私有云作为云计算的一种部署模式,已经被越来越多的企业和政府单位所接受。私有云在给这些机构带来管理灵活、高效节能等优势的同时,也给系统的安全策略管理带来了挑战。私有云环境下,由于应用数量较多,安全策略管理复杂,因此需要结合私有云的资源管理特点,在遵循职责分离安全管理原则的基础上,对其安全策略的管理角色及职责进一步细化和完善。首先,通过分析私有云及其应用安全管理的特点,本文提出“基于应用主导的安全策略管理”的设计思想。将传统的“系统管理员、安全管理员和安全审计员”三员管理模式做进一步细化,将其中的安全管理员角色进一步细分为应用安全管理员角色和私有云平台安全管理员角色。其中,应用安全管理员负责各应用系统的安全策略管理,私有云平台安全管理员负责私有云基础设施的安全策略管理。其次,根据“基于应用主导的安全策略管理”的设计思想,本文提出私有云安全策略管理架构。该架构分为两层：安全策略控制层和安全策略解释层。在安全策略控制层,应用安全管理员根据机构总体安全目标制定各应用系统的安全策略,而安全审计员则对安全策略进行合规性检查,这层的操作由人工完成；在安全策略解释层,安全策略被细化为系统组件能够直接识别和执行的安全规则,这层的操作由系统自动完成。最后,根据私有云安全策略管理架构,本文设计和实现私有云安全策略管理原型系统,并通过原型系统对部署在私有云平台上的应用系统进行安全策略管理。本文的创新在于：(1)结合传统三员管理模式,提出“基于应用主导的安全策略管理”的设计思想,将安全管理员角色进一步细分为应用安全管理员角色和云平台安全管理员角色；(2)提出私有云安全策略管理架构,该架构分为上层安全策略控制层和下层安全策略解释层,其中安全策略控制层主要负责从机构的总体安全目标到各应用系统安全策略的制定,安全策略解释层主要负责将应用系统的安全策略细化为不同网络层次不同系统组件的安全规则；(3)针对安全策略解释层中存在的安全策略细化和安全策略冲突问题,尤其针对由于私有云的资源动态性而导致的问题,提出关联机制和高层替代的解决方法。