[发明专利]云安全服务的实现方法及系统

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种云安全服务的实现方法及系统。

背景技术

由于云计算涉及个人和企业运算模式的改变，涉及个人和企业的敏感信息，因此云计算面临的第一个重要问题就是安全问题。

在云计算环境下，除了面对传统环境下的安全问题外，还有由于虚拟化以及数据的集中带来的新的安全威胁。

传统的安全防护设备（例如，网络层的防火墙、IPS（Intrusion Prevention System，入侵检测系统）、流量清洗设备，数据层的4A、UDS（Universal Distribute Storage，通用分布式存储）、杀毒软件等）都属于被动防御型设备，这些传统设备在云计算环境下很难相互协同提供智能化的安全服务。

目前业界针对云计算的安全问题一般有两种处理方式：1、是传统安全设备的虚拟化，虚拟化也包括两种方案：（1）把传统硬件的物理防火墙设备虚拟化为多个防火墙，让虚拟出来的不同防火墙处理经过防火墙的不同网段的数据，这种方案的好处是防火墙的策略配置更加灵活；（2）把传统硬件的物理防火墙改造成可以运行在虚拟化软件上的虚拟防火墙（软件防火墙），这种虚拟防火墙可以更好地服务于虚拟机，对于同一个物理机上虚拟的不同虚拟机，需要设置不同的防火墙策略。2、建立云安全中心，通过把安全设备或者安全服务云化的方式对外提供安全服务，这种方式需要在被服务的网络出口处部署代理，通过代理来监控被服务的网络情况。

传统安全设备的虚拟化解决了云计算虚拟化带来的安全威胁，但是，只能适用于有虚拟机的场景中；传统安全设备或者安全服务的云化解决了安全设备或者安全服务占用本地网络和资源的问题，但是，通过在网络出口处部署代理同时也给网络带来安全威胁。由此可见，这两种方式由于适用场景受限或引入新的安全威胁并不能很好地解决云计算的安全问题。

针对相关技术中不能很好地解决云计算的安全威胁的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种云安全服务的实现方法及系统，以至少解决相关技术中不能很好地解决云计算的安全威胁的问题。

根据本发明的一个方面，提供了一种云安全服务的实现方法，包括：安全中间件接收来自云安全运营中心的执行消息，其中，安全中间件预置在安全引擎层，云安全运营中心预置在管理层；安全中间件根据执行消息执行相应的动态安全操作，得到执行结果；安全中间件根据执行结果对云安全策略进行动态调整。

优选地，执行消息包括：网络扫描消息、或安全配置检查消息。

优选地，当执行消息为网络扫描消息时，云安全策略为网络扫描策略；当执行消息为安全配置检查消息，云安全策略为安全配置检查策略。

优选地，当执行消息为网络扫描消息时，安全中间件根据执行消息执行相应的动态安全操作，得到执行结果，包括：安全中间件对网络扫描消息进行解析，根据分析后的网络扫描消息调用相应的网络扫描器对现网进行扫描，并接收网络扫描器进行扫描后得到的扫描报告；安全中间件根据执行结果对云安全策略进行动态调整，包括：安全中间件根据现网的网络结构和服务器的部署情况分析扫描报告中的漏洞情况，并根据漏洞情况对网络扫描策略进行调整。

优选地，安全中间件根据漏洞情况对网络扫描策略进行调整，包括：在漏洞情况是扫描报告中存在SQ1注入漏洞的情况下，安全中间件通过向WEB防火墙发送安全策略的方式，使WEB防火墙启动对应于安全策略的安全功能，以对存在风险的WEB服务器进行安全防护，并接收WEB防火墙发送的防护日志。

优选地，安全中间件根据漏洞情况对网络扫描策略进行调整，包括：在漏洞情况是扫描报告中存在多种漏洞，且多种漏洞中存在与服务器不相符的漏洞情况下，安全中间件启动多个网络扫描器对与服务器不相符的漏洞继续进行扫描确认，并根据每个网络扫描器反馈的扫描报告进行汇总分析，提供对网络扫描策略的调整建议。

优选地，当执行消息为安全配置检查消息时，安全中间件根据执行消息执行相应的动态安全操作，得到执行结果，包括：安全中间件协同安全检查工具，根据安全配置检查消息对云环境下的租户主机进行安全配置检查，由安全检查工具获得安全配置检查结果；安全中间件根据执行结果对云安全策略进行动态调整，包括：安全中间件根据现网的网络结构和服务器的部署情况对安全配置检查结果进行分析，并根据分析结果对安全配置检查策略进行调整。