一种主机与虚拟机的隔离方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种主机与虚拟机的隔离方法、装置及存储介质，本发明专利技术在终端原有的物理网络基础上，通过在策略服务器中添加网络管控规则和外设管控规则，再根据主机和虚拟机的业务需求，生成对应的隔离策略，并将不同的隔离策略下发到终端主机以及虚拟机上，从而形成多个网络相互独立的安全桌面；即本发明专利技术可实现主机与虚拟机的网络隔离，同时，还可实现对外设接入设备的权限管控，避免了重要信息数据泄漏的问题，由此，满足了企业对主机和虚拟机中数据安全的保护需求，可将主机和虚拟机中不同安全级别的业务运行于完全隔离且安全的虚拟网络中，以达到多网安全隔离运行的目的，从根本上封堵泄密途径，防止泄密发生，保障网络及业务的高度安全。务的高度安全。务的高度安全。

【技术实现步骤摘要】
一种主机与虚拟机的隔离方法、装置及存储介质


[0001]本专利技术属于主机与虚拟机的隔离
，具体涉及一种主机与虚拟机的隔离方法、装置及存储介质。

技术介绍

[0002]虚拟机是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，每个虚拟机都有独立的CMOS(数字集成芯片)、硬盘和操作系统，因此，在实体计算机中能够完成的功能在虚拟机中都能够实现，且可以像使用实体计算机一样对虚拟机进行操作，现已被广泛应用至人们的生产和生活中。
[0003]现有的终端桌面虚拟机技术产品，如VMware，只能满足在一台终端上运行两套系统，无法满足企业对两套系统中数据安全的需求，这主要是由以下几个缺点造成的：(1)外设接入设备无法管控，在日常工作中，U盘等外设的使用是非常常见的，而若无法对外设设备的接入进行管控，则会导致企业的重要信息数据安全得不到有效的保证；(2)无法在现有网络的基础上做到两套系统的网络管控隔离；(3)无法对主机与虚拟机制定完全独立的网络管控策略；因此，如何实现主机与虚拟机的网络隔离，以及主机与虚拟机的外设接入设备的管控，已成为一个亟待解决的问题。

技术实现思路

[0004]本专利技术的目的是提供一种主机与虚拟机的隔离方法、装置及存储介质，用以解决现有技术中存在的主机与虚拟机无法实现外设接入设备的管控以及无法实现网络隔离的问题。
[0005]为了实现上述目的，本专利技术采用以下技术方案：
[0006]第一方面，本专利技术提供了一种主机与虚拟机的隔离方法，包括：
[0007]策略服务器获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；
[0008]策略服务器获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；
[0009]策略服务器基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；
[0010]策略服务器将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机；
[0011]指定主机接收策略服务器发送的主机通信隔离策略；
[0012]指定主机根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，
以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用；
[0013]指定主机中的虚拟机接收策略服务器发送的虚拟机通信隔离策略；
[0014]虚拟机根据所述虚拟机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述虚拟机中的各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。
[0015]基于上述公开的内容，本专利技术预先配置有多个网络管控规则以及外设管控规则，然后，再获取指定主机和指定主机中虚拟机的业务需求信息，并基于获取的业务需求信息、网络管控规则以及外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略，接着，即可将主机通信隔离策略发送至指定主机，以及将虚拟机通信隔离策略发送至虚拟机，最后，指定主机和虚拟机即可基于接收到隔离策略，来配置各自对应的网络访问权限(如仅限于访问指定的互联网网段或仅限于访问指定的办公网网段等)和外设接口的访问权限(如任一外设接口仅具有只读功能、只写功能、读写功能或禁用任一外设接口)。
[0016]通过上述设计，本专利技术在终端原有的物理网络基础上，通过在策略服务器中添加网络管控规则和外设管控规则，再根据主机和虚拟机的业务需求，生成对应的隔离策略，并将不同的隔离策略下发到终端主机以及虚拟机上，从而形成多个网络相互独立的安全桌面；即本专利技术可实现主机与虚拟机的网络隔离，同时，还可通过隔离策略配置主机以及虚拟机中各个外设接口的访问权限，从而实现对外设接入设备的权限管控，避免了重要信息数据泄漏的问题，由此，满足了企业对主机和虚拟机中数据安全的保护需求，可将主机和虚拟机中不同安全级别的业务运行于完全隔离且安全的虚拟网络中，以达到多网安全隔离运行的目的，从根本上封堵了泄密途径，防止了泄密发生，保障了网络及业务的高度安全。
[0017]在一个可能的设计中，所述互联网网络管控规则包括互联网网段地址，所述办公网网络管控规则包括办公网网段地址，任一外设管控规则包括：待管控设备的IP地址、待管控设备中各个待管控外设接口的标识以及访问权限；
[0018]所述指定主机的业务需求信息包括指定主机的IP地址和指定主机的业务访问网段地址；
[0019]其中，基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略；包括：
[0020]基于所述指定主机的业务访问网段地址，从所述至少一个网络管控规则中，匹配出与所述业务访问网段地址相同的互联网网段地址或办公网网段地址，作为网络放行地址；
[0021]将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址；
[0022]基于所述指定主机的IP地址，从所述至少一个外设管控规则中，筛选出包含有所述指定主机的IP地址的外设管控规则，作为所述指定主机的外设隔离规则；
[0023]利用所述网络放行地址、所述网络拦截地址以及所述外设隔离规则，组成所述主机通信隔离策略。
[0024]在一个可能的设计中，所述指定主机的业务需求信息还包括：指定拦截网段地址，其中，在将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址后，所述方法还包括：
[0025]指定主机判断所述网络放行地址中是否存在有与所述指定拦截网段地址相同的网络放行地址；
[0026]若是，指定主机则从所述网络放行地址中，剔除与所述指定拦截网段地址相同的网络放行地址，并将所述指定拦截网段地址也作为网络拦截地址；否则，指定主机则直接将所述指定拦截网段地址作为网络拦截地址。
[0027]在一个可能的设计中，所述主机通信隔离策略包括：网络放行地址、网络拦截地址以及外设隔离规则，其中，所述外设隔离规则包括：待管控设备中各个待管控外设接口的标识以及访问权限；
[0028]相应的，根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，包括：...

【技术保护点】

【技术特征摘要】
1.一种主机与虚拟机的隔离方法，其特征在于，应用于策略服务器，包括：获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机，以使所述指定主机基于主机通信隔离策略配置网络访问权限和外设接口访问权限，以及使所述虚拟机基于虚拟机通信隔离策略配置网络访问权限和外设接口访问权限，以便在所述指定主机和所述虚拟机的网络访问权限以及外设接口访问权限配置完成后，完成所述指定主机与所述虚拟机之间的网络隔离。2.根据权利要求1所述的方法，其特征在于，所述互联网网络管控规则包括互联网网段地址，所述办公网网络管控规则包括办公网网段地址，任一外设管控规则包括：待管控设备的IP地址、待管控设备中各个待管控外设接口的标识以及访问权限；所述指定主机的业务需求信息包括指定主机的IP地址和指定主机的业务访问网段地址；其中，基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略，包括：基于所述指定主机的业务访问网段地址，从所述至少一个网络管控规则中，匹配出与所述业务访问网段地址相同的互联网网段地址或办公网网段地址，作为网络放行地址；将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址；基于所述指定主机的IP地址，从所述至少一个外设管控规则中，筛选出包含有所述指定主机的IP地址的外设管控规则，作为所述指定主机的外设隔离规则；利用所述网络放行地址、所述网络拦截地址以及所述外设隔离规则，组成所述主机通信隔离策略。3.如权利要求2所述的方法，其特征在于，所述指定主机的业务需求信息还包括：指定拦截网段地址，其中，在将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址后，所述方法还包括：判断所述网络放行地址中是否存在有与所述指定拦截网段地址相同的网络放行地址；若是，则从所述网络放行地址中，剔除与所述指定拦截网段地址相同的网络放行地址，并将所述指定拦截网段地址也作为网络拦截地址；否则，则直接将所述指定拦截网段地址作为网络拦截地址。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收指定主机和指定主机中虚拟机发送的网络访问记录以及外设接口访问记录；
基于所述指定主机发送的网络访问记录和外设接口访问记录，生成第一操作记录报表，以及基于指定主机中虚拟机发送的网络访问记录和外设接口访问记录，生成第二操作记录报表，以便维护人员基于所述第一操作记录报表对所述指定主机进行数据审计，以及维护人员基于所述第二操作记录报表对指定主机中的虚拟机进行数据审计。5.一种主机与虚拟机的隔离方法，其特征在于，应用于指定主机，包括：接收策略服务器发送的主机通信隔离策略；根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网...

【专利技术属性】
技术研发人员：袁江，
申请(专利权)人：成都域卫科技有限公司，
类型：发明
国别省市：