一种云端数据安全保护方法
【专利说明】一种云端数据安全保护方法
[0001]
技术领域
[0002]本发明涉及数据安全领域,具体地说是一种云端数据安全保护方法,是一种主要针对政府、军队、互联网服务、电信服务、大型企业等云数据中心研发的安全防护措施,主要用来保障云中心的数据安全,解决传统数据集中后台管理员失泄密问题,解决云多租户应用的数据租户隔离问题,解决云数据服务接口带来的数据服务失泄密问题。
【背景技术】
[0003]随着云计算的发展,数据存放到云端,数据安全成为用户最为担心问题,主要聚焦在两个方面:一是担心云运营商或云运维人员非法查看、使用或泄露云端数据;二是担心其他租户非授权访问自身数据,或担心租户使用模式下数据迀移或服务取消后,租户数据删除不彻底,引发关键数据泄露隐患。
[0004]现有技术中主要采取数据应用访问控制技术,实现云用户对云端数据和应用的数据访问控制;采取租户数据加密及分布式租户安全存储技术,解决多租户数据隔离问题;采取管理员应用安全管控技术,实现云运维管理人员关键操作审计,虽然对云端数据能够起到一定的保护作用,但仍会出现大量防护漏洞。
【发明内容】
[0005]本发明的技术任务是针对上述现有技术的不足,提供一种云端数据安全保护方法。
[0006]本发明的技术任务是按以下方式实现的:一种云端数据安全保护方法,其特点是通过云端主机安全增强套件、云端多租户数据隔离套件、云端数据防泄漏套件及服务防火墙套件实现云端数据安全保护:
云端主机安全增强套件采用强制访问控制技术实现主机安全加固,系统强制主体服从访问控制政策;
云端多租户数据隔离套件通过为用户划分独立的逻辑存储分区来实现租户之间的数据隔离,利用分布式存储软件提供的接口,将每个租户的数据信息存储在独立的逻辑存储区域中;
云端数据防泄漏套件通过对电子文档加密存储、流转和操作的全过程进行细粒度权限管控,实现数据防泄漏,包括电子文档的访问控制、透明加解密、权限控制;
服务防火墙套件利用服务访问控制技术,实现对数据服务的安全管控和服务可用性保护。
[0007]作为优选,云端主机安全增强套件通过对主体和客体设置安全策略和安全标签,约定主体到客体的访问规则并形成一张访问控制列表(ACL ),每一次系统主体访问客体时,通过Hook和kernel extens1n技术,拦截系统到内核层的访问,并将访问与访问控制列表进行比较,拒绝不符合的访问,所述主体为用户或进程;所述客体为文件、进程、执行程序或网络。
[0008]云端多租户数据隔离套件可针对租户私有区域进行比特级的数据加解密和数据擦除,提供对虚机、操作系统、业务软件、业务数据进行统一保护,并提供虚拟硬盘加密和擦除服务,有效保障每个租户特有数据的安全性。
[0009]进一上步说,云端多租户数据隔离套件中多租户数据隔离实施过程为:租户存取数据时,在租户虚拟机通过系统安全认证后将信息进行SSL加密传到云端数据中心,云端存储软件根据特定算法,将数据进行分片处理,然后在将数据传给分散在各地物理位置不同的隔离空间中;当租户读取数据或者查询数据时,在云存储服务器通过身份验证后,租户通过分散存储管理器提供的虚拟视图,完成数据的查询、读取或删除等操作,此后分散存储管理器通过设备上的记录表,对存储设备进行相应的操作,最后将操作结果返回给租户。
[0010]作为优选,云端数据防泄漏套件中:
所述访问控制,基于角色的访问控制模型(RBAC),用户在客户端向服务端注册用户信息,每次登录时服务端对客户端的登录信息进行判断,并赋予和控制其操作权限;
所述透明加解密,通过在系统后台执行高速率的AES算法,自动地进行密码的核对或加密硬件的连接;
所述权限控制,以XML文件的形式,服务端向客户端下发操作策略,在客户端,每次操作电子文档时对策略文件进行解析和更新。
[0011]所述服务防火墙可以由以下功能模块构成:服务接口拦截、强认证与授权、协议符合性检查、攻击过滤、统一安全审计和授权库、策略库等模块等,件部署在云数据中心的PaaS平台中,通过拦截应用对服务的请求完成服务访问控制的功能。
[0012]与现有技术相比,本发明的云端数据安全保护方法通过对云端主机安全增强系统、云端数据的防泄漏保护、云端数据的多租户隔离、服务防火墙等措施,深度保护云端数据的安全。通过云端数据防泄漏套件实现对云端数据的泄露防护;通过云端多租户数据安全隔离、卷级透明加解密、软硬安全删除的功能,解决多租户数据的防泄漏、服务提供商管理人员非授权查看、篡改、删除用户敏感数据的问题;通过云端主机安全增强套件提升服务器主机自身安全性,利用强制访问控制技术实现进程的访问控制、安全标记、文件完整性检测、系统资源监控等安全加固功能;通过服务防火墙套件对数据服务的恶意攻击检测、服务统一授权和访问控制、服务请求鉴别、服务参数安全检查,实现对大数据的安全防护,解决用户隐私泄露的问题,能够从操作系统层、逻辑存储层、数据层、数据服务层四个层次,实现对云端数据的全方位安全保护。
【附图说明】
[0013]附图1是本发明云端数据安全保护方法设计原理图。
【具体实施方式】
[0014]参照说明书附图以具体实施例对本发明的云端数据安全保护方法作以下详细地说明。
[0015]实施例: 如附图1所示,本发明的云端数据安全保护方法通过云端主机安全增强、云端多租户数据隔离、云端数据防泄漏及服务防火墙等措施,深度保护云端数据的安全,能够从操作系统层、逻辑存储层、数据层、数据服务层四个层次,实现对云端数据的全方位安全保护。
[0016]本发明提出的云端数据安全保护的方法可以由云端主机安全增强、云端多租户数据隔离、云端数据防泄漏及服务防火墙四类安全套件实现。
[0017]服务防火墙利用服务访问控制技术,实现对数据服务的安全管控和服务可用性保护。主要由服务接口拦截、强认证与授权、协议符合性检查、攻击过滤、统一安全审计和授权库、策略库等若能模块组成。
[0018]服务防火墙以软件的形式部署在云数据中心的PaaS平台中,通过拦截应用对服务的请求完成服务访问控制的功能。
[0019]即:服务防火墙套件能够在数据服务前端拦截应用对数据服务的请求。该套件根据授权库、策略库对数据服务请求进行协议符合性及服务参数合法性检查,服务防火墙能够过滤服务攻击行为,保证服务调用过程的安全,防止服务被滥用和假冒调用,并提供对数据服务请求的安全审计,并且服务防火墙套件采用多种核心的Web服务检测技术,提供对Web服务接口自身的脆弱性检测。
[0020