一種安全管理方法及裝置的制造方法
【專利摘要】本發(fā)明公開了一種安全管理方法及裝置����,安全管理方法包括:獲取用戶的第一信息,所述第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息����;獲取云計(jì)算平臺(tái)的平臺(tái)信息,所述平臺(tái)信息包括日志信息和/或配置信息���;將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析��;根據(jù)分析結(jié)果生成第一報(bào)告����。通過第一信息和平臺(tái)信息的對(duì)比分析,可以幫助用戶實(shí)現(xiàn)對(duì)云計(jì)算平臺(tái)的監(jiān)管�����。
【專利說明】
一種安全管理方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及電子技術(shù)領(lǐng)域�����,尤其涉及一種安全管理方法及裝置����。
【背景技術(shù)】
[0002]云計(jì)算使計(jì)算、網(wǎng)絡(luò)�、存儲(chǔ)以服務(wù)的方式通過互聯(lián)網(wǎng)提供�����,用戶可以不用建本地的數(shù)據(jù)中心����,采用付費(fèi)的方式使用云計(jì)算平臺(tái)服務(wù)提供方提供的云計(jì)算平臺(tái)中的部分云計(jì)算資源空間。
[0003]在云計(jì)算服務(wù)模式中�,所有權(quán)和控制權(quán)分離����,用戶擁有數(shù)據(jù)的所有權(quán)���,但數(shù)據(jù)所在的云數(shù)據(jù)中心控制權(quán)在云計(jì)算平臺(tái)服務(wù)提供方手中���,因此,用戶對(duì)云計(jì)算平臺(tái)不放心���,例如擔(dān)心云計(jì)算平臺(tái)利用系統(tǒng)管理權(quán)限做一些不利于用戶的事情��,云計(jì)算平臺(tái)是資源共享模式�����,云計(jì)算平臺(tái)不能把所有信息都提供給用戶�,以避免泄漏其他用戶的信息�,也避免泄露平臺(tái)的隱私信息,也加劇了用戶的不信任��;同時(shí)云計(jì)算平臺(tái)也對(duì)用戶不信任��,比如用戶是否在平臺(tái)上從事非法活動(dòng)。
[0004]為了解決用戶和云計(jì)算平臺(tái)服務(wù)提供方之間的信任問題����,業(yè)界還沒有一種得到大家認(rèn)可,廣泛采納的解決方案����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問題在于,如何幫助用戶對(duì)其所使用的云計(jì)算平臺(tái)進(jìn)行審計(jì)�,針對(duì)該技術(shù)問題,本發(fā)明提供一種安全管理方法及裝置����。
[0006]本發(fā)明提供的安全管理方法包括:
[0007]獲取用戶的第一信息,所述第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息�;
[0008]獲取云計(jì)算平臺(tái)的平臺(tái)信息,所述平臺(tái)信息包括日志信息和/或配置信息��;
[0009]將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析����;
[0010]根據(jù)分析結(jié)果生成第一報(bào)告�。
[0011]進(jìn)一步地,所述使用信息包括:用戶在云計(jì)算平臺(tái)上的操作信息���、用戶在云計(jì)算平臺(tái)上使用的云計(jì)算資源的性能信息中的至少一種�����。
[0012]進(jìn)一步地�,所述使用信息通過以下至少一種方式獲取:
[0013]由用戶提供;
[0014]由所述云計(jì)算平臺(tái)監(jiān)控用戶對(duì)所述云計(jì)算平臺(tái)的使用情況并生成所述使用信息后提供�。
[0015]進(jìn)一步地,所述日志信息包括:所述云計(jì)算平臺(tái)運(yùn)行日志信息���、所述云計(jì)算平臺(tái)管理員操作日志信息中的至少一種����。
[0016]進(jìn)一步地��,所述將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析包括以下至少一種:
[0017]將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析�����,得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行的分析結(jié)果�,或者得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行以及異常運(yùn)行事項(xiàng)的分析結(jié)果;
[0018]將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)管理員操作日志信息進(jìn)行對(duì)比分析�����,得到所述云計(jì)算平臺(tái)管理員是否有異常操作的分析結(jié)果,或者得到所述云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)的分析結(jié)果��;
[0019]將所述使用信息和/或所述約定信息與所述配置信息進(jìn)行對(duì)比分析����,得到所述配置信息是否符合要求的分析結(jié)果,或者得到所述配置信息是否符合要求以及不符合要求的事項(xiàng)的分析結(jié)果���。
[0020]進(jìn)一步地���,所述配置信息包括:所述云計(jì)算平臺(tái)的軟件信息、用戶所在虛擬機(jī)的物理服務(wù)器的配置信息���、用戶所在虛擬機(jī)的物理服務(wù)器的物理位置信息�����、用戶在云計(jì)算平臺(tái)所使用的云計(jì)算資源空間的網(wǎng)絡(luò)安全配置文件中的至少一種���。
[0021]進(jìn)一步地,所述的安全管理方法還包括:按照第一預(yù)設(shè)規(guī)則對(duì)所述第一報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理���,所述部分信息包括:所述云計(jì)算平臺(tái)的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息。
[0022]進(jìn)一步地,所述的安全管理方法還包括:將經(jīng)過所述屏蔽或刪除處理后的第一報(bào)告提供給所述用戶�����。
[0023]進(jìn)一步地���,所述的安全管理方法還包括:
[0024]根據(jù)所述使用信息和/或所述日志信息分析用戶對(duì)所述云計(jì)算平臺(tái)是否存在威脅操作���;
[0025]和/或,根據(jù)所述使用信息和/或所述日志信息分析用戶是否在所述云計(jì)算平臺(tái)從事非法業(yè)務(wù)�;
[0026]根據(jù)分析結(jié)果生成第二報(bào)告。
[0027]進(jìn)一步地��,所述的安全管理方法還包括:按照第二預(yù)設(shè)規(guī)則對(duì)所述第二報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理��,所述部分信息包括:所述用戶的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息����。
[0028]進(jìn)一步地,所述的安全管理方法還包括:將經(jīng)過所述屏蔽或刪除處理后的第二報(bào)告提供給所述云計(jì)算平臺(tái)服務(wù)提供方��。
[0029]本發(fā)明提供的安全管理裝置包括:
[0030]第一獲取模塊�,用于獲取用戶的第一信息,所述第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息�;
[0031]第二獲取模塊����,用于獲取云計(jì)算平臺(tái)的平臺(tái)信息�����,所述平臺(tái)信息包括日志信息和/或配置信息�;
[0032]第一分析模塊,用于將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析��;
[0033]生成模塊����,用于根據(jù)所述第一分析模塊的分析結(jié)果生成第一報(bào)告。
[0034]進(jìn)一步地����,所述第一獲取模塊用于從所述用戶端獲取所述使用信息,和/或從所述云計(jì)算平臺(tái)獲取所述使用信息���。
[0035]進(jìn)一步地��,所述第一分析模塊包括以下至少一種:
[0036]第一分析子模塊��,用于將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析����,得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行的分析結(jié)果,或者得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行以及異常運(yùn)行事項(xiàng)的分析結(jié)果�����;
[0037]第二分析子模塊�,用于將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)管理員操作日志信息進(jìn)行對(duì)比分析���,得到所述云計(jì)算平臺(tái)管理員是否有異常操作的分析結(jié)果��,或者得到所述云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)的分析結(jié)果���;
[0038]第三分析子模塊,用于將所述使用信息和/或所述約定信息與所述配置信息進(jìn)行對(duì)比分析�,得到所述配置信息是否符合要求的分析結(jié)果,或者得到所述配置信息是否符合要求以及不符合要求的事項(xiàng)的分析結(jié)果�����。
[0039]進(jìn)一步地���,所述的安全管理裝置還包括第一處理模塊����,用于按照第一預(yù)設(shè)規(guī)則對(duì)所述第一報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理,所述部分信息包括:所述云計(jì)算平臺(tái)的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息���。
[0040]進(jìn)一步地�����,所述的安全管理裝置還包括第一通信模塊���,用于將經(jīng)過所述屏蔽或刪除處理后的第一報(bào)告提供給所述用戶。
[0041]進(jìn)一步地�����,所述的安全管理裝置還包括第二分析模塊���,所述第二分析模塊包括以下至少一種:
[0042]第四分析子模塊�����,用于根據(jù)所述使用信息和/或所述日志信息分析用戶對(duì)所述云計(jì)算平臺(tái)是否存在威脅操作����;
[0043]第五分析子模塊,用于根據(jù)所述使用信息和/或所述日志信息分析用戶是否在所述云計(jì)算平臺(tái)從事非法業(yè)務(wù)�����;
[0044]所述生成模塊還用于根據(jù)所述第二分析模塊的分析結(jié)果生成第二報(bào)告���。
[0045]進(jìn)一步地,所述的安全管理裝置還包括第二處理模塊�,用于按照第二預(yù)設(shè)規(guī)則對(duì)所述第二報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理,所述部分信息包括:所述用戶的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息�����。
[0046]進(jìn)一步地��,所述的安全管理裝置還包括第二通信模塊�����,用于將經(jīng)過所述屏蔽或刪除處理后的第二報(bào)告提供給所述云計(jì)算平臺(tái)服務(wù)提供方�。
[0047]本發(fā)明提出的安全管理方法及裝置,將用戶的第一信息與云計(jì)算平臺(tái)的平臺(tái)信息進(jìn)行對(duì)比分析����,根據(jù)分析結(jié)果生成第一報(bào)告�����。由于第一信息反映了用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與云計(jì)算平臺(tái)服務(wù)提供方的約定信息����,平臺(tái)信息反映了云計(jì)算平臺(tái)的日志信息和/或配置信息�,將該兩種信息進(jìn)行對(duì)比分析,如果出現(xiàn)云計(jì)算平臺(tái)沒有按照約定信息進(jìn)行配置��,或者日志信息與用戶的使用信息不匹配等等這些情況�,都可以通過報(bào)告體現(xiàn)出來,對(duì)報(bào)告進(jìn)行隱私信息防泄漏處理后可以提供給用戶��,幫助用戶實(shí)現(xiàn)了對(duì)云計(jì)算平臺(tái)的監(jiān)管����。
【附圖說明】
[0048]圖1為本發(fā)明一實(shí)施例提供的安全管理方法的流程圖;
[0049]圖2為本發(fā)明一實(shí)施例提供的安全管理裝置的示意圖�����。
【具體實(shí)施方式】
[0050]目前的云計(jì)算服務(wù)模式可以分為三類:IaaS(Infrastructureas a Service����,基礎(chǔ)設(shè)施即服務(wù))��、PaaS(Platform as a Service�,平臺(tái)即服務(wù))��、SaaS(Software as aService���,軟件即服務(wù))�。
[0051]IaaS:用戶租用計(jì)算資源�、存儲(chǔ)資源、網(wǎng)絡(luò)資源�����,云計(jì)算平臺(tái)�,為每一個(gè)用戶建立一個(gè)獨(dú)立的虛擬私有云(VPC���,Virtual Private Cloud)��,從用戶的角度看�����,擁有了一個(gè)虛擬的私有數(shù)據(jù)中心��,也就是云計(jì)算資源空間�,這個(gè)數(shù)據(jù)的控制權(quán)歸屬于對(duì)應(yīng)用戶。為每個(gè)用戶的云計(jì)算資源空間加了一把鎖���,鑰匙掌握在用戶的手上����。
[0052]PaaS:為用戶提供了應(yīng)用程序的開發(fā)和運(yùn)行環(huán)境��。以典型的RDS( (Relat1nalDatabase Service)關(guān)系型數(shù)據(jù)庫服務(wù)為例��,可以直接租PaaS服務(wù)提供方的數(shù)據(jù)庫服務(wù)���,PaaS服務(wù)提供方為每個(gè)用戶提供邏輯獨(dú)立的數(shù)據(jù)庫����,也就是云計(jì)算資源空間���,控制權(quán)歸屬用戶����。
[0053]SaaS:是一種通過Internet提供軟件的模式,SaaS軟件服務(wù)提供方將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上�����,客戶可以根據(jù)自己實(shí)際需求���,通過互聯(lián)網(wǎng)向SaaS軟件服務(wù)提供方定購(gòu)所需的應(yīng)用軟件服務(wù)���,按定購(gòu)的服務(wù)多少和時(shí)間長(zhǎng)短向SaaS軟件服務(wù)提供方支付費(fèi)用,并通過互聯(lián)網(wǎng)獲得SaaS軟件服務(wù)提供方提供的服務(wù)�。用戶不用再購(gòu)買軟件,而改用向服務(wù)提供方租用基于Web的軟件�,來管理企業(yè)經(jīng)營(yíng)活動(dòng),且無需對(duì)軟件進(jìn)行維護(hù)����,服務(wù)提供方會(huì)全權(quán)管理和維護(hù)軟件���。典型的SaaS服務(wù)如CRM服務(wù)(Customer Relat1nship Management客戶關(guān)系管理)O
[0054]下面以IaaS服務(wù)為例�,描述用戶和云計(jì)算平臺(tái)服務(wù)提供方存在的信任問題�����。
[0055]從用戶的角度,信任問題有:
[0056]用戶的云計(jì)算資源空間�,是不是只有用戶自己在使用,云計(jì)算平臺(tái)的管理員有沒有利用特權(quán)����,在用戶沒有主動(dòng)請(qǐng)求的情況下進(jìn)入用戶的云計(jì)算資源空間;或有沒有其他用戶���,利用云計(jì)算平臺(tái)的漏洞��,進(jìn)入用戶的云計(jì)算資源空間��;
[0057]云計(jì)算平臺(tái)對(duì)用戶云計(jì)算資源空間的系統(tǒng)行為�����,是不是業(yè)務(wù)必須的�,如云計(jì)算平臺(tái)把用戶的虛擬機(jī)從一個(gè)集群或一個(gè)物理數(shù)據(jù)中心迀移到另一個(gè)集群或另一個(gè)物理數(shù)據(jù)中心��,是不是當(dāng)前集群或物理數(shù)據(jù)中心發(fā)生故障���,負(fù)荷過高等情況���,迀移更有利于為用戶提供穩(wěn)定的服務(wù)����。如果不是業(yè)務(wù)必須的��,非必要的迀移�,有理由相信,云計(jì)算平臺(tái)服務(wù)提供方可能利用迀移過程中的一些系統(tǒng)漏洞或權(quán)限獲取用戶業(yè)務(wù)信息�����;
[0058]用戶的云計(jì)算資源部署的安全能力與用戶簽約時(shí)是否一致;如:用戶要求虛擬機(jī)只能部署在帶安全芯片的物理服務(wù)器上��,并為這個(gè)要求支付了相應(yīng)的費(fèi)用����,用戶關(guān)心虛擬機(jī)是否真正的部署在這個(gè)安全級(jí)別的物理服務(wù)器上;
[0059]與用戶云計(jì)算資源空間相關(guān)的云計(jì)算平臺(tái)的配置是否安全�����,關(guān)閉了不必要的網(wǎng)絡(luò)端口�����、需要傳輸加密的傳輸路徑有加密等��;
[0060]從云計(jì)算平臺(tái)服務(wù)提供方的角度���,信任問題有:
[0061]用戶租用了云計(jì)算資源空間后����,開展的業(yè)務(wù)是否合法的�����,因?yàn)樵朴?jì)算平臺(tái)服務(wù)提供方不能進(jìn)入用戶云計(jì)算資源空間�����,原則上�,云計(jì)算平臺(tái)服務(wù)提供方無法知道用戶在云計(jì)算資源空間的業(yè)務(wù),如果用戶開展非法的服務(wù)��,用戶受到法律制裁時(shí)�,云計(jì)算平臺(tái)服務(wù)提供方會(huì)受到牽連。
[0062]用戶是不是惡意租用戶���,租用了云計(jì)算資源后��,會(huì)不會(huì)利用這些資源��,發(fā)起到云計(jì)算平臺(tái)或其他用戶的攻擊�,因?yàn)閭鹘y(tǒng)的數(shù)據(jù)中心模式下,惡意用戶要發(fā)起對(duì)云計(jì)算資源空間的攻擊��,首先就要遇到數(shù)據(jù)中心網(wǎng)絡(luò)邊界的防護(hù)�,如防火墻,IPS/IDS等;而在云計(jì)算服務(wù)模式中�,用戶可以直接在云計(jì)算數(shù)據(jù)中心內(nèi)租戶虛擬機(jī),可以不受云計(jì)算數(shù)據(jù)中心邊界的防護(hù)����,直接發(fā)起攻擊。
[0063]可見���,目前的云計(jì)算應(yīng)用中����,用戶和云計(jì)算平臺(tái)服務(wù)提供方互不信任��,需要一個(gè)雙方都共同信任的第三方���。本發(fā)明提出的安全管理裝置可作為該第三方�。
[0064]對(duì)于用戶,該安全管理裝置可以接受用戶的委托��,代表用戶對(duì)云計(jì)算平臺(tái)進(jìn)行專業(yè)化監(jiān)管�����。該安全管理裝置沒有云計(jì)算平臺(tái)中用戶的業(yè)務(wù)權(quán)限�����,不會(huì)威脅到用戶的數(shù)據(jù)安全�,威脅到用戶的正常業(yè)務(wù)�。
[0065]對(duì)于云計(jì)算平臺(tái)服務(wù)提供方,該安全管理裝置需要具備訪問云計(jì)算平臺(tái)的權(quán)限和能力�。該安全管理裝置可以屏蔽或刪除云計(jì)算平臺(tái)的隱私信息和其他用戶的隱私信息,審計(jì)報(bào)告中只向用戶提供與用戶相關(guān)的信息���,不會(huì)威脅到云計(jì)算平臺(tái)的數(shù)據(jù)安全�,威脅到云計(jì)算平臺(tái)的正常業(yè)務(wù)�。該安全管理裝置也可以接受云計(jì)算平臺(tái)服務(wù)提供方的委托,就某項(xiàng)事項(xiàng)��,代表云計(jì)算平臺(tái)服務(wù)提供方對(duì)云計(jì)算平臺(tái)和/或用戶進(jìn)行專業(yè)化監(jiān)管����。
[0066]該安全管理裝置可以事先獲得相關(guān)資質(zhì)(比如國(guó)家出臺(tái)的)��,以用戶和向云計(jì)算平臺(tái)服務(wù)提供方證明自己的可信度;該安全管理裝置可以與用戶和/或云計(jì)算平臺(tái)服務(wù)提供方簽訂服務(wù)合同��,受服務(wù)合同的約束�����,該安全管理裝置必須規(guī)范自己的行為和兌現(xiàn)自己的承諾����。該安全管理裝置還必須遵守國(guó)家或行業(yè)相關(guān)規(guī)范���。
[0067]下面通過具體實(shí)施例對(duì)本發(fā)明提出的安全管理方法和裝置做進(jìn)一步解釋說明���。應(yīng)當(dāng)理解,下面所描述的具體實(shí)施例僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明�。
[0068]參考圖1����,圖1為本發(fā)明一實(shí)施例提供的安全管理方法的流程圖,該方法包括以下流程:
[0069]SlOl、獲取用戶的第一信息�����。
[0070]第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息���。
[0071]其中,用戶對(duì)云計(jì)算平臺(tái)的使用信息�����,主要用來反映用戶對(duì)云計(jì)算平臺(tái)的真實(shí)使用情況�����??梢园?用戶在云計(jì)算平臺(tái)上的操作信息、用戶在云計(jì)算平臺(tái)上使用的云計(jì)算資源的性能信息中的至少一種��。用戶在云計(jì)算平臺(tái)上的操作信息包括:用戶在云計(jì)算平臺(tái)上提交的業(yè)務(wù)請(qǐng)求�、其他操作記錄等等。性能信息包括:用戶所在虛擬機(jī)的CHJ使用信息����、出口帶寬使用信息、存儲(chǔ)空間使用信息中的至少一種。用戶所在虛擬機(jī)的CHJ使用信息包括:CPU占用率等信息��。出口帶寬使用信息包括:帶寬占用率等信息�����。存儲(chǔ)空間使用信息包括:剩余存儲(chǔ)空間等信息��。
[0072]用戶對(duì)云計(jì)算平臺(tái)的使用信息可以由用戶提供���,比如用戶根據(jù)自己對(duì)云計(jì)算平臺(tái)的使用情況實(shí)時(shí)記錄使用信息��,采用用戶主動(dòng)上報(bào)或到用戶指定的系統(tǒng)收集的方式獲取到該使用信息���。
[0073]用戶對(duì)云計(jì)算平臺(tái)的使用信息也可以從云計(jì)算平臺(tái)獲取,現(xiàn)有的云計(jì)算平臺(tái)為了得到用戶的信任��,有的會(huì)根據(jù)用戶對(duì)云計(jì)算平臺(tái)的使用情況實(shí)時(shí)記錄使用信息�,該使用信息可以由云計(jì)算平臺(tái)主動(dòng)上報(bào)或到云計(jì)算平臺(tái)指定的系統(tǒng)收集的方式獲取到,或者還可以在云計(jì)算平臺(tái)內(nèi)部署使用信息收集模塊�,收集用戶在云計(jì)算平臺(tái)中的使用信息。
[0074]用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息�,包括:用戶與所述云計(jì)算平臺(tái)服務(wù)提供方簽訂的規(guī)范信息、用戶與所述云計(jì)算平臺(tái)服務(wù)提供方通過各種方式約定的其他信息等等���。該其他信息包括用戶按照規(guī)范向所述云計(jì)算平臺(tái)服務(wù)提供方提出的請(qǐng)求�����,比如用戶發(fā)起的擴(kuò)容請(qǐng)求��、服務(wù)器迀移請(qǐng)求等等;還可以包括用戶與所述云計(jì)算平臺(tái)服務(wù)提供方簽訂的規(guī)范信息的補(bǔ)充信息等等�。約定信息主要用來反映云計(jì)算平臺(tái)本應(yīng)向用戶提供的服務(wù)。約定信息可以由用戶提供���,也可以從云計(jì)算平臺(tái)獲取。
[0075]上述第一信息可以實(shí)時(shí)或定時(shí)地的獲取�����,如I分鐘獲取一次或10分鐘獲取一次����。可以由事件觸發(fā)的方式獲取��,如用戶發(fā)起云計(jì)算資源擴(kuò)容的請(qǐng)求后啟動(dòng)收集;也可以人工主動(dòng)發(fā)起獲取�����,如安全管理裝置的管理員主動(dòng)發(fā)起。
[0076]S102���、獲取云計(jì)算平臺(tái)的平臺(tái)信息����。
[0077]其中�,該平臺(tái)信息包括日志信息和/或配置信息。
[0078]日志信息主要用來反映云計(jì)算平臺(tái)對(duì)用戶提供的服務(wù)的真實(shí)記錄情況����。包括:云計(jì)算平臺(tái)運(yùn)行日志信息、云計(jì)算平臺(tái)管理員操作日志信息中的至少一種���。云計(jì)算平臺(tái)運(yùn)行日志信息主要用來反映云計(jì)算平臺(tái)的運(yùn)行情況�。云計(jì)算平臺(tái)管理員操作日志信息主要用來反映云計(jì)算平臺(tái)的管理員對(duì)云計(jì)算平臺(tái)的操作管理的真實(shí)情況��。日志信息的獲取方式可以是:到云計(jì)算平臺(tái)的日志服務(wù)器下載;或由日志服務(wù)器主動(dòng)上報(bào)�。
[0079]配置信息主要用來反映云計(jì)算平臺(tái)的軟硬件的真實(shí)配置情況。配置信息包括:云計(jì)算平臺(tái)的軟件信息���、用戶所在虛擬機(jī)的物理服務(wù)器的配置信息����、用戶所在虛擬機(jī)的物理服務(wù)器的物理位置信息、用戶在云計(jì)算平臺(tái)所使用的云計(jì)算資源空間的網(wǎng)絡(luò)安全配置文件中的至少一種�。云計(jì)算平臺(tái)的軟件信息包括軟件版本信息等。配置信息的獲取方式可以是:到云計(jì)算平臺(tái)采集;或由云計(jì)算平臺(tái)主動(dòng)上報(bào)�。
[0080]上述平臺(tái)信息可以實(shí)時(shí)或定時(shí)地的獲取,如I分鐘獲取一次或10分鐘獲取一次���??梢杂墒录|發(fā)的方式獲取�,如用戶發(fā)起云計(jì)算資源擴(kuò)容的請(qǐng)求后啟動(dòng)收集;也可以人工主動(dòng)發(fā)起獲取,如安全管理裝置的管理員主動(dòng)發(fā)起���。
[0081]S103�����、將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析。
[0082]由于��,第一信息主要反映用戶對(duì)云計(jì)算平臺(tái)的真實(shí)使用情況和/或云計(jì)算平臺(tái)本應(yīng)向用戶提供的服務(wù)����,而平臺(tái)信息主要用來反映云計(jì)算平臺(tái)對(duì)用戶提供的服務(wù)的真實(shí)記錄情況和/或云計(jì)算平臺(tái)的軟硬件的真實(shí)配置情況,將兩種信息進(jìn)行對(duì)比分析�����,可以幫助用戶對(duì)云計(jì)算平臺(tái)進(jìn)行審計(jì)。下面列舉幾種具體的分析內(nèi)容�。
[0083]第一種,將上述使用信息與上述云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析�����,可以知道云計(jì)算平臺(tái)是否有異常運(yùn)行的情況�,得到的分析結(jié)果中可以包括:云計(jì)算平臺(tái)是否有異常運(yùn)行,或者云計(jì)算平臺(tái)是否有異常運(yùn)行以及異常運(yùn)行事項(xiàng)����。
[0084]例如:云計(jì)算平臺(tái)運(yùn)行日志文件中記錄了云計(jì)算平臺(tái)對(duì)用戶虛擬私有數(shù)據(jù)中心進(jìn)行了擴(kuò)容,增加了用戶虛擬機(jī)����,那就要核對(duì)用戶的使用信息,根據(jù)使用信息�,分析在擴(kuò)容前用戶虛擬機(jī)的CPU或帶寬負(fù)荷是否已經(jīng)超過設(shè)定的自動(dòng)擴(kuò)容門限值,如果已超過門限值��,說明這個(gè)擴(kuò)容是合理的��;如果沒有超過門限值�,還要根據(jù)用戶的使用信息分析是否為用戶主動(dòng)發(fā)起的擴(kuò)容請(qǐng)求�,如果用戶也沒有發(fā)起��,那說明是異常行為����,得到分析結(jié)果。具體的分析過程�,可以是人工分析,也可以是工具自動(dòng)化分析����,或人工和工具相結(jié)合的分析。
[0085]第二種�����,將上述使用信息與上述云計(jì)算平臺(tái)管理員操作日志信息進(jìn)行對(duì)比分析��,可以知道云計(jì)算平臺(tái)管理員是否有異常操作的情況���,得到的分析結(jié)果中可以包括:云計(jì)算平臺(tái)管理員是否有異常操作,或者云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)�。
[0086]例如:云計(jì)算平臺(tái)管理員操作日志信息中,記錄了管理員對(duì)用戶的某個(gè)虛擬機(jī)進(jìn)行了迀移����,從一個(gè)集群迀移到了另一個(gè)集群�,那就要核對(duì)用戶的使用信息��,根據(jù)使用信息分析是不是用戶主動(dòng)請(qǐng)求的�;如果用戶沒有主動(dòng)請(qǐng)求,再根據(jù)使用信息分析當(dāng)時(shí)用戶虛擬機(jī)所在的物理服務(wù)器負(fù)荷是否過高���,需要管理員參與進(jìn)行負(fù)荷調(diào)整���,管理員是否得到授權(quán)等。如果都沒有�,就屬于異常操作,得到分析結(jié)果��。
[0087]第三種��,將上述使用信息與上述云計(jì)算平臺(tái)管理員操作日志信息�、云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析,可以知道云計(jì)算平臺(tái)管理員是否有異常操作的情況���,得到的分析結(jié)果中可以包括:云計(jì)算平臺(tái)管理員是否有異常操作�����,或者云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)���。
[0088]例如:云計(jì)算平臺(tái)管理員操作日志信息中���,記錄了管理員對(duì)用戶的某個(gè)虛擬機(jī)數(shù)據(jù)卷執(zhí)行了御掛卷的動(dòng)作,那就要核對(duì)用戶的使用信息�����,根據(jù)使用信息分析是不是用戶主動(dòng)請(qǐng)求的�;如果用戶沒有主動(dòng)請(qǐng)求,再根據(jù)云計(jì)算平臺(tái)運(yùn)行日志信息分析當(dāng)時(shí)云計(jì)算平臺(tái)是否有系統(tǒng)級(jí)的故障�,需要管理員參與恢復(fù)系統(tǒng),管理員是否得到授權(quán)等����。如果都沒有,就屬于異常操作�����,得到分析結(jié)果��。
[0089]第四種��,將上述約定信息與上述配置信息進(jìn)行對(duì)比分析��,可以知道云計(jì)算平臺(tái)的配置是否符合約定���,得到的分析結(jié)果中可以包括:配置信息是否符合約定���,或者配置信息是否符合約定以及不符合約定的事項(xiàng)。
[0090]例如:分析收集到的云計(jì)算平臺(tái)的系統(tǒng)配置文件中關(guān)鍵配置項(xiàng)��,檢查配置參數(shù)與用戶簽約的規(guī)范文件中的要求是否一致��,如:用戶虛擬機(jī)到云數(shù)據(jù)中心物理邊界�����,如果用戶簽約要求傳輸加密�����,就要檢查加密開關(guān)是否開啟��,如果沒有開啟����,就屬于異常情況���,得到分析結(jié)果。由于成本或管理的原因����,若有的云計(jì)算平臺(tái)本應(yīng)提供的安全控制手段或安全防護(hù)措施沒有被啟用或沒有被正確配置,通過該項(xiàng)對(duì)比分析���,就可以檢查出來����。
[0091]又如:分析用戶虛擬機(jī)部署的物理服務(wù)器的配置信息與用戶簽約的規(guī)范文件中的要求是否一致�,如:用戶簽約的規(guī)范文件中要求虛擬機(jī)部署在有安全芯片的物理服務(wù)器上,如果根據(jù)收集到的配置信息發(fā)現(xiàn)用戶虛擬機(jī)所在物理服務(wù)器沒有配置安全芯片���,就屬于異常情況�,得到分析結(jié)果��。
[0092]當(dāng)然���,步驟S103能實(shí)現(xiàn)的對(duì)比分析不僅僅是上面所列舉的情況�,還可以將云計(jì)算平臺(tái)運(yùn)行日志信息、云計(jì)算平臺(tái)管理員操作日志信息和上述配置信息中的至少兩種綜合起來�����,與上述使用信息對(duì)比分析�����,或者綜合起來與上述約定信息對(duì)比��,或者綜合起來與上述使用信息和上述約定信息進(jìn)行對(duì)比�。
[0093]S104�����、根據(jù)分析結(jié)果生成第一報(bào)告����。第一報(bào)告的具體內(nèi)容根據(jù)分析結(jié)果而定,可詳細(xì)可簡(jiǎn)短���。
[0094]第一報(bào)告中記載了分析結(jié)果��,甚至可以記載應(yīng)對(duì)建議等其他信息��。
[0095]為了防止泄密���,優(yōu)選的�,可以對(duì)第一報(bào)告進(jìn)行防泄密處理�,處理方式包括但不局限于:
[0096]按照第一預(yù)設(shè)規(guī)則對(duì)該第一報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理,該部分信息可以包括:云計(jì)算平臺(tái)的合理隱私信息以及使用云計(jì)算平臺(tái)的其他用戶的合理隱私信息�����。
[0097]云計(jì)算平臺(tái)的合理隱私信息包括但不局限于:云計(jì)算平臺(tái)的軟件版本信息����、云計(jì)算平臺(tái)管理員的賬號(hào)名稱、云計(jì)算平臺(tái)的網(wǎng)絡(luò)拓?fù)浼軜?gòu)��、云計(jì)算平臺(tái)的物理位置信息等���,可以在報(bào)告中用XXXX代替����,或者以代碼代替����,非云計(jì)算平臺(tái)服務(wù)提供方無法識(shí)別代碼的具體指向內(nèi)容���。
[0098]使用云計(jì)算平臺(tái)的其他用戶的合理隱私信息包括但不局限于:其他用戶的賬號(hào)信息、虛擬機(jī)信息等����。
[0099]經(jīng)過防泄密處理后的第一報(bào)告再發(fā)送給用戶�,用戶收到后,根據(jù)報(bào)告中列的內(nèi)容���,可以知道為其提供服務(wù)的云計(jì)算平臺(tái)是否安全可靠�����。幫助了用戶對(duì)云計(jì)算平臺(tái)實(shí)施監(jiān)管和審計(jì)�����。
[0100]在另一些實(shí)施例中�,安全管理方法還可以包括:
[0101]將步驟S201中獲取到的云計(jì)算平臺(tái)的軟件信息��,與經(jīng)過安全測(cè)評(píng)的安全軟件信息是否對(duì)比����,判斷云計(jì)算平臺(tái)當(dāng)前使用軟件版本等信息與云計(jì)算平臺(tái)之前送檢的經(jīng)過安全測(cè)評(píng)的安全軟件信息是否一致����,如果不一致��,也是異常情況��,可以體現(xiàn)在第一報(bào)告中���。
[0102]若云計(jì)算平臺(tái)真實(shí)使有的軟件與經(jīng)過安全測(cè)評(píng)的軟件不是同一個(gè)�����,通過該項(xiàng)對(duì)比分析可以檢查出來���。
[0103]在另一些實(shí)施例中,安全管理方法還可以為云計(jì)算平臺(tái)服務(wù)提供方服務(wù)���,對(duì)用戶的行為進(jìn)行監(jiān)管和審計(jì)���,包括:
[0104]根據(jù)上述使用信息和/或上述日志信息分析用戶對(duì)云計(jì)算平臺(tái)是否存在威脅操作;和/或��,根據(jù)上述使用信息和/或上述日志信息分析用戶是否在云計(jì)算平臺(tái)從事非法業(yè)務(wù);根據(jù)分析結(jié)果生成第二報(bào)告����。
[0105]例如��,根據(jù)上述使用信息��,分析用戶虛擬機(jī)是否有在網(wǎng)絡(luò)層偵聽云計(jì)算平臺(tái)網(wǎng)絡(luò)的行為或DDoS等攻擊行為���;如果有,再根據(jù)上述使用信息或上述日志信息檢查用戶是否在做安全測(cè)試���,并且已向云計(jì)算平臺(tái)服務(wù)提供方提交過安全測(cè)試申請(qǐng)且已經(jīng)過云計(jì)算平臺(tái)服務(wù)提供方的同意,如果否�,就屬于用戶對(duì)云計(jì)算平臺(tái)的攻擊,可以體現(xiàn)在第二報(bào)告中提醒云計(jì)算平臺(tái)服務(wù)提供方����。
[0106]又如,根據(jù)上述使用信息�����,分析用戶虛擬機(jī)是否有與非法網(wǎng)站進(jìn)行往來的數(shù)據(jù)���,如果有�����,則可能用戶從事了非法活動(dòng)�,也有可能是用戶虛擬機(jī)被非法人員攻擊后利用了,也可以體現(xiàn)在第二報(bào)告中提醒云計(jì)算平臺(tái)服務(wù)提供方����。
[0107]為了防止泄密,優(yōu)選的�����,可以對(duì)第二報(bào)告進(jìn)行防泄密處理����,處理方式包括但不局限于:
[0108]按照第二預(yù)設(shè)規(guī)則對(duì)第二報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理,該部分信息包括:用戶的合理隱私信息以及使用云計(jì)算平臺(tái)的其他用戶的合理隱私信息��。
[0109]經(jīng)過防泄密處理后的第二報(bào)告再發(fā)送給云計(jì)算平臺(tái)服務(wù)提供方�,云計(jì)算平臺(tái)服務(wù)提供方收到后,根據(jù)報(bào)告中列的內(nèi)容����,可以知道該用戶對(duì)云計(jì)算平臺(tái)而言是否存在威脅。幫助了云計(jì)算平臺(tái)服務(wù)提供方對(duì)用戶實(shí)施監(jiān)管和審計(jì)。
[0110]參照?qǐng)D2���,圖2為本發(fā)明一實(shí)施例提供的安全管理裝置的示意圖���,安全管理裝置包括:
[0111]第一獲取模塊21,用于獲取用戶的第一信息�����,所述第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息����;
[0112]第二獲取模塊22,用于獲取云計(jì)算平臺(tái)的平臺(tái)信息����,所述平臺(tái)信息包括日志信息和/或配置信息�����;
[0113]第一分析模塊23��,用于將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析�;
[0114]生成模塊24,用于根據(jù)所述第一分析模塊23的分析結(jié)果生成第一報(bào)告。
[0115]其中��,用戶對(duì)云計(jì)算平臺(tái)的使用信息��,主要用來反映用戶對(duì)云計(jì)算平臺(tái)的真實(shí)使用情況���?�?梢园?用戶在云計(jì)算平臺(tái)上的操作信息����、用戶在云計(jì)算平臺(tái)上使用的云計(jì)算資源的性能信息中的至少一種����。用戶在云計(jì)算平臺(tái)上的操作信息包括:用戶在云計(jì)算平臺(tái)上操作的業(yè)務(wù)請(qǐng)求等等。性能信息包括:用戶所在虛擬機(jī)的CHJ使用信息��、出口帶寬使用信息�����、存儲(chǔ)空間使用信息中的至少一種����。用戶所在虛擬機(jī)的CPU使用信息包括:CPU占用率等信息����。出口帶寬使用信息包括:帶寬占用率等信息�����。存儲(chǔ)空間使用信息包括:剩余存儲(chǔ)空間等信息����。
[0116]用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息,包括:用戶與所述云計(jì)算平臺(tái)服務(wù)提供方簽訂的規(guī)范信息�、用戶與所述云計(jì)算平臺(tái)服務(wù)提供方通過任何方式約定的其他信息等等。其他信息包括用戶按照規(guī)范向所述云計(jì)算平臺(tái)服務(wù)提供方提出的請(qǐng)求信息���,比如用戶發(fā)起的擴(kuò)容請(qǐng)求���、服務(wù)器迀移請(qǐng)求等等;還可以包括用戶與所述云計(jì)算平臺(tái)服務(wù)提供方簽訂的規(guī)范信息的補(bǔ)充信息等等。約定信息主要用來反映云計(jì)算平臺(tái)需向用戶提供的服務(wù)���。約定信息可以由用戶提供,也可以從云計(jì)算平臺(tái)獲取�����。
[0117]上述第一信息可以實(shí)時(shí)或定時(shí)地的獲取,如I分鐘獲取一次或10分鐘獲取一次���?���?梢杂墒录|發(fā)的方式獲取����,如用戶發(fā)起云計(jì)算資源擴(kuò)容的請(qǐng)求后啟動(dòng)收集;也可以人工主動(dòng)發(fā)起獲取,如安全管理裝置的管理員主動(dòng)發(fā)起�。
[0118]進(jìn)一步地,第一獲取模塊21用于從所述用戶端獲取所述使用信息��,和/或從所述云計(jì)算平臺(tái)獲取所述使用信息����。用戶對(duì)云計(jì)算平臺(tái)的使用信息可以由用戶提供,比如用戶根據(jù)自己對(duì)云計(jì)算平臺(tái)的使用情況實(shí)時(shí)記錄使用信息�����,采用用戶主動(dòng)上報(bào)或到用戶指定的系統(tǒng)收集的方式獲取到該使用信息��。用戶對(duì)云計(jì)算平臺(tái)的使用信息也可以從云計(jì)算平臺(tái)獲取����,現(xiàn)有的云計(jì)算平臺(tái)為了得到用戶的信任����,有的會(huì)根據(jù)用戶對(duì)云計(jì)算平臺(tái)的使用情況實(shí)時(shí)記錄使用信息����,該使用信息可以由云計(jì)算平臺(tái)主動(dòng)上報(bào)或到云計(jì)算平臺(tái)指定的系統(tǒng)收集的方式獲取到,或者還可以在云計(jì)算平臺(tái)內(nèi)部署使用信息收集模塊��,收集用戶在云計(jì)算平臺(tái)中的使用信息�����。
[0119]進(jìn)一步地�����,所述日志信息包括:所述云計(jì)算平臺(tái)運(yùn)行日志信息����、所述云計(jì)算平臺(tái)管理員操作日志信息中的至少一種。日志信息主要用來反映云計(jì)算平臺(tái)對(duì)用戶提供的服務(wù)的真實(shí)記錄情況���。云計(jì)算平臺(tái)運(yùn)行日志信息主要用來反映云計(jì)算平臺(tái)的運(yùn)行情況�����。云計(jì)算平臺(tái)管理員操作日志信息主要用來反映云計(jì)算平臺(tái)的管理員對(duì)云計(jì)算平臺(tái)的操作管理的真實(shí)情況����。日志信息的獲取方式可以是:到云計(jì)算平臺(tái)的日志服務(wù)器下載;或由日志服務(wù)器主動(dòng)上報(bào)����。
[0120]配置信息主要用來反映云計(jì)算平臺(tái)的軟硬件的真實(shí)配置情況。配置信息包括:云計(jì)算平臺(tái)的軟件信息����、用戶所在虛擬機(jī)的物理服務(wù)器的配置信息、用戶所在虛擬機(jī)的物理服務(wù)器的物理位置信息�����、用戶在云計(jì)算平臺(tái)所使用的云計(jì)算資源空間的網(wǎng)絡(luò)安全配置文件中的至少一種�。云計(jì)算平臺(tái)的軟件信息包括軟件版本信息等。配置信息的獲取方式可以是:到云計(jì)算平臺(tái)采集;或由云計(jì)算平臺(tái)主動(dòng)上報(bào)�。
[0121]日志信息、配置信息可以實(shí)時(shí)或定時(shí)地的獲取��,如I分鐘獲取一次或10分鐘獲取一次��。可以由事件觸發(fā)的方式獲取����,如用戶發(fā)起云計(jì)算資源擴(kuò)容的請(qǐng)求后啟動(dòng)收集;也可以人工主動(dòng)發(fā)起獲取,如安全管理裝置的管理員主動(dòng)發(fā)起��。
[0122]進(jìn)一步地���,第一分析模塊23包括以下至少一種:
[0123]第一分析子模塊��,用于將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析�,得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行的分析結(jié)果���,或者得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行以及異常運(yùn)行事項(xiàng)的分析結(jié)果���;
[0124]第二分析子模塊,用于將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)管理員操作日志信息進(jìn)行對(duì)比分析�,得到所述云計(jì)算平臺(tái)管理員是否有異常操作的分析結(jié)果,或者得到所述云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)的分析結(jié)果�;
[0125]第三分析子模塊,用于將所述使用信息和/或所述約定信息與所述配置信息進(jìn)行對(duì)比分析����,得到所述配置信息是否符合約定的分析結(jié)果���,或者得到所述配置信息是否符合約定以及不符合約定的事項(xiàng)的分析結(jié)果。
[0126]進(jìn)一步地���,上述安全管理裝置還包括第一處理模塊25,用于按照第一預(yù)設(shè)規(guī)則對(duì)所述第一報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理�����,所述部分信息包括:所述云計(jì)算平臺(tái)的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息�。
[0127]進(jìn)一步地,上述安全管理裝置還包括第一通信模塊26���,用于將經(jīng)過所述屏蔽或刪除處理后的第一報(bào)告提供給所述用戶��。
[0128]上述安全管理裝置用戶收到報(bào)告后�,根據(jù)報(bào)告中列的內(nèi)容���,可以知道為其提供服務(wù)的云計(jì)算平臺(tái)是否安全可靠���。幫助了用戶對(duì)云計(jì)算平臺(tái)實(shí)施監(jiān)管和審計(jì)。
[0129]進(jìn)一步地,上述安全管理裝置還可以為云計(jì)算平臺(tái)服務(wù)提供方服務(wù)�,對(duì)用戶的行為進(jìn)行監(jiān)管和審計(jì),還包括第二分析模塊27���,所述第二分析模塊包括以下至少一種:
[0130]第四分析子模塊�����,用于根據(jù)所述使用信息和/或所述日志信息分析用戶對(duì)所述云計(jì)算平臺(tái)是否存在威脅操作�;
[0131 ]第五分析子模塊���,用于根據(jù)所述使用信息和/或所述日志信息分析用戶是否在所述云計(jì)算平臺(tái)從事非法業(yè)務(wù)����;
[0132]所述生成模塊24還用于根據(jù)所述第二分析模塊的分析結(jié)果生成第二報(bào)告����。
[0133]進(jìn)一步地,上述安全管理裝置還包括第二處理模塊28�,用于按照第二預(yù)設(shè)規(guī)則對(duì)所述第二報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理,所述部分信息包括:所述用戶的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息����。
[0134]進(jìn)一步地,上述安全管理裝置還包括第二通信模塊29,用于將經(jīng)過所述屏蔽或刪除處理后的第二報(bào)告提供給所述云計(jì)算平臺(tái)服務(wù)提供方�����。
[0135]通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到上述實(shí)施例方法可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件�����,但很多情況下前者是更佳的實(shí)施方式���。基于這樣的理解�����,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)(如R0M/RAM、磁碟��、光盤)中���,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)�����,計(jì)算機(jī)�����,月艮務(wù)器����,空調(diào)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法��。
[0136]上面結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行了描述���,但是本發(fā)明并不局限于上述的【具體實(shí)施方式】�,上述的【具體實(shí)施方式】?jī)H僅是示意性的��,而不是限制性的�,本領(lǐng)域的普通技術(shù)人員在本發(fā)明的啟示下,在不脫離本發(fā)明宗旨和權(quán)利要求所保護(hù)的范圍情況下�����,還可做出很多形式�,這些均屬于本發(fā)明的保護(hù)之內(nèi)����。
【主權(quán)項(xiàng)】
1.一種安全管理方法�,其特征在于,包括: 獲取用戶的第一信息�����,所述第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息��; 獲取云計(jì)算平臺(tái)的平臺(tái)信息��,所述平臺(tái)信息包括日志信息和/或配置信息�; 將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析�����; 根據(jù)分析結(jié)果生成第一報(bào)告���。2.如權(quán)利要求1所述的安全管理方法�,其特征在于���,所述使用信息包括:用戶在云計(jì)算平臺(tái)上的操作信息���、用戶在云計(jì)算平臺(tái)上使用的云計(jì)算資源的性能信息中的至少一種�。3.如權(quán)利要求1所述的安全管理方法���,其特征在于��,所述使用信息通過以下至少一種方式獲取: 由用戶提供��; 由所述云計(jì)算平臺(tái)監(jiān)控用戶對(duì)所述云計(jì)算平臺(tái)的使用情況并生成所述使用信息后提供�����。4.如權(quán)利要求1所述的安全管理方法�����,其特征在于��,所述日志信息包括:所述云計(jì)算平臺(tái)運(yùn)行日志信息����、所述云計(jì)算平臺(tái)管理員操作日志信息中的至少一種�����。5.如權(quán)利要求4所述的安全管理方法,其特征在于���,所述將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析包括以下至少一種: 將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析�,得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行的分析結(jié)果�,或者得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行以及異常運(yùn)行事項(xiàng)的分析結(jié)果; 將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)管理員操作日志信息進(jìn)行對(duì)比分析�����,得到所述云計(jì)算平臺(tái)管理員是否有異常操作的分析結(jié)果����,或者得到所述云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)的分析結(jié)果; 將所述使用信息和/或所述約定信息與所述配置信息進(jìn)行對(duì)比分析�,得到所述配置信息是否符合要求的分析結(jié)果,或者得到所述配置信息是否符合要求以及不符合要求的事項(xiàng)的分析結(jié)果���。6.如權(quán)利要求1所述的安全管理方法,其特征在于�����,所述配置信息包括:所述云計(jì)算平臺(tái)的軟件信息���、用戶所在虛擬機(jī)的物理服務(wù)器的配置信息��、用戶所在虛擬機(jī)的物理服務(wù)器的物理位置信息���、用戶在云計(jì)算平臺(tái)所使用的云計(jì)算資源空間的網(wǎng)絡(luò)安全配置文件中的至少一種��。7.如權(quán)利要求1至6任一項(xiàng)所述的安全管理方法��,其特征在于�,還包括:按照第一預(yù)設(shè)規(guī)則對(duì)所述第一報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理�,所述部分信息包括:所述云計(jì)算平臺(tái)的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息。8.如權(quán)利要求7所述的安全管理方法�����,其特征在于�����,還包括:將經(jīng)過所述屏蔽或刪除處理后的第一報(bào)告提供給所述用戶�。9.如權(quán)利要求1至6任一項(xiàng)所述的安全管理方法,其特征在于���,還包括: 根據(jù)所述使用信息和/或所述日志信息分析用戶對(duì)所述云計(jì)算平臺(tái)是否存在威脅操作�����; 和/或�,根據(jù)所述使用信息和/或所述日志信息分析用戶是否在所述云計(jì)算平臺(tái)從事非法業(yè)務(wù); 根據(jù)分析結(jié)果生成第二報(bào)告�����。10.如權(quán)利要求9所述的安全管理方法����,其特征在于,還包括:按照第二預(yù)設(shè)規(guī)則對(duì)所述第二報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理�����,所述部分信息包括:所述用戶的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息��。11.如權(quán)利要求10所述的安全管理方法���,其特征在于,還包括:將經(jīng)過所述屏蔽或刪除處理后的第二報(bào)告提供給所述云計(jì)算平臺(tái)服務(wù)提供方�。12.一種安全管理裝置,其特征在于�����,包括: 第一獲取模塊,用于獲取用戶的第一信息����,所述第一信息包括用戶對(duì)云計(jì)算平臺(tái)的使用信息和/或用戶與所述云計(jì)算平臺(tái)服務(wù)提供方的約定信息; 第二獲取模塊�����,用于獲取云計(jì)算平臺(tái)的平臺(tái)信息�����,所述平臺(tái)信息包括日志信息和/或配置信息��; 第一分析模塊����,用于將所述第一信息與所述平臺(tái)信息進(jìn)行對(duì)比分析; 生成模塊�,用于根據(jù)所述第一分析模塊的分析結(jié)果生成第一報(bào)告。13.如權(quán)利要求12所述的安全管理裝置���,其特征在于�����,所述第一獲取模塊用于從所述用戶端獲取所述使用信息����,和/或從所述云計(jì)算平臺(tái)獲取所述使用信息。14.如權(quán)利要求12所述的安全管理裝置���,其特征在于����,所述日志信息包括:所述云計(jì)算平臺(tái)運(yùn)行日志信息�、所述云計(jì)算平臺(tái)管理員操作日志信息中的至少一種。15.如權(quán)利要求14所述的安全管理裝置����,其特征在于,所述第一分析模塊包括以下至少一種: 第一分析子模塊���,用于將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)運(yùn)行日志信息進(jìn)行對(duì)比分析�,得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行的分析結(jié)果��,或者得到所述云計(jì)算平臺(tái)是否有異常運(yùn)行以及異常運(yùn)行事項(xiàng)的分析結(jié)果; 第二分析子模塊����,用于將所述使用信息和/或所述約定信息與所述云計(jì)算平臺(tái)管理員操作日志信息進(jìn)行對(duì)比分析�,得到所述云計(jì)算平臺(tái)管理員是否有異常操作的分析結(jié)果,或者得到所述云計(jì)算平臺(tái)管理員是否有異常操作以及異常操作事項(xiàng)的分析結(jié)果����; 第三分析子模塊,用于將所述使用信息和/或所述約定信息與所述配置信息進(jìn)行對(duì)比分析��,得到所述配置信息是否符合要求的分析結(jié)果�����,或者得到所述配置信息是否符合要求以及不符合要求的事項(xiàng)的分析結(jié)果�。16.如權(quán)利要求12至15任一項(xiàng)所述的安全管理裝置,其特征在于����,還包括第一處理模塊,用于按照第一預(yù)設(shè)規(guī)則對(duì)所述第一報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理���,所述部分信息包括:所述云計(jì)算平臺(tái)的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息���。17.如權(quán)利要求16所述的安全管理裝置�,其特征在于��,還包括第一通信模塊��,用于將經(jīng)過所述屏蔽或刪除處理后的第一報(bào)告提供給所述用戶���。18.如權(quán)利要求12至15任一項(xiàng)所述的安全管理裝置����,其特征在于�����,還包括第二分析模塊����,所述第二分析模塊包括以下至少一種: 第四分析子模塊,用于根據(jù)所述使用信息和/或所述日志信息分析用戶對(duì)所述云計(jì)算平臺(tái)是否存在威脅操作���; 第五分析子模塊����,用于根據(jù)所述使用信息和/或所述日志信息分析用戶是否在所述云計(jì)算平臺(tái)從事非法業(yè)務(wù); 所述生成模塊還用于根據(jù)所述第二分析模塊的分析結(jié)果生成第二報(bào)告����。19.如權(quán)利要求18所述的安全管理裝置,其特征在于�,還包括第二處理模塊�����,用于按照第二預(yù)設(shè)規(guī)則對(duì)所述第二報(bào)告中的部分信息進(jìn)行屏蔽或刪除處理�,所述部分信息包括:所述用戶的合理隱私信息以及使用所述云計(jì)算平臺(tái)的其他用戶的合理隱私信息。20.如權(quán)利要求19所述的安全管理裝置���,其特征在于���,還包括第二通信模塊,用于將經(jīng)過所述屏蔽或刪除處理后的第二報(bào)告提供給所述云計(jì)算平臺(tái)服務(wù)提供方��。
【文檔編號(hào)】H04L29/06GK105933300SQ201610229993
【公開日】2016年9月7日
【申請(qǐng)日】2016年4月14日
【發(fā)明人】郭劍鋒
【申請(qǐng)人】郭劍鋒