CN114553471A - 一种租户安全管理系统 - Google Patents
一种租户安全管理系统 Download PDFInfo
- Publication number
- CN114553471A CN114553471A CN202210005383.6A CN202210005383A CN114553471A CN 114553471 A CN114553471 A CN 114553471A CN 202210005383 A CN202210005383 A CN 202210005383A CN 114553471 A CN114553471 A CN 114553471A
- Authority
- CN
- China
- Prior art keywords
- tenant
- security
- network
- isolation
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 claims abstract description 65
- 238000004458 analytical method Methods 0.000 claims abstract description 32
- 238000001514 detection method Methods 0.000 claims abstract description 17
- 238000002955 isolation Methods 0.000 claims description 92
- 238000012384 transportation and delivery Methods 0.000 claims description 11
- 230000007123 defense Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 7
- 239000000523 sample Substances 0.000 claims description 7
- 230000007246 mechanism Effects 0.000 claims description 5
- 230000003044 adaptive effect Effects 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 238000013468 resource allocation Methods 0.000 claims description 3
- 230000002265 prevention Effects 0.000 claims description 2
- 230000001360 synchronised effect Effects 0.000 claims description 2
- 238000005067 remediation Methods 0.000 claims 1
- 238000012550 audit Methods 0.000 abstract description 11
- 238000000034 method Methods 0.000 abstract description 6
- 230000008569 process Effects 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 11
- 230000006399 behavior Effects 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008439 repair process Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种租户安全管理系统,包括纵向防护模块,包括云安全资源池,所述云安全资源池对租户的网络进行安全检测,并根据预设的安全策略进行预测、审核,提供对应的安全服务,实现对租户端的纵向防护;横向防护模块,实时采集租户主机事件与网络事件,对所述主机事件与网络事件进行安全分析,并提供安全服务,实现对租户的云主机、数据库之间的横向防护;管理终端,连接所述纵向防护模块与横向防护模块,用于根据所述纵向防护模块与横向防护模块的安全服务生成安全预测报告,根据所述安全预测报告对租户进行管理。本发明提高租户在使用过程中的安全保障,满足租户的使用需求。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种租户安全管理系统。
背景技术
