述目标评估操作,从第一安全能力资源池中调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性;
按照所述目标处置操作以及所述云安全服务操作的执行顺序,基于所述目标托管对象的安全属性,从第二安全能力资源池中调用相应的处置工具对所述目标托管对象进行处置,获得所述目标云安全托管服务的执行结果;
调用报告生成工具,基于预设的编排模板,对所述目标云安全托管服务的执行结果进行编排处理;
向所述终端设备发送编排处理后的所述目标云安全托管服务的执行结果,以使所述终端设备在显示界面中展示所述目标云安全托管服务的执行结果。
2.如权利要求1所述的方法,其特征在于,所述通过编排引擎,按照所述目标评估操作,调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性之前,还包括:
调用云接口从所述目标托管对象对应的云平台中,采集所述目标托管对象的目标状态数据。
3.如权利要求2所述的方法,其特征在于,所述按照所述目标评估操作,调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性,包括:
按照所述目标评估操作调用相应的评估工具,基于所述目标托管对象的目标状态数据对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性。
4.如权利要求1所述的方法,其特征在于,所述接收终端设备发送的云安全托管请求之前,还包括:
接收所述终端设备响应于针对目标托管对象触发的云安全托管接入操作发送的接入请求,其中,所述接入请求中携带目标托管对象的接入申请信息;
若所述目标托管对象的接入申请信息满足预设接入条件,则发送接入成功消息给所述终端设备;
若所述目标托管对象的接入申请信息不满足预设接入条件,则发送接入失败消息给所述终端设备。
5.如权利要求1所述的方法,其特征在于,所述向所述终端设备发送所述目标云安全托管服务的执行结果之前,还包括:
接收所述终端设备响应于针对所述目标云安全托管服务触发的服务查看操作发送的服务进度查看请求,其中,所述服务进度查看请求中携带所述目标云安全托管服务的标识;
基于所述目标云安全托管服务的标识,获取所述目标云安全托管服务的服务进度,并将所述目标云安全托管服务的服务进度发送给所述终端设备,以使所述终端设备展示所述目标云安全托管服务的服务进度。
6.如权利要求1至5任一所述的方法,其特征在于,还包括:
获取所述目标托管对象的新增威胁事件以及所述新增威胁事件的处置流程;
通过编排引擎,基于所述新增威胁事件以及所述新增威胁事件的处置流程,生成所述目标托管对象对应的新增云安全托管服务以及所述新增云安全托管服务相应的云安全服务内容。
7.一种云安全托管方法,其特征在于,包括:
响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,所述云安全托管请求中携带目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,通过所述云安全托管服务的剧本获取相应的目标云安全服务内容和云安全服务操作的执行顺序,所述目标云安全服务内容中以剧本形式记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具,所述各个目标云安全服务操作包括针对所述目标托管对象的目标评估操作和目标处置操作,所述各个执行工具包括用于执行所述目标评估操作的评估工具,以及用于执行所述目标处置操作的处置工具,所述云安全托管服务的剧本通过编排引擎,对事件源以及事件处置流程进行编排处理得到;
通过编排引擎,按照所述目标评估操作,从第一安全能力资源池中调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性;
按照所述目标处置操作以及所述云安全服务操作的执行顺序,基于所述目标托管对象的安全属性,从第二安全能力资源池中调用相应的处置工具对所述目标托管对象进行处置,获得所述目标云安全托管服务的执行结果;调用报告生成工具,基于预设的编排模板,对所述目标云安全托管服务的执行结果进行编排处理;
向终端设备发送编排处理后的所述目标云安全托管服务的执行结果;
接收所述服务器发送的编排处理后的所述目标云安全托管服务的执行结果,并在显示界面中展示所述目标云安全托管服务的执行结果。
8.如权利要求7所述的方法,其特征在于,所述响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求之前,还包括:
响应于针对目标托管对象触发的云安全托管接入操作,向所述服务器发送接入请求,所述接入请求中携带目标托管对象的接入申请信息,以使所述服务器判断所述目标托管对象的接入申请信息是否满足预设接入条件,若是,则发送接入成功消息给终端设备,否则发送接入失败消息给终端设备。
9.如权利要求7所述的方法,其特征在于,所述接收所述服务器发送的所述目标云安全托管服务的执行结果之前,还包括:
