[发明专利]一种基于云计算虚拟化环境的安全防护系统及其防护方法

说明书

技术领域

本发明涉及云计算虚拟化安全技术领域，具体涉及一种基于云计算虚拟化环境的安全防护系统及其防护方法。

背景技术

随着信息技术的不断发展，云计算成为一种继分布式计算、并行计算、网格计算等之后的新计算方式，可以为用户提供资源租用、服务外包、应用托管等服务，由于其简便、经济、易扩展性等优点迅速成为信息技术发展的热点。但在给用户带来方便的同时，也对用户的信息安全、资产安全和隐私安全造成了极大的挑战。目前,云计算安全已成为云计算发展过程中急需解决的问题，其关键性和紧迫性已不容忽视。

云计算虚拟环境中，在物理服务器内部存在多个虚拟机，每个虚拟机承载不同业务系统；同时，同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟网络层直接通信，不再通过外部的物理防火墙，使得原有的物理安全边界在虚拟化环境下发生改变，因此原有的安全防护机制失效了。因此带来的安全风险主要表现在：

（1）安全边界模糊化。在云计算环境下，存在各业务系统之间的安全边界模糊，无法对各业务系统分别防护。存在服务器上划分多个虚拟服务器，每个虚拟服务器的作用不相同。即使在在同一业务系统中，数据库服务器和应用服务器之间无法安装防护墙、IPS等传统安全防护硬件设备，安全防护存在缺失。

（2）安全域难以划分。由于安全边界的模糊，无法划分和管控云环境下的安全域，也就无法保证不同业务系统间划分不同的安全域，由于每个业务系统所需的安全无法对各个业务系统进行相应的安全保护。

（3）内部安全无法保证。虚拟机之间的流量无法得到有效监控和防护，无法防止由一台虚拟机发起针对其它虚拟机的攻击。

因此，开展云计算虚拟化安全管控的工作变得尤为紧迫和必要，从而保障云计算环境下，业务系统稳定、安全的运行。

发明内容

本发明的目的在于提供一种基于云计算虚拟化环境的安全防护系统及其防护方法，保障电力行业云计算虚拟化环境及其内部各业务系统的安全。

为实现上述目的，本发明采用了以下技术方案：

一种基于云计算虚拟化环境的安全防护系统，包括安全管理平台模块、虚拟安全设备模块、异常行为分析模块，所述安全管理平台模块与虚拟安全设备交互连接，所述异常行为分析模块与安全管理平台模块相连；

所述安全管理平台模块，用于对虚拟机进行安全域的划分，并为每一个安全域制定单独的安全策略，收集反馈的日志信息并对信息进行统计分析，根据分析结果查找出云计算环境的薄弱点，进一步制定更加完善的安全域及安全策略；所述虚拟安全设备模块，用于执行安全管理平台制定的安全策略，以保护安全域内虚拟机的安全稳定运行；所述异常行为分析模块，用于对整个虚拟环境下的异常行为的检测、分析和处理，并将结果反馈到安全管理平台中，以制定下一步的安全策略。

上述方案中，所述安全管理平台模块包括：安全域划分模块，用于根据所处的业务系统对虚拟机进行安全分域，将同一业务系统或者具有相同安全等级的虚拟机划分到同一安全域中，并且当业务系统增加机器或者其他虚拟机需要相同的安全等级时，可将虚拟机添加到已有的安全域中，实现安全域的动态配置；安全策略制定与下发模块，用于根据业务系统的安全需求或者安全域的安全等级为安全域制定相应的安全措施，并且将安全措施下发到虚拟安全设备从而实现对安全域的防护；日志管理模块，用于实现对虚拟安全设备防护过程中产生的安全日志、异常行为检测模块生成的日志及其他辅助日志等的收集查询的功能；统计分析模块，用于对日志管理模块收集的日志进行统计分析，根据分析结果查找出云计算环境的薄弱点及易受攻击的区域，进一步制定完善的安全域及安全策略。

上述方案中，所述虚拟安全设备模块包括：虚拟防护墙，用于控制所有经过虚拟安全设备的所有网络通信，根据安全策略规定的相关信息，决定网络通信的数据包是否通过、阻断或者相应处理措施；入侵防御模块，用于对通过虚拟防火墙的网络通信数据包进行进一步的检测，识别并阻止可能存在的威胁、漏洞利用、后门程序和其他攻击通过虚拟安全设备；web防护模块，用于根据安全策略设定的web信誉等级，对于访问的每个 URL，虚拟安全设备会查询 Web 信誉的信誉分值，然后根据此分值相对用户指定敏感度级别的高低采取必要的处理措施；DDos攻击防护模块，用于对通过虚拟安全设备的网络通信数据包进行DDos攻击判断，但出现攻击时则进行相应的处理措施。

上述方案中，所述异常行为分析模块包括分别与安全管理平台相连的程序异常攻击行为模块、溢出攻击行为模块、网络漏洞入侵模块。