CN114500000A - 策略配置合并方法及装置 - Google Patents
策略配置合并方法及装置 Download PDFInfo
- Publication number
- CN114500000A CN114500000A CN202111670371.7A CN202111670371A CN114500000A CN 114500000 A CN114500000 A CN 114500000A CN 202111670371 A CN202111670371 A CN 202111670371A CN 114500000 A CN114500000 A CN 114500000A
- Authority
- CN
- China
- Prior art keywords
- strategy
- merged
- target
- policy
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012163 sequencing technique Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种策略配置合并方法及装置,该方法包括:获取目标对象所能够继承的待合并策略集合;根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。本申请提供策略配置合并方法及装置,用于解决终端的安全策略可能存在冲突的问题。
Description
技术领域
本申请涉及终端安全技术领域,尤其涉及一种策略配置合并方法及装置。
背景技术
用户在体验互联网带来的各种便利和资源共享的同时也面临着网络威胁,如病毒、木马、勒索、黑客、甚至是成体制或专业团队的有计划和大规模攻击。因此,网络安全越来越重要,但网络威胁也一直在不断变化,给安全带来很大挑战。企业内网中运行的终端,是攻击内网的主要突破口,终端被渗透成功,就突破了***防线,内网就被暴露。
在相关技术中,可以为终端配置安全策略,以提高终端的安全性。然而,由于网络结构的复杂性,包含了多个层级,且不同层级配置的安全策略也可能不同,进而导致终端最终接收到的安全策略存在冲突的可能。
发明内容
本申请的目的是提供一种策略配置合并方法及装置,用于解决终端的安全策略可能存在冲突的问题。
本申请提供一种策略配置合并方法,包括:
获取目标对象所能够继承的待合并策略集合;根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
可选地,所述获取目标对象所能够继承的待合并策略集合,包括:获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略;基于每个节点对应的待合并策略,生成所述待合并策略集合;其中,所述分组树用于指示所述目标对象所属网络的各个层级之间的关系;所述分组树中父节点的强策略的优先级高于子节点的强策略的优先级;所述分组树中父节点的弱策略的优先级低于子节点的弱策略的优先级;按照策略的继承顺序,所述目标对象所在节点位于所述目标路径的终点。
可选地,所述根据所述待合并策略集合所包含策略的优先级,合并所述待合并策略,并得到目标策略集合,包括:初始化目标策略集合;按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略。
可选地,所述按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略,包括:在所述目标策略集合中与目标待合并策略对应的目标策略为空值的情况下,按照所述目标待合并策略的配置内容配置所述目标策略;或者,在所述目标策略不为空值的情况下,忽略所述目标待合并策略;或者,在所述目标策略中未包括与所述目标待合并策略对应的策略的情况下,忽略所述目标待合并策略;其中,所述目标待合并策略为所述待合并策略中的任一策略。
可选地,所述目标路径上的目标节点包括:普通分组和自定义分组;所述自定义分组的强策略的优先级高于所述普通分组的强策略的优先级;所述自定义分组的弱策略的优先级高于所述普通分组的弱策略的优先级;所述获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略,包括:将所述自定义分组作为所述目标节点的子节点加入所述目标路径;获取所述目标路径上每个节点对应的待合并策略。
本申请还提供一种策略配置合并装置,包括:
获取模块,用于获取目标对象所能够继承的待合并策略集合;合并模块,用于根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;配置模块,用于按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
可选地,所述装置还包括:生成模块;所述获取模块,具体用于获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略;所述生成模块,用于基于每个节点对应的待合并策略,生成所述待合并策略集合;其中,所述分组树用于指示所述目标对象所属网络的各个层级之间的关系;所述分组树中父节点的强策略的优先级高于子节点的强策略的优先级;所述分组树中父节点的弱策略的优先级低于子节点的弱策略的优先级;按照策略的继承顺序,所述目标对象所在节点位于所述目标路径的终点。
