云环境中对目标主机进行安全配置检查的方法和系统技术方案
【技术实现步骤摘要】
云环境中对目标主机进行安全配置检查的方法和系统
本专利技术涉及计算机通信技术,尤其涉及一种云环境中对目标主机进行安全配置检查的方法和系统。
技术介绍
云计算由并行计算、分布式计算、网络计算演化而来,是一种新兴的商业计算模型,包括基础设施即服务、平台即服务、软件即服务,以及依托于互联网的各种技术趋势。随着云计算的快速发展,云计算用户的数据和应用安全、云计算服务平台自身的安全、云计算资源的滥用三类云计算的安全问题日益突出,关于云计算安全性越来越受到重视。目前,针对云计算服务平台自身的安全,防止由于服务器或者网络设备等目标主机的配置失误而造成的损失,提出了一种采用单节点部署的云环境安全配置检查的方法,建立可对目标主机的各个安全配置检查点进行检查的测评脚本库;通过测评脚本库执行模块识别被测目标主机,从测评脚本库中选择合适的测评脚本,并执行该测评脚本;通过脚本返回数据分析模块将测评脚本执行返回结果进行分析形成测评结果,并存入数据库中;通过测评报告生成模块自动生成该目标主机安全的测评报告。由上述可见,现有的单节点部署的云环境安全配置检查的方法,采用单节点部署,当对多个目标主机执行安全配置检查任务时,只能将检查任务顺序列队依次执行,无论采用何种算法进行调度,执行安全配置检查任务耗费时间长,效率低下。
技术实现思路
本专利技术实施例提供了一种云环境中对目标主机进行安全配置检查的方法和系统,用以通过分布式架构实现对云环境中海量的目标主机进行安全配置检查的任务,提升安全配置检查任务的执行效率。根据本专利技术的一个方面,提供了一种云环境中对目标主机进行安全配置检查的方法,包括:任务...
【技术保护点】
一种云环境中对目标主机进行安全配置检查的方法,其特征在于,包括:任务调度节点在接收到安全配置的检查任务后,对于每个任务执行节点,根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率,以及该任务执行节点的总性能能力和已经占用的性能,以及该检查任务中各检查项的性能消耗之和,计算出该任务执行节点执行该检查任务的性能消耗;所述任务调度节点将该检查任务发送给性能消耗最小的任务执行节点进行任务执行:接收到该检查任务的任务执行节点,向设备管理子系统请求所述目标主机的权限及系统信息,并对于该检查任务中每个检查项,向基线管理子系统请求对应该检查项的检测模块;之后,该任务执行节点根据请求到的所述目标主机的权限及系统信息,分别运行各检测模块实现对所述目标主机的各检查项的安全配置检查。
【技术特征摘要】
1.一种云环境中对目标主机进行安全配置检查的方法,其特征在于,包括:任务调度节点在接收到安全配置的检查任务后,对于每个任务执行节点,根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率,以及该任务执行节点的总性能能力和已经占用的性能,以及该检查任务中各检查项的性能消耗之和,计算出该任务执行节点执行该检查任务的性能消耗;所述任务调度节点将该检查任务发送给性能消耗最小的任务执行节点进行任务执行:接收到该检查任务的任务执行节点,向设备管理子系统请求所述目标主机的权限及系统信息,并对于该检查任务中每个检查项,向基线管理子系统请求对应该检查项的检测模块;之后,该任务执行节点根据请求到的所述目标主机的权限及系统信息,分别运行各检测模块实现对所述目标主机的各检查项的安全配置检查。2.如权利要求1所述的方法,所述根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率,该任务执行节点的总性能能力和已经占用的性能,以及该检查任务中各检查项的性能消耗之和,计算出该任务执行节点执行该检查任务的性能消耗具体为:根据如下公式1计算出该任务执行节点执行该检查任务的性能消耗:其中,Cjob为该任务执行节点执行该待执行的检查任务的性能消耗;Delay为该任务执行节点到该待执行的检查任务所涉及的目标主机的网络延时;Coccupied为该任务执行节点当前已经占用的性能;Ccapacity为该任务执行节点的总性能能力;Band为该任务执行节点到该待执行的检查任务所涉及的目标主机的带宽;Rate为该任务执行节点到该待执行的检查任务所涉及的目标主机的到达率;k为该待执行的检查任务中检查项的编号,为1~n的自然数;Ck为该任务执行节点执行第k个检查项的性能消耗;n为该待执行的检查任务检查项总数。3.