一种虚拟化环境下修复离线虚拟机漏洞的方法及系统的制作方法

一种虚拟化环境下修复离线虚拟机漏洞的方法及系统的制作方法
【专利摘要】本发明公开了一种虚拟化环境下修复离线虚拟机漏洞的方法及系统，该方法包括：步骤1，安装安全代理；步骤2，采集离线虚拟机的内部信息；步骤3，通过虚拟终端管理系统向离线虚拟机下发修复漏洞指令；步骤4，通过虚拟终端管理系统调用虚拟化环境接口，对虚拟机进行开机操作；步骤5，获取补丁数据、修复漏洞；步骤6，漏洞修复完成后，通过安全代理完成虚拟机关机操作，恢复虚拟化环境；该系统包括安全代理、虚拟终端管理系统、虚拟化环境接口、服务器。相对于常规的离线虚拟机漏洞修复的方法，本发明优化了漏洞修复过程，不仅起到保护了离线虚拟机、提高漏洞修复的安全性的作用，而且可以更方便地维护和管理离线虚拟机漏洞修复过程。
【专利说明】
一种虚拟化环境下修复离线虚拟机漏洞的方法及系统
技术领域
[0001 ]本发明涉及虚拟化环境安全技术领域，更为具体来说，涉及到一种对虚拟机安全漏洞的修复方案，是一种虚拟化环境下修复离线虚拟机漏洞的方法及系统。
【背景技术】
[0002]随着虚拟化技术的普及率越来越高，虚拟机中存在的安全漏洞也随之而来，比如，VENOM安全漏洞等。特别对于一些主要依靠虚拟机进行办公的企业来说，这些安全漏洞对虚拟机乃至整个虚拟化环境的影响是非常大的，直接影响着工作是否能够顺利进行。因此，本领域技术人员必须要对虚拟机中存在的安全漏洞进行修复。
[0003]在虚拟化环境中，常规的安全漏洞修复方法主要包括如下几种:(I)使用维护寄存器，通过维护寄存器中存储的维护补丁对离线态的虚拟机进行漏洞修复；(2)采用复杂软件策略和复杂的算法修复离线态的虚拟机中存在的漏洞；(3)首先对离线态的虚拟机镜像漏洞修复，然后再对虚拟机镜像离线升级，进而达到修复离线虚拟机的目的。
[0004]但是，上述这些常规的离线态的虚拟机中安全漏洞修复方法存在以下弊端:(I)修复过程往往比较复杂，必须整理准备离线修复过程前所需要的补丁、软件数据的维护策略，又或者必须收集安全虚拟机镜像存在的漏洞信息，重新制作新镜像，然后以离线的方式对虚拟机镜像进行升级操作，再修复安全漏洞；(2)修复方式比较复杂，必须要进行多步操作，耗时比较长，修复效率低；(3)由于修复过程和修复方式都比较复杂，在修复的过程中难免会忽略一些问题，需要不断对修复过程和修复方式进行升级，因此很容易给操作系统带来一些安全隐患，尤其是离线虚拟机系统中的存在的一些关键信息。
[0005]进入中国的申请号为201280060182.0的PCT国际申请公开了一种用于给虚拟映像打补丁的方法，包括:通过在离线准备阶段期间注入对应的补丁逻辑以及将在下一次引导时应用的补丁材料，修改将被打补丁的所选的休眠虚拟映像;下载引导介质和以对应的部署数据创建用于所选的目标虚拟机的临时盘;改变与所述目标虚拟机相关联的所述临时盘的主引导记录以便下一次在所述引导介质上进行引导;如果与将被打补丁的所述虚拟映像相关联的所述目标虚拟机被引导，执行所述补丁逻辑以便安装所述补丁材料。
[0006]上述的PCT国际申请虽然在一定程度上解决了漏洞修复安全性、修复效率的问题；但是，该PCT国际申请的修复过程和修复方式仍然较为复杂，因此，这种方法仍无法从根本上解决离线态的虚拟机中安全漏洞修复过程中可能存在的安全问题。
[0007]因此，如何解决常规虚拟机漏洞修复方法存在的修复过程复杂、修复方式复杂、耗时长、安全性差等问题，成为了本领域技术人员亟待解决的技术问题和研究的重点。

【发明内容】

[0008]为解决现有的虚拟化环境下修复离线虚拟机漏洞的方法存在的修复过程复杂、修复方式复杂、耗时长、安全性差等诸多问题，本发明公开了一种虚拟化环境下修复离线虚拟机漏洞的方法及系统，通过设置安全代理、虚拟终端管理系统对修复过程进行管理的方式，从根本上解决了离线虚拟机漏洞修复的安全性问题，实现更方便地维护和管理离线虚拟机的漏洞修复。
[0009]为实现上述技术目的，本发明公开了一种虚拟化环境下修复离线虚拟机漏洞的方法，该虚拟化环境中部署有至少一台离线虚拟机，离线虚拟机处于关机状态，该方法包括:
[0010]步骤I，在离线虚拟机中安装安全代理；
[0011 ]步骤2，通过虚拟终端管理系统采集离线虚拟机的内部信息；
[0012]步骤3，通过虚拟终端管理系统向离线虚拟机下发修复漏洞指令；
[0013]步骤4，通过虚拟终端管理系统调用虚拟化环境接口，然后对虚拟机进行开机操作；
[0014]步骤5，如果虚拟机开机成功，则通过安全代理获取补丁数据、修复漏洞；
[0015]步骤6，漏洞修复完成后，通过安全代理完成虚拟机关机操作，恢复虚拟化环境。
[0016]相对于现有的离线虚拟机漏洞修复方法，借助安全代理，本发明优化了漏洞修复的方法和步骤，在保证漏洞修复高度安全的同时，能够更方便、更快捷地进行漏洞修复工作。
[0017]进一步地，步骤4中，开机操作前，虚拟终端管理系统调用虚拟化环境接口对离线虚拟机进行快照操作。
[0018]本发明通过快照操作保留离线虚拟机修复前的状态，但由于其他原因导致修复失败时，本发明可快速对离线虚拟机进行还原。
[0019]进一步地，步骤5中，如果虚拟机开机失败或开机不正常，则对虚拟机进行恢复快照操作、恢复虚拟化环境，再返回步骤I。
[0020]进一步地，步骤4中，虚拟化环境接口采用API接口。
[0021]进一步地，步骤I中，在虚拟化环境中部署虚拟终端管理系统，通过虚拟终端管理系统在离线虚拟机中安装安全代理，虚拟终端管理系统与离线虚拟机处于同一虚拟化环境中。
[0022]进一步地，步骤2中，虚拟机内部信息包括系统信息、软件信息及补丁信息。
[0023]进一步地，步骤5中，通过安全代理从虚拟化环境中的服务器下载补丁索引文件、组装补丁数据，然后修复漏洞。
[0024]进一步地，服务器采用虚拟终端管理系统的服务器或者独立的补丁服务器。
[0025]本发明的另一个发明目的在于提供一种虚拟化环境下修复离线虚拟机漏洞的系统，该系统包括安全代理、虚拟终端管理系统、虚拟化环境接口、服务器，安全代理安装于离线虚拟机中，离线虚拟机、虚拟终端管理系统和服务器均部署于同一虚拟化环境中，虚拟终端管理系统调用虚拟化环境接口与虚拟机通信，服务器内存储有补丁索引文件及与补丁索引文件对应的补丁数据。
[0026]本发明的一种虚拟化环境下修复离线虚拟机漏洞的系统能够出色地完成离线虚拟机漏洞修复工作，整个系统较精简，具有安全系数高、修复效率高等优点。
[0027]进一步地，虚拟终端管理系统为一个，虚拟化环境中部署有至少一台离线虚拟机。
[0028]本发明的有益效果为:相对于常规的离线虚拟机漏洞修复的方法，本发明优化了漏洞修复过程，不仅起到保护了离线虚拟机、提高漏洞修复的安全性的作用，而且可更方便地维护和管理离线虚拟机漏洞修复过程。
[0029]本发明漏洞修复过程易操作、易掌握，极大地提高了离线虚拟机漏洞修复的效率。
【附图说明】
[0030]图1为虚拟化环境下修复离线虚拟机漏洞的方法流程图。
[0031]图2为虚拟化环境下修复离线虚拟机漏洞的系统组成示意图。
【具体实施方式】
[0032]下面结合说明书附图对本发明的虚拟化环境下修复离线虚拟机漏洞的方法和系统进行详细的解释和说明。
[0033]如图1所示，本发明公开了一种虚拟化环境下修复离线虚拟机漏洞的方法，该虚拟化环境中部署有至少一台离线虚拟机，修复前，离线虚拟机处于关机状态，该虚拟化环境下修复离线虚拟机漏洞的方法包括如下几个步骤:
[0034]步骤I，首先在离线虚拟机中安装安全代理，具体来说，在虚拟化环境中部署虚拟终端管理系统，然后通过虚拟终端管理系统在离线虚拟机中安装安全代理，本实施例中，虚拟终端管理系统与离线虚拟机处于同一虚拟化环境中。本发明，用户登录虚拟终端管理系统web界面代理管理模块，点击离线虚拟机安装安全代理。
[0035]步骤2，通过虚拟终端管理系统采集离线虚拟机的内部信息，本发明中，虚拟机内部信息包括系统信息、软件信息、补丁信息及其他信息。在虚拟终端管理系统web界面下发任务采集任务，然后通过虚拟终端管理系统可以采集到离线态虚拟机补丁漏洞信息，补丁漏洞信息包括已修复补丁、未修复补丁等信息。
[0036]步骤3，通过虚拟终端管理系统向离线虚拟机下发修复漏洞指令或者请求；
[0037]步骤4，通过虚拟终端管理系统调用虚拟化环境接口，然后对虚拟机进行开机操作；出于保护虚拟机和虚拟机内操作系统、磁盘内文件的考虑，本发明开机操作前，虚拟终端管理系统调用虚拟化环境接口对离线虚拟机进行快照操作;本发明虚拟终端管理系统调用虚拟化环境厂商API接口，用于进行离线态虚拟机快照，以防修复异常恢复离线态虚拟机环境使用，然后开机，等开机后，安全代理会自动运行起来和虚拟终端管理系统建立连接。假如操作出现了问题，可以在下次启动时直接恢复快照状态，不影响系统使用。快照操作简单易行，而且快照文件占用空间小，操作时间短，用完可以直接删除
[0038]步骤5，如果虚拟机开机成功，则通过安全代理获取补丁数据、修复漏洞，本发明通过安全代理从虚拟化环境中的服务器下载补丁索引文件、组装补丁数据，然后修复漏洞;如果虚拟机开机失败或开机不正常，则对虚拟机进行恢复快照操作、恢复虚拟化环境，再返回步骤I。本发明的服务器可为补丁服务器，虚拟终端管理系统界面上传微软官网下载的windows补丁数据和补丁文件，具体地，补丁数据入库，补丁文件会保存在虚拟终端管理系统的服务器上或者其他独立的补丁服务器中。
[0039]步骤6，漏洞修复完成后，通过安全代理完成虚拟机关机操作，恢复虚拟化环境。
[0040]如图2所示，本发明还公开了一种虚拟化环境下修复离线虚拟机漏洞的系统，该系统使用上述的虚拟化环境下修复离线虚拟机漏洞的方法，该系统包括安全代理、虚拟终端管理系统、虚拟化环境接口、服务器，安全代理安装于虚拟机中，虚拟机、虚拟终端管理系统和服务器均部署于同一虚拟化环境中，本实施例中，虚拟化环境中部署有至少一台虚拟机，虚拟终端管理系统可为一个，当虚拟机数量非常多时，也可考虑部署多个虚拟终端管理系统。虚拟终端管理系统调用虚拟化环境接口与虚拟机通信，服务器内存储有补丁索引文件及与补丁索引文件对应的补丁数据。
[0041]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明实质内容上所作的任何修改、等同替换和简单改进等，均应包含在本发明的保护范围之内。
【主权项】
1.一种虚拟化环境下修复离线虚拟机漏洞的方法，该虚拟化环境中部署有至少一台离线虚拟机，离线虚拟机处于关机状态，其特征在于，该方法包括: 步骤I，在离线虚拟机中安装安全代理； 步骤2，通过虚拟终端管理系统采集离线虚拟机的内部信息； 步骤3，通过虚拟终端管理系统向离线虚拟机下发修复漏洞指令； 步骤4，通过虚拟终端管理系统调用虚拟化环境接口，然后对虚拟机进行开机操作； 步骤5，如果虚拟机开机成功，则通过安全代理获取补丁数据、修复漏洞； 步骤6，漏洞修复完成后，通过安全代理完成虚拟机关机操作，恢复虚拟化环境。2.根据权利要求1所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，步骤4中，开机操作前，虚拟终端管理系统调用虚拟化环境接口对离线虚拟机进行快照操作。3.根据权利要求2所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，步骤5中，如果虚拟机开机失败或开机不正常，则对虚拟机进行恢复快照操作、恢复虚拟化环境，再返回步骤I。4.根据权利要求2所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，步骤4中，虚拟化环境接口采用API接口。5.根据权利要求1至4中任一权利要求所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，步骤I中，在虚拟化环境中部署虚拟终端管理系统，通过虚拟终端管理系统在离线虚拟机中安装安全代理，虚拟终端管理系统与离线虚拟机处于同一虚拟化环境中。6.根据权利要求1至4中任一权利要求所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，步骤2中，虚拟机内部信息包括系统信息、软件信息及补丁信息。7.根据权利要求1至4中任一权利要求所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，步骤5中，通过安全代理从虚拟化环境中的服务器下载补丁索引文件、组装补丁数据，然后修复漏洞。8.根据权利要求7所述的虚拟化环境下修复离线虚拟机漏洞的方法，其特征在于，服务器采用虚拟终端管理系统的服务器或者独立的补丁服务器。9.一种虚拟化环境下修复离线虚拟机漏洞的系统，其特征在于，该系统包括安全代理、虚拟终端管理系统、虚拟化环境接口、服务器，安全代理安装于离线虚拟机中，离线虚拟机、虚拟终端管理系统和服务器均部署于同一虚拟化环境中，虚拟终端管理系统调用虚拟化环境接口与虚拟机通信，服务器内存储有补丁索引文件及与补丁索引文件对应的补丁数据。10.根据权利要求9所述的虚拟化环境下修复离线虚拟机漏洞的系统，其特征在于，虚拟终端管理系统为一个，虚拟化环境中部署有至少一台离线虚拟机。
【文档编号】G06F21/57GK105912931SQ201610345142
【公开日】2016年8月31日
【申请日】2016年5月23日
【发明人】党艳平, 张通
【申请人】北京北信源软件股份有限公司