本發明屬于信息安全技術領域，具體涉及一種云資源池數據安全檢測防護系統及其方法。

背景技術：

云資源池在系統組成方面與傳統平臺建設最主要的區別就是將資源虛擬化形成統一的資源池，簡化資源的配置與管理，提高硬件的利用率，從而實現云計算的靈活性與彈性。虛擬層的引入使以訪問控制為核心的安全防護體系與傳統的業務平臺建設防護體系有很大不同，除了包括傳統的主機安全、網絡安全等外，還需要包含云計算中特殊的虛擬化安全。

在云資源池中，CRM等多個業務系統主機保存了UIP日志、與CRM的交互日志，以及包含用戶信息、繳費、信用度、外圍代收費日志等關鍵敏感數據，部分主機還保存了業務系統更新前的最終程序代碼。目前對于云資源池環境的中敏感數據安全，沒有通過技術手段防護和監控，對于敏感數據在虛擬資源池中的傳輸、存儲以及數據保護等，急需一套完整的建設方案來實現對敏感數據的安全防護和監控。

技術實現要素：

本發明所要解決的技術問題是通過對云資源池環境中敏感數據的管理與監控，實現對云資源池敏感數據的各個生命周期的管理與監控，避免非法人員通過技術手段獲取敏感數據，造成信息泄露等風險。

為解決上述問題，本發明提供了一種云資源池數據安全檢測方法，包括如下步驟：

S1：獲取制定的敏感數據；

S2：獲取從云資源池引流出的導出數據；

S3：掃描并識別導出數據中的敏感數據；

S4：建立敏感數據生命周期，對敏感數據進行分級管理；

S5：抓取云資源環境中敏感數據宿主虛擬機，對其進行流量監管；

S6：分析敏感數據及敏感數據宿主虛擬機的異常操作行為，發出告警。

進一步地，獲取S2中所述導出數據的步驟包括：

S201：實時抓取云資源池中的目標數據；

S202：過濾抓取的目標數據，并將數據轉發到指定虛擬機中的目標位置。

進一步地，所述S3具體包括如下步驟：

S301：掃描S202中所述目標位置中的導出數據；

S302：識別導出數據中與S1中匹配的敏感數據，并入庫存儲；

S303：識別導出數據中與S1中不匹配的非敏感數據，對非敏感數據進行銷毀標簽標識。

進一步地，采用關鍵字、正則表達式、文件指紋或文件MD5識別導出數據中的敏感數據。

進一步地，所述S303中標有銷毀標識的非敏感數據在虛擬機下線前通過擦除工具進行刪除。實現了對虛擬機需要脫敏或銷毀的數據進行標簽化管理，實現格式化數據的庫內和庫外脫敏

進一步地，所述S4采用聚類算法對敏感數據進行分級管理。

進一步地，所述S5具體包括對敏感數據宿主虛擬機的傳輸通道監控和網絡連接狀態，獲取敏感數據異常傳輸，具體步驟如下：

S501：識別、掃描敏感數據宿主虛擬機主機端口之間的數據傳輸，獲取敏感數據異常傳輸；

S502：監控敏感數據所存放虛擬機主機的端口連接狀態，獲取異常端口連接信息；

S503：監控敏感數據宿主虛擬機主機網絡連接狀態，獲取異常網絡訪問請求。

另外，本發明還提供了一種云資源池敏感數據安全檢測系統，包括控制模塊、采集模塊、處理模塊、監管模塊、審計模塊；

其中，所述控制模塊：用于定義敏感數據并下發至各個功能模塊；

所述采集模塊：用于將需要檢測的數據從云資源池中導出到物理安全設備中；

所述敏感數據監管模塊：用于掃描所述采集模塊中的導出數據，識別導出數據中的敏感數據，并實現敏感數據的分級管理，并反饋至審計模塊；

所述安全流量監控模塊：用于抓取云資源池中敏感數據宿主虛擬機，實時監測敏感數據宿主虛擬機的流量，并反饋至審計模塊；

所述審計模塊：用于接收各個模塊反饋的信息，分析敏感數據及敏感數據宿主虛擬機的異常操作行為，發出告警。

進一步地，所述采集模塊包括虛擬導流機和SDN交換機；

其中，所述虛擬導流機導出云資源池中的目標數據至SDN交換機，所述SDN交換機將目標數據轉發到指定目標位置。通過虛擬導流機將需要監控的數據從虛擬網絡環境中導出到物理安全設備中，具體的安全業務邏輯由物理安全設備來處理。這種方式對業務和網絡影響小，用物理安全設備處理安全業務可以獲取極高的性能，使得虛擬導流機的處理邏輯變得很簡單，只需要占用少量的虛擬化資源即可。

進一步地，所述敏感數據管理模塊包括掃描組件、識別組件、擦除組件、分級組件；

所述掃描組件：用于掃描所述采集模塊中的數據；

所述識別組件：用于識別掃描后數據中的敏感數據和非敏感數據；

所述擦除組件：用于擦除非敏感數據；

所述分級組件：用于將識別出的不同級別敏感數據進行分級管理。

進一步地，所述分級組件采用聚類算法對不同敏感數據進行分級管理。

進一步地，所述安全流量監控模塊包括主機端口監控模塊、傳輸通道監控模塊、主機互聯關系模塊；

其中，所述主機端口監控模塊：用于監控敏感數據宿主虛擬機主機端口連接狀態；

所述傳輸通道監控模塊：用于監控敏感數據宿主虛擬機端口之間的數據傳輸狀態；

所述主機互聯關系模塊：用于監控敏感數據虛擬機主機網絡連接狀態。

進一步地，所述審計模塊包括接收模塊、分析模塊；

其中，所述接收模塊：用于接收各個功能模塊的反饋信息；

所述分析模塊：用于分析反饋信息中的異常行為，并進行告警。

本發明與現有技術相比，具有如下的優點和有益效果：

1、本發明具有良好的可擴展性，具備靈活的體系框架；

2、本發明實現了云資源池環境下網絡層與主機層全生命周期敏感數據的識別；

3、本發明實現了對敏感數據的分級、分類管理，對敏感數據的狀態進行監控與管理，展示各個生命周期場景下的敏感數據分布和狀態；

4、本發明對虛擬機需要脫敏或銷毀的數據進行標簽化管理，實現格式化數據的庫內和庫外脫敏；

5、本發明實現了云資源池環境下的流量監控，對云資源池中的所有虛擬主機，實現對敏感數據的傳輸、訪問、通道端口連接的實時狀態監控，對敏感數據宿主虛擬機的端口和業務信息流監控，發現異常和違規行為。

附圖說明

此處所說明的附圖用來提供對本發明實施例的進一步理解，構成本申請的一部分，并不構成對本發明實施例的限定。在附圖中：

圖1為本發明的方法流程框圖；

圖2為本發明的系統框圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚明白，下面結合實施例和附圖，對本發明作進一步的詳細說明，本發明的示意性實施方式及其說明僅用于解釋本發明，并不作為對本發明的限定。

在云資源池中，虛擬主機使用共享資源動態生成，存在共享前數據未被擦除，數據未加密傳輸，通過數據監聽、恢復技術泄露敏感數據的可能。實現對云計算環境下域內及跨域虛擬機業務數據調取傳輸以及遷移過程中各類敏感數據的創建、生產、使用、銷毀等各環節的全生命周期安全管控。監控處于數據生命周期各環節的各虛擬機傳輸過程和存儲涉及哪類敏感數據；對敏感數據傳輸、分類，并給虛擬機打上需要銷毀的標簽，可靠擦除，避免虛擬機被共享后數據恢復。同時，實現對敏感數據宿主虛擬機的傳輸實時監控，發現異常和違規行為，避免違規或非法人員通過網絡訪問、隱蔽通道、非常規端口等方式盜取敏感數據。

如圖1所示，本發明提供了一種云資源池數據安全檢測方法，包括如下步驟：

步驟S1：獲取制定的敏感數據；

根據業務需求按照數據類型、數據內容制定敏感數據及敏感數據分級標準，如按照敏感性程度分為一級、二級等不同等級；按照安全屬性分為非常重要、重要等不同等級；按照安全級別分為嚴格受限、機密信息、內部信息、限制級、涉及隱私、授權級、保密級等不同級別。

S2：獲取從云資源池引流出的導出數據；

采用通過虛擬導流機將需要監控的流量從虛擬網絡環境中導出到物理安全設備的原理，將具體的安全業務邏輯由物理安全設備來處理。這種方式對用戶業務和網絡影響小；用物理安全設備處理安全業務可以獲取極高的性能，使得虛擬導流系統的處理邏輯變得很簡單，只需要占用少量的虛擬化資源即可。

根據此原理，通過S201：實時抓取云資源池中的目標數據；S202過濾抓取的目標數據，并將數據轉發到指定虛擬機中的目標位置，實現從元資源池引流出導出數據。

S3：掃描并識別導出數據中的敏感數據；

通過S301：掃描S202中所述目標位置中的導出數據；S302：識別導出數據中與S1中匹配的敏感數據，并入庫存儲；S303：識別導出數據中與S1中不匹配的非敏感數據，對非敏感數據進行銷毀標簽標識。

對現有云資源池虛擬主機模板變更，嵌入敏感數據掃描賬號進行自動發現新增、新建的虛擬主機。通過掃描策略進行敏感數據掃描，敏感數據掃描通過agent進行掃描，agent客戶端在電腦上靜默安裝，并以“旁觀者”的方式觀察和記錄員工對電腦、文件、軟件的使用操作，并發送到服務端；服務端通過多種方式(文件簽名、敏感詞識別與權重分析、正則表達式過濾)識別敏感機密信息，并入庫存檔；服務端通過數據匯總與分析，得出人員、文件、安全事件這三個維度的趨勢，并通過相應的安全策略定義，對用戶的操作進行識別，從而確認是否存在泄密風險。敏感數據涉密識別技術采用關鍵字、正則表達式、文件指紋、文件MD5對敏感文件進行識別。

云資源池虛擬機之間共享數據時導致敏感信息泄露，通過敏感信息識別技術實現對數據的脫敏、銷毀以及標簽化管理。從而實現虛擬數據的可靠“零”擦除。為防止虛擬機在下線后被恢復或共享訪問引起的數據泄露，利用存儲層敏感數據管控模塊對已識別信息進行擦除操作，提升恢復的技術難度，并對虛擬機的后續狀態進行監控和跟蹤。

S4：建立敏感數據生命周期，對敏感數據進行分級管理；

敏感數據發現與分級采用高效的聚類算法，針對敏感數據可以進行分級、分類管理，不同密級的文檔觸發不同事件動作。結合敏感數據資產生命周期場景可以呈現出各個階段的敏感文件或敏感數據狀態。

S5：抓取云資源環境中敏感數據宿主虛擬機，對其進行流量監管；

通過S501：識別、掃描敏感數據宿主虛擬機主機端口之間的數據傳輸，獲取敏感數據異常傳輸；S502：監控敏感數據所存放虛擬機主機的端口連接狀態，獲取異常端口連接信息；S503：監控敏感數據宿主虛擬機主機網絡連接狀態，獲取異常網絡訪問請求。

通過對虛擬導流器引流出來的流量，抓取云資源池環境中敏感數據宿主虛擬機，在安全域內部各子域、安全域與其它企業自有安全域的數據交互、傳輸、業務信息流，形成可視化的互連關系視圖。實現虛擬機的發現和實時流量監測，同時結合APT和合規思路，及時發現不合規的連接行為，保障主機安全。

S6：分析敏感數據及敏感數據宿主虛擬機的異常操作行為，發出告警。

按照敏感數據的場景對存儲敏感數據的虛擬設備進行網絡流量和數據庫的監控和審計，及時發現對敏感數據的異常操作行為。系統實時或周期性監控云資源池內敏感信息在存儲層即網絡層的訪問及變更情況，與生命周期模型進行對比分析，識別數據安全事件。數據安全事件將通過告警或工單方式與SMP或EOMS進行對接及時保護數據資產，防范數據泄露。

另外，如圖2所示，本發明還提供了一種云資源池敏感數據安全檢測系統，包括控制模塊、采集模塊、處理模塊、監管模塊、審計模塊。

其中，控制模塊用于定義敏感數據并下發至各個功能模塊，根據業務需求按照數據類型、數據內容制定敏感數據及敏感數據分級標準。

采集模塊用于將需要檢測的數據從云資源池中導出到物理安全設備中，包括虛擬導流機和SDN交換機。虛擬導流機導出云資源池中的目標數據至SDN交換機，所述SDN交換機將目標數據轉發到指定目標位置。通過虛擬導流機將需要監控的數據從虛擬網絡環境中導出到物理安全設備中，具體的安全業務邏輯由物理安全設備來處理。這種方式對業務和網絡影響小，用物理安全設備處理安全業務可以獲取極高的性能，使得虛擬導流機的處理邏輯變得很簡單，只需要占用少量的虛擬化資源即可。

敏感數據監管模塊用于掃描所述采集模塊中的導出數據，識別導出數據中的敏感數據，并實現敏感數據的分級管理，并反饋至審計模塊；包括掃描組件、識別組件、擦除組件、分級組件。掃描組件用于掃描所述采集模塊中的數據；識別組件用于識別掃描后數據中的敏感數據和非敏感數據；擦除組件用于擦除非敏感數據；分級組件采用聚類算法將識別出的不同級別敏感數據進行分級管理。

安全流量監控模塊用于抓取云資源池中敏感數據宿主虛擬機，實時監測敏感數據宿主虛擬機的流量，并反饋至審計模塊。安全流量監控模塊包括主機端口監控模塊、傳輸通道監控模塊、主機互聯關系模塊。其中，主機端口監控模塊：用于監控敏感數據宿主虛擬機主機端口連接狀態；傳輸通道監控模塊：用于監控敏感數據宿主虛擬機端口之間的數據傳輸狀態；主機互聯關系模塊：用于監控敏感數據虛擬機主機網絡連接狀態。

審計模塊：用于接收各個模塊反饋的信息，分析敏感數據及敏感數據宿主虛擬機的異常操作行為，發出告警。審計模塊包括接收模塊、分析模塊。其中，所述接收模塊用于接收各個功能模塊的反饋信息；分析模塊用于分析反饋信息中的異常行為，并進行告警。

本發明通過對敏感數據的管理與監控，實現對云資源池敏感數據的各個生命周期的管理與監控，保護敏感數據非法外泄，對可以外發和敏感數據的訪問操作行為，實現即時審計監控、報警和阻斷。通過掃描識別技術對云資源池敏感數據的識別與標識，建立全生命周期監控管理模型；實現對敏感數據的分級、分類管理，對敏感數據的狀態進行監控與管理，展示各個生命周期場景下的敏感數據分布和狀態；對虛擬機需要脫敏或銷毀的數據進行標簽化管理，實現格式化數據的庫內和庫外脫敏；實現對敏感數據宿主虛擬機的互聯狀態和傳輸通道監控，實施發現是否非法外聯傳輸敏感數據；實現對敏感數據宿主虛擬機的端口和業務信息流監控，發現異常和違規行為。

以上所述的具體實施方式，對本發明的目的、技術方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本發明的具體實施方式而已，并不用于限定本發明的保護范圍，凡在本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。