CN115879070B - 安全加固方法、装置、存储介质及备份服务器 - Google Patents

安全加固方法、装置、存储介质及备份服务器 Download PDF

Info

Publication number
CN115879070B
CN115879070B CN202310181291.8A CN202310181291A CN115879070B CN 115879070 B CN115879070 B CN 115879070B CN 202310181291 A CN202310181291 A CN 202310181291A CN 115879070 B CN115879070 B CN 115879070B
Authority
CN
China
Prior art keywords
backup data
reinforcement
reinforced
consolidated
backup
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310181291.8A
Other languages
English (en)
Other versions
CN115879070A (zh
Inventor
游仁均
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Clerware Technology Co ltd
Original Assignee
Shenzhen Clerware Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Clerware Technology Co ltd filed Critical Shenzhen Clerware Technology Co ltd
Priority to CN202310181291.8A priority Critical patent/CN115879070B/zh
Publication of CN115879070A publication Critical patent/CN115879070A/zh
Application granted granted Critical
Publication of CN115879070B publication Critical patent/CN115879070B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供了一种安全加固方法、装置、存储介质及备份服务器,涉及数据备份技术领域,该安全加固方法在获取到待加固备份数据时,获取与待加固备份数据对应的加固策略;通过虚拟机运行待加固备份数据;通过加固策略对运行于虚拟机上的待加固备份数据进行加固处理,以生成加固后的备份数据。本发明通过在获取到待加固备份数据时,获取对应的加固策略,在将待加固备份数据运行时,通过加固策略对待加固备份数据进行加固得到加固后的备份数据,使用加固后的备份数据进行恢复后的系统可以有效的避免受到入侵。

Description

安全加固方法、装置、存储介质及备份服务器
技术领域
本发明涉及数据备份技术领域,尤其涉及一种安全加固方法、装置、存储介质及备份服务器。
背景技术
现存生产环境中的各种计算机,无论服务器,工作站还是普通办公用个人电脑,存在各种已知或未知的安全漏洞,有的漏洞未得到封堵和安全加固,导致被木马、病毒等入侵而发生灾难性事件。
近年来肆虐的勒索病毒,其特征就是一旦入侵后,就会以每一台被感染的主机为宿主和跳板,持续不断扫描生产网络中的其他主机,一旦发现某台主机存在可利用的漏洞,立即入侵并感染,加密,删除或窃取数据。发现被勒索病毒感染并造成破坏后,立即止损的办法是断网并关机,在被感染的主机病毒清除前,持续运行或再次开机,只会加剧病毒的破坏。病毒的破坏形式为先加密文件,在通过网络将部分已加密数据传输到勒索者的位于互联网某个地址上的服务器上保存,然后删除部分加密数据。 如果已经发生数据被加密后删除;解密不能解决问题,一是加密强度足够高,在数据价值存在的时间期限内无法解密。支付赎金,面临赎金高昂,且不一定能找回数据,因为勒索者并不保证恢复数据的完整性。迄今为止,应对勒索病毒的最优办法有两个:一是预防,二是备份恢复。
以往的整机备份和恢复技术,无法在恢复过程中对恢复点中的系统进行干预,也就无法在恢复前对备份的系统进行加固,封堵安全漏洞。备份的系统处于被入侵感染前的状态,存在安全漏洞,如果不在恢复之前进行安全加固,因为病毒不间断在扫描网络中存在漏洞的主机,也不知道病毒源在网络中的何处,所以恢复后可能立即会被再次入侵感染。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种安全加固方法、装置、存储介质及备份服务器,旨在解决现有技术中对主机进行恢复之后可能会立即被再次入侵感染的技术问题。
为实现上述目的,本发明提供一种安全加固方法,所述安全加固方法包括以下步骤:
在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;
通过虚拟机运行所述待加固备份数据;
通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
可选地,所述加固策略包括:
启用或配置所述待加固备份数据中的防火墙端口策略,关闭存在漏洞的网络端口;
和/或,安装安全补丁至所述待加固备份数据;
和/或,修改所述待加固备份数据的安全配置;
和/或,安装防病毒软件至所述待加固备份数据或更新所述待加固备份数据的病毒库。
可选地,所述通过虚拟机运行所述待加固备份数据的步骤之前,还包括:
利用虚拟网络技术构建虚拟隔离网桥;
通过所述虚拟隔离网桥连接所述虚拟机,在所述虚拟机连接成功时返回所述通过虚拟机运行所述待加固备份数据的步骤。
可选地,所述通过虚拟机运行所述待加固备份数据包括:
检测所述待加固备份数据是否包括代理程序;
在所述待加固备份数据包括所述代理程序时,通过虚拟机运行所述待加固备份数据;
在所述待加固备份数据不包括所述代理程序时,向所述待加固备份数据注入代理程序,通过虚拟机运行注入代理程序后的待加固备份数据。
可选地,所述通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据的步骤包括:
根据所述加固策略确定加固程序、脚本或病毒库更新程序;
将所述加固程序、脚本或病毒库更新程序上传至共享目录;
在接收到加固指令时,利用所述代理程序挂载所述共享目录对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
可选地,所述在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略的步骤之前,还包括:
在整机受到入侵或对整机进行入侵预防时,获取当前时间点;
根据所述当前时间点从备份数据库中选取待加固备份数据。
可选地,所述在整机收到入侵或对整机进行入侵预防时,获取当前时间点步骤之前还包括:
获取虚拟机的参数信息;
根据所述参数信息确定整机数据的镜像格式;
根据所述镜像格式对所述整机数据进行备份,获得备份数据;
将所述备份数据存储至备份数据库。
此外,为实现上述目的,本发明还提出一种安全加固装置,所述安全加固装置包括:
策略获取模块,用于在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;
数据运行模块,通过虚拟机运行所述待加固备份数据;
数据加固模块,用于通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有安全加固程序,所述安全加固程序被处理器执行时实现如上文所述的安全加固方法的步骤。
此外,为实现上述目的,本发明还提出一种备份服务器,所述备份服务器包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全加固程序,所述安全加固程序配置为实现如上文所述的安全加固方法的步骤。
本发明提供了一种安全加固方法、装置、存储介质及备份服务器,该安全加固方法在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;通过虚拟机运行所述待加固备份数据;通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。本发明通过在获取到待加固备份数据时,获取对应的加固策略,在将待加固备份数据运行时,通过加固策略对待加固备份数据进行加固得到加固后的备份数据,使用加固后的备份数据进行恢复后的系统可以有效的避免受到入侵。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的备份服务器的结构示意图;
图2为本发明安全加固方法第一实施例的流程示意图;
图3为本发明安全加固方法第二实施例的流程示意图;
图4为本发明安全加固方法第三实施例的流程示意图;
图5为本发明安全加固方法的安全加固结构示意图;
图6为本发明安全加固装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的备份服务器结构示意图。
如图1所示,该备份服务器可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM),也可以是稳定的存储器(Non-volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对备份服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全加固程序。
在图1所示的备份服务器中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述备份服务器通过处理器1001调用存储器1005中存储的安全加固程序,并执行本发明实施例提供的安全加固方法。
基于上述硬件结构,提出本发明安全加固方法的实施例。
参照图2,图2为本发明安全加固方法第一实施例的流程示意图,提出本发明安全加固方法第一实施例。
在第一实施例中,所述安全加固方法包括以下步骤:
步骤S10:在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略。
应理解的是,本实施例的执行主体可以是与受到入侵的整机连接的备份服务器、计算机等设备,该设备可以对整机进行数据备份以及数据恢复,并且可以对备份数据进行调整或修改。
需要说明的是,待加固备份数据是在整机收到入侵之前进行备份的数据。在整机受到入侵时,该待加固备份数据中并不存在抵御入侵的能力。加固策略是用于对待加固备份数据进行备份数据加固的策略。该待加固策略可以是启动防火墙、安装杀毒软件等用于消除入侵的策略。其中加固策略针对的是不同的病毒、木马、系统漏洞等,加固策略在入侵的原因不同时,需要选取的加固策略并不相同。例如在病毒入侵整机时,此时的加固策略可以是安装杀毒软件或者更新杀毒软件的病毒库;而由于系统漏洞导致的入侵时,该加固策略可以是对系统漏洞进行修复。
可以理解的是,整机在受到入侵时可以通过加固策略对待加固备份数据进行加固,还可以在发受到入侵之前对备份数据进行加固,以在发生入侵时可以直接利用加固后的备份数据直接进行恢复,当然还可以在受到入侵之前直接对整机当前运行系统数据进行加固,直接避免出现受到入侵的情况。
在具体实施中,在接收到待加固备份数据时,可以对入侵或预防的病毒、木马等进行分析,在确定入侵或预防的病毒或木马的入侵特征时,可以根据入侵特征获取对应的加固策略。例如整机受到入侵的入侵特征是系统存在安全漏洞时,则获取修复系统安全漏洞的加固策略。
步骤S20:通过虚拟机运行所述待加固备份数据。
需要说明的是,虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。待加固备份数据为存储在存储硬件内的镜像数据,在对待加固备份数据进行加固、配置、修改等操作之前需要将该待加固备份数据运行,在该待加固备份数据正常的运行之后才能对待加固数据进行加固处理。虚拟机便是待加固数据运行的载体。
应理解的是,通过虚拟机运行的待加固备份数据的格式应当与虚拟机匹配,例如KVM虚拟机能够启动的qcow,qcow2,raw等格式的备份数据。而与虚拟机并不匹配的镜像格式的备份数据,该镜像格式的备份数据并不能在该虚拟机上运行。
在具体实施中,可以选取能够运行该待加固备份数据的虚拟机,启动该虚拟机然后将该待加固备份数据挂载在该虚拟机上,通过该虚拟机运行。
步骤S30:通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
需要说明的是,加固后的备份数据是对待加固备份数据在镜像格式下完成参数配置、调节、安装软件或补丁的过程后的备份数据。加固后的备份数据并不会受到预防的病毒或木马的入侵,或已经入侵后的病毒或木马再次入侵。
在具体实施中,在所述待加固备份数据通过虚拟机运行之后,可以直接根据加固策略对已经运行的待加固备份数据进行参数调整或安装对应的杀毒软件、补丁等,当然也可以根据加固策略直接选取相关的加固程序,通过运行加固程序对待加固备份数据进行加固,得到加固后的备份数据。
在第一实施例中提供了一种安全加固方法,该安全加固方法在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;通过虚拟机运行所述待加固备份数据;通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。本实施例通过在获取到待加固备份数据时,获取对应的加固策略,在将待加固备份数据运行时,通过加固策略对待加固备份数据进行加固得到加固后的备份数据,使用加固后的备份数据进行恢复后的系统可以有效的避免受到入侵。
参照图3,图3为本发明安全加固方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明安全加固方法的第二实施例。
在第二实施例中,所述加固策略包括:
启用或配置所述待加固备份数据中的防火墙端口策略,关闭存在漏洞的网络端口;
和/或,安装安全补丁至所述待加固备份数据;
和/或,修改所述待加固备份数据的安全配置;
和/或,安装防病毒软件至所述待加固备份数据或更新所述待加固备份数据的病毒库。
需要说明的是,加固策略对需要预防入侵的入侵类型进行确定。在不同的入侵类型下,需要选取不同的加固策略甚至是选取多种加固策略的组合。
应理解的是,在整机的防火墙的网络端口存在漏洞时,病毒或木马可以根据存在漏洞的网络端口进行入侵,此时该加固策略便需要针对防火墙的网络端口进行加固。例如修复防火墙中存在漏洞的网络端口或者可以直接关闭该存在漏洞的网络端口,在通过该关闭存在漏洞的网络端口之后的备份数据进行恢复之后,整机并不会再次遭到入侵。当然在运行的系统或应用的系统中出现异常时,可以通过安装补丁的方式对待加固备份数据进行加固,此时该加固策略便是安装补丁。其中,修改所述待加固备份数据的安全配置的加固策略可以是对整机备份数据中安全配置进行修改。例如修改本地安全策略、修改本地文件夹的属性、登录安全策略、修改登录密码等修改安全配置的方式,此处不对修改安全配置的方式进行具体限定。当登录安全策略存在问题时,可以直接通过修改整机的登录安全策略对待加固备份数据进行加固。在整机因为受到病毒攻击时,此时安全加固策略可以是在整机的待加固备份数据中安装防病毒软件,当然在整机的待加固备份数据中包括防病毒软件时,可以在离线的情况下对整机防病毒软件对应的病毒库进行更新。
可以理解的是,在针对入侵类型进行加固时可能存在一种加固方式并不能完全防止入侵的情况,此时需要通过多种策略组合的方式作为加固策略。例如在存在木马入侵时,单独通过补丁的方式并不一定能够完全避免木马再次入侵,此时,还可以对安全配置进行修改。例如木马入侵整机的某个文件夹,可以通过补丁的方式杜绝该木马再次入侵,而使用另一种木马时同样还存在该文件夹受到入侵的风险,此时可以通过安装补丁以及修改文件夹的属性两种方式作为加固策略,有效的防止该文件夹再次受到入侵。
在二实施例中,所述步骤S20之前,还包括:
步骤S201':利用虚拟网络技术构建虚拟隔离网桥。
应理解的是,在待加固备份数据加固过程中,为了防止在加固过程中用于加固的设备或虚拟机受到干扰,可以搭建一个虚拟化环境,并在虚拟化环境中完成待加固数据的加固过程。例如使用备份服务器进行加固时,该备份服务器同样存在被入侵的风险,在此情况下,加固过程可能受到影响。
需要说明的是,虚拟隔离网桥是一个在虚拟环境下运行的网桥。虚拟隔离网桥可以将备份服务器与虚拟机之间建立连接。虚拟网络技术可用于在虚拟机与备份服务器之间建立虚拟网络。其中虚拟网络可以在Windows、Linux等运行环境下进行搭建,此处不做具体限定。
在具体实施中,可以通过虚拟网络技术构建一个隔离的私有网络即虚拟隔离网桥给进行加固的虚拟机使用。在对虚拟隔离网桥构建完成后还需要对备份服务器以及虚拟机分别设置对应的网卡用于虚拟机与备份服务器之间建立连接。例如在Linux的运行环境下,通过虚拟网络技术搭建虚拟隔离网桥,然后为虚拟机配置一个额外的网卡,并且为备份服务器配置一个虚拟网卡,该虚拟网卡支持数据链路层即可,例如Tap。
步骤S202':通过所述虚拟隔离网桥连接所述虚拟机,在所述虚拟机连接成功时返回所述通过虚拟机运行所述待加固备份数据的步骤。
应理解的是,在虚拟隔离网桥构建完成后,并且备份服务器配置有对应的虚拟网卡,虚拟机配置有虚拟隔离网桥使用的网卡,此时可以直接使用各自的网卡通过虚拟隔离网桥建立连接。在备份服务器与虚拟机之间建立连接成功之后,虚拟机可以直接运行加固程序。
所述步骤S20包括:
步骤S201:检测所述待加固备份数据是否包括代理程序。
应理解的是,备份服务器在进行数据备份时,备份数据的具体类型与整机备份过程是否采用免代理备份相关。例如在对整机备份过程中采用免代理备份,得到的备份数据并不包括代理程序,即免代理备份得到的备份数据中并不含有执行加固流程的程序(代理程序中含有执行加固流程的程序)。采用免代理备份得到的备份数据并不包括执行加固流程的程序,因此,免代理备份的备份数据需要先注入代理程序,然后才能运行代理程序中加固流程的程序进行加固。
在具体实施中,备份服务器可以在对整机数据进行备份时便可以对待加固备份数据的备份方式进行检测确定通过虚拟机运行该待加固备份数据时能否执行加固流程的程序,当然该可以在需要运行该待加固备份数据时对待加固备份数据是否包括代理程序进行检测,此处不做具体限定。
步骤S202:在所述待加固备份数据包括所述代理程序时,通过虚拟机运行所述待加固备份数据。
需要说明的是,待加固备份数据包括存在代理程序的备份数据和不存在代理程序的备份数据。其中存在代理程序的备份数据中包括执行加固流程的程序,可以直接通过虚拟机运行该备份数据的方式执行加固流程的程序,而不存在代理程序的备份数据在不注入代理程序的情况下,虚拟机运行该待加固备份数据也无法执行加固流程的程序。
在具体实施中,在确定该待加固备份数据为包括代理程序的备份数据时,虚拟机在接收到该待加固备份数据时运行所述待加固备份数据。
步骤S203:在所述待加固备份数据不包括所述代理程序时,向所述待加固备份数据注入代理程序,通过虚拟机运行注入代理程序后的待加固备份数据。
