一种云操作系统的安全保护系统技术方案

本发明专利技术公开了一种云操作系统的安全保护系统，包括：无代理模式防毒模块，分时扫描云操作系统中各应用服务器虚拟机，管理虚拟化环境下各虚拟机的安全防护；逻辑防火墙模块，对各应用服务器虚拟机进行网络安全防护；补丁模块，侦测或阻止云操作系统漏洞的已知攻击或零日攻击；应用程序防护模块，侦测或阻止基于应用程序漏洞的已知攻击或零日攻击；应用程序控制模块，监控云操作系统中各应用服务器虚拟机；完整性监控模块，侦测或阻止针对目录，文件和键值的未授权或恶意修改；日志审计模块，对各应用服务器虚拟机的安全事件进行审计；该系统通过上述模块能够实现对云操作系统进行多维度安全保护，保证云操作系统的安全。

Safety protection system of cloud operation system

The invention discloses a safety protection system, a cloud operating system including: no antivirus agent mode module, scanning each application server cloud operating system in virtual machine, the virtual machine safety protection under the environment of virtual management; firewall logic module, the application server of network security server virtual machine; patch module, known attacks detect or prevent cloud operating system vulnerabilities or zero day attacks; the application of protection module, detect or prevent attacks based on known attack application vulnerabilities or zero day; the application control module, monitoring the application server cloud operating system in virtual machine; integrity monitoring module, detect or stop directory, file and key unauthorized or malicious modification; log audit module, security incident on each application server virtual machine to audit the Department; The system can realize multi-dimensional security protection to the cloud operating system, and ensure the safety of the cloud operating system.

【技术实现步骤摘要】

本专利技术涉及云
，特别涉及一种云操作系统的安全保护系统。
技术介绍
随着时间的推移，大多数企业的业务都将转移到云端，在云中会使得遵守法规和行业标准的过程更为复杂，也将更具挑战性。云计算在应用领域的飞速发展使得云安全成为亟待解决的重要问题。云计算目前尚无统一定义，因而云安全的概念尚不清晰；基于此，如何保证云操作系统的安全，是本领域技术人员需要解决的技术问题。
技术实现思路
本专利技术的目的是提供一种云操作系统的安全保护系统，该系统通过上述模块能够实现对云操作系统进行多维度安全保护，保证云操作系统的安全。为解决上述技术问题，本专利技术提供一种云操作系统的安全保护系统，包括：无代理模式防毒模块，用于分时扫描云操作系统中各应用服务器虚拟机，管理虚拟化环境下各虚拟机的安全防护；逻辑防火墙模块，用于对所述各应用服务器虚拟机进行网络安全防护；补丁模块，用于侦测或阻止所述云操作系统漏洞的已知攻击或零日攻击；应用程序防护模块，用于侦测或阻止基于应用程序漏洞的已知攻击或零日攻击；应用程序控制模块，用于监控云操作系统中各应用服务器虚拟机；完整性监控模块，用于侦测或阻止针对目录，文件和键值的未授权或恶意修改；日志审计模块，用于对所述各应用服务器虚拟机的安全事件进行审计。可选的，所述无代理模式防毒模块设置于采用加固专用系统的安全虚拟服务器中。可选的，所述逻辑防火墙模块支持全部IP-based的协议，提供细粒度过滤功能，并根据用户设置对预定网络接口进行网络安全防护。可选的，所述补丁模块包括：IDS补丁，IPS补丁和虚拟补丁。可选的，本方案还包括：身份认证模块，用于对访问所述云操作系统的安全保护系统的用户的身份进行认证。可选的，本方案还包括：告警模块，用于当检测到所述云操作系统存在安全问题时进行报警。可选的，所述告警模块还包括：发送单元，用于通过桌面屏幕、邮件、短信、SYSLOG或SNMP通知对应管理人员。本专利技术所提供的一种云操作系统的安全保护系统，包括：无代理模式防毒模块，分时扫描云操作系统中各应用服务器虚拟机，管理虚拟化环境下各虚拟机的安全防护；逻辑防火墙模块，对各应用服务器虚拟机进行网络安全防护；补丁模块，侦测或阻止云操作系统漏洞的已知攻击或零日攻击；应用程序防护模块，侦测或阻止基于应用程序漏洞的已知攻击或零日攻击；应用程序控制模块，监控云操作系统中各应用服务器虚拟机；完整性监控模块，侦测或阻止针对目录，文件和键值的未授权或恶意修改；日志审计模块，对各应用服务器虚拟机的安全事件进行审计；该系统通过上述模块能够实现对云操作系统进行多维度安全保护，即从系统各个层面全面保证云操作系统的安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术实施例所提供的云操作系统的多维度安全体系示意图；图2为本专利技术实施例所提供的一种云操作系统的安全保护系统的结构框图；图3为本专利技术实施例所提供的另一云操作系统的安全保护系统的结构框图；图4为本专利技术实施例所提供的又一云操作系统的安全保护系统的结构框图。具体实施方式本专利技术的核心是提供一种云操作系统的安全保护系统，该系统通过上述模块能够实现对云操作系统进行多维度安全保护，保证云操作系统的安全。为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本实施例主要考虑随着云计算服务的广泛使用，租户对云计算的安全性提出了越来越高的要求，云计算环境的动态性、随机性、复杂性和开放性使得原有安全方案难以适用，这也阻碍了云计算的进一步发展与应用。因此，本实施例的安全保护系统主要从云计算安全架构、机制以及模型评价三个方面展开。本实施例中云计算的安全架构不仅需要可信链路以及上层可信服务的安全保证，还需要实现可管、可控的动态安全管理与可度量的安全评价优化过程。云计算的安全主要集中于数据安全，身份认证以及访问控制策略方面。可信计算与云计算思想相结合加强了Web安全、虚拟化安全、访问控制、安全设计、多租户资源隔离等方面的安全控制功能。具体请参考图1，图1给出了云操作系统的多维度安全体系示意图；可以保护云操作系统的八大模块的安全：接入安全、访问控制、数据安全、物理资源安全、虚拟资源安全、通信安全、审计和系统安全。本实施例中各模块间相互控制和配合，实现对上述八大模块的安全保护，从而形成一个完整高效的云操作系统的安全保护系统；具体请参考图2，图2为本专利技术实施例所提供的一种云操作系统的安全保护系统的结构框图；该系统可以包括：无代理模式防毒模块10，用于分时扫描云操作系统中各应用服务器虚拟机，管理虚拟化环境下各虚拟机的安全防护。具体的，无代理模式防毒模块10使用无代理安全模式管理虚拟化环境下各虚拟机的安全防护。其中，无代理安全模式是基于宿主机整体考虑，以一个真实物理机为一个管理单位，用户无需在每个虚拟机中部署安装安全防护代理程序，将安全防护进程移出各个单独的虚拟机，集中部署在一台虚拟安全服务器中运行，分时扫描各应用服务器虚拟机，管理虚拟化环境下其他所有虚拟机的安全防护。因为安全服务器虚拟机直接部署在虚拟化平台(即云操作系统的安全保护系统)上，对下层资源配置和利用情况具有完全的感知与掌控，充分利用虚拟化环境下对资源请求的时间差，统一调度，统计复用资源。可以避免相同的安全防护进程在各虚拟机中并行地运行，并发地耗用底层资源，而改变为由一个虚拟安全服务器串行地运行，均衡了负载和资源的利用。进一步包含有无代理模式防毒模块10的安全虚拟服务器可采用经过加固的专用系统，安全级别高，从而显著提升了无代理模式下的整体安全性。用户只需安装一次安全防护套件，一次性部署，然后对这台安全虚拟服务器随时在线升级和维护，对虚拟环境的性能不会造成显著影响。由于避免了各虚拟机重复性更新，也就避免了“防病毒风暴”等现象。只要保护好这台虚拟安全服务器，就能够让其他所有虚拟机得到最新的安全防护。从这一点看，在虚拟化环境中，集中式的无代理安全防护模式的安全性要高于分散式有代理安全防护模式。由于在各虚拟机上取消了安全防护代理程序，因此可以帮助底层宿主机降低负担。采用无代理安全模式，当虚拟机数量较大时，节省的资源数量将非常可观，可以提高虚拟机密度，获得最大化效能。无代理安全解决方案具有实时性，对于处于休眠状态的虚拟机，一旦激活便可以立即获得最新的防护，甚至对新克隆或安装的虚拟机裸机也同样，解决了虚拟机启动中的防护间隙问题。并且，安全虚拟服务器可以及时拦截并检查虚拟机内部通信，防止虚拟机间的攻击。从易管理的角度来看，采用无代理安全防护模式，云计算数据中心在扩展、迁移虚拟机时，无需再次部署、设置安全解决方案，更新代理程序，虚拟机的迁移、资源的利用更具弹性。由于提供了统一管理机制，变分散管理为集中管理，大大降低了管理工本文档来自技高网...

