WO2016026303A1

WO2016026303A1 - 安全服务的审核处理方法及装置

Info

Publication number: WO2016026303A1
Application number: PCT/CN2015/075913
Authority: WO
Inventors: 叶郁文; 彭亦辉
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-08-21
Filing date: 2015-04-03
Publication date: 2016-02-25
Also published as: WO2016026403A1; CN105357170A

Abstract

本发明提供了一种安全服务的审核处理方法及装置，其中，所述审核处理方法包括：在指定事件的触发下，审核指定安全事件，该指定安全事件包括：安全服务、安全服务所应用的安全策略；当检测到所述指定安全事件不满足预定条件时，产生指示或警示信息。采用本发明提供的上述技术方案，解决了在检测安全服务的可用性的技术方案不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，能够实现对安全服务进行预警，以便管理员及时调整，提高了安全服务的可用性，并对安全服务本身提供安全保障。

Description

安全服务的审核处理方法及装置

技术领域

本发明涉及通信领域，更具体地说，涉及安全服务的审核处理方法及装置。

背景技术

随着云计算市场的快速发展和产业链的建立，云安全日益重要。相关的安全研究也逐渐深入。目前的云安全环节采用了图1的过程，从安全策略的配置、安全策略模板的配置、安全服务等级协议(Service Level Agreement，简称为SLA)服务的发布、安全策略的执行、安全事件的监控、安全事件的策略和安全日志的审计。安全策略模板由安全策略组成，安全服务由安全模板组成。

针对相关技术中在检测安全服务的可用性的技术方案还不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种安全服务的审核处理方法及装置，以至少解决上述问题。

根据本发明的一个实施例，提供了一种安全服务的审核处理方法，包括：在指定事件的触发下，审核指定安全事件，该指定安全事件包括以下至少之一：安全服务、安全服务所应用的安全策略；所述指定安全事件不满足预定条件时，产生指示或警示信息。

在本发明实施例中，当检测到所述指定安全事件不满足预定条件时，产生警示或指示信息包括至少以下之一：当所述指定安全事件所依赖的资源不满足预设条件时，产生所述警示或指示信息；当所述指定安全事件所依赖的资源条件与其他安全事件所依赖的资源条件冲突时，产生所述警示或指示信息。

在本发明实施例中，审核指定安全事件包括：检测预先存储的指定安全事件；在当前资源出现以下之一情况时，审核指定安全事件：所述当前资源变更、所述当前资源损坏、所述当前资源工作异常。

在本发明实施例中，在以下之一情况时，确定所述当前资源变更或损坏或工作异常：设备接入网络、物理机宕机、虚拟机死机。

在本发明实施例中，审核指定安全事件，包括：按照预定周期审核指定安全事件。

根据本发明的另一个实施例，还提供了一种安全服务的审核处理装置，包括：审核模块，设置为在指定事件的触发下，审核指定安全事件，该指定安全事件包括以下至少之一：安全服务、安全服务所应用的安全策略；产生模块，设置为当所述指定安全事件不满足预定条件时，产生指示或警示信息。

在本发明实施例中，所述产生模块包括：第一产生单元，设置为当所述指定安全事件所依赖的资源不满足预设条件时，产生指示或警示信息；第二产生单元，设置为当所述指定安全事件所依赖的资源条件与其他安全事件所依赖的资源条件冲突时，产生指示或警示信息。

在本发明实施例中，所述审核模块包括：检测单元，设置为检测预先存储的指定安全事件；或审核单元，设置为在当前资源出现以下之一情况时，审核指定安全事件：所述当前资源变更、所述当前资源损坏、所述当前资源工作异常。

在本发明实施例中，所述审核模块，还包括确定单元，设置为在以下之一情况时，确定所述当前资源变更或损坏或工作异常：设备接入网络、物理机宕机、虚拟机死机。

在本发明实施例中，所述审核模块还设置为按照预定周期审核指定安全事件。

通过本发明，采用指定事件触发审核安全事件的机制的技术方案，解决了检测安全服务的可用性的技术方案还不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，提供了一种完善的安全服务的检测方案，实现了对安全服务进行预警，以便管理员及时调整，提高了安全服务的可用性，并对安全服务本身提供安全保障。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为相关技术中云安全系统的系统架构图；

图2为根据本发明实施例的安全服务的审核处理方法的流程图；

图3为根据本发明优选实施例的静态检测安全策略的流程图；

图4为根据本发明优选实施例的动态检测安全策略的流程图；

图5为根据本发明优选实施例的定期检测安全策略的流程图；

图6为根据本发明实施例的安全服务的审核处理的结构框图；

图7为根据本发明实施例的安全服务的审核处理的另一结构框图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

