一种主机与虚拟机的隔离方法、装置及存储介质与流程

1.本发明属于主机与虚拟机的隔离技术领域，具体涉及一种主机与虚拟机的隔离方法、装置及存储介质。


背景技术：

2.虚拟机是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，每个虚拟机都有独立的cmos(数字集成芯片)、硬盘和操作系统，因此，在实体计算机中能够完成的功能在虚拟机中都能够实现，且可以像使用实体计算机一样对虚拟机进行操作，现已被广泛应用至人们的生产和生活中。
3.现有的终端桌面虚拟机技术产品，如vmware，只能满足在一台终端上运行两套系统，无法满足企业对两套系统中数据安全的需求，这主要是由以下几个缺点造成的：(1)外设接入设备无法管控，在日常工作中，u盘等外设的使用是非常常见的，而若无法对外设设备的接入进行管控，则会导致企业的重要信息数据安全得不到有效的保证；(2)无法在现有网络的基础上做到两套系统的网络管控隔离；(3)无法对主机与虚拟机制定完全独立的网络管控策略；因此，如何实现主机与虚拟机的网络隔离，以及主机与虚拟机的外设接入设备的管控，已成为一个亟待解决的问题。


技术实现要素：

4.本发明的目的是提供一种主机与虚拟机的隔离方法、装置及存储介质，用以解决现有技术中存在的主机与虚拟机无法实现外设接入设备的管控以及无法实现网络隔离的问题。
5.为了实现上述目的，本发明采用以下技术方案：
6.第一方面，本发明提供了一种主机与虚拟机的隔离方法，包括：
7.策略服务器获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；
8.策略服务器获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；
9.策略服务器基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；
10.策略服务器将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机；
11.指定主机接收策略服务器发送的主机通信隔离策略；
12.指定主机根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，
以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用；
13.指定主机中的虚拟机接收策略服务器发送的虚拟机通信隔离策略；
14.虚拟机根据所述虚拟机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述虚拟机中的各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
15.基于上述公开的内容，本发明预先配置有多个网络管控规则以及外设管控规则，然后，再获取指定主机和指定主机中虚拟机的业务需求信息，并基于获取的业务需求信息、网络管控规则以及外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略，接着，即可将主机通信隔离策略发送至指定主机，以及将虚拟机通信隔离策略发送至虚拟机，最后，指定主机和虚拟机即可基于接收到隔离策略，来配置各自对应的网络访问权限(如仅限于访问指定的互联网网段或仅限于访问指定的办公网网段等)和外设接口的访问权限(如任一外设接口仅具有只读功能、只写功能、读写功能或禁用任一外设接口)。
16.通过上述设计，本发明在终端原有的物理网络基础上，通过在策略服务器中添加网络管控规则和外设管控规则，再根据主机和虚拟机的业务需求，生成对应的隔离策略，并将不同的隔离策略下发到终端主机以及虚拟机上，从而形成多个网络相互独立的安全桌面；即本发明可实现主机与虚拟机的网络隔离，同时，还可通过隔离策略配置主机以及虚拟机中各个外设接口的访问权限，从而实现对外设接入设备的权限管控，避免了重要信息数据泄漏的问题，由此，满足了企业对主机和虚拟机中数据安全的保护需求，可将主机和虚拟机中不同安全级别的业务运行于完全隔离且安全的虚拟网络中，以达到多网安全隔离运行的目的，从根本上封堵了泄密途径，防止了泄密发生，保障了网络及业务的高度安全。
17.在一个可能的设计中，所述互联网网络管控规则包括互联网网段地址，所述办公网网络管控规则包括办公网网段地址，任一外设管控规则包括：待管控设备的ip地址、待管控设备中各个待管控外设接口的标识以及访问权限；
18.所述指定主机的业务需求信息包括指定主机的ip地址和指定主机的业务访问网段地址；
19.其中，基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略；包括：
20.基于所述指定主机的业务访问网段地址，从所述至少一个网络管控规则中，匹配出与所述业务访问网段地址相同的互联网网段地址或办公网网段地址，作为网络放行地址；
21.将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址；
22.基于所述指定主机的ip地址，从所述至少一个外设管控规则中，筛选出包含有所述指定主机的ip地址的外设管控规则，作为所述指定主机的外设隔离规则；
23.利用所述网络放行地址、所述网络拦截地址以及所述外设隔离规则，组成所述主机通信隔离策略。
24.在一个可能的设计中，所述指定主机的业务需求信息还包括：指定拦截网段地址，其中，在将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址后，所述方法还包括：
25.指定主机判断所述网络放行地址中是否存在有与所述指定拦截网段地址相同的网络放行地址；
26.若是，指定主机则从所述网络放行地址中，剔除与所述指定拦截网段地址相同的网络放行地址，并将所述指定拦截网段地址也作为网络拦截地址；否则，指定主机则直接将所述指定拦截网段地址作为网络拦截地址。
27.在一个可能的设计中，所述主机通信隔离策略包括：网络放行地址、网络拦截地址以及外设隔离规则，其中，所述外设隔离规则包括：待管控设备中各个待管控外设接口的标识以及访问权限；
28.相应的，根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，包括：
29.指定主机将所述网络放行地址作为所述指定主机的允许访问网段地址，以及将所述网络拦截地址作为所述指定主机的拒绝访问网段地址，并存储至所述指定主机的本地数据库中，以便在存储后，完成所述指定主机的网络访问权限的配置；
30.指定主机根据所述外设隔离规则中各个待管控外设接口的标识，在指定主机的各个外设接口中，匹配得到与各个待管控外设接口相对应的外设接口；
31.指定主机将所述指定主机中各个外设接口的访问权限，更改为对应待管控外设接口的访问权限，以在更改完成后，完成所述指定主机的外设接口访问权限的配置。
32.在一个可能的设计中，所述方法还包括：
33.指定主机统计进行网络通信时的操作记录，得到网络访问记录，以及统计各个外设接口的数据通信记录，作为外设接口访问记录；
34.指定主机将所述网络访问记录和所述外设接口访问记录发送至所述策略服务器；
35.指定主机中的虚拟机统计进行网络通信时的操作记录，得到虚拟机的网络访问记录，以及统计各个外设接口的数据通信记录，作为虚拟机的外设接口访问记录；
36.虚拟机将对应的网络访问记录和外设接口访问记录发送至所述策略服务器；
37.策略服务器接收指定主机和指定主机中虚拟机发送的网络访问记录以及外设接口访问记录；
38.策略服务器基于所述指定主机发送的网络访问记录和外设接口访问记录，生成第一操作记录报表，以及基于指定主机中虚拟机发送的网络访问记录和外设接口访问记录，生成第二操作记录报表，以便维护人员基于所述第一操作记录报表对所述指定主机进行数据审计，以及维护人员基于所述第二操作记录报表对指定主机中的虚拟机进行数据审计。
39.第二方面，本发明提供了第一种主机与虚拟机的隔离装置，以装置为策略服务器为例，包括：
40.获取单元，用于获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网
络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；
41.获取单元，用于获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；
42.策略配置单元，用于基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；
43.发送单元，用于将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机，以使所述指定主机基于主机通信隔离策略配置网络访问权限和外设接口访问权限，以及使所述虚拟机基于虚拟机通信隔离策略配置网络访问权限和外设接口访问权限，以便在所述指定主机和所述虚拟机的网络访问权限以及外设接口访问权限配置完成后，完成所述指定主机与所述虚拟机之间的网络隔离。
44.第三方面，本发明提供了第二种主机与虚拟机的隔离装置，以装置为指定主机为例，包括：
45.第一接收单元，用于接收策略服务器发送的主机通信隔离策略；
46.第一权限配置单元，用于根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
