一种网络访问安全防护方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开了一种网络访问安全防护方法、装置、电子设备及存储介质，本发明专利技术基于网络访问主机的硬件信息，来创建虚拟机，从而实现一机双用，即将企业不同安全级别的业务运行在不同的系统上，且在运行过程中，主机与虚拟机的数据独立存储，网络完全隔离，即使虚拟机系统在使用过程中被病毒感染，也完全不影响主机办公业务的正常使用；由此，本发明专利技术可通过虚拟机与主机的业务分离，来组建零信任办公安全域，从而避免过度信任的问题；同时，主机与虚拟机的业务分离，也可降低各种设备、各种人员接入带来管理难度和不可控安全因素增加的风险，以及降低远程办公、多方协同办公等带来的访问需求复杂性变高和内部资源暴露面扩大的风险。求复杂性变高和内部资源暴露面扩大的风险。求复杂性变高和内部资源暴露面扩大的风险。

【技术实现步骤摘要】
一种网络访问安全防护方法、装置、电子设备及存储介质


[0001]本专利技术属于网络访问安全
，具体涉及一种网络访问安全防护方法、装置、电子设备及存储介质。

技术介绍

[0002]对于资源的访问保护，传统的方式是划分安全区域，不同的安全区域有着不同的安全要求，因此，在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备(如防火墙、防毒墙、WAF(网站应用级入侵防御系统,Web Application Firewall)等)，以对来自边界外部的各种攻击进行防范，从而构建出企业网络安全体系，这种传统方式可称为边界安全理念。
[0003]在边界安全理念中，网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的(不安全的)，没有较多的访问权限，边界外的用户想要接入边界内的网络就需要通过防火墙、VPN(虚拟安全网络)等安全机制；安全区域内的用户默认都是可信的(安全的)，因此，传统方法对边界内用户的操作不再做过多的行为监测，但是这就导致在每个安全区域的内部存在过度信任(认为是安全的，给予的权限过大)的问题；同时，由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋；且在实际应用过程中，很多企业在实际应用中，只是非常粗粒度的划分了企业内网和外网(互联网)，在该基础上，前述风险就更为明显。
[0004]另外，随着云计算、物联网以及移动办公等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化，这就给传统的边界安全理念带来了新的挑战；比如云计算技术的普及带来了物理安全边界模糊的挑战，远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备、各种人员的接入带来了对设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全防护机制被突破的风险，这些都对传统的边界安全理念和防护手段提出了挑战，因此，提供一种更好的网络访问安全防护方法迫在眉睫。

技术实现思路

[0005]本专利技术的目的是提供一种网络访问安全防护方法、装置、电子设备及存储介质，用以解决现有技中所存在过度信任，导致对内部威胁检测和防护能力不足、安全分析覆盖度不够全面的问题，以及人员和设备接入带来的不可控安全因素增加的问题。
[0006]为了实现上述目的，本专利技术采用以下技术方案：
[0007]第一方面，提供了一种网络访问安全防护方法，包括：
[0008]基于主机配置信息，构建得到虚拟机镜像文件，其中，所述主机配置信息为网络访问主机的硬件信息；
[0009]运行所述虚拟机镜像文件，生成所述虚拟机镜像文件对应的虚拟机，其中，所述虚
拟机与所述网络访问主机之间数据独立存储，网络相互隔离；
[0010]获取业务访问安全信息，并基于所述业务访问安全信息，将本地的应用程序进行安全分级，以便在所述虚拟机上运行第一安全等级的应用程序，以及在所述网络访问主机上运行第二安全等级的应用程序，其中，所述第一安全等级低于所述第二安全等级。
[0011]基于上述公开的内容，本专利技术基于网络访问主机的硬件信息，来创建虚拟机，从而实现一机双用，即可在一台终端上安装一台或多台完全独立的虚拟机，将企业不同安全级别的业务运行在不同的系统上，如在主机上运行办公业务，在虚拟机上运行互联网业务或者多方协同业务，且在运行过程中，主机与虚拟机的数据独立存储，网络完全隔离，即使虚拟机系统在使用过程中被病毒感染，也完全不影响主机办公业务的正常使用；由此，本专利技术可通过虚拟机与主机的业务分离，来组建零信任办公安全域，从而避免过度信任的问题；同时，主机与虚拟机的业务分离，也可降低各种设备、各种人员接入带来管理难度和不可控安全因素增加的风险，以及降低远程办公、多方协同办公等带来的访问需求复杂性变高和内部资源暴露面扩大的风险。
[0012]在一个可能的设计中，所述主机配置信息包括：所述网络访问主机的CPU配置信息、内存信息以及I/O口信息；
[0013]其中，基于主机配置信息，构建得到虚拟机镜像文件，包括：
[0014]根据所述CPU配置信息，构建得到虚拟CPU，其中，所述虚拟CPU包括虚拟CPU线程数、虚拟CPU核心频率、虚拟机运行权限、虚拟机运行内核、虚拟机用户空间以及虚拟机特权指令，且所述虚拟机运行内核用于表征虚拟机操作系统的访问内存区域，所述虚拟机用户空间用于表征虚拟机上软件应用所访问的内存区域，所述虚拟机特权指令用于表征仅限于虚拟机操作系统所运行的指令；
[0015]为所述网络访问主机配置一虚拟机监视器，并基于所述I/O口信息，建立所述虚拟机监视器与所述网络访问主机的I/O口之间的访问分配文件，其中，所述访问分配文件用于在所述虚拟机监视器获取到虚拟机与外部设备之间的访问通信请求时，为所述虚拟机分配用于与所述外部设备进行通信的I/O口；
[0016]基于所述内存信息，在虚拟机用户空间内为虚拟机分配一地址空间，以及在所述地址空间内为虚拟机创建一地址映射表，以基于所述地址空间和所述地址映射表生成虚拟机进程文件，其中，所述地址映射表包括虚拟地址与物理地址的映射关系以及虚拟地址的内存访问权限；
[0017]为虚拟机创建一TUN/TPA虚拟网络设备生成文件，以作为虚拟机网络文件；
[0018]利用所述虚拟CPU、所述访问分配文件、所述虚拟机进程文件以及所述虚拟机网络文件，组成所述虚拟机镜像文件。
[0019]在一个可能的设计中，所述CPU配置信息包括：CPU总线程数、CPU总核心频率、CPU运行内存以及主机运行指令环；
[0020]根据所述CPU配置信息，构建得到虚拟CPU，包括：
[0021]根据所述CPU总线程数和所述CPU总核心频率，为虚拟机分配一运行线程数以及一运行频率，以作为虚拟机的虚拟CPU线程数和虚拟CPU核心频率，其中，所述运行线程数小于所述CPU总线程数，且所述运行频率小于所述CPU总核心频率；
[0022]基于所述主机运行指令环，在所述主机运行指令环上为虚拟机分配一操作系统运
行环以及一应用程序运行环，以便利用操作系统运行环以及应用程序运行环生成虚拟机运行权限；
[0023]根据所述CPU运行内存，在所述CPU运行内存中分配一用于虚拟机操作系统进行访问的内存区域，以及分配一用于虚拟机上的软件应用所访问的内存区域，以在分配完成后，得到虚拟机运行内核以及虚拟机用户空间；
[0024]创建若干用于管理虚拟机的运行指令，以便将若干运行指令作为虚拟机特权指令；
[0025]利用所述虚拟CPU线程数、所述虚拟CPU核心频率、所述虚拟机运行权限、所述虚拟机运行内核、所述虚拟机用户空间以及所述虚拟机特权指令，构建得到虚拟CPU。
[0026]在一个可能的设计中，在基于主机配置信息，构建得到虚拟机镜像文件后本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络访问安全防护方法，其特征在于，包括：基于主机配置信息，构建得到虚拟机镜像文件，其中，所述主机配置信息为网络访问主机的硬件信息；运行所述虚拟机镜像文件，生成所述虚拟机镜像文件对应的虚拟机，其中，所述虚拟机与所述网络访问主机之间数据独立存储，网络相互隔离；获取业务访问安全信息，并基于所述业务访问安全信息，将本地的应用程序进行安全分级，以便在所述虚拟机上运行第一安全等级的应用程序，以及在所述网络访问主机上运行第二安全等级的应用程序，其中，所述第一安全等级低于所述第二安全等级。2.根据权利要求1所述的方法，其特征在于，所述主机配置信息包括：所述网络访问主机的CPU配置信息、内存信息以及I/O口信息；其中，基于主机配置信息，构建得到虚拟机镜像文件，包括：根据所述CPU配置信息，构建得到虚拟CPU，其中，所述虚拟CPU包括虚拟CPU线程数、虚拟CPU核心频率、虚拟机运行权限、虚拟机运行内核、虚拟机用户空间以及虚拟机特权指令，且所述虚拟机运行内核用于表征虚拟机操作系统的访问内存区域，所述虚拟机用户空间用于表征虚拟机上软件应用所访问的内存区域，所述虚拟机特权指令用于表征仅限于虚拟机操作系统所运行的指令；为所述网络访问主机配置一虚拟机监视器，并基于所述I/O口信息，建立所述虚拟机监视器与所述网络访问主机的I/O口之间的访问分配文件，其中，所述访问分配文件用于在所述虚拟机监视器获取到虚拟机与外部设备之间的访问通信请求时，为所述虚拟机分配用于与所述外部设备进行通信的I/O口；基于所述内存信息，在虚拟机用户空间内为虚拟机分配一地址空间，以及在所述地址空间内为虚拟机创建一地址映射表，以基于所述地址空间和所述地址映射表生成虚拟机进程文件，其中，所述地址映射表包括虚拟地址与物理地址的映射关系以及虚拟地址的内存访问权限；为虚拟机创建一TUN/TPA虚拟网络设备生成文件，以作为虚拟机网络文件；利用所述虚拟CPU、所述访问分配文件、所述虚拟机进程文件以及所述虚拟机网络文件，组成所述虚拟机镜像文件。3.根据权利要求2所述的方法，其特征在于，所述CPU配置信息包括：CPU总线程数、CPU总核心频率、CPU运行内存以及主机运行指令环；根据所述CPU配置信息，构建得到虚拟CPU，包括：根据所述CPU总线程数和所述CPU总核心频率，为虚拟机分配一运行线程数以及一运行频率，以作为虚拟机的虚拟CPU线程数和虚拟CPU核心频率，其中，所述运行线程数小于所述CPU总线程数，且所述运行频率小于所述CPU总核心频率；基于所述主机运行指令环，在所述主机运行指令环上为虚拟机分配一操作系统运行环以及一应用程序运行环，以便利用操作系统运行环以及应用程序运行环生成虚拟机运行权限；根据所述CPU运行内存，在所述CPU运行内存中分配一用于虚拟机操作系统进行访问的内存区域，以及分配一用于虚拟机上的软件应用所访问的内存区域，以在分配完成后，得到虚拟机运行内核以及虚拟机用户空间；
创建若干用于管理虚拟机的运行指令，以便将若干运行指令作为虚拟机特权指令；利用所述虚拟CPU线程数、所述虚拟CPU核心频率、所述虚拟机运行权限、所述虚拟机运行内核、所述虚拟机用户空间以及所述虚拟机特权指令，构建得到虚拟CPU。4.根据权利要求1所述的方法，其...

【专利技术属性】
技术研发人员：袁江，
申请(专利权)人：成都域卫科技有限公司，
类型：发明
国别省市：