本发明实施例提供了一种安全服务的审核处理方法，图2为根据本发明实施例的安全服务的审核处理方法的流程图，如图2所示，该方法包括如下步骤：

步骤S202：在指定事件的触发下，审核指定安全事件，该指定安全事件包括：安全服务、安全服务所应用的安全策略；

步骤S204：当上述指定安全事件不满足预定条件时，产生指示或警示信息。

通过上述各个步骤，采用指定事件触发审核安全事件的机制的技术方案，解决了检测安全服务的可用性的技术方案还不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，提供了一种完善的安全服务的检测方案，实现了对安全服务进行预警，以便管理员及时调整，提高了安全服务的可用性，并对安全服务本身提供安全保障。

上述步骤S204可以包括至少以下之一：当上述指定安全事件所依赖的资源不满足预设条件时，产生指示或警示信息；当上述指定安全事件所依赖的资源条件与其他安全事件所依赖的资源条件冲突时，产生指示或警示信息。

在本发明实施例的一个可选实施例中，步骤S202中的审核指定安全事件包括：检测预先存储的指定安全事件；在当前资源出现以下之一情况时，审核指定安全事件：上述当前资源变更、上述当前资源损坏、上述当前资源工作异常，可选地，在以下之一情况时，确定上述当前资源变更或损坏或工作异常：设备接入网络、物理机宕机、虚拟机死机。

需要说明的是，本发明实施例上述提供的技术方案还可以应用于安全服务发布之前，采用这样的技术方案可以对安全事件等进行提前预警，进而管理员能够提前进行管理。

为了更好的理解上述检测安全事件的过程，以下结合优选实施例进行说明，实际上，在本发明实施例中，是将检测过程分为了静态检测过程和动态检测过程，本发明优选实施例以静态或动态检测安全策略为例，但并不限定本发明。

静态安全策略审核过程：管理员可以选择已有的安全策略、安全模板、安全服务，对被执行的资源、条件进行关联测量；管理员亦可已实例化的安全服务(如已被某租户选用)进行测量。如安全策略所依赖的资源条件不具备或冲突，并可通过文本或图形显示不符合策略的资源和条件，并产生告警，提示管理员进行处理。

图3为根据本发明优选实施例的静态检测安全策略的流程图，如图3所示：

步骤S302：判断当前安全策略审核是否通过，如果通过，则转到步骤S304，如果不通过，则转到步骤S306；

步骤S304：在确定当前安全策略审核通过后，安全SLA服务发布，安全策略运行，安全事件监控，安全数据测量，安全事件审计；

步骤S306：在确定当前安全策略审核没有通过后，产生报警信息，系统报警；

步骤S308：通知管理员进行相关操作。

动态安全策略审核：当资源变更或损坏时，如网络接入设备，物理机宕机，虚机吊死等，安全策略动态审核模块通过采集告警事件，根据资源代码反向搜索所涉及的安全服务、安全策略模板和安全策略，进行安全策略审核,对于不符合策略的资源和条件，即时产生告警，并提示管理员进行处理。

图4为根据本发明优选实施例的动态检测安全策略的流程图，如图4所示：

步骤S402：检测到资源变更；

步骤S404：安全策略动态审核触发；

步骤S406：根据资源id寻找相关安全策略；

步骤S408：安全策略审核；

步骤S410：判断安全策略审核是否通过，如果通过，则转到步骤S416，如果没通过，则转到步骤S412；

步骤S412：在确定当前安全策略审核没有通过后，产生报警信息，系统报警；

步骤S414：通知管理员进行相关操作；

步骤S416：结束审核流程。

其中，审核安全事件可以包括：按照预定周期对上述安全事件进行审核。

为了更好的理解上述定期检测安全事件的过程，以下结合另一个优选实施例进行说明。

定期安全策略审核过程：可测试安全策略定期审核的任务机制，在系统闲时可调度任务来对安全策略进行回溯时审核。

图5为根据本发明优选实施例的定期检测安全策略的流程图，如图5所示：

步骤S502：定期策略审核任务时间触发

步骤S504：根据任务对安全策略进行遍历

步骤S506：安全策略审核

步骤S508：判断安全策略审核是否通过，如果通过，则转到步骤S514，如果没通过，则转到步骤S510；

步骤S510：在确定当前安全策略审核没有通过后，产生报警信息，系统报警；

步骤S512：通知管理员进行相关操作；

步骤S514：结束审核流程。

综上所述，本发明实施例侧重点在于在图1安全链条的安全策略配置到安全服务发布之间，提出了新增安全策略审核的环节。通过对安全策略的静态和动态审核，对现有的安全策略、安全模板、安全服务进行预警，以便管理员及时调整，提供安全服务的可用性，并安全服务本身提供安全保障。

在本发明实施例中，上述云计算系统包括安全策略、安全模板、安全服务、物理机、虚机等，所有资源在云计算系统中都有唯一的代码，以便根据代码进行准确检索定位。

在本发明实施例中还涉及的网元设备功能如下：

安全策略审核数据库：以安全策略和安全策略关联实例为对象存储所关联的资源信息，策略审核时，需根据策略便利找出对应的实例资源信息；

安全策略审核管理节点：管理员可通过该节点配置对安全策略审核进行配置；

安全策略审核业务节点：与云平台的告警系统相连，可捕捉资源变动信息，并根据配置安全审核策略触发动态安全策略的审核。

在本实施例中还提供了一种安全服务的审核处理装置，用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述，下面对该装置中涉及到的模块进行说明。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。图6为根据本发明实施例的安全服务的审核处理的结构框图。如图6所示，该装置包括：

