一种云平台组件安全策略实现方法技术

本发明专利技术涉及一种云平台组件安全策略管理及其实现方法。本发明专利技术的方法包括如下步骤：1、选择安全策略规则模板，并传入策略规则所需的信息；2、后台对策略模块名进行同名校验，对组件文件路径列表与系统中已存在的文件列表进行包含校验；3、将策略模块信息保存至数据库，并生成任务记录；4、后台执行任务表中的升级模块任务时，将策略模块编译并加载至内核中；5、分发.pp文件内容到云平台各个节点上，各节点收到后将.pp文件加载到内核并更新对应文件列表的安全上下文，最后返回操作结果给控制端；6、对云平台组件安全策略进行编辑、启用、禁用、删除等管理。本发明专利技术解决了云平台组件安全策略实现时手动为新组件编写安全策略规则等所存在的问题。

【技术实现步骤摘要】
一种云平台组件安全策略实现方法
本专利技术涉及云平台安全
，尤其是一种云平台组件安全策略管理及其实现方法。
技术介绍
随着虚拟化技术的发展越来越多的应用迁上了云；在大数据和人工智能飞速发展的今天，新兴应用也如雨后春笋般出现并上了云。与此同时，在软件安全方面，各种严重漏洞频频被报出，影响很广。云服务面临信任危机，云安全问题越发显著；而云平台组件会陆续出现新的组件，对于云平台更是面临以下问题：一是攻击者一旦发现云平台自身的安全漏洞并加以利用，就可能导致严重的大规模信息泄露事件，更有甚者，如果攻击者通过某软件漏洞获取到超级用户权限，后果更不堪设想；二是用户获取内核安全策略软件的途径各种各样，获取的软件无法保证其安全性，软件中可能含有恶意代码或病毒，一旦爆发，对云计算中心的网络将造成极大的影响。此外，每新增一个组件，我们都需要手动为新的组件编写安全策略规则，这无疑是一个繁琐且容易出错的过程；而实际上编写相同类型模块的策略规则有很多都是类似的，比如组件同为web应用组件时，它们都有对对应的执行文件、配置文件、日志文件、http端口、数据库端口等的访问控制规则。专利技术内容本专利技术解决的本文档来自技高网...

【技术保护点】
1.一种云平台组件安全策略实现方法，其特征在于，所述的方法包括如下步骤：步骤1、选择安全策略规则模板，并传入策略规则所需的信息；步骤2、后台对策略模块名进行同名校验，对组件文件路径列表与系统中已存在的文件列表进行包含校验；步骤3、将策略模块信息保存至数据库，并生成任务记录；步骤4、后台执行任务表中的升级模块任务时，将策略模块编译并加载至内核中；步骤5、分发.pp文件内容到云平台各个节点上，各节点收到后将.pp文件加载到内核并更新对应文件列表的安全上下文，最后返回操作结果给控制端；步骤6、对云平台组件安全策略进行编辑、启用、禁用、删除管理。

【技术特征摘要】
1.一种云平台组件安全策略实现方法，其特征在于，所述的方法包括如下步骤：步骤1、选择安全策略规则模板，并传入策略规则所需的信息；步骤2、后台对策略模块名进行同名校验，对组件文件路径列表与系统中已存在的文件列表进行包含校验；步骤3、将策略模块信息保存至数据库，并生成任务记录；步骤4、后台执行任务表中的升级模块任务时，将策略模块编译并加载至内核中；步骤5、分发.pp文件内容到云平台各个节点上，各节点收到后将.pp文件加载到内核并更新对应文件列表的安全上下文，最后返回操作结果给控制端；步骤6、对云平台组件安全策略进行编辑、启用、禁用、删除管理。2.根据权利要求1所述的方法，其特征在于：所述步骤1的信息包括模块名称、策略类型和组件文件路径及其对应类型列表。3.根据权利要求1所述的方法，其特征在于：所述的步骤3，系统将策略模块的信息保存在platform_policy_modules表中，模块状态设置为正在创建中，把文件标签列表保存在module_file_labels表中，并向任务表upgrade_task中添加一条任务类型为module_upgrade的记录；platform_policy_modules表包含有策略模块名称、版本、模块模板、状态、策略模块pp文件内容、是否启用、创建者、升级时间，策略模块pp文件内容是策略规则编译打包后的内容，用于后续升级任务执行时分发到平台的其他节点上；module_file_labels表包含有策略模块ID、文件路径、文件类型；upgrade_task表包含有策略模块ID、任务类型、任务状态、任务创建时间、任务执行时间、任务结束时间、任务状态、创建者；其中任务类型有模块新增/升级(module_upgrade)、模块禁用(module_permissive_t)、模块启用(module_permissive_f)、平台安全策略启用(platform_enforce_t)、平台安全策略禁用(platform_enforce_f)、模块删除(module_delete)。4.根据权利要求1所述的方法，其特征在于：所述的步骤4根据模块名称替换对应类型的安全策略模板并生成新的.te文件，再根据组件文件列表和类型生成.fc文件，通过te、fc文件编译生成.pp文件，并将.pp文件加载到操作系统内核的策略规则中，加载成功后把.pp文件保存到对应的策略模块记录的策略模块pp文件内容字段中，最后执行更新对应文件路径的安全上下文标签。5.根据权利要求1所述的方法，其特征在于：所述的步骤6包括管理功能编辑、管理功能启用、管理功能禁用、、管理功能删除、平台策略启用和平台策略禁用。6.根据权利要求5所述的方法，其特征在于：所述管理功能编辑具体步骤是：(1)、验证该模块有没有正在运行中的任务和新编辑的文件路径列表跟系统中记录的有否交叉重叠；(2)、编辑后系统自动在原来版本上增加一个小版本；(3)、把编辑信息保存到数据库表中，并把模块记录的状态修改为修改中，然后新增一条模块升级任务到任务表中；(4)、模块升级任务触发后，对策略模块编译打包、加载到内核、更新对应文件路径的安全标签；(...

【专利技术属性】
技术研发人员：邓玉芳，季统凯，
申请(专利权)人：国云科技股份有限公司，
类型：发明
国别省市：广东,44