一种信息安全保护的方法、系统及相关组件与流程

本发明涉及安全服务技术领域，特别涉及一种信息安全保护的方法、系统、一种计算机可读存储介质及一种等保一体机。

背景技术：

2017年6月1日起我国正式施行《网络安全法》，对企业加强网络安全建设提出了要求和约束。其中第二十一条要求：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。”由于《网络安全法》明确提出了实现网络安全等级保护制度，也就意味着单位不做等级保护工作就是违法。

现有技术中主要采购一大堆各类防护硬件设备来满足等保合规要求。但是这种大量堆叠防护硬件设备来提升网络安全的方法，往往会存在硬件堆叠、建设繁琐、运维复杂、架构固化等问题，造成资源的浪费，并增加了安全系统的管理复杂程度。

因此，如何在保证信息安全的前提下降低业务系统内安全设备的复杂程度是本领域技术人员目前需要解决的技术问题。

技术实现要素：

本申请的目的是提供一种信息安全保护的方法、系统、一种计算机可读存储介质及一种等保一体机，能够在保证信息安全的前提下降低业务系统内安全设备的复杂程度。

为解决上述技术问题，本申请提供一种信息安全保护的方法，该方法包括：

当等保一体机部署在服务器上时，获取服务器的目标业务系统的安全服务需求；

根据安全服务需求执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合；

利用虚拟机集合对目标业务系统的交互数据进行安全过滤。

可选的，在获取服务器的目标业务系统的安全服务需求之前，还包括：

判断是否为单台等保一体机部署在服务器上；

若否，则在服务器所在的用户数据中心组建一体机集群；

相应的，根据安全服务需求执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合包括：

根据安全服务需求在一体机集群的虚拟存储中执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合；其中，虚拟机集合存储于虚拟存储中。

可选的，利用虚拟机集合对目标业务系统的交互数据进行安全过滤包括：

确定与目标业务系统对应的核心交换机，并在核心交换机上配置策略路由，以便将目标业务系统与核心交换机之间的交互数据转发至虚拟机集合；

当虚拟机集合接收到目标业务系统向核心交换机传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至核心交换机；

当虚拟机集合接收到核心交换机向目标业务系统传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至目标业务系统。

可选的，等保一体机具体为基于虚拟化平台或云计算平台的安全设备；

相应的，根据安全服务需求执行网络功能虚拟化部署操作包括：

根据安全服务需求在虚拟化平台或云计算平台上执行网络功能虚拟化部署操作。

可选的，安全服务包括下一代防火墙服务、数据库审计服务、sslvpn安全接入服务、运维审计服务、主机防病毒服务、日志审计服务、漏洞扫描服务、配置核查服务、负载均衡服务、微隔离服务、主机安全检测服务和响应服务中任意一项或任意几项的组合。

可选的，获取服务器的目标业务系统的安全服务需求包括：

获取服务器的目标业务系统的网络安全保护等级，并根据网络安全保护等级确定安全服务需求。

本申请还提供了一种信息安全保护的系统，该系统包括：

服务需求获取模块，用于当等保一体机部署在服务器上时，获取服务器的目标业务系统的安全服务需求；

虚拟机集合创建模块，用于根据安全服务需求执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合；

安全过滤模块，用于利用虚拟机集合对目标业务系统的交互数据进行安全过滤。

可选的，还包括：

判断模块，用于判断是否为单台等保一体机部署在服务器上；若否，则在服务器所在的用户数据中心组建一体机集群；

相应的，虚拟机集合创建模块具体为根据安全服务需求在一体机集群的虚拟存储中执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合的模块；其中，虚拟机集合存储于虚拟存储中。

可选的，安全过滤模块包括：

策略路由配置单元，用于确定与目标业务系统对应的核心交换机，并在核心交换机上配置策略路由，以便将目标业务系统与核心交换机之间的交互数据转发至虚拟机集合；

过滤单元，用于当虚拟机集合接收到目标业务系统向核心交换机传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至核心交换机；还用于当虚拟机集合接收到核心交换机向目标业务系统传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至目标业务系统。

可选的，等保一体机具体为基于虚拟化平台或云计算平台的安全设备；

相应的，虚拟机集合创建模块具体为用于根据安全服务需求在虚拟化平台或云计算平台上执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合的模块。

可选的，安全服务包括下一代防火墙服务、数据库审计服务、sslvpn安全接入服务、运维审计服务、主机防病毒服务、日志审计服务、漏洞扫描服务、配置核查服务、负载均衡服务、微隔离服务、主机安全检测服务和响应服务中任意一项或任意几项的组合。

可选的，服务需求获取模块具体为用于当等保一体机部署在服务器上时，获取服务器的目标业务系统的网络安全保护等级，并根据网络安全保护等级确定安全服务需求的模块。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序执行时实现上述信息安全保护的方法执行的步骤。

本申请还提供了一种等保一体机，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述信息安全保护的方法执行的步骤。

本发明提供了一种信息安全保护的方法，包括当等保一体机部署在服务器上时，获取服务器的目标业务系统的安全服务需求；根据安全服务需求执行网络功能虚拟化部署操作，得到与安全服务需求对应的虚拟机集合；利用虚拟机集合对目标业务系统的交互数据进行安全过滤。。

本申请通过在服务器上部署等保一体机，并执行网络功能虚拟化部署操作，得到具有实体安全设备功能的虚拟机集群。由于虚拟机集群具有实体安全设备相同的功能，因此虚拟机集合可以替代实体安全设备提供对应的安全服务。进一步的，由于本申请是根据目标业务系统的安全服务需求执行网络功能虚拟化部署操作得到的虚拟机集群，因此虚拟机集群能够提供与安全服务需求对应的安全服务，实现了安全服务个性化设置。本申请无需通过繁多安全设备的堆叠，通过网络功能虚拟化部署操作将实体安全设备虚拟化，得到能够提供安全服务需求对应的安全服务的虚拟机集群，利用虚拟机集群对相关交互数据进行过滤，因此本申请可以在保证信息安全的前提下降低业务系统内安全设备的复杂程度。本申请同时还提供了一种信息安全保护的系统、一种计算机可读存储介质和一种等保一体机，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例所提供的一种信息安全保护的方法的流程图；

图2为本申请实施例所提供的一种对目标业务系统的交互数据进行安全过滤的方法的流程图；

图3为本申请实施例所提供的另一种信息安全保护的方法的流程图；

图4为在实际应用中的信息安全保护的网络拓扑图；

图5为本申请实施例所提供的一种信息安全保护的系统的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面请参见图1，图1为本申请实施例所提供的一种信息安全保护的方法的流程图。

具体步骤可以包括：

s101：当等保一体机部署在服务器上时，获取所述服务器的目标业务系统的安全服务需求；

其中，等保一体机，全称为信息安全等级保护一体机，是一种可以辅助业务系统通过安全合规检查的安全设备，将等保一体机部署在服务器上可以实现对服务器所在的用户数据中心进行相关的信息安全保护。

目标业务系统为服务器对应的业务系统，此处提到的目标业务系统的安全服务需求可以是用户根据目标业务系统自身的业务功能及其相关行业要求设定的，例如可以是信息安全等级保护三级要求、信息安全二级等级保护要求或用户根据目标业务的业务特性个性化设置的安全保护要求，此处不对安全服务需求的内容进行具体限定。

可以理解的是，此处不限定获取安全服务需求的方式，可以是主动向用户端或相关装置询问安全服务需求；还可以是安全服务需求已经存储在某个存储空间，等保一体机从该存储空间中直接获取安全服务需求；当然还可以采用其他方式获取安全服务需求，总之本步骤可以获取目标业务系统的安全服务需求，即通过分析安全服务需求可以知道具体采用哪些安全服务可以使得目标业务系统中的交互数据符合安全服务需求。

s102：根据所述安全服务需求执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合；

作为一种优选的实施方式，可以在s101之前存在判断是否为单台等保一体机部署在所述服务器上的操作；若是，则初始化本地存储，并在本地存储中执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合；若否，则在所述服务器所在的用户数据中心组建一体机集群，根据所述安全服务需求在所述一体机集群的虚拟存储中执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合；其中，所述虚拟机集合存储于所述虚拟存储中。

本申请之所以能够实现在保证信息安全的前提下降低业务系统内安全设备的复杂程度的目的，是因为采用了网络功能虚拟化(nfv，networkfunctionvirtualization)部署操作，以nfv网元的形式融合安全设备，并按照客户的安全服务需求，在一体机集群中编排出符合安全服务需求的虚拟网络拓扑。网络功能虚拟化可以通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。网络功能虚拟化具有以下特性：通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。需要说明的是，网络功能虚拟化(nfv)是源于etsi行业规范工作组通过虚拟网络功能取代专用硬件来简化操作的倡议，现有技术中nfv用于将网络功能整合到行业标准的服务器、交换机和存储硬件上，提供了优化的虚拟化数据平面，nfv通过服务器上运行的软件让管理员取代传统物理网络设备。在网络安全设备或等保一体机这种可以辅助业务系统通过安全合规检查的安全设备上，尚不存在使用网络功能虚拟化的技术。根据安全服务需求执行网络功能虚拟化部署操作可以创建与安全服务需求对应的虚拟机集群。实际上安全服务需求是根据目标业务系统需要某些安全设备提供的安全服务设定的，即现有技术根据安全服务需求可以了解需要增加哪些安全设备可以满足对应的安全服务需求，但是通过执行网络功能虚拟化部署操作后的虚拟机集群可以具有现有技术中堆叠的硬件设备相同的功能，即可以提供与现有技术中的硬件设备一样的安全服务。

当然，网络功能虚拟化的部署操作必须要基于虚拟化平台或云计算平台实现，因此本实施例默认等保一体机为基于虚拟化平台或云计算平台的安全设备，作为一种优选的实施方式可以选用基于超融合基础架构的等保一体机来实现本申请的信息安全保护方案。

需要说明的是，安全服务需求是指目标业务系统存在被提供某些安全服务的需求，由于实际情况中安全服务需求是多种多样的，因此相应的可以存在多种安全服务需求。优选的，安全服务可以包括：下一代防火墙服务、数据库审计服务、sslvpn安全接入服务、运维审计服务、主机防病毒服务、日志审计服务、漏洞扫描服务、配置核查服务、负载均衡服务、微隔离服务、主机安全检测服务和响应服务中任意一项或任意几项的组合。由于本步骤是根据安全服务需求执行网络功能虚拟化部署操作创建的虚拟机集合，因此本实施例可以在不额外增加其他安全硬件设备的前提下，根据安全服务需求创建对应的虚拟机集合，以满足多种安全服务需求。

s103：利用虚拟机集合对目标业务系统的交互数据进行安全过滤。

其中，在s102已经建立好可以提供诸多安全服务的虚拟机集合后，本步骤只需利用虚拟机集合对目标业务系统的交互数据进行安全过滤可以使得目标业务系统的安全防护能力达到安全服务需求对应的防护要求。本步骤中提到的交互数据包括目标业务系统接收的数据和目标业务系统发送的数据，虚拟机集合对交互数据执行的安全过滤操作可以理解为对交互数据进行安全服务对应的数据清洗操作。

本实施例通过在服务器上部署等保一体机，并执行网络功能虚拟化部署操作，得到具有实体安全设备功能的虚拟机集群。由于虚拟机集群具有实体安全设备相同的功能，因此虚拟机集合可以替代实体安全设备提供对应的安全服务。进一步的，由于本实施例是根据目标业务系统的安全服务需求执行网络功能虚拟化部署操作得到的虚拟机集群，因此虚拟机集群能够提供与安全服务需求对应的安全服务，实现了安全服务个性化设置。本实施例无需通过繁多安全设备的堆叠，通过网络功能虚拟化部署操作将实体安全设备虚拟化，得到能够提供安全服务需求对应的安全服务的虚拟机集群，利用虚拟机集群对相关交互数据进行过滤，因此本实施例可以在保证信息安全的前提下降低业务系统内安全设备的复杂程度。

下面请参见图2，图2为本申请实施例所提供的一种对目标业务系统的交互数据进行安全过滤的方法的流程图；本实施例是上一实施例中s103的一种优选的实施方式，可以将上一实施例中s103替换为本实施例中的执行操作，以便得到一种更为优选的信息安全保护的技术方案。

具体步骤可以包括：

s201：确定与目标业务系统对应的核心交换机，并在核心交换机上配置策略路由，以便将目标业务系统与核心交换机之间的交互数据转发至虚拟机集合；

其中，本实施例对目标业务系统的交互数据进行安全过滤的策略为：在目标业务系统对应的核心交换机上配置策略路由，改变目标业务系统的交互数据的发送路径，使其先经过虚拟机集群的安全过滤操作后，再按照原有的传输路径传输。

核心交换机是目标业务系统进行数据交互的“通道”，在核心交换机上配置策略路由可以改变核心交换机是目标业务系统进行数据交互的路径。策略路由是一种灵活的数据包路由转发机制，本实施例中的策略路由是指先将核心交换机与目标业务系统之间的需要发送给对方的交互数据转发至虚拟机集合，交互数据经过虚拟机集合安全过滤的后，再按照原有路径将交互数据转发至核心交换机或目标业务系统。相当于，在配置策略路由之前，传输路径为：目标业务系统——核心交换机，在配置策略路由之后传输路径变为：目标业务系统——虚拟机集合——核心交换机。虚拟机集合在目标业务系统和核心交换机之间起到了“数据清洗”的作用。

s202：当虚拟机集合接收到目标业务系统向核心交换机传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至核心交换机；

s203：当虚拟机集合接收到核心交换机向目标业务系统传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至目标业务系统。

其中，s202和s203是针对目标业务系统向核心交换机传输数据以及核心交换机向目标业务系统传输数据两种情况进行的具体说明，这两个步骤都是先根据策略路由将需要传输至目标业务系统向核心交换机的数据转发至虚拟机集合，虚拟机集合对这些数据进行安全过滤之后，再将这些数据按照原有的路径传输至目标业务系统向核心交换机。由于虚拟机集合可以提供安全服务需求对应的安全服务，因此经过安全过滤操作后的交互数据满足安全服务需求对应的要求。

下面请参见图3，图3为本申请实施例所提供的另一种信息安全保护的方法的流程图。本实施例是将图1对应的实施例和图2对应的实施例进行结合后得到的实施例，进一步的本实施例又增加了针对于网络安全保护等级确定安全服务需求的操作。具体步骤可以包括：

s301：当等保一体机部署在服务器上时，在服务器所在的用户数据中心组建一体机集群；

其中，等保一体机具体为基于虚拟化平台或云计算平台的安全设备，且本实施例针对多台等保一体机部署在服务器的情况。优选的，虚拟化平台可以是超融合基础架构。超融合基础架构(hci，hyper-convergedinfrastructure)是一种将计算、网络和存储等资源作为基础设施进行整合，可以根据具体业务系统需求进行选择组合和自定义，方便快捷地进行数据中心搭建和业务系统部署的一种技术架构。

当本实施例提到的等保一体机为基于超融合基础架构的安全设备时，整个等保一体机上架部署可以从制作hci系统iso(国际标准光盘文件系统格式)安装包开始，iso里要集成cssp虚拟机镜像和组件模板，通过iso制作u盘安装盘，用于给第三方服务器安装hci系统，通过u盘安装盘制作hci系统母盘，用于给储运发货。cssp(cloud-securityserviceplatform，云安全服务平台)，是一种针对云安全场景下，提供服务化安全交付的平台。cssp系统支持部署在单台等保一体机和多台等保一体机，完成上架部署流程，单台等保一体机需要配置好管理口，多台等保一体机需要配置好管理口、数据通信口和存储通信口。

等保一体机的部署流程可以包括：

(1)部署前的准备工作：通过iso安装hci系统，选择一台等保一体机作为主控，通过cssp默认ip连接cssp，修改cssp平台管理ip，并连接网线。

(2)通过界面进行部署操作：通过cssp平台管理ip连接cssp部署界面，添加等保一体机，确认磁盘用途。

(3)后台上架任务：若为单台部署则初始化本地存储，并上传组件模板到本地存储，删除本地vma；若为多台部署则组建集群和虚拟存储，迁移cssp到虚拟存储，上传组件模板到虚拟存储，并删除本地vma。vma是hci平台需要的虚拟机镜像格式，本地vma是指存储在本地系统盘上的vma虚拟机模板。上传到集群的虚拟存储上之后，本地上的可以删掉，只需要存储一份。

s302：获取服务器的网络安全保护等级，并根据网络安全保护等级确定安全服务需求。

其中，本步骤中提到的网络安全保护等级为《网络安全保护法》中提到的网络运营者需要遵守的网络安全等级保护制度要求对应的保护等级，不同的网络安全保护等级对应不同的安全服务需求。

s303：根据所述安全服务需求在所述一体机集群的虚拟存储中执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合；

其中，所述虚拟机集合存储于所述虚拟存储中。

s304：确定与目标业务系统对应的核心交换机，并在核心交换机上配置策略路由，以便将目标业务系统与核心交换机之间的交互数据转发至虚拟机集合；

s305：当虚拟机集合接收到目标业务系统向核心交换机传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至核心交换机；

s306：当虚拟机集合接收到核心交换机向目标业务系统传输的交互数据时，对交互数据进行安全过滤，并将安全过滤后的交互数据传输至目标业务系统。

在本实施例的基础上，还可以在一体机集群中组建分布式虚拟存储，以便将虚拟机模板上传至分布式虚拟存储。虚拟机模板是用来做安全服务虚拟机的模板，可以用虚拟机模板来派生生成安全虚拟机。因此作为一种优选的实施方式可以在s303中根据安全服务需求对应的虚拟机模板通过网络功能虚拟化部署操作得到虚拟机集合。分布式虚拟存储可以实现存储的高可用，双副本的分布式存储，组建好虚拟存储能够保证虚拟机的高可用功能。

请参见图4，图4为在实际应用中的信息安全保护的网络拓扑图，该网络拓扑图对应的实施例可以包括以下步骤：

步骤1.等保一体机在用户数据中心中组成一体机集群，组建虚拟存储、上传虚拟机的模板。

步骤2.安全服务平台在等保一体中自动创建了等级保护三级套餐中的虚拟机集合，提供了下一代防火墙服务、vpn安全接入服务、数据库审计服务、运维审计服务、漏洞扫描服务、负载均衡服务、主机安全服务，一键化交付了满足等保要求的所有组件。

步骤3.在客户的三层核心交换机上配置策略路由。让互联网上访问客户三级等保区域中的事前事后业务服务器等业务系统的请求，强制先经过等保一体机中的等保三级组件模板(等保三级组件模板相当于前面是实力中提到的虚拟机集合)中的安全组件服务链进行清洗，反向亦然。

步骤4.清洗完后将流量再次回注到客户的三层交换机，即再走原有的路由访问既定的业务系统或者去互联网。

具体的，等保一体机中等保模板的安全组件服务链实现安全过滤(即清洗)的具体过程为：

a.上行流量路径为：bvs_lan(lan物理出口)->rt_lan_cssp(lan路由器)->rt_data_core_cssp(核心路由器)->rt_border_cssp_admin(边界路由器)->安全组件(sec_res_cssp_vaf9_admin等虚拟机)->rt_border_cssp_admin(边界路由器)->rt_data_core_cssp(核心路由器)->rt_lan_cssp(lan路由器)->rt_wan_cssp(wan路由器)->bvs_wan(wan物理出口)。

b.下行流量路径为：bvs_wan(wan物理出口)->rt_wan_cssp(wan路由器)->rt_lan_cssp(lan路由器)->rt_data_core_cssp(核心路由器)->rt_border_cssp_admin(边界路由器)->安全组件(sec_res_cssp_vaf9_admin等虚拟机)->rt_border_cssp_admin(边界路由器)->rt_data_core_cssp(核心路由器)->rt_lan_cssp(lan路由器)->bvs_lan(lan物理出口)。

c.管理网络供安全服务平台(cssp虚拟机)来管理安全组件(sec_res_vaf_bp、sec_res_vac_bp_3等安全虚拟机)，安全服务平台通过phyif_local_host-a0369f6e7708物理出口连接管理物理网络。安全组件可以通过安全服务平台代理上网。

e.rt_border_cssp_admin边界路由器上利用策略路由让指定业务系统的流量在组件服务链上流转，比如说流量可以指定路径为应用负载(sec_res_cssp_vad16_admin)->下一代防火墙(sec_res_cssp_vaf9_admin)->上网行为管理(sec_res_vac_bp_3)，也可以指定路径为上网行为管理(sec_res_vac_bp_3)->下一代防火墙(sec_res_cssp_vaf9_admin)->应用负载(sec_res_cssp_vad16_admin)，由客户自定义编排。

请参见图5，图5为本申请实施例所提供的一种信息安全保护的系统的结构示意图；

该系统可以包括：

服务需求获取模块100，用于当等保一体机部署在服务器上时，获取所述服务器的目标业务系统的安全服务需求；

虚拟机集合创建模块200，用于根据所述安全服务需求执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合；

安全过滤模块300，用于利用所述虚拟机集合对所述目标业务系统的交互数据进行安全过滤。

进一步的，该系统还包括：

判断模块，用于判断是否为单台等保一体机部署在所述服务器上；若否，则在所述服务器所在的用户数据中心组建一体机集群；

相应的，虚拟机集合创建模块200具体为根据所述安全服务需求在所述一体机集群的虚拟存储中执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合的模块；其中，所述虚拟机集合存储于所述虚拟存储中。

进一步的，所述安全过滤模块300包括：

策略路由配置单元，用于确定与所述目标业务系统对应的核心交换机，并在所述核心交换机上配置策略路由，以便将所述目标业务系统与所述核心交换机之间的交互数据转发至所述虚拟机集合；

过滤单元，用于当所述虚拟机集合接收到所述目标业务系统向所述核心交换机传输的交互数据时，对所述交互数据进行安全过滤，并将安全过滤后的交互数据传输至所述核心交换机；还用于当所述虚拟机集合接收到所述核心交换机向所述目标业务系统传输的交互数据时，对所述交互数据进行安全过滤，并将安全过滤后的交互数据传输至所述目标业务系统。

进一步的，所述等保一体机具体为基于虚拟化平台或云计算平台的安全设备；

相应的，虚拟机集合创建模块200具体为用于根据所述安全服务需求在所述虚拟化平台或所述云计算平台上执行网络功能虚拟化部署操作，得到与所述安全服务需求对应的虚拟机集合的模块。

进一步的，所述安全服务包括下一代防火墙服务、数据库审计服务、sslvpn安全接入服务、运维审计服务、主机防病毒服务、日志审计服务、漏洞扫描服务、配置核查服务、负载均衡服务、微隔离服务、主机安全检测服务和响应服务中任意一项或任意几项的组合。

进一步的，所述服务需求获取模块具体为用于当所述等保一体机部署在所述服务器上时，获取所述服务器的目标业务系统的网络安全保护等级，并根据所述网络安全保护等级确定所述安全服务需求的模块。

由于系统部分的实施例与方法部分的实施例相互对应，因此系统部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

本实施例通过在服务器上部署等保一体机，并执行网络功能虚拟化部署操作，得到具有实体安全设备功能的虚拟机集群。由于虚拟机集群具有实体安全设备相同的功能，因此虚拟机集合可以替代实体安全设备提供对应的安全服务。进一步的，由于本实施例是根据目标业务系统的安全服务需求执行网络功能虚拟化部署操作得到的虚拟机集群，因此虚拟机集群能够提供与安全服务需求对应的安全服务，实现了安全服务个性化设置。本实施例无需通过繁多安全设备的堆叠，通过网络功能虚拟化部署操作将实体安全设备虚拟化，得到能够提供安全服务需求对应的安全服务的虚拟机集群，利用虚拟机集群对相关交互数据进行过滤，因此本实施例可以在保证信息安全的前提下降低业务系统内安全设备的复杂程度。

本申请还提供了一种计算机可读存储介质，其上存有计算机程序，该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请还提供了一种等保一体机，可以包括存储器和处理器，存储器中存有计算机程序，处理器调用存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然等保一体机还可以包括各种网络接口，电源等组件。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。