需要说明的是,待加固备份数据中为不包括代理程序的备份数据的情况下,在通过虚拟机运行时,需要提前向待加固备份数据内添加代理程序,否则无法正常执行加固流程的程序。
在具体实施中,在待加固备份数据的数据类型为免代理备份数据时,可以获取代理程序,该代理程序包括执行加固流程的程序,然后将获取到的代理程序注入待加固备份数据内获得注入代理程序后的待加固备份数据,然后通过虚拟机运行该注入代理程序后的待加固备份数据。
在第二实施例中,所述步骤S30包括:
步骤S301:根据所述加固策略确定需要运行的加固程序、脚本或病毒库程序。
需要说明的是,加固程序、脚本或病毒库程序是用于对待加固备份数据进行加固所需的程序或脚本。其中,加固程序和脚本可以通过启用或配置已启用的防火墙端口策略,阻止恢复点对应的目标系统在恢复后开放存在漏洞的网络端口;或安装针对性的操作系统或应用系统的安全补丁;或针对性的修改安全配置,增加必要的安全措施等。病毒库程序包括防病毒软件安装程序和病毒库更新程序。病毒库更新程序可以在待加固备份数据中不包括防病毒软件时,通过安装防病毒软件的方式对待加固备份数据进行加固;在待加固备份数据中包括病毒库时,可以通过病毒库更新的方式对待加固备份数据进行加固。在确定加固策略时,需要根据加固策略选取需要运行的加固程序、脚本或病毒库程序,用以对待加固备份数据进行加固。
在具体实施中,可以通过从预设加固程序库中提取的方式获取加固程序、脚本或病毒库程序。该预设加固程序库可以安装在备份服务器内的存储模块内,当然也可以通过外接硬件的方式进行存储,还可以通过云端网络进行存储,此处不做具体限定。在确定加固程序、脚本或病毒库程序时,可以直接运行该加固程序、脚本或病毒库程序对在虚拟机上对待加固备份数据进行加固。其中,一个加固策略可以对应多个加固程序、脚本或病毒库程序。
在具体实施中,可以根据加固策略在预设加固程序库中通过遍历的方式选取该加固策略对应的加固程序、脚本或病毒库程序。当然在具体选取过程中,也可以通过其他方式进行选取例如标识特征、关键词等。
应理解的是,预设加固程序库并不一定包括当前确定的加固策略对应的加固程序、脚本或病毒库程序。加固程序、脚本或病毒库程序可能并未存储至预设加固程序库,或者是该加固程序、脚本或病毒库程序存在问题暂时无法选取。例如新出现的网络病毒入侵时,加固策略可以是安装防病毒软件或离线更新病毒库,此时可能存在该防病毒软件并未上载或无法获取病毒程序更新病毒库的情况。在此情况下,通过根据加固策略在预设加固程序库中并不存在对应的加固程序、脚本或病毒库程序。终端设备是与备份服务器连接并可以进行信息传递的设备。该终端设备可以是备份服务器的安全运维人员使用的设备。在从预设加固程序库中选取加固程序、脚本或病毒库程序失败的情况下,可以将该加固策略发送至于备份服务器连接的终端设备。安全运维人员在接收到加固策略时,可以根据该加固策略反馈加固程序、脚本或病毒库程序。当然加固策略选取失败可能还包括预设加固程序库中包括加固程序、脚本或病毒库程序,但是由于选取过程的存在异常导致选取失败,此时可以通过重新选取的方式获取加固程序、脚本或病毒库程序。
步骤S302:将所述加固程序、脚本或病毒库更新程序上传至共享目录。
步骤S303:在接收到加固指令时,利用所述代理程序挂载所述共享目录对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
需要说明的是,在获取到加固策略对应的加固程序、脚本或病毒库程序时,可以直接将所述加固程序、脚本或病毒库更新程序上传至共享目录,然后通过代理程序挂载该共享目录的方式运行加固程序、脚本或病毒库程序对在虚拟机上运行的待加固备份数据进行加固处理,从而生成加固后的备份数据。例如在需要对防火墙的网络端口进行关闭时,可以直接通过该加固程序将待加固备份数据中防火墙对应的网络端口进行关闭,从而得到加固后的备份数据。
在第二实施例中通过对不同的加固策略进行详细说明,以及通过不同的实现方式选取加固程序,然后根据该加固程序对待加固备份数据进行加固,能够准确的选取加固策略以及快速的选取对应的加固程序,实现对待加固备份数据的准确快速的加固,并且通过建立虚拟隔离网桥将备份服务器与虚拟机通过虚拟隔离网桥连接,用虚拟机加载运行待加固备份数据,可以在隔离的情况下对待加固备份数据进行加固,能够在加固的同时有效避免待加固数据的加固过程受到干扰。
参照图4,图4为本发明安全加固方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明安全加固方法的第三实施例。
在第三实施例中,所述步骤S10之前,还包括:
步骤S101:获取虚拟机的参数信息。
需要说明的是,虚拟机参数信息是可用于体现虚拟机的类型的信息。不同的虚拟机对应不同的参数信息。在备份服务器上可以存在多种虚拟机,不同的虚拟机对应可运行的待加固备份数据的镜像格式并不相同。例如KVM虚拟机能够启动如qcow,qcow2,raw的镜像格式;Vmware虚拟机能够启动vmdk的镜像格式;Hyper-V虚拟机能够启动vhd,vhdx等的镜像格式;Virtual-Box虚拟机能够启动vdi的镜像格式。
应理解的是,在备份服务器内的虚拟机为参数信息的虚拟机时,需要将整机数据备份为该虚拟机可以启动的镜像格式。在具体实施中,可以在搭建虚拟机时对虚拟机的参数信息进行采集,当然也可以通过其他方式确定此处不做具体限定。
步骤S102:根据所述参数信息确定整机数据的镜像格式。
应理解的是,在获取到虚拟机的参数信息时即可以确定虚拟机能够启动的镜像格式。例如备份服务器内的虚拟机为KVM虚拟机,此时整机数据在备份时应当备份为qcow,qcow2,raw的镜像格式。当然备份服务器内也可以包括多种虚拟机,在进行数据备份时备份数据的镜像格式满足一种虚拟机能够启动即可。
步骤S103:根据所述镜像格式对所述整机数据进行备份,获得备份数据。
步骤S104:将所述备份数据存储至备份数据库。
应理解的是,在确定备份服务器能够启动的镜像格式时,可以根据该镜像格式对整机数据进行备份,并将备份数据存储至备份数据库。在具体备份过程中,可以通过定时备份的方式整机数据进行备份,当然也可以通过连续数据保护技术对整机数据进行备份,将所有备份数据均存储至备份数据库,在存储过程中应当记录备份数据的备份时间。
步骤S105:在整机受到入侵或对整机进行入侵预防时,获取当前时间点。
需要说明的是,在整机受到入侵或对整机进行入侵预防时,需要先确定整机受到入侵的时间点,或对整机进行入侵预防的时间点,并根据该时间点选取用于加固的备份数据。
应理解的是,当前时间点是指整机受到入侵的时间点或进行预防的时间点。由于整机数据备份是定时备份或连续保护技术进行备份,在整机受到入侵之后备份服务器的备份数据已经受到入侵,对该备份数据进行恢复并不能将整机数据恢复到受到入侵之前的数据。因此在对待加固备份数据进行加固要先确定当前时间点。
在具体实施中,在对整机受到入侵的时间点进行记录,当然还可以对受到入侵时造成整机的关机、死机等影响的时间,将该时间作为当前时间点。而对整机进行入侵预防时,可以直接将进行加固的时间作为当前时间点。
步骤S106:根据所述当前时间点从备份数据库中选取待加固备份数据。
应理解的是,备份数据库中的备份数据在进行存储时均包括每个备份数据备份的时间信息。在待加固备份数据选取过程中,可以直接选取时间信息处于当前时间点之前的备份数据进行加固即可。此处,考虑到数据的实时更新情况,可以优先选取处于当前时间点之前且距离当前时间点最近的备份数据作为待加固备份数据。
此外,在本实施例中,在所述目标备份数据加固完成时,生成加固执行报告;将所述加固执行报告发送至所述终端设备,在接收到所述加固执行报告的反馈确认信息时,关闭所述虚拟机。
应理解的是,在待加固备份数据加固完成后,可以向移动终端输出加固执行报告,此时持有该移动终端的安全运维人员可以对加固过程进行确认,当整个加固过程无误时,可以反馈确认信息。备份服务器在接收到该确认信息时,关闭虚拟机并断开与虚拟机的连接完成加固过程。
在第三实施例中,通过对待加固数据的选取,并利用选取到的待加固数据进行加固之后,使恢复后的整机形成一个安全堡垒,当恢复的每个节点都是正常且安全加固后的系统后,最终使整个生产环境中的每个节点处于一个安全且不可入侵的状态可以有效的避免再次受到入侵。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有安全加固程序,所述安全加固程序被处理器执行时实现如上文所述的安全加固方法的步骤。
此外,参照图6,本发明实施例还提出一种安全加固装置,所述安全加固装置包括:
策略获取模块10,用于在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;
数据运行模块20,通过虚拟机运行所述待加固备份数据;
数据加固模块30,用于通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
在本实施例中提供了一种安全加固装置,该安全加固装置通策略获取模块10在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;数据运行模块20通过虚拟机运行所述待加固备份数据;数据加固模块30通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。本实施例通过在获取到待加固备份数据时,获取对应的加固策略,在将待加固备份数据运行时,通过加固策略对待加固备份数据进行加固得到加固后的备份数据,使用加固后的备份数据进行恢复后的系统可以有效的避免受到入侵。
在一实施例中,所述安全加固装置还包括网桥构建模块;所述网桥构建模块用于利用虚拟网络技术构建虚拟隔离网桥;通过所述虚拟隔离网桥连接所述虚拟机,在所述虚拟机连接成功时返回所述通过虚拟机运行所述待加固备份数据的步骤。
在一实施例中,所述数据运行模块20还用于检测所述待加固备份数据是否包括代理程序;在所述待加固备份数据包括所述代理程序时,通过虚拟机运行所述待加固备份数据;在所述待加固备份数据不包括所述代理程序时,向所述待加固备份数据注入代理程序,通过虚拟机运行注入代理程序后的待加固备份数据。
在一实施例中,所述策略获取模块10还用于根据所述加固策略确定需要运行的加固程序、脚本或病毒库程序;将所述加固程序、脚本或病毒库更新程序上传至共享目录;在接收到加固指令时,利用所述代理程序挂载所述共享目录对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
在一实施例中,所述策略获取模块10还用于在整机受到入侵或对整机进行入侵预防时,获取当前时间点;根据所述当前时间点从备份数据库中选取待加固备份数据。
在一实施例中,所述策略获取模块10还用于获取虚拟机的参数信息;根据所述参数信息确定整机数据的镜像格式;根据所述镜像格式对所述整机数据进行备份,获得备份数据;将所述备份数据存储至备份数据库。
本发明所述安全加固装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述 实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通 过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种安全加固方法,其特征在于,所述安全加固方法包括:
在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;
通过虚拟机运行所述待加固备份数据;
通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据;
其中,所述待加固备份数据为整机受到入侵前的备份数据,所述虚拟机为运行在完全隔离环境中,通过软件模拟的完整计算机系统;
所述获取与所述待加固备份数据对应的加固策略,包括:
根据整机受到入侵的入侵原因获取与所述待加固备份数据对应的加固策略;
其中,所述通过虚拟机运行所述待加固备份数据包括:
检测所述待加固备份数据是否包括代理程序,所述代理程序为含有执行加固流程的程序;
在所述待加固备份数据包括所述代理程序时,通过虚拟机运行所述待加固备份数据;
在所述待加固备份数据不包括所述代理程序时,向所述待加固备份数据注入代理程序,通过虚拟机运行注入代理程序后的待加固备份数据。
2.如权利要求1所述的安全加固方法,其特征在于,所述加固策略包括:
启用或配置所述待加固备份数据中的防火墙端口策略,关闭存在漏洞的网络端口;
和/或,安装安全补丁至所述待加固备份数据;
和/或,修改所述待加固备份数据的安全配置;
和/或,安装防病毒软件至所述待加固备份数据或更新所述待加固备份数据的病毒库。
3.如权利要求2所述的安全加固方法,其特征在于,所述通过虚拟机运行所述待加固备份数据的步骤之前,还包括:
利用虚拟网络技术构建虚拟隔离网桥;
通过所述虚拟隔离网桥连接所述虚拟机,在所述虚拟机连接成功时返回所述通过虚拟机运行所述待加固备份数据的步骤。
4.如权利要求1所述的安全加固方法,其特征在于,所述通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据的步骤包括:
根据所述加固策略确定需要运行的加固程序、脚本或病毒库程序;
将所述加固程序、脚本或病毒库更新程序上传至共享目录;
在接收到加固指令时,利用所述代理程序挂载所述共享目录对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据。
5.如权利要求1所述的安全加固方法,其特征在于,所述在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略的步骤之前,还包括:
在整机受到入侵或对整机进行入侵预防时,获取当前时间点;
根据所述当前时间点从备份数据库中选取待加固备份数据。
6.如权利要求5所述的安全加固方法,其特征在于,所述在整机收到入侵或对整机进行入侵预防时,获取当前时间点步骤之前还包括:
获取虚拟机的参数信息;
根据所述参数信息确定整机数据的镜像格式;
根据所述镜像格式对所述整机数据进行备份,获得备份数据;
将所述备份数据存储至备份数据库。
7.一种安全加固装置,其特征在于,所述安全加固装置包括:
策略获取模块,用于在获取到待加固备份数据时,获取与所述待加固备份数据对应的加固策略;
数据运行模块,通过虚拟机运行所述待加固备份数据;
数据加固模块,用于通过所述加固策略对运行于所述虚拟机上的所述待加固备份数据进行加固处理,以生成加固后的备份数据;
所述待加固备份数据为整机受到入侵前的备份数据,所述虚拟机为运行在完全隔离环境中,通过软件模拟的完整计算机系统;
所述策略获取模块,还用于根据整机受到入侵的入侵原因获取与所述待加固备份数据对应的加固策略;
所述数据运行模块,还用于检测所述待加固备份数据是否包括代理程序,所述代理程序为含有执行加固流程的程序;在所述待加固备份数据包括所述代理程序时,通过虚拟机运行所述待加固备份数据;在所述待加固备份数据不包括所述代理程序时,向所述待加固备份数据注入代理程序,通过虚拟机运行注入代理程序后的待加固备份数据。
8.一种存储介质,其特征在于,所述存储介质上存储有安全加固程序,所述安全加固程序被处理器执行时实现如权利要求1至6中任一项所述的安全加固方法的步骤。
9.一种备份服务器,其特征在于,所述备份服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全加固程序,所述安全加固程序被所述处理器执行时实现如权利要求1至6中任一项所述的安全加固方法的步骤。
CN202310181291.8A 2023-03-01 2023-03-01 安全加固方法、装置、存储介质及备份服务器 Active CN115879070B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310181291.8A CN115879070B (zh) 2023-03-01 2023-03-01 安全加固方法、装置、存储介质及备份服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310181291.8A CN115879070B (zh) 2023-03-01 2023-03-01 安全加固方法、装置、存储介质及备份服务器