审核模块60，设置为在指定事件的触发下，审核指定安全事件，该指定安全事件包括：安全服务、安全服务所应用的安全策略；

产生模块62，与审核模块60相连，设置为当上述指定安全事件不满足预定条件时，产生指示或警示信息。

通过上述各个模块的综合作用，采用指定事件触发审核安全事件的机制的技术方案，解决了检测安全服务的可用性的技术方案还不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，提供了一种完善的安全服务的检测方案，实现了对安全服务进行预警，以便管理员及时调整，提高了安全服务的可用性，并对安全服务本身提供安全保障。

可选地，如图7所示，产生模块62包括：第一产生单元620，设置为当上述指定安全事件所依赖的资源不满足预设条件时，产生指示或警示信息；第二产生单元622，设置为当上述指定安全事件所依赖的资源条件与其他安全事件所依赖的资源条件冲突时，产生指示或警示信息。

本发明实施例对上述技术方案的进一步改进在于，审核模块60包括：检测单元600，设置为检测预先存储的指定安全事件；审核单元602，设置为在当前资源出现以下之一情况时，审核指定安全事件：上述当前资源变更、上述当前资源损坏、上述当前资源工作异常。

可选地，审核模块60，还包括确定单元604，设置为在以下之一情况时，确定上述当前资源变更或损坏或工作异常：物理机宕机、虚拟机死机。

在具体实施过程中，审核模块60还设置为按照预定周期对上述指定安全事件进行审核。

综上所述，本发明实施例实现了以下有益效果：检测安全服务的可用性的技术方案还不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，能够实现对安全服务进行预警，以便管理员及时调整，提高了安全服务的可用性，并对安全服务本身提供安全保障。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

基于本发明的实施例提供的上述技术方案，通过采用指定事件触发审核安全事件的机制的技术方案，解决了检测安全服务的可用性的技术方案还不够完善而导致的安全服务的可用性低以及管理员操作难度大的问题，提供了一种完善的安全服务的检测方案，实现了对安全服务进行预警，以便管理员及时调整，提高了安全服务的可用性，并对安全服务本身提供安全保障。

Claims

一种安全服务的审核处理方法，包括：

在指定事件的触发下，审核指定安全事件，该指定安全事件包括以下至少之一：安全服务、安全服务所应用的安全策略；

所述指定安全事件不满足预定条件时，产生指示或警示信息。
根据权利要求1所述的方法，其中，当检测到所述指定安全事件不满足预定条件时，产生警示或指示信息包括至少以下之一：

当所述指定安全事件所依赖的资源不满足预设条件时，产生所述警示或指示信息；

当所述指定安全事件所依赖的资源条件与其他安全事件所依赖的资源条件冲突时，产生所述警示或指示信息。
根据权利要求1所述的方法，其中，审核指定安全事件包括：

检测预先存储的指定安全事件；或

在当前资源出现以下至少之一情况时，审核所述指定安全事件：所述当前资源变更、所述当前资源损坏、所述当前资源工作异常。
根据权利要求3所述的方法，其中，在以下之一情况时，确定所述当前资源变更或损坏或工作异常：

设备接入网络、物理机宕机、虚拟机死机。
根据权利要求1-4任一项所述的方法，其中，审核相关的安全事件，包括：按照预定周期审核相关的安全事件。
一种安全服务的审核处理装置，包括：

审核模块，设置为在指定事件的触发下，审核指定安全事件，该安全事件包括以下至少之一：安全服务、安全服务所应用的安全策略；

产生模块，设置为当所述指定安全事件不满足预定条件时，产生指示或警示信息。
根据权利要求6所述的装置，其中，所述产生模块包括：

第一产生单元，设置为当所述指定安全事件所依赖的资源不满足预设条件时，产生指示或警示信息；

第二产生单元，设置为当所述指定安全事件所依赖的资源条件与其他安全事件所依赖的资源条件冲突时，产生指示或警示信息。
根据权利要求6所述的装置，其中，所述审核模块包括：

检测单元，设置为检测预先存储的指定安全事件；或

审核单元，设置为在当前资源出现以下之一情况时，审核指定安全事件：所述当前资源变更、所述当前资源损坏、所述当前资源工作异常。
根据权利要求8所述的装置，其中，所述审核模块，还包括确定单元，设置为在以下之一情况时，确定所述当前资源变更或损坏或工作异常：设备接入网络、物理机宕机、虚拟机死机。
根据权利要求6-9任一项所述的装置，其中，所述审核模块还设置为按照预定周期审核指定安全事件。