云计算安全管理系统的制作方法
【技术领域】
[0001]本发明涉及云计算安全技术领域,特别是涉及一种云计算安全管理系统。
【背景技术】
[0002]云计算已经成为当前IT界关注的热点话题,但云计算的发展也面临许多关键性问题,而安全问题首当其冲,并且随着云计算的不断普及,其重要性呈现逐步上升趋势,已成为制约云计算发展的核心因素。因此,为了能准确了解系统的运行状态、设备的运行情况,统一部署安全策略,亟需一种云计算安全管理系统。
【发明内容】
[0003]本发明所要解决的技术问题是提供一种云计算安全管理系统,能准确了解系统的运行状态、设备的运行情况,统一部署安全策略。
[0004]本发明解决其技术问题所采用的技术方案是:提供一种云计算安全管理系统,包括:访问控制服务子系统用于对访问云计算系统的用户进行安全控制;入侵检测服务子系统采用集中式管理、分布式探测的框架结构,用于进行多网卡、多网段检测和重点服务器检测;云防火墙/云入侵检测子系统用于帮助租户建立由自身完全控制的网络安全隔离系统;安全评估服务子系统用于对云计算网络中系统或者其他网络设备进行安全检测,以找出安全隐患和可被黑客利用的漏洞;传输安全控制子系统采用双因子认证方式,并在服务端和客户端仅支持使用“Key+ 口令”的方式进行登录操作。
[0005]所述访问控制服务子系统包括:Key联动模块,用于保证远程登录到云计算系统内用户的安全;VPN远程安全接入模块,用于支持从远程接入使用加密隧道传输数据;访问控制模块,用于对通过网络访问机群的请求进行控制;安全隔离模块,用于为云计算网络连接提供安全过滤防护;节点映射模块,用于为云计算内部节点提供地址/端口映射服务;安全管理模块,用于通过B/S管理方式定制云服务的安全访问策略;日志统计模块,用于对任何进入云服务节点的操作以及防火墙系统相关配置的日志进行统计。
[0006]所述入侵检测服务子系统通过定时检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监视与安全有关的活动。
[0007]所述云计算安全管理系统采用加密认证服务器来保证企业数据的存储安全。
[0008]所述云计算安全管理系统采用身份鉴别的方式提高系统安全性,具体包括主机身份鉴别和应用身份鉴别两个方面。
[0009]所述云计算安全管理系统的访问控制按照三级系统的要求实现自主访问控制和强制访问控制。
[0010]所述入侵检测服务子系统针对入侵防范体现在主机和网络两个层面;针对主机的入侵防范通过部署入侵检测系统和漏洞扫描系统多个角度进行处理;针对网络入侵防范通过部署网络入侵检测系统来实现。
[0011]有益效果
[0012]由于采用了上述的技术方案,本发明与现有技术相比,具有以下的优点和积极效果:本发明通过访问控制服务子系统、入侵检测服务子系统、云防火墙/云入侵检测子系统、安全评估服务子系统和传输安全控制子系统能准确了解系统的运行状态、设备的运行情况,统一部署安全策略。
【具体实施方式】
[0013]下面结合具体实施例,进一步阐述本发明。应理解,这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解,在阅读了本发明讲授的内容之后,本领域技术人员可以对本发明作各种改动或修改,这些等价形式同样落于本申请所附权利要求书所限定的范围。
[0014]本发明的实施方式涉及一种云计算安全管理系统,包括:访问控制服务子系统用于对访问云计算系统的用户进行安全控制;入侵检测服务子系统采用集中式管理、分布式探测的框架结构,用于进行多网卡、多网段检测和重点服务器检测;云防火墙/云入侵检测子系统用于帮助租户建立由自身完全控制的网络安全隔离系统;安全评估服务子系统用于对云计算网络中系统或者其他网络设备进行安全检测,以找出安全隐患和可被黑客利用的漏洞;传输安全控制子系统采用双因子认证方式,并在服务端和客户端仅支持使用“Key+口令”的方式进行登录操作。
[0015]所述访问控制服务子系统包括:Key联动模块,用于保证远程登录到云计算系统内用户的安全,安全网关集成国产自主研发的Key智能密钥,具有和网上银行同样的用户身份安全级别;VPN远程安全接入模块,用于支持从远程接入使用加密隧道传输数据;访问控制模块,用于对通过网络访问机群的请求进行控制,拒绝非法用户的访问试探;安全隔离模块,用于为云计算网络连接提供安全过滤防护,确保集群不受外网病毒、木马、以及入侵等恶意行为的干扰;节点映射模块,用于为云计算内部节点提供地址/端口映射服务,在保证安全的情况下使得终端与服务器进行数据交互,如远程访问控制、上传下载特定安全数据等;安全管理模块,用于通过B/S管理方式定制云服务的安全访问策略,提高云计算应用的安全性;日志统计模块,用于对任何进入云服务节点的操作以及防火墙系统相关配置的日志进行统计。
[0016]本发明的云计算安全管理系统通过访问控制服务子系统还能够进行身份鉴别,身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面,为提高系统安全性,应对主机系统和应用系统进行登录、身份鉴别等方面的一系列的加固措施。
[0017]其中,访问控制服务子系统的访问控制按照三级系统的要求实现自主访问控制和强制访问控制。并采用权限控制、账号管理等措施控制对应用系统的文件、数据库等资源的访问,避免越权非法使用。
[0018]入侵检测服务子系统采用先进的集中式管理、分布式探测的框架结构,高效的数据截获引擎,透明接入不影响网络效率。支持多网卡、多网段检测,支持重点服务器检测。先进的协议分析、模式匹配、TCP状态检测技术,基于TCP流模式的会话跟踪和端口扫描检测技术。能够与其他网络安全产品进行实时互动,可以主动采取防护措施,阻断攻击,并进行实时报警,自动生成安全审计报告。通过定时的检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监视与安全有关的活动。及时发现违规操作无论是用户的恶意违规操作还是管理员的操作失误,该产品都能够及时发现并加以制止和纠正。采用“逐级加密“技术,系统本身具有出色的抗攻击能力和安全性。
[0019]入侵检测服务子系统针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范,可以通过部署入侵检测系统、漏洞扫描系统等多个角度进行处理。针对网络入侵防范,可通过部署网络入侵检测系统来实现。
[0020]云防火墙/云入侵检测子系统:由于云计算网络环境的复杂化和网络应用的多样化日益明显,对于虚拟化内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于虚拟交换网络并非彻底安全,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于云服务端的用户,防范攻击的难度较大。
[0021]在云计算服务区,不同租户之间的应用决定了不同的安全风险级别。根据风险级别的不同,需要租户自己建立自己的安全防护体系。云安全管理平台的云防火墙/云入侵检测子系统所提供的云防火墙/入侵检测/负载均衡等功能,则可以帮助租户建立由自身完全控制的网络安全隔离系统,给予租户更多的自主控制能力和安全防范手段。
[0022]安全评估服务子系统是对云计算网络中系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。显然,漏洞扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。因此,漏洞扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。遵循国家和军队网络安全的相关标准,遵循现行行政法规。完全基于国际CVE标准建立的安全漏洞库,并通过网络升级可以与国际最新标准同步。
[0023]安全评估服务子系统扫描一个C类网段时(60%主机在线),内存消耗和CPU占有率很低。这主要是缘于采用了先进脚本引擎调度算法来实现。典型工作情况下