各个策略分别下发给相应的客户端。
[0055]根据本实施例提供的策略的集中管理方法,通过对计算机网络中的多个客户端进行分组,只需为一个分组分配策略,即可完成对该分组中所包括的所有客户端的策略分配,从而可以提高策略配置下发的效率。
[0056]在本发明一个优选实施例中,为了进一步提高策略下发的效率,可以预先创建策略判决消息队列和各个客户端对应的客户端消息队列;以及预先创建用于监控策略判决消息队列的策略判决线程。
[0057]在将分配完成的各个策略分别下发给相应的客户端时,可以通过如下方式进行下发:将分配完成的各个策略发送至策略判决消息队列中,策略判决线程对下发到所述策略判决消息队列中的各个策略分别执行策略判决处理,根据判决结果确定各个策略所属的客户端标识;根据确定的客户端标识,将各个策略下发至相应客户端所对应的客户端消息队列中,以使相应客户端在监控到与其对应的客户端消息队列中包括策略时,将与其对应的客户端消息队列中的策略取出进行存储。
[0058]在本发明一个优选实施例中,为了提高策略判决线程对策略判决消息队列中策略所属客户端的判决效率,可以在所述将分配完成的各个策略分别下发给相应的客户端之前,将各个策略的数据结构转换为HashMap数据结构,其中,转换成的HashMap数据结构包括:用于表征客户端的标识的关键字key和用于表征策略内容的字段value ;在确定各个策略所属的客户端标识时可以通过如下方式进行确定:根据下发到所述策略判决消息队列中的每一个策略所对应的关键字key确定相应策略所属的客户端标识。
[0059]通过将策略的数据结构转换为HashMap数据结构,可以快速根据HashMap数据结构的特征,获知策略内容以及该策略所属的客户端标识,从而可以进一步提高策略下发的效率。
[0060]在本发明一个优选实施例中,还可以对客户端通过自定义的形式配置策略,在为某一客户端自定义配置了策略之后,还需要进一步判断是否将该策略同步至该客户端所属分组的其他客户端中。因此,可以进一步包括:预先创建客户端响应队列;在监控到客户端响应队列中包括响应消息时,解析出该响应消息中所包括的客户端标识和对应的目标策略,并判断所述目标策略是否需要同步,若需要同步,则根据该响应消息中包括的客户端标识所对应客户端所属的目标分组,将该所述目标策略下发至所述目标分组中其他客户端分别对应的客户端消息队列中,以将所述目标策略同步至所述目标分组中的其他客户端。
[0061]通过创建客户端响应队列,可以使客户端在被自定义配置了策略之后,可以自动上传至该客户端响应队列,以由集中管理设备来确定是否将其进行同步,从而可以提高策略分配的灵活性。
[0062]为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
[0063]如图2所示,本发明实施例提供了一种策略的集中管理方法,该方法可以包括以下步骤:
[0064]步骤201:建立连接于管理端与客户端的集中管理设备,管理端通过控制集中管理设备创建策略库。
[0065]在现有技术中,需要由不同的管理端分别存储其向各个客户端下发的策略,由于计算机网络中设备数量较大,容易造成策略管理的混乱。
[0066]在本实施例中,可以通过建立集中管理设备,该集中管理设备将管理端与客户端之间相连接,请参考图3,为集中管理系统结构图,不同的管理端都可以通过该集中管理设备上为客户端配置策略,且配置的策略可以存储在集中管理设备的策略库中,从而可以对策略进行集中管理,以对策略进行有序管理。
[0067]其中,管理端为客户端配置的策略可以包括:系统安全策略、网络安全策略、告警策略等。
[0068]在本实施例中,集中管理设备可以创建策略库,用于存储管理端为客户端配置的策略。
[0069]在本实施例中,可以配置如下策略模型:
[0070]策略库中所包括的每一条策略可以包括至少一个规则组,其中,规则组包括是一套类似或相关规则的集合,包括为所需保护的对象分配配置的相应安全规则;策略是根据业务需求制定的规则组的集合。
[0071]其中,策略可以包含多个规则组,规则组是由多个不同类别的规则构成的。其中,规则组可以包括至少一类如下规则:安全标记规则、文件保护规则、进程保护规则、注册表保护规则和信任列表保护规则;其中,每一类规则可以定义至少一条规则。
[0072]在本实施例中,可以设定如下策略的创建方式:系统预定义方式和用户自定义方式。其中,可以对于系统预定义方式创建的策略设定为不允许删除和编辑等操作,若需要对系统预定义方式创建的策略进行修改时,可以复制该策略,并对复制后的策略进行编辑和下发。
[0073]在本实施例中,可以设定计算机网络中的分组方式:1、按照客户端属性,将具有相同属性的客户端分成同一组;2、按照客户端所属的主机标识,将计算机网络中所属于同一主机的客户端分成同一组。3、其他分组方式。
[0074]在本实施例中,可以设定下发方式的优先级,例如,按照客户端所属主机方式进行分组并下发的优先级,高于按照客户端属性方式进行分组并下发的优先级。
[0075]在本实施例中,对于策略管理的页面可以包括如下四个部分:
[0076]规则组管理:用于根据保护的对象来管理规则组和定义安全规则。
[0077]策略库管理:用于根据业务需要来定制策略,可以任意组合规则组。
[0078]分组分配规则:用于将策略库中配置的策略批量分发到属于同一个分组的各个客户端上。在同一台客户端被按照不同分组方式分到了多个分组中,且分别接收到了多个分组为其分配的策略,可以选定分组优先级较高的分组下发方式所下发的策略作为为其分配的策略。
[0079]客户端策略:用于通过客户端的维度查看已分配的策略,还可以对客户端进行规则的个性化配置。
[0080]步骤202:将计算机网络中的多个客户端进行分组。
[0081]在本实施例中,可以按照上述任意一种或多种分组方式对计算机网络中的多个客户端进行分组。
[0082]在本发明一个优选实施例中,按照上述一种分组方式对计算机网络中的多个客户端进行分组。
[0083]步骤203:根据策略库中包括的多条策略,为属于同一个分组的客户端分配相应的策略。
[0084]步骤204:将各个策略的数据结构转换为HashMap数据结构,其中,转换成的HashMap数据结构包括:用于表征客户端的标识的关键字key和用于表征策略内容的字段valueD
[0085]在本实施例中,为了提高获知每个策略所对应客户端标识的效率,可以将各个策略的数据结构转换为HashMap数据结构。其中,也可以将策略库中存储的每一条策略均以HashMap数据结构的形式进行存储,以提高查找速度。
[0086]其中,对于HashMap数据结构可以如下内容:
[0087]typedef struct GroupPolicy
[0088]{
[0089]int pr1rity ;
[0090]int policyid ;
[0091]}GroupListObject ;
[0092]typedef struct PolicyObject
[0093]{
[0094]List<GroupList0bject>HIPSlist ;
[0095]List<GroupList0bject>ADlist ;
[0096]List<GroupList0bject>SLlist ;
[0097]List<GroupList0bject>