响应于针对所述目标云安全托管服务触发的服务查看操作,向所述服务器发送服务进度查看请求,所述服务进度查看请求中携带所述目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,获取所述目标云安全托管服务的服务进度;
接收所述服务器发送的所述目标云安全托管服务的服务进度,并展示所述目标云安全托管服务的服务进度。
10.一种云安全托管装置,其特征在于,包括:
第一接收模块,用于接收终端设备响应于针对目标托管对象触发的云安全托管操作发送的云安全托管请求,其中,所述云安全托管请求中携带目标云安全托管服务的标识;
查询模块,用于基于所述目标云安全托管服务的标识,通过云安全托管服务的剧本获取相应的目标云安全服务内容和云安全服务操作的执行顺序,所述目标云安全服务内容中以剧本形式记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具,所述各个目标云安全服务操作包括针对所述目标托管对象的目标评估操作和目标处置操作,所述各个执行工具包括用于执行所述目标评估操作的评估工具,以及用于执行所述目标处置操作的处置工具,所述云安全托管服务的剧本通过编排引擎,对事件源以及事件处置流程进行编排处理得到;
处理模块,用于通过编排引擎,按照所述目标评估操作,从第一安全能力资源池中调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性;按照所述目标处置操作以及所述云安全服务操作的执行顺序,基于所述目标托管对象的安全属性,从第二安全能力资源池中调用相应的处置工具对所述目标托管对象进行处置,获得所述目标云安全托管服务的执行结果;
第一发送模块,用于调用报告生成工具,基于预设的编排模板,对所述目标云安全托管服务的执行结果进行编排处理;向所述终端设备发送编排处理后的所述目标云安全托管服务的执行结果,以使所述终端设备在显示界面中展示所述目标云安全托管服务的执行结果。
11.一种云安全托管装置,其特征在于,包括:
第二发送模块,用于响应于针对目标托管对象触发的云安全托管操作,向服务器发送云安全托管请求,所述云安全托管请求中携带目标云安全托管服务的标识,以使所述服务器基于所述目标云安全托管服务的标识,通过所述云安全托管服务的剧本获取相应的目标云安全服务内容和云安全服务操作的执行顺序,所述目标云安全服务内容中以剧本形式记录了各个目标云安全服务操作,以及用于执行所述各个目标云安全服务操作的各个执行工具,所述各个目标云安全服务操作包括针对所述目标托管对象的目标评估操作和目标处置操作,所述各个执行工具包括用于执行所述目标评估操作的评估工具,以及用于执行所述目标处置操作的处置工具,所述云安全托管服务的剧本通过编排引擎,对事件源以及事件处置流程进行编排处理得到;通过编排引擎,按照所述目标评估操作,从第一安全能力资源池中调用相应的评估工具对所述目标托管对象进行安全评估,获得所述目标托管对象的安全属性;按照所述目标处置操作以及所述云安全服务操作的执行顺序,基于所述目标托管对象的安全属性,从第二安全能力资源池中调用相应的处置工具对所述目标托管对象进行处置,获得所述目标云安全托管服务的执行结果,调用报告生成工具,基于预设的编排模板,对所述目标云安全托管服务的执行结果进行编排处理;向终端设备发送编排处理后的所述目标云安全托管服务的执行结果;
第二接收模块,用于接收所述服务器发送的编排处理后的所述目标云安全托管服务的执行结果;
展示模块,用于在显示界面中展示所述目标云安全托管服务的执行结果。
12.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1~6任一权利要求所述方法的步骤,或者权利要求7~9任一权利要求所述方法的步骤。
13.一种计算机可读存储介质,其特征在于,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行权利要求1~6任一所述方法的步骤,或者权利要求7~9任一所述方法的步骤。
CN202110337904.3A 2021-03-30 2021-03-30 云安全托管方法、装置、设备及存储介质 Active CN112738138B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110337904.3A CN112738138B (zh) 2021-03-30 2021-03-30 云安全托管方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110337904.3A CN112738138B (zh) 2021-03-30 2021-03-30 云安全托管方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112738138A CN112738138A (zh) 2021-04-30
CN112738138B true CN112738138B (zh) 2022-09-30

Family

ID=75596202

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110337904.3A Active CN112738138B (zh) 2021-03-30 2021-03-30 云安全托管方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112738138B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114500221B (zh) * 2021-12-28 2024-04-26 阿里巴巴(中国)有限公司 云系统、公有云的管控方法、设备及存储介质
CN114978666A (zh) * 2022-05-18 2022-08-30 杭州安恒信息技术股份有限公司 一种网络攻击流程还原方法、装置、设备及存储介质
CN116346904B (zh) * 2023-05-19 2023-09-22 北京奇虎科技有限公司 信息推送方法、装置、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111224821A (zh) * 2019-12-31 2020-06-02 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置
CN111556047A (zh) * 2020-04-24 2020-08-18 杭州安恒信息技术股份有限公司 一种私有云环境下安全服务的部署方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8250357B2 (en) * 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
CN102196027A (zh) * 2011-03-11 2011-09-21 上海承功企业管理咨询有限公司 一种实现移动云服务的系统及方法
CN106161373B (zh) * 2015-04-10 2020-11-06 腾讯科技(深圳)有限公司 一种安全防护信息提示方法、安全监控装置以及系统
US10536478B2 (en) * 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
CN108234646B (zh) * 2017-12-29 2020-09-22 北京神州绿盟信息安全科技股份有限公司 一种分配云安全资源的方法及装置
CN112235300B (zh) * 2020-10-14 2023-10-24 腾讯科技(深圳)有限公司 云虚拟网络漏洞检测方法、系统、装置及电子设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111224821A (zh) * 2019-12-31 2020-06-02 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置
CN111556047A (zh) * 2020-04-24 2020-08-18 杭州安恒信息技术股份有限公司 一种私有云环境下安全服务的部署方法

Also Published As

Publication number Publication date
CN112738138A (zh) 2021-04-30

Similar Documents

Publication Publication Date Title
CN112738138B (zh) 云安全托管方法、装置、设备及存储介质
JP7199775B2 (ja) スマートコントラクトに基づくデータ処理方法、データ処理装置、ノード機器、及びコンピュータプログラム
US9742794B2 (en) Method and apparatus for automating threat model generation and pattern identification
US11233826B2 (en) System and method of microservice-based application deployment with automating authorization configuration
CN108923908B (zh) 授权处理方法、装置、设备及存储介质
CN112905261B (zh) 一种应用程序接口api管控方法、装置及电子设备
US11416874B1 (en) Compliance management system
CN110601896B (zh) 一种基于区块链节点的数据处理方法以及设备
CN104636678B (zh) 一种云计算环境下对终端设备进行管控的方法和系统
CN110765137B (zh) 电子证照处理方法、装置、设备、平台和介质
CN110059007B (zh) 系统漏洞扫描方法、装置、计算机设备及存储介质
CN112995357B (zh) 基于云托管服务的域名管理方法、装置、介质及电子设备
CN117608825A (zh) 基于多云管理平台的资源管理方法和相关设备
CN114491555A (zh) 设备安全检测方法、装置、计算机设备和存储介质
CN116957764A (zh) 一种账户数据处理方法、装置、电子设备及存储介质
CN115567218A (zh) 基于区块链的安全证书的数据处理方法、装置和服务器
CN115801292A (zh) 访问请求的鉴权方法和装置、存储介质及电子设备
CN113326506A (zh) 一种小程序监控方法及装置
CN113190861A (zh) SonarQube项目操作权限配置方法及装置
CN113177232A (zh) 基于区块链和大数据的安全性检测方法及大数据ai系统
KR20220165783A (ko) 소스 네트워크로부터 타겟 네트워크로 소프트웨어 아티팩트를 전송하기 위한 방법 및 시스템
CN116028451A (zh) 日志分析方法及相关设备
CN115842716B (zh) 故障服务器的确定方法、装置、设备以及存储介质
Vourou Enhancing application security through DevSecOps: a comprehensive study on vulnerability detection and management in continuous integration and continuous delivery pipelines
Mateus Handling Cybersecurity Related Incidents in the Security Operation Center of the Polytechnic of Leiria

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40041985

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant