一种安全策略维护方法及系统、服务端、客户端与流程

本申请涉及信息安全领域，尤其涉及一种安全策略维护方法及装置。

背景技术：

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，一般是通过安全基线管理配置来实现信息安全等级保护。具体地，安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求，做好基线配置和加固是安全运维工作种很基础的工作，却跟很多安全事件有着紧密关系，如登陆策略未配置好，导致账号可以爆破、敏感信息泄露、默认口令、开启了含有漏洞服务的端口。因此，做好基础的基线管理和系统加固可以在很多突发安全漏洞情况下有足够的响应处理时间。

在现有技术中，一个组织在不同的时期部署了不同的业务系统，承载业务系统的是不同的操作系统和支持系统。业务系统在运行期间，基本上很少做操作系统的升级或变更，再就是由于不同供应商的支持原因，导致现存的操作系统和应用版本跨度很广，安全人员或运维人员资源不够的情况下很难支持做基线配置工作。对组织的运维和安全人员来说，只有在运行的业务系统出现故障时，才会去做基线配置、升级补丁、修复漏洞等维护工作，或者在上级安全检查，必须符合合规性要求或者遇到安全事件，根源落在安全配置或加固未做好的原因上的时候，才会考虑做基线管理。具体是安全人员或运维人员分别对系统中的每一个计算机终端中进行相关的基线配置、升级补丁、修复漏洞等维护工作，以实现基线管理。

然而，这种基线管理的方式中，需要消耗大量的人力物力，特别是在大规模的组织、企业当中，存在多个计算机终端需要基线管理配置维护时，安全人员或运维人员需要分别在每一个计算机终端上进行维护操作，这种方式效率偏低。

申请内容

本申请实施例公开了一种安全策略维护方法及系统、服务端、客户端，用于实现安全策略检查的自动化及量化，从而当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