可选地,所述装置还包括:初始化模块;所述初始化模块,用于初始化目标策略集合;所述合并模块,具体用于按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略。
可选地,所述合并模块,具体用于在所述目标策略集合中与目标待合并策略对应的目标策略为空值的情况下,按照所述目标待合并策略的配置内容配置所述目标策略;或者,所述合并模块,具体还用于在所述目标策略不为空值的情况下,忽略所述目标待合并策略;或者,所述合并模块,具体还用于在所述目标策略中未包括与所述目标待合并策略对应的策略的情况下,忽略所述目标待合并策略;其中,所述目标待合并策略为所述待合并策略中的任一策略。
可选地,所述装置还包括:调整模块;所述目标路径上的目标节点包括:普通分组和自定义分组;所述自定义分组的强策略的优先级高于所述普通分组的强策略的优先级;所述自定义分组的弱策略的优先级高于所述普通分组的弱策略的优先级;所述调整,用于将所述自定义分组作为所述目标节点的子节点加入所述目标路径;所述获取模块,具体用于获取所述目标路径上每个节点对应的待合并策略。
本申请还提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现如上述任一种所述策略配置合并方法的步骤。
本申请还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述策略配置合并方法的步骤。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述策略配置合并方法的步骤。
本申请提供的策略配置合并方法及装置,在为终端进行安全策略的配置时,首先获取目标对象所能够继承的待合并策略实体。之后,根据所述待合并策略实体所包含策略的优先级,合并所述待合并策略实体,并得到目标策略集合实体。最后,按照所述目标策略集合实体所包含的策略,配置所述目标对象。进而避免各个层级的安全策略配置在对终端进行安全策略配置时产生冲突的可能。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的策略配置合并方法的流程示意图之一;
图2是本申请提供的策略配置合并方法的流程示意图之二;
图3是本申请提供的策略配置合并方法的流程示意图之三;
图4是本申请提供的策略配置合并装置的结构示意图;
图5是本申请提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
在相关技术中,为内网环境中的终端配置安全策略,以提高终端的安全性,已经成为保护内网网络安全的重要手段。然而,由于网络结构的复杂性,包含了多个层级,且不同层级配置的安全策略也可能不同,进而导致终端最终接收到的安全策略存在冲突的可能。
在服务端进行策略配置并下发后,由于网络结构的复杂性,很难预估终端最终会收到怎样的安全策略。其中,涉及分组树,分组树以树形结构存在,一棵分组树按照层级挂接有多个分组节点,每个节点都可以配置有策略实体,一个策略实体又包含多个策略配置项,很容易出现配置冲突的情况。
对于复杂网略环境下,容易出现策略配置冲突的问题,本申请实施例提供了一种策略配置合并方法,可以将各个层级的配置进行合并,避免冲突的情况发生。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的策略配置合并方法进行详细地说明。
如图1所示,本申请实施例提供的一种策略配置合并方法,该方法可以包括下述步骤101至步骤103:
步骤101、获取目标对象所能够继承的待合并策略集合。
示例性地,本申请实施例可以应用于基于服务器-客户端(Client-Server,C/S)架构的多终端策略配置场景,上述目标对象可以为上述C/S架构中的客户端。
示例性地,服务器可以为目标对象所处层级的网络设备设置单独的安全策略,同样的,也可以为目标对象所处层级的父级的网络设备设置单独的安全策略。目标对象会继承所有上级网络的安全策略。
示例性地,服务器可以为每个层级的网络设备设置至少一个策略实体,每个策略实体所包含的策略配置项是相同的,不同层级的策略实体所包含的策略配置项也是相同的,区别在于不同策略实体的策略配置项的配置可能存在差异。
需要说明的是,上述策略实体包含基础信息(包括业务类型、强弱类型、排序、名称等),排序与强弱是两个数据,但又有一定的关联性,强策略优先级一定比弱策略高,但两个强策略之间的优先级需要通过排序来比较决定;以及策略配置项的集合,一个策略实体,可以包含至少一个策略配置项。
上述策略配置项可以以<key,value>键值对形式存在。策略配置项通过策略schema进行定义。策略配置项区分用户策略和终端策略,或者某配置项既可用于终端策略又可用于用户策略。需要说明的是,若目标终端上登录有目标账户,则根据用户策略的优先级大于终端策略的优先级的原则,登录有目标账户的目标终端的安全策略为目标账户的安全策略。
上述策略schema用于对策略配置项的格式及数据类型等进行约束及规范,schema描述了某策略配置项所属的业务、数据类型、合并方式,配置项可用类型等。
步骤102、根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合。
其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
示例性地,由于不同的策略实体的优先级不同,策略实体中所包含的相同策略的优先级也不相同。在获取到目标对象所能继承的所有策略实体后,可以根据不同策略实体的优先级,对同一策略的不同配置进行优先级排序,并将优先级最高的配置作为目标对象的该策略的配置。
举例说明,服务器为目标对象所在层级的网络设备分配的策略1的配置为配置1,服务器为目标对象的父级的网络设备分配的策略1的配置为配置2,服务器为目标对象的祖父级的网络设备分配的策略1的配置为配置3,那么,上述配置1、配置2、配置3都将作为目标对象的策略1的候选配置。由于配置3的优先级高于配置2,配置2的优先级高于配置1,因此,最终目标对象的策略1的配置为配置3。
示例性地,在服务器为每个层级的网络设备分配多个策略实体的情况下,可以将策略实体分为强策略实体和弱策略实体,强策略实体所包含的策略为强策略;弱策略实体所包含的策略为弱策略。
示例性地,通过对同一层级的不同策略实体设置强弱优先级,可以使得不同策略实体共同作用于同一对象,且不会出现配置冲突的情况。
针对同一层级设置的强策略和弱策略,强策略的优先级高于弱策略。针对不同层级设置的强策略和弱策略,上级的强策略的优先级高于下级强策略的优先级,上级弱策略的优先级低于下级弱策略的优先级。强弱属性的策略实体共同作用于同一对象,不仅可以方便管理员在不同的策略之间进行切换,还不会出现策略冲突的情况。
步骤103、按照所述目标策略集合所包含的策略,配置所述目标对象。
示例性地,在对上述获取到的所有待合并策略进行优先级排序后,分别将每个策略优先级最高的配置作为目标对象对应策略的配置。
如此,在为目标对象进行安全策略的配置时,首先获取目标对象所能够继承的待合并策略实体。之后,根据所述待合并策略实体所包含策略的优先级,合并所述待合并策略实体,并得到目标策略集合实体。最后,按照所述目标策略集合实体所包含的策略,配置所述目标对象。进而避免各个层级的安全策略配置在对终端进行安全策略配置时产生冲突的可能。
可选地,在本申请实施例中,可以基于上述网络架构构建分组树,并通过分组树获取到目标对象所在路径上所有节点对应的安全策略。
示例性地,上述步骤101,可以包括以下步骤101a1和步骤101a2:
步骤101a、获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略。
步骤101a2、基于每个节点对应的待合并策略,生成所述待合并策略集合。
其中,所述分组树用于指示所述目标对象所属网络的各个层级之间的关系;所述分组树中父节点的强策略的优先级高于子节点的强策略的优先级;所述分组树中父节点的弱策略的优先级低于子节点的弱策略的优先级;按照策略的继承顺序,所述目标对象所在节点位于所述目标路径的终点。
需要说明的是,针对任一策略项,在上述待合并策略集合中,均有与上述目标路径的节点数量(不包括根节点)相同的策略数量。例如,上述目标路径中除根节点外还包括3个节点,针对策略1,在上述待合并策略集合中,有该策略1对应的三个策略1的配置。
示例性地,在上述目标对象为上述分组树中的任一子节点的网络设备的情况下,可以通过该分组树,获取到目标对象在分组树中的目标路径。即与目标对象存在关联关系的所有上级节点,以及对应的安全策略。
示例性地,基于上述对强策略和弱策略的描述,在该分组树中,父节点的强策略的优先级高于子节点的强策略的优先级;父节点的弱策略的优先级低于子节点的弱策略的优先级。
举例说明,如图2所示,为基于网络架构得到的分组树,其中,Root节点为服务器,分组P1包括三个终端,分别为C1、C2、C3;分组P2包括三个终端,分别为C4、C5、C6。服务器可以为分组P1和分组P2配置不同的安全策略,为分组P1配置的安全策略可以被C1、C2和C3所继承。通过该分组树,可以很容易获取到终端C3在该分组树中的路径(图2中粗线部分),并获取到每个节点对应的安全策略。
如此,基于网络架构构建的分组树,不仅能够快速的确定与目标对象存在关联关系的所有上级节点,还能够快速获取到每个上级节点对应的安全策略。
进一步地,在本申请实施例中,在合并上述获取到的待合并策略之前,需要初始化一个策略实体,之后,将上述待合并策略按照优先级,为该策略实体中对应的策略进行配置。
示例性地,上述步骤102,可以包括以下步骤102a1和步骤102a2:
步骤102a1、初始化目标策略集合。
步骤102a2、按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略。
示例性地,在初始化目标策略集合后,针对该目标策略集合中的任一目标策略,可以将上述待合并策略集合中所有与该目标策略对应的待合并策略进行优先级排序,并将优先级最高的待合并策略的配置内容作为该目标策略的配置。
进一步地,上述步骤102a2可以包括以下步骤102a21、步骤102a22或者步骤102a23:
步骤102a21、在所述目标策略集合中与目标待合并策略对应的目标策略为空值的情况下,按照所述目标待合并策略的配置内容配置所述目标策略。
步骤102a22、在所述目标策略不为空值的情况下,忽略所述目标待合并策略。
步骤102a23、在所述目标策略中未包括与所述目标待合并策略对应的策略的情况下,忽略所述目标待合并策略。
其中,所述目标待合并策略为所述待合并策略中的任一策略。
可以理解的是,由于不同节点对应的策略,并不会对所有配置项进行配置。因此,需要遍历所有节点对应的策略,若所有节点对应的策略中均未对某个配置项进行配置,则该配置项最终为空值。若优先级高的策略已经对某个配置项进行了配置,则可以忽略后续左右针对该配置项的配置。
举例说明,以map类型的容器dst作为保存策略配置项的容器,遍历上述按照优先级排序后的待合并策略:(1)遍历目标对象的当前策略实体包含的所有策略配置项<k,v>,重复下面提到的步骤;(2)v值为空,跳过该k,到下一个k;(3)检查该k是否在当前进行的策略合并的业务的schema中,若schema中不存在该k,说明该k不合法,跳过,到下一个k;(4)检查dst中是否存在该k,若不存在,将这对<k,v>直接添加进dst;(5)若dst中已存在相同的k,暂称为dk,对应的值称为dv,当检查后发现该k对应的v与dv类型不一致,则跳过,到下一个k。(因为一旦确定了策略配置项的类型后是不允许后期再进行更改的,因此出现后直接抛弃非法k);(6)进行到现在,情况是dst中有一个与当前k一样的dk,接下来检查该k在schema定义时已经确定好的数据类型,如果数据类型不是容器类型(即List、或者Map类型),则直接跳过到下一个k。(因为非容器类型表示该k的值只能有一个,而现在遍历的数据在前面的步骤已经按照优先级由高到低排好序了,前面优先级较高,因此后面再出现相同的k,直接跳过)如果是容器类型,继续下一步骤;(7)获取schema里该k关于合并方式的定义,若为覆盖类型,则跳过进行下一个k;若为追加类型,则将该k对应的v追加进dst中该k对应的值中。遍历完所有策略实体后,得到的dst会包含要的所有<k,v>键值对,即策略合并的最终结果。至此,策略合并完成,终端最终接收到的策略就是dst中的值。
可选地,在本申请实施例中,管理员可能在某个目标分组中单独划分了几个网络设备,并单独为其设置了安全策略,且由于该单独划分的网络设备在上述分组树中依然属于上述目标分组中的网络设备,因此,对于此类情况,可以在逻辑上将其划分为目标分组的子级。
示例性地,上述标路径上的目标节点包括:普通分组和自定义分组;所述自定义分组的强策略的优先级高于所述普通分组的强策略的优先级;所述自定义分组的弱策略的优先级高于所述普通分组的弱策略的优先级。
示例性地,上述步骤101a1,可以包括以下步骤101a11和步骤101a12:
步骤102a11、将所述自定义分组作为所述目标节点的子节点加入所述目标路径。
步骤102a12、获取所述目标路径上每个节点对应的待合并策略。
示例性地,在将上述自定义分组作为目标节点的子节点重新生成分组树后,再获取上述目标路径上每个节点对应的待合并策略。之后,对获取到的待合并策略进行优先级排序,并在合并后,得到目标策略集合。
举例说明,结合图2,如图3所示,若将分组P1中的终端C3划分到自定义分组P3中,此时,由于终端C3在该分组树中依然属于分组P1中的设备,因此,按照C3在分组树中的路径获取的路径上各个节点对应的策略,是无法获取到服务器为该分组P3配置的策略的。此时,需要将分组P3加入作为分组P1的子节点加入该分组树中,并进行后续的操作。
需要说明的是,一个终端有且必须只能隶属于一个普通分组下,但是可以属于多个筛选器(自定义分组)。一个分组上可以有多个终端。分组表示一个范围,在某个分组上配置策略,表示属于这个范围内的终端都会受到相应的影响。
自定义分组也表示一个范围,可以在自定义分组上配置策略,属于该范围的终端会受到影响。与普通分组不同的地方是,终端可以同时隶属于多个筛选器分组,且当自定义分组与普通分组发生“冲突”时,自定义分组优先级更高。
对于自定义分组存在的意义。举例来说:有公司A,下设行政部B1、技术部B2、市场部B3。A相当于根分组,B1,B2,B3是普通分组,服务器可以只给A下发策略,那么A公司所有终端都会受到影响,也可以只给B1下发策略,相应的,只有行政部的终端会受到影响。
若只为行政部的某些终端,而不是全部终端下发策略,则新建分组来包含这些终端是无法实现的,一个终端只能隶属于一个普通分组且这些终端是属于行政部的,不属于其他部门,不能在A公司的终端分组树上新建一个分组,这在公司架构上也不合理。在此基础上引入了筛选器,即自定义分组。可以在B1下添加自定义分组S1,用来筛选出部分终端,给这一部分终端下发策略。
具体地,结合图3,对于获取自定义分组P3的具体方式,可以获取终端C3关联的所有分组的基本信息(meta),包括:普通分组和自定义分组。之后,构建终端所在的子节点,可以遍历上述目标路径中第一个节点的节点身份标识号(Identity document,ID)id1,并将该节点ID与上述C3的基本信息中的父节点ID进行比对,得到父节点ID为id1的基本信息,并将该基本信息记录到ID为id1的普通分组的筛选器子节点结合中,进而得到新的分组树。
本申请实施例提供的策略配置合并方法,当服务器下发安全策略后,终端基于所处网络的分组树,得到所述的目标路径,并获取目标路径上每个节点对应的安全策略。之后,将获取到的安全策略,按照优先级进行排序后,合并为目标策略集合。最后,使用该目标策略集合中的策略作为目标对象的安全策略。本申请中的配置策略合并方法,可以基本上避免策略冲突的情况出现。
需要说明的是,本申请实施例提供的策略配置合并方法,执行主体可以为策略配置合并装置,或者该策略配置合并装置中的用于执行策略配置合并方法的控制模块。本申请实施例中以策略配置合并装置执行策略配置合并方法为例,说明本申请实施例提供的策略配置合并装置。
需要说明的是,本申请实施例中,上述各个方法附图所示的。策略配置合并方法均是以结合本申请实施例中的一个附图为例示例性的说明的。具体实现时,上述各个方法附图所示的策略配置合并方法还可以结合上述实施例中示意的其它可以结合的任意附图实现,此处不再赘述。
下面对本申请提供的策略配置合并装置进行描述,下文描述的与上文描述的策略配置合并方法可相互对应参照。
图4为本申请一实施例提供的策略配置合并装置的结构会示意图,如图4所示,具体包括:获取模块401,用于获取目标对象所能够继承的待合并策略集合;合并模块402,用于根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;配置模块403,用于按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
可选地,所述装置还包括:生成模块;所述获取模块401,具体用于获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略;所述生成模块,用于基于每个节点对应的待合并策略,生成所述待合并策略集合;其中,所述分组树用于指示所述目标对象所属网络的各个层级之间的关系;所述分组树中父节点的强策略的优先级高于子节点的强策略的优先级;所述分组树中父节点的弱策略的优先级低于子节点的弱策略的优先级;按照策略的继承顺序,所述目标对象所在节点位于所述目标路径的终点。
可选地,所述装置还包括:初始化模块;所述初始化模块,用于初始化目标策略集合;所述合并模块402,具体用于按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略。
可选地,所述合并模块402,具体用于在所述目标策略集合中与目标待合并策略对应的目标策略为空值的情况下,按照所述目标待合并策略的配置内容配置所述目标策略;或者,所述合并模块402,具体还用于在所述目标策略不为空值的情况下,忽略所述目标待合并策略;或者,所述合并模块402,具体还用于在所述目标策略中未包括与所述目标待合并策略对应的策略的情况下,忽略所述目标待合并策略;其中,所述目标待合并策略为所述待合并策略中的任一策略。
可选地,所述装置还包括:调整模块;所述目标路径上的目标节点包括:普通分组和自定义分组;所述自定义分组的强策略的优先级高于所述普通分组的强策略的优先级;所述自定义分组的弱策略的优先级高于所述普通分组的弱策略的优先级;所述调整,用于将所述自定义分组作为所述目标节点的子节点加入所述目标路径;所述获取模块401,具体用于获取所述目标路径上每个节点对应的待合并策略。
本申请提供的策略配置合并装置,当服务器下发安全策略后,终端基于所处网络的分组树,得到所述的目标路径,并获取目标路径上每个节点对应的安全策略。之后,将获取到的安全策略,按照优先级进行排序后,合并为目标策略集合。最后,使用该目标策略集合中的策略作为目标对象的安全策略。本申请中的配置策略合并方法,可以基本上避免策略冲突的情况出现。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行策略配置合并方法,该方法包括:获取目标对象所能够继承的待合并策略集合;根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请还提供一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的策略配置合并方法,该方法包括:获取目标对象所能够继承的待合并策略集合;根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
又一方面,本申请还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的策略配置合并方法,该方法包括:获取目标对象所能够继承的待合并策略集合;根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;按照所述目标策略集合所包含的策略,配置所述目标对象;其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种策略配置合并方法,其特征在于,包括:
获取目标对象所能够继承的待合并策略集合;
根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;
按照所述目标策略集合所包含的策略,配置所述目标对象;
其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
2.根据权利要求1所述的方法,其特征在于,所述获取目标对象所能够继承的待合并策略集合,包括:
获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略;
基于每个节点对应的待合并策略,生成所述待合并策略集合;
其中,所述分组树用于指示所述目标对象所属网络的各个层级之间的关系;所述分组树中父节点的强策略的优先级高于子节点的强策略的优先级;所述分组树中父节点的弱策略的优先级低于子节点的弱策略的优先级;按照策略的继承顺序,所述目标对象所在节点位于所述目标路径的终点。
3.根据权利要求2所述的方法,其特征在于,所述根据所述待合并策略集合所包含策略的优先级,合并所述待合并策略,并得到目标策略集合,包括:
初始化目标策略集合;
按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略。
4.根据权利要求3所述的方法,其特征在于,所述按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略,包括:
在所述目标策略集合中与目标待合并策略对应的目标策略为空值的情况下,按照所述目标待合并策略的配置内容配置所述目标策略;
或者,
在所述目标策略不为空值的情况下,忽略所述目标待合并策略;
或者,
在所述目标策略中未包括与所述目标待合并策略对应的策略的情况下,忽略所述目标待合并策略;
其中,所述目标待合并策略为所述待合并策略中的任一策略。
5.根据权利要求2所述的方法,其特征在于,所述目标路径上的目标节点包括:普通分组和自定义分组;所述自定义分组的强策略的优先级高于所述普通分组的强策略的优先级;所述自定义分组的弱策略的优先级高于所述普通分组的弱策略的优先级;
所述获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略,包括:
将所述自定义分组作为所述目标节点的子节点加入所述目标路径;
获取所述目标路径上每个节点对应的待合并策略。
6.一种策略配置合并装置,其特征在于,所述装置包括:
获取模块,用于获取目标对象所能够继承的待合并策略集合;
合并模块,用于根据所述待合并策略集合所包含待合并策略的优先级,合并所述待合并策略,并得到目标策略集合;
配置模块,用于按照所述目标策略集合所包含的策略,配置所述目标对象;
其中,所述待合并策略集合包括:强策略和弱策略;所述目标对象所能继承的强策略的优先级高于所述目标对象对应的强策略的优先级;所述目标对象所能继承的弱策略的优先级低于所述目标对象对应的弱策略的优先级。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:生成模块;
所述获取模块,具体用于获取所述目标对象在分组树中的目标路径以及所述目标路径上每个节点对应的待合并策略;
所述生成模块,用于基于每个节点对应的待合并策略,生成所述待合并策略集合;
其中,所述分组树用于指示所述目标对象所属网络的各个层级之间的关系;所述分组树中父节点的强策略的优先级高于子节点的强策略的优先级;所述分组树中父节点的弱策略的优先级低于子节点的弱策略的优先级;按照策略的继承顺序,所述目标对象所在节点位于所述目标路径的终点。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:初始化模块;
所述初始化模块,用于初始化目标策略集合;
所述合并模块,具体用于按照所述待合并策略集合所包含待合并策略从高到低的优先级,依次遍历每个待合并策略,并按照每个待合并策略的优先级配置所述目标策略集合中对应的策略。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述策略配置合并方法的步骤。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1至5中任一项所述策略配置合并方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111670371.7A CN114500000A (zh) | 2021-12-31 | 2021-12-31 | 策略配置合并方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111670371.7A CN114500000A (zh) | 2021-12-31 | 2021-12-31 | 策略配置合并方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114500000A true CN114500000A (zh) | 2022-05-13 |
Family
ID=81508725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111670371.7A Pending CN114500000A (zh) | 2021-12-31 | 2021-12-31 | 策略配置合并方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114500000A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050091518A1 (en) * | 2003-10-23 | 2005-04-28 | Agarwal Sameet H. | System and methods providing enhanced security model |
CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
CN111859397A (zh) * | 2020-07-23 | 2020-10-30 | 国家工业信息安全发展研究中心 | 终端防护策略配置方法及装置 |
CN113282606A (zh) * | 2021-05-14 | 2021-08-20 | 杭州网易云音乐科技有限公司 | 数据处理方法、装置、存储介质和计算设备 |
CN113572780A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 设备安全策略配置方法 |
-
2021
- 2021-12-31 CN CN202111670371.7A patent/CN114500000A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050091518A1 (en) * | 2003-10-23 | 2005-04-28 | Agarwal Sameet H. | System and methods providing enhanced security model |
CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
CN111859397A (zh) * | 2020-07-23 | 2020-10-30 | 国家工业信息安全发展研究中心 | 终端防护策略配置方法及装置 |
CN113282606A (zh) * | 2021-05-14 | 2021-08-20 | 杭州网易云音乐科技有限公司 | 数据处理方法、装置、存储介质和计算设备 |
CN113572780A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 设备安全策略配置方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019200445B2 (en) | Methods and apparatus for dealing with malware | |
US20220159008A1 (en) | Security vulnerability assessment for users of a cloud computing environment | |
US11483354B2 (en) | System and method for reasoning about the optimality of a configuration parameter of a distributed system | |
EP3497609B1 (en) | Detecting scripted or otherwise anomalous interactions with social media platform | |
EP3942765B1 (en) | Cloud view detection of virtual machine brute force attacks | |
AU2015201161B2 (en) | Event correlation | |
US10169571B1 (en) | System and method for secure, policy-based access control for mobile computing devices | |
EP3282642B1 (en) | Flow control method and equipment | |
EP3143728B1 (en) | Efficient cascading of flow tables in sdn | |
CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
Chan et al. | Intrusion detection and prevention of web service attacks for software as a service: Fuzzy association rules vs fuzzy associative patterns | |
Powell | The epidemiology of lateral movement: exposures and countermeasures with network contagion models | |
US11184282B1 (en) | Packet forwarding in a network device | |
CN114500000A (zh) | 策略配置合并方法及装置 | |
Ooi et al. | Secureweaver: Intent-driven secure system designer | |
Notland et al. | Runtime evolution of bitcoin’s consensus rules | |
Boudermine et al. | Dynamic logic-based attack graph for risk assessment in complex computer systems | |
Marsan et al. | Reductions in GSPN and SWN: An overview and an example of application | |
CN110096504B (zh) | 流式事件特征匹配方法及装置 | |
CN116707948A (zh) | 攻击事件处理方法及装置 | |
CN117640111A (zh) | 云平台测试方法、装置、服务节点及云平台 | |
CN118400200A (zh) | 一种安全策略的编译、集中管控、转发并行方法及装置 | |
WO2022213202A1 (en) | Endpoint detection and response to cybersecurity threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |