CN117439775A - 虚拟化私有云平台审计监控方法、装置及可读存储介质 - Google Patents
虚拟化私有云平台审计监控方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN117439775A CN117439775A CN202311293100.3A CN202311293100A CN117439775A CN 117439775 A CN117439775 A CN 117439775A CN 202311293100 A CN202311293100 A CN 202311293100A CN 117439775 A CN117439775 A CN 117439775A
- Authority
- CN
- China
- Prior art keywords
- terminal
- virtual machine
- data
- audit
- private cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012550 audit Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012544 monitoring process Methods 0.000 title claims abstract description 39
- 230000006870 function Effects 0.000 claims abstract description 30
- 235000012907 honey Nutrition 0.000 claims abstract description 23
- 230000008676 import Effects 0.000 claims abstract description 16
- 230000006399 behavior Effects 0.000 claims abstract description 14
- 230000003993 interaction Effects 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012806 monitoring device Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000004088 simulation Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 11
- 230000006854 communication Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000005236 sound signal Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本发明公开了一种虚拟化私有云平台审计监控方法、装置及可读存储介质,该方法包括:在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在安全工作平台的虚拟机终端;对用户终端和虚拟机终端之间的数据交互进行数据审计,以及在虚拟机终端进行操作和网络访问行为进行工作审计;通过配置DNS域名解析系统策略进行网络访问审计且通过虚拟机终端配置的蜜罐终端连接到网络。本申请对账户的数据导入和导出进行权限限制,同时对所有的数据导入导出记录进行日志记录,对操作进行实时记录,确保其可追溯。内置安全监控功能,可实现流量监控、安全蜜罐等功能,一旦监控到攻击行为,可实现安全告警。
Description
技术领域
本申请涉及计算机网络安全技术领域,特别是一种虚拟化私有云平台审计监控方法、装置及可读存储介质。
背景技术
云平台是指基于硬件的服务,提供计算、网络和存储能力。转向云计算(cloudcomputing),是业界将要面临的一个重大改变。各种云平台(cloud platforms)的出现是该转变的最重要环节之一。我们可以把通过“云”提供的服务分为三大类。它们是:
软件即服务(Software as a service,SaaS):SaaS应用是完全在“云”里(也就是说,一个Internet服务提供商的服务器上)运行的。其户内客户端(on-premises client)通常是一个浏览器或其他简易客户端。Salesforce可能是当前最知名的SaaS应用,不过除此以外也有许多其他应用。
附着服务(Attached services):每个户内应用(on-premises application)自身都有一定功能,它们可以不时地访问“云”里针对该应用提供的服务,以增强其功能。由于这些服务仅能为该特定应用所使用,所以可以认为它们是附着于该应用的。
未来云平台(Cloud platforms):云平台提供基于“云”的服务,供开发者创建应用时采用。你不必构建自己的基础,你完全可以依靠云平台来创建新的SaaS应用。云平台的直接用户是开发者,而不是最终用户。
私有云平台, 简称私有云,顾名思义就是私人的云平台, 一般是企业自行搭建,提供给企业内部去使用,各个业务部门或者各个项目组作为客户, 从平台上购买资源,或者申请资源去使用,是一种提高企业内资源利用率的手段,同时,基于云平台上提供的各种服务,也方便企业内部的开发。
当前,构建私有云平台技术已日趋成熟,如图3所示,常见的私有云平台按功能可划分为七个服务组件:(1)用户访问接口:为用户提供访问私有云平台的方式,可获取信息资源、访问文件系统、申请虚拟机执行任务等;(2)信息服务:维护平台运行,获取各虚拟机状态;(3)注册服务:用于申请的虚拟机动态加入私有云平台的网络组织结构中;(4)任务提交:接收用户任务请求,将任务提交到对应虚拟机中;(5)文件服务:存储和传输相关文件;(6)虚拟机部署:虚拟机的部署和启动;(7)任务执行:用户提交任务,并在虚拟机中执行后,将结果反馈给用户。但目前小型的私有云通常只提供基本的虚拟机管理功能,聚焦CPU、网络以及存储虚拟化解决方案,基本不提供安全审计功能。
为了在虚拟化云解决方案提供安全审计功能,如图4所示,往往需要额外部署重量级监控系统,主要是通过对虚拟化南北向流量监控以及在用户虚拟机上预装监控软件实现,可实现对用户网络访问、本机进程、本机文件读写、通信内容截获等记录审计。当前解决方案需要采购两套系统,运维部署和采购成本高;需要在用户虚拟机上部署监控软件,影响系统稳定性,该软件可能被用户绕过、停止或者删除;难于实现对用户全部操作实时记录,无法确保平台的安全性。
发明内容
本发明的主要目的在于提出一种虚拟化私有云平台审计监控方法、系统及其可读存储介质,旨在解决现有虚拟化云解决方案需要额外部署重量级监控系统的技术问题。
为了解决上述技术问题,本发明提供了第一方面提供一种虚拟化私有云平台审计监控方法,该方法包括:
在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在所述安全工作平台的虚拟机终端;
对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计,以及在所述虚拟机终端进行操作和网络访问行为进行工作审计;
通过配置DNS域名解析系统策略进行网络访问审计且通过所述虚拟机终端配置的蜜罐终端连接到网络。
进一步的,所述在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台包括:
在服务器上布置所述安全工作平台,所述用户终端连接到所述服务器局域网口,在用户终端上验证用户账号后登录到登录web端的所述安全工作平台。
进一步的,所述在所述虚拟机终端进行操作和网络访问行为进行工作审计包括:
对所述虚拟机终端和所述用户终端设置唯一标记,在所述虚拟机终端上进行的操作和网络访问过程进行全程录屏记录。
进一步的,所述对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计包括:
将所述用户终端的工作数据导入到所述安全工作平台中,导入工作数据先经过管理员终端的数据审计,经过数据审计后的导入工作数据,导入到所述虚拟机终端;
将安全工作平台中的工作数据导出时,所述虚拟机终端中的工作数据先经过所述管理员终端的数据审计,在审批通过后导出到所述用户终端。
进一步的,所述对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计包括:
配置所述用户终端和所述虚拟机终端之间的数据导入导出策略和权限,导入工作数据时支持剪贴板和文件数据;导出工作数据时通过管理员终端进行审批并对所有的工作数据导入导出记录进行日志记录。
进一步的,所述通过配置DNS域名解析系统策略进行网络访问审计包括:
通过管理员终端配置所述安全工作平台的网络访问策略,将禁止访问或访问需记录的网站添加到DNS策略中;
访问某页面时,访问的页面先经过所述管理员终端配置的DNS策略进行验证,若在禁止访问名单中,则无法访问到页面;若在需记录网站名单中,则访问页面的同时会被记录审计。
进一步的,所述通过所述虚拟机终端配置的蜜罐终端连接到网络包括:
在创建虚拟机终端时,对应虚拟机终端分别创建一蜜罐终端,通过管理员终端配置蜜罐服务功能选项。
进一步的,所述通过所述虚拟机终端配置的蜜罐终端连接到网络还包括:
所述蜜罐终端在局域网指定服务上执行被动监听;若所述用户终端被恶意入侵,攻击者对局域网执行恶意探测,所述蜜罐终端监测到服务连接,并进行模拟应答,所述 蜜罐终端获取攻击者攻击数据,并进行安全告警。
本发明实施例第二方面提供了一种虚拟化私有云平台审计监控装置,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下:
在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在所述安全工作平台的虚拟机终端;
对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计,以及在所述虚拟机终端进行操作和网络访问行为进行工作审计;
通过配置DNS域名解析系统策略进行网络访问审计且通过所述虚拟机终端配置的蜜罐终端连接到网络。
本发明实施例第三方面提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有虚拟化私有云平台审计监控程序,所述虚拟化私有云平台审计监控程序被处理器执行时实现上述的虚拟化私有云平台审计监控方法的步骤。
本发明技术方案的有益效果:
本发明实施例的虚拟化私有云平台审计监控方法、装置及其计算机可读存储介质,操作人员在基于虚拟私有云的安全工作平台中进行日常工作时,对其工作中全部操作进行实时录屏审计;严格控制普通用户使用权限,由管理员统一分配管理账号以及工作虚拟机,必须物理连接到服务器指定网口才能登录管理员后台;可单独配置导入数据策略,导入数据支持剪贴板和文件数据,导入数据有审计日志可查,导出需管理员审核。每个工作环境自动配置一个蜜罐环境,作为阵地主动安全检测手段的补充,针对入侵者的行为特点,捕获更加隐蔽和未知的攻击手段。
附图说明
图1是实现本发明各个实施例的一种移动终端的硬件结构示意图;
图2是本发明实施例提供的一种通信网络系统架构图;
图3是本发明涉及的现有私有云平台结构框图;
图4是本发明涉及的现有虚拟化云解决方案中安全审计功能结构框图;
图5是本发明实施例提供的一种虚拟化私有云平台审计监控方法流程图;
图6是本发明实施例提供的基于虚拟私有云的安全工作平台结构框图;
图7是本发明实施例提供的安全工作平台数据审计流程框图;
图8是本发明实施例提供的安全工作平台安全监测流程框图;
图9是本发明实施例提供的第一种虚拟化私有云平台审计监控装置硬件结构框图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
终端可以以各种形式来实施,例如,本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(PersonalDigitalAssistant,PDA)、便捷式媒体播放器(PortableMediaPlayer,PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端,以及诸如数字TV、台式计算机等固定终端。
后续描述中将以移动终端为例进行说明,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
请参阅图1,其为实现本发明各个实施例的一种移动终端的硬件结构示意图,该移动终端100可以包括:RF(RadioFrequency,射频)单元101、WiFi模块102、音频输出单元103、A/V(音频/视频)输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、以及电源111等部件。本领域技术人员可以理解,图1中示出的移动终端结构并不构成对移动终端的限定,移动终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图1对移动终端的各个部件进行具体的介绍:
射频单元101可用于收发信息或通话过程中,信号的接收和发送,具体的,将基站的下行信息接收后,给处理器110处理;另外,将上行的数据发送给基站。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元101还可以通过公共交通费用快捷支付与网络和其他设备通信。上述公共交通费用快捷支付可以使用任一通信标准或协议,包括但不限于GSM(GlobalSystemofMobilecommunication,全球移动通讯系统)、GPRS(GeneralPacketRadioService,通用分组无线服务)、CDMA2000(CodeDivisionMultipleAccess2000,码分多址2000)、WCDMA(WidebandCodeDivisionMultipleAccess,宽带码分多址)、TD-SCDMA(TimeDivision-SynchronousCodeDivisionMultipleAccess,时分同步码分多址)、FDD-LTE(FrequencyDivisionDuplexing-LongTermEvolution,频分双工长期演进)和TDD-LTE(TimeDivisionDuplexing-LongTermEvolution,分时双工长期演进)等。
WiFi属于短距离无线传输技术,移动终端通过WiFi模块102可以帮助用户收发电子邮件、浏览页面和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图1示出了WiFi模块102,但是可以理解的是,其并不属于移动终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将射频单元101或WiFi模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元103可以包括扬声器、蜂鸣器等等。
A/V输入单元104用于接收音频或视频信号。A/V输入单元104可以包括图形处理器(GraphicsProcessingUnit,GPU)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或WiFi模块102进行发送。麦克风1042可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风1042接收声音(音频数据),并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。麦克风1042可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。
移动终端100还包括至少一种传感器105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度,接近传感器可在移动终端100移动到耳边时,关闭显示面板1061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可包括显示面板1061,可以采用液晶显示器(LiquidCrystalDisplay,LCD)、有机发光二极管(OrganicLight-EmittingDiode,OLED)等形式来配置显示面板1061。
用户输入单元107可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元107可包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作),并根据预先设定的程式驱动相应的连接装置。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器110,并能接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071,用户输入单元107还可以包括其他输入设备1072。具体地,其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种,具体此处不做限定。
进一步的,触控面板1071可覆盖显示面板1061,当触控面板1071检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图1中,触控面板1071与显示面板1061是作为两个独立的部件来实现移动终端的输入和输出功能,但是在某些实施例中,可以将触控面板1071与显示面板1061集成而实现移动终端的输入和输出功能,具体此处不做限定。
接口单元108用作至少一个外部装置与移动终端100连接可以通过的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端100和外部装置之间传输数据。
存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器110是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器109内的软件程序和/或模块,以及调用存储在存储器109内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。处理器110可包括一个或多个处理单元;优选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理公共交通费用快捷支付。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。
移动终端100还可以包括给各个部件供电的电源111(比如电池),优选的,电源111可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管图1未示出,移动终端100还可以包括蓝牙模块等,在此不再赘述。
为了便于理解本发明实施例,下面对本发明的移动终端所基于的通信网络系统进行描述。
请参阅图2,图2为本发明实施例提供的一种通信网络系统架构图,该通信网络系统为通用移动通信技术的LTE系统,该LTE系统包括依次通讯连接的UE(UserEquipment,用户设备)201,E-UTRAN(EvolvedUMTSTerrestrialRadioAccessNetwork,演进式UMTS陆地无线接入网)202,EPC(EvolvedPacketCore,演进式分组核心网)203和运营商的IP业务204。
具体地,UE201可以是上述终端100,此处不再赘述。
E-UTRAN202包括eNodeB2021和其它eNodeB2022等。其中,eNodeB2021可以通过回程(backhaul)(例如X2接口)与其它eNodeB2022连接,eNodeB2021连接到EPC203,eNodeB2021可以提供UE201到EPC203的接入。
EPC203可以包括MME(MobilityManagementEntity,移动性管理实体)2031,HSS(HomeSubscriberServer,归属用户服务器)2032,其它MME2033,SGW(ServingGateWay,服务网关)2034,PGW(PDNGateWay,分组数据网络网关)2035和PCRF(PolicyandChargingRulesFunction,政策和资费功能实体)2036等。其中,MME2031是处理UE201和EPC203之间信令的控制节点,提供承载和连接管理。HSS2032用于提供一些寄存器来管理诸如归属位置寄存器(图中未示)之类的功能,并且保存有一些有关服务特征、数据速率等用户专用的信息。所有用户数据都可以通过SGW2034进行发送,PGW2035可以提供UE201的IP地址分配以及其它功能,PCRF2036是业务数据流和IP承载资源的策略与计费控制策略决策点,它为策略与计费执行功能单元(图中未示)选择及提供可用的策略和计费控制决策。
IP业务204可以包括因特网、内联网、IMS(IPMultimediaSubsystem,IP多媒体子系统)或其它IP业务等。
