CN111859397A - 终端防护策略配置方法及装置 - Google Patents
终端防护策略配置方法及装置 Download PDFInfo
- Publication number
- CN111859397A CN111859397A CN202010714763.8A CN202010714763A CN111859397A CN 111859397 A CN111859397 A CN 111859397A CN 202010714763 A CN202010714763 A CN 202010714763A CN 111859397 A CN111859397 A CN 111859397A
- Authority
- CN
- China
- Prior art keywords
- strategy
- terminal host
- mark
- policy
- organization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,具体公开了一种终端防护策略配置方法,其中,包括:分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项;根据每项防护策略项设置当前终端主机对应的组织结构层级关系的策略,当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;根据预设策略合并规则合并当前终端主机对应的组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;将合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。本发明还公开了一种终端防护策略配置装置。本发明提供的终端防护策略配置方法配置灵活,能够实现对终端主机的有效防御。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种终端防护策略配置方法及一种终端防护策略配置装置。
背景技术
用户在体验互联网带来的各种便利和资源共享的同时也面临着网络威胁,如病毒、木马、勒索、黑客、甚至是成体制或专业团队的有计划和大规模攻击。从国家政治安全,企业生存安全,个人私、财产安全,网络安全越来越重要,受到空前的重视,但网络威胁也一直在不断变化,给安全带来很大挑战。有时候即使发现了威胁的存在,却没有解决办法。
站在防御的角度看,安全永远是防御不足,作为个体或一些企业,终端安全绝对不能忽视,终端渗透成功,就突破了***防线,内网就被暴露。
因此,如何能够从终端主机上对攻击进行阻断成为本领域技术人员亟待解决的技术问题。
发明内容
本发明提供了一种终端防护策略配置方法及一种终端防护策略配置装置,解决相关技术中存在的终端主机防护的问题。
作为本发明的第一个方面,提供一种终端防护策略配置方法,其中,包括:
分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项,所述组织结构层级关系包括组织机构、组织单元和终端主机,所述组织机构包括至少一个组织单元,每个所述组织单元包括至少一个终端主机,每个所述终端主机对应唯一的组织结构层级关系;
根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略,所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;
根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;
将所述合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。
进一步地,所述预设策略合并规则包括:根据组织机构和组织单元的标志状态定义的策略合并方式,其中所述标志状态包括无标志、应用标志和强制标志,所述应用标志的优先级大于所述无标志的优先级,所述强制标志的优先级大于所述应用标志的优先级。
进一步地,所述无标志表示在设置的当前值不同于默认值时,当前值将作为终端主机策略的默认值,且终端主机能够对该设置进行修改;
所述应用标志表示具有该标志的设置被应用到终端主机,且该设置在策略合并时能够被之后的策略覆盖;
所述强制标志表示在策略合并时不会被之后的策略覆盖。
进一步地,所述根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略,包括:
当所述组织机构的标志状态为无标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
当所述组织机构的标志状态为强制标志,且所述组织单元的标志状态为无标志或应用标志时,当前终端主机上的合并策略均为继承所述组织机构的策略。
进一步地,所述当前终端主机的终端防护策略为应用即时生效。
作为本发明的另一个方面,提供一种终端防护策略配置装置,其中,包括:
获取模块,用于分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项,所述组织结构层级关系包括组织机构、组织单元和终端主机,所述组织机构包括至少一个组织单元,每个所述组织单元包括至少一个终端主机,每个所述终端主机对应唯一的组织结构层级关系;
设置模块,用于根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略,所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;
策略合并模块,用于根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;
配置模块,用于将所述合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。
进一步地,所述预设策略合并规则包括:根据组织机构和组织单元的标志状态定义的策略合并方式,其中所述标志状态包括无标志、应用标志和强制标志,所述应用标志的优先级大于所述无标志的优先级,所述强制标志的优先级大于所述应用标志的优先级。
进一步地,所述无标志表示在设置的当前值不同于默认值时,当前值将作为终端主机策略的默认值,且终端主机能够对该设置进行修改;
所述应用标志表示具有该标志的设置被应用到终端主机,且该设置在策略合并时能够被之后的策略覆盖;
所述强制标志表示在策略合并时不会被之后的策略覆盖。
进一步地,所述策略合并模块包括:
第一合并单元,用于当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
第二合并单元,用于当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
第三合并单元,用于当所述组织机构的标志状态为强制标志,且所述组织单元的标志状态为无标志或应用标志时,当前终端主机上的合并策略均为继承所述组织机构的策略。
进一步地,所述当前终端主机的终端防护策略为应用即时生效。
本发明提供的终端防护策略配置方法,针对有相同设置的终端主机建立组织层级关系,实现对终端主机的防护策略的配置,这种终端防护策略配置方法配置灵活,且可以集中进行配置管理,从而能够实现对终端主机的有效防御,进而能够提高企业或个人的网络安全。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明提供的终端防护策略配置方法的流程图;
图2为本发明提供的终端防护策略继承关系示意图;
图3为本发明提供的具体实施方式的策略项示意图;
图4为本发明提供的具体实施方式的终端防护策略配置示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互结合。下面将参考附图并结合实施例来详细说明本发明。
为了使本领域技术人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包括,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本实施例中提供了一种终端防护策略配置方法,图1是根据本发明实施例提供的终端防护策略配置方法的流程图,如图1所示,包括:
S110、分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项,所述组织结构层级关系包括组织机构、组织单元和终端主机,所述组织机构包括至少一个组织单元,每个所述组织单元包括至少一个终端主机,每个所述终端主机对应唯一的组织结构层级关系;
具体地,所述组织结构层级关系中的组织机构、组织单元和终端主机之间的策略是存在继承关系的,即所述终端主机可以继承组织单元的策略,也可以继承组织机构的策略。
在一些实施方式中,所述组织机构层级关系可以通过组织机构层级树来体现,例如,
其中,‘公司’,‘分公司’,‘部门’称之为组织机构节点,‘windows操作站主机管理组’、‘linux操作站主机安全组’称之为终端组织单元节点,‘OPS_001_windows’、‘OPS_001_Linux_windows’称为终端主机节点;所有的终端主机都挂在组织机构树的终端组织单元下面。
S120、根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略,所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;
具体地,终端防护策略是针对终端主机上所有设置的组合,组织机构、组织单元、终端主机这些对象都能设置策略,有且仅有一个策略,分别称为:组织机构策略、组织单元策略、终端主机策略;
S130、根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;
具体地,组织机构、组织单元、终端主机策略之间是有继承关系的,各个策略项合并后形成最终的终端主机策略,在终端主机上“应用”后生效。
S140、将所述合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。
本发明实施例提供的终端防护策略配置方法,针对有相同设置的终端主机建立组织层级关系,实现对终端主机的防护策略的配置,这种终端防护策略配置方法配置灵活,且可以集中进行配置管理,从而能够实现对终端主机的有效防御,进而能够提高企业或个人的网络安全。
具体地,所述预设策略合并规则包括:根据组织机构和组织单元的标志状态定义的策略合并方式,其中所述标志状态包括无标志、应用标志和强制标志,所述应用标志的优先级大于所述无标志的优先级,所述强制标志的优先级大于所述应用标志的优先级。
具体地,所述无标志表示在设置的当前值不同于默认值时,当前值将作为终端主机策略的默认值,且终端主机能够对该设置进行修改;
所述应用标志表示具有该标志的设置被应用到终端主机,且该设置在策略合并时能够被之后的策略覆盖;
所述强制标志表示在策略合并时不会被之后的策略覆盖。
应当理解的是,组织机构、组织单元策略通过为每一个策略项设置标志,来决定在终端主机策略上如何合并策略。标志状态包括三种情况,分别为无标志、应用标志和强制标志。
(1)无标志,具有以下特性:若设置的当前值不同于默认值时,此当前值将作为终端主机策略的默认值;终端主机上仍能够对此设置进行修改。
(2)应用标志,具有以下特性:具有此标志的设置将应用到终端主机。当合并策略时,它可能会被之后的策略覆盖;当将策略应用到终端主机并且特定设置具有此标志时,该设置将发生更改,终端主机上不可更改此设置。由于此设置不是强制执行的,因此它以后可能会被其他策略更改。
(3)强制标志,具有以下特性:带有“强制”标志的设置具有高优先级,并且无法被以后的策略覆,这确保了此设置不会在合并期间被以后的策略更改。
具体地,所述根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略,包括:
当所述组织机构的标志状态为无标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
当所述组织机构的标志状态为强制标志,且所述组织单元的标志状态为无标志或应用标志时,当前终端主机上的合并策略均为继承所述组织机构的策略。
由于终端主机位于由组织层级定义的深层嵌套组中,因此终端主机将继承来自父级(组织机构、组织单元)上设置的策略,每个终端主机都有一个唯一的组织层级定义,表现为:“组织机构层级”+“组织单元”+“终端主机”,依上述顺序合并策略,即确定策略中每一个设置。在合并策略时,默认原则是后面的设置始终替换由前面的设置。若要更改此行为,可以设置其标志(适用于每个设置)。最终得到一份包含所有合并后设置的策略,应用到终端主机上执行。
如图2所示,标题从左到右的顺序为各个层级的策略,每一行从左到右的顺序为每个策略中的策略项,最后一列为合并策略项结果。DESKTOP-SLKJFD表示终端主机。
如图3所示,为一具体实施方式中的策略项示意图。
在该实施方式中,一个集团下会有很多部门,比如研发部,工程部,实施部等等。
——集团
————工程部
——————工程部一部门
——————工程部二部门
————研发部
——————研发部一部门
——————研发部一部门
————实施部
每个层级针对工作都会有相应的规定,如图2所示。
图3为集团默认规定,工作人员禁止访问移动存储设备,U盘等,由于设置项比较多,以其中“禁止访问移动存储设备”来举例说明。
如图3和图4所示,集团设置的值默认都是开启状态,可以理解为集团建议使用该值。
工程部针对该策略项设置标志为“应用”,工程部一部门由于工作需要关闭该策略项,对该策略项也设置标志为“应用”,当同一树下针对同一个策略项都设置“应用”,那最终结果采用员工距离最近的所属部门,也就是说工程部一部门下的员工针对该策略项最终继承工程部一部门所属策略项也就是关闭状态。而工程二部门标志设置为“强制“,强制的标志优先级>应用,所以最终工程部二部门的员工继承二部门所属的策略项也就是关闭状态。
研发部针对该策略项设置标志为“强制”,强制标识优先级>应用,所以下面研发部一二部门无论如何设置(包括设置标志)研发部一二部门最终值都继承研发部也就是开启状态。
需要说明的是,所述当前终端主机的终端防护策略为应用即时生效。
当查看终端主机的终端防护策略时,即是最终应用到终端主机上的所有设置。当为某终端主机设置策略时,就只有该终端主机能够使用。
与现有技术相比,本发明实施例提供的终端防护策略配置方法,基于组织结构层级关系,能够更加灵活的配置终端防护了,针对有相同设置的终端主机建立组织层级关系更加快捷方法,且支持在终端主机策略的每个策略项进行独有的修改。
作为本发明的另一实施例,提供一种终端防护策略配置装置,其中,包括:
获取模块,用于分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项,所述组织结构层级关系包括组织机构、组织单元和终端主机,所述组织机构包括至少一个组织单元,每个所述组织单元包括至少一个终端主机,每个所述终端主机对应唯一的组织结构层级关系;
设置模块,用于根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略,所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;
策略合并模块,用于根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;
配置模块,用于将所述合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。
本发明实施例提供的终端防护策略配置装置,针对有相同设置的终端主机建立组织层级关系,实现对终端主机的防护策略的配置,这种终端防护策略配置装置配置灵活,且可以集中进行配置管理,从而能够实现对终端主机的有效防御,进而能够提高企业或个人的网络安全。
具体地,所述预设策略合并规则包括:根据组织机构和组织单元的标志状态定义的策略合并方式,其中所述标志状态包括无标志、应用标志和强制标志,所述应用标志的优先级大于所述无标志的优先级,所述强制标志的优先级大于所述应用标志的优先级。
具体地,所述无标志表示在设置的当前值不同于默认值时,当前值将作为终端主机策略的默认值,且终端主机能够对该设置进行修改;
所述应用标志表示具有该标志的设置被应用到终端主机,且该设置在策略合并时能够被之后的策略覆盖;
所述强制标志表示在策略合并时不会被之后的策略覆盖。
具体地,所述策略合并模块包括:
第一合并单元,用于当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
第二合并单元,用于当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
第三合并单元,用于当所述组织机构的标志状态为强制标志,且所述组织单元的标志状态为无标志或应用标志时,当前终端主机上的合并策略均为继承所述组织机构的策略。
关于本发明实施例提供的终端防护策略配置装置的具体实施过程可以参照前文的终端防护策略配置方法的描述,此处不再赘述。
综上所述,本发明提供的终端防护策略配置方法,针对有相同设置的终端主机建立组织层级关系,实现对终端主机的防护策略的配置,这种终端防护策略配置方法配置灵活,且可以集中进行配置管理,从而能够实现对终端主机的有效防御,进而能够提高企业或个人的网络安全。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是说,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
所述功能如果以软件功能设备的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种终端防护策略配置方法,其特征在于,包括:
分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项,所述组织结构层级关系包括组织机构、组织单元和终端主机,所述组织机构包括至少一个组织单元,每个所述组织单元包括至少一个终端主机,每个所述终端主机对应唯一的组织结构层级关系;
根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略,所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;
根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;
将所述合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。
2.根据权利要求1所述的终端防护策略配置方法,其特征在于,所述预设策略合并规则包括:根据组织机构和组织单元的标志状态定义的策略合并方式,其中所述标志状态包括无标志、应用标志和强制标志,所述应用标志的优先级大于所述无标志的优先级,所述强制标志的优先级大于所述应用标志的优先级。
3.根据权利要求2所述的终端防护策略配置方法,其特征在于,所述无标志表示在设置的当前值不同于默认值时,当前值将作为终端主机策略的默认值,且终端主机能够对该设置进行修改;
所述应用标志表示具有该标志的设置被应用到终端主机,且该设置在策略合并时能够被之后的策略覆盖;
所述强制标志表示在策略合并时不会被之后的策略覆盖。
4.根据权利要求3所述的终端防护策略配置方法,其特征在于,所述根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略,包括:
当所述组织机构的标志状态为无标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
当所述组织机构的标志状态为强制标志,且所述组织单元的标志状态为无标志或应用标志时,当前终端主机上的合并策略均为继承所述组织机构的策略。
5.根据权利要求1所述的终端防护策略配置方法,其特征在于,所述当前终端主机的终端防护策略为应用即时生效。
6.一种终端防护策略配置装置,其特征在于,包括:
获取模块,用于分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项,所述组织结构层级关系包括组织机构、组织单元和终端主机,所述组织机构包括至少一个组织单元,每个所述组织单元包括至少一个终端主机,每个所述终端主机对应唯一的组织结构层级关系;
设置模块,用于根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略,所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略;
策略合并模块,用于根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略,得到合并策略;
配置模块,用于将所述合并策略配置到当前终端主机,得到当前终端主机的终端防护策略。
7.根据权利要求6所述的终端防护策略配置装置,其特征在于,所述预设策略合并规则包括:根据组织机构和组织单元的标志状态定义的策略合并方式,其中所述标志状态包括无标志、应用标志和强制标志,所述应用标志的优先级大于所述无标志的优先级,所述强制标志的优先级大于所述应用标志的优先级。
8.根据权利要求7所述的终端防护策略配置装置,其特征在于,所述无标志表示在设置的当前值不同于默认值时,当前值将作为终端主机策略的默认值,且终端主机能够对该设置进行修改;
所述应用标志表示具有该标志的设置被应用到终端主机,且该设置在策略合并时能够被之后的策略覆盖;
所述强制标志表示在策略合并时不会被之后的策略覆盖。
9.根据权利要求8所述的终端防护策略配置装置,其特征在于,所述策略合并模块包括:
第一合并单元,用于当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
第二合并单元,用于当所述组织机构的标志状态为应用标志,且所述组织单元的标志状态为应用标志或强制标志时,当前终端主机上的合并策略均为继承所述组织单元的策略;
第三合并单元,用于当所述组织机构的标志状态为强制标志,且所述组织单元的标志状态为无标志或应用标志时,当前终端主机上的合并策略均为继承所述组织机构的策略。
10.根据权利要求6所述的终端防护策略配置装置,其特征在于,所述当前终端主机的终端防护策略为应用即时生效。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010714763.8A CN111859397A (zh) | 2020-07-23 | 2020-07-23 | 终端防护策略配置方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010714763.8A CN111859397A (zh) | 2020-07-23 | 2020-07-23 | 终端防护策略配置方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111859397A true CN111859397A (zh) | 2020-10-30 |
Family
ID=72949720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010714763.8A Pending CN111859397A (zh) | 2020-07-23 | 2020-07-23 | 终端防护策略配置方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111859397A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114500000A (zh) * | 2021-12-31 | 2022-05-13 | 奇安信科技集团股份有限公司 | 策略配置合并方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
WO2010003322A1 (zh) * | 2008-07-07 | 2010-01-14 | 成都市华为赛门铁克科技有限公司 | 终端访问的控制方法、***和设备 |
CN105516081A (zh) * | 2015-11-25 | 2016-04-20 | 浪潮电子信息产业股份有限公司 | 一种服务器下发安全策略的方法、***及消息队列中间件 |
CN108809680A (zh) * | 2017-05-04 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 一种设备管理的方法及设备 |
CN109858286A (zh) * | 2018-12-07 | 2019-06-07 | 赵耘田 | 针对可信计算平台的安全策略管理*** |
CN110224977A (zh) * | 2019-04-30 | 2019-09-10 | 南瑞集团有限公司 | 一种协同防御策略冲突消解方法及*** |
CN110636030A (zh) * | 2018-06-21 | 2019-12-31 | 全球能源互联网研究院有限公司 | 一种电力移动终端的层次化安全管控方法及*** |
-
2020
- 2020-07-23 CN CN202010714763.8A patent/CN111859397A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
WO2010003322A1 (zh) * | 2008-07-07 | 2010-01-14 | 成都市华为赛门铁克科技有限公司 | 终端访问的控制方法、***和设备 |
CN105516081A (zh) * | 2015-11-25 | 2016-04-20 | 浪潮电子信息产业股份有限公司 | 一种服务器下发安全策略的方法、***及消息队列中间件 |
CN108809680A (zh) * | 2017-05-04 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 一种设备管理的方法及设备 |
CN110636030A (zh) * | 2018-06-21 | 2019-12-31 | 全球能源互联网研究院有限公司 | 一种电力移动终端的层次化安全管控方法及*** |
CN109858286A (zh) * | 2018-12-07 | 2019-06-07 | 赵耘田 | 针对可信计算平台的安全策略管理*** |
CN110224977A (zh) * | 2019-04-30 | 2019-09-10 | 南瑞集团有限公司 | 一种协同防御策略冲突消解方法及*** |
Non-Patent Citations (1)
Title |
---|
张涛等: "《电力信息网络安全》", 31 March 2016 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114500000A (zh) * | 2021-12-31 | 2022-05-13 | 奇安信科技集团股份有限公司 | 策略配置合并方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11516251B2 (en) | File resharing management | |
US8839354B2 (en) | Mobile enterprise server and client device interaction | |
DE69522460T2 (de) | System und verfahren zur erzeugung gesicherter internetzwerkdienste | |
WO2006115595A2 (en) | System, method and computer program product for applying electronic policies | |
DE60102555T2 (de) | Verhinderung der map-aktivierten modulmaskeradeangriffe | |
DE102016222034A1 (de) | Dynamische Kennworterzeugung | |
US20150121461A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
US20080034402A1 (en) | Methods, systems, and computer program products for implementing policy-based security control functions | |
EP1933264A1 (en) | Policy enforcement via attestations | |
WO2006070353A2 (en) | Method and system for securely identifying computer storage devices | |
DE102011077218B4 (de) | Zugriff auf in einer Cloud gespeicherte Daten | |
EP2575070B1 (en) | Classification-based digital rights management | |
CN106034054A (zh) | 冗余访问控制列表acl规则文件检测方法和装置 | |
US20090254967A1 (en) | Virtual private networks (vpn) access based on client workstation security compliance | |
DE102020112592A1 (de) | Anwendungsverhaltensbezogene Fingerabdrücke | |
CN111859397A (zh) | 终端防护策略配置方法及装置 | |
US20130024943A1 (en) | System, method, and computer program product for securing data on a server based on a heuristic analysis | |
DE102015208665A1 (de) | Verfahren und System zum Implementieren eines sicheren Sperrbildschirms | |
US20100146070A1 (en) | Filtering transferred data | |
Vuorinen et al. | Paradoxes in information security | |
DE112021004115T5 (de) | Sicherheitssystem für eine Segmentierung von Computerdatei-Metadaten | |
EP3834110B1 (en) | Global sign-out on shared devices | |
US11063951B1 (en) | Systems and methods for correcting file system permissions | |
Heaney et al. | Information assurance for enterprise engineering | |
Grillenmeier | Improving your Active Directory security posture: AdminSDHolder to the rescue |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201030 |