一种基于云环境的网络安全系统的制作方法

本发明涉及云计算技术领域，特别是涉及一种基于云环境的网络安全系统。

背景技术：

随着信息科技的发展，云计算逐步成为业界的发展热点，国内外各大厂商的云计算服务平台也开始纷纷投入到科学、教育、文化、卫生、政府、高性能计算、电子商务、物联网等多个领域进行使用。

云计算最大的风险之一源于其性质：它允许数据被传送和保存在几乎任何地方，甚至分开保存在世界的不同位置。随着云计算技术的成熟，云计算的安全问题日益受到关注。使用云计算的企业必须认真对待数据隐私性及网络安全性问题，对云计算发挥作用的时间、地点以及所产生的风险加以评估。虽然各安全厂商提出各式各样的安全产品，但目前并没有形成成熟的整体化云安全方案。

因此，为了更加充分地发挥云计算及虚拟化的优势，更好的保护云化环境的安全，标准化云计算环境的安全体系架构，如何提供一种易开发、易扩展、易维护的云环境网络安全系统，是本领域技术人员目前需要解决的技术问题。

技术实现要素：

本发明的目的是提供一种基于云环境的网络安全系统，可以更加充分地发挥云计算及虚拟化的优势，更好的保护云化环境的安全，标准化云计算环境的安全体系架构，且使得安全体系架构易开发、易扩展、易维护。

为解决上述技术问题，本发明提供了如下技术方案：

一种基于云环境的网络安全系统，包括：

云外管控模块，用于将预设的安全组件以虚拟机的形式部署在目标云环境的边界，对外界的访问数据进行安全检测；

云中防护模块，用于对所述目标云环境的内部安全进行监测和控制；

云内加固模块，用于对所述目标云环境内的虚拟主机进行杀毒防护和加固。

优选地，所述云外管控模块包括：虚拟防火墙单元，用于构造网络层保护屏障，进行区域隔离和制定访问控制规则，界定不同的访问请求是否符合安全要求，并隔离不同区域的安全风险。

优选地，所述云外管控模块还包括：IPS单元，用于对所述目标云环境进行漏洞攻击以及入侵行为检测。

优选地，所述云外管控模块还包括：VPN单元，用于根据不同用户的身份向各访问用户进行对应的访问授权。

优选地，所述云中防护模块包括：隔离监控单元，用于对所述目标云环境内的虚拟机进行东西向流量的监测分析，并同步输出监测日志和报表。

优选地，所述云中防护模块还包括：堡垒机单元，用于对访问所述目标云环境的用户进行认证，并对用户的访问过程进行日记记录以及管理日志和服务日志的核查审计。

优选地，所述云中防护模块还包括：数据加密单元，用于对所述目标云环境和外界用户的交互数据进行加密；数据备份单元，用于对所述目标云环境中的数据进行容灾备份。

优选地，所述云内加固模块包括：杀毒单元，用于对所述目标云环境中的虚拟机的操作系统进行病毒查杀扫描和安全防护；可信计算单元，用于构建可信计算池资源和可信虚拟机系统；加固单元，用于建立关于所述目标云环境内的虚拟机的正常以及异常行为的模型，以识别各所述虚拟机端点的安全威胁，并对攻击进行响应。

与现有技术相比，上述技术方案具有以下优点：

本发明所提供的一种基于云环境的网络安全系统，包括：云外管控模块，用于将预设的安全组件以虚拟机的形式部署在目标云环境的边界，对外界的访问数据进行安全检测；云中防护模块，用于对目标云环境的内部安全进行监测和控制；云内加固模块，用于对目标云环境内的虚拟主机进行杀毒防护和加固。在本技术方案中，综合考虑了云计算的应用环境，充分发挥虚拟化的特点，以虚拟安全组件的形式，整体管控内、外、中部云化环境，为云计算环境提供安全保障支持。其中，云外管控实现云环境外部的安全控制，为云环境到互联网环境之间提供双向防护；云中防护实现云化环境内部各类资源间的防护；云内加固实现虚拟机自身的安全防护，保护云化业务应用的安全性。可以更加充分地发挥云计算及虚拟化的优势，更好的保护云化环境的安全，标准化云计算环境的安全体系架构，且使得安全体系架构易开发、易扩展、易维护。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种具体实施方式所提供的基于云环境的网络安全系统结构示意图。

具体实施方式

本发明的核心是提供一种基于云环境的网络安全系统，可以更加充分地发挥云计算及虚拟化的优势，更好的保护云化环境的安全，标准化云计算环境的安全体系架构，且使得安全体系架构易开发、易扩展、易维护。

为了使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施的限制。

请参考图1，图1为本发明一种具体实施方式所提供的基于云环境的网络安全系统结构示意图。

本发明的一种具体实施方式提供了一种基于云环境的网络安全系统包括：云外管控模块11，用于将预设的安全组件以虚拟机的形式部署在目标云环境的边界，对外界的访问数据进行安全检测，其可以借鉴传统的数据中心边界防护方案，对云化环境的边界进行安全防护，适应性强；云中防护模块12，用于对目标云环境的内部安全进行监测和控制，充分利用云计算及虚拟化的特点，使用虚拟安全设备模拟硬件安全设备，对云化基础环境进行防护，兼容性高，扩展性强；云内加固模块13，用于对目标云环境内的虚拟主机进行杀毒防护和加固，为宿主机及虚拟机操作系统内部定制安全程序等，实现业务应用的防毒加固，实用、灵活、可靠。

在本实施方式中，综合考虑了云计算的应用环境，充分发挥虚拟化的特点，以虚拟安全组件的形式，整体管控内、外、中部云化环境，为云计算环境提供安全保障支持。其中，云外管控实现云环境外部的安全控制，为云环境到互联网环境之间提供双向防护；云中防护实现云化环境内部各类资源间的防护；云内加固实现虚拟机自身的安全防护，保护云化业务应用的安全性。可以更加充分地发挥云计算及虚拟化的优势，更好的保护云化环境的安全，标准化云计算环境的安全体系架构，且使得安全体系架构易开发、易扩展、易维护。

在本发明的一种实施方式中，云外管控模块利用虚拟化技术，将安全组件以虚拟机的形式部署在云环境边界，其包括：虚拟防火墙单元，用于提供网络层、应用层、内容级的风险监控能力，充当南北向的安全态势分析、上网行为管理、防毒网关，构造网络层保护屏障，进行区域隔离和制定访问控制规则，界定不同的访问请求是否符合安全要求，并隔离不同区域的安全风险。

IPS单元，用于对目标云环境进行漏洞攻击以及入侵行为检测，如检测漏洞攻击和入侵行为，包括各种底层系统漏洞入侵、异常流量、恶意代码、DoS(拒绝服务)等多种威胁行为。防护web安全威胁的主要攻击，包括防SQL注入攻击、防XSS跨站脚本攻击、防CSRF攻击、HTTP异常检测、缓冲区溢出检测等。

VPN单元，用于根据不同用户的身份向各访问用户进行对应的访问授权。其提供基于用户角色的权限控制，控制不同角色的用户访问不同的资源，实现对资源的安全访问。为保障云平台内部应用系统的安全发布，并实现终端对业务的无缝访问，通过云安全资源池的虚拟VPN设备，实现云应用的授权访问，保障远程访问安全，确保合法身份通过合法行为接入合法系统。

进一步地，云中防护模块负责控制云化环境内部的安全，其包括：

隔离监控单元，用于在东西向，为不同的租户流量打上VXLAN标签，通过VXLAN实现租户之间的隔离。在同一个租户内部，选用安全组组件，实现租户虚拟机之间的隔离与互连控制。将带VXLAN标签的流量镜像到特定的vSwitch端口上，通过流量分析虚拟机对目标云环境内的虚拟机进行东西向流量的监测分析，并同步输出监测日志和报表。

