安全系统、云平台搭建方法和服务器与流程

1.本技术涉及计算机领域，尤其涉及一种安全系统、云平台搭建方法和服务器。


背景技术：

2.随着云计算的普及，越来越多的企业将自己的办公系统、办公网络迁移到云平台。用户在对云平台提出使用需求的同时，对云平台的安全性同样提出了要求。
3.目前，在云平台建设中，云平台通常通过使用成熟的安全产品，实现该云平台的安全防护。这些安全产品可以通过旁挂外接的方式融合到云平台中，实现该云平台的安全需求。
4.然而，在旁挂外接的安全产品在使用时的流量路径的复杂度通常较高，容易导致云平台的业务稳定性降低。


技术实现要素：

5.本技术提供一种安全系统、云平台搭建方法和服务器，用以解决旁挂外接的安全产品在使用时的流量路径的复杂度通常较高，容易导致云平台的业务稳定性降低的问题。
6.第一方面，本技术提供一种安全系统，包括：运行于第一服务器的系统内核中的云平台，所述云平台包括基础设施服务层和安全模块；
7.所述第一服务器的系统内核用于运行所述云平台以及挂载所述安全模块；
8.所述云平台用于将所述挂载到所述系统内核的所述安全模块内嵌到所述基础设施服务层中。
9.可选地，所述安全模块包括串联类安全模块，所述系统，还包括：其他功能模块；
10.所述其他功能模块运行于所述基础设施服务层；
11.所述安全模块与所述其他功能模块在信号传输上串联，以使所述云平台中的数据流量在经过所述安全模块后进入所述其他功能模块。
12.可选地，所述安全模块包括旁路类安全模块，所述系统，包括：安全管理区；
13.所述安全管理区与所述基础设施服务层通信连接；
14.所述安全模块位于所述安全管理区中，需要使用所述安全模块进行处理的数据流量将被发送到所述安全管理区的所述安全模块中。
15.可选地，所述安全模块包括客户端类安全模块，所述系统，包括：运行于第一服务器的系统内核中的第一虚拟机；
16.所述第一虚拟机与所述云平台相互独立且通信连接；
17.所述安全模块被内置于所述第一虚拟机内，以模拟所述安全模块设置于客户端的运行状态。
18.可选地，所述系统，还包括：管理模块；
19.所述管理模块运行于所述云平台中，用于管理所述云平台中的各个所述安全模块。
20.可选地，所述管理模块，还包括：后台管理界面；
21.所述后台管理界面中显示有所述云平台中的各个安全模块和各个安全模块的功能。
22.第二方面，本技术提供一种云平台搭建方法，包括：
23.响应于目标选择指令，在后台管理界面中选择至少一个目标安全模块；
24.响应于创建指令，在所述创建指令指示的目标物理机或者目标虚拟机上搭建用户云平台，所述用户云平台的基础设施服务层中运行有所述目标安全模块，所述目标物理机或者目标虚拟机为所述安全系统中的物理机或者虚拟机。
25.可选地，在所述创建指令指示的目标物理机或者目标虚拟机上搭建用户云平台之前，所述方法，还包括：
26.响应于功能选择指令，在云平台的后台管理界面中选择一目标安全模块的至少一个目前安全功能。
27.第三方面，本技术提供一种云平台搭建装置，包括：
28.选择模块，用于响应于目标选择指令，在云平台系统的后台管理界面中选择至少一个目标安全模块；
29.创建模块，用于响应于创建指令，在所述创建指令指示的目标物理机或者目标虚拟机上搭建用户云平台，所述用户云平台的基础设施服务层中运行有所述目标安全模块，所述目标物理机或者目标虚拟机为所述安全系统中的物理机或者虚拟机。
30.可选地，创建模块，还用于：
31.响应于功能选择指令，在云平台的后台管理界面中选择一目标安全模块的至少一个目前安全功能。
32.第四方面，本技术提供一种服务器，包括：存储器和处理器；
33.存储器用于存储程序指令；处理器用于调用存储器中的程序指令执行第一方面及第一方面任一种可能的设计中的安全系统。
34.本技术提供的安全系统、云平台搭建方法和服务器，包括运行于第一服务器的系统内核中的云平台。在云平台中包括基础设施服务层。针对每一安全模块，安全系统可以先将该安全模块挂在到第一服务器的系统内核中。其后，运行于该第一服务器的系统内核中的云平台将该安全模块内嵌到基础设施服务层中。基础设施服务层中可以内嵌有一个或者多个安全模块。内嵌在基础设施服务层中的安全模块可以分为串联类、旁路类和代理客户端类三类，避免对云平台的物理结构或逻辑结构进行修改，减少挂载安全模块后产生的额外的流量，减少额外的交换机等网络设备的性能消耗，避免安装额外的代理端，从而降低对业务稳定性的影响。本技术还可以通过自行设计完善安全模块，降低云平台安全建设成本，避免单独购买安全功能导致的安全功能不全面的问题。
附图说明
35.为了更清楚地说明本技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
service，saas)。本技术中云平台系统将作为软件系统部署到iaas层中，并向paas层和saas层提供服务。
51.云平台系统在向用户提供服务时，底层虚拟机采用kvm技术，容器采用docker技术。作为云平台原生能力融合进云平台中中的安全能力可以被内嵌进虚拟机和容器中。进而，云平台在使用安全能力时，将无需通过额外外置安全产品的方式获取该安全能力。
52.下面以具体地实施例对本技术的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
53.图1示出了本技术一实施例提供的一种安全系统的应用场景示意图。如图所示，第一云平台可以安装在一个物理机或者虚拟机上。该第一云平台中可以内嵌有全部已经完成设计的安全功能。例如，这些安全功能可以包括安全综合运维管理系统、vpn系统、web应用安全防护系统(waf)、主机监控与审计系统(edr)、入侵检测系统(ips)、入侵防御系统(ids)、基线检查管理系统、安全设备与策略管理系统、安全运维审计系统(堡垒机)、日志收集与分析系统(日志审计)、负载均衡系统、应用流量管理系统、异常流量管理与抗拒绝服务系统(ddos)、网络安全攻防演练平台、数字证书认证管理系统、数据安全管理系统、数据库加密与加固系统、数据库审计系统、数据库防火墙系统、数据防泄漏系统、文档安全管理系统、木马监控系统、病毒过滤网关系统、统一用户身份认证管理系统、网络安全准入系统、网络流量分析与审计系统、网络管理系统、网页防篡改系统、脆弱性扫描与管理系统、防火墙系统、大数据态势感知系统等。
54.该第一云平台中可以包括一个管理模块。该管理模块可以管理一个或者多个机房中的一个或者多个物理机和/或虚拟机。例如，如图所示，第一云平台可以与机房1和机房2中的物理机11、物理机12、物理机21和物理机22连接。其中，这些物理机或者虚拟机与第一云平台可以通过通信端口通信。这些物理机或者虚拟机中可以搭建有用户云平台。这些用户云平台中的安全功能可以根据用户实际需要，从第一云平台的安全功能中选择部分或者全部镜像到该用户云平台上。当有新的安全功能完成设计时，还可以将该安全功能新增到第一云平台中。用户云平台还可以通过镜像，将该安全功能内嵌到用户云平台中。
55.图2示出了本技术一实施例提供的一种安全系统的结构示意图。其中，安全系统10可以包括运行于第一服务器的系统内核中的云平台11。此外，安全系统10还可以包括运行于其他服务器的系统内核中的用户云平台。其中第一服务和其他服务器可以为物理机或者虚拟机。在云平台11中包括基础设施服务层111、平台服务和软件服务。每一安全功能可以对应于一个安全模块112。针对每一安全模块112，安全系统可以先将该安全模块112挂在到第一服务器的系统内核中。其后，运行于该第一服务器的系统内核中的云平台11将该安全模块112内嵌到基础设施服务层111中。因此，该基础设施服务层111中可以内嵌有一个或者多个安全模块112。
56.现有技术中，安全产品可以分为串联类、旁路类和代理客户端类。针对每一类安全产品，通常需要使用不同的方法将其外挂到云平台上。例如，串联类安全产品需要在逻辑上串联到云平台的网络中，从而在发现针对该云平台的安全攻击时，及时阻止该攻击。又如，旁路类安全产品需要在逻辑上旁路部署到云平台的网络中，从而实现将网络流量或数据发送到安全产品中进行数据分析。又如，代理客户端类安全产品需要通过在虚拟机或容器内安装代理客户端实现相关的安全能力。
57.内嵌在基础设施服务层111中的安全模块112同样可以分为这样三类。
58.一种示例中，针对串联类安全模块112，可以在基础设施服务层111或者云平台11中串联该安全模块112。例如，当该基础设施服务层111还包括其他功能模块时，安全模块112与其他功能模块在信号传输上串联，以使云平台中的数据流量在经过安全模块112后进入其他功能模块。又如，该安全模块112与基础设施服务层111在信号传输上串联，以使数据流量在经过安全模块112后进入基础设施服务层111。又如，该串联类安全模块112，可以通过云平台11的底层虚拟网卡进行实现。该安全模块112以防火墙为例，可以在应用服务器前方串联防火墙。该应用服务器的云平台11会启动一台虚拟防火墙，并新增一个虚拟网卡。这个虚拟网卡仅仅连接应用服务器和防火墙。该应用服务器的数据流量先经过防火墙，防火墙通过这个虚拟网卡将流量发送给应用服务器。
59.另一种示例中，针对旁路类安全模块112，可以在基础设施服务层111或者云平台11中设置安全管理区。该安全管理区可以设置在云平台11中，与基础设施服务层111通信连接。或者，该安全管理区可以设置在基础设施服务层111中，与其他功能模块通信连接。安全模块112位于安全管理区中。需要使用该安全模块112进行处理的数据流量，将被发送到安全管理区中，由该安全模块112进行处理。或者云平台11可以根据实际情况，单独启动一个虚拟机或者容器。该虚拟机或者容器可以通过虚拟网卡划分到单独的安全管理区。虚拟机、容器或虚拟网络内部可以将相关的数据流量发送给相应的安全管理区。其中，数据流量可以为日志数据、攻击数据、管理数据等。
60.再一种示例中，针对客户端类安全模块112，可以在第一服务器的系统内核中运行有第一虚拟机。第一虚拟机与云平台相互独立且通信连接。安全模块112被内置于第一虚拟机内，以模拟安全模块112设置于客户端的运行状态。或者，代理客户端类安全模块112可以通过底层kvm或者docker实现内置相关安全能力，免于部署代理客户端。
61.本技术提供的安全系统，包括运行于第一服务器的系统内核中的云平台。在云平台中包括基础设施服务层。针对每一安全模块，安全系统可以先将该安全模块挂在到第一服务器的系统内核中。其后，运行于该第一服务器的系统内核中的云平台将该安全模块内嵌到基础设施服务层中。基础设施服务层中可以内嵌有一个或者多个安全模块。内嵌在基础设施服务层中的安全模块可以分为串联类、旁路类和代理客户端类三类。针对串联类安全模块，可以在基础设施服务层或者云平台中串联该安全模块。针对旁路类安全模块，可以在基础设施服务层或者云平台中设置安全管理区。安全模块位于安全管理区中。针对客户端类安全模块，可以在第一服务器的系统内核中运行有第一虚拟机。安全模块被内置于第一虚拟机内。本技术中，通过将安全模块内嵌到基础设施服务层，避免对云平台的物理结构或逻辑结构进行修改，减少挂载安全模块后产生的额外的流量，减少额外的交换机等网络设备的性能消耗，避免安装额外的代理端，从而降低对业务稳定性的影响。本技术还可以通过自行设计完善安全模块，降低云平台安全建设成本，避免单独购买安全功能导致的安全功能不全面的问题。
62.图3示出了本技术一实施例提供的一种安全系统的结构示意图。在图1和图2所示实施例的基础上，如图3所示，安全系统10的云平台11，还可以包括管理模块113。
63.该管理模块113可以运行于云平台11中。该管理模块113用于管理云平台中的各个安全模块。该管理模块113还可以用于管理如图1所示的与该第一服务器通过端口连接的多
个物理机和/或虚拟机。
64.其中，该管理模块113中还可以包括后台管理界面。该后台管理界面中显示有云平台中的各个安全模块和各个安全模块的功能。该后台管理界面中还可以显示有与该第一服务器通过端口连接的各个物理机和/或虚拟机，以及这些物理机和/或虚拟机中运行的客户云平台、
65.本技术提供的安全系统，包括管理模块。该管理模块可以运行于云平台中。该管理模块用于管理云平台中的各个安全模块。该管理模块还可以用于管理该第一服务器通过端口连接的多个物理机和/或虚拟机。本技术中，通过使用该管理模块，实现对其他物理机和/或虚拟机的管理，实现客户云平台的创建，以及客户云平台中安全模块的管理。
66.图4示出了本技术一实施例提供的一种云平台搭建方法的流程图。在图1至图3实施例的基础上，如图4所示，以第一服务器为执行主体，本实施例的方法可以包括如下步骤：
67.s101、响应于目标选择指令，在后台管理界面中选择至少一个目标安全模块。
68.本实施例中，第一服务器的系统内核中的云平台。该云平台中包括后台管理界面。用户可以通过查看该后台管理界面，查看云平台中的安全模块。用户可以通过勾选、点击等方式，从该云平台包括的至少一个安全模块中选择至少一个目标安全模块。该云平台的安全模块中还可以包括默认安全模块，当用户没有额外删除这些默认安全模块的选项时，这些默认安全模块将成为目标安全模块。
69.一种示例中，后台管理界面中还显示有每一安全模块的安全功能。响应于功能选择指令，在云平台的后台管理界面中选择一目标安全模块的至少一个目前安全功能。
70.本示例中，用户可以通过查看该后台管理界面，查看云平台中每一安全模块的安全功能。用户可以在选择一个安全模块后，继续选择该安全模块的至少一个安全功能。每一安全模块中可以包括默认安全功能。当用户没有额外删除这些默认安全功能时，这些默认安全功能将成为目标安全功能。
71.s102、响应于创建指令，在创建指令指示的目标物理机或者目标虚拟机上搭建用户云平台，用户云平台的基础设施服务层中运行有目标安全模块，目标物理机或者目标虚拟机为安全系统中的物理机或者虚拟机。
72.本实施例中，该后台管理界面中还包括创建按钮。用户可以通过点击该创建按钮触发创建指令。第一服务器在执行该创建指令之前，可以获取目标物理机或者目标虚拟机。该用户云平台将搭建在该目标物理机或者目标虚拟机上。用户云平台的基础设施服务层中运行有目标安全模块。
73.一种示例中，用户云平台的基础设施服务层中运行有目标安全模块的目标安全功能。
74.本技术提供的云平台搭建方法，第一服务器的系统内核中的云平台。该云平台中包括后台管理界面。用户可以通过查看该后台管理界面，查看云平台中的安全模块。响应于目标选择指令，在后台管理界面中选择至少一个目标安全模块。该后台管理界面中还包括创建按钮。用户可以通过点击该创建按钮触发创建指令。响应于创建指令，在创建指令指示的目标物理机或者目标虚拟机上搭建用户云平台，用户云平台的基础设施服务层中运行有目标安全模块，目标物理机或者目标虚拟机为安全系统中的物理机或者虚拟机。本技术中，通过使用后台管理界面，实现用户云平台的快速创建，且每一用户云平台中，安全模块内嵌
与该云平台的基础设施服务层，减少挂载安全模块后产生的额外的流量，提高云平台的业务稳定性。
75.图5示出了本技术一实施例提供的一种云平台搭建装置的结构示意图，如图5所示，本实施例的云平台搭建装置20用于实现上述任一方法实施例中对应于服务器的操作，本实施例的云平台搭建装置20包括：
76.选择模块21，用于响应于目标选择指令，在云平台系统的后台管理界面中选择至少一个目标安全模块。
77.创建模块22，用于响应于创建指令，在创建指令指示的目标物理机或者目标虚拟机上搭建用户云平台，用户云平台的基础设施服务层中运行有目标安全模块，目标物理机或者目标虚拟机为安全系统中的物理机或者虚拟机。
78.一种示例中，创建模块22，还用于：
79.响应于功能选择指令，在云平台的后台管理界面中选择一目标安全模块的至少一个目前安全功能。
80.本技术实施例提供的云平台搭建装置20，可执行上述方法实施例，其具体实现原理和技术效果，可参见上述方法实施例，本实施例此处不再赘述。
81.图6示出了本技术实施例提供的一种服务器的硬件结构示意图。如图6所示，该服务器30，用于实现上述任一方法实施例中对应于服务器的操作，本实施例的服务器30可以包括：存储器31，处理器32和通信接口34。
82.存储器31，用于存储计算机程序。该存储器31可能包含高速随机存取存储器(random access memory，ram)，也可能还包括非易失性存储(non
‑
volatile memory，nvm)，例如至少一个磁盘存储器，还可以为u盘、移动硬盘、只读存储器、磁盘或光盘等。
83.处理器32，即该服务器的啮合，用于运行云平台。具体可以参见前述方法实施例中的相关描述。该处理器32可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
84.可选地，存储器31既可以是独立的，也可以跟处理器32集成在一起。
85.当存储器31是独立于处理器32之外的器件时，服务器30还可以包括总线33。该总线33用于连接存储器31和处理器32。该总线33可以是工业标准体系结构(industry standard architecture，isa)总线、外部设备互连(peripheral component interconnect，pci)总线或扩展工业标准体系结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本技术附图中的总线并不限定仅有一根总线或一种类型的总线。
86.通信接口34，可以通过总线33与处理器31连接。该通信接口可以实现与其他服务器的通信，从而实现云平台的后台管理。
87.本实施例提供的服务器可用于执行上述的安全系统，其实现方式和技术效果类似，本实施例此处不再赘述。
88.本技术还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程
序，计算机程序被处理器执行时用于实现上述的各种实施方式提供的方法。
89.其中，计算机可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，计算机可读存储介质耦合至处理器，从而使处理器能够从该计算机可读存储介质读取信息，且可向该计算机可读存储介质写入信息。当然，计算机可读存储介质也可以是处理器的组成部分。处理器和计算机可读存储介质可以位于专用集成电路(application specific integrated circuits，asic)中。另外，该asic可以位于用户设备中。当然，处理器和计算机可读存储介质也可以作为分立组件存在于通信设备中。
90.具体地，该计算机可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(static random
‑
access memory，sram)，电可擦除可编程只读存储器(electrically
‑
erasable programmable read
‑
only memory，eeprom)，可擦除可编程只读存储器(erasable programmable read only memory，eprom)，可编程只读存储器(programmable read
‑
only memory，prom)，只读存储器(read
‑
only memory，rom)，磁存储器，快闪存储器，磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
91.本技术还提供一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序存储在计算机可读存储介质中。设备的至少一个处理器可以从计算机可读存储介质中读取该计算机程序，至少一个处理器执行该计算机程序使得设备实施上述的各种实施方式提供的方法。
92.本技术实施例还提供一种芯片，该芯片包括存储器和处理器，存储器用于存储计算机程序，处理器用于从存储器中调用并运行计算机程序，使得安装有芯片的设备执行如上各种可能的实施方式中的方法。
93.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
94.其中，各个模块可以是物理上分开的，例如安装于一个的设备的不同位置，或者安装于不同的设备上，或者分布到多个网络单元上，或者分布到多个处理器上。各个模块也可以是集成在一起的，例如，安装于同一个设备中，或者，集成在一套代码中。各个模块可以以硬件的形式存在，或者也可以以软件的形式存在，或者也可以采用软件加硬件的形式实现。本技术可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
95.当各个模块以软件功能模块的形式实现的集成的模块，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本技术各个实施例方法的部分步骤。
96.应该理解的是，虽然上述实施例中的流程图中的各个步骤按照箭头的指示依次显
示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
97.最后应说明的是：以上各实施例仅用以说明本技术的技术方案，而非对其限制。尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换。而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围。