技术特征:
1.一种主机与虚拟机的隔离方法,其特征在于,应用于策略服务器,包括:获取至少一个网络管控规则以及至少一个外设管控规则,其中,所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则,且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限;获取业务需求信息,其中,所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息,且指定主机的业务需求信息与虚拟机的业务需求信息互不相同;基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则,生成主机通信隔离策略以及虚拟机通信隔离策略;将所述主机通信隔离策略发送至所述指定主机,以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机,以使所述指定主机基于主机通信隔离策略配置网络访问权限和外设接口访问权限,以及使所述虚拟机基于虚拟机通信隔离策略配置网络访问权限和外设接口访问权限,以便在所述指定主机和所述虚拟机的网络访问权限以及外设接口访问权限配置完成后,完成所述指定主机与所述虚拟机之间的网络隔离。2.根据权利要求1所述的方法,其特征在于,所述互联网网络管控规则包括互联网网段地址,所述办公网网络管控规则包括办公网网段地址,任一外设管控规则包括:待管控设备的ip地址、待管控设备中各个待管控外设接口的标识以及访问权限;所述指定主机的业务需求信息包括指定主机的ip地址和指定主机的业务访问网段地址;其中,基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则,生成主机通信隔离策略,包括:基于所述指定主机的业务访问网段地址,从所述至少一个网络管控规则中,匹配出与所述业务访问网段地址相同的互联网网段地址或办公网网段地址,作为网络放行地址;将所述至少一个网络管控规则中,与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址,作为网络拦截地址;基于所述指定主机的ip地址,从所述至少一个外设管控规则中,筛选出包含有所述指定主机的ip地址的外设管控规则,作为所述指定主机的外设隔离规则;利用所述网络放行地址、所述网络拦截地址以及所述外设隔离规则,组成所述主机通信隔离策略。3.如权利要求2所述的方法,其特征在于,所述指定主机的业务需求信息还包括:指定拦截网段地址,其中,在将所述至少一个网络管控规则中,与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址,作为网络拦截地址后,所述方法还包括:判断所述网络放行地址中是否存在有与所述指定拦截网段地址相同的网络放行地址;若是,则从所述网络放行地址中,剔除与所述指定拦截网段地址相同的网络放行地址,并将所述指定拦截网段地址也作为网络拦截地址;否则,则直接将所述指定拦截网段地址作为网络拦截地址。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收指定主机和指定主机中虚拟机发送的网络访问记录以及外设接口访问记录;
基于所述指定主机发送的网络访问记录和外设接口访问记录,生成第一操作记录报表,以及基于指定主机中虚拟机发送的网络访问记录和外设接口访问记录,生成第二操作记录报表,以便维护人员基于所述第一操作记录报表对所述指定主机进行数据审计,以及维护人员基于所述第二操作记录报表对指定主机中的虚拟机进行数据审计。5.一种主机与虚拟机的隔离方法,其特征在于,应用于指定主机,包括:接收策略服务器发送的主机通信隔离策略;根据所述主机通信隔离策略,配置网络访问权限和外设接口访问权限,以便基于配置的网络访问权限和外设接口访问权限进行业务通信,其中,所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址,且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限,且所述数据通信权限包括只读、只写、读写或禁用。6.根据权利要求5所述的方法,其特征在于,所述主机通信隔离策略包括:网络放行地址、网络拦截地址以及外设隔离规则,其中,所述外设隔离规则包括:待管控设备中各个待管控外设接口的标识以及访问权限;相应的,根据所述主机通信隔离策略,配置网络访问权限和外设接口访问权限,包括:将所述网络放行地址作为所述指定主机的允许访问网段地址,以及将所述网络拦截地址作为所述指定主机的拒绝访问网段地址,并存储至所述指定主机的本地数据库中,以便在存储后,完成所述指定主机的网络访问权限的配置;根据所述外设隔离规则中各个待管控外设接口的标识,在指定主机的各个外设接口中,匹配得到与各个待管控外设接口相对应的外设接口;将所述指定主机中各个外设接口的访问权限,更改为对应待管控外设接口的访问权限,以在更改完成后,完成所述指定主机的外设接口访问权限的配置。7.如权利要求5所述的方法,其特征在于,所述方法还包括:统计进行网络通信时的操作记录,得到网络访问记录,以及统计各个外设接口的数据通信记录,作为外设接口访问记录;将所述网络访问记录和所述外设接口访问记录发送至所述策略服务器,以使所述策略服务器基于所述指定主机发送的网络访问记录和外设接口访问记录,生成第一操作记录报表,以便维护人员基于所述第一操作记录报表对所述指定主机进行数据审计。8.一种主机与虚拟机的隔离装置,其特征在于,包括:获取单元,用于获取至少一个网络管控规则以及至少一个外设管控规则,其中,所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则,且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限;获取单元,用于获取业务需求信息,其中,所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息,且指定主机的业务需求信息与虚拟机的业务需求信息互不相同;策略配置单元,用于基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则,生成主机通信隔离策略以及虚拟机通信隔离策略;发送单元,用于将所述主机通信隔离策略发送至所述指定主机,以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机,以使所述指定主机基于主机通信隔离策略配
置网络访问权限和外设接口访问权限,以及使所述虚拟机基于虚拟机通信隔离策略配置网络访问权限和外设接口访问权限,以便在所述指定主机和所述虚拟机的网络访问权限以及外设接口访问权限配置完成后,完成所述指定主机与所述虚拟机之间的网络隔离。9.一种主机与虚拟机的隔离装置,其特征在于,包括:第一接收单元,用于接收策略服务器发送的主机通信隔离策略;第一权限配置单元,用于根据所述主机通信隔离策略,配置网络访问权限和外设接口访问权限,以便基于配置的网络访问权限和外设接口访问权限进行业务通信,其中,所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址,且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限,且所述数据通信权限包括只读、只写、读写或禁用。10.一种存储介质,其特征在于,所述存储介质上存储有指令,当所述指令在计算机上运行时,执行如权利要求1~4或5~7任意一项所述的主机与虚拟机的隔离方法。
技术总结
本发明公开了一种主机与虚拟机的隔离方法、装置及存储介质,本发明在终端原有的物理网络基础上,通过在策略服务器中添加网络管控规则和外设管控规则,再根据主机和虚拟机的业务需求,生成对应的隔离策略,并将不同的隔离策略下发到终端主机以及虚拟机上,从而形成多个网络相互独立的安全桌面;即本发明可实现主机与虚拟机的网络隔离,同时,还可实现对外设接入设备的权限管控,避免了重要信息数据泄漏的问题,由此,满足了企业对主机和虚拟机中数据安全的保护需求,可将主机和虚拟机中不同安全级别的业务运行于完全隔离且安全的虚拟网络中,以达到多网安全隔离运行的目的,从根本上封堵泄密途径,防止泄密发生,保障网络及业务的高度安全。务的高度安全。务的高度安全。
技术研发人员:袁江
受保护的技术使用者:成都域卫科技有限公司
技术研发日:2022.07.07
技术公布日:2022/10/13