一种基于多域隔离架构的安全管理方法和系统与流程

本发明提出了一种基于多域隔离架构的安全管理方法和系统，属于安全管理。

背景技术：

1、随着互联网的发展和信息化程度的提高，企业对信息安全的需求越来越高。当前的安全管理方法主要是基于单一域隔离的方式，即将整个网络分为内网和外网两个域，并通过防火墙等设备进行隔离和管理。但是，这种方法无法满足一些特殊场景下的安全需求，例如需要同时管理多个部门或多个项目的情况。

2、因此，需要一种基于多域隔离架构的安全管理方法，能够将网络划分为多个域，并在不同的域之间进行隔离和管理，以提高安全性和管理效率。

技术实现思路

1、本发明提供了一种基于多域隔离架构的安全管理方法和系统，用以解决linux操作系统不具有多域隔离架构的问题，所采取的技术方案如下：

2、一种基于多域隔离架构的安全管理方法，所述安全管理方法包括：

3、获取安全管理对应的目标对象，并对所述目标对象进行划分，获取所述目标对象对应的多个数据区域；

4、针对每个所述数据区域，设置每个所述数据区域对应的安全访问权限；

5、针对每个所述数据区域，设置各个所述数据区域之间的安全隔离策略，并利用所述安全隔离策略对各个所述数据区域进行数据隔离；

6、所述每个所述数据区域所产生的数据进行数据监测和数据审计，获得数据监测结果和数据审计结果；

7、针对每个数据区域设安全更新周期，根据所述安全更新周期对每个所述数据区域进行安全策略更新。

8、进一步地，获取安全管理对应的目标对象，并对所述目标对象进行划分，获取所述目标对象对应的多个数据区域，包括：

9、获取所述目标对象产生的所有数据，并根据所述所有数据进行类型划分，获得多个数据类型；

10、依次提取所述数据类型，并获得所述数据类型对应的访问需求；

11、根据所述数据类型和所述数据类型对应的访问需求，对每种数据类型进行二次划分，获得数据分类子集；

12、根据所述数据分类子集设置一个数据区域，所述数据区域与所述数据分类子集一一对应；

13、对每个所述数据区域进行命名，并设置每个所述数据区域的数据存储路径和数据存储位置。

14、进一步地，针对每个所述数据区域，设置每个所述数据区域对应的安全访问权限，包括：

15、识别将要访问每个数据区域中的数据的用户和应用程序；确定每个用户和应用程序对每个数据区域中的数据的访问级别；

16、根据所述用户和应用程序对每个数据区域中的数据的访问级别生成访问控制列表，并根据所述访问级别设置所述所述用户和应用程序对每个数据区域的访问权限；

17、设置访问权限检测周期，根据所述访问权限检测周期定期审查每个所述用户和应用程序对于每个数据区域的访问权限，并对访问权限漏洞进行更新和修复。

18、进一步地，针对每个所述数据区域，设置各个所述数据区域之间的安全隔离策略，并利用所述安全隔离策略对各个所述数据区域进行数据隔离，包括：

19、提取每个所述数据区域的隔离需求，生成每个数据区域对应的隔离需求列表；

20、根据所述每个数据区域对应的隔离需求列表设置每个数据区域之间的防火墙及所述防火墙的规则；

21、设置防火墙检测周期，根据所述防火墙检测周期定期审查每个所述用户和应用程序对于每个数据区域之间的防火墙，并对防火墙漏洞进行更新和修复。

22、进一步地，所述每个所述数据区域所产生的数据进行数据监测和数据审计，获得数据监测结果和数据审计结果，包括：

23、提取每个所述数据区域的监测及审计目标；

24、根据每个所述数据区域的监测及审计目标确定需要监测和审计的数据区域的范围；其中，所述数据区域的范围包括所述数据区域内的数据库、文件和文件夹；

25、设置监测及审计周期，在所述监测及审计周期内实时搜集所述数据区域的范围内的目标数据；

26、在所述监测及审计周期内对所述目标数据进行监测和审计，获得数据监测结果和数据审计结果。

27、进一步地，针对每个数据区域设安全更新周期，根据所述安全更新周期对每个所述数据区域进行安全策略更新，包括：

28、根据业务需求和安全风险评估需求确定每个数据区域的安全更新周期；

29、在所述每个数据区域的安全更新周期搜集每个所述数据区域的安全更新信息；

30、对所述安全更新信息进行安全重要性评估，获取安全重要性评估结果，并根据所述安全重要性评估结果确定是否需要在所述数据区域中进行更新；

31、在确定需要进行更新的情况下，根据所述安全更新信息的更新重要性，制定并实施所述安全更新信息对应的安全更新策略，利用所述安全更新策略对每个数据区域中的安全更新信息进行安全更新。

32、一种基于多域隔离架构的安全管理系统，所述安全管理系统包括：

33、目标对象获取模块，用于获取安全管理对应的目标对象，并对所述目标对象进行划分，获取所述目标对象对应的多个数据区域；

34、安全访问权限设置模块，用于针对每个所述数据区域，设置每个所述数据区域对应的安全访问权限；

35、安全隔离模块，用于针对每个所述数据区域，设置各个所述数据区域之间的安全隔离策略，并利用所述安全隔离策略对各个所述数据区域进行数据隔离；

36、监测审计模块，用于所述每个所述数据区域所产生的数据进行数据监测和数据审计，获得数据监测结果和数据审计结果；

37、安全更新模块，用于针对每个数据区域设安全更新周期，根据所述安全更新周期对每个所述数据区域进行安全策略更新。

38、进一步地，所述目标对象获取模块包括：

39、数据获取模块，用于获取所述目标对象产生的所有数据，并根据所述所有数据进行类型划分，获得多个数据类型；

40、第一提取模块，用于依次提取所述数据类型，并获得所述数据类型对应的访问需求；

41、二次划分模块，用于根据所述数据类型和所述数据类型对应的访问需求，对每种数据类型进行二次划分，获得数据分类子集；

42、区域设置模块，用于根据所述数据分类子集设置一个数据区域，所述数据区域与所述数据分类子集一一对应；

43、命名模块，用于对每个所述数据区域进行命名，并设置每个所述数据区域的数据存储路径和数据存储位置。

44、其中，所述安全访问权限设置模块包括：

45、识别模块，用于识别将要访问每个数据区域中的数据的用户和应用程序；这些用户和应用程序应该被分组并归类，以便为它们分配适当的访问权限。

46、访问级别确定模块，用于确定每个用户和应用程序对每个数据区域中的数据的访问级别；

47、访问权限设置模块，用于根据所述用户和应用程序对每个数据区域中的数据的访问级别生成访问控制列表，并根据所述访问级别设置所述所述用户和应用程序对每个数据区域的访问权限；

48、第一周期设置模块，用于设置访问权限检测周期，根据所述访问权限检测周期定期审查每个所述用户和应用程序对于每个数据区域的访问权限，并对访问权限漏洞进行更新和修复。

49、所述安全隔离模块包括：

50、第二提取模块，用于提取每个所述数据区域的隔离需求，生成每个数据区域对应的隔离需求列表；

51、防火墙设置模块，用于根据所述每个数据区域对应的隔离需求列表设置每个数据区域之间的防火墙及所述防火墙的规则；

52、第二周期设置模块，用于设置防火墙检测周期，根据所述防火墙检测周期定期审查每个所述用户和应用程序对于每个数据区域之间的防火墙，并对防火墙漏洞进行更新和修复。

53、所述监测审计模块包括：

54、第三提取模块，用于提取每个所述数据区域的监测及审计目标；

55、区域范围设置模块，用于根据每个所述数据区域的监测及审计目标确定需要监测和审计的数据区域的范围；其中，所述数据区域的范围包括所述数据区域内的数据库、文件和文件夹；

56、第三周期设置模块，用于设置监测及审计周期，在所述监测及审计周期内实时搜集所述数据区域的范围内的目标数据；

57、监测及审计模块，用于在所述监测及审计周期内对所述目标数据进行监测和审计，获得数据监测结果和数据审计结果。

58、所述安全更新模块包括：

59、第四周期设置模块，用于根据业务需求和安全风险评估需求确定每个数据区域的安全更新周期；

60、安全更新信息搜集模块，用于在所述每个数据区域的安全更新周期搜集每个所述数据区域的安全更新信息；

61、更新判断模块，用于对所述安全更新信息进行安全重要性评估，获取安全重要性评估结果，并根据所述安全重要性评估结果确定是否需要在所述数据区域中进行更新；

62、更新模块，用于在确定需要进行更新的情况下，根据所述安全更新信息的更新重要性，制定并实施所述安全更新信息对应的安全更新策略，利用所述安全更新策略对每个数据区域中的安全更新信息进行安全更新。

63、本发明有益效果：

64、本发明提出的一种基于多域隔离架构的安全管理方法和系统在linux操作系统的基础上，在内核中添加多域隔离功能，将不同用户、不同应用的数据完全分离，能够保证嵌入式操作系统的安全，防止因系统被攻破导致的安全问题。同时，提高目标对象的安全性和可控性。通过对目标对象进行划分，并设置每个数据区域的安全访问权限，可以有效防止未经授权的访问。通过设置数据隔离策略，可以避免数据泄露和数据污染等问题。通过数据监测和数据审计，可以及时发现异常行为，并采取措施进行处理。通过设置安全更新周期和对每个数据区域进行安全策略更新，可以及时应对新的安全威胁，保证系统的安全性和稳定性。