Publications (2)

Publication Number Publication Date
CN115879070A CN115879070A (zh) 2023-03-31
CN115879070B true CN115879070B (zh) 2023-05-26

Family

ID=85761719

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310181291.8A Active CN115879070B (zh) 2023-03-01 2023-03-01 安全加固方法、装置、存储介质及备份服务器

Country Status (1)

Country Link
CN (1) CN115879070B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106897587A (zh) * 2017-02-27 2017-06-27 百度在线网络技术(北京)有限公司 加固应用、加载加固应用的方法和装置
CN106911744A (zh) * 2015-12-23 2017-06-30 北京神州泰岳软件股份有限公司 一种镜像文件的管理方法和管理装置
CN111143133A (zh) * 2019-12-31 2020-05-12 广州鼎甲计算机科技有限公司 虚拟机备份方法和备份虚拟机恢复方法
CN114416097A (zh) * 2022-01-05 2022-04-29 上海顺途科技有限公司 应用程序加固方法、系统、设备及存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100437420C (zh) * 2005-09-30 2008-11-26 联想(北京)有限公司 计算机系统及其安全加固方法
CN102255903B (zh) * 2011-07-07 2014-07-30 广州杰赛科技股份有限公司 一种云计算虚拟网络与物理网络隔离安全方法
KR101389682B1 (ko) * 2011-08-25 2014-04-28 주식회사 팬택 바이러스 피해를 방지하는 시스템 및 방법
JP2015184871A (ja) * 2014-03-24 2015-10-22 日本電気株式会社 バックアップ管理装置、クライアントサーバシステム、バックアップ管理方法およびバックアップ管理プログラム
CN106844006B (zh) * 2016-12-29 2019-11-12 北京瑞星网安技术股份有限公司 基于虚拟化环境下的数据防护方法及系统
CN108390927B (zh) * 2018-02-09 2020-11-20 山东乾云启创信息科技股份有限公司 一种在客户机与虚拟机之间双向传输文件的方法及装置
US11030057B2 (en) * 2018-07-06 2021-06-08 EMC IP Holding Company LLC System and method for critical virtual machine protection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106911744A (zh) * 2015-12-23 2017-06-30 北京神州泰岳软件股份有限公司 一种镜像文件的管理方法和管理装置
CN106897587A (zh) * 2017-02-27 2017-06-27 百度在线网络技术(北京)有限公司 加固应用、加载加固应用的方法和装置
CN111143133A (zh) * 2019-12-31 2020-05-12 广州鼎甲计算机科技有限公司 虚拟机备份方法和备份虚拟机恢复方法
CN114416097A (zh) * 2022-01-05 2022-04-29 上海顺途科技有限公司 应用程序加固方法、系统、设备及存储介质

Also Published As

Publication number Publication date
CN115879070A (zh) 2023-03-31

Similar Documents

Publication Publication Date Title
TWI387923B (zh) 用於在一例如虛擬機器或固化作業系統內管理電腦安全的方法及系統
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
US9602466B2 (en) Method and apparatus for securing a computer
EP3486824B1 (en) Determine malware using firmware
US8353031B1 (en) Virtual security appliance
US20100175108A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US7506380B2 (en) Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module
US20170359333A1 (en) Context based switching to a secure operating system environment
CN107408172B (zh) 从用户信任的设备安全地引导计算机
US20140096134A1 (en) System and method for enforcement of security controls on virtual machines throughout life cycle state changes
US8549626B1 (en) Method and apparatus for securing a computer from malicious threats through generic remediation
US20180024840A1 (en) Booting computer from user trusted device with an operating system loader stored thereon
US8776233B2 (en) System, method, and computer program product for removing malware from a system while the system is offline
Huddleston et al. How vmware exploits contributed to solarwinds supply-chain attack
RU2583714C2 (ru) Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы
CN115879070B (zh) 安全加固方法、装置、存储介质及备份服务器
CN104428786A (zh) 防止对具有多个cpu的设备的攻击
US11809559B2 (en) Intrusion resilient applications
US11960368B1 (en) Computer-implemented system and method for recovering data in case of a computer network failure
WO2022055470A1 (en) Activity analysis of virtual machines

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant