云资源池数据安全检测方法及系统与流程

本发明属于信息安全技术领域，具体涉及一种云资源池数据安全检测防护系统及其方法。

背景技术：

云资源池在系统组成方面与传统平台建设最主要的区别就是将资源虚拟化形成统一的资源池，简化资源的配置与管理，提高硬件的利用率，从而实现云计算的灵活性与弹性。虚拟层的引入使以访问控制为核心的安全防护体系与传统的业务平台建设防护体系有很大不同，除了包括传统的主机安全、网络安全等外，还需要包含云计算中特殊的虚拟化安全。

在云资源池中，CRM等多个业务系统主机保存了UIP日志、与CRM的交互日志，以及包含用户信息、缴费、信用度、外围代收费日志等关键敏感数据，部分主机还保存了业务系统更新前的最终程序代码。目前对于云资源池环境的中敏感数据安全，没有通过技术手段防护和监控，对于敏感数据在虚拟资源池中的传输、存储以及数据保护等，急需一套完整的建设方案来实现对敏感数据的安全防护和监控。

技术实现要素：

本发明所要解决的技术问题是通过对云资源池环境中敏感数据的管理与监控，实现对云资源池敏感数据的各个生命周期的管理与监控，避免非法人员通过技术手段获取敏感数据，造成信息泄露等风险。

为解决上述问题，本发明提供了一种云资源池数据安全检测方法，包括如下步骤：

S1：获取制定的敏感数据；

S2：获取从云资源池引流出的导出数据；

S3：扫描并识别导出数据中的敏感数据；

S4：建立敏感数据生命周期，对敏感数据进行分级管理；

S5：抓取云资源环境中敏感数据宿主虚拟机，对其进行流量监管；

S6：分析敏感数据及敏感数据宿主虚拟机的异常操作行为，发出告警。

进一步地，获取S2中所述导出数据的步骤包括：

S201：实时抓取云资源池中的目标数据；

S202：过滤抓取的目标数据，并将数据转发到指定虚拟机中的目标位置。

进一步地，所述S3具体包括如下步骤：

S301：扫描S202中所述目标位置中的导出数据；

S302：识别导出数据中与S1中匹配的敏感数据，并入库存储；

S303：识别导出数据中与S1中不匹配的非敏感数据，对非敏感数据进行销毁标签标识。

进一步地，采用关键字、正则表达式、文件指纹或文件MD5识别导出数据中的敏感数据。

进一步地，所述S303中标有销毁标识的非敏感数据在虚拟机下线前通过擦除工具进行删除。实现了对虚拟机需要脱敏或销毁的数据进行标签化管理，实现格式化数据的库内和库外脱敏

进一步地，所述S4采用聚类算法对敏感数据进行分级管理。

进一步地，所述S5具体包括对敏感数据宿主虚拟机的传输通道监控和网络连接状态，获取敏感数据异常传输，具体步骤如下：

S501：识别、扫描敏感数据宿主虚拟机主机端口之间的数据传输，获取敏感数据异常传输；

S502：监控敏感数据所存放虚拟机主机的端口连接状态，获取异常端口连接信息；

S503：监控敏感数据宿主虚拟机主机网络连接状态，获取异常网络访问请求。

另外，本发明还提供了一种云资源池敏感数据安全检测系统，包括控制模块、采集模块、处理模块、监管模块、审计模块；

其中，所述控制模块：用于定义敏感数据并下发至各个功能模块；

所述采集模块：用于将需要检测的数据从云资源池中导出到物理安全设备中；

所述敏感数据监管模块：用于扫描所述采集模块中的导出数据，识别导出数据中的敏感数据，并实现敏感数据的分级管理，并反馈至审计模块；

所述安全流量监控模块：用于抓取云资源池中敏感数据宿主虚拟机，实时监测敏感数据宿主虚拟机的流量，并反馈至审计模块；

所述审计模块：用于接收各个模块反馈的信息，分析敏感数据及敏感数据宿主虚拟机的异常操作行为，发出告警。

进一步地，所述采集模块包括虚拟导流机和SDN交换机；

其中，所述虚拟导流机导出云资源池中的目标数据至SDN交换机，所述SDN交换机将目标数据转发到指定目标位置。通过虚拟导流机将需要监控的数据从虚拟网络环境中导出到物理安全设备中，具体的安全业务逻辑由物理安全设备来处理。这种方式对业务和网络影响小，用物理安全设备处理安全业务可以获取极高的性能，使得虚拟导流机的处理逻辑变得很简单，只需要占用少量的虚拟化资源即可。

进一步地，所述敏感数据管理模块包括扫描组件、识别组件、擦除组件、分级组件；

所述扫描组件：用于扫描所述采集模块中的数据；

所述识别组件：用于识别扫描后数据中的敏感数据和非敏感数据；

所述擦除组件：用于擦除非敏感数据；

所述分级组件：用于将识别出的不同级别敏感数据进行分级管理。

进一步地，所述分级组件采用聚类算法对不同敏感数据进行分级管理。

进一步地，所述安全流量监控模块包括主机端口监控模块、传输通道监控模块、主机互联关系模块；

其中，所述主机端口监控模块：用于监控敏感数据宿主虚拟机主机端口连接状态；

所述传输通道监控模块：用于监控敏感数据宿主虚拟机端口之间的数据传输状态；

所述主机互联关系模块：用于监控敏感数据虚拟机主机网络连接状态。

进一步地，所述审计模块包括接收模块、分析模块；

其中，所述接收模块：用于接收各个功能模块的反馈信息；

所述分析模块：用于分析反馈信息中的异常行为，并进行告警。

本发明与现有技术相比，具有如下的优点和有益效果：

1、本发明具有良好的可扩展性，具备灵活的体系框架；

2、本发明实现了云资源池环境下网络层与主机层全生命周期敏感数据的识别；

3、本发明实现了对敏感数据的分级、分类管理，对敏感数据的状态进行监控与管理，展示各个生命周期场景下的敏感数据分布和状态；

4、本发明对虚拟机需要脱敏或销毁的数据进行标签化管理，实现格式化数据的库内和库外脱敏；

5、本发明实现了云资源池环境下的流量监控，对云资源池中的所有虚拟主机，实现对敏感数据的传输、访问、通道端口连接的实时状态监控，对敏感数据宿主虚拟机的端口和业务信息流监控，发现异常和违规行为。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1为本发明的方法流程框图；

图2为本发明的系统框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

在云资源池中，虚拟主机使用共享资源动态生成，存在共享前数据未被擦除，数据未加密传输，通过数据监听、恢复技术泄露敏感数据的可能。实现对云计算环境下域内及跨域虚拟机业务数据调取传输以及迁移过程中各类敏感数据的创建、生产、使用、销毁等各环节的全生命周期安全管控。监控处于数据生命周期各环节的各虚拟机传输过程和存储涉及哪类敏感数据；对敏感数据传输、分类，并给虚拟机打上需要销毁的标签，可靠擦除，避免虚拟机被共享后数据恢复。同时，实现对敏感数据宿主虚拟机的传输实时监控，发现异常和违规行为，避免违规或非法人员通过网络访问、隐蔽通道、非常规端口等方式盗取敏感数据。

如图1所示，本发明提供了一种云资源池数据安全检测方法，包括如下步骤：

步骤S1：获取制定的敏感数据；

根据业务需求按照数据类型、数据内容制定敏感数据及敏感数据分级标准，如按照敏感性程度分为一级、二级等不同等级；按照安全属性分为非常重要、重要等不同等级；按照安全级别分为严格受限、机密信息、内部信息、限制级、涉及隐私、授权级、保密级等不同级别。

S2：获取从云资源池引流出的导出数据；

采用通过虚拟导流机将需要监控的流量从虚拟网络环境中导出到物理安全设备的原理，将具体的安全业务逻辑由物理安全设备来处理。这种方式对用户业务和网络影响小；用物理安全设备处理安全业务可以获取极高的性能，使得虚拟导流系统的处理逻辑变得很简单，只需要占用少量的虚拟化资源即可。

根据此原理，通过S201：实时抓取云资源池中的目标数据；S202过滤抓取的目标数据，并将数据转发到指定虚拟机中的目标位置，实现从元资源池引流出导出数据。

S3：扫描并识别导出数据中的敏感数据；

通过S301：扫描S202中所述目标位置中的导出数据；S302：识别导出数据中与S1中匹配的敏感数据，并入库存储；S303：识别导出数据中与S1中不匹配的非敏感数据，对非敏感数据进行销毁标签标识。

对现有云资源池虚拟主机模板变更，嵌入敏感数据扫描账号进行自动发现新增、新建的虚拟主机。通过扫描策略进行敏感数据扫描，敏感数据扫描通过agent进行扫描，agent客户端在电脑上静默安装，并以“旁观者”的方式观察和记录员工对电脑、文件、软件的使用操作，并发送到服务端；服务端通过多种方式(文件签名、敏感词识别与权重分析、正则表达式过滤)识别敏感机密信息，并入库存档；服务端通过数据汇总与分析，得出人员、文件、安全事件这三个维度的趋势，并通过相应的安全策略定义，对用户的操作进行识别，从而确认是否存在泄密风险。敏感数据涉密识别技术采用关键字、正则表达式、文件指纹、文件MD5对敏感文件进行识别。

云资源池虚拟机之间共享数据时导致敏感信息泄露，通过敏感信息识别技术实现对数据的脱敏、销毁以及标签化管理。从而实现虚拟数据的可靠“零”擦除。为防止虚拟机在下线后被恢复或共享访问引起的数据泄露，利用存储层敏感数据管控模块对已识别信息进行擦除操作，提升恢复的技术难度，并对虚拟机的后续状态进行监控和跟踪。

S4：建立敏感数据生命周期，对敏感数据进行分级管理；

敏感数据发现与分级采用高效的聚类算法，针对敏感数据可以进行分级、分类管理，不同密级的文档触发不同事件动作。结合敏感数据资产生命周期场景可以呈现出各个阶段的敏感文件或敏感数据状态。

S5：抓取云资源环境中敏感数据宿主虚拟机，对其进行流量监管；

通过S501：识别、扫描敏感数据宿主虚拟机主机端口之间的数据传输，获取敏感数据异常传输；S502：监控敏感数据所存放虚拟机主机的端口连接状态，获取异常端口连接信息；S503：监控敏感数据宿主虚拟机主机网络连接状态，获取异常网络访问请求。

通过对虚拟导流器引流出来的流量，抓取云资源池环境中敏感数据宿主虚拟机，在安全域内部各子域、安全域与其它企业自有安全域的数据交互、传输、业务信息流，形成可视化的互连关系视图。实现虚拟机的发现和实时流量监测，同时结合APT和合规思路，及时发现不合规的连接行为，保障主机安全。

S6：分析敏感数据及敏感数据宿主虚拟机的异常操作行为，发出告警。

按照敏感数据的场景对存储敏感数据的虚拟设备进行网络流量和数据库的监控和审计，及时发现对敏感数据的异常操作行为。系统实时或周期性监控云资源池内敏感信息在存储层即网络层的访问及变更情况，与生命周期模型进行对比分析，识别数据安全事件。数据安全事件将通过告警或工单方式与SMP或EOMS进行对接及时保护数据资产，防范数据泄露。

另外，如图2所示，本发明还提供了一种云资源池敏感数据安全检测系统，包括控制模块、采集模块、处理模块、监管模块、审计模块。

其中，控制模块用于定义敏感数据并下发至各个功能模块，根据业务需求按照数据类型、数据内容制定敏感数据及敏感数据分级标准。

采集模块用于将需要检测的数据从云资源池中导出到物理安全设备中，包括虚拟导流机和SDN交换机。虚拟导流机导出云资源池中的目标数据至SDN交换机，所述SDN交换机将目标数据转发到指定目标位置。通过虚拟导流机将需要监控的数据从虚拟网络环境中导出到物理安全设备中，具体的安全业务逻辑由物理安全设备来处理。这种方式对业务和网络影响小，用物理安全设备处理安全业务可以获取极高的性能，使得虚拟导流机的处理逻辑变得很简单，只需要占用少量的虚拟化资源即可。

敏感数据监管模块用于扫描所述采集模块中的导出数据，识别导出数据中的敏感数据，并实现敏感数据的分级管理，并反馈至审计模块；包括扫描组件、识别组件、擦除组件、分级组件。扫描组件用于扫描所述采集模块中的数据；识别组件用于识别扫描后数据中的敏感数据和非敏感数据；擦除组件用于擦除非敏感数据；分级组件采用聚类算法将识别出的不同级别敏感数据进行分级管理。

安全流量监控模块用于抓取云资源池中敏感数据宿主虚拟机，实时监测敏感数据宿主虚拟机的流量，并反馈至审计模块。安全流量监控模块包括主机端口监控模块、传输通道监控模块、主机互联关系模块。其中，主机端口监控模块：用于监控敏感数据宿主虚拟机主机端口连接状态；传输通道监控模块：用于监控敏感数据宿主虚拟机端口之间的数据传输状态；主机互联关系模块：用于监控敏感数据虚拟机主机网络连接状态。

审计模块：用于接收各个模块反馈的信息，分析敏感数据及敏感数据宿主虚拟机的异常操作行为，发出告警。审计模块包括接收模块、分析模块。其中，所述接收模块用于接收各个功能模块的反馈信息；分析模块用于分析反馈信息中的异常行为，并进行告警。

本发明通过对敏感数据的管理与监控，实现对云资源池敏感数据的各个生命周期的管理与监控，保护敏感数据非法外泄，对可以外发和敏感数据的访问操作行为，实现即时审计监控、报警和阻断。通过扫描识别技术对云资源池敏感数据的识别与标识，建立全生命周期监控管理模型；实现对敏感数据的分级、分类管理，对敏感数据的状态进行监控与管理，展示各个生命周期场景下的敏感数据分布和状态；对虚拟机需要脱敏或销毁的数据进行标签化管理，实现格式化数据的库内和库外脱敏；实现对敏感数据宿主虚拟机的互联状态和传输通道监控，实施发现是否非法外联传输敏感数据；实现对敏感数据宿主虚拟机的端口和业务信息流监控，发现异常和违规行为。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。