47.第四方面，本发明提供了第三种主机与虚拟机的隔离装置，以装置为虚拟机为例，包括：
48.第二接收单元，用于接收策略服务器发送的虚拟机通信隔离策略；
49.第二权限配置单元，用于根据所述虚拟机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述虚拟机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
50.第五方面，本发明提供了第四种主机与虚拟机的隔离装置，以系统为电子设备为例，包括依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如第一方面或第一方面中任意一种可能设计的所述主机与虚拟机的隔离方法。
51.第六方面，本发明提供了一种存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，执行如第一方面或第一方面中任意一种可能设计的所述主机与虚拟机的隔离方法。
52.第七方面，本发明提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如第一方面或第一方面中任意一种可能设计的所述主机与虚拟机的隔离方法。
53.有益效果：
54.(1)本发明在终端原有的物理网络基础上，通过在策略服务器中添加网络管控规则和外设管控规则，再根据主机和虚拟机的业务需求，生成对应的隔离策略，并将不同的隔离策略下发到终端主机以及虚拟机上，从而形成多个网络相互独立的安全桌面；即本发明可实现主机与虚拟机的网络隔离，同时，还可通过隔离策略配置主机以及虚拟机中各个外设接口的访问权限，从而实现对外设接入设备的权限管控，避免了重要信息数据泄漏的问题，由此，满足了企业对主机和虚拟机中数据安全的保护需求，可将主机和虚拟机中不同安全级别的业务运行于完全隔离且安全的虚拟网络中，以达到多网安全隔离运行的目的，从根本上封堵了泄密途径，防止了泄密发生，保障了网络及业务的高度安全。
附图说明
55.图1为本发明提供的主机与虚拟机隔离系统的架构示意图；
56.图2为本发明提供的主机与虚拟机的隔离方法的步骤流程示意图；
57.图3为本发明提供的主机与虚拟机的隔离方法的运行流程图；
58.图4为本发明提供的策略服务器的结构示意图；
59.图5为本发明提供的指定主机的结构示意图；
60.图6为本发明提供的虚拟机的结构示意图；
61.图7为本发明提供的电子设备的结构示意图。
具体实施方式
62.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将结合附图和实施例或现有技术的描述对本发明作简单地介绍，显而易见地，下面关于附图结构的描述仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在此需要说明的是，对于这些实施例方式的说明用于帮助理解本发明，但并不构成对本发明的限定。
63.应当理解，尽管本文可能使用术语第一、第二等等来描述各种单元，但是这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第一单元称作第二单元,并且类似地可以将第二单元称作第一单元，同时不脱离本发明的示例实施例的范围。
64.应当理解，对于本文中可能出现的术语“和/或”，其仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，单独存在b，同时存在a和b三种情况；对于本文中可能出现的术语“/和”，其是描述另一种关联对象关系，表示可以存在两种关系，例如，a/和b，可以表示：单独存在a，单独存在a和b两种情况；另外，对于本文中可能出现的字符“/”，一般表示前后关联对象是一种“或”关系。
65.实施例：
66.如图1所示，为本技术提供一种主机与虚拟机的隔离系统的系统架构，该架构可以但不限于包括策略服务器、指定主机以及指定主机中的虚拟机，其中，策略服务器分别通信连接指定主机和虚拟机，所述策略服务器用于获取网络管控规则以及外设管控规则，并基于指定主机和虚拟机的业务需求信息，从网络管控规则以及外设管控规则中，配置出指定主机对应的通信隔离策略，以及虚拟机对应的通信隔离策略，同时，策略服务器还会将配置
的通信隔离策略下发至对应的指定主机以及虚拟机，而指定主机和虚拟机则会基于接收到的通信隔离策略，来配置各自对应的网络访问权限和外设接口的访问权限；由此，本发明即可实现主机与虚拟机的网络隔离，以及主机与虚拟机的外设接入设备的权限监控，从而满足企业对同一终端上两套系统的数据保护需求。
67.参见图2和图3所示，本实施例第一方面所提供的主机与虚拟机的隔离方法，可以但不限于在策略服务器、指定主机以及指定主机中的虚拟机侧运行，其中，所述指定主机可以但不限于是个人电脑(personal computer，pc)、平板电脑、智能手机和/或个人数字助理(personal digital assistant，pda)等，可以理解的，前述执行主体并不构成对本技术实施例的限定，相应的，本方法的运行步骤可以但不限于如下述步骤s1～s8所示。
68.s1.策略服务器获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；在具体应用时，互联网网络管控规则可理解为外网，办公网网络可理解为企业的内网(如局域网等)，同时，举例互联网网络管控规则可以但不限于包括互联网网段地址，(如192.168.1.1)，同理，所述办公网网络管控规则也可以但不限于包括办公网网段地址(如192.168.1.255)，而任一外设管控规则包括：待管控设备的ip地址(如指定主机的ip地址，指定主机中虚拟机的ip地址)、待管控设备中各个待管控外设接口的标识以及访问权限(如指定主机的usb接口的标识分别为usb1、usb2，对应访问权限依次为只读权限、只写权限)，当然，前述各个互联网网段地址、办公网网段地址以及外设管控规则可根据实际使用而具体设定，在此不限于前述举例；更进一步的，前述网络管控规则和外设管控规则可由管控人员预先上传至策略服务器。
69.在策略服务器中预先配置多个网络管控规则和外设管控规则后，即可获取指定主机和指定主机中虚拟机的业务需求信息，以便基于业务需求信息，在网络管控规则和外设管控规则中，生成对应的通信隔离策略，其中，策略生成过程如下述步骤s2和步骤s3所示。
70.s2.策略服务器获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；具体应用时，举例指定主机的业务需求信息包括指定主机的ip地址和指定主机的业务访问网段地址，其中，指定主机的业务访问网段地址则用于表征指定主机开展业务时所需要访问的网络地址，同理，虚拟机的业务需求信息则包括虚拟机的ip地址和虚拟机的业务访问网段地址；由此，即可基于前述业务需求信息，从网络管控规则和外设管控规则中，配置得到指定主机和虚拟机各自的通信隔离策略。
71.s3.策略服务器基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；具体应用时，以指定主机的主机通信隔离策略的生成过程为例，来进行具体阐述，如下述步骤s31～s34所示。
72.s31.基于所述指定主机的业务访问网段地址，从所述至少一个网络管控规则中，匹配出与所述业务访问网段地址相同的互联网网段地址或办公网网段地址，作为网络放行地址。
73.s32.将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址。
74.s33.基于所述指定主机的ip地址，从所述至少一个外设管控规则中，筛选出包含有所述指定主机的ip地址的外设管控规则，作为所述指定主机的外设隔离规则。
75.s34.利用所述网络放行地址、所述网络拦截地址以及所述外设隔离规则，组成所述主机通信隔离策略。
76.前述步骤s31～s34的原理为：由于业务需求信息中包含有指定主机进行业务时所必须访问的网段，因此，前述业务访问网段在指定主机运行过程中，需保证对其的正常访问，由此，即可将业务访问网段地址与至少一个网络管控规则的各个网段进行匹配，将与业务访问网段地址相同的办公网网段地址或互联网网段地址作为网络放行地址；同理，至少一个网络管控规则中除去业务访问网段地址以外的所有网段，则是业务开展所不需要的，因此，可将其作为网络拦截网段，在指定主机访问前述各个网络拦截访问时，需拒绝访问。
77.在本实施例中，由于前述外设管控规则由管控人员预先上传至策略服务器中，因此，在上传前，就已配置了各个指定主机的外设接口的访问权限，所以，在策略生成过程中，可直接基于指定主机的ip，来匹配对应指定主机对应的外设管控规则；最后，利用前述网络放行地址、网络拦截地址以及包含有指定主机ip地址的外设管控规则，即可组成指定主机的主机通信隔离策略；当然，在本实施例中，虚拟机对应的通信隔离策略生成原理与指定主机的通信隔离策略生成原理一致，于此不再赘述。
78.更进一步的，管控人员还可在业务需求信息中添加指定拦截网段地址，以便基于实际业务需求，来实时变更指定主机的网络访问管控，如添加192.168.1.1-192.168.1.224的网段作为指定拦截网络地址，即前述网段表示在实际访问过程中，指定主机需要拒绝前述各个网络的访问请求；当然，指定拦截网段地址可根据实际使用而具体设定，在此不限定于前述举例。
79.因此，当业务需求信息中包含有指定拦截网段地址时，在得到网络拦截地址后，则还需进行如下步骤s35和步骤s36。
80.s35.判断所述网络放行地址中是否存在有与所述指定拦截网段地址相同的网络放行地址。
81.s36.若是，则从所述网络放行地址中，剔除与所述指定拦截网段地址相同的网络放行地址，并将所述指定拦截网段地址也作为网络拦截地址；否则，则直接将所述指定拦截网段地址作为网络拦截地址。
82.在本实施例中，若网络放行地址中存在有指定拦截网段地址，则需要先从网络放行地址中剔除指定拦截网段地址，然后再将指定拦截网段地址作为网络拦截地址，从而保证指定主机拒绝前述指定拦截网段地址的访问请求；而若网络放行地址中不存在有指定拦截网段地址，则说明指定拦截网段地址为新增地址，可直接将其作为网络拦截地址；当然，还可根据实际使用在业务需求信息中添加指定访问网段，同理，只需要判断网络拦截地址中是否存在有指定访问网段即可，其原理与前述指定拦截网段添加原理一致，于此不再赘述。
83.通过上述设计，本发明能够基于实际使用需求，为主机以及虚拟机添加不同的网段，从而实现主机与虚拟机对不同网段的访问以及拦截。
84.在生成指定主机与指定主机中虚拟机各自对应的通信隔离策略后，即可下发至指定主机以及虚拟机，以基于通信隔离策略完成网络访问权限和外设访问权限的配置，其中，
配置过程如下述步骤s4～s8所示。
85.s4.策略服务器将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机。
86.s5.指定主机接收策略服务器发送的主机通信隔离策略；
87.s6.指定主机根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
88.s7.指定主机中的虚拟机接收策略服务器发送的虚拟机通信隔离策略。
89.s8.虚拟机根据所述虚拟机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述虚拟机中的各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
90.由于指定主机与虚拟机基于对应的通信隔离策略配置网络访问权限以及外设访问权限的原理相同，下述以指定主机为例，来阐述前述网络访问权限以及外设访问权限的配置过程，如下述步骤s51～s53所示。
91.s51.将所述网络放行地址作为所述指定主机的允许访问网段地址，以及将所述网络拦截地址作为所述指定主机的拒绝访问网段地址，并存储至所述指定主机的本地数据库中，以便在存储后，完成所述指定主机的网络访问权限的配置；在具体实施时，由于前述就已说明，网络放行地址是指定主机开展业务时所必须要访问的地址，而网络拦截地址是指定主机需拒绝访问的地址，因此，根据主机通信隔离策略中的网络放行地址和络拦截地址，即可组成指定主机运行访问和拒绝访问的地址表(该地址表中含有允许访问网段地址和拒绝访问网段地址)，最后，将其存储至数据库，即可完成指定主机的网络访问权限的配置；具体的，在实际使用过程中，指定主机在进行网络访问时，则基于前述的地址表判断是否可进行访问。
92.同时，外设隔离规则中包含有待管控外设接口的标识以及对应的权限，因此，即可基于标识来进行待管控外设接口与指定主机中各个外设接口的一一匹配，在完成匹配后，即可进行权限的设置，如下述步骤s52和步骤s53所示。
93.s52.根据所述外设隔离规则中各个待管控外设接口的标识，在指定主机的各个外设接口中，匹配得到与各个待管控外设接口相对应的外设接口。
94.s53.将所述指定主机中各个外设接口的访问权限，更改为对应待管控外设接口的访问权限，以在更改完成后，完成所述指定主机的外设接口访问权限的配置。
95.下述以一个实例来阐述前述步骤s52和步骤s53，假设外设隔离规则中的待管控外设接口包括usb-a接口和usb-b接口，对应的标识分别为usb1和usb2，对应的访问权限依次为：只读和只写，那么则在指定主机对应的各个外设接口中，筛选出标识为usb1的外设接口(假设为usb-a)，作为与usb-a相对应的外设接口，同理，筛选出标识为usb2的外设接口(鸡舍为usb-b)，作为与usb-b相对应的外设接口，最后，将usb-a的访问权限更改为usb-a的访
问权限(即更改为只读权限)，以及将usb-b的访问权限更改为usb-b的访问权限(即更改为只写权限)，更改完成后，即可完成指定主机的外设访问权限的配置；当然，其余各个外设接口的权限设置与前述举例原理一致，于此不再赘述；同理，虚拟机中各个外设接口的权限配置，与指定主机的外设访问权限配置原理相同，于此不再赘述。
96.由此通过前述步骤s1～s8所详细描述的主机与虚拟机的隔离方法，本发明在终端原有的物理网络基础上，通过在策略服务器中添加网络管控规则和外设管控规则，再根据主机和虚拟机的业务需求，生成对应的隔离策略，并将不同的隔离策略下发到终端主机以及虚拟机上，从而形成多个网络相互独立的安全桌面；同时，还可实现对外设接入设备的权限管控，避免了重要信息数据泄漏的问题，由此，满足了企业对主机和虚拟机中数据安全的保护需求，可将主机和虚拟机中不同安全级别的业务运行于完全隔离且安全的虚拟网络中，以达到多网安全隔离运行的目的，从根本上封堵了泄密途径，防止了泄密发生，保障了网络及业务的高度安全。
97.在一个可能的设计中，参见图3所示，本实施例第二方面在实施例第一方面的基础上，增加指定主机与虚拟机的网络访问记录以及外设访问记录的统计过程，以便基于前述网络访问记录以及外设访问记录生成相应的操作记录报表，从而实现主机与虚拟机的数据审计，以做到对主指定主机以及虚拟机行为的管控，其中，统计步骤如下述步骤s9～s15所示。
98.s9.指定主机统计进行网络通信时的操作记录，得到网络访问记录，以及统计各个外设接口的数据通信记录，作为外设接口访问记录；具体应用时，举例网络访问记录中的任一条网络访问记录可以但不限于包括访问网络的地址、访问时间以及访问结果(是允许访问还是拒绝访问)，同理，举例任一条外设接口访问接口可以但不限于包括：访问外设接口标识、访问外设接口的权限、访问数据(如读取的数据或写入的数据)、访问时间以及访问对象(如读取数据时的读取方名称，或写入数据时的写入方名称等)。
99.s10.指定主机将所述网络访问记录和所述外设接口访问记录发送至所述策略服务器。
100.s11.指定主机中的虚拟机统计进行网络通信时的操作记录，得到虚拟机的网络访问记录，以及统计各个外设接口的数据通信记录，作为虚拟机的外设接口访问记录；在本实施例中，虚拟机的网络访问记录和外设接口访问记录与指定主机对应记录包含的信息相同，于此不再赘述。
101.s12.虚拟机将对应的网络访问记录和外设接口访问记录发送至所述策略服务器。
102.s13.策略服务器接收指定主机和指定主机中虚拟机发送的网络访问记录以及外设接口访问记录。
103.s14.策略服务器基于所述指定主机发送的网络访问记录和外设接口访问记录，生成第一操作记录报表，以及基于指定主机中虚拟机发送的网络访问记录和外设接口访问记录，生成第二操作记录报表，以便维护人员基于所述第一操作记录报表对所述指定主机进行数据审计，以及维护人员基于所述第二操作记录报表对指定主机中的虚拟机进行数据审计。
104.具体应用时，维护人员可根据第一操作记录报表和第二操作记录报表，来得知指定主机和虚拟机的行为记录，从而实现行为监管，同时，还可对指定主机和虚拟机进行行为
分析，从而得出指定主机以及虚拟机的行为分析结果，以便后续基于行为分析结果进行网络的防御设置，由此，可进一步的提高虚拟机与指定主机之间网络通信的安全性。
105.如图4所示，本实施例第三方面提供了一种实现实施例第一方面和第二方面中所述的主机与虚拟机的隔离方法的硬件装置，以装置为策略服务器为例，包括：
106.获取单元，用于获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；
107.获取单元，用于获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；
108.策略配置单元，用于基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；
109.发送单元，用于将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机，以使所述指定主机基于主机通信隔离策略配置网络访问权限和外设接口访问权限，以及使所述虚拟机基于虚拟机通信隔离策略配置网络访问权限和外设接口访问权限，以便在所述指定主机和所述虚拟机的网络访问权限以及外设接口访问权限配置完成后，完成所述指定主机与所述虚拟机之间的网络隔离。
110.本实施例提供的装置的工作过程、工作细节和技术效果，可以参见实施例第一方面和第二方面，于此不再赘述。
111.如图5所示，本实施例第四方面提供了第二种实现实施例第一方面和第二方面中所述的主机与虚拟机的隔离方法的硬件装置，以装置为指定主机为例，包括：
112.第一接收单元，用于接收策略服务器发送的主机通信隔离策略；
113.第一权限配置单元，用于根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
114.本实施例提供的装置的工作过程、工作细节和技术效果，可以参见实施例第一方面和第二方面，于此不再赘述。
115.如图6所示，本实施例第五方面提供了第三种实现实施例第一方面和第二方面中所述的主机与虚拟机的隔离方法的硬件装置，以装置为虚拟机为例，包括：
116.第二接收单元，用于接收策略服务器发送的虚拟机通信隔离策略；
117.第二权限配置单元，用于根据所述虚拟机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述虚拟机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
118.本实施例提供的装置的工作过程、工作细节和技术效果，可以参见实施例第一方
面和第二方面，于此不再赘述。
119.如图7所示，本实施例第六方面提供了第四种主机与虚拟机的隔离装置，以装置为电子设备为例，包括：依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如实施例第一方面和/或第二方面所述的主机与虚拟机的隔离方法。
120.具体举例的，所述存储器可以但不限于包括随机存取存储器(random access memory，ram)、只读存储器(read only memory，rom)、闪存(flash memory)、先进先出存储器(first input first output，fifo)和/或先进后出存储器(first in last out，filo)等等；具体地，处理器可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器可以采用dsp(digital signal processing，数字信号处理)、fpga(field－programmable gate array，现场可编程门阵列)、pla(programmable logic array，可编程逻辑阵列)中的至少一种硬件形式来实现，同时，处理器也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(central processing unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。
121.在一些实施例中，处理器可以在集成有gpu(graphics processing unit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制，例如，所述处理器可以不限于采用型号为stm32f105系列的微处理器、精简指令集计算机(reduced instruction set computer,risc)微处理器、x86等架构处理器或集成嵌入式神经网络处理器(neural-network processing units，npu)的处理器；所述收发器可以但不限于为无线保真(wifi)无线收发器、蓝牙无线收发器、通用分组无线服务技术(general packet radio service，gprs)无线收发器、紫蜂协议(基于ieee802.15.4标准的低功耗局域网协议，zigbee)无线收发器、3g收发器、4g收发器和/或5g收发器等。此外，所述装置还可以但不限于包括有电源模块、显示屏和其它必要的部件。
122.本实施例提供的电子设备的工作过程、工作细节和技术效果，可以参见实施例第一方面和第二方面，于此不再赘述。
123.本实施例第七方面提供了一种存储包含有实施例第一方面和/或第二方面所述的主机与虚拟机的隔离方法的指令的存储介质，即所述存储介质上存储有指令，当所述指令在计算机上运行时，执行如第一方面和/或第二方面所述的主机与虚拟机的隔离方法。
124.其中，所述存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒(memory stick)等，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。
125.本实施例提供的存储介质的工作过程、工作细节和技术效果，可以参见实施例第一方面和第二方面，于此不再赘述。
126.本实施例第八方面提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如实施例第一方面和/或第二方面所述的主机与虚拟机的隔离方法，其中，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。
127.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含
在本发明的保护范围之内。