本申请实施例第一方面提供了一种安全策略维护方法，应用于服务端，所述方法包括：

获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；

向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。

可选地，所述客户端包括第一客户端和第二客户端，所述向客户端发送所述安全策略信息包括：

向所述第一客户端发送所述安全策略信息，以使得所述第一客户端根据所述安全策略信息生成共享路径，所述共享路径用于指示所述安全策略信息在所述第一客户端的存储路径；

接收所述第一客户端发送的所述共享信息，所述共享信息包括共享路径和所述第一客户端的标识码；

向所述第二客户端发送所述共享路径，以使得所述第二客户端根据所述共享信息向所述第一客户端获取所述安全策略信息。

可选地，所述安全策略信息至少包括以下一种：

身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组。

可选地，在所述向客户端发送所述安全策略信息之后，所述方法还包括：

获取第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求；

向所述客户端发送所述第一信息，以使得所述客户端根据所述第一信息对安全策略配置进行更新。

可选地，在所述向客户端发送所述安全策略信息之后，所述方法还包括：

接收所述客户端发送的反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息；

根据所述反馈消息生成处理报告。

可选地，在接收所述客户端发送的反馈消息之后，所述方法还包括：

若所述反馈消息指示所述客户端的安全策略配置信息不合规，则根据所述反馈消息生成提示信息，所述提示信息包括安全策略指导信息；

向所述客户端对应的用户终端发送所述提示信息。

本申请实施例第二方面提供了一种安全策略维护方法，应用于客户端，所述方法包括：

接收服务端发送的安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；

根据所述安全策略信息进行安全策略配置。

可选地，所述客户端包括第一客户端和第二客户端，所述接收服务端发送的安全策略信息包括：

所述第一客户端接收服务端发送的安全策略信息；

所述第一客户端根据所述安全策略信息生成共享路径，所述共享路径用于指示所述安全策略信息在所述第一客户端的存储路径；

所述第一客户端向所述服务端发送所述共享信息，所述共享信息包括所述共享路径和所述第一客户端的标识码；

所述第二客户端接收所述服务端发送的所述共享信息；

所述第二客户端根据所述共享信息向所述第一客户端获取所述安全策略信息。

可选地，所述共享信息包括按照预设规则加密后的所述共享路径和加密后所述第一客户端的标识码；

所述安全策略信息至少包括以下一种：

身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组。

可选地，在根据所述安全策略信息进行安全策略配置之后，所述方法还包括：

接收所述服务端发送的第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求；

根据所述第一信息对安全策略配置进行更新。

可选地，在根据所述安全策略信息进行安全策略配置之后，所述方法还包括：

生成反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息；

向所述服务端发送所述反馈消息，以使得所述服务端根据所述反馈消息生成处理报告。

本申请实施例第三方面提供了一种服务端，包括：

第一获取单元，用于获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；

第一发送单元，用于向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。

可选地，所述客户端包括第一客户端和第二客户端，所述第一发送单元具体用于：

向所述第一客户端发送所述安全策略信息，以使得所述第一客户端根据所述安全策略信息生成共享路径，所述共享路径用于指示所述安全策略信息在所述第一客户端的存储路径；

接收所述第一客户端发送的所述共享信息，所述共享信息包括共享路径和所述第一客户端的标识码；

向所述第二客户端发送所述共享路径，以使得所述第二客户端根据所述共享信息向所述第一客户端获取所述安全策略信息。

可选地，所述安全策略信息至少包括以下一种：

身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组。

可选地，所述服务端还包括：

第二获取单元，用于获取第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求；

第二发送单元，用于向所述客户端发送所述第一信息，以使得所述客户端根据所述第一信息对安全策略配置进行更新。

可选地，所述服务端还包括：

接收单元，用于接收所述客户端发送的反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息；

第一生成单元，用于根据所述反馈消息生成处理报告。

可选地，所述服务端还包括：

第二生成单元，用于当所述反馈消息指示所述客户端的安全策略配置信息不合规时，根据所述反馈消息生成提示信息，所述提示信息包括安全策略指导信息；

第三发送单元，用于向所述客户端对应的用户终端发送所述提示信息。

本申请实施例第四方面提供了一种客户端，其特征在于，包括：

第一接收单元，用于接收服务端发送的安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；

配置单元，用于根据所述安全策略信息进行安全策略配置。

可选地，所述客户端包括第一客户端和第二客户端，所述第一接收单元具体用于：

所述第一客户端接收服务端发送的安全策略信息；

所述第一客户端根据所述安全策略信息生成共享路径，所述共享路径用于指示所述安全策略信息在所述第一客户端的存储路径；

所述第一客户端向所述服务端发送所述共享路径；

所述第二客户端接收所述服务端发送的所述共享路径，

所述第二客户端根据所述共享路径向所述第一客户端获取所述安全策略信息。

可选地，所述共享信息包括按照预设规则加密后的所述共享路径和加密后的所述第一客户端的标识码；

所述安全策略信息至少包括以下一种：

身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组。

可选地，所述客户端还包括：

第二接收单元，用于接收所述服务端发送的第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求；

更新单元，用于根据所述第一信息对安全策略配置进行更新。

可选地，所述客户端还包括：

生成单元，用于生成反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息；

发送单元，用于向所述服务端发送所述反馈消息，以使得所述服务端根据所述反馈消息生成处理报告。

本申请实施例第五方面提供了一种安全策略维护系统，其特征在于，包括如前述实施例所述的服务端和前述实施例所述的客户端。

本申请实施例第六方面提供了一种服务端，其特征在于，所述服务端包括：

处理器、存储器、输入输出设备以及总线；

所述处理器、存储器、输入输出设备分别于所述总线相连；

所述处理器用于执行如前述实施例中服务端所执行的方法。

本申请实施例第七方面提供了一种客户端，所述客户端包括：

处理器、存储器、输入输出设备以及总线；

所述处理器、存储器、输入输出设备分别于所述总线相连；

所述处理器用于执行如前述实施例中客户端所执行的方法。

本申请实施例第八方面提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如前述实施例中服务端所执行的方法的步骤。

本申请实施例第九方面提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如前述实施例中客户端所执行的方法。

从以上技术方案可以看出，本申请实施例具有以下优点：本实施例中，应用于服务端，获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。其中，安全策略信息对应于安全等级保护的配置要求，即不同的安全策略信息对应于不同的安全等级保护的等级，从而服务端向客户端发送所述安全策略信息之后，使得所述客户端根据所述安全策略信息进行安全策略配置，从而实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

