云主机安全加固方法、装置、存储介质及电子设备与流程

1.本公开涉及云计算安全技术领域，具体而言，涉及一种云主机安全加固方法、云主机安全加固装置、计算机可读存储介质以及电子设备。


背景技术：

2.随着云计算技术的快速普及和应用，云主机的安全问题也越来越突出。云主机是一种虚拟化技术，在一组集群主机上虚拟出多个类似独立主机的部分，可以有效的解决传统物理主机与虚拟机服务中存在的管理难度大、业务扩展性弱的缺陷。目前，针对云主机的安全防护技术仍较为落后，例如，安全防护标准不统一、安全防护水平参差不齐等。因此，提高云主机的安全性成为亟待解决的技术问题。
3.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

4.本公开提供一种云主机安全加固方法、云主机安全加固装置、计算机可读存储介质以及电子设备，进而至少在一定程度上克服由于相关技术的限制而导致云主机的安全性较低的问题。
5.本公开提供一种云主机安全加固方法，包括：
6.获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；
7.扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；
8.根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；
9.验证所述安全加固结果并输出对应的加固云主机资源。
10.在本公开的一种示例性实施例中，所述获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机，包括：
11.获取由所述云主机资源的申请信息生成的资源申请单；
12.根据所述资源申请单调用虚拟化软件接口，并通过所述虚拟化软件接口发布所述待加固云主机。
13.在本公开的一种示例性实施例中，所述云主机资源的申请信息包括云主机参数信息；所述扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告，包括：
14.根据所述云主机参数信息生成扫描请求；
15.响应于所述扫描请求生成扫描任务脚本；
16.执行所述扫描任务脚本，得到所述待加固云主机的安全扫描报告，所述安全扫描报告包括扫描得到的问题清单。
17.在本公开的一种示例性实施例中，所述响应于所述扫描请求生成扫描任务脚本，包括：
18.根据所述扫描请求中的云主机参数信息生成扫描任务清单；
19.根据所述扫描任务清单查询预设的安全规则库，生成对应的扫描任务脚本。
20.在本公开的一种示例性实施例中，所述云主机资源的申请信息包括安全加固等级；所述根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果，包括：
21.根据所述云主机参数信息、所述安全加固等级和所述安全扫描报告中的问题清单生成加固请求；
22.响应于所述加固请求生成加固任务脚本；
23.执行所述加固任务脚本，以对所述待加固云主机进行加固得到所述安全加固结果。
24.在本公开的一种示例性实施例中，所述验证所述安全加固结果并输出对应的加固云主机资源，包括：
25.根据所述安全加固结果生成验证请求；
26.响应于所述验证请求生成验证任务脚本；
27.执行所述验证任务脚本，以对所述安全加固结果进行验证，并输出验证后的加固云主机资源。
28.在本公开的一种示例性实施例中，所述方法还包括：
29.响应于安全规则更新请求对所述安全规则库进行更新，并根据更新后的安全规则库生成对应的任务脚本。
30.本公开提供一种云主机安全加固装置，包括：
31.信息获取模块，用于获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；
32.扫描模块，用于扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；
33.加固模块，用于根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；
34.验证模块，用于验证所述安全加固结果并输出对应的加固云主机资源。
35.本公开提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项所述的方法。
36.本公开提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的方法。
37.本公开示例性实施例可以具有以下部分或全部有益效果：
