本发明涉及信息技术应用创新,更具体地说,本发明涉及一种用于信创云平台的云计算安全控制系统。
背景技术:
1、随着信息技术的迅猛发展,云计算作为一种新兴的计算模式,已经在全球范围内得到了广泛的应用,特别是在信创云平台中,云计算技术更是发挥着举足轻重的作用,信创云平台作为国家信息安全战略的重要组成部分,旨在推动国内信息技术产业的自主创新和发展,以满足国家安全、经济发展和民生需求。
2、然而,随着云计算技术的广泛应用,云计算安全问题也逐渐凸显出来,在信创云平台中,云主机和云存储作为核心组件,其安全性直接关系到整个云平台的稳定运行和信息安全,然而传统的云计算安全控制系统往往存在着监控数据不全面、分析模型不精准、响应机制不及时等问题,导致在实际应用中难以有效应对各种安全威胁。
3、具体来说,现有的云计算安全控制系统在云主机安全监控方面,往往只关注虚拟机层面的安全监控,而忽略了云主机行为审计和可信执行环境的安全保障,这导致系统在面对虚拟机逃逸、内部人员违规操作等复杂安全问题时,难以做出有效的响应,同时,在云存储安全监控方面,现有的系统也缺乏对存储数据的全面监控和分析,使得一些潜在的安全风险难以被及时发现和处理。
技术实现思路
1、为了克服现有技术的上述缺陷,本发明的实施例提供一种用于信创云平台的云计算安全控制系统,通过以下方案,以解决上述背景技术中提出的问题。
2、为实现上述目的,本发明提供如下技术方案:一种用于信创云平台的云计算安全控制系统,包括:
3、时间区域划分模块:用于将目标信创云平台的运行时间确定为目标时间区域,通过等时间划分的方式将目标时间区域划分为各子时间区域,并依次标记为1、2……n;
4、云主机安全数据采集模块:用于采集各子时间区域的云主机完整性监控数据、云主机行为审计数据以及云主机可信执行环境数据,并将采集到的数据传输到云主机安全数据分析模块;
5、云主机安全数据分析模块:包括云主机完整性监控数据分析单元、云主机行为审计数据分析单元以及云主机可信执行环境数据分析单元,用于对云主机安全数据采集模块传输的数据分析,并将分析后的数据传输到综合分析模块;
6、云存储安全数据采集模块:用于采集各子时间区域的云存储访问控制数据、云存储数据分布数据以及云存储优化管理数据,并将采集到的数据传输到云存储安全数据分析模块;
7、云存储安全数据分析模块:包括云存储访问控制数据分析单元、云存储数据分布数据分析单元以及云存储优化管理数据分析单元,用于对云存储安全数据采集模块传输的数据分析,并将分析结果传输到综合分析模块;
8、综合分析模块:用于建立综合分析模型,将云主机安全数据分析模块和云存储安全数据分析模块传输的数据导入综合分析模型,计算出目标时间区域的综合安全指数,并传输到控制模块;
9、控制模块:用于建立综合安全指数预设值,通过综合安全指数预设值对目标时间区域的综合安全指数进行判断,并根据判断结果发出控制指令。
10、优选的,所述云主机完整性监控数据包括虚拟机内核函数调用点数量、虚拟机堆内存对象数、虚拟机系统调用跟踪记录数,以及虚拟机文件系统隔离区访问数,分别标记为zc、zd、zx,以及zv,云主机行为审计数据包括云主机安全模块内存占用率、虚拟机进程树进程数量、虚拟机网络数据包长度均值,以及虚拟机敏感系统文件访问审计事件计数,分别标记为dc、dr、dl,以及df,云主机可信执行环境数据包括虚拟机可信执行安全加固措施数量、虚拟机内存资源利用率、虚拟机外部访问连接熵值,以及云主机安全模块单元测试覆盖率,分别标记为ts、tf、tl,以及td。
11、优选的,所述云主机完整性监控数据分析单元用于建立云主机完整性监控数据分析模型,将云主机安全数据采集模块传输的云主机完整性监控数据导入云主机完整性监控数据分析模型中,计算出各子时间区域的虚拟完整性度量值,具体表示为:,rzi表示第i个子时间区域的虚拟完整性度量值,zci表示第i个子时间区域的虚拟机内核函数调用点数量,zdi表示第i个子时间区域的虚拟机堆内存对象数,zxi表示第i个子时间区域的虚拟机系统调用跟踪记录数,zvi表示第i个子时间区域的虚拟机文件系统隔离区访问数。
12、优选的,所述云主机行为审计数据分析单元用于建立云主机行为审计数据分析模型,将云主机安全数据采集模块传输的云主机行为审计数据导入云主机行为审计数据分析模型中,计算出各子时间区域的虚拟机行为安全评估值,具体表示为:,rdi表示第i个子时间区域的虚拟机行为安全评估值,dci表示第i个子时间区域的云主机安全模块内存占用率,dri表示第i个子时间区域的虚拟机进程树进程数量,dli表示第i个子时间区域的虚拟机网络数据包长度均值,dfi表示第i个子时间区域的虚拟机敏感系统文件访问审计事件计数。
13、优选的,所述云主机可信执行环境数据分析单元用于建立云主机可信执行环境数据分析模型,将云主机安全数据采集模块传输的云主机可信执行环境数据导入云主机可信执行环境数据分析模型中,计算出各子时间区域的云主机安全加固评估值,具体表示为:,rti表示第i个子时间区域的云主机安全加固评估值,tsi表示第i个子时间区域的虚拟机可信执行安全加固措施数量,tfi表示第i个子时间区域的虚拟机内存资源利用率,tli表示第i个子时间区域的虚拟机外部访问连接熵值,tdi表示第i个子时间区域的云主机安全模块单元测试覆盖率。
14、优选的,所述云主机安全数据分析模块通过第i个子时间区域的虚拟完整性度量值、第i个子时间区域的虚拟机行为安全评估值以及第i个子时间区域的云主机安全加固评估值计算出第i个子时间区域的云主机安全指数,具体表示为,cri表示第i个子时间区域的云主机安全指数,µ1表示云主机安全指数的其他影响因子。
15、优选的,所述云存储访问控制数据包括对象存储访问控制列表变更率、块存储写入放大系数、文件存储元数据项数量,以及分布式存储节点一致性指数,分别标记为qf、qs、qc,以及qm,云存储数据分布数据包括对象存储版本对象数量、块存储数据重构时间、文件存储数据分片分布熵,以及分布式存储节点负载差异系数,分别标记为yb、yt、ys,以及yc,云存储优化管理数据包括对象存储数据有效对象数量、块存储数据去重率、文件存储数据解压缩比,以及分布式存储节点反熵扩散速率,分别标记为hr、hq、hs,以及hl。
16、优选的,所述云存储访问控制数据分析单元用于建立云存储访问控制数据分析模型,将云存储安全数据采集模块传输的云存储访问控制数据导入云存储访问控制数据分析模型,计算出各子时间区域的云存储访问控制效能值,具体表示为:,lqi表示第i个子时间区域的云存储访问控制效能值,qfi表示第i个子时间区域的对象存储访问控制列表变更率,qsi表示第i个子时间区域的块存储写入放大系数,qci表示第i个子时间区域的文件存储元数据项数量,qmi表示第i个子时间区域的分布式存储节点一致性指数,qsmin表示目标时间区域的最大块存储写入放大系数,δt表示第i个子时间区域和第i-1个子时间区域的时间差。
17、优选的,所述云存储数据分布数据分析单元用于建立云存储数据分布数据分析模型,将云存储安全数据采集模块传输的云存储数据分布数据导入云存储数据分布数据分析模型,计算出各子时间区域的云存储数据分布效能指数,具体表示为:,lyi表示第i个子时间区域的云存储数据分布效能指数,ybi表示第i个子时间区域的对象存储版本对象数量,yti表示第i个子时间区域的块存储数据重构时间,ysi表示第i个子时间区域的文件存储数据分片分布熵,yci表示第i个子时间区域的分布式存储节点负载差异系数,ysmax表示目标时间区域的最大文件存储数据分片分布熵,ysmin表示目标时间区域的最小文件存储数据分片分布熵。
18、优选的,所述云存储优化管理数据分析单元用于建立云存储优化管理数据分析模型,将云存储安全数据采集模块传输的云存储优化管理数据导入云存储优化管理数据分析模型,计算出各子时间区域的云存储优化评估值,具体表示为:,lhi表示第i个子时间区域的云存储优化评估值,hri表示第i个子时间区域的对象存储数据有效对象数量,hqi表示第i个子时间区域的块存储数据去重率,hsi表示第i个子时间区域的文件存储数据解压缩比,hli表示第i个子时间区域的分布式存储节点反熵扩散速率,δt表示第i个子时间区域和第i-1个子时间区域的时间差。
19、优选的,所述云存储安全数据分析模块通过第i个子时间区域的云存储访问控制效能值、第i个子时间区域的对象存储访问控制列表变更率以及第i个子时间区域的云存储数据分布效能指数计算出第i个子时间区域的云存储安全指数,具体表示为:,cli表示第i个子时间区域的云存储安全指数,lhi表示第i个子时间区域的云存储优化评估值,µ2表示云存储安全指数的其他影响因子。
20、优选的,所述综合分析模型具体表示为:,η表示目标时间区域的综合安全指数,cri表示第i个子时间区域的云主机安全指数,cli表示第i个子时间区域的云存储安全指数,β1表示云主机安全指数的权重,β2表示云存储安全指数的权重,λ表示综合安全指数的其他影响因子。
21、优选的,所述综合安全指数预设值标记为ηdef,当ηdef<η时,表示目标时间区域的综合安全指数大于综合安全指数预设值,说明目标信创云平台的云计算功能良好,则保持对云主机安全数据和云存储安全数据的采集和分析,当ηdef>η时,表示目标时间区域的综合安全指数小于综合安全指数预设值,说明目标信创云平台的云计算功能异常,则发出预警信号至管理人员终端。
22、本发明的技术效果和优点:
23、本发明通过时间区域划分模块能够针对不同时间段内的云计算活动进行精细化的安全监控和管理,有助于及时发现和响应安全事件,提高系统的安全性和稳定性;通过云主机安全数据采集模块实时采集云主机的安全数据,包括系统日志、进程监控、网络流量等,为后续的安全分析提供数据支持,通过全面采集数据,可以确保安全分析的全面性和准确性;通过云主机安全数据分析模块对采集到的云主机安全数据进行分析,识别潜在的安全威胁和异常行为,通过智能分析和模式识别技术,可以快速定位安全问题,提高安全响应的速度和效率;通过云存储安全数据采集模块采集云存储系统的安全数据,如数据访问记录、存储状态、加密状态,对于评估云存储系统的安全性和数据完整性至关重要;通过云存储安全数据分析模块对云存储安全数据进行深入分析,检测数据泄露、篡改等安全风险,通过数据分析和安全审计,可以确保云存储数据的安全性和完整性;通过综合分析模块整合云主机和云存储的安全数据和分析结果,进行全局的安全评估和预测,通过综合分析,可以识别出跨系统的安全威胁和关联风险,为整体安全策略的制定提供有力支持;通过控制模块对云计算系统进行安全控制和管理。
1.一种用于信创云平台的云计算安全控制系统,其特征在于,包括:
2.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云主机完整性监控数据包括虚拟机内核函数调用点数量、虚拟机堆内存对象数、虚拟机系统调用跟踪记录数,以及虚拟机文件系统隔离区访问数,分别标记为zc、zd、zx,以及zv,云主机行为审计数据包括云主机安全模块内存占用率、虚拟机进程树进程数量、虚拟机网络数据包长度均值,以及虚拟机敏感系统文件访问审计事件计数,分别标记为dc、dr、dl,以及df,云主机可信执行环境数据包括虚拟机可信执行安全加固措施数量、虚拟机内存资源利用率、虚拟机外部访问连接熵值,以及云主机安全模块单元测试覆盖率,分别标记为ts、tf、tl,以及td。
3.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云主机完整性监控数据分析单元用于建立云主机完整性监控数据分析模型,将云主机安全数据采集模块传输的云主机完整性监控数据导入云主机完整性监控数据分析模型中,计算出各子时间区域的虚拟完整性度量值,具体表示为:,rzi表示第i个子时间区域的虚拟完整性度量值,zci表示第i个子时间区域的虚拟机内核函数调用点数量,zdi表示第i个子时间区域的虚拟机堆内存对象数,zxi表示第i个子时间区域的虚拟机系统调用跟踪记录数,zvi表示第i个子时间区域的虚拟机文件系统隔离区访问数。
4.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云主机行为审计数据分析单元用于建立云主机行为审计数据分析模型,将云主机安全数据采集模块传输的云主机行为审计数据导入云主机行为审计数据分析模型中,计算出各子时间区域的虚拟机行为安全评估值,具体表示为:,rdi表示第i个子时间区域的虚拟机行为安全评估值,dci表示第i个子时间区域的云主机安全模块内存占用率,dri表示第i个子时间区域的虚拟机进程树进程数量,dli表示第i个子时间区域的虚拟机网络数据包长度均值,dfi表示第i个子时间区域的虚拟机敏感系统文件访问审计事件计数。
5.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云主机可信执行环境数据分析单元用于建立云主机可信执行环境数据分析模型,将云主机安全数据采集模块传输的云主机可信执行环境数据导入云主机可信执行环境数据分析模型中,计算出各子时间区域的云主机安全加固评估值,具体表示为:,rti表示第i个子时间区域的云主机安全加固评估值,tsi表示第i个子时间区域的虚拟机可信执行安全加固措施数量,tfi表示第i个子时间区域的虚拟机内存资源利用率,tli表示第i个子时间区域的虚拟机外部访问连接熵值,tdi表示第i个子时间区域的云主机安全模块单元测试覆盖率。
6.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云存储访问控制数据包括对象存储访问控制列表变更率、块存储写入放大系数、文件存储元数据项数量,以及分布式存储节点一致性指数,分别标记为qf、qs、qc,以及qm,云存储数据分布数据包括对象存储版本对象数量、块存储数据重构时间、文件存储数据分片分布熵,以及分布式存储节点负载差异系数,分别标记为yb、yt、ys,以及yc,云存储优化管理数据包括对象存储数据有效对象数量、块存储数据去重率、文件存储数据解压缩比,以及分布式存储节点反熵扩散速率,分别标记为hr、hq、hs,以及hl。
7.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云存储访问控制数据分析单元用于建立云存储访问控制数据分析模型,将云存储安全数据采集模块传输的云存储访问控制数据导入云存储访问控制数据分析模型,计算出各子时间区域的云存储访问控制效能值,具体表示为:,lqi表示第i个子时间区域的云存储访问控制效能值,qfi表示第i个子时间区域的对象存储访问控制列表变更率,qsi表示第i个子时间区域的块存储写入放大系数,qci表示第i个子时间区域的文件存储元数据项数量,qmi表示第i个子时间区域的分布式存储节点一致性指数,qsmin表示目标时间区域的最大块存储写入放大系数,δt表示第i个子时间区域和第i-1个子时间区域的时间差。
8.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述云存储数据分布数据分析单元用于建立云存储数据分布数据分析模型,将云存储安全数据采集模块传输的云存储数据分布数据导入云存储数据分布数据分析模型,计算出各子时间区域的云存储数据分布效能指数,具体表示为:,lyi表示第i个子时间区域的云存储数据分布效能指数,ybi表示第i个子时间区域的对象存储版本对象数量,yti表示第i个子时间区域的块存储数据重构时间,ysi表示第i个子时间区域的文件存储数据分片分布熵,yci表示第i个子时间区域的分布式存储节点负载差异系数,ysmax表示目标时间区域的最大文件存储数据分片分布熵,ysmin表示目标时间区域的最小文件存储数据分片分布熵。
9.根据权利要求1所述的一种用于信创云平台的云计算安全控制系统,其特征在于,所述综合分析模型具体表示为:,η表示目标时间区域的综合安全指数,cri表示第i个子时间区域的云主机安全指数,cli表示第i个子时间区域的云存储安全指数,β1表示云主机安全指数的权重,β2表示云存储安全指数的权重,λ表示综合安全指数的其他影响因子。
