安全合规策略检测方法和装置、电子设备、可读存储介质与流程

1.本技术实施例涉及互联网技术领域，特别涉及安全合规策略检测方法和装置、电子设备、计算机可读存储介质。


背景技术：

2.云基础服务对于云计算安全合规策略的完整与正确实施是保护云安全的基础。企业迁移到云平台后，许多组织错误地认为云提供商负责全部的安全责任，这种错误的理念导致数据泄露和其他安全事故。现今62％的云安全漏洞是由于错误或不合理的配置导致的。由于云计算的复杂性，错误的安全配置很容易发生，且难以发现。同时，攻击者也可以利用虚拟化管理程序(hypervisor)或云基础设施本身的安全漏洞对云平台实施攻击，导致用户所配置的安全合规策略在具体实施层面被篡改和扭曲，造成更加隐蔽和难以发现的安全风险。
3.因此，对安全合规策略的检测意义重大，目前的安全合规策略检测方法存在基于已知的通用漏洞(cve，commonvulnerabilities&exposures)进行检测，存在较大的局限性。


技术实现要素：

4.本技术实施例提供一种安全合规策略检测方法和装置、电子设备、计算机可读存储介质。
5.第一方面，本技术实施例提供一种安全合规策略检测方法，包括：
6.采集云平台运行过程中的原始资产数据；其中，所述原始资产数据为安全合规策略对应的资产数据；
7.根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略。
8.第二方面，本技术实施例提供一种电子设备，包括：
9.至少一个处理器；
10.存储器，存储器上存储有至少一个程序，当所述至少一个程序被所述至少一个处理器执行时，实现上述任意一种安全合规策略检测方法。
11.第三方面，本技术实施例提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一种安全合规策略检测方法。
12.第四方面，本技术实施例提供一种安全合规策略检测装置，包括：
13.采集模块，用于采集云平台运行过程中的原始资产数据；其中，所述原始资产数据为安全合规策略对应的资产数据；
14.验证模块，用于根据所述原始资产数据验证所述云平台的安全态势是否满足所述云平台的安全合规策略。
15.本技术实施例提供的安全合规策略检测方法，基于云平台运行过程中的原始资产
数据实现对安全合规策略的检测，而不依赖于攻击情报信息和漏洞库等先验知识来实现对安全合规策略的检测，既可以实现对已知攻击行为和漏洞所造成的威胁的检测，也可以实现对未知的新型攻击类型所造成的威胁检测，从而降低了检测的局限性。
附图说明
16.图1为本技术一个实施例提供的安全合规策略检测方法的流程图；
17.图2为本技术实施例的示例1中的标准化结构的资产数据的示意图；
18.图3为本技术实施例的示例2中的标准化结构的资产数据的示意图；
19.图4为本技术另一个实施例提供的安全合规策略检测装置的组成框图。
具体实施方式
20.为使本领域的技术人员更好地理解本技术的技术方案，下面结合附图对本技术提供的安全合规策略检测方法和装置、电子设备、计算机可读存储介质进行详细描述。
21.在下文中将参考附图更充分地描述示例实施例，但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之，提供这些实施例的目的在于使本技术透彻和完整，并将使本领域技术人员充分理解本技术的范围。
22.在不冲突的情况下，本技术各实施例及实施例中的各特征可相互组合。
23.如本文所使用的，术语“和/或”包括至少一个相关列举条目的任何和所有组合。
24.本文所使用的术语仅用于描述特定实施例，且不意欲限制本技术。如本文所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。还将理解的是，当本说明书中使用术语“包括”和/或“由
……
制成”时，指定存在所述特征、整体、步骤、操作、元件和/或组件，但不排除存在或添加至少一个其它特征、整体、步骤、操作、元件、组件和/或其群组。
25.除非另外限定，否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本技术的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本文明确如此限定。
26.目前的安全合规策略检测方法存在以下问题：
27.(1)审计对象是终端设备资产信息，而且仅用于已知的cve的治理，不能检测和预警新型攻击方法对云平台造成的破坏；
28.(2)所涉及的安全合规策略仅仅是单一主体对客体的访问规则，不能描述云计算模型下不同主体之间的相互约束的复杂安全合规策略。
29.由于云平台架构的复杂性，针对安全合规策略实施的遵从性检查不能依赖人工检查，也不能仅检查静态的配置数据，也要针对运行态的系统工作组件中实际生效的控制信息进行检查；而且，由于针对云平台的新兴的攻击方法层出不穷，对于同一安全合规策略的偏离，既可能是已知攻击手段造成，也可能是未知的攻击手段导致的，因此，基于cve的检测方法存在较大的局限性。
30.图1为本技术一个实施例提供的安全合规策略检测方法的流程图。
31.第一方面，参照图1，本技术一个实施例提供一种安全合规策略检测方法，包括：
32.步骤100、采集云平台运行过程中的原始资产数据；其中，原始资产数据为安全合规策略对应的资产数据。
33.在一些示例性实施例中，云平台指的是基于标准云计算模型的任何提供特定类型的服务的信息系统。
34.本技术实施例对云平台提供的服务类型不作限定，例如，云平台提供的服务类型可以是基础设施即服务(iaas，infrastructure-as-a-service)、平台即服务(paas，platform-as-a-service)或软件即服务(saas，software-as-a-service)。
35.在一些示例性实施例中，原始资产数据包括但不限于：云平台架构中的任何物理与逻辑组件对象的属性变量实例化取值，以及物理与逻辑组件所处理的数据对象的属性变量实例化取值。
36.在本技术实施例中，可以定时或根据需要采集云平台运行过程中的原始资产数据。这里原始资产数据可以是指云平台的安全合规策略相关的所有资产数据。
37.在本技术实施例中，安全合规策略用于描述云平台需要满足的技术规范、安全法律法规和必须管控的安全合规管理要求中的至少一个。例如，示例1中的基于kubermetes构建的服务类型为paas的云平台下的多租户隔离策略，示例2中的基于openstack构建的服务类型为iaas的云平台下的虚拟资源隔离策略。
38.在本技术实施例中，一个云平台对应的安全合规策略可以是一个或一个以上，在一个云平台对应的安全合规策略为两个或两个以上的情况下，需要分别采集每一个安全合规策略对应的原始资产数据，不同安全合规策略对应的原始资产数据可能相同，也可能不同。
39.步骤101、根据原始资产数据验证云平台的安全态势是否满足云平台的安全合规策略。
40.在一些示例性实施例中，根据原始资产数据验证云平台的安全态势是否满足云平台的安全合规策略包括：
41.对原始资产数据进行第一处理得到策略逻辑实例化真命题；其中，策略逻辑实例化真命题用于描述原始资产数据中的主体对象的属性变量实例化取值和客体对象的属性变量实例化取值；
42.根据策略逻辑实例化真命题验证云平台的安全态势是否满足云平台的安全合规策略。
43.在本技术实施例中，策略逻辑实例化真命题与安全合规策略一一对应。在一个云平台对应的安全合规策略为两个或两个以上的情况下，策略逻辑示例化真命题也为两个或两个以上，所有策略逻辑实例化真命题构成整系统级策略实例化元组。
44.在本技术实施例中，主体对象或客体对象可以是前面描述的物理与逻辑组件对象、或物理与逻辑组件所处理的数据对象等。
45.在一些示例性实施例中，对原始资产数据进行第一处理得到策略逻辑实例化真命题包括：
46.对原始资产数据进行第二处理得到标准化结构的资产数据；
47.将标准化结构的资产数据转换为策略逻辑实例化真命题。
48.在一些示例性实施例中，第二处理包括清洗预处理。
49.在一些示例性实施例中，清洗预处理可以是分别将每一条安全合规策略对应的原始资产数据中的物理与逻辑组件对象，以及物理与逻辑组件所处理的数据对象划分为主体对象和客体对象，并将原始资产数据组织为主体对象和客体对象的属性变量实例化取值的标准化结构，例如可以是关键字—取值(key-value)形式。
50.在一些示例性实施例中，将标准化结构的资产数据转换为策略逻辑实例化真命题可以是指将标准化结构的资产数据转换成逻辑表达式来描述。也就是说，策略逻辑实例化真命题是采用逻辑表达式来描述的。
51.在一些示例性实施例中，根据策略逻辑实例化真命题验证云平台的安全态势是否满足云平台的安全合规策略包括：
52.根据策略逻辑实例化真命题和形式化策略逻辑命题验证云平台的安全态势是否满足云平台的安全合规策略；其中，形式化策略逻辑命题用于描述云平台的安全合规策略对应的主体对象和客体对象之间可以存在的逻辑关系。
53.在一些示例性实施例中，根据策略逻辑实例化真命题和形式化策略逻辑命题验证云平台的安全态势是否满足云平台的安全合规策略包括：
54.将策略逻辑实例化真命题作为输入来推导证明形式化策略逻辑命题是否成立，以验证云平台的安全态势是否满足云平台的安全合规策略。具体的，使用策略逻辑实例化真命题进行约束求解来推导形式化策略逻辑命题是否成立。如果采用策略逻辑实例化真命题推导形式化策略逻辑命题得到的推导结果为形式化策略逻辑命题成立，则确定云平台的安全态势满足云平台的安全合规策略；如果采用策略逻辑实例化真命题推导形式化策略逻辑命题得到的推导结果为形式化策略逻辑命题不成立，则确定云平台的安全态势不满足云平台的安全合规策略。
55.本技术实施例将云平台的安全合规策略的检测转化为基于数学模型的求解证明，通过严谨的数学证明有效的降低了检测误报率，提高了安全审计的可信度。
56.在一些示例性实施例中，安全合规策略对应的形式化策略逻辑命题可以预先设置。
57.在一些示例性实施例中，根据策略逻辑实例化真命题和形式化策略逻辑命题验证云平台的安全态势是否满足云平台的安全合规策略之前，该方法还包括：
58.将安全合规策略转换为形式化策略逻辑命题。
59.在一些示例性实施例中，安全合规策略可以由用户或监管机构输入得到。
60.在本技术实施例中，云平台的安全合规策略可以是一个或一个以上，云平台的所有安全合规策略对应的形式化策略逻辑命题构成整系统级策略元组。
61.在一些示例性实施例中，将安全合规策略转换为形式化策略逻辑命题包括：
62.根据预先建立的云平台访问控制能力基线模型将安全合规策略转换为形式化策略逻辑命题；其中，云平台访问控制能力基线模型用于描述云平台所涉及的主体对象和客体对象之间存在的固有的逻辑关系。
63.本技术实施例中基于云平台访问控制能力基线模型来灵活编排安全合规策略得到形式化策略逻辑命题，可以有效的协助用户实现对各种安全合规策略的形式化建模，降低了用户形式化建模的门槛，同时建模具有极大的灵活性和可扩展性，除了标准的安全合规策略之外，也可以针对用户自定义的安全合规策略进行建模。
64.在一些示例性实施例中，根据预先建立的云平台访问控制能力基线模型将安全合规策略转换为形式化策略逻辑命题之前，该方法还包括：
65.预先建立云平台访问控制能力基线模型。
66.在一些示例性实施例中，预先建立云平台访问控制能力基线模型包括：
67.根据云平台所提供的服务类型、云平台本身的逻辑架构与数据模型以及云平台所遵循的安全参考模型建立云平台访问控制能力基线模型。
68.在一些示例性实施例中，云平台本身的逻辑架构与数据模型可以用统一建模语言(uml，unified modeling language)或其他的系统建模语言来描述。
69.本技术实施例对云平台所遵循的安全参考模型不作限定，例如可以是云安全联盟(csa，cloud security alliance)或者其他权威机构制定的云计算的安全参考模型。
70.在本技术实施例中，可以通过对比安全参考模型从云平台的逻辑架构与数据模型中抽象出具体的主体对象和客体对象分类，以及主体对象和客体对象之间存在的固有的逻辑关系，即基本能力规则。这些主体对象和客体对象都是云平台广义上的资产，主体对象和客体对象之间存在的固有的逻辑关系可以通过主体对象和客体对象的属性变量之间的关联关系来描述。
71.云平台所提供的服务类型不同，对应的具体的主体对象和客体对象分类可能相同，也可能不同，主体对象和客体对象之间存在的固有的逻辑关系可能相同，也可能不同。例如，对于iaas、paas、saas的服务类型，可以将主体对象分为云管理员和云租户两大类，将客体对象分为计算资源、存储资源、网络资源、公共服务资源四大类；主体对象和客体对象之间存在的固有的逻辑关系包括但不限于：云租户可拥有计算资源、网络资源、存储资源；云租户可访问公共服务资源等基本能力规则。
72.在一些示例性实施例中，根据云平台访问控制能力基线模型的规范，将安全合规策略编排成云平台访问控制能力基线模型中的基本能力规则组合，也就是逻辑抽象为一阶逻辑表达式。
73.在一些示例性实施例中，根据策略逻辑实例化真命题和形式化策略逻辑命题验证云平台的安全态势是否满足云平台的安全合规策略后，该方法还包括：
74.根据验证云平台的安全态势是否满足云平台的安全合规策略得到的验证结果生成安全合规审计报告。
75.在一些示例性实施例中，生成安全合规审计报告后，该方法还包括：显示安全合规审计报告。
76.在一些示例性实施例中，安全合规审计报告包括：验证结果。
77.在一些示例性实施例中，验证结果包括：安全合规策略和表征云平台的安全态势是否满足云平台的安全合规策略的信息之间的对应关系。
78.在一些示例性实施例中，对应关系还包括以下至少之一：
79.策略逻辑实例化真命题、原始资产数据、形式化策略逻辑命题。
80.在一些示例性实施例中，生成安全合规审计报告后，该方法还包括：
81.在安全合规审计报告中存在云平台的安全态势不满足安全合规策略的条目的情况下，进行安全事件响应处理。
82.在一些示例性实施例中，安全合规审计报告中的一个条目可以是指一个对应关
系，例如，可以是一个安全合规策略和表征云平台的安全态势是否满足云平台的安全合规策略的信息之间的对应关系，本技术实施例对具体的条目形式不作限定。
83.本技术实施例对安全事件响应处理形式不作限定，具体的响应处理形式不用于限定本技术实施例的保护范围。例如，可以是显示告警提示、或漏洞分析治理等。
84.本技术实施例提供的安全合规策略检测方法，基于云平台运行过程中的原始资产数据来实现对安全合规策略的检测，而不依赖于攻击情报信息和漏洞库等先验知识来实现对安全合规策略的检测，既可以实现对已知攻击行为和漏洞所造成的威胁的检测，也可以实现对未知的新型攻击类型所造成的威胁检测，从而降低了检测的局限性。
85.本技术实施例提供的安全合规策略检测方法与云平台的具体实现和供应商完全解耦，支持在公有云、私有云、混合云等不同类型的云平台上实施安全合规策略的验证，适用范围与可扩展性比较广。
86.下面通过两个具体示例详细说明本技术实施例的安全合规策略检测方法的具体实现过程，所列举的示例仅仅是为了说明方便，不用于限定本技术实施例的保护范围。
87.示例1
88.本示例描述基于kubernetes构建的服务类型为paas的云平台下的多租户隔离策略的检测方法，包括：
89.1、根据云平台所提供的服务类型、云平台本身的逻辑架构与数据模型以及云平台所遵循的安全参考模型建立云平台访问控制能力基线模型。
90.本示例中，服务类型为paas的云平台遵循csa所规定的paas层安全参考模型。按照csa所规定的安全参考模型，服务类型为paas的云平台的逻辑架构与数据模型包括的主体对象为租户，客体对象为集群资源。不同租户有各自可访问的资源范围与权限，可用uml模型描述。
91.基于上述信息，可抽象出对应的云平台访问控制能力基线模型，包含如下基本能力规则组合：
92.(1)、租户可访问自己所管辖的集群资源。
93.(2)、租户对集群资源的操作权限在既定约束范围内。
94.进一步可将上述两个基本能力规则由自然语言转化为形式化语言：
[0095][0096]
(2)、
[0097]
上述第一条基本能力规则表明，非命名空间资源r不属于租户t的条件为r不是该租户的非命名空间资源resources[t]中的元素。第二条基本能力规则表明，租户t对非命名空间资源的操作权限集合verbs[t]为系统指定的操作命令集合verbset的子集。这些基本能力规则构成了云平台访问控制能力基线模型。
[0098]
2、根据建立的云平台访问控制能力基线模型将多租户隔离策略集合转换为整系统级策略元组。
[0099]
本示例中，多租户隔离策略集合主要包括如下四条多租户隔离策略：
[0100]
策略1为租户不应该查看和操作非命名空间资源；
[0101]
策略2为租户不应该修改集群管理员为多租户创建的命名空间资源；
[0102]
策略3为租户不应该修改命名空间中定义的资源配额；
[0103]
策略4为一个租户无法操作另一个租户的命名空间资源。
[0104]
只有同时满足这四条多租户隔离策略，才可确保符合多租户隔离的要求。除此之外，针对特定的应用场景，多租户隔离策略可以按需进行动态扩展。
[0105]
本示例中，针对服务类型为paas的云平台的多租户资源隔离要求所涉及的每条多租户隔离策略，逐一借助建立的云平台访问控制能力基线模型所抽象出来的基本能力规则的灵活编排，抽象出一阶逻辑表达式形式的形式化策略逻辑命题，最终聚合成为整系统级策略元组。
[0106]
例如，针对策略1为租户不应该查看和操作非命名空间资源的规则，可以逻辑抽象为一阶逻辑表达式：
[0107][0108]
该命题断言了任何一个租户t的可访问资源不属于非命名空间资源clusterresource，操作权限集合verbs[t]在系统允许的操作命令集合verbset内。
[0109]
对于其他多租户隔离策略，也按照上述方法进行逻辑抽象为一阶逻辑表达式p2，p3，p4，使其转换为对应的形式化策略逻辑命题。
[0110]
最终，将上述所有形式化策略逻辑命题聚合成为多租户隔离策略集合对应的整系统级策略元组loc0=[p
1 p
2 p
3 p4]。
[0111]
3、采集用于验证整系统级策略元组中各形式化策略逻辑命题所需的相关的原始资产数据。
[0112]
例如，针对策略1对应的形式化策略逻辑命题，需要从云平台中定时或按需采集的原始资产数据包括：租户列表、集群角色绑定、集群角色、命名空间等配置信息，数据来源为云平台系统数据库。
[0113]
4、对原始资产数据进行清洗预处理得到标准化结构的资产数据。
[0114]
本示例中，由于采集到的原始资产数据在业务逻辑层面不具有相关性，因此需要把采集到的原始资产数据按照策略形式化模型中变量的业务逻辑进行清洗预处理，便于逻辑形式化抽象分析。
[0115]
例如，针对策略1对应的的形式化策略逻辑命题p1，处理后的数据结果如图2中的json结构，它描述了租户damon1与其所拥有的访问资源(即图2中的resource)、访问动作(即图2中的verbs)、角色绑定(即图2中的rolebinding)以及角色(即图2中的role)的实例化取值。
[0116]
将云平台中当前所有租户与策略1相关的原始资产数据聚合构成了形式化策略逻辑命题p1涉及的所有主体对象的属性变量实例化取值和客体对象的属性变量实例化取值data1，也就是标准化结构的资产数据。最终，针对整系统级策略元组中每条形式化策略逻辑命题，重复上述清洗预处理，最终形成描述所有多租户隔离策略的结构化数据元组input=[data1,data2,data3,data4]。
[0117]
5、将标准化结构的资产数据转换为整系统级策略实例化元组。
[0118]
本示例中，针对整系统级策略元组中的每条形式化策略逻辑命题，对对应的结构化数据元组input中对应的标准化结构的资产数据进行形式化逻辑抽象，转化为逻辑表达式，即策略逻辑实例化真命题。
[0119]
例如，针对形式化策略逻辑命题p1，其涉及的所有主体对象(即租户)和客体对象
(即访问动作和资源)的属性变量实例化取值data1可由如下逻辑表达式p
′1描述，其中，m为租户的个数：
[0120][0121]
∧(resource[tenantname1]＝"namesapces,nodes,apiservices")
[0122]
∧
…
∧(tenantnamem="demonm")∧(verbsm＝"delete")；
[0123]
∧(resource[tenantnamem]＝"pods,clusterpolicies")
[0124]
以此类推，可以形式化loc0中其他多租户隔离策略对应的属性变量实例化取值，生成对应的策略逻辑实例化真命题，并最终将所有策略逻辑实例化真命题聚合成为整系统级策略实例化元组：loc=[p1′ꢀ
p2′ꢀ
p3′ꢀ
p4′
]。
[0125]
6、根据整系统级策略实例化元组和整系统级策略元组验证云平台的安全态势是否满足云平台的安全合规策略集合。
[0126]
本示例中，将整系统级策略实例化元组loc作为输入来推导证明整系统级策略元组loc0，即通过验证loc
→
loc0是否成立，以验证当前云平台的安全态势是否满足既定的安全合规策略集合。
[0127]
其中，证明方法为针对整系统级策略元组loc0中的每条形式化策略逻辑命题，使用整系统级策略实例化元组loc中对应的策略逻辑实例化真命题来进行约束求解，以推导该形式化策略逻辑命题是否成立，即(p1′→
p1)∧(p2′→
p2)∧(p3′→
p3)^(p4′→
p4)是否成立。
[0128]
在本示例中，针对策略1的形式化约束求解为p1′→
p1，即是要根据当前采集到的所有租户的可访问资源数据来验证是否满足租户不应该查看和操作非命名空间资源的规则。如果整系统级策略实例化元组loc中每个策略逻辑实例化真命题对应的属性变量实例化取值都满足loc0中对应的形式化策略逻辑命题，则验证结果为云平台的整体态势满足多租户资源隔离要求；如果策略实例化元组loc中至少一个策略逻辑实例化真命题对应的属性变量实例化取值不满足loc0中对应的形式化策略逻辑命题，则验证结果为云平台的整体态势不满足多租户资源隔离要求，记录不满足的具体安全合规策略和相关原始资产数据。
[0129]
7、根据验证云平台的安全态势是否满足云平台的安全合规策略得到的验证结果生成安全合规审计报告，显示安全合规审计报告；在安全合规审计报告中存在云平台的安全态势不满足安全合规策略的条目的情况下，进行安全事件响应处理例如，可以是显示告警提示、或漏洞分析治理等。
[0130]
本示例中，安全合规审计报告包括：安全合规策略、形式化策略逻辑命题、策略逻辑实例化真命题、原始资产数据和表征云平台的安全态势是否满足云平台的安全合规策略的信息之间的对应关系。
[0131]
示例2
[0132]
本示例描述基于openstack构建的服务类型为iaas的云平台下的多租户虚拟资源隔离策略的检测方法，包括：
[0133]
1、根据云平台所提供的服务类型、云平台本身的逻辑架构与数据模型以及云平台所遵循的安全参考模型建立云平台访问控制能力基线模型。
[0134]
本示例中，服务类型为iaas的云平台遵循csa所规定的iaas层安全参考模型。按照csa所规定的安全参考模型，服务类型为iaas的云平台的逻辑架构与数据模型包括的主体
对象为租户，客体对象为虚拟端口资源。不同租户对象有各自可访问的虚拟端口资源，可用uml模型描述。
[0135]
基于上述信息，可以抽象出可抽象出对应的云平台访问控制能力基线模型，包含如下基本能力规则：租户可访问自己的虚拟端口资源。
[0136]
进一步可将上述条目由自然语言转化为形式化语言：
[0137]
该基本能力规则表明，虚拟端口资源p属于租户r的条件为虚拟端口资源p是该租户的虚拟端口资源集合中的元素。该基本能力规则构成了云平台访问控制能力基线模型。
[0138]
2、根据建立的云平台访问控制能力基线模型将多租户虚拟资源隔离策略转换为形式化策略逻辑命题。
[0139]
本示例中，多租户虚拟资源隔离策略例如可以是虚拟端口是租户特定的资源，不应该在租户之间共享，防止cve-2014-0056这样的漏洞产生。除此之外，针对特定的应用场景，多租户虚拟资源隔离策略可以按需进行动态调整。
[0140]
本示例中，针对多租户虚拟资源隔离策略，借助建立的云平台访问控制能力基线模型所抽象出来的基本能力规则的灵活编排，抽象出一阶逻辑表达式形式的形式化策略逻辑命题。例如，针对不同租户之间的虚拟端口资源相互隔离的规则，可以逻辑抽象为如下一阶逻辑表达式：
[0141][0142]
该命题断言了任何一个虚拟端口资源p如果同时属于租户t1和租户t2，则租户t1和租户t2必然是同一个租户。
[0143]
3、采集用于验证形式化策略逻辑命题所需的相关的原始资产数据。
[0144]
例如，针对不同租户之间的虚拟端口资源相互隔离的形式化策略逻辑命题p0，需要从iaas云平台中定时或按需采集的资产数据包括：租户列表以及iaas云平台给各租户实际分配的虚拟端口和虚拟局域网(vlan，virtual local area network)标识在内的虚拟网络资源信息，数据来源为neutron数据库和虚拟交换数据库。
[0145]
4、对原始资产数据进行清洗预处理得到标准化结构的资产数据。
[0146]
本示例中，由于采集到原始资产数据是非结构化的，因此需要把采集到的原始资产数据按照形式化策略逻辑命题所涉及变量的业务逻辑进行清洗预处理，便于后续进行逻辑抽象分析。
[0147]
例如，针对不同租户之间的虚拟端口资源相互隔离所对应的形式化策略逻辑命题p0，处理后的数据结果如图3中的json结构，它描述了租户(即图3中的tenantid)与其所拥有的虚拟网络端口(即图3中的vportid)和vlan标识字段(即图3中的vlanid)的实例化取值。将iaas云平台中当前所有租户的实例化取值聚合构成了形式化策略逻辑命题p0涉及的所有主体对象的属性变量实例化取值和客体对象的属性变量实例化取值data0。
[0148]
5、将标准化结构的资产数据转换为策略逻辑实例化真命题。
[0149]
本示例中，针对形式化策略逻辑命题，对标准化结构的资产数据进行形式化逻辑抽象，转化为主体对象和客体对象的属性变量实例化取值，即策略逻辑实例化命题。
[0150]
例如，对于不同租户之间的虚拟端口资源相互隔离的策略逻辑命题p0，其涉及的
所有主体对象(即租户)和客体对象(即虚拟端口资源)的实例化取值data0可由如下逻辑表达式p0′
描述，其中，m为租户的个数：
[0151]
p0′
＝(tenantid1=10)^(vportid[tenantid1]=180)^...^(tenantidm=20)∧(vportid[tenantidm]=184)。
[0152]
6、根据策略逻辑实例化真命题和形式化策略逻辑命题验证云平台的安全态势是否满足云平台的安全合规策略。
[0153]
本示例中，将策略逻辑实例化真命题p
′0作为输入来推导证明形式化策略逻辑命题p0，即通过验证p
′0→
p0是否成立，以验证当前云平台的安全态势是否满足既定的安全合规策略。
[0154]
其中，证明方法为针对形式化策略逻辑命题p0，使用策略逻辑实例化真命题p
′0来进行约束求解，以推导该形式化策略逻辑命题p0是否成立，即p0′→
p0是否成立。
[0155]
在本示例中，针对不同租户之间虚拟端口资源隔离的形式化约束求解为p0′→
p0，即是要根据当前采集的所有租户的虚拟端口配置数据来验证是否满足不同租户之间虚拟网络资源相互隔离的规则。
[0156]
如果策略逻辑实例化真命题p
′0对应的属性变量实例化取值满足形式化策略逻辑命题p0，则验证结果为云平台的整体态势满足虚拟化资源隔离要求；如果策略逻辑实例化真命题p
′0对应的属性变量实例化取值不满形式化策略逻辑命题p0，则验证结果为云平台的整体态势不满足虚拟化资源隔离要求，记录不满足的具体安全合规策略和相关原始资产数据。
[0157]
7、根据验证云平台的安全态势是否满足云平台的安全合规策略得到的验证结果生成安全合规审计报告，显示安全合规审计报告；在安全合规审计报告中存在云平台的安全态势不满足安全合规策略的条目的情况下，进行安全事件响应处理例如，可以是显示告警提示、或漏洞分析治理等。
[0158]
本示例中，安全合规审计报告包括：策略逻辑实例化真命题、原始资产数据和采用策略逻辑实例化真命题验证得到的验证结果之间的对应关系。
[0159]
第二方面，本技术另一个实施例提供一种电子设备，包括：
[0160]
至少一个处理器；
[0161]
存储器，存储器上存储有至少一个程序，当至少一个程序被至少一个处理器执行时，实现上述任意一种安全合规策略检测方法。
[0162]
其中，处理器为具有数据处理能力的器件，其包括但不限于中央处理器(cpu)等；存储器为具有数据存储能力的器件，其包括但不限于随机存取存储器(ram，更具体如sdram、ddr等)、只读存储器(rom)、带电可擦可编程只读存储器(eeprom)、闪存(flash)。
[0163]
在一些实施例中，处理器、存储器通过总线相互连接，进而与计算设备的其它组件连接。
[0164]
第三方面，本技术另一个实施例提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述任意一种安全合规策略检测方法。
[0165]
图4为本技术另一个实施例提供的安全合规策略检测装置的组成框图。
[0166]
第四方面，参照图4，本技术另一个实施例提供一种安全合规策略检测装置，包括：
[0167]
采集模块401，用于采集云平台运行过程中的原始资产数据；其中，原始资产数据为安全合规策略对应的资产数据；
[0168]
验证模块402，用于根据原始资产数据验证云平台的安全态势是否满足云平台的安全合规策略。
[0169]
在一些示例性实施例中，验证模块402具体用于：
[0170]
对原始资产数据进行第一处理得到策略逻辑实例化真命题；其中，策略逻辑实例化真命题用于描述原始资产数据中的主体对象的属性变量实例化取值和客体对象的属性变量实例化取值；
[0171]
根据策略逻辑实例化真命题验证云平台的安全态势是否满足云平台的安全合规策略。
[0172]
在一些示例性实施例中，验证模块402具体用于采用以下方式实现根据策略逻辑实例化真命题验证云平台的安全态势是否满足云平台的安全合规策略：
[0173]
根据策略逻辑实例化真命题和形式化策略逻辑命题验证云平台的安全态势是否满足云平台的安全合规策略；其中，形式化策略逻辑命题用于描述云平台的安全合规策略对应的主体对象和客体对象之间可以存在的逻辑关系。
[0174]
在一些示例性实施例中，还包括：
[0175]
策略形式化模块403，用于将安全合规策略转换为形式化策略逻辑命题。
[0176]
在一些示例性实施例中，策略形式化模块403具体用于：
[0177]
根据预先建立的云平台访问控制能力基线模型将安全合规策略转换为形式化策略逻辑命题；其中，云平台访问控制能力基线模型用于描述云平台所涉及的主体对象和客体对象之间存在的固有的逻辑关系。
[0178]
在一些示例性实施例中，策略形式化模块403还用于：
[0179]
预先建立云平台访问控制能力基线模型。
[0180]
在一些示例性实施例中，策略形式化模块403具体用于采用以下方式实现预先建立云平台访问控制能力基线模型：
[0181]
根据云平台所提供的服务类型、云平台本身的逻辑架构与数据模型以及云平台所遵循的安全参考模型建立云平台访问控制能力基线模型。
[0182]
在一些示例性实施例中，验证模块402具体用于采用以下方式实现对原始资产数据进行第一处理得到策略逻辑实例化真命题：
[0183]
对原始资产数据进行第二处理得到标准化结构的资产数据；
[0184]
将标准化结构的资产数据转换为策略逻辑实例化真命题。
[0185]
在一些示例性实施例中，还包括：
[0186]
审计模块404，用于根据验证云平台的安全态势是否满足云平台的安全合规策略得到的验证结果生成安全合规审计报告。
[0187]
上述安全合规策略检测装置的具体实现过程与前述实施例的安全合规策略检测方法的具体实现过程相同，这里不再赘述。
[0188]
本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个
物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其它存储器技术、cd-rom、数字多功能盘(dvd)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储器、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据，并且可包括任何信息递送介质。
[0189]
本文已经公开了示例实施例，并且虽然采用了具体术语，但它们仅用于并仅应当被解释为一般说明性含义，并且不用于限制的目的。在一些实例中，对本领域技术人员显而易见的是，除非另外明确指出，否则可单独使用与特定实施例相结合描述的特征、特性和/或元素，或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此，本领域技术人员将理解，在不脱离由所附的权利要求阐明的本技术的范围的情况下，可进行各种形式和细节上的改变。