附图说明

图1为本申请实施例中一种安全策略维护方法实施例的一个示意图；

图2为本申请实施例中一种安全策略维护方法实施例的另一个示意图；

图3为本申请实施例中一种安全策略维护方法实施例的另一个示意图；

图4为本申请实施例中一种安全策略维护方法实施例的另一个示意图；

图5为本申请实施例中服务端实施例的一个示意图；

图6为本申请实施例中客户端实施例的一个示意图；

图7为本申请实施例中服务端实施例的另一个示意图；

图8为本申请实施例中客户端实施例的另一个示意图。

具体实施方式

本申请实施例公开了一种安全策略维护方法及系统、服务端、客户端，用于实现安全策略检查的自动化及量化，从而当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

一个组织在不同的时期部署了不同的业务系统，承载业务系统的是不同的操作系统和支持系统。业务系统在运行期间，基本上很少做操作系统的升级或变更。再就是由于不同供应商的支持原因，导致现存的操作系统和应用版本跨度很广，安全人员或运维人员资源不够的情况下很难支持做基线配置工作。对组织的运维和安全人员来说，如果运行的业务系统一直不出事，是想不到做基线配置、升级补丁、修复漏洞这些事情的。只有在上级安全检查，必须符合合规性要求或者遇到安全事件，根源落在安全配置或加固未做好的原因上的时候，才会考虑做基线管理。

但是，做好基线配置和加固是安全运维工作种很基础的工作，却跟很多安全事件有着紧密关系，如登陆策略未配置好，导致账号可以爆破、敏感信息泄露、默认口令、开启了含有漏洞服务的端口。做好基础的基线管理和系统加固可以在很多突发安全漏洞情况下有足够的响应处理时间。然而，这种基线管理的方式中，需要消耗大量的人力物力，特别是在大规模的组织、企业当中，存在多个计算机终端需要基线管理配置维护时，安全人员或运维人员需要分别在每一个计算机终端上进行维护操作，这种方式效率偏低。为此，本申请实施例中提出了一种安全策略维护方法及系统、服务端、客户端，用于实现安全策略检查的自动化及量化，从而当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

为了便于理解，下面对本申请实施例中的具体流程进行描述，请参阅图1，本申请实施例中一种安全策略维护方法的一个实施例包括：

101、服务端获取安全策略信息；

本实施例中，服务端获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求。

具体地，服务端可以为后台管理端，其中，服务端获取安全策略信息的过程可以有多种方式，例如服务端可以直接通过外接设备接收管理员输入的安全策略信息；服务端也可以通过接收其它设备发送的安全策略信息，在这里，其他设备可以是云端服务器、控制服务器等或者是其它设备；服务端还可以通过其它的方式获取得到安全策略信息，具体此处不做限定。

此外，该安全策略信息至少包括以下一种：身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组，该安全策略信息还可以是其它对应于安全等级保护要求的策略组配置。其中，该安全策略信息对应于安全等级保护的配置要求，即安全策略信息是根据安全等级保护的配置要求所确定的，不同等级的安全等级保护的配置要求对应于不同的安全策略信息，可以由上述六项进行组合得到安全策略信息，以满足安全等级保护的配置要求。通过自由组合要检查或者修复的策略组，同时支持策略组下的策略项及子项自由组合，可以让用户更加灵活、方便的对安全策略进行检查或修复。同时由于各个企业、政府机关、学校等对主机安全策略的要求和关注点不同，此功能大大扩展了此装置的适用范围，满足了不同用户对主机安全策略的不同需求

此处，安全策略信息可以以安装包的形式存在，也可以是以文件压缩包的形式存在，还可以是根据不同的操作系统设置不同的存在形式，此处不做具体的限定。

102、服务端向客户端发送安全策略信息；

本实施例中，服务端将步骤101获取得到的安全策略信息发送至该服务端连接管理的客户端。

具体地，服务端下发部署指令给客户端，给客户端下发部署命令的操作具体可以为：支持ip段、域控以及批量下发。其中，服务端可以直接向客户端发送该安全策略信息，也可以通过先升级部分客户端，再升级其它客户端的形式缓解服务端的压力，还可以是其它的形式完成该发送过程，具体此处不做限定。

其中，当客户端的数量较多时，客户端可以支持错峰下载和升级，同时也支持客户端之间共享安装包，减少服务端的下载和升级的压力，由于当客户端数量较大时，会存在部署、升级过程中大量客户端从服务端下载安装包的情况，导致服务端出现崩溃或者异常，为了避免这一情况的产生，可以采用客户端共享安装包的方案，实现“一传十，十传百”的分批部署模式，具体请参阅图2，共享安装包实现步骤如下：

