本发明涉及主机安全策略管理技术领域,具体涉及一种SSR集中管理平台的策略管理方法,一种实用性强、SSR集中管理平台的策略管理方法。
背景技术:
随着主机安全得到的重视程度不断加大,在服务器主机部署主机安全产品的需求也在不断增加,随之产生了便于多主机集中管理的集中管理平台来解决传统的单机管理模式,提升效率的同时也出现了新的问题,例如策略如何灵活的支持批量操作和单独定制。
SSR(Server Security Reinforcement)是浪潮具有自主知识产权的“操作系统安全增强系统”,通过对文件、目录、进程、注册表和服务的强制访问控制,有效的制约和分散了原有系统管理员的权限。SSR是构建国家三级安全操作系统的内核模块技术的解决方案产品,可以实时的把普通的服务器操作系统从体系上升级,具有三级的安全技术功能,从根本上免疫现有的各种针对操作系统的攻击行为,如:病毒,蠕虫,黑客攻击等。
技术实现要素:
本发明要解决的技术问题是:本发明在SSR集中管理平台上不同主机和分组的安全策略的批量配置与单独配置的冲突问题,提供一种SSR集中管理平台的策略管理方法,主要解决在SSR集中管理平台上不同主机的安全策略的批量配置与单独配置的冲突问题,做到每一级分组和客户端都可以灵活配置自身策略,又可以恢复继承上一级分组的策略,便于客户端策略的集中和单独管理。
本发明所采用的技术方案为:
一种SSR集中管理平台的策略管理方法,所述SSR集中管理平台用于集中管理装载了SSR客户端的主机,并具有客户端管理功能、客户端分组管理功能、策略管理功能等,所述SSR集中管理平台端策略的配置步骤为:
1)添加分组,默认存在根分组,只有一个,不可编辑;根分组基础上能添加二级分组,二级分组基础上能添加三级分组;最多添加到三级分组;二级和三级分组为手动添加,添加时需要指定上一级分组,二级分组的上级只能为根分组,三级分组的上级可为任意二级分组,一个客户端只能属于一个分组,默认属于根分组;
2)所述根分组的策略为默认策略,且不可改变;每个分组创建的时候默认继承上一级分组的策略;每个客户端属于一个分组,默认继承所属分组的策略;
3)分组和客户端本身策略存在两种状态:锁定状态和解锁状态,默认处于锁定状态;
分组与分组之间,分组与客户端之间的策略继承关系分为锁定和解锁两种:
锁定状态的分组或者客户端继承父分组的策略;
解锁状态的分组或者客户端能够独自配置自身策略,继承此分组的客户端和分组的策略也随之改变,这样可以做到每一级分组和客户端都可以灵活配置自身策略,便于客户端策略的集中和单独管理。
所述分组和客户端本身策略设置为解锁状态时,当前分组或者客户端能够编辑自身策略,不再继承上一级分组的策略,当前分组的下一级分组和当前分组的继承关系不变。
所述分组和客户端本身策略设置为锁定状态时,当前分组或者客户端继承上一级分组的策略,自身原有策略设置失效。
所述策略管理功能分为分组管理和设置策略状态两个部分,其中:
分组管理实现的功能包括:
添加分组、继承默认策略;
修改分组、修改继承的默认策略;
删除分组、转移客户端到其它分组、修改客户端继承策略;
设置客户端所选分组,默认为根分组;
设置策略状态实现的功能包括:
客户端设置为锁定状态;
客户端设置为解锁状态;
分组设置为锁定状态;
分组设置为解锁状态。
所述删除分组、转移客户端到其它分组、修改客户端继承策略的具体过程为:当删除分组时,需要先将当前分组下的客户端转移到其它分组上,并且这些客户端将继承新的分组的策略,若存在解锁的客户端,则策略不变。
所述客户端设置为解锁状态的具体过程为:在集中管理平台选择客户端,设置为解锁状态,解除和父分组的策略继承关系,重新编辑策略内容,编辑后客户单策略直接生效。
所述分组设置为解锁状态的具体过程为:在集中管理平台选择根分组以外的分组,设置为解锁状态,解除和父分组的策略继承关系,重新编辑策略内容,编辑后其子分组和所属客户端均继承此策略。
所述客户端设置为锁定状态的具体过程为:在集中管理平台选择客户端,设置为锁定状态,重新继承父分组的策略。
所述分组设置为锁定状态的具体过程为:在集中管理平台选择根分组以外的分组,设置为锁定状态,继承父分组的策略,其子分组和所属客户端均继承此策略。
本发明的有益效果为:
本发明每一级分组和客户端都可以灵活配置自身策略,既可以通过锁定状态继承使用父分组的策略,也可以使用解锁状态单独定制分组或者客户端的策略,便于客户端策略的集中和单独管理。
附图说明
图1为本发明实现流程图。
具体实施方式
下面结合附图,根据具体实施方式对本发明进一步说明:
实施例1:
如图1所示,一种SSR集中管理平台的策略管理方法,所述SSR集中管理平台用于集中管理装载了SSR客户端的主机,并具有客户端管理功能、客户端分组管理功能、策略管理功能等,所述SSR集中管理平台端策略的配置步骤为:
1)添加分组,默认存在根分组,只有一个,不可编辑;根分组基础上能添加二级分组,二级分组基础上能添加三级分组;最多添加到三级分组;二级和三级分组为手动添加,添加时需要指定上一级分组,二级分组的上级只能为根分组,三级分组的上级可为任意二级分组,一个客户端只能属于一个分组,默认属于根分组;
2)所述根分组的策略为默认策略,且不可改变;每个分组创建的时候默认继承上一级分组的策略;每个客户端属于一个分组,默认继承所属分组的策略;
3)分组和客户端本身策略存在两种状态:锁定状态和解锁状态,默认处于锁定状态;
分组与分组之间,分组与客户端之间的策略继承关系分为锁定和解锁两种:
锁定状态的分组或者客户端继承父分组的策略;
解锁状态的分组或者客户端能够独自配置自身策略,继承此分组的客户端和分组的策略也随之改变,这样可以做到每一级分组和客户端都可以灵活配置自身策略,便于客户端策略的集中和单独管理。
实施例2
在实施例1的基础上,本实施例所述分组和客户端本身策略设置为解锁状态时,当前分组或者客户端能够编辑自身策略,不再继承上一级分组的策略,当前分组的下一级分组和当前分组的继承关系不变。
实施例3
在实施例1的基础上,本实施例所述分组和客户端本身策略设置为锁定状态时,当前分组或者客户端继承上一级分组的策略,自身原有策略设置失效。
实施例4
在任一实施例1-3的基础上,本实施例所述策略管理功能分为分组管理和设置策略状态两个部分,其中:
分组管理实现的功能包括:
添加分组、继承默认策略;
修改分组、修改继承的默认策略;
删除分组、转移客户端到其它分组、修改客户端继承策略;
设置客户端所选分组,默认为根分组;
设置策略状态实现的功能包括:
客户端设置为锁定状态;
客户端设置为解锁状态;
分组设置为锁定状态;
分组设置为解锁状态。
实施例5
在实施例4的基础上,本实施例所述删除分组、转移客户端到其它分组、修改客户端继承策略的具体过程为:当删除分组时,需要先将当前分组下的客户端转移到其它分组上,并且这些客户端将继承新的分组的策略,若存在解锁的客户端,则策略不变。
实施例6
在实施例4的基础上,本实施例所述客户端设置为解锁状态的具体过程为:在集中管理平台选择客户端,设置为解锁状态,解除和父分组的策略继承关系,重新编辑策略内容,编辑后客户单策略直接生效。
实施例7
在实施例4的基础上,本实施例所述分组设置为解锁状态的具体过程为:在集中管理平台选择根分组以外的分组,设置为解锁状态,解除和父分组的策略继承关系,重新编辑策略内容,编辑后其子分组和所属客户端均继承此策略。
实施例8
在实施例4的基础上,本实施例所述客户端设置为锁定状态的具体过程为:在集中管理平台选择客户端,设置为锁定状态,重新继承父分组的策略。
实施例9
在实施例4的基础上,本实施例所述分组设置为锁定状态的具体过程为:在集中管理平台选择根分组以外的分组,设置为锁定状态,继承父分组的策略,其子分组和所属客户端均继承此策略。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。