[发明专利]云资源池数据安全检测方法及系统

说明书

本发明公开了一种云资源池数据安全检测方法，该方法包括：获取制定的敏感数据；获取从云资源池引流出的导出数据；扫描并识别导出数据中的敏感数据；建立敏感数据生命周期，对敏感数据进行分级管理；抓取云资源环境中敏感数据宿主虚拟机，对其进行流量监管；分析敏感数据及敏感数据宿主虚拟机的异常操作行为，发出告警。另外，本发明还提供了一种云资源池敏感数据安全检测系统，包括控制模块、采集模块、处理模块、监管模块、审计模块。采用本发明实现了云计算环境下域内及跨域虚拟机业务数据调取传输、业务交互以及迁移过程中各类敏感数据的创建、生产、使用、销毁等各环节的全生命周期安全管控，发现异常和违规行为。

技术领域

本发明属于信息安全技术领域，具体涉及一种云资源池数据安全检测防护系统及其方法。

背景技术

云资源池在系统组成方面与传统平台建设最主要的区别就是将资源虚拟化形成统一的资源池，简化资源的配置与管理，提高硬件的利用率，从而实现云计算的灵活性与弹性。虚拟层的引入使以访问控制为核心的安全防护体系与传统的业务平台建设防护体系有很大不同，除了包括传统的主机安全、网络安全等外，还需要包含云计算中特殊的虚拟化安全。

在云资源池中，CRM等多个业务系统主机保存了UIP日志、与CRM的交互日志，以及包含用户信息、缴费、信用度、外围代收费日志等关键敏感数据，部分主机还保存了业务系统更新前的最终程序代码。目前对于云资源池环境的中敏感数据安全，没有通过技术手段防护和监控，对于敏感数据在虚拟资源池中的传输、存储以及数据保护等，急需一套完整的建设方案来实现对敏感数据的安全防护和监控。

发明内容

本发明所要解决的技术问题是通过对云资源池环境中敏感数据的管理与监控，实现对云资源池敏感数据的各个生命周期的管理与监控，避免非法人员通过技术手段获取敏感数据，造成信息泄露等风险。

为解决上述问题，本发明提供了一种云资源池数据安全检测方法，包括如下步骤：

S1：获取制定的敏感数据；

S2：获取从云资源池引流出的导出数据；

S3：扫描并识别导出数据中的敏感数据；

S4：建立敏感数据生命周期，对敏感数据进行分级管理；

S5：抓取云资源环境中敏感数据宿主虚拟机，对其进行流量监管；

S6：分析敏感数据及敏感数据宿主虚拟机的异常操作行为，发出告警。

进一步地，获取S2中所述导出数据的步骤包括：

S201：实时抓取云资源池中的目标数据；

S202：过滤抓取的目标数据，并将数据转发到指定虚拟机中的目标位置。

进一步地，所述S3具体包括如下步骤：

S301：扫描S202中所述目标位置中的导出数据；

S302：识别导出数据中与S1中匹配的敏感数据，并入库存储；

S303：识别导出数据中与S1中不匹配的非敏感数据，对非敏感数据进行销毁标签标识。

进一步地，采用关键字、正则表达式、文件指纹或文件MD5识别导出数据中的敏感数据。

进一步地，所述S303中标有销毁标识的非敏感数据在虚拟机下线前通过擦除工具进行删除。实现了对虚拟机需要脱敏或销毁的数据进行标签化管理，实现格式化数据的库内和库外脱敏

进一步地，所述S4采用聚类算法对敏感数据进行分级管理。

进一步地，所述S5具体包括对敏感数据宿主虚拟机的传输通道监控和网络连接状态，获取敏感数据异常传输，具体步骤如下：