虚拟机的安全接入控制实现方法和系统的制作方法

虚拟机的安全接入控制实现方法和系统的制作方法
【专利摘要】本发明实施例公开了一种虚拟机的安全接入控制实现方法和系统，其中，方法包括：新建虚拟机时，虚拟机管理平台将该新建虚拟机的属性信息发送给策略管理控制器；策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使其只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；若新建虚拟机未通过安全合规性，安全基线管理系统利用最新安全配置策略对新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器；策略管理控制器通知虚拟防火墙或者虚拟交换机取消对新建虚拟机的通信权限限制。本发明实施例可以实现对新创建的虚拟机进行安全合规性检查。
【专利说明】虚拟机的安全接入控制实现方法和系统

【技术领域】
[0001]本发明涉及云计算安全领域，尤其是一种虚拟机的安全接入控制实现方法和系统。

【背景技术】
[0002]云计算的弹性业务要求快速的进行虚拟机部署。目前，通常通过克隆虚拟机镜像模版的方式对新建虚拟机进行部署。如果虚拟机镜像模版创建时间较长，可能存在未及时更新的安全补丁，或者系统配置与现有安全策略不符合。如果根据这个镜像模版创建的虚拟机即时启动接入网络，可能存在安全风险。
[0003]为了解决虚拟机存在的安全风险问题，需要对新创建的虚拟机进行安全合规性检查，通过后才允许接入网络，这种技术属于终端安全接入控制技术。
[0004]现有传统的终端安全接入控制技术方案，目前主要有基于客户端/服务器(C/S)的使用802.1x协议实现终端接入控制实现方式，和路由策略控制实现方式。然而，在实现本发明的过程中，发明人发现上述两种实现方式并不适用于虚拟机环境:
[0005]上述两种实现方式都需要安装客户端，用于上报网络属性及安全状态信息，以触发服务器进行安全检查。而虚拟机业务客户一般不喜欢安装客户端；
[0006]基于802.1x协议实现终端接入控制实现方式对虚拟交换机性能影响较大，一般不建议开启；
[0007]路由策略控制方式无法控制同一物理机上虚拟机之间的横向流量互访，不适用于虚拟机环境。


【发明内容】

[0008]本发明实施例所要解决的技术问题是:提供一种虚拟机的安全接入控制实现方法和系统，以实现对新创建的虚拟机进行安全合规性检查。
[0009]本发明实施例提供的一种虚拟机的安全接入控制实现方法，包括:
[0010]新建虚拟机时，虚拟机管理平台将该新建虚拟机的属性信息发送给策略管理控制器；所述新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示虚拟机所在位置的网络属性信息；
[0011]策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；
[0012]安全基线管理系统对所述新建虚拟机进行安全合规性检查；
[0013]在所述新建虚拟机未通过安全合规性检查时，安全基线管理系统利用最新安全配置策略对所述新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器；
[0014]策略管理控制器通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制。
[0015]上述方法的一个具体实施例中，所述策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限包括:
[0016]策略管理控制器通知虚拟防火墙或者虚拟交换机，将所述新建虚拟机放到隔离区。
[0017]上述方法的一个具体实施例中，所述策略管理控制器通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制包括:
[0018]策略管理控制器通知虚拟防火墙或者虚拟交换机，将此新建虚拟机放到所属工作区域，以与其它通信实体正常通信。
[0019]上述方法的一个具体实施例中，所述安全基线管理系统对所述新建虚拟机进行安全合规性检查包括:
[0020]所述安全基线管理系统检查所述新建虚拟机在安全策略、系统配置与业务功能方面是否达到最新安全配置策略要求的标准；所述新建虚拟机在安全策略、系统配置与业务功能方面未达到或未完全达到最新安全配置策略要求的标准时，所述新建虚拟机未通过安全合规性检查。
[0021]上述方法的一个具体实施例中，所述安全基线管理系统利用最新安全配置策略对所述新建虚拟机的安全配置进行修复包括:
[0022]所述安全基线管理系统利用最新安全配置策略，对所述新建虚拟机未达到最新安全配置策略要求的标准的方面进行修复。
[0023]本发明实施例提供的一种虚拟机的安全接入控制实现系统，包括:
[0024]虚拟机管理平台，用于管理虚拟机，存储有各虚拟机的属性信息；以及在检测到新建虚拟机时，将该新建虚拟机的属性信息发送给策略管理控制器；所述新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示虚拟机所在位置的网络属性信息；
[0025]策略管理控制器，用于通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；以及接收到安全基线管理系统发送的修复完毕的通知消息后，通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制；
[0026]安全基线管理系统，用于对所述新建虚拟机进行安全合规性检查；在所述新建虚拟机未通过安全合规性检查时，利用最新安全配置策略对所述新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器；
[0027]虚拟防火墙或者虚拟交换机，用于根据策略管理控制器的通知限制该新建虚拟机的通信权限或者取消对所述新建虚拟机的通信权限限制。
[0028]上述系统的一个具体实施例中，所述策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限时，具体通知虚拟防火墙或者虚拟交换机，将所述新建虚拟机放到隔离区；
[0029]所述虚拟防火墙或者虚拟交换机，具体用于将所述新建虚拟机放到隔离区。
[0030]上述系统的一个具体实施例中，所述策略管理控制器通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制时，具体通知虚拟防火墙或者虚拟交换机，将此新建虚拟机放到所属工作区域；
[0031]述虚拟防火墙或者虚拟交换机，具体用于将此新建虚拟机放到所属工作区域以与其它通信实体正常通信。
[0032]上述系统的一个具体实施例中，所述安全基线管理系统对所述新建虚拟机进行安全合规性检查时，具体检查所述新建虚拟机在安全策略、系统配置与业务功能方面是否达到最新安全配置策略要求的标准；所述新建虚拟机在安全策略、系统配置与业务功能方面未达到或未完全达到最新安全配置策略要求的标准时，所述新建虚拟机未通过安全合规性检查。
[0033]上述系统的一个具体实施例中，所述安全基线管理系统利用最新安全配置策略对所述新建虚拟机的安全配置进行修复时，具体利用最新安全配置策略，对所述新建虚拟机未达到最新安全配置策略要求的标准的方面进行修复。
[0034]基于本发明上述实施例提供的虚拟机的安全接入控制实现方法和系统，新建虚拟机时，虚拟机管理平台可以将该新建虚拟机的属性信息发送给策略管理控制器，策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；安全基线管理系统对该新建虚拟机进行安全合规性检查；在新建虚拟机未通过安全合规性检查时，安全基线管理系统利用最新安全配置策略对该新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器，由策略管理控制器通知虚拟防火墙或者虚拟交换机取消对该新建虚拟机的通信权限限制。与现有技术相比，本发明实施例无需安装客户端，通过与虚拟机管理系统联动，实时感知虚拟机状态，并智能调用安全设备和系统能力，通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，在新建虚拟机通过安全合规性检查和修复后，才允许新建虚拟机拥有正常的通信权限，从而实现了新建虚拟机安全策略合规性的自动管理。
[0035]下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

【专利附图】

【附图说明】
[0036]构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理。
[0037]参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中:
[0038]图1为本发明虚拟机的安全接入控制实现方法一个实施例的流程图。
[0039]图2为本发明虚拟机的安全接入控制实现方法另一个实施例的流程图。
[0040]图3为本发明虚拟机的安全接入控制实现系统一个实施例的结构示意图。

【具体实施方式】
[0041]现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0042]同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0043]以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
[0044]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。
[0045]在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
[0046]应注意到:相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0047]图1为本发明虚拟机的安全接入控制实现方法一个实施例的流程图。如图1所示，该实施例虚拟机的安全接入控制实现方法包括:
[0048]110，新建虚拟机时，虚拟机管理平台将该新建虚拟机的属性信息发送给策略管理控制器。
[0049]其中，新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示该新建虚拟机所在位置的网络属性信息。新建虚拟机的标识信息例如虚拟机的名称、虚拟机标识(ID)、互联网协议(IP)地址、介质接入控制(MAC)地址等全局唯一标识一个虚拟机的信息。工作状态信息包括:新建、挂起等表示虚拟机当前状态的信息。新建虚拟机所在位置例如该新建虚拟机位于哪个物理机上、该物理机的网络位置等信息。
[0050]120，策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复。
[0051]130,安全基线管理系统对新建虚拟机进行安全合规性检查。
[0052]140，在新建虚拟机未通过安全合规性检查时，安全基线管理系统利用最新安全配置策略对新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器。
[0053]其中的最新安全配置策略，包括对虚拟机在安全策略、系统配置与业务功能等各方面参数的配置要求，该最新安全配置策略由管理员配置并能及时更新。利用最新安全配置策略对新建虚拟机的安全配置进行修复，即将新建虚拟机按照最新安全配置策略在安全策略、系统配置与业务功能等各方面参数的配置要求进行配置。
[0054]150，策略管理控制器通知虚拟防火墙或者虚拟交换机取消对新建虚拟机的通信权限限制。
[0055]本发明上述实施例提供的虚拟机的安全接入控制实现方法，新建虚拟机时，虚拟机管理平台可以将该新建虚拟机的属性信息发送给策略管理控制器，策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；安全基线管理系统对该新建虚拟机进行安全合规性检查；在新建虚拟机未通过安全合规性检查时，安全基线管理系统利用最新安全配置策略对该新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器，由策略管理控制器通知虚拟防火墙或者虚拟交换机取消对该新建虚拟机的通信权限限制。与现有技术相比，本发明实施例无需安装客户端，通过与虚拟机管理系统联动，实时感知虚拟机状态，并智能调用安全设备和系统能力，通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，在新建虚拟机通过安全合规性检查和修复后，才允许新建虚拟机拥有正常的通信权限，从而实现了新建虚拟机安全策略合规性的自动管理。
[0056]图2为本发明虚拟机的安全接入控制实现方法另一个实施例的流程图。如图2所示，该实施例虚拟机的安全接入控制实现方法包括:
[0057]210，新建虚拟机时，虚拟机管理平台将该新建虚拟机的属性信息发送给策略管理控制器。
[0058]其中，新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示虚拟机所在位置的网络属性信息。
[0059]220，策略管理控制器通知虚拟防火墙或者虚拟交换机，将新建虚拟机放到隔离区，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复。
[0060]230，安全基线管理系统检查新建虚拟机在安全策略、系统配置与业务功能方面是否达到最新安全配置策略要求的标准。
[0061]若新建虚拟机在安全策略、系统配置与业务功能方面未达到或未完全达到最新安全配置策略要求的标准时，新建虚拟机未通过安全合规性检查，执行240的操作。否则，若新建虚拟机在安全策略、系统配置与业务功能方面均达到最新安全配置策略要求的标准，新建虚拟机未通过安全合规性检查，不执行本实施例的操作，由于新建虚拟机本身就处于工作区域，可以与其它通信实体正常通信。
[0062]240，安全基线管理系统利用最新安全配置策略，对新建虚拟机未达到最新安全配置策略要求的标准的方面进行修复，并在修复完毕后通知策略管理控制器。
[0063]250，策略管理控制器通知虚拟防火墙或者虚拟交换机，将此新建虚拟机放到所属工作区域，以与其它通信实体正常通信。
[0064]本发明上述实施例提供的虚拟机的安全接入控制实现方法中，自动将新建虚拟机加入到限制访问区域一隔离区，通过安全合规性检查后，才允许新建虚拟机加入到正常的工作区域，从而实现了对新建虚拟机安全策略合规性的自动管理。
[0065]图3为本发明虚拟机的安全接入控制实现系统一个实施例的结构示意图。该实施例的安全接入控制实现系统可用于实现本发明上述各安全接入控制实现方法实施例。如图3所示，其包括虚拟机管理平台、策略管理控制器、安全基线管理系统、以及虚拟防火墙或者虚拟交换机。其中:
[0066]虚拟机管理平台，用于管理虚拟机，存储有各虚拟机的属性信息；以及在检测到新建虚拟机时，将该新建虚拟机的属性信息发送给策略管理控制器；新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示虚拟机所在位置的网络属性信息。
[0067]策略管理控制器，用于通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；以及接收到安全基线管理系统发送的修复完毕的通知消息后，通知虚拟防火墙或者虚拟交换机取消对新建虚拟机的通信权限限制。
[0068]安全基线管理系统，用于对新建虚拟机进行安全合规性检查；在新建虚拟机未通过安全合规性检查时，利用最新安全配置策略对新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器。
[0069]虚拟防火墙或者虚拟交换机，用于根据策略管理控制器的通知限制该新建虚拟机的通信权限或者取消对新建虚拟机的通信权限限制。其中，虚拟防火墙或者虚拟交换机为具有对虚拟机进行通信权限限制的设备，也可以通过其它具有通信权限限制的设备实现。
[0070]本发明上述实施例提供的虚拟机的安全接入控制实现系统，新建虚拟机时，虚拟机管理平台可以将该新建虚拟机的属性信息发送给策略管理控制器，策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；安全基线管理系统对该新建虚拟机进行安全合规性检查；在新建虚拟机未通过安全合规性检查时，安全基线管理系统利用最新安全配置策略对该新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器，由策略管理控制器通知虚拟防火墙或者虚拟交换机取消对该新建虚拟机的通信权限限制。与现有技术相比，本发明实施例无需安装客户端，通过与虚拟机管理系统联动，实时感知虚拟机状态，并智能调用安全设备和系统能力，通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，在新建虚拟机通过安全合规性检查和修复后，才允许新建虚拟机拥有正常的通信权限，从而实现了新建虚拟机安全策略合规性的自动管理。根据本发明虚拟机的安全接入控制实现系统实施例的一个具体示例而非限制，策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限时，具体可以是通知虚拟防火墙或者虚拟交换机，将新建虚拟机放到隔离区。相应地，虚拟防火墙或者虚拟交换机具体用于将新建虚拟机放到隔离区。
[0071]根据本发明虚拟机的安全接入控制实现系统实施例的另一个具体示例而非限制，策略管理控制器通知虚拟防火墙或者虚拟交换机取消对新建虚拟机的通信权限限制时，具体可以是通知虚拟防火墙或者虚拟交换机，将此新建虚拟机放到所属工作区域。相应地，述虚拟防火墙或者虚拟交换机具体用于将此新建虚拟机放到所属工作区域以与其它通信实体正常通信。
[0072]根据本发明虚拟机的安全接入控制实现系统实施例的又一个具体示例而非限制，安全基线管理系统对新建虚拟机进行安全合规性检查时，具体可以检查新建虚拟机在安全策略、系统配置与业务功能方面是否达到最新安全配置策略要求的标准；新建虚拟机在安全策略、系统配置与业务功能方面未达到或未完全达到最新安全配置策略要求的标准时，新建虚拟机未通过安全合规性检查。
[0073]根据本发明虚拟机的安全接入控制实现系统实施例的再一个具体示例而非限制，安全基线管理系统利用最新安全配置策略对新建虚拟机的安全配置进行修复时，具体可以利用最新安全配置策略，对新建虚拟机未达到最新安全配置策略要求的标准的方面进行修复。
[0074]本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0075]可能以许多方式来实现本发明的方法、系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0076]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0077]本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
【权利要求】
1.一种虚拟机的安全接入控制实现方法，其特征在于，包括: 新建虚拟机时，虚拟机管理平台将该新建虚拟机的属性信息发送给策略管理控制器；所述新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示虚拟机所在位置的网络属性信息； 策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复； 安全基线管理系统对所述新建虚拟机进行安全合规性检查； 在所述新建虚拟机未通过安全合规性检查时，安全基线管理系统利用最新安全配置策略对所述新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器； 策略管理控制器通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制。
2.根据权利要求1所述的方法，其特征在于，所述策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限包括: 策略管理控制器通知虚拟防火墙或者虚拟交换机，将所述新建虚拟机放到隔离区。
3.根据权利要求2所述的方法，其特征在于，所述策略管理控制器通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制包括: 策略管理控制器通知虚拟防火墙或者虚拟交换机，将此新建虚拟机放到所属工作区域，以与其它通信实体正常通信。
4.根据权利要求1至3任意一项所述的方法，其特征在于，所述安全基线管理系统对所述新建虚拟机进行安全合规性检查包括: 所述安全基线管理系统检查所述新建虚拟机在安全策略、系统配置与业务功能方面是否达到最新安全配置策略要求的标准；所述新建虚拟机在安全策略、系统配置与业务功能方面未达到或未完全达到最新安全配置策略要求的标准时，所述新建虚拟机未通过安全合规性检查。
5.根据权利要求4所述的方法，其特征在于，所述安全基线管理系统利用最新安全配置策略对所述新建虚拟机的安全配置进行修复包括: 所述安全基线管理系统利用最新安全配置策略，对所述新建虚拟机未达到最新安全配置策略要求的标准的方面进行修复。
6.一种虚拟机的安全接入控制实现系统，其特征在于，包括: 虚拟机管理平台，用于管理虚拟机，存储有各虚拟机的属性信息；以及在检测到新建虚拟机时，将该新建虚拟机的属性信息发送给策略管理控制器；所述新建虚拟机的属性信息包括新建虚拟机的标识信息、工作状态与表示虚拟机所在位置的网络属性信息； 策略管理控制器，用于通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限，使得该新建虚拟机只能与安全基线管理系统通信，并通知安全基线管理系统对该新建虚拟机进行安全合规性检查检查和修复；以及接收到安全基线管理系统发送的修复完毕的通知消息后，通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制； 安全基线管理系统，用于对所述新建虚拟机进行安全合规性检查；在所述新建虚拟机未通过安全合规性检查时，利用最新安全配置策略对所述新建虚拟机的安全配置进行修复，并在修复完毕后通知策略管理控制器； 虚拟防火墙或者虚拟交换机，用于根据策略管理控制器的通知限制该新建虚拟机的通信权限或者取消对所述新建虚拟机的通信权限限制。
7.根据权利要求6所述的系统，其特征在于，所述策略管理控制器通知虚拟防火墙或者虚拟交换机限制该新建虚拟机的通信权限时，具体通知虚拟防火墙或者虚拟交换机，将所述新建虚拟机放到隔离区； 所述虚拟防火墙或者虚拟交换机，具体用于将所述新建虚拟机放到隔离区。
8.根据权利要求7所述的系统，其特征在于，所述策略管理控制器通知虚拟防火墙或者虚拟交换机取消对所述新建虚拟机的通信权限限制时，具体通知虚拟防火墙或者虚拟交换机，将此新建虚拟机放到所属工作区域； 述虚拟防火墙或者虚拟交换机，具体用于将此新建虚拟机放到所属工作区域以与其它通信实体正常通信。
9.根据权利要求6至8任意一项所述的系统，其特征在于，所述安全基线管理系统对所述新建虚拟机进行安全合规性检查时，具体检查所述新建虚拟机在安全策略、系统配置与业务功能方面是否达到最新安全配置策略要求的标准；所述新建虚拟机在安全策略、系统配置与业务功能方面未达到或未完全达到最新安全配置策略要求的标准时，所述新建虚拟机未通过安全合规性检查。
10.根据权利要求9所述的系统，其特征在于，所述安全基线管理系统利用最新安全配置策略对所述新建虚拟机的安全配置进行修复时，具体利用最新安全配置策略，对所述新建虚拟机未达到最新安全配置策略要求的标准的方面进行修复。
【文档编号】H04L29/06GK104519026SQ201310459624
【公开日】2015年4月15日 申请日期:2013年9月30日 优先权日:2013年9月30日
【发明者】何明, 樊宁, 沈军, 金华敏 申请人:中国电信股份有限公司