虽然上述以LTE系统为例进行了介绍,但本领域技术人员应当知晓,本发明不仅仅适用于LTE系统,也可以适用于其他公共交通费用快捷支付系统,例如GSM、CDMA2000、WCDMA、TD-SCDMA以及未来新的网络系统等,此处不做限定。
基于上述移动终端100硬件结构、通信网络系统提出本发明方法各个实施例。
实施例1
如图5所示,本发明实施例提供了一种虚拟化私有云平台审计监控方法,该方法包括:
S101、在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在所述安全工作平台的虚拟机终端;
S102、对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计,以及在所述虚拟机终端进行操作和网络访问行为进行工作审计;
S103、通过配置DNS域名解析系统策略进行网络访问审计且通过所述虚拟机终端配置的蜜罐终端连接到网络。
如图6所示,安全工作平台按照功能可划分为四个部分:业务层、虚拟化层、管理层和用户层。(1)用户层为各用户使用的用户终端构成,用户通过用户终端接入安全工作平台;(2)管理层实现文件管理、行为审计、用户管理和资源监控,保障工作环境的安全可靠;(3)虚拟化层由轻量级虚拟化实现,具体包括模板管理、虚拟化网络、KVM虚拟化以及虚拟数据通道;(4)业务层包括虚拟化主机、快照管理、安全监控、DNS管理、Web桌面、挂载管理、线路管理和流量镜像等功能,是实际开展业务的层面。
安全工作平台内置可靠的安全审计能力,不影响系统稳定性,且很难被用户恶意绕过,可实现对用户在虚拟机中的全部操作实时进行录屏审计。平台主体功能运行在物理服务器上,主要由“业务后台”、“虚拟工作机”、“审计终端”、“安全监测”四部分构成,平台支持Windows系统、Ubuntu系统、Centos系统等主流操作系统虚拟化,也可按需定制其它特定的虚拟机模板,平台安全审计主要主要由数据审计和安全监测组成两部分组成。
现有的虚拟化私有云通常只提供虚拟化方案,对虚机内部安全和数据安全方面有所欠缺,往往需借助在虚拟机上安装第三方软件实现,用户体验差,且容易被绕过,本方法直接基于虚拟化底层框架,直接将安全、审计等功能集成在虚拟化平台里面,可实现如下特点:
1. 平台执行严格数据管控策略,可对操作人员账户进行统一管理和配发,并对账户的数据导入和导出进行权限限制,同时对所有的数据导入导出记录进行日志记录。
2. 平台提供虚机实时操作录屏,防止重大工作失误时,难以及时追溯到问题源头。
3. 平台具备可追溯性,可对工作人员和工作机增加唯一标记,对其操作进行实时记录,确保其可追溯。
4. 平台内置安全监控功能,可实现流量监控、安全蜜罐等功能,无需在用户虚机上安装程序,用户无感,一旦监控到攻击行为,可实现安全告警。
如图7所示,所述在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台包括:在服务器上布置所述安全工作平台,所述用户终端连接到所述服务器局域网口,在用户终端上验证用户账号后登录到登录web端的所述安全工作平台。
其中,所述在所述虚拟机终端进行操作和网络访问行为进行工作审计包括:对所述虚拟机终端和所述用户终端设置唯一标记,在所述虚拟机终端上进行的操作和网络访问过程进行全程录屏记录。
如图7所示,所述对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计包括:
将所述用户终端的工作数据导入到所述安全工作平台中,导入工作数据先经过管理员终端的数据审计,经过数据审计后的导入工作数据,导入到所述虚拟机终端;
将安全工作平台中的工作数据导出时,所述虚拟机终端中的工作数据先经过所述管理员终端的数据审计,在审批通过后导出到所述用户终端。
具体的,所述对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计包括:
配置所述用户终端和所述虚拟机终端之间的数据导入导出策略和权限,导入工作数据时支持剪贴板和文件数据;导出工作数据时通过管理员终端进行审批并对所有的工作数据导入导出记录进行日志记录。
数据审计主要应用于对敏感数据有严格管控需求的场景,主要特点有:服务器和虚拟机均禁用互联网连接(断开物理服务器WAN口);
支持管理口物理隔离(必须物理连接到服务器指定网口才能登录管理员后台);
支持用户操作全程录屏记录;
可单独配置导入数据策略,导入数据支持剪贴板和文件数据,导入数据有审计日志可查;
导出数据严格控制,只有管理员审核通过后,数据才能被导出。
如图8所示,所述通过配置DNS域名解析系统策略进行网络访问审计包括:
通过管理员终端配置所述安全工作平台的网络访问策略,将禁止访问或访问需记录的网站添加到DNS策略中;
访问某页面时,访问的页面先经过所述管理员终端配置的DNS策略进行验证,若在禁止访问名单中,则无法访问到页面;若在需记录网站名单中,则访问页面的同时会被记录审计。
其中,所述通过所述虚拟机终端配置的蜜罐终端连接到网络包括:
在创建虚拟机终端时,对应虚拟机终端分别创建一蜜罐终端,通过管理员终端配置蜜罐服务功能选项(如SSH蜜罐、HTTP蜜罐、HTTPS蜜罐)。
可选的,所述通过所述虚拟机终端配置的蜜罐终端连接到网络还包括:
所述蜜罐终端在局域网指定服务上执行被动监听;若所述用户终端被恶意入侵,攻击者对局域网执行恶意探测,所述蜜罐终端监测到服务连接,并进行模拟应答,所述 蜜罐终端获取攻击者攻击数据,并进行安全告警。