38.在本公开示例实施方式所提供的云主机安全加固方法中，通过获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；验证所述安全加固结果并输出对应的加固云主机资源。本公开在云主机的开通过程中，通过对云主机进行安全扫描、加固、验证和交付，实现云主机的分配和安全加固一体化，可以提升云主机的安全性，以及提高云主机的安全加固效率。
39.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不
能限制本公开。
附图说明
40.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
41.图1示出了可以应用本公开实施例的一种云主机安全加固方法及装置的示例性系统架构的示意图；
42.图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图；
43.图3示意性示出了根据本公开的一个实施例的云主机安全加固方法的流程图；
44.图4示意性示出了根据本公开的一个实施例的安全加固模块的示意图；
45.图5示意性示出了根据本公开的一个实施例的云主机扫描的流程图；
46.图6示意性示出了根据本公开的一个实施例的云主机加固的流程图；
47.图7示意性示出了根据本公开的一个实施例的云主机验证、交付的流程图；
48.图8示意性示出了根据本公开的另一个实施例的云主机安全加固方法的流程图；
49.图9示意性示出了根据本公开的一个实施例的云主机安全加固装置的框图。
具体实施方式
50.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
51.此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
52.图1示出了可以应用本公开实施例的一种云主机安全加固方法及装置的示例性应用环境的系统架构的示意图。
53.如图1所示，系统架构100可以包括终端设备101、102、103中的一个或多个，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。终端设备101、102、103可以是各种电子设备，包括但不限于台式计算机、便携式计算机、智能手机和平板电脑等。应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实
现需要，可以具有任意数目的终端设备、网络和服务器。示例性的，服务器105可以是一台服务器，也可以是多个服务器组成的服务器集群，还可以是一个虚拟化平台或者是一个云计算服务中心。可选的，服务器105可以包括用于实现云管理平台的服务器。本公开实施例所提供的云主机安全加固方法一般由服务器105执行，相应地，云主机安全加固装置一般设置于服务器105中，服务器执行完可以将加固后的云资源交付至终端设备，并由终端设备向用户展示。
54.图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。
55.需要说明的是，图2示出的电子设备的计算机系统200仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
56.如图2所示，计算机系统200包括中央处理单元(cpu)201，其可以根据存储在只读存储器(rom)202中的程序或者从存储部分208加载到随机访问存储器(ram)203中的程序而执行各种适当的动作和处理。在ram 203中，还存储有系统操作所需的各种程序和数据。cpu 201、rom 202以及ram 203通过总线204彼此相连。输入/输出(i/o)接口205也连接至总线204。
57.以下部件连接至i/o接口205：包括键盘、鼠标等的输入部分206；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分207；包括硬盘等的存储部分208；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至i/o接口205。可拆卸介质211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器210上，以便于从其上读出的计算机程序根据需要被安装入存储部分208。
58.特别地，根据本公开的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分209从网络上被下载和安装，和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(cpu)201执行时，执行本技术的方法和装置中限定的各种功能。
59.作为另一方面，本技术还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如下述实施例中所述的方法。例如，所述的电子设备可以实现如图3，图5至图8所示的各个步骤等。
60.需要说明的是，本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本
公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
61.以下对本公开实施例的技术方案进行详细阐述：
62.随着云计算技术的快速普及和应用，云主机的安全问题也越来越突出。目前，针对云主机的安全防护技术仍较为落后。例如，安全加固系统没有嵌入到云主机资源申请及开通流程中，在云主机部署应用后再进行安全加固时，容易对业务造成不良影响，而且通过搭建业务测试环境验证安全加固需要耗费人力和物力成本，导致云主机加固效率较低。再例如，安全加固系统只做扫描，提供扫描结果和解决方案，并不做安全加固，或者没有根据行业标准进行安全扫描和加固，降低了云主机加固的安全性。
63.基于上述一个或多个问题，本示例实施方式提供了一种云主机安全加固方法。参考图3所示，该云主机安全加固方法可以包括以下步骤s310至步骤s340：
64.步骤s310.获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；
65.步骤s320.扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；
66.步骤s330.根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；
67.步骤s340.验证所述安全加固结果并输出对应的加固云主机资源。
68.在本公开示例实施方式所提供的云主机安全加固方法中，通过获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；验证所述安全加固结果并输出对应的加固云主机资源。本公开在云主机的开通过程中，通过对云主机进行安全扫描、加固、验证和交付，实现云主机的分配和安全加固一体化，可以提升云主机的安全性，以及提高云主机的安全加固效率。
69.下面，对于本示例实施方式的上述步骤进行更加详细的说明。
70.在步骤s310中，获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机。
71.一种示例实施方式中，用户在开通云主机时，可以在云主机开通流程中对待下发的云主机进行安全加固。示例性的，可以在云管理平台增加安全加固模块，以在云主机开通流程中对待下发的云主机进行安全加固。其中，云管理平台可以对各种资源进行高效组织划分，并为用户提供从订单到交付，从资源精细化切分、管控到监测、故障解决等服务。
72.对云主机进行安全加固前，需要先获取由云主机资源的申请信息生成的资源申请单，进而可以根据资源申请单生成未加固的云主机。示例性的，用户可以登录资源申请门户，如可以登录资源申请界面，并根据实际业务需求在资源申请界面选择云主机规格、云主机操作系统类型、云主机操作系统版本和安全加固等级等。其中，云主机的规格可以包括cpu(central processing unit，中央处理器)核数、内存等，如可以为2核4g的通用型规格，
也可以为4核8g的进阶型规格，还可以为8核16g的高性能规格。云主机操作系统类型可以是windows操作系统，也可以是linux操作系统。例如，对于windows操作系统，又可以包括server 2003 sp2(一种服务器操作系统)、server 2008 r2(一种只提供64位版本的服务器操作系统)等多个版本。安全加固等级可以按照对业务的影响分为低、中、高三个加固等级，用户可以根据实际业务需求选择对应的加固等级。
73.用户选择云主机资源后，可以向资源申请门户发送资源申请请求，该请求中可以包括该用户选择的云主机资源，如可以选择cpu和内存分别为4核8g、windows操作系统、且安全加固等级为中级的云主机。一种示例中，用户可以通过消息交互接口向资源申请门户发送资源申请请求，消息交互接口可以是http(hyper text transfer protocol，超文本传输协议)接口，也可以是https(hyper text transfer protocol over secure socket layer，超文本传输安全协议)接口等。对应的，可以通过http协议发送该请求，也可以通过https协议发送该请求。其中，https协议是以安全为目标的http协议，在http协议的基础上通过传输加密和身份认证保证了传输过程的安全性。另外，还加入ssl(secure socket layer，安全套接层)，在http协议的默认端口加入一个加密/身份验证层。https系统提供了身份验证与加密通讯方法，其被广泛用于安全敏感的通讯，例如交易支付等方面。
74.资源申请门户接收到资源申请请求后，可以对该请求中的云主机资源进行审批。审批通过后，可以根据该请求中的云主机资源生成对应的资源申请单，该资源申请单中可以包括云主机规格、云主机操作系统类型、云主机操作系统版本和安全加固等级等。资源申请门户可以通过接口将资源申请单下发至云管理平台，云管理平台可以根据资源申请单中的内容调用虚拟化软件接口，通过虚拟化软件接口操作虚拟化软件以生成未加固的云主机，并将未加固云主机下发至用户使用的终端设备中。
75.本示例实施方式中，可以利用安全加固模块在云主机开通流程中对待下发的云主机进行安全加固。参考图4所示，安全加固模块中可以包括统一安全接口模块、扫描模块、加固模块、验证模块和规则更新模块等子模块以及安全规则库。而且，安全加固模块可以通过统一安全接口模块与云管理平台对接。具体的，可以通过统一安全接口模块接收来自云管理平台的安全请求，如扫描请求、加固请求、验证请求和安全规则更新请求，进而可以根据不同的安全请求调用对应的子模块。各个子模块可以通过安全规则库生成对应的扫描任务脚本、加固任务脚本和验证任务脚本，并通过统一接口向云管理平台返回安全响应消息。另外，云管理平台可以响应于soc(security operations center，安全管理平台)管理平台的安全规则更新，通过统一安全接口模块调用安全加固模块中的规则更新模块进行安全规则库的更新。因此，安全响应消息可以包括扫描任务脚本、加固任务脚本、验证任务脚本以及规则更新结果。
76.生成未加固的云主机后，可以利用安全加固模块依次对云主机进行扫描、加固和验证。其他示例中，也可以在云主机开通流程中进行规则更新。示例性的，安全加固模块通过统一接口接收来自云管理平台的安全请求时，接口主要参数可以包括云主机ip、云主机名称、云主机操作系统类型、云主机操作系统版本、请求类型等。其中，请求类型又可以包括扫描请求、加固请求、加固请求和安全规则更新请求。
77.在步骤s320中，扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告。
78.发布待加固的云主机后，可以先对该云主机进行扫描，以根据扫描结果进行加固。
一种示例实施方式中，参考图5所示，可以根据步骤s510至步骤s530对待加固云主机进行扫描。
79.步骤s510中.根据所述云主机参数信息生成扫描请求。
80.云主机参数信息可以包括云主机ip、云主机名称、云主机操作系统类型、云主机操作系统版本等。一种示例中，可以组装云主机参数信息生成扫描请求，如生成对应的扫描请求报文，该请求报文可以是http报文，包含用于http协议交互的信息，http报文可以承载多种数据类型的数字数据，如图片、视频、html文档、软件应用程序等。http报文格式可以为定长报文格式、分隔符报文格式、xml(extensible markup language，可扩展标记语言)报文格式。保存方式可以是持久化保存方式，如可以包括保存至数据库或保存至磁盘。
81.步骤s520中.响应于所述扫描请求生成扫描任务脚本。
82.云管理平台生成扫描请求后，可以调用安全加固模块的扫描接口，扫描接口可以是http接口、https接口、websocket接口等。一种示例中，可以调用扫描模块的http接口，http接口是基于http协议的开发接口，http协议又是建立在tcp(transmission control protocol，传输控制协议)的基础上。例如，当浏览器需要从服务器获取网页数据的时候，会发出一次http请求，可以通过tcp建立与服务器连接的通道，当本次请求需要的数据返回完毕后，会断开与tcp的连接。
83.扫描模块接收到来自云管理平台的扫描请求后，可以根据扫描请求中的云主机参数信息生成扫描任务清单，并根据扫描任务清单查询预设的安全规则库，生成对应的扫描任务脚本。其中，安全规则库为安全加固模块的核心，安全规则库中可以保存所有的安全规范，如扫描规则、加固规则和验证规则。该安全规则库可以定期从soc管理平台获取最新的规范要求，经过安全专家的审核、测试后即可最终落库。
84.参考表1所示，表1示意性的给出了安全规则库的一种结构。
85.表1
[0086][0087]