【技术保护点】
一种云操作系统的安全保护系统，其特征在于，包括：无代理模式防毒模块，用于分时扫描云操作系统中各应用服务器虚拟机，管理虚拟化环境下各虚拟机的安全防护；逻辑防火墙模块，用于对所述各应用服务器虚拟机进行网络安全防护；补丁模块，用于侦测或阻止所述云操作系统漏洞的已知攻击或零日攻击；应用程序防护模块，用于侦测或阻止基于应用程序漏洞的已知攻击或零日攻击；应用程序控制模块，用于监控云操作系统中各应用服务器虚拟机；完整性监控模块，用于侦测或阻止针对目录，文件和键值的未授权或恶意修改；日志审计模块，用于对所述各应用服务器虚拟机的安全事件进行审计。

【技术特征摘要】
1.一种云操作系统的安全保护系统，其特征在于，包括：无代理模式防毒模块，用于分时扫描云操作系统中各应用服务器虚拟机，管理虚拟化环境下各虚拟机的安全防护；逻辑防火墙模块，用于对所述各应用服务器虚拟机进行网络安全防护；补丁模块，用于侦测或阻止所述云操作系统漏洞的已知攻击或零日攻击；应用程序防护模块，用于侦测或阻止基于应用程序漏洞的已知攻击或零日攻击；应用程序控制模块，用于监控云操作系统中各应用服务器虚拟机；完整性监控模块，用于侦测或阻止针对目录，文件和键值的未授权或恶意修改；日志审计模块，用于对所述各应用服务器虚拟机的安全事件进行审计。2.根据权利要求1所述的云操作系统的安全保护系统，其特征在于，所述无代理模式防毒模块设置于采用加固专用系统的安全虚拟服务器中。3.根据权利要求2所述的云操作系...

【专利技术属性】
技术研发人员：张培训，高飞，刘正伟，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南;41