堡垒机单元，用于对访问目标云环境的用户进行认证，并对用户的访问过程进行日记记录以及管理日志和服务日志的核查审计。做到事前控制、事中检查、事后追查。在业务系统需要提供安全接入时，采用硬件特征码、短信认证、动态令牌卡等方式进行用户认证。在访问应用系统的过程中，实现考虑访问、读取过程的安全。对访问过程进行日记记录，提供管理日志和服务日志进行核查审计。其中，用户访问日志提供用户访问时信息(登录IP、访问资源、时间、认证方式)、用户活跃程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询；告警日志提供(暴破登录攻击记录、CPU长时间占用过高记录、设备内存不足)、用户暴破登录、主从用户名非法访问记录等。

数据加密单元，用于对目标云环境和外界用户的交互数据进行加密；数据备份单元，用于对目标云环境中的数据进行容灾备份。在传输过程中的敏感数据应进行加密，进行加密方式有三种方式：1)客户端/应用程序加密：数据在终端或服务器端先加密，然后再通过网络传输，或在已经以恰当的加密格式存储。可以使用加密机或集成在应用程序之中的加密机制；2)链路/网络加密模式：标准的网络加密技术包括SSL、VPN和SSH。既可以是硬件加密，也可以是软件加密；3)基于代理的加密：数据传输通过代理服务器进行，数据在进行传输前完成加密。

此外还可以进行数据备份，提供数据容灾，如采用RAID、延时同步等技术，对代码、分布式存储和数据库进行实时热备份和延时冷备份，保证数据即使在设备损坏和错误删除的极端情况下也能安然无恙。建立数据异地灾备环境，保证核心数据的完备性。

以及WAF，Web应用防火墙保护各网站Web服务器免受应用级入侵，实现HTTP请求的异常检测，防止网页篡改、信息泄露、木马植入、SQL注入、XSS跨站攻击等恶意网络入侵行为，防护Web恶意代码，提供基于规则的保护和基于异常的保护，进行状态管理等。

云内加固模块负责控制以虚拟主机为主体的业务安全，在虚拟机内部进行杀毒、加固，其包括：杀毒单元，用于对目标云环境中的虚拟机的操作系统进行病毒查杀扫描和安全防护，为虚拟机操作系统定制杀毒软件，基于病毒库的保护技术，进行安全防护与病毒查杀扫描；基于系统及应用程序最小运行权限，对内存、文件系统、进程等进行主动保护，防止高级恶意攻击利用系统0day漏洞及提高运行权限进入系统。

可信计算单元，用于构建可信计算池资源和可信虚拟机系统，优选地以安全硬件及密码学为基础，通过安全可靠的硬件信任来构建信任链，保证虚拟机计算平台的完整性，提供计算平台身份证明及数据安全存储等功能。基于可信服务器构建可信计算池资源与可信虚拟机系统，为业务应用提供虚拟可信资源支撑。

加固单元，用于建立关于目标云环境内的虚拟机的正常以及异常行为的模型，以识别各虚拟机端点的安全威胁，并对攻击进行响应，应用端点检测及响应技术，记录虚拟机节点中所有操作，如用户/程序/网络对文件、进程、注册表等操作，并将这些记录存储在安全大数据平台中，通过建立正常及异常行为模型，利用机器学习持续对这些数据进行分析，以识别端点的安全威胁，并快速对攻击进行响应。

综上所述，本发明所提供的一种基于云环境的网络安全系统，综合考虑了云计算的应用环境，充分发挥虚拟化的特点，以虚拟安全组件的形式，整体管控内、外、中部云化环境，为云计算环境提供安全保障支持。其中，云外管控实现云环境外部的安全控制，为云环境到互联网环境之间提供双向防护；云中防护实现云化环境内部各类资源间的防护；云内加固实现虚拟机自身的安全防护，保护云化业务应用的安全性。可以更加充分地发挥云计算及虚拟化的优势，更好的保护云化环境的安全，标准化云计算环境的安全体系架构，且使得安全体系架构易开发、易扩展、易维护。

以上对本发明所提供的一种基于云环境的网络安全系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。