[发明专利]一种云平台组件安全策略实现方法

说明书

本发明涉及一种云平台组件安全策略管理及其实现方法。本发明的方法包括如下步骤：1、选择安全策略规则模板，并传入策略规则所需的信息；2、后台对策略模块名进行同名校验，对组件文件路径列表与系统中已存在的文件列表进行包含校验；3、将策略模块信息保存至数据库，并生成任务记录；4、后台执行任务表中的升级模块任务时，将策略模块编译并加载至内核中；5、分发.pp文件内容到云平台各个节点上，各节点收到后将.pp文件加载到内核并更新对应文件列表的安全上下文，最后返回操作结果给控制端；6、对云平台组件安全策略进行编辑、启用、禁用、删除等管理。本发明解决了云平台组件安全策略实现时手动为新组件编写安全策略规则等所存在的问题。

技术领域

本发明涉及云平台安全技术领域，尤其是一种云平台组件安全策略管理及其实现方法。

背景技术

随着虚拟化技术的发展越来越多的应用迁上了云；在大数据和人工智能飞速发展的今天，新兴应用也如雨后春笋般出现并上了云。与此同时，在软件安全方面，各种严重漏洞频频被报出，影响很广。云服务面临信任危机，云安全问题越发显著；而云平台组件会陆续出现新的组件，对于云平台更是面临以下问题：

一是攻击者一旦发现云平台自身的安全漏洞并加以利用，就可能导致严重的大规模信息泄露事件，更有甚者，如果攻击者通过某软件漏洞获取到超级用户权限，后果更不堪设想；

二是用户获取内核安全策略软件的途径各种各样，获取的软件无法保证其安全性，软件中可能含有恶意代码或病毒，一旦爆发，对云计算中心的网络将造成极大的影响。

此外，每新增一个组件，我们都需要手动为新的组件编写安全策略规则，这无疑是一个繁琐且容易出错的过程；而实际上编写相同类型模块的策略规则有很多都是类似的，比如组件同为web应用组件时，它们都有对对应的执行文件、配置文件、日志文件、http端口、数据库端口等的访问控制规则。

发明内容

本发明解决的技术问题在于提供一种云平台组件安全策略实现方法；避免繁琐容易出错的编写规则、安装配置和管理等工作。

本发明解决上述技术问题的技术方案是：

所述的方法包括如下步骤：

步骤1、选择安全策略规则模板，并传入策略规则所需的信息；

步骤2、后台对策略模块名进行同名校验，对组件文件路径列表与系统中已存在的文件列表进行包含校验；

步骤3、将策略模块信息保存至数据库，并生成任务记录；

步骤4、后台执行任务表中的升级模块任务时，将策略模块编译并加载至内核中；

步骤5、分发.pp文件内容到云平台各个节点上，各节点收到后将.pp文件加载到内核并更新对应文件列表的安全上下文，最后返回操作结果给控制端；

步骤6、对云平台组件安全策略进行编辑、启用、禁用、删除等管理。

所述步骤1的信息包括模块名称、策略类型和组件文件路径及其对应类型列表。

所述的步骤3，系统将策略模块的信息保存在platform_policy_modules表中，模块状态设置为正在创建中，把文件标签列表保存在module_file_labels表中，并向任务表upgrade_task中添加一条任务类型为module_upgrade的记录；

platform_policy_modules表包含有策略模块名称、版本、模块模板、状态、策略模块pp文件内容、是否启用、创建者、升级时间，策略模块pp文件内容是策略规则编译打包后的内容，用于后续升级任务执行时分发到平台的其他节点上；

module_file_labels表包含有策略模块ID、文件路径、文件类型；