实施例2
如图9所示,本发明实施例还提供了一种虚拟化私有云平台审计监控装置的硬件结构示意图,所述装置至少包括处理器11、存储器12以及数据总线13。数据总线13用于实现处理器11和存储器12之间的连接通信,存储器12作为一种计算机可读存储介质,可以存储至少一个计算机程序,这些计算机程序可供处理器11读取、编译并执行,从而实现对应的处理流程。在本实施例中,存储器11作为一种计算机可读存储介质,其中虚拟化私有云平台审计监控程序,该程序可供处理器11执行,实现如下:
在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在所述安全工作平台的虚拟机终端;
对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计,以及在所述虚拟机终端进行操作和网络访问行为进行工作审计;
通过配置DNS域名解析系统策略进行网络访问审计且通过所述虚拟机终端配置的蜜罐终端连接到网络。
实施例3
本发明实施例的另一方面还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有虚拟化私有云平台审计监控程序,所述虚拟化私有云平台审计监控程序被处理器执行时实现上述实施例1的虚拟化私有云平台审计监控方法的。
本发明实施例的虚拟化私有云平台审计监控方法、装置及其计算机可读存储介质,操作人员在基于虚拟私有云的安全工作平台中进行日常工作时,对其工作中全部操作进行实时录屏审计;严格控制普通用户使用权限,由管理员统一分配管理账号以及工作虚拟机,必须物理连接到服务器指定网口才能登录管理员后台;可单独配置导入数据策略,导入数据支持剪贴板和文件数据,导入数据有审计日志可查,导出需管理员审核。每个工作环境自动配置一个蜜罐环境,作为阵地主动安全检测手段的补充,针对入侵者的行为特点,捕获更加隐蔽和未知的攻击手段。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种虚拟化私有云平台审计监控方法,其特征在于,所述方法包括:
在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在所述安全工作平台的虚拟机终端;
对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计,以及在所述虚拟机终端进行操作和网络访问行为进行工作审计;
通过配置DNS域名解析系统策略进行网络访问审计且通过所述虚拟机终端配置的蜜罐终端连接到网络。
2.根据权利要求1所述的虚拟化私有云平台审计监控方法,其特征在于,所述在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台包括:
在服务器上布置所述安全工作平台,所述用户终端连接到所述服务器局域网口,在用户终端上验证用户账号后登录到登录web端的所述安全工作平台。
3.根据权利要求1所述的虚拟化私有云平台审计监控方法,其特征在于,所述在所述虚拟机终端进行操作和网络访问行为进行工作审计包括:
对所述虚拟机终端和所述用户终端设置唯一标记,在所述虚拟机终端上进行的操作和网络访问过程进行全程录屏记录。
4.根据权利要求1所述的虚拟化私有云平台审计监控方法,其特征在于,所述对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计包括:
将所述用户终端的工作数据导入到所述安全工作平台中,导入工作数据先经过管理员终端的数据审计,经过数据审计后的导入工作数据,导入到所述虚拟机终端;
将安全工作平台中的工作数据导出时,所述虚拟机终端中的工作数据先经过所述管理员终端的数据审计,在审批通过后导出到所述用户终端。
5.根据权利要求1所述的虚拟化私有云平台审计监控方法,其特征在于,所述对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计包括:
配置所述用户终端和所述虚拟机终端之间的数据导入导出策略和权限,导入工作数据时支持剪贴板和文件数据;导出工作数据时通过管理员终端进行审批并对所有的工作数据导入导出记录进行日志记录。
6.根据权利要求1所述的虚拟化私有云平台审计监控方法,其特征在于,所述通过配置DNS域名解析系统策略进行网络访问审计包括:
通过管理员终端配置所述安全工作平台的网络访问策略,将禁止访问或访问需记录的网站添加到DNS策略中;
访问某页面时,访问的页面先经过所述管理员终端配置的DNS策略进行验证,若在禁止访问名单中,则无法访问到页面;若在需记录网站名单中,则访问页面的同时会被记录审计。
7.根据权利要求1所述的虚拟化私有云平台审计监控方法,其特征在于,所述通过所述虚拟机终端配置的蜜罐终端连接到网络包括:
在创建虚拟机终端时,对应虚拟机终端分别创建一蜜罐终端,通过管理员终端配置蜜罐服务功能选项。
8.根据权利要求7所述的虚拟化私有云平台审计监控方法,其特征在于,所述通过所述虚拟机终端配置的蜜罐终端连接到网络还包括:
所述蜜罐终端在局域网指定服务上执行被动监听;若所述用户终端被恶意入侵,攻击者对局域网执行恶意探测,所述蜜罐终端监测到服务连接,并进行模拟应答,所述 蜜罐终端获取攻击者攻击数据,并进行安全告警。
9.一种虚拟化私有云平台审计监控装置,其特征在于,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下:
在用户终端上验证用户账号后登录到基于虚拟私有云的安全工作平台,并使用布置在所述安全工作平台的虚拟机终端;
对所述用户终端和所述虚拟机终端之间的数据交互进行数据审计,以及在所述虚拟机终端进行操作和网络访问行为进行工作审计;
通过配置DNS域名解析系统策略进行网络访问审计且通过所述虚拟机终端配置的蜜罐终端连接到网络。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有虚拟化私有云平台审计监控程序,所述虚拟化私有云平台审计监控程序被处理器执行时实现如权利要求1-8任意一项所述的虚拟化私有云平台审计监控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311293100.3A CN117439775A (zh) | 2023-10-08 | 2023-10-08 | 虚拟化私有云平台审计监控方法、装置及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311293100.3A CN117439775A (zh) | 2023-10-08 | 2023-10-08 | 虚拟化私有云平台审计监控方法、装置及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117439775A true CN117439775A (zh) | 2024-01-23 |
Family
ID=89547157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311293100.3A Pending CN117439775A (zh) | 2023-10-08 | 2023-10-08 | 虚拟化私有云平台审计监控方法、装置及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117439775A (zh) |
-
2023
- 2023-10-08 CN CN202311293100.3A patent/CN117439775A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9712562B2 (en) | Method, device and system for detecting potential phishing websites | |
| CN109800602B (zh) | 隐私保护方法、移动终端及计算机可读存储介质 | |
| CN107040543B (zh) | 单点登录方法、终端及存储介质 | |
| CN108881103B (zh) | 一种接入网络的方法及装置 | |
| WO2020164526A1 (zh) | 一种分布式系统中的节点控制方法和相关装置 | |
| CN107040541A (zh) | 一种广告拦截方法、装置及计算机可读介质 | |
| CN108616499A (zh) | 一种应用程序的鉴权方法、终端和计算机可读存储介质 | |
| CN108833690A (zh) | 权限管控方法、终端及计算机可读存储介质 | |
| CN107580336A (zh) | 一种网络连接方法、终端及计算机可读存储介质 | |
| WO2019184631A1 (zh) | 信息处理方法和装置、计算机可读存储介质、终端 | |
| CN111427709B (zh) | 一种应用程序分身控制方法、设备及计算机可读存储介质 | |
| CN108012270A (zh) | 一种信息处理的方法、设备和计算机可读存储介质 | |
| CN104426848B (zh) | 登录网页应用的方法和系统 | |
| CN107622213A (zh) | 一种数据访问方法、终端和计算机可读存储介质 | |
| CN106888225B (zh) | 一种单点登录应用的控制方法、移动终端和计算机可读介质 | |
| CN110191465A (zh) | 权限控制方法、移动终端及计算机可读存储介质 | |
| CN112464208B (zh) | 文件访问方法、移动终端及计算机可读存储介质 | |
| CN111159738B (zh) | 权限配置方法、应用登录方法及装置 | |
| CN111209031B (zh) | 一种数据获取方法、装置、终端设备及存储介质 | |
| CN112163194A (zh) | 应用权限的授权方法、移动终端及计算机存储介质 | |
| CN108650415A (zh) | 终端信息显示方法、移动终端及计算机可读存储介质 | |
| CN108449736A (zh) | 一种数据传输方法、终端和计算机可读存储介质 | |
| CN107454099A (zh) | 一种安全数据管理方法、终端及计算机可读存储介质 | |
| CN107204977B (zh) | 接口安全校验方法及装置、计算机可读存储介质 | |
| CN109409081A (zh) | 一种权限设置方法、移动终端以及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |