策略配置装置、终端的安全策略配置方法和可读存储介质与流程

本发明涉及安全技术领域，尤其涉及一种策略配置装置、终端的安全策略配置方法和可读存储介质。

背景技术：

网络终端处于网络环境中，数据的很容易很窃取篡改。为了数据的安全，网络终端会设置安全软件的防护策略进行防护，安全软件如防火墙，或者设置网络终端的访问策略，访问策略以及防护策略均为网络终端的安全策略。

终端的安全策略管理集成到一台设备集中管理。终端发生变化时，需要为终端配置安全策略，使得终端根据配置的安全策略进行防护。但配置安全策略，需要管理人员消耗非常长的时间来梳理业务完成安全策略的配置且手动把配置的安全策略通过设备配置下去，导致终端的安全策略配置时间较长。

技术实现要素：

本发明的主要目的在于提供一种策略配置装置、终端的安全策略配置方法和可读存储介质，旨在解决终端的安全策略配置时间较长的问题。

为实现上述目的，本发明提供一种终端的安全策略配置方法，所述终端的安全策略配置方法包括以下步骤：

接收终端发送的流量数据；

根据所述流量数据的属性确定安全策略；

在存储的组织结构中确定所述终端对应的标签，其中，所述组织结构包括多个对应关系，所述对应关系为标签、服务与终端之间的关系，所述标签根据所述终端采用的服务确定；

将所述安全策略发送至相同所述标签的各个终端。

在一实施例中，所述根据所述流量数据的属性确定安全策略的步骤包括：

根据所述流量数据的属性确定所述终端对应的访问事件；

获取所述终端对应的访问信息；

在所述访问信息对应的各个安全策略中确定与所述访问事件对应的安全策略，以作为所述终端对应的安全策略。

在一实施例中，所述在所述访问信息对应的各个安全策略中确定与所述访问事件对应的安全策略，以作为所述终端对应的安全策略的步骤包括：

在所述访问信息对应的各个安全策略中确定与所述访问事件对应的待确定安全策略；

在接收到基于所述待确定安全策略以及所述访问信息触发的确认信息后，将所述待确定安全策略确定为所述终端对应的安全策略。

在一实施例中，所述将所述安全策略发送至相同所述标签的各个终端的步骤包括：

将所述安全策略进行转化，以得到所述终端适用的安全策略；

将转化后的所述安全策略发送至相同所述标签的各个终端。

在一实施例中，所述将所述安全策略进行转化的步骤包括：

获取相同所述标签对应的每个终端的端口信息以及地址信息；

根据各个所述端口信息以及各个所述地址信息，对所述安全策略进行转化。

在一实施例中，所述在存储的组织结构中确定所述终端对应的标签的步骤之前，还包括：

获取各个终端发送的服务信息，并根据所述服务信息确定每个终端采用的服务；

根据所述服务为每个所述终端设置标签，并配置每个所述标签、所述标签对应的服务与所述标签对应的终端之间的对应关系；

根据各个所述对应关系构建组织结构，并保存所述组织结构。

在一实施例中，所述终端的安全策略配置方法，还包括：

在确定所述终端所采用的服务发生变化时，根据发生变化的服务为所述终端重新配置对应关系；

将所述组织结构内的所述终端的对应关系替换为重新配置的对应关系，以更新所述组织结构。在一实施例中，在检测到终端从第一云平台迁移至第二云平台，确定所述终端所采用的服务发生变化。

本发明实施例提出的策略配置装置、终端的安全策略配置方法和可读存储介质，策略配置装置获取终端发送的流量数据，并根据流量数据的属性确定安全策略，且在存储的组织结构中确定终端对应的标签，组织结构包括多个对应关系，对应关系为标签、服务与终端之间的关系，最后将安全策略发送至相同标签的各个终端，使得采用相同服务的各个终端应用该安全策略。由于策略配置装置中存储有组织结构，使得装置能够基于组织结构确定采用相同服务的各个终端，进而使得装置能够根据终端发送的流量数据自动为采用相同服务的各个终端配置安全策略，无需手动对各个终端进行安全策略的配置，缩短了安全策略的配置时长，也即终端的安全策略配置时间较短。

附图说明

图1是本发明实施例方案涉及的策略配置装置的硬件结构示意图；

图2为本发明终端的安全策略配置方法第一实施例的流程示意图；

图3为本发明终端的安全策略配置方法第二实施例中步骤s20的细化流程示意图；

图4为本发明终端的安全策略配置方法第三实施例中步骤s40的细化流程示意图；

图5为本发明终端的安全策略配置方法第四实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：接收终端发送的流量数据；根据所述流量数据的属性确定安全策略；在存储的组织结构中确定所述终端对应的标签，其中，所述组织结构包括多个对应关系，所述对应关系为标签、服务与终端之间的关系，所述标签根据所述终端采用的服务确定；将所述安全策略发送至相同所述标签的各个终端。

由于策略配置装置中存储有组织结构，使得装置能够基于组织结构确定采用相同服务的各个终端，进而使得装置能够根据终端发送的流量数据自动为采用相同服务的各个终端配置安全策略，无需手动对各个终端进行安全策略的配置，缩短了安全策略的配置时长，也即终端的安全策略配置时间较短。

如图1所示，图1是本发明实施例方案涉及的策略配置装置的硬件结构示意图。

如图1所示，本发明实施例方案涉及是策略配置装置，策略配置装置可以包括：处理器1001，例如cpu，通信总线1002，存储器1003。其中，通信总线1002用于实现这些组件之间的连接通信。存储器1003可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1003可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对策略配置装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1003中可以包括操作系统和策略配置程序。

在图1所示的策略配置装置中，处理器1001可以用于调用存储器1003中存储的策略配置程序，并执行以下操作：

接收终端发送的流量数据；

根据所述流量数据的属性确定安全策略；

在存储的组织结构中确定所述终端对应的标签，其中，所述组织结构包括多个对应关系，所述对应关系为标签、服务与终端之间的关系，所述标签根据所述终端采用的服务确定；

将所述安全策略发送至相同所述标签的各个终端。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

根据所述流量数据的属性确定所述终端对应的访问事件；

获取所述终端对应的访问信息；

在所述访问信息对应的各个安全策略中确定与所述访问事件对应的安全策略，以作为所述终端对应的安全策略。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

在所述访问信息对应的各个安全策略中确定与所述访问事件对应的待确定安全策略；

在接收到基于所述待确定安全策略以及所述访问信息触发的确认信息后，将所述待确定安全策略确定为所述终端对应的安全策略。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

将所述安全策略进行转化，以得到所述终端适用的安全策略；

将转化后的所述安全策略发送至相同所述标签的各个终端。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

获取相同所述标签对应的每个终端的端口信息以及地址信息；

根据各个所述端口信息以及各个所述地址信息，对所述安全策略进行转化。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

获取各个终端发送的服务信息，并根据所述服务信息确定每个终端采用的服务；

根据所述服务为每个所述终端设置标签，并配置每个所述标签、所述标签对应的服务与所述标签对应的终端之间的对应关系；

根据各个所述对应关系构建组织结构，并保存所述组织结构。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

在确定所述终端所采用的服务发生变化时，根据发生变化的服务为所述终端重新配置对应关系；

将所述组织结构内的所述终端的对应关系替换为重新配置的对应关系，以更新所述组织结构。

在一实施例中，处理器1001可以调用存储器1003中存储的策略配置程序，还执行以下操作：

在检测到终端从第一云平台迁移至第二云平台，确定所述终端所采用的服务发生变化。

基于上述硬件构建，提出本发明终端的安全策略配置方法的各个实施例。

参照图2，图2为本发明终端的安全策略配置方法的第一实施例，所述终端的安全策略配置方法包括以下步骤：

步骤s10，接收终端发送的流量数据；

在本实施例中，执行主体为策略配置装置。终端指的是网络终端，网络终端可为数据中心中网络服务器，也可以为云场景下的云主机。可以理解的是，终端是作为数据中心的服务器。终端上设有流量抓取模块，终端通过流量抓取模块抓取流量数据，并定时向策略配置装置发送抓取的流量数据。此外，终端上还设有异常流量分析模块，异常流量分析模块会对流量数据进行分析，以确定流量数据中是否包括异常数据。异常流量分析模块可以为终端上的安全软件，如杀毒软件。异常数据包括异常连接数据，例如，主机a上面一个木马非法访问主机b上面的服务。异常流量分析模块在分析流量数据包括异常数据时，会生成黑名单标识，并将黑名单标识以及流量数据一同发送至策略配置装置，且流量数据中的异常数据可被策略配置装置识别获取。当然，异常分析模块在分析流量数据不包括异常数据，则生成白名单标识，并将白名单标识以及流量数据发送至策略配置装置。终端可以以c＝<源终端，目的终端，服务，黑/白标识>来描述要上报的流量数据，服务即可表示为异常服务，也即为异常数据。可以理解的是，流量数据包括正常数据以及异常数据。

策略配置装置提取流量数据中的标识，从而根据标识确定流量数据的属性。属性可以为黑白两种属性，例如，标识为白名单标识，则流量数据的属性为白，标识若为黑名单标识，则流量数据的属性为黑。

步骤s20，根据所述流量数据的属性确定安全策略；

策略配置装置具有策略分析功能，也即策略配置装置能够为终端配置安全策略。具体的，策略配置装置获取流量数据，并确定流量数据的属性。属性表征流量数据是否异常。若流量数据为异常数据，策略配置装置上存储有异常数据对应的各个策略，各个策略为策略配置装置收集的防止终端出现异常数据所采用的安全策略，策略配置装置确定与异常数据对应的各个策略，对各个策略进行分类，然后计算相同的策略的数量与策略总数量的占比，并将最大的占比对应的策略作为异常数据的安全策略。同理，策略配置装置上存储有正常数据对应的各个策略，正常数据对应的安全策略的确定方式可参考异常数据对应的安全策略的确定方式。

可以理解的是，策略配置装置通过大数据分析的方式确定与流量数据属性相对应的安全策略。安全策略可以理解为终端上安全软件的防护策略，例如，防火墙策略。安全策略也可为终端的访问策略，例如，安全策略为终端拒绝a服务器的访问以及禁止对a服务器的访问。

步骤s30，在存储的组织结构中确定所述终端对应的标签，其中，所述组织结构包括多个对应关系，所述对应关系为标签、服务与终端之间的关系，所述标签根据所述终端采用的服务确定；

策略配置装置中存储有组织结构，组织结构包括多个对应关系，对应关系为标签、服务以及终端之间的关系，也即对应关系用于描述终端、终端所采用的服务以及服务所对应的标签之间的关系。每一种服务对应一种标签，也即标签根据服务生成。组织结构中所涉及到的终端为与策略配置装置通信连接的终端。

终端定时采集服务信息，服务信息t＝<进程，协议，端口>，终端具体采集服务信息的方法不限，例如，eg.linux网络终端平台上可以通过netstat进行采集。策略配置终端接收到各个终端发送的服务信息后，根据服务信息确定每个终端所采用的服务，策略配置终端接收到各个终端发送的服务信息后，根据服务信息确定每个终端所采用的服务，再根据服务定义终端的标签，一种服务对应一种标签，也即采用相同服务的终端的标签一致。策略配置装置再为每个终端配置编号，从而将标签与编号关联，以完成标签、标签对应的服务以及标签对应的终端的对应关系的配置。策略配置装置为每个终端配置对应关系，从而根据各个对应关系集合在一起，以构建组织结构，并保存组织结构。可以理解的是，组织结构是描述终端与终端所采用服务对应的标签之间关系的集合。由此，策略配置装置在接收到终端发送的流量数据后，获取终端的编号，进而在组织结构中确定编号所对应的对应关系，最后根据对应关系确定终端对应的标签。

由上可知，在根据存储的组织结构中确定终端对应的标签的步骤之前，策略配置装置获取各个终端发送的服务信息，并根据服务信息确定每个终端采用的服务，再根据服务为每个终端设置标签，并配置每个标签、标签对应的服务与标签对应的终端之间的对应关系，最后根据各个对应关系构建组织结构，并保存组织结构。

步骤s40，将所述安全策略发送至相同所述标签的各个终端。

策略配置装置在确定标签后，在组织结构中确定相同标签的各个终端。由于安全策略适用于采用相同服务的终端，因此，策略配置装置可将安全策略发送至相同便签的各个终端。

在本实施例提供的技术方案中，策略配置装置获取终端发送的流量数据，并根据流量数据的属性确定安全策略，且在存储的组织结构中确定终端对应的标签，组织结构包括多个对应关系，对应关系为标签、服务与终端之间的关系，最后将安全策略发送至相同标签的各个终端，使得采用相同服务的各个终端应用该安全策略。由于策略配置装置中存储有组织结构，使得装置能够基于组织结构确定采用相同服务的各个终端，进而使得装置能够根据终端发送的流量数据自动为采用相同服务的各个终端配置安全策略，无需手动对各个终端进行安全策略的配置，缩短了安全策略的配置时长，也即终端的安全策略配置时间较短。

参照图3，图3为本发明终端的安全策略配置方法的第二实施例，基于第一实施例，所述步骤s20包括：

步骤s21，根据所述流量数据的属性确定所述终端对应的访问事件；

步骤s22，在所述访问信息对应的各个安全策略中确定与所述访问事件对应的安全策略，以作为所述终端对应的安全策略。

在本实施例中，安全策略的配置还需要从终端的业务视角进行考虑。对此，策略配置装置获取流量，获取终端对应的访问信息。例如，a终端的浏览器访问了b终端的web，则浏览器的进程信息、web进程信息以及a终端访问b终端的访问关系即为访问信息。

策略配置装置收集有访问信息对应的各个安全策略。策略配置装置确定流量数据对应的访问事件。访问事件可以通过c＝<源终端，目的终端，服务，黑/白标识>确定，也即基于c中的源终端以及目的终端确定访问事件。此外，访问事件中包括有黑/白标识，因此，访问事件包括流量数据的属性。

在流量数据为异常数据时，访问事件还包括终端产生异常数据的原因。策略配置装置在获取流量数据后，获取访问信息，再从而在访问信息对应的各个安全策略中确定访问事件对应的安全策略，以作为终端对应的安全策略。可以理解的是，策略配置装置从业务角度进行大数据分析得到终端所对应的安全策略。

策略配置装置在所述访问信息对应的各个安全策略中确定与所述访问事件对应的待确定安全策略后，需要将访问信息以及待确定安全策略发送至预设终端，预设终端对应的用户可为策略管理人员，策略管理人员确定访问信息与待确定安全策略是否为对照关系，若是，策略管理人员即可通过预设终端向策略配置装置发送确认信息，此时，策略配置装置再将待确定安全策略确定为终端的安全策略。当然，策略配置装置可以直接显示访问信息以及待确定安全策略，使得策略管理人员进行确认，策略管理人员也可以基于其他形式对待确定安全策略进行确认。也即策略配置装置接收到基于待确定安全策略以及业务信息触发的确认信息后，将待确定安全策略确定为终端对应的安全策略。

在本实施例提供的技术方案中，策略配置装置从业务视角出发，为终端配置合适的安全策略。

参照图4，图4为本发明终端的安全策略的配置方法的第三实施例，基于第一或第二实施例，所述步骤s40包括：

步骤s41，将所述安全策略进行转化，以得到所述终端适用的安全策略；

步骤s42，将转化后的所述安全策略发送至相同所述标签的各个终端。

在本实施例中，策略配置策略进行大数据分析所得到的安全策略是业务视角下的策略，可能不适用于终端运用。例如，策略配置装置分析得到的策略p＝<b1，目的终端，服务，动作>，其中，b1表示终端的所采用服务的标签，动作包括允许或者拒绝，策略p是以标签形式存在，而通过标签形式存在的安全策略既可以让策略更接近人的语言，又大幅降低策略配置的工作量。此时，策略p为业务视角下的安全策略，需要对策略进行转化，以适用于终端采用。具体可将策略p转化为策略x＝<源ip，目的ip，服务，动作>。

此外，策略配置装置还可以各个终端的端口以及ip地址对安全策略进行转化。例如，安全策略为<web,db,server1>，转化后的安全策略为<ip1,ip2,80><ip3,ip4,80>，其中，<web,db,server1>表示web访问db(数据接口)的server1(server1表示一种服务)，<ip1,ip2,80><ip3,ip4,80>会应用到所有满足这个转化后的安全策略的终端上，ip1以及ip3属于web，而ip2以及ip4属于db，server1表示80。可以理解的是，策略配置装置获取相同的标签对应的每个终端的端口信息以及地址信息，从而根据各个端口信息以及地址信息对安全策略进行转化。

策略配置装置将安全策略进行转化即可得到终端所适用的安全策略，再将转化后的安全策略发送至各个相同标签的各个终端。

在本实施例提供的技术方案中，策略配置装置将安全策略进行转化得到终端使用的安全策略，再将转化后的安全策略发送至相同标签的各个终端，以避免终端无法采用安全策略。

参照图5，图5为本发明终端的安全策略的配置方法的第四实施例，基于第一-第三中任一实施例，所述步骤s40之后，还包括：

步骤s50，在确定所述终端所采用的服务发生变化时，根据发生变化的服务为所述终端重新配置对应关系；

步骤s60，将所述组织结构内的所述终端的对应关系替换为重新配置的对应关系，以更新所述组织结构。

在本实施例中，终端所采用的服务会发生变化，服务变化，则组织结构需要对应更改。具体的，安全策略配置装置构建组织结构后，根据终端上传的服务信息，确定终端的服务是否发生变化。在确定终端所采用的服务发生变化时，策略配置装置先根据发生变换的服务为终端重新配置对应关系，也即根据变化的服务更换终端所对应的标签，再将更换的标签、终端的编号以及变化的服务作为终端重新配置的对应关系。策略配置装置再根据终端的编号，在组织结构中确定终端原有的对应的关系，从而将原有的对应关系替换为重新配置的对应关系，达到更新组织结构的目的。

终端服务发生变化可能在于终端的迁移，例如，终端为云节点，终端从一个云平台的云迁移到另一个云平台上，从而导致终端采用的服务发生变化。也即策略配置装置在检测到终端从第一云平台迁移到第二云平台时，即可确定终端所采用的服务发生变化。

在本实施例提供的技术方案中，策略配置装置在检测终端所擦用的服务发生变化时，对组织结构继续更新，以避免将安全策略发送至错误的终端导致部分终端无法应用安全策略。

本发明还提供一种策略配置装置，所述策略配置装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的策略配置程序，所述策略配置程序被所述处理器执行时实现如上实施例所述的终端的安全策略配置方法的各个步骤。

本发明还提供一种可读存储介质，所述可读存储介质存储有策略配置程序，所述策略配置程序被处理器执行时实现如上实施例所述的终端的安全策略配置方法的各个步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。