如权利要求1所述的方法,其特征在于,所述检查任务是由管理员通过所述任务调度节点的管理界面配置到所述任务调度节点中的;以及所述方法还包括:所述任务调度节点接收到由管理员配置的报告分析任务后,根据该报告分析任务所需分析的检查结果报告总数,以及该报告分析任务所涉及的目标主机的总数,计算出该报告分析任务的性能消耗;并对于每个任务执行节点,根据该节点到该报告分析任务所涉及的各目标主机的平均网络延时、平均带宽、平均包到达率,以及该任务执行节点的总性能能力和已经占用的性能,以及该报告分析任务的性能消耗,计算出该任务执行节点执行该报告分析任务的性能消耗;所述任务调度节点将该报告分析任务发送给执行该报告分析任务的性能消耗最小的任务执行节点进行任务执行:接收到该报告分析任务的任务执行节点,向报告存储子系统请求该报告分析任务所需分析的各检查结果报告所涉及的历史记录;对请求的历史记录进行分析后生成该报告分析任务的各检查结果报告。4.如权利要求3所述的方法,其特征在于,所述根据该节点到该报告分析任务所涉及的各目标主机的平均网络延时、平均带宽、平均包到达率,以及该任务执行节点的总性能能力和已经占用的性能,以及该报告分析任务的性能消耗,计算出该任务执行节点执行该报告分析任务的性能消耗具体为:根据如下公式3计算出该任务执行节点执行该报告分析任务的性能消耗:其中,Cjob'为该任务执行节点执行该待执行的报告分析任务的性能消耗;Delay'为该任务执行节点到该待执行的报告分析任务所涉及的目标主机的网络延时;Coccupied为该任务执行节点当前已经占用的性能;Ccapacity为该任务执行节点的总性能能力;Band'为该任务执行节点到该待执行的报告分析任务所涉及的目标主机的带宽;Rate'为该任务执行节点到该待执行的报告分析任务所涉及的目标主机的到达率;Njob为该待执行的报告分析任务的性能消耗。5.如权利要求3所述的方法,其特征在于,在所述任务调度节点在接收到安全配置的检查任务,或所述任务调度节点接收到由管理员配置的报告分析任务后,还包括:所述任务调度节点将接收的检查任务或报告分析任务作为待执行任务,根据管理员为该待执行任务配置的优先级,将该待执行任务到存储到对应的优先级队列中;所述任务调度节点每隔设定周期轮询各优先级队列,确定出存储有待执行任务的最高优先级的优先级队列,并将确定出的优先级队列中最先存入的一个待执行任务取出;并对于每个任务执行节点,计算出该任务执行节点执行该待执行任务的性能消耗;所述任务调度节点将该待执行任务发送给性能消耗最小的任务执行节点进行任务执行。6.如权利要求5所述的方法,其特征在于,在所述任务调度节点将该待执行任务发送给性能消耗最小的任务执行节点之前,还包括:所述任务调度节点对于每个任务执行节点,根据该任务执行节点已经占用的性能,以及该任务执行节点执行该待执行任务的性能消耗,判断该任务执行节点是否处于过载临近状态;若所述任务调度节点判断出所有的任务执行节点都处于过载临近状态,则等待其中一个任务执行节点在完成之前为其分配的任务,并处于非过载临近状态后,将该待执行任务发送给该非过载临近状态的任务执行节点进行任务执行。7.如权利要求5所述的方法,其特征在于,在所述任务调度节点将该待执行任务发送给性能消耗最小的任务执行节点进行任务执行之后,还包括:该任务执行节点在完成该待执行任务后,向所述任务调度节点报告该待执行任务执行完毕;所述任务调度节点更新该任务执行节点的已经占用的性能;之后,该任务执行节点将该待执行任务的处理结果存储到所述报告存储子系统。8.如权利要求7所述的方法,其特征在于,所述任务执行节点将该待执行任务的处理结果存储到所述报告存储子系统具体包括:所述任务执行节点在完成该待执行任务后,向所述报告存储子系统的存储控制中心发送报告存储请求;所述存储控制中心对于所述报告存储子系统的每个报告存储节点,根据该报告存储节点到该任务执行节点的网络延时、带宽、包到达率,以及该报告存储节点的总存储空间和已占用空间,计算该报告存储节点到该任务执行节点的存储消耗;所述存储控制中心选取存储消耗最小的报告存储节点作为被选报告存储节点后,向所述任务执行节点返回被选报告存储节点的网络地址信息;所述任务执行节点根据返回的网络地址信息,向所述被选报告存储节点传送所述处理结果。9.如权利要求8所述的方法,其特征在于,在所述任务执行节点根据返回的网络地址信息,向所述被选报告存储节点传送所述处理结果后,还包括:所述存储控制中心根据各报告存储节点的地理位置信息,确定出所述被选报告存储节点的三类备份节点:第一类备份节点为与所述被选报告存储节点在同一机架上的报告存储节点;第二类备份节点为与所述被选报告存储节点在同一机房,不同机架上的报告存储节点;第三类备份节点为与所述被选报告存储节点在不同机房的报告存储节点;对于每类备份节点,所述存储控制...
【专利技术属性】
技术研发人员:李为民,王大伟,高君婷,刘志勇,张宇峰,郭亮,
申请(专利权)人:中国电信集团系统集成有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。