本申请提供了一种安全合规策略检测方法和装置、电子设备、计算机可读存储介质,安全合规策略检测方法包括:采集云平台运行过程中的原始资产数据;其中,所述原始资产数据为安全合规策略对应的资产数据;根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略。平台的安全合规策略。平台的安全合规策略。
【技术实现步骤摘要】
安全合规策略检测方法和装置、电子设备、可读存储介质
[0001]本申请实施例涉及互联网
,特别涉及安全合规策略检测方法和装置、电子设备、计算机可读存储介质。
技术介绍
[0002]云基础服务对于云计算安全合规策略的完整与正确实施是保护云安全的基础。企业迁移到云平台后,许多组织错误地认为云提供商负责全部的安全责任,这种错误的理念导致数据泄露和其他安全事故。现今62%的云安全漏洞是由于错误或不合理的配置导致的。由于云计算的复杂性,错误的安全配置很容易发生,且难以发现。同时,攻击者也可以利用虚拟化管理程序(Hypervisor)或云基础设施本身的安全漏洞对云平台实施攻击,导致用户所配置的安全合规策略在具体实施层面被篡改和扭曲,造成更加隐蔽和难以发现的安全风险。
[0003]因此,对安全合规策略的检测意义重大,目前的安全合规策略检测方法存在基于已知的通用漏洞(CVE,CommonVulnerabilities&Exposures)进行检测,存在较大的局限性。
技术实现思路
[0004]本申请实施例提供一种安全合规策略检测方法和装置、电子设备、计算机可读存储介质。
[0005]第一方面,本申请实施例提供一种安全合规策略检测方法,包括:
[0006]采集云平台运行过程中的原始资产数据;其中,所述原始资产数据为安全合规策略对应的资产数据;
[0007]根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略。
[0008]第二方面,本申请实施例提供一种电子设备,包括:
[0009]至少一个处理器;
[0010]存储器,存储器上存储有至少一个程序,当所述至少一个程序被所述至少一个处理器执行时,实现上述任意一种安全合规策略检测方法。
[0011]第三方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一种安全合规策略检测方法。
[0012]第四方面,本申请实施例提供一种安全合规策略检测装置,包括:
[0013]采集模块,用于采集云平台运行过程中的原始资产数据;其中,所述原始资产数据为安全合规策略对应的资产数据;
[0014]验证模块,用于根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略。
[0015]本申请实施例提供的安全合规策略检测方法,基于云平台运行过程中的原始资产
数据实现对安全合规策略的检测,而不依赖于攻击情报信息和漏洞库等先验知识来实现对安全合规策略的检测,既可以实现对已知攻击行为和漏洞所造成的威胁的检测,也可以实现对未知的新型攻击类型所造成的威胁检测,从而降低了检测的局限性。
附图说明
[0016]图1为本申请一个实施例提供的安全合规策略检测方法的流程图;
[0017]图2为本申请实施例的示例1中的标准化结构的资产数据的示意图;
[0018]图3为本申请实施例的示例2中的标准化结构的资产数据的示意图;
[0019]图4为本申请另一个实施例提供的安全合规策略检测装置的组成框图。
具体实施方式
[0020]为使本领域的技术人员更好地理解本申请的技术方案,下面结合附图对本申请提供的安全合规策略检测方法和装置、电子设备、计算机可读存储介质进行详细描述。
[0021]在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本申请透彻和完整,并将使本领域技术人员充分理解本申请的范围。
[0022]在不冲突的情况下,本申请各实施例及实施例中的各特征可相互组合。
[0023]如本文所使用的,术语“和/或”包括至少一个相关列举条目的任何和所有组合。
[0024]本文所使用的术语仅用于描述特定实施例,且不意欲限制本申请。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由
……
制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加至少一个其它特征、整体、步骤、操作、元件、组件和/或其群组。
[0025]除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本申请的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
[0026]目前的安全合规策略检测方法存在以下问题:
[0027](1)审计对象是终端设备资产信息,而且仅用于已知的CVE的治理,不能检测和预警新型攻击方法对云平台造成的破坏;
[0028](2)所涉及的安全合规策略仅仅是单一主体对客体的访问规则,不能描述云计算模型下不同主体之间的相互约束的复杂安全合规策略。
[0029]由于云平台架构的复杂性,针对安全合规策略实施的遵从性检查不能依赖人工检查,也不能仅检查静态的配置数据,也要针对运行态的系统工作组件中实际生效的控制信息进行检查;而且,由于针对云平台的新兴的攻击方法层出不穷,对于同一安全合规策略的偏离,既可能是已知攻击手段造成,也可能是未知的攻击手段导致的,因此,基于CVE的检测方法存在较大的局限性。
[0030]图1为本申请一个实施例提供的安全合规策略检测方法的流程图。
[0031]第一方面,参照图1,本申请一个实施例提供一种安全合规策略检测方法,包括:
[0032]步骤100、采集云平台运行过程中的原始资产数据;其中,原始资产数据为安全合规策略对应的资产数据。
[0033]在一些示例性实施例中,云平台指的是基于标准云计算模型的任何提供特定类型的服务的信息系统。
[0034]本申请实施例对云平台提供的服务类型不作限定,例如,云平台提供的服务类型可以是基础设施即服务(IaaS,Infrastructure
‑
as
‑
a
‑
Service)、平台即服务(PaaS,Platform
‑
as
‑
a
‑
Service)或软件即服务(SaaS,Software
‑
as
‑
a
‑
Service)。
[0035]在一些示例性实施例中,原始资产数据包括但不限于:云平台架构中的任何物理与逻辑组件对象的属性变量实例化取值,以及物理与逻辑组件所处理的数据对象的属性变量实例化取值。
[0036]在本申请实施例中,可以定时或根据需要采集云平台运行过程中的原始资产数据。这里原始资产数据可以是指云平台的安全合规策略相关的所有资产数据。
[0037]在本申请实施本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全合规策略检测方法,包括:采集云平台运行过程中的原始资产数据;其中,所述原始资产数据为安全合规策略对应的资产数据;根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略。2.根据权利要求1所述的安全合规策略检测方法,其中,所述根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略包括:对所述原始资产数据进行第一处理得到策略逻辑实例化真命题;其中,所述策略逻辑实例化真命题用于描述所述原始资产数据中的主体对象的属性变量实例化取值和客体对象的属性变量实例化取值;根据所述策略逻辑实例化真命题验证所述云平台的安全态势是否满足所述云平台的安全合规策略。3.根据权利要求2所述的安全合规策略检测方法,所述根据所述策略逻辑实例化真命题验证所述云平台的安全态势是否满足所述云平台的安全合规策略包括:根据所述策略逻辑实例化真命题和所述形式化策略逻辑命题验证所述云平台的安全态势是否满足所述云平台的安全合规策略;其中,所述形式化策略逻辑命题用于描述所述云平台的安全合规策略对应的主体对象和客体对象之间可以存在的逻辑关系。4.根据权利要求3所的安全合规策略检测方法,所述根据所述策略逻辑实例化真命题和所述形式化策略逻辑命题验证所述云平台的安全态势是否满足所述云平台的安全合规策略之前,该方法还包括:将所述安全合规策略转换为形式化策略逻辑命题。5.根据权利要求4所述的安全合规策略检测方法,其中,所述将所述安全合规策略转换为形式化策略逻辑命题包括:根据预先建立的云平台访问控制能力基线模型将所述安全合规策略转换为形式化策略逻辑命题;其中,所述云平台访问控制能力基线模型用于描述所述云平台所涉及的主体对象和客体对象之间存在的固有的逻辑关系。6.根据权利要求5所述的安全合规策略检测方...
【专利技术属性】
技术研发人员:牛治,董路明,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。