在表1中所示的安全规则库中，可以包括规则类型、安全加固等级、操作系统类型、操作系统版本、目标问题、问题详细描述、脚本以及更新时间。其中，规则类型可以包括扫描规则、加固规则和验证规则，安全加固等级为中级，操作系统为linux操作系统，操作系统版本为redhat6.5(红帽子操作系统)。目标问题为账目口令复杂度，表示对待加固的云主机配置的账目口令进行扫描、加固和验证。该目标问题的详细描述为密码长度及大小写字母数据特殊符号。与该目标问题对应的扫描任务脚本可以是：account_scan.sh，对应的加固任务脚本可以是：account_safty.sh，对应的验证任务脚本可以是：account_verify.sh。还可以看出该安全规则库的最近更新时间为2021年2月26日。其他示例中，在安全规则库的其他结构中，安全加固等级可以为低、中、高三个加固等级，操作系统也可以为windows操作系
统，操作系统版本也可以为server 2003sp2，对此本公开不做具体限定。
[0088]
示例性的，当扫描任务清单中的安全加固等级为中级，操作系统为linux操作系统，操作系统版本为redhat6.5，目标问题为账目口令复杂度，该目标问题的详细描述为密码长度及大小写字母数据特殊符号。根据该扫描任务清单查询预设的安全规则库时，可以生成对应的扫描任务脚本，为account_scan.sh。
[0089]
在步骤s530中.执行所述扫描任务脚本，得到所述待加固云主机的安全扫描报告，所述安全扫描报告包括扫描得到的问题清单。
[0090]
扫描模块可以将生成的扫描任务脚本通过扫描接口返回至云管理平台。云管理平台执行扫描任务脚本后，可以得到云主机的安全扫描报告，该安全扫描报告可以包含扫描出来的问题清单。
[0091]
在步骤s330中，根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果。
[0092]
对云主机进行扫描后，可以根据安全扫描报告对该云主机进行相应等级的加固。一种示例实施方式中，参考图6所示，可以根据步骤s610至步骤s630对待加固云主机进行加固。
[0093]
步骤s610.根据所述云主机参数信息、所述安全加固等级和所述安全扫描报告中的问题清单生成加固请求。
[0094]
可以将用户选择的云主机参数信息如云主机ip、云主机名称、云主机操作系统类型、云主机操作系统版本等，安全加固等级如中级，以及对该云主机进行扫描时得到的问题清单进行组装，生成加固请求，同时可以产生加固清单。需要说明的是，不同的安全加固等级产生的加固清单也是不同的。
[0095]
步骤s620.响应于所述加固请求生成加固任务脚本。
[0096]
云管理平台生成加固请求后，可以调用安全加固模块的加固接口，加固接口可以是http接口、https接口等，通过该接口可以将加固清单发送至加固模块。加固模块响应于云管理平台的扫描请求，可以根据加固清单生成对应的加固任务清单，并根据加固任务清单查询预设的安全规则库，生成对应的加固任务脚本。
[0097]
示例性的，当加固任务清单中的安全加固等级为中级，操作系统为linux操作系统，操作系统版本为redhat6.5，目标问题为账目口令复杂度，该目标问题的详细描述为密码长度及大小写字母数据特殊符号。根据该加固任务清单查询预设的安全规则库时，可以生成对应的加固任务脚本，为account_safty.sh。
[0098]
步骤s630.执行所述加固任务脚本，以对所述待加固云主机进行加固得到所述安全加固结果。
[0099]
扫描模块可以将生成的扫描任务脚本通过扫描接口返回至云管理平台。云管理平台执行扫描任务脚本以对云主机进行安全加固，加固完成后，可以输出安全加固结果。
[0100]
在步骤s340中，验证所述安全加固结果并输出对应的加固云主机资源。
[0101]
对云主机依次进行扫描、加固后，云管理平台可以将安全加固模块返回的安全加固结果进行验证，以输出最终的安全加固结果。一种示例实施方式中，参考图7所示，可以根据步骤s710至步骤s730对加固后的云主机资源进行验证。
[0102]
步骤s710.根据所述安全加固结果生成验证请求。
[0103]
云管平台可以将将用户选择的云主机参数信息如云主机ip、云主机名称、云主机操作系统类型、云主机操作系统版本等，安全加固等级如中级，以及安全加固模块返回的安全加固结果进行组装，生成验证请求，以根据该验证请求调用安全加固模块。
[0104]
步骤s720.响应于所述验证请求生成验证任务脚本。
[0105]
云管理平台生成验证请求后，可以调用安全加固模块的验证接口，验证接口可以是http接口、https接口等，验证模块可以通过该接口响应来自云管理平台的验证请求。例如，扫描模块接收到来自云管理平台的验证请求后，可以根据验证请求中的云主机安全加固结果生成验证任务清单，并根据验证任务清单查询预设的安全规则库，生成对应的验证任务脚本。
[0106]
示例性的，当验证任务清单中的安全加固等级为中级，操作系统为linux操作系统，操作系统版本为redhat6.5，目标问题为账目口令复杂度，该目标问题的详细描述为密码长度及大小写字母数据特殊符号。根据该验证任务清单查询预设的安全规则库时，可以生成对应的验证任务脚本，为account_verify.sh。
[0107]
步骤s730.执行所述验证任务脚本，以对所述安全加固结果进行验证，并输出验证后的加固云主机资源。
[0108]
验证模块可以将生成的验证任务脚本通过验证接口返回至云管理平台。云管理平台执行验证任务脚本以对安全加固结果进行安全验证。例如，可以对加固后的云主机的安全性进行验证。验证完成后，可以输出最终的安全加固结果，以及输出加固后的云主机资源。该示例中，云管理平台可以根据安全扫描、安全加固、安全验证三个环节输出的结果，得到云主机的交付报告，实现了安全云主机的全流程自动下发。
[0109]
一种示例实施方式中，安全加固模块可以响应于来自云管理平台的安全规则更新请求对安全规则库进行更新，并根据更新后的安全规则库生成对应的任务脚本。例如，云管理平台可以定期从soc管理平台获取最新的安全规范，并将更新后的安全规则通过安全加固模块的统一接口下发至规则更新模块，最后可以由安全专家进行审核、测试，将通过审核、测试的安全规则下发至安全规则库。安全加固模块可以利用更新后的安全规则响应于不同的安全请求以生成不同的任务脚本，对下发的云主机进行安全加固。
[0110]
该方法中，通过将一种用户无感知的原生安全云主机加固装置即安全加固模块嵌入云管开通流程中，实现了云主机分配和安全加固的一体化流水作业，且对原有的云主机开通流程并无影响。该安全加固模块可以提供标准化接口，便于云管理平台调用，以将该安全加固模块加入到云主机开通下发流程中。可以从源头上提供安全云主机，解决了云主机的安全管理问题。需要说明的是，本方法提供的标准化接口可以供各种云管理平台调用，即本方法中的安全加固模块可以与任何一种云管理平台进行适配，可以在云主机交付之前进行安全加固和其他安全功能扩展，集成简单快速。
[0111]
另外，本方法中的安全加固模块可以对接soc管理平台，并根据统一的安全标准对云主机进行安全扫描、加固、验证和交付，形成一体化流水作业。还可以根据soc管理平台更新用于加固云主机的安全规则库，实现了安全加固的集约化管理更新。
[0112]
一种示例实施方式中，参考图8所示，可以根据步骤s801至步骤s813对云主机进行安全加固。
[0113]
步骤s801.发起资源申请。用户可以登录云主机资源申请界面，并根据实际业务需
求选择云主机资源。
[0114]
步骤s802.审批是否通过。资源申请门户可以对该用户选择的云主机资源进行审批。当审批通过时，执行步骤s803，当审批未通过时，说明无法向该用户分配云主机资源，同时可以结束云主机安全加固的流程；
[0115]
步骤s803.生成资源申请单：审批通过时，资源申请门户可以根据用户选择的云主机资源生成对应的资源申请单；
[0116]
步骤s804.通过调用虚拟化软件接口生成未加固的云主机。资源申请门户可以通过接口将资源申请单下发至云管理平台，云管理平台可以根据资源申请单内容调用虚拟化软件接口，生成未加固的云主机，并完成未加固云主机的自动下发；
[0117]
步骤s805.资源申请单是否选择安全加固：云管理平台可以根据资源申请单确认用户是否选择对云主机进行安全加固。当用户需要对云主机进行安全加固时，执行步骤s806，当用户不需要对云主机进行安全加固时，执行步骤s812；
[0118]
步骤s806.调用安全加固接口。云管理平台可以根据不同的安全请求调用不同的安全加固接口，如发送扫描请求时，可以调用安全加固模块的扫描接口；
[0119]
步骤s807.调用对应的子模块。如可以接收来自云管理平台的扫描请求时，可以调用安全加固模块的扫描模块，以对未加固的云主机进行扫描；
[0120]
步骤s808.生成任务脚本。如扫描模块接收到来自云管理平台的扫描请求后，可以根据扫描请求中的云主机参数信息生成扫描任务清单，并根据扫描任务清单查询预设的安全规则库，生成对应的扫描任务脚本。
[0121]
步骤s809.执行任务脚本，并输出安全加固结果。如可以执行扫描任务脚本，得到待加固云主机的安全扫描报告。类似的，可以依次生成加固任务脚本和验证任务脚本，通过执行任务脚本，输出最终的安全加固结果；
[0122]
步骤s810.返回生成主机加固报告及安全评分。同时，云管理平台可以将加固云主机资源下发至资源申请门户以供用户使用；
[0123]
步骤s811.得到加固云主机资源以及安全报告、安全评分，流程结束。
[0124]
步骤s812.返回未加固的云主机。当用户不需要对云主机进行加固时，云管理平台可以直接将未加固的云主机下发至资源申请门户以供用户使用；
[0125]
步骤s813.得到未加固的云主机资源，流程结束。
[0126]
在本公开示例实施方式所提供的云主机安全加固方法中，通过获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；验证所述安全加固结果并输出对应的加固云主机资源。本公开在云主机的开通过程中，通过对云主机进行安全扫描、加固、验证和交付，实现云主机的分配和安全加固一体化，可以提升云主机的安全性，以及提高云主机的安全加固效率。
[0127]
应当注意，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
[0128]
进一步的，本示例实施方式中，还提供了一种云主机安全加固装置。该装置可以应
用于一服务器或终端设备。参考图9所示，该云主机安全加固装置900可以包括信息获取模块910、扫描模块920、加固模块930以及验证模块940，其中：
[0129]
信息获取模块910，用于获取云主机资源的申请信息，并根据所述申请信息发布待加固云主机；
[0130]
扫描模块920，用于扫描所述待加固云主机，得到所述待加固云主机的安全扫描报告；
[0131]
加固模块930，用于根据所述申请信息和所述安全扫描报告对所述待加固云主机进行加固，得到安全加固结果；
[0132]
验证模块940，用于验证所述安全加固结果并输出对应的加固云主机资源。
[0133]
在一种可选的实施方式中，信息获取模块910包括：
[0134]
申请单生成模块，用于获取由所述云主机资源的申请信息生成的资源申请单；
[0135]
待加固主机发布模块，用于根据所述资源申请单调用虚拟化软件接口，并通过所述虚拟化软件接口发布所述待加固云主机。
[0136]
在一种可选的实施方式中，所述云主机资源的申请信息包括云主机参数信息；扫描模块920包括：
[0137]
扫描请求生成模块，用于根据所述云主机参数信息生成扫描请求；
[0138]
扫描脚本生成模块，用于响应于所述扫描请求生成扫描任务脚本；
[0139]
扫描报告生成模块，用于执行所述扫描任务脚本，得到所述待加固云主机的安全扫描报告，所述安全扫描报告包括扫描得到的问题清单。
[0140]
在一种可选的实施方式中，扫描脚本生成模块包括：
[0141]
扫描清单生成子模块，用于根据所述扫描请求中的云主机参数信息生成扫描任务清单；
[0142]
扫描脚本生成子模块，用于根据所述扫描任务清单查询预设的安全规则库，生成对应的扫描任务脚本。
[0143]
在一种可选的实施方式中，所述云主机资源的申请信息包括安全加固等级；加固模块930包括：
[0144]
加固请求生成模块，用于根据所述云主机参数信息、所述安全加固等级和所述安全扫描报告中的问题清单生成加固请求；
[0145]
加固脚本生成模块，用于响应于所述加固请求生成加固任务脚本；
[0146]
加固结果获取模块，用于执行所述加固任务脚本，以对所述待加固云主机进行加固得到所述安全加固结果。
[0147]
在一种可选的实施方式中，验证模块940包括：
[0148]
验证请求生成模块，用于根据所述安全加固结果生成验证请求；
[0149]
验证脚本生成模块，用于响应于所述验证请求生成验证任务脚本；
[0150]
加固资源交付模块，用于执行所述验证任务脚本，以对所述安全加固结果进行验证，并输出验证后的加固云主机资源。
[0151]
在一种可选的实施方式中，云主机安全加固装置900还包括：
[0152]
规则库更新模块，用于响应于安全规则更新请求对所述安全规则库进行更新，并根据更新后的安全规则库生成对应的任务脚本。
[0153]
上述云主机安全加固装置中各模块的具体细节已经在对应的云主机安全加固方法中进行了详细的描述，因此此处不再赘述。
[0154]
上述装置中各模块可以是通用处理器，包括：中央处理器、网络处理器等；还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。各模块也可以由软件、固件等形式来实现。上述装置中的各处理器可以是独立的处理器，也可以集成在一起。
[0155]
应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0156]
应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。