專利名稱:虛擬化企業(yè)信息管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及計(jì)算機(jī)信息安全管理系統(tǒng)�,特別涉及一種虛擬化企業(yè)信息管理系 統(tǒng)。
背景技術(shù):
目前���,傳統(tǒng)的計(jì)算機(jī)架構(gòu)��,對于任何標(biāo)準(zhǔn)設(shè)備的訪問都是開放的��,其通訊協(xié)議也是 公開的�����,導(dǎo)致系統(tǒng)容易被病毒感染或惡意攻擊��,信息安全事件層出不窮�。這些攻擊行為可不 依賴特定的操作系統(tǒng)�,使得軟件防護(hù)不能保證萬無一失。
實(shí)用新型內(nèi)容為了克服現(xiàn)有的計(jì)算機(jī)信息安全系統(tǒng)容易受到攻擊的不足����,本實(shí)用新型提供一種 虛擬化企業(yè)信息管理系統(tǒng)。本實(shí)用新型解決其技術(shù)問題所采用的技術(shù)方案是虛擬化企業(yè)信息管理系統(tǒng)���,包括虛擬化系統(tǒng)���、企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng),虛擬化系統(tǒng) 包括應(yīng)用程序模塊�、影子操作系統(tǒng)A、虛擬機(jī)A���、影子操作系統(tǒng)B�、虛擬機(jī)B ;企業(yè)內(nèi)部VPN網(wǎng) 絡(luò)系統(tǒng)包括安全網(wǎng)橋��、操作系統(tǒng)復(fù)用模塊�����、動態(tài)硬盤映射模塊���、安全管理程序模塊���、虛擬機(jī) 管理器、物理計(jì)算機(jī)���,且各部分相互連接���;虛擬化系統(tǒng)與企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)的安全網(wǎng)橋 連接。本實(shí)用新型通過傳輸通道的虛擬化���,將不同安全需求的虛擬機(jī)分組����,同一組的虛擬機(jī) 之間采用相同的傳輸私密通道進(jìn)行通信,不同組的虛擬機(jī)之間傳輸私密通道相互隔離�����。本實(shí)用新型的有益效果是按照密級為企業(yè)分級組建多個(gè)相互隔離的網(wǎng)絡(luò)�,讓每 一個(gè)不同級別的信息在自己的封閉的網(wǎng)絡(luò)里傳輸,移動辦公的計(jì)算機(jī)也可以完全隔離而安 全的進(jìn)入辦公網(wǎng)�����。杜絕了病毒�����、黑客或是內(nèi)部人員的故意盜竊行為���,即使硬盤失竊也不會泄 露信息,大大提高了企業(yè)信息安全性�。
圖1是本實(shí)用新型結(jié)構(gòu)示意圖。
具體實(shí)施方式
以下結(jié)合附圖和實(shí)施例對本實(shí)用新型進(jìn)一步說明��。如圖1所示�����,虛擬化企業(yè)信息管理系統(tǒng),包括虛擬化系統(tǒng)�、企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng), 虛擬化系統(tǒng)包括應(yīng)用程序模塊����、影子操作系統(tǒng)A、虛擬機(jī)A�����、影子操作系統(tǒng)B����、虛擬機(jī)B ;企業(yè) 內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)包括安全網(wǎng)橋�、操作系統(tǒng)復(fù)用模塊、動態(tài)硬盤映射模塊�、安全管理程序模 塊、虛擬機(jī)管理器���、物理計(jì)算機(jī)�,且各部分相互連接����;虛擬化系統(tǒng)與企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng) 的安全網(wǎng)橋連接�����。本實(shí)用新型通過傳輸通道的虛擬化��,將不同安全需求的虛擬機(jī)分組��,影子 操作系統(tǒng)A與虛擬機(jī)A連接����,影子操作系統(tǒng)B與虛擬機(jī)B連接���;影子操作系統(tǒng)A、虛擬機(jī)A與 影子操作系統(tǒng)B�����、虛擬機(jī)B相互隔離����。同一組的虛擬機(jī)之間采用相同的傳輸私密通道進(jìn)行通信,不同組的虛擬機(jī)之間傳輸私密通道相互隔離�����。首先將互聯(lián)網(wǎng)上的終端計(jì)算機(jī)虛擬化,虛擬出一個(gè)專門進(jìn)入企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系 統(tǒng)的虛擬機(jī)�,這個(gè)虛擬機(jī)即使在互聯(lián)網(wǎng)上也不能訪問互聯(lián)網(wǎng)的任何內(nèi)容,也無法把機(jī)器上 的數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)上���,但是可以通過虛擬化系統(tǒng)的網(wǎng)絡(luò)管道安全的接入企業(yè)內(nèi)網(wǎng)�����,就像 內(nèi)網(wǎng)里面的計(jì)算機(jī)一樣����。同樣的�,這個(gè)虛擬機(jī)的硬盤、所有外設(shè)都受內(nèi)網(wǎng)安全策略的管理��。虛擬化企業(yè)信息安全管理系統(tǒng)的虛擬應(yīng)用程序�,創(chuàng)建的抽象層位于操作系統(tǒng)和在 操作系統(tǒng)中運(yùn)行的應(yīng)用程序之間,通過將一個(gè)應(yīng)用程序的所有組件都虛擬化�����,在計(jì)算機(jī)上 運(yùn)行這樣的應(yīng)用程序時(shí)將不會影響到操作系統(tǒng)和其他應(yīng)用程序�,其改變了操作系統(tǒng)對應(yīng)用 程序的感知方式。以前應(yīng)用程序的安裝和運(yùn)行可能會降低操作系統(tǒng)和其他應(yīng)用程序的穩(wěn)定 性���,而系統(tǒng)的強(qiáng)大之處在于它使得應(yīng)用程序可以像服務(wù)那樣動態(tài)傳輸����,甚至在客戶端上不 留任何痕跡就可以添加或刪除這些應(yīng)用程序。這樣的處理方式可以降低部署和維護(hù)應(yīng)用程 序和系統(tǒng)的總成本���。部署了虛擬化企業(yè)信息安全管理系統(tǒng)以后�����,原用戶PC機(jī)上的客戶端將移置到虛 擬化服務(wù)器上�,工作人員在終端看到的客戶端界面是系統(tǒng)模擬出來的界面��。這樣一來可以 避免終端直接與數(shù)據(jù)中心產(chǎn)生數(shù)據(jù)交互���,在不改變工作方式和不影響數(shù)據(jù)傳輸速度的前提 下不僅極大提高了數(shù)據(jù)中心的安全,也加強(qiáng)了對工作人員的管理��。在對計(jì)算機(jī)進(jìn)行虛擬化的基礎(chǔ)上���,虛擬化企業(yè)信息安全管理系統(tǒng)進(jìn)一步再進(jìn)行對 網(wǎng)絡(luò)的虛擬化�����。首先����,明確各計(jì)算機(jī)的應(yīng)用邊際,即每臺計(jì)算機(jī)的各個(gè)應(yīng)用程序需要訪問哪 些網(wǎng)絡(luò)資源���;同時(shí)����,對網(wǎng)絡(luò)資源進(jìn)行描述�,比如一個(gè)物理網(wǎng)絡(luò)的所有端口和出口組成的各個(gè) 邊界。在收集企業(yè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)的應(yīng)用需求后���,在PC服務(wù)器和防火墻進(jìn)行安全策略配 置����,在虛擬化服務(wù)器進(jìn)行多網(wǎng)隔離與切換���,對網(wǎng)絡(luò)資源進(jìn)行集中管理和分配��。按照事先制定 好的密級和安全策略為企業(yè)分級組建多個(gè)相互隔離的網(wǎng)絡(luò)�,讓每一個(gè)不同級別的信息在自 己的封閉的網(wǎng)絡(luò)里傳輸�����。移動辦公的計(jì)算機(jī)也可以完全隔離而安全的進(jìn)入辦公網(wǎng)。各隔離步驟如下計(jì)算機(jī)隔離將一臺計(jì)算機(jī)虛擬化成多臺虛擬機(jī)���,根據(jù)實(shí)現(xiàn)制定好的企業(yè)安全管理策略分別配 置不同的網(wǎng)絡(luò)訪問規(guī)則����、不同的硬件資源�、不同外設(shè)訪問權(quán)限、不同的注冊表���、不同的應(yīng)用 等等�����,就像幾臺物理計(jì)算機(jī)一樣�。應(yīng)用隔離在一個(gè)計(jì)算機(jī)上會有很多種應(yīng)用��,而這些應(yīng)用的安全需求是不一樣的��,那么同時(shí) 運(yùn)行這些應(yīng)用的時(shí)候��,高級別的應(yīng)用的安全是無法保證的���。因此��,在實(shí)現(xiàn)計(jì)算機(jī)隔離的基礎(chǔ)上����,通過虛擬化服務(wù)器對各虛擬計(jì)算機(jī)的應(yīng)用進(jìn) 行隔離�����,根據(jù)事先制定好的企業(yè)安全管理策略對各虛擬機(jī)的應(yīng)用進(jìn)行最小授權(quán)���,即保證每 個(gè)應(yīng)用只分配滿足該應(yīng)用需求的最小訪問權(quán)限���。存儲隔離最后,在對計(jì)算機(jī)和應(yīng)用進(jìn)行隔離的基礎(chǔ)上���,對數(shù)據(jù)進(jìn)行存儲隔離�,不同虛擬機(jī)之 間的數(shù)據(jù)是不能訪問的�����。虛擬化安全管理系統(tǒng)的存儲隔離不是簡單的數(shù)據(jù)加密、分區(qū)隔離 技術(shù)���,而是基于虛擬化服務(wù)器的隔離���,真正保證了只有分配了相應(yīng)權(quán)限的計(jì)算機(jī)和應(yīng)用才 能對數(shù)據(jù)進(jìn)行訪問。[0022] 虛擬化企業(yè)信息安全管理系統(tǒng)是計(jì)算機(jī)系統(tǒng)的安全基礎(chǔ)核心模塊�����,通過改變傳統(tǒng) 操作系統(tǒng)的結(jié)構(gòu)��,通過傳輸通道的虛擬化技術(shù)和加密技術(shù)��,將不同安全需求的虛擬機(jī)分組�, 同一組的虛擬機(jī)之間采用相同的傳輸私密通道進(jìn)行通信,不同組的虛擬機(jī)之間傳輸私密通 道相互隔離��,使得計(jì)算機(jī)系統(tǒng)可信地運(yùn)行在安全的環(huán)境中��。
權(quán)利要求一種虛擬化企業(yè)信息管理系統(tǒng)����,其特征在于,包括虛擬化系統(tǒng)�����、企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)所述的虛擬化系統(tǒng)包括應(yīng)用程序模塊���、影子操作系統(tǒng)A����、虛擬機(jī)A�、影子操作系統(tǒng)B、虛擬機(jī)B�;所述的企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)包括安全網(wǎng)橋、操作系統(tǒng)復(fù)用模塊�����、動態(tài)硬盤映射模塊���、安全管理程序模塊�、虛擬機(jī)管理器����、物理計(jì)算機(jī),且各部分相互連接���;所述的虛擬化系統(tǒng)與企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)的連接�����。
2.根據(jù)權(quán)利要求1所述的虛擬化企業(yè)信息管理系統(tǒng)����,其特征在于,所述的影子操作系 統(tǒng)A與虛擬機(jī)A連接���,影子操作系統(tǒng)B與虛擬機(jī)B連接���。
3.根據(jù)權(quán)利要求1所述的虛擬化企業(yè)信息管理系統(tǒng),其特征在于���,所述的影子操作系 統(tǒng)A����、虛擬機(jī)A與影子操作系統(tǒng)B�����、虛擬機(jī)B相互隔離����。
專利摘要本實(shí)用新型涉及一種虛擬化企業(yè)信息管理系統(tǒng)���,包括虛擬化系統(tǒng)、企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)���,虛擬化系統(tǒng)包括應(yīng)用程序模塊、影子操作系統(tǒng)A�、虛擬機(jī)A、影子操作系統(tǒng)B�����、虛擬機(jī)B�;企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)包括安全網(wǎng)橋、操作系統(tǒng)復(fù)用模塊�����、動態(tài)硬盤映射模塊��、安全管理程序模塊���、虛擬機(jī)管理器����、物理計(jì)算機(jī),且各部分相互連接�;虛擬化系統(tǒng)與企業(yè)內(nèi)部VPN網(wǎng)絡(luò)系統(tǒng)連接。本實(shí)用新型通過傳輸通道的虛擬化����,將不同安全需求的虛擬機(jī)分組,同一組的虛擬機(jī)之間采用相同的傳輸私密通道進(jìn)行通信�����,不同組的虛擬機(jī)之間傳輸私密通道相互隔離�����,大大提高了企業(yè)信息安全性��。
文檔編號H04L12/46GK201707676SQ20102025340
公開日2011年1月12日 申請日期2010年7月9日 優(yōu)先權(quán)日2010年7月9日
發(fā)明者劉彥丁, 宋定全, 羅煒 申請人:成都仁源信息技術(shù)有限公司