随着科技的进步与发展,网络为企业必不可少的工具,越来越多企业选择作专网。云服务商构建云安全管理平台,为云服务客户提供互联网业务托管、渗透测试、风险评估和安全运维等管理服务。
但现有安全管理平台所提供安全防护措施较差,租户信息容易泄露。如何为租户提供安全保障,满足租户的使用需求是急需解决的问题。
发明内容
为了克服现有技术的不足,本发明的目的在于提供一种租户安全管理系统,提高租户在使用过程中的安全保障,满足租户的使用需求。
本发明的目的采用如下技术方案实现:
一种租户安全管理系统,包括
纵向防护模块,包括云安全资源池,所述云安全资源池对租户的网络进行安全检测,并根据预设的安全策略进行预测、审核,提供对应的安全服务,实现对租户端的纵向防护;
横向防护模块,实时采集租户主机事件与网络事件,对所述主机事件与网络事件进行安全分析,并提供安全服务,实现对租户的云主机、数据库之间的横向防护;
管理终端,连接所述纵向防护模块与横向防护模块,用于根据所述纵向防护模块与横向防护模块的安全服务生成安全预测报告,根据所述安全预测报告对租户进行管理。
进一步地,所述管理终端包括信息采集单元、隔离检测单元、分析单元及显示单元;所述信息采集单元连接所述横向防护模块与纵向防护模块,采集所述横向防护模块与纵向防护模块的安全服务信息及租户安全要素信息,所述分析单元实时获取并分析安全服务信息及租户安全要素信息,得到安全分析报告;所述显示单元用于显示所述安全分析报告;所述隔离检测单元实时获取所有租户之间的隔离状态及网络接入信息,建立租户网络隔离表,比对所述租户网络隔离表及预设隔离表,根据比对结果判断租户之间的隔离情况。
进一步地,所述预设隔离表为根据预设隔离策略建立的安全隔离表格;所述预设隔离策略包括网络隔离关系及租户根据网络隔离关系设置的自定义设置隔离关系;所述预设隔离策略包括所有租户的虚拟机、虚拟机内的应用端口及不同应用端口之间的连接关系;在所述网络隔离关系中,不同租户之间的虚拟机及虚拟机的应用端口均处于隔离状态,所述自定义设置隔离关系中,同一租户的部分虚拟机的应用端口及不同应用端口之间处于连通状态,部分虚拟机的应用端口及不同应用端口之间处于隔离状态。
进一步地,所述预设隔离表与所述租户网络隔离表中通过“0”表示隔离状态,通过“1”表示连通状态;所述隔离检测单元通过信息采集单元获取所述获取所有租户之间的隔离状态及网络接入信息。
进一步地,所述横向防护模块包括设置于服务器的端点探针单元,所述端点探针单元根据所述主机事件与网络事件的数据,进行安全分析,根据安全分析结果自动隔离恶意文件、封堵入侵IP或智能关联检测威胁情报;所述网络事件包括网络与主机的危险事件。
进一步地,纵向防护包括安全接入防护、安全防御防护与应用交付防护,所述安全接入防护为利用VPN功能构建VPN隧道,通过该VPN隧道对传输的数据进行加密;所述安全防御防护包括web防火墙功能、防篡改功能及数据防泄密功能;所述应用交付防护为根据调度机制将租户的客户端不同的应用类型请求转发至适配的服务器,并建立客户端与服务器之间的连接。
所述云安全资源池通过web防护单元、数据库审计单元实现安全接入防护、安全防御防护与应用交付防护;所述web防护单元用于对租户安全管理系统内的租户进行web入侵防护、web恶意扫描防护及信息系泄露防护;所述数据库审计单元用于接入租户业务网络,获取数据库日志信息,根据预设的审计策略,对日志信息进行解析,提取并响应审计事件。
进一步地,所述云安全资源池内的整体流量包括内部网络流量、虚拟存储网络流量、管理网络流量及业务网络流量;虚拟存储网络流量用于集群内宿主机虚拟存储通信数据的复制,在集群内硬盘或宿主机出现故障时,同步副本数据;所述管理网络流量用于租户对自身业务进行维护和管理;所述业务网络流量用于处理从物理网格引流至云安全资源池平台的流量。
进一步地,所述横向防护模块还包括漏洞监测单元,所述漏洞监测单元实时扫描租户的主机及网络,根据预设安全策略评估主机及网络的风险,根据评估结果生成漏洞修复方案。
进一步地,所述分析单元实时获取并分析安全服务信息及租户安全要素信息,
具体为,所述分析单元通过脆弱性、威胁事件、资源配置、数据完整性、数据保密性、网络架构、远程访问、入侵防范角度进行分析,得到安全分析报告;所述租户安全要素信息包括了租户资产信息、配置安全信息及弱点信息。
进一步地,所述管理终端包括多个租户独立数据库,所述租户独立数据库设置有租户登录接口,租户通过租户登录接口查看租户数据;所述管理终端根据租户安全服务需求进行划分安全等级,为不同安全等级的租户匹配相对应权限的安全服务,进行分级管理。
相比现有技术,本发明的有益效果在于:
本发明提供了一种租户安全管理系统,通过横向防护模块与纵向防护模块的对租户进行安全防护,管理终端可以根据所述纵向防护模块与横向防护模块的安全服务生成安全预测报告,根据所述安全预测报告对租户进行管理,实现租户整个数据流的安全防护,提高租户在使用过程中的安全保障,满足租户的使用需求。
附图说明
图1为本发明所提供实施例租户管理系统的结构框图;
图2为本发明所提供实施例租户管理系统中的云安全资源池的结构框图;
图3为本发明所提供实施例租户管理系统中的横向防护模块结构框图;
图4为本发明所提供实施例租户管理系统中管理终端的结构框图;
图5为本发明所提供实施例租户管理系统中数据库审计单元审计的流程示意图;
图6为本发明所提供实施例租户管理系统中隔离检测单元的流程示意图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
如图1~4所示,本申请提供了一种租户安全管理系统,纵向防护模块与横向防护模块对租户进行安全防护,管理终端可以根据所述安全防护对租户进行管理,提高租户在使用过程中的安全保障,满足租户的使用需求。
具体的,所述租户安全管理系统包括横向防护模块、纵向防护模块与管理终端。所述纵向防护模块包括云安全资源池,所述云资源安全池对租户的网络进行安全检测,并根据预设的安全策略进行预测、审核,提供对应的安全服务,实现对租户端的纵向防护。所述横向防护模块实时采集租户主机事件与网络事件,对所述主机事件与网络事件进行安全分析,并提供安全服务,实现对租户的云主机、数据库之间的横向防护。所述管理终端连接所述纵向防护模块与横向防护模块,用于根据所述纵向防护模块与横向防护模块的安全服务生成安全预测报告,根据所述安全预测报告对租户进行管理。
纵向防护模块包括了云安全资源池。所述云资源安全池设置在核心交换机上,核心交换机采用策略路由的方式将云租户业务系统的整体流量引导云安全资源池内,通过云安全资源池对租户的流量进行安全检测,在检测完成后进行预测、审核,并提供对应的安全服务。
所述云安全资源池内的整体流量一般分为四个部分,内部网络流量、虚拟存储网络流量、管理网络流量及业务网络流量。所述虚拟存储网络流量用于将集群内宿主机虚拟存储通信、数据多副本情况下数据的肤质,在集群内硬盘或者宿主机出现故障时,同步副本数据,避免租户业务终端。管理网络流量则是用于租户对自身业务的维护和管理。业务网络流量则用于处理从物理网格引流至云安全资源池平台的流量。所述云安全资源池内设置有web防护单元、数据库审计单元等,通过上述单元实现对云安全资源池内整体流量的安全接入防护、安全防御防护与应用交付防护。所述安全接入防护为利用VPN功能构建VPN隧道,通过该VPN隧道对传输的数据进行加密;所述安全防御防护包括web防火墙功能、防篡改功能及数据防泄密功能;所述应用交付防护为根据调度机制将租户客户端不同的应用类型请求转发至适配的服务器,并建立客户端与服务器之间的连接。
所述web防护单元用于对租户安全管理系统内的租户进行web入侵防护、web恶意扫描防护及信息系泄露防护,从而实现应用交付服务与安全防御服务。所述web防护单元通过分析和提取web攻击行为特征数据,通过机器学习的方式建立web攻击行为特征数据库,实时分析网络数据,通过虚拟机和实时网络数据生成模拟攻击行为,根据web攻击行为特征数据库内的特征行为数据确定所述实时网络数据是否为攻击行为,实现web防火墙功能及防篡改功能。
所述应用交付服务包括应用负载、SSL卸载服务等,所述应用交付服务支持基于IP地址、应用类型和内容等因素实现流量负载,根据调度机制为不同应用类型请求转发至适配的服务器,并建立客户端与服务器之间的连接。所述调度机制支持不同协议上的多种应用,包括TCP、UDP、IP、DNS、E-mail、FTP、HTTP、RADIUS等等,管理终端可以通过应用层的内容交换分配服务器的资源,实现租户请求调度的多元化与个性化,实现不同业务系统的交互联动。
所述数据库审计单元用于接入租户业务网络,获取数据库日志信息,根据预设的审计策略,对日志信息进行解析,提取并响应审计事件。所述预设的审计策略包括系统状态监控和维护、审计范围等,从而自动提取对应的日志信息,及时发现租户日志信息中异常操作及越权行为,实现安全防御服务。如图5所示,审计记录包括事件的日期、时间、类型、主体系统、客体标识、网络设备、安全设备、应用中间件、数据库和结果,并能够根据记录数据进行分析,并生成审计报表,同时具备审计进程保护,避免受到未预期的中断,具备审计记录的保护功能,避免受到未预期的删除、修改或覆盖等操作。
而横向防护模块实时采集租户主机事件与网络事件,对所述主机事件与网络事件进行安全分析,并提供安全服务,实现对租户的云主机、数据库之间的横向防护。所述横向防护模块包括设置于服务器的所述端点探针单元,所述端点探针单元根据所述主机事件与网络事件的数据,进行安全分析,根据安全分析结果自动隔离恶意文件、封堵入侵IP或智能关联检测威胁情报;所述网络事件包括服务器与主机在网络上的危险事件。
自动隔离恶意文件为通过文件信誉库或者恶意文件相似库防止已知的威胁文件运行,并对已知恶意文件进行自动隔离。同时在发现疑似恶意文件时,先进行隔离,再根据恶意文件相似库确定文件的性质。封堵入侵IP则为端点探针实时感知网络威胁活动,对远程攻击的入侵者进行IP封堵处理,实时响应缓解攻击,进行安全加固,减少攻击对租户的影响,提高安全效率。智能关联检测威胁情报则为通过端点返回的网络事件或主机事件,关联本平台所有租户的威胁数据,及时发现威胁数据或疑似威胁,并告知其威胁或疑似威胁原因。
更多的,所述横向防护模块还包括漏洞监测单元,所述漏洞监测单元实时扫描租户的主机及网络,根据预设安全策略评估主机及网络的风险,根据评估结果生成漏洞修复方案。所述漏洞检测单元根据预设安全策略对所有主机或者网络的漏洞进行主机及网络的脆弱性风险等级评估,并生成漏洞修复方案,呈现至管理终端。
所述管理终端包括信息采集单元、分析单元及显示单元;所述信息采集单元连接所述横向防护模块与纵向防护模块,采集所述横向防护模块与纵向防护模块的安全服务信息及租户安全要素信息。所述租户安全要素信息则包括了租户资产信息,配置安全信息及弱点信息。所述分析单元实时获取安全服务信息及租户安全要素信息,从脆弱性、威胁事件、资源配置、数据完整性、数据保密性、网络架构、远程访问等方面进行分析,从而得到安全分析报告。所述显示单元用于显示所述安全分析报告。而所述显示单元则根据安全分析报告进行可视化显示,便于租户及管理人员直观的查看。
更多的,所述管理终端还设置有隔离检测单元,防火墙分布在各个计算节点中对租户虚拟机进行隔离,通过租户安全管理系统获取运行过程中租户网络隔离的情况,实时监测租户网络隔离是否发生异常,同时还可以根据网络隔离情况及时追踪到异常发生的位置,从而快速修复,为租户提供安全保障。如图6所示,所述隔离检测单元通过管理节点及计算节点实时获取所有租户之间的隔离状态及网络接入信息,建立租户网络隔离表,比对所述租户网络隔离表及预设隔离表,根据比对结果判断租户之间的隔离情况。所述预设隔离表为根据预设隔离策略建立的安全隔离表格。
所述预设隔离策略包括网络隔离关系及租户根据网络隔离关系设置的自定义设置隔离关系。网络隔离关系为所有租户都需要遵守的网络隔离规则,在租户初始设置中由管理终端设置,且租户无法进行更改操作。而自定义设置隔离关系则为租户在遵守网络隔离规则的前提下,自定义设置租户自己内部的隔离状态,以便于自身进行数据传输。具体的,所述预设隔离策略包括所有租户的虚拟机、虚拟机内的应用端口及不同应用端口之间的连接关系;在所述网络隔离关系中,不同租户之间的虚拟机及虚拟机的应用端口均处于隔离状态,且不同分组之间均通过防火墙进行隔离,所述自定义设置隔离关系中,同一租户的部分虚拟机的应用端口及不同应用端口之间处于连通状态,部分虚拟机的应用端口及不同应用端口之间处于隔离状态。
表1
如表1所示,为所述预设隔离表与租户网络隔离表的示意表格。在所述预设隔离表上,记载了预期的所有租户、租户虚拟机及虚拟机内应用端口之间的隔离或者连通状态。而所述租户网络隔离表,则记载了预设间隔内,所有租户、租户虚拟机及虚拟机内应用端口之间实际隔离或者连通状态。所述预设隔离表与所述租户网络隔离表的状态栏中通过“0”表示隔离状态,通过“1”表示连通状态。且在预设隔离表或者租户网络隔离表的状态栏中,状态栏都包含其对应的网络接入信息,可通过状态栏查询。网络接入信息包括目的IP地址、端口号等。若是租户网络隔离状态遭到破坏,其则信息采集单元可以通过纵向防护模块获取到其连通状态,但本应处于隔离状态,但却为连通状态,表示该租户网络被破坏、接入设备的防火墙被部分或者全部攻击,获取预设隔离表与租户网络隔离表的比对结果则会异常提示及状态栏标注,通过状态栏可以快速定位到出现异常的位置。
进一步地,所述管理终端还设置有多个租户独立数据库,每个租户独立数据库对应着一位租户。且在租户独立数据库内设置有租户登录接口,租户可通过租户登录接口查看租户数据。且每个租户独立数据库内均设置有租户分区单元、数据调度单元及租户数据中心,以便于租户进行数据调整优化。且租户数据中心记载着租户所有数据,租户或者管理人员可以直接进行查看。每位租客由于自身安全需求不同,所需要的安全服务也不相同。因此,所述管理终端根据租户安全服务需求进行划分安全等级,为不同安全等级的租户匹配相对应权限的安全服务。管理终端同时结合安全分析报告的紧急程度,对租户进行分级管理。
本发明提供了一种租户安全管理系统,通过横向防护模块与纵向防护模块的对租户进行安全防护,管理终端可以根据所述纵向防护模块与横向防护模块的安全服务生成安全预测报告,根据所述安全预测报告对租户进行管理,实现租户整个数据流的安全防护,提高租户在使用过程中的安全保障,满足租户的使用需求。
上述实施方式仅为本发明的优选实施方式,不能以此来限定本发明保护的范围,本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换均属于本发明所要求保护的范围。
Claims (10)
1.一种租户安全管理系统,其特征在于,包括
纵向防护模块,包括云安全资源池,所述云安全资源池对租户的网络进行安全检测,并根据预设的安全策略进行预测、审核,提供对应的安全服务,实现对租户端的纵向防护;
横向防护模块,实时采集租户主机事件与网络事件,对所述主机事件与网络事件进行安全分析,并提供安全服务,实现对租户的云主机、数据库之间的横向防护;
管理终端,连接所述纵向防护模块与横向防护模块,用于根据所述纵向防护模块与横向防护模块的安全服务生成安全预测报告,根据所述安全预测报告对租户进行管理。
2.如权利要求1所述的一种租户安全管理系统,其特征在于,所述管理终端包括信息采集单元、隔离检测单元、分析单元及显示单元;所述信息采集单元连接所述横向防护模块与纵向防护模块,采集所述横向防护模块与纵向防护模块的安全服务信息及租户安全要素信息,所述分析单元实时获取并分析安全服务信息及租户安全要素信息,得到安全分析报告;所述显示单元用于显示所述安全分析报告;所述隔离检测单元实时获取所有租户之间的隔离状态及网络接入信息,建立租户网络隔离表,比对所述租户网络隔离表及预设隔离表,根据比对结果判断租户之间的隔离情况。
3.如权利要求2所述的一种租户安全管理系统,其特征在于,所述预设隔离表为根据预设隔离策略建立的安全隔离表格;所述预设隔离策略包括网络隔离关系及租户根据网络隔离关系设置的自定义设置隔离关系;所述预设隔离策略包括所有租户的虚拟机、虚拟机内的应用端口及不同应用端口之间的连接关系;在所述网络隔离关系中,不同租户之间的虚拟机及虚拟机的应用端口均处于隔离状态,所述自定义设置隔离关系中,同一租户的部分虚拟机的应用端口及不同应用端口之间处于连通状态,部分虚拟机的应用端口及不同应用端口之间处于隔离状态。
4.如权利要求3所述的一种租户安全管理系统,其特征在于,所述预设隔离表与所述租户网络隔离表中通过“0”表示隔离状态,通过“1”表示连通状态;所述隔离检测单元通过信息采集单元获取所述获取所有租户之间的隔离状态及网络接入信息。
5.如权利要求2所述的一种租户安全管理系统,其特征在于,所述横向防护模块包括设置于服务器的端点探针单元,所述端点探针单元根据所述主机事件与网络事件的数据,进行安全分析,根据安全分析结果自动隔离恶意文件、封堵入侵IP或智能关联检测威胁情报;所述网络事件包括网络与主机的危险事件。
6.如权利要求3所述的一种租户安全管理系统,其特征在于,纵向防护包括安全接入防护、安全防御防护与应用交付防护,所述安全接入防护为利用VPN功能构建VPN隧道,通过该VPN隧道对传输的数据进行加密;所述安全防御防护包括web防火墙功能、防篡改功能及数据防泄密功能;所述应用交付防护为根据调度机制将租户的客户端不同的应用类型请求转发至适配的服务器,并建立客户端与服务器之间的连接;
所述云安全资源池通过web防护单元、数据库审计单元实现安全接入防护、安全防御防护与应用交付防护;所述web防护单元用于对租户安全管理系统内的租户进行web入侵防护、web恶意扫描防护及信息系泄露防护;所述数据库审计单元用于接入租户业务网络,获取数据库日志信息,根据预设的审计策略,对日志信息进行解析,提取并响应审计事件。
7.如权利要求5所述的一种租户安全管理系统,其特征在于,所述云安全资源池内的整体流量包括内部网络流量、虚拟存储网络流量、管理网络流量及业务网络流量;虚拟存储网络流量用于集群内宿主机虚拟存储通信数据的复制,在集群内硬盘或宿主机出现故障时,同步副本数据;所述管理网络流量用于租户对自身业务进行维护和管理;所述业务网络流量用于处理从物理网格引流至云安全资源池平台的流量。
8.如权利要求6所述的一种租户安全管理系统,其特征在于,所述横向防护模块还包括漏洞监测单元,所述漏洞监测单元实时扫描租户的主机及网络,根据预设安全策略评估主机及网络的风险,根据评估结果生成漏洞修复方案。
9.如权利要求4所述的一种租户安全管理系统,其特征在于,所述分析单元实时获取并分析安全服务信息及租户安全要素信息,
具体为,所述分析单元通过脆弱性、威胁事件、资源配置、数据完整性、数据保密性、网络架构、远程访问、入侵防范角度进行分析,得到安全分析报告;所述租户安全要素信息包括了租户资产信息、配置安全信息及弱点信息。
10.如权利要求1所述的一种租户安全管理系统,其特征在于,所述管理终端包括多个租户独立数据库,所述租户独立数据库设置有租户登录接口,租户通过租户登录接口查看租户数据;所述管理终端根据租户安全服务需求进行划分安全等级,为不同安全等级的租户匹配相对应权限的安全服务,进行分级管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210005383.6A CN114553471A (zh) | 2022-01-05 | 2022-01-05 | 一种租户安全管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210005383.6A CN114553471A (zh) | 2022-01-05 | 2022-01-05 | 一种租户安全管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114553471A true CN114553471A (zh) | 2022-05-27 |
Family
ID=81670543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210005383.6A Pending CN114553471A (zh) | 2022-01-05 | 2022-01-05 | 一种租户安全管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553471A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208675A (zh) * | 2022-07-18 | 2022-10-18 | 中国建设银行股份有限公司 | 云资产配置安全处理方法、系统、存储介质及电子设备 |
| CN116010431A (zh) * | 2023-03-27 | 2023-04-25 | 北京有生博大软件股份有限公司 | 基于多租户模式下的数据要素管理方法及管理系统 |
| CN116938590A (zh) * | 2023-08-28 | 2023-10-24 | 广东中山网传媒信息科技有限公司 | 一种基于虚拟化技术的云安全管理方法与系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107959689A (zh) * | 2018-01-10 | 2018-04-24 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
| CN109117659A (zh) * | 2018-08-29 | 2019-01-01 | 广东恒电信息科技股份有限公司 | 一种多租户模式下的大数据安全隔离管理系统 |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112579288A (zh) * | 2020-12-18 | 2021-03-30 | 曙光星云信息技术(北京)有限公司 | 一种基于云计算智能安全用数据管理系统 |
| CN113055887A (zh) * | 2021-05-18 | 2021-06-29 | 全球能源互联网研究院有限公司 | 一种面向电力5g应用的网络通道安全防护系统 |
| CN113645081A (zh) * | 2021-08-17 | 2021-11-12 | 浪潮思科网络科技有限公司 | 一种云网环境中实现租户网络多出口的方法、设备及介质 |
| CN113704050A (zh) * | 2021-07-19 | 2021-11-26 | 国网河南省电力公司信息通信公司 | 云安全防护能力的虚拟资源池安全检测与监控系统 |
-
2022
- 2022-01-05 CN CN202210005383.6A patent/CN114553471A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107959689A (zh) * | 2018-01-10 | 2018-04-24 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
| CN109117659A (zh) * | 2018-08-29 | 2019-01-01 | 广东恒电信息科技股份有限公司 | 一种多租户模式下的大数据安全隔离管理系统 |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112579288A (zh) * | 2020-12-18 | 2021-03-30 | 曙光星云信息技术(北京)有限公司 | 一种基于云计算智能安全用数据管理系统 |
| CN113055887A (zh) * | 2021-05-18 | 2021-06-29 | 全球能源互联网研究院有限公司 | 一种面向电力5g应用的网络通道安全防护系统 |
| CN113704050A (zh) * | 2021-07-19 | 2021-11-26 | 国网河南省电力公司信息通信公司 | 云安全防护能力的虚拟资源池安全检测与监控系统 |
| CN113645081A (zh) * | 2021-08-17 | 2021-11-12 | 浪潮思科网络科技有限公司 | 一种云网环境中实现租户网络多出口的方法、设备及介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208675A (zh) * | 2022-07-18 | 2022-10-18 | 中国建设银行股份有限公司 | 云资产配置安全处理方法、系统、存储介质及电子设备 |
| CN116010431A (zh) * | 2023-03-27 | 2023-04-25 | 北京有生博大软件股份有限公司 | 基于多租户模式下的数据要素管理方法及管理系统 |
| CN116938590A (zh) * | 2023-08-28 | 2023-10-24 | 广东中山网传媒信息科技有限公司 | 一种基于虚拟化技术的云安全管理方法与系统 |
| CN116938590B (zh) * | 2023-08-28 | 2024-02-13 | 广东中山网传媒信息科技有限公司 | 一种基于虚拟化技术的云安全管理方法与系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111784209B (zh) | 一种资产可视化与安全运营管理系统 | |
| CN114553471A (zh) | 一种租户安全管理系统 | |
| US7472421B2 (en) | Computer model of security risks | |
| Montesino et al. | Information security automation: how far can we go? | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
| CN104700024B (zh) | 一种Unix类主机用户操作指令审计的方法和系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| US20070162596A1 (en) | Server monitor program, server monitor device, and server monitor method | |
| CN113407949A (zh) | 一种信息安全监控系统、方法、设备及存储介质 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN113301040B (zh) | 一种防火墙策略优化方法、装置、设备及存储介质 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| CN109600386A (zh) | 一种工控态势感知主动探测系统 | |
| Söderström et al. | Secure audit log management | |
| KR100625096B1 (ko) | 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| CN118138293A (zh) | 水利关键信息基础设施网络安全态势感知平台 | |
| KR101201629B1 (ko) | 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 | |
| CN112565202A (zh) | 一种用于视频网系统的物联网准入网关 | |
| CN117319064A (zh) | 基于可信计算的网络空间安全管控系统 | |
| CN116859804A (zh) | 一种面向船舶制造车间的安全态势监测预警系统 | |
| CN116894259A (zh) | 一种数据库的安全访问控制系统 | |
| Li et al. | The research on network security visualization key technology | |
| KR20060079782A (ko) | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220527 |