一、当出现大量客户端时，即以该客户端包括第一客户端和第二客户端为例，服务端首先向第一客户端发送部署指令并下发安全策略信息，第一客户端在本地创建一个安装包的共享路径，同时生成共享信息，该共享信息包括该共享路径和该第一客户端的标识码，之后将该共享信息上报给服务端。作为一个优选方案，这里该第一客户端的标识码可以是第一客户端的账号和密码。

二、服务端收到第一客户端上报的共享信息，会根据该共享信息创建一个共享队列，接着将共享信息下发给需要部署或者升级的第二客户端。

三、第二客户端接收服务端发送的共享信息之后，通过解析服务端下发的共享信息，可以得到第一客户端的共享安装包的路径，就可以直接从第一批客户端直接拷贝、下载安装包，进行本地部署和升级。

四、以此类推，该客户端还可以包括第三客户端、第四客户端、第五客户端···第n客户端，直至部署或升级完所有的客户端，达到客户端之间共享安装包的效果。这种实现方案大大降低了服务端的压力，同时也缩短了客户端部署、升级的时间，达到流畅、快速部署的效果。

五、此外，为了提高安全性，共享信息的上报和下发都采用动态加密的方式，每次的密钥都不相同，防止恶意程序拦截、获取信息。同时，当部署或升级任务执行完成时，提前完成升级的客户端会关闭之前的共享路径，等到下一次升级或部署任务执行完后才会重新开启共享。

103、客户端根据所述安全策略信息进行安全策略配置。

本实施例中，客户端在接收到服务端发送的安全策略信息之后，根据该安全策略信息进行安全策略配置。

具体地，客户端读取该安全策略信息中的数据，获取到该安全策略信息包括身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组中的一个或多个，该安全策略信息还可以是其它对应于安全等级保护要求的策略组配置。其中，该安全策略信息对应于安全等级保护的配置要求，即安全策略信息是根据安全等级保护的配置要求所确定的，因此客户端根据该安全策略信息进行安全策略配置，以满足安全等级保护的配置要求。

本实施例中，应用于服务端，获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。其中，安全策略信息对应于安全等级保护的配置要求，即不同的安全策略信息对应于不同的安全等级保护的等级，从而服务端向客户端发送所述安全策略信息之后，使得所述客户端根据所述安全策略信息进行安全策略配置，从而实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

本申请实施例中，在客户端进行安全策略配置之后，服务端还可以根据最新的安全等级保护要求或者其它的个性化需求生成第一信息，用于下发至客户端后，客户端对安全策略配置进行更新，此外，客户端还可以根据自身的配置情况生成反馈消息发送至服务端，使得服务端生成统计报告，具体请参阅图3，本申请实施例中一种安全策略维护方法的另一个实施例包括：

301、服务端获取安全策略信息；

302、服务端向客户端发送安全策略信息；

303、客户端根据所述安全策略信息进行安全策略配置；

本实施例中，步骤301至步骤303与前述步骤101至步骤103类似，此处不再赘述。

304、服务端获取第一信息；

本实施例中，服务端获取第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求。

具体地，该服务器获取第一信息的方式与步骤101中获取安全策略信息的方式类似，例如服务端可以直接通过外接设备接收管理员输入的第一信息；服务端也可以通过接收其它设备发送的第一信息，在这里，其他设备可以是云端服务器、控制服务器等或者是其它设备；服务端还可以通过其它的方式获取得到第一信息，具体此处不做限定。

此外，该第一信息包括更新后的安全策略信息和/或配置要求，即当需要对客户端中的安全策略进行更新时，需要从服务端下发第一信息，以实现自动化及量化部署的目的。其中，配置要求可以包括白名单列表功能、定时自动设置功能、或者是其它的配置功能，具体此处可以根据具体的需求对第一信息进行配置。其中，白名单列表功能指的是支持用户新建检查规则，包括对检查类型、检查项。规则范围进行自定义，这样可以满足用户对某些特定安全策略的灵活、自由的配置，对不关注的、需要保护的安全策略点或者主机进行过滤，满足不同用户的不同需求。自动检查/修复功能具体指的是除了支持基本的新建基线规则和检查范围外，还支持定时任务和支持用户导入模板。

305、服务端向客户端发送第一信息；

本实施例中，服务端向客户端发送第一信息，具体服务端发送的过程与客户端接收的过程与前述步骤中步骤102共享安装包的实现步骤类似，此处不再赘述。

306、客户端根据所述第一信息对安全策略配置进行更新；

本实施例中，客户端根据第一信息中的更新后的安全策略信息和/或配置要求对安全策略配置进行更新。

当客户端确定该第一信息中包括更新后的安全策略信息时，即该第一信息指示该客户端的安全等级保护的等级需要更新，此时，客户端根据该第一信息对自身的安全策略配置进行更新，即对身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组，或者是其它对应于安全等级保护要求的策略组配置进行配置的重新组合，以实现对安全策略信息的更新。

当客户端确定该第一信息中包括配置要求时，客户端根据第一信息进行配置更新，例如，当该配置要求包括白名单列表功能时，客户端根据该第一信息进行白名单列表的设置，具体为客户端新建检查规则，包括对检查类型、检查项。规则范围进行自定义，从而满足对某些特定安全策略的灵活、自由的配置，对不关注的、需要保护的安全策略点或者主机进行过滤，满足不同设置对应的不同需求；当该配置要求包括自动检查/修复功能时，即包括定时任务和/或支持用户导入模板时，对安全策略信息的更新，其中，定时任务用于更好的满足了用户自动化的需求，不必每天都要手动新建任务对主机进行检查，减少了管理员的工作量，另外，可以将自动检查时间设置为工作之外的时间点，避免影响终端用户的正常工作，从而达到用户无感知的效果；支持用户导入模板是指用户可以自定义基线规则，并以模板的形式导入基线规则库中，新建检查或修复任务的时候，可以指定用户自定义的基线规则，这样满足了不同用户由于业务的不同，而对不同的安全策略的差异化需求，并以模板的形式批量导入配置，大大节省了管理员的工作量，使自动化水平更加完善。

307、客户端生成反馈消息；

本实施例中，客户端生成反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息。

具体地，客户端在进行安全策略信息配置之后，或者是根据第一信息对安全策略配置进行更新之后，客户端根据自身的配置更新及维护的情况生成反馈消息，该自身的配置更新及维护的情况具体可以指的是客户端在设置安全策略信息之后的检查结果，即确定该客户端是否符合该安全策略信息的检查要求。

308、客户端向服务端发送反馈消息；

本实施例中，客户端向服务端发送步骤307中生成的反馈消息，以使得服务端在步骤309中根据该反馈消息生成处理报告。

309、服务端生成处理报告；

本实施例中，服务端收集到客户端发送的反馈消息之后，根据该反馈消息生成处理报告。

具体地，服务端可以接收多个客户端发送的反馈消息，再根据该反馈消息中所指示的客户端中配置更新及维护的情况，从而生成处理报告。该处理报告即客户端的安全策略统计信息，可用于指导后续对安全策略信息的更新，或者用于管理员对大量客户端端进行管理和工作汇报等相关工作。

310、服务端生成提示消息；

本实施例中，若所述反馈消息指示所述客户端的安全策略配置信息不合规，则根据所述反馈消息生成提示信息，所述提示信息包括安全策略指导信息。

具体地，当反馈消息指示所述客户端的安全策略配置信息不合规时，服务端根据该反馈消息生成提示消息，具体该提示消息包括安全策略指导信息，用于指导客户端对应的用户进行相关的安全策略维护工作。

311、服务端发送提示消息。

本实施例中，服务端在步骤310确定出安全策略配置信息不合规的客户端之后，将步骤310中生成的提示消息发送至该客户端对应的使用者，例如可以通过邮箱以邮件的形式发送，也可以将该提示消息发送至该客户端，还可以是通过微信、qq或者其它的方式发送给该客户端对应的使用者，以督促其对不合规的安全策略进行修改，具体发送方式此处不做限定。

本实施例中，应用于服务端，获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。其中，安全策略信息对应于安全等级保护的配置要求，即不同的安全策略信息对应于不同的安全等级保护的等级，从而服务端向客户端发送所述安全策略信息之后，使得所述客户端根据所述安全策略信息进行安全策略配置，从而实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。此外，在客户端进行安全策略配置之后，服务端还可以根据最新的安全等级保护要求或者其它的个性化需求生成第一信息，用于下发至客户端后，客户端对安全策略配置进行更新，此外，客户端还可以根据自身的配置情况生成反馈消息发送至服务端，使得服务端生成统计报告，可用于指导后续对安全策略信息的更新，或者用于管理员对大量客户端端进行管理和工作汇报等相关工作，服务端还可以向客户端发送提示消息，用以督促其对不合规的安全策略进行修改。

请参阅图4，本申请实施例中一种安全策略维护方法的另一个实施例包括：

云端、服务端、客户端，具体在方案实现的过程中，基于前述实施例，该方法可以实现如下步骤：

1.在云端部署安装包，云端部署完之后，下发部署指令给服务端，使服务端完成自动部署，云端主要负责后续对服务端和管理平台的维护和升级。

2.服务端接收到云端发送的部署指令后，自动从云端下载安装包，进行自动安装和部署，同时下发部署指令给客户端，使客户端完成自动部署。给客户端下发部署命令：支持ip段、域控以及批量下发。

3.客户端收到服务端发送的部署指令后，自动从服务端下载安装包，下载安装包后进行自动安装和部署。客户端支持错峰下载和升级，同时也支持客户端之间共享安装包，减少服务端的下载和升级的压力。

从而通过本实施例中的方法实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

上面从方法部分对本申请实施例的方案进行了描述，下面从服务端的角度进行介绍，具体请参阅图5，本申请实施例中一种服务端的一个实施例包括：

第一获取单元501，用于获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；

第一发送单元502，用于向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。

在一些优选地实施例中，所述客户端包括第一客户端和第二客户端，所述第一发送单元具体501用于：

向所述第一客户端发送所述安全策略信息，以使得所述第一客户端根据所述安全策略信息生成共享路径，所述共享路径用于指示所述安全策略信息在所述第一客户端的存储路径；

接收所述第一客户端发送的所述共享信息，所述共享信息包括共享路径和所述第一客户端的标识码；

向所述第二客户端发送所述共享路径，以使得所述第二客户端根据所述共享信息向所述第一客户端获取所述安全策略信息。

在一些优选地实施例中，所述安全策略信息至少包括以下一种：

身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组。

在一些优选地实施例中，所述服务端还包括：

第二获取单元503，用于获取第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求；

第二发送单元504，用于向所述客户端发送所述第一信息，以使得所述客户端根据所述第一信息对安全策略配置进行更新。

在一些优选地实施例中，所述服务端还包括：

接收单元505，用于接收所述客户端发送的反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息；

第一生成单元506，用于根据所述反馈消息生成处理报告。

在一些优选地实施例中，所述服务端还包括：

第二生成单元507，用于当所述反馈消息指示所述客户端的安全策略配置信息不合规时，根据所述反馈消息生成提示信息，所述提示信息包括安全策略指导信息；

第三发送单元508，用于向所述客户端对应的用户终端发送所述提示信息。

本实施例中，第一获取单元501获取安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；第一发送单元502向客户端发送所述安全策略信息，以使得所述客户端根据所述安全策略信息进行安全策略配置。其中，安全策略信息对应于安全等级保护的配置要求，即不同的安全策略信息对应于不同的安全等级保护的等级，从而服务端向客户端发送所述安全策略信息之后，使得所述客户端根据所述安全策略信息进行安全策略配置，从而实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。此外，在客户端进行安全策略配置之后，服务端还可以根据最新的安全等级保护要求或者其它的个性化需求生成第一信息，用于下发至客户端后，客户端对安全策略配置进行更新，此外，客户端还可以根据自身的配置情况生成反馈消息发送至服务端，使得服务端生成统计报告，可用于指导后续对安全策略信息的更新，或者用于管理员对大量客户端端进行管理和工作汇报等相关工作，服务端还可以向客户端发送提示消息，用以督促其对不合规的安全策略进行修改。

请参阅图6，本申请实施例中一种客户端的一个实施例包括：

第一接收单元601，用于接收服务端发送的安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；

配置单元602，用于根据所述安全策略信息进行安全策略配置。

在一些优选地实施例中，所述客户端包括第一客户端和第二客户端，所述第一接收单元具体用于：

所述第一客户端接收服务端发送的安全策略信息；

所述第一客户端根据所述安全策略信息生成共享路径，所述共享路径用于指示所述安全策略信息在所述第一客户端的存储路径；

所述第一客户端向所述服务端发送所述共享路径；

所述第二客户端接收所述服务端发送的所述共享路径，

所述第二客户端根据所述共享路径向所述第一客户端获取所述安全策略信息。

在一些优选地实施例中，所述共享信息包括按照预设规则加密后的所述共享路径和加密后的所述第一客户端的标识码；

所述安全策略信息至少包括以下一种：

身份鉴别策略组、访问控制策略组、安全审计策略组、剩余信息保护策略组、入侵防范策略组、恶意代码防范策略组。

在一些优选地实施例中，所述客户端还包括：

第二接收单元603，用于接收所述服务端发送的第一信息，所述第一信息包括更新后的安全策略信息和/或配置要求；

更新单元604，用于根据所述第一信息对安全策略配置进行更新。

在一些优选地实施例中，所述客户端还包括：

生成单元605，用于生成反馈消息，所述反馈消息用于指示所述客户端的安全策略配置信息；

发送单元606，用于向所述服务端发送所述反馈消息，以使得所述服务端根据所述反馈消息生成处理报告。

本实施例中，应用于客户端，第一接收单元601，用于接收服务端发送的安全策略信息，所述安全策略信息对应于安全等级保护的配置要求；配置单元602，用于根据所述安全策略信息进行安全策略配置。其中，安全策略信息对应于安全等级保护的配置要求，即不同的安全策略信息对应于不同的安全等级保护的等级，从而服务端向客户端发送所述安全策略信息之后，使得所述客户端根据所述安全策略信息进行安全策略配置，从而实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

本发明还提供了一种安全策略维护系统，该安全策略维护系统可以包括上述说明的服务端和客户端。通过服务端和客户端的配合使用，可以实现对客户端的安全策略进行安全策略检查的自动化及量化，当存在多个客户端需要安全维护时，极大地提高了安全运维和检查的工作效率。

下面从硬件处理的角度对本申请实施例中的服务端进行描述：该服务端包括处理器、存储器、输入输出设备以及总线；所述处理器、存储器、输入输出设备分别与所述总线相连；所述处理器用于执行上述方法中服务端执行的步骤。

请参阅图7，本申请实施例中服务端的另一个具体实施例包括：

该服务端700可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(centralprocessingunits，cpu)701(例如，一个或一个以上处理器)和存储器705，该存储器705中存储有一个或一个以上的应用程序或数据。

其中，存储器705可以是易失性存储或持久存储。存储在存储器705的程序可以包括一个或一个以上模块，每个模块可以包括对区块链节点设备中的一系列指令操作。更进一步地，中央处理器701可以设置为与存储器705通信，在智能终端700上执行存储器705中的一系列指令操作。

该装置700还可以包括一个或一个以上电源702，一个或一个以上有线或无线网络接口703，一个或一个以上输入输出接口704，和/或，一个或一个以上操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。

本实施例中服务端700中的中央处理器701所执行的流程与前述实施例中描述方法流程中的服务端执行的步骤类似，此处不再赘述。

下面从硬件处理的角度对本申请实施例中的客户端进行描述：该客户端包括处理器、存储器、输入输出设备以及总线；所述处理器、存储器、输入输出设备分别与所述总线相连；所述处理器用于执行上述方法中客户端执行的步骤。

请参阅图8，本申请实施例中客户端的另一个具体实施例包括：

该客户端800可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(centralprocessingunits，cpu)801(例如，一个或一个以上处理器)和存储器805，该存储器805中存储有一个或一个以上的应用程序或数据。

其中，存储器805可以是易失性存储或持久存储。存储在存储器805的程序可以包括一个或一个以上模块，每个模块可以包括对区块链节点设备中的一系列指令操作。更进一步地，中央处理器801可以设置为与存储器805通信，在智能终端800上执行存储器805中的一系列指令操作。

该客户端800还可以包括一个或一个以上电源802，一个或一个以上有线或无线网络接口803，一个或一个以上输入输出接口804，和/或，一个或一个以上操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。

本实施例中客户端800中的中央处理器801所执行的流程与前述实施例中描述方法流程中的服务端执行的步骤类似，此处不再赘述。

可以理解的是，在本申请的各种实施例中，上述各步骤的序号的大小并不意味着执行顺序的先后，各步骤的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。