CN105516081A - 一种服务器下发安全策略的方法、系统及消息队列中间件 - Google Patents

一种服务器下发安全策略的方法、系统及消息队列中间件 Download PDF

Info

Publication number
CN105516081A
CN105516081A CN201510830013.6A CN201510830013A CN105516081A CN 105516081 A CN105516081 A CN 105516081A CN 201510830013 A CN201510830013 A CN 201510830013A CN 105516081 A CN105516081 A CN 105516081A
Authority
CN
China
Prior art keywords
security strategy
client
server
strategy
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510830013.6A
Other languages
English (en)
Inventor
李红雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201510830013.6A priority Critical patent/CN105516081A/zh
Publication of CN105516081A publication Critical patent/CN105516081A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种服务器下发安全策略的方法、系统及消息队列中间件,该方法应用于与所述服务器相连的消息队列中间件,包括:接收所述服务器下发的安全策略;根据所述安全策略,判断接收该安全策略的客户端是否在线;如果是,将所述安全策略发送至所述客户端;如果否,将所述安全策略存储到预设的存储空间内,并实时监测所述客户端的状态,进一步判断所述客户端是否上线,如果是,执行所述将所述安全策略发送至所述客户端。该消息队列中间件包括:接收单元、判断单元、存储单元及发送单元。该系统包括:服务器、至少一个客户端及上述消息队列中间件。本方案能够提高服务器的安全性。

Description

一种服务器下发安全策略的方法、系统及消息队列中间件
技术领域
本发明涉及计算机技术领域,特别涉及一种服务器下发安全策略的方法、系统及消息队列中间件。
背景技术
随着计算机技术的不断发展,服务器被广泛应用于各个行业,为用户提供安全、可靠的运算服务。用户通过与服务器相连的客户端,访问服务器上的数据或利用服务器的计算资源进行计算任务,一般同一个服务器可以连接多个客户端。为了保证用户数据及计算任务的安全,当客户端对服务器进行访问时,服务器需要向客户端下发相应的安全策略,客户端根据服务器下发的安全策略对服务器进行访问。
目前,服务器在向客户端发送安全策略时,服务器通过传输控制协议TCP直接将安全策略发送至客户端。
针对于现有技术服务器下发安全策略的方法,由服务器通过传输控制协议TCP直接发送给客户端,如果在安全策略下发的过程中,客户端与服务器之间的网络处于中断状态或客户端处于离线状态时,将使服务器下发的安全策略丢失,最终导致客户端无法获取安全策略,客户端在没有安全策略下运行,存在很大的安全隐患,很可能导致服务器安全性受到威胁,因而,服务器的安全性较低。
发明内容
本发明提供一种服务器下发安全策略的方法、系统及消息队列中间件,能够提高服务器的安全性。
本发明实施例提供了一种服务器下发安全策略的方法,应用于与所述服务器相连的消息队列中间件,包括:
接收所述服务器下发的安全策略;
根据所述安全策略,判断接收该安全策略的客户端是否在线;
如果是,将所述安全策略发送至所述客户端;
如果否,将所述安全策略存储到预设的存储空间内,并实时监测所述客户端的状态,进一步判断所述客户端是否上线,如果是,执行所述将所述安全策略发送至所述客户端。
优选地,所述接收所述服务器下发的安全策略包括:根据安全套接层SSL加密协议,接收所述服务器根据SSL加密协议生成的已经加密的安全策略;
所述将所述安全策略发送至所述客户端包括:根据安全套接层SSL加密协议,将所述安全策略发送至所述客户端。
优选地,所述安全策略包括:安全标记规则、文件保护规则、进程保护规则、注册表规则及信任列表规则中的任意一个或多个。
优选地,该方法进一步包括:
接收所述客户端发送的安全日志,并将所述安全日志发送至所述服务器。
本发明实施例还提供了一种消息队列中间件,与下发安全策略的服务器相连,包括:接收单元、判断单元、存储单元及发送单元;
所述接收单元,用于接收所述服务器下发的安全策略;
所述判断单元,用于根据所述接收单元接收到的安全策略,判断接收该安全策略的客户端是否在线;
所述发送单元,用于根据所述判断单元的判断结果,如果是,将所述安全策略发送至所述客户端;
所述存储单元,用于根据所述判断单元的判断结果,如果否,将所述安全策略存储到预设的存储空间内,并实时检测所述客户端的状态,进一步判断所述客户端是否上线,如果是,通知所述发送单元将所述安全策略发送至所述客户端。
优选地,所述接收单元,用于根据安全套接层SSL加密协议,接收所述服务器根据SSL加密协议生成的已经加密的安全策略;
所述发送单元,用于根据安全套接层SSL加密协议,将所述安全策略发送至所述客户端。
优选地,所述接收单元,进一步用于接收所述客户端发送的安全日志;
所述发送单元,进一步用于将所述接收单元接收到的安全日志发送至所述服务器。
本发明实施例还提供了一种服务器下发安全策略的系统,包括:服务器、至少一个客户端及上述实施例提供的任意一种消息队列中间件;
所述服务器与所述消息队列中间件相连,所述消息队列中间件与各个所述客户端相连;
所述服务器,用于向所述消息队列中间件发送安全策略;
所述客户端,用于接收所述消息队列中间件发送的安全策略。
优选地,
所述服务器,用于在向所述消息队列中间件发送安全策略之前,根据安全策略的优先级对同类安全策略进行判决,将优先级较高的安全策略作为最终发送至消息队列中间件的安全策略,其中,主机策略的优先级高于分组策略的优先级,所述主机策略为通过批量分发多台客户端的方式分发的策略,所述分组策略为通过添加分组属性策略来进行策略分发的策略。
优选地,所述消息队列中间件设置于所述服务器上或其他计算设备上。
优选地,
所述服务器,用于接收外部触发,根据安全套接层SSL加密协议生成加密的安全策略,并根据SSL加密协议向所述消息队列中间件发送该安全策略;
所述客户端,用于根据SSL加密协议接收所述消息队列中间件发送的安全策略。
优选地,
所述客户端,用于采集安全日志,并将所述安全日志发送至所述消息队列中间件;
所述服务器,用于接收所述消息队列中间件发送的安全日志。
本发明实施例提供了一种安全策略下发的方法、系统及消息队列中间件,服务器在向客户端发送安全策略时,首先将安全策略发送至消息队列中间件,消息队列中间件接收到服务器下发的安全策略后,判断接收该安全策略的客户端是否在线,如果在线,将安全策略发送至该客户端,如果该客户端不在线,则将安全策略存储到存储空间,并实时检测该客户端的状态,判断该客户端是否上线,客户端上线后,将存储空间中的安全策略发送至该客户端,通过这种安全策略下发的方法,保证安全策略可以发送至对应的客户端,避免安全策略在下发过程中丢失而导致客户端在没有安全策略下运行的情况发生,通过客户端执行安全策略对服务器进行防护,提高了服务器的安全性。
附图说明
图1是本发明一个实施例提供的一种服务器下发安全策略的方法流程图;
图2是本发明一个实施例提供的一种消息队列中间件示意图;
图3是本发明一个实施例提供的一种服务器下发安全策略的系统示意图;
图4是本发明另一个实施例提供的一种服务器下发安全策略的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明一个实施例提供了一种服务器下发安全策略的方法,应用于与所述服务器相连的消息队列中间件,包括:
步骤101:接收所述服务器下发的安全策略;
步骤102:根据所述安全策略,判断接收该安全策略的客户端是否在线,如果是,执行步骤105,否则执行步骤103;
步骤103:将所述安全策略存储到预设的存储空间内;
步骤104:实时检测所述客户端的状态,进一步判断所述客户端是否在线,如果是,执行步骤105,否则继续执行步骤104;
步骤105:将所述安全策略发送至所述客户端。
本发明实施例提供了一种服务器下发安全策略的方法,服务器在向客户端发送安全策略时,首先将安全策略发送至消息队列中间件,消息队列中间件接收到服务器下发的安全策略后,判断接收该安全策略的客户端是否在线,如果在线,将安全策略发送至该客户端,如果该客户端不在线,则将安全策略存储到存储空间,并实时检测该客户端的状态,判断该客户端是否上线,客户端上线后,将存储空间中的安全策略发送至该客户端,通过这种安全策略下发的方法,保证安全策略可以发送至对应的客户端,避免安全策略在下发过程中丢失而导致客户端在没有安全策略下运行的情况发生,通过客户端执行安全策略对服务器进行防护,提高了服务器的安全性。
在本发明一个实施例中,在接收和下发安全策略时使用安全套接层SSL加密协议,服务器在下发安全策略之前,通过安全套接层SSL加密协议对待下发的安全策略进行加密,接收服务器下发的已经加密的安全策略,并将已经加密的安全策略发送至客户端,通过安全套接层SSL加密协议,一方面可以将安全协议加密,避免安全策略在下发过程中被窃取,提高了服务器的安全性,另一方面,通过安全套接层SSL加密协议传输安全策略,无需添加其他加密程序,降低了该安全策略下发方法的技术难度。
在本发明一个实施例中,服务器下发的安全策略包括安全标记规则、文件保护规则、进程保护规则、注册表规则及信任列表规则中的任意一个或多个安全策略,通过支持多种安全策略,保证将各类安全策略均成功的下发至客户端,保证客户端能够执行各类安全策略对服务器进行防护,进一步提高了服务器的安全性。
在本发明一个实施例中,客户端在运行的过程中采集安全日志,接收到客户端发送的安全日志之后,将该安全日志发送至服务器,服务器根据接收到的安全日志指定对应的安全策略对存在的威胁进行防护,进一步提高了服务器的安全性。
如图2所示,本发明一个实施例提供了一种消息队列中间件,该消息队列中间件与下发安全策略的服务器相连,包括:接收单元201、判断单元202、存储单元203及发送单元204;
所述接收单元201,用于接收所述服务器下发的安全策略;
所述判断单元202,用于根据所述接收单元201接收到的安全策略,判断接收该安全策略的客户端是否在线;
所述发送单元204,用于根据所述判断单元202的判断结果,如果是,将所述安全策略发送至所述客户端;
所述存储单元203,用于根据所述判断单元202的判断结果,如果否,将所述安全策略存储到预设的存储空间内,并实时检测所述客户端的状态,进一步判断所述客户端是否上线,如果是,通过所述发送单元204将所述安全策略发送至所述客户端。
本发明实施例提供了一种消息队列中间件,该消息队列中间件与下发安全策略的服务器相连,接收单元接收服务器下发的安全策略后,判断单元判断接收该安全策略的客户端是否在线,如果在线,发送单元将该安全策略发送至客户端,如果不在线,存储单元将安全策略存储到预设的存储空间内,实时检测客户端的状态,在判断客户端上线后,由发送单元将存储空间内的安全策略发送至客户端,这样,服务器在下发安全测试后,首先将安全策略发送至消息队列中间件,消息队列中间件在客户端在线时向其发送安全策略,保证客户端能够成功接收服务器下发的安全策略,从而执行安全策略对服务器进行防护,提高了服务器的安全性。
在本发明一个实施例中,消息队列中间件在传输安全策略过程中使用安全套接层SSL加密协议,接收单元接收服务器下发的根据安全套接层SSL加密协议加密的安全策略,发送单元将该加密的安全策略发送至对应的客户端,通过使用安全套接层SSL加密协议传输安全策略,保证安全策略在传输过程中处于加密状态,避免加密协议在传输过程中被窃取,另外,直接通过安全套接层SSL协议传输安全策略,无需添加其他加密程序对安全策略进行加密,降低了安全策略下发的技术难度。
在本发明一个实施例中,消息队列中间件还用于传输安全日志,接收单元接收客户端发送的安全日志,发送单元将接收单元接收到的安全日志发送给服务器,通过消息队列中间件可以保证安全日志能够成功发送至服务器其,以便服务器根据安全日志制定对应的安全策略,从而对服务器进行防护,进一步提高了服务器的安全性。
如图3所示,本发明一个实施例提供了一种服务器下发安全策略的系统,包括:服务器301、至少一个客户端302及上述实施例提供的任意一种消息队列中间件303;
所述服务器301与所述消息队列中间件303相连,所述消息队列中间件303与各个所述客户端302相连;
所述服务器301,用于向所述消息队列中间件303发送安全策略;
所述客户端302,用于接收所述消息队列中间件303发送的安全策略。
在本发明一个实施例中,服务器下发安全策略时,首先将安全策略发送至消息队列中间件,然后由消息队列中间件将安全策略发送至对应的客户端,由于消息队列中间件具有暂存的功能,当客户端不在线时可以将安全策略存储到预设的存储空间内,待客户端上线后向其发送存储空间内的安全策略,这样可以保证服务器能够成功将安全策略下发至客户端,进而客户端执行安全策略对服务器进行防护,提高了服务器的安全性。
在本发明一个实施例中,服务器根据安全策略的优先级对同类安全策略进行判决,将优先级较高的安全策略作为最终发送至消息队列中间件的安全策略,其中,主机策略的优先级高于分组策略的优先级,主机策略为通过批量分发多台客户端的方式分发的策略,分组策略为通过添加分组属性策略来进行策略分发的策略,当服务器下发多条同类安全策略时,通过策略判决,将防护级别较高的主机策略发送至消息队列中间件,进而将该安全策略发送至客户端,客户端执行该安全策略对服务器进行防护,在同类安全策略中执行防护级别较高的安全策略,提高对服务器的防护级别,从而提高服务器的安全性。
在本发明一个实施例中,消息队列中间件可以设置在服务器上,也可以单独设置一个计算设备作为消息队列中间件,根据实际情况灵活选择,提高了该安全策略下发的系统的适用性。
在本发明一个实施例中,服务器向客户端发送安全策略的过程采用安全套接层SSL加密协议,服务器根据安全套接层SSL加密协议对待下发的安全策略进行加密,服务器通过安全套接层SSL加密协议将加密后的安全策略发送至消息队列中间件,消息队列中间件通过安全套接层SSL加密协议将加密的安全策略发送至对应的客户端,客户端通过安全套接层SSL加密协议接收消息队列中间件发送的安全策略,在安全策略下发的过程中,安全策略一直处于加密状态,保证安全策略在传输过程中不会被窃取,提高服务器的安全性。
在本发明一个实施例中,客户端在运行过程中采集安全日志,并将采集到的安全日志发送至消息队列中间件,消息队列中间件在接收到客户端发送的安全日志后,将该安全日志发送至服务器,服务器根据客户端采集的安全日志,分析潜在的安全隐患,制定对应的安全策略进行防护,以保证服务器的安全运行,从而提高了服务器的安全性。
为使本发明的目的、技术方案和优点更加清楚,下面结合图3所示服务器下发安全策略的系统,对本发明提供的服务器下发安全策略的方法作进一步地详细描述。
如图4所示,本发明一个实施例提供了一种安全策略下发的方法,包括:
步骤401:确定消息队列中间件。
在本发明一个实施例中,服务器需要向与之通信的各个客户端下发安全策略,客户端在运行过程中执行下发的安全策略,以对服务器的安全进行防护,从该服务器上分配一定资源确定为消息队列中间件,该消息队列中间件一端与服务器相连,另一端与各个客户端相连。例如,服务器A与10个客户端通信,10个客户端分别为客户端1至客户端10,在服务器A上划分出一定的计算资源和存储资源作为消息队列中间件B,消息队列中间件B一端与服务器A相连,另一端分别与客户端1至客户端10相连。
步骤402:根据策略的优先级,确定需要下发的安全策略。
在本发明一个实施例中,服务器向同一个客户端下发多个同类安全策略时,根据各个安全策略的优先级,确定最终需要下发的安全策略,其中主机策略的优先级高于分组策略,主机策略为通过批量分发多台客户端的方式分发的策略,分组策略为通过添加分组属性策略来进行策略分发的策略。例如,现有2个文件保护规则类型和1个进程保护规则类型的安全策略需要下发,安全策略1和安全策略2为文件保护规则类型的安全策略,安全策略3为进程保护规则类型的安全策略,其中安全策略1为通过批量下发至每一个客户端的方式下发至各个客户端,安全策略2为通过添加分组属性策略进行策略下发至对应的客户端,由于安全策略1的优先级大于安全策略2的优先级,最终确定安全策略1为需要下发的安全策略。
步骤403:服务器将安全策略下发至消息队列中间件。
在本发明一个实施例中,服务器确定出需要下发的安全策略之后,服务器根据安全套接层SSL加密协议对安全策略进行加密,加密完成后,通过安全套接层SSL加密协议将已经加密的安全策略发送至消息队列中间件。例如,服务器A根据安全套接层SSL加密协议分别对安全策略1及安全策略3进行加密,加密完成后,依据安全套接层SSL加密协议将已经加密的安全策略1及安全策略3发送至消息队列中间件B。
步骤404:消息队列中间件判断接收安全策略的客户端是否在线,如果是,执行步骤407,否则执行步骤405。
在本发明一个实施例中,消息队列中间件接收到服务器下发的安全策略之后,根据该安全策略携带的目标接收端信息,判断接收该安全策略的客户端是否在线,如果在线,相应的执行步骤407,否则执行步骤405。例如,消息队列中间件B接收到安全策略1及安全策略3后,根据安全策略1携带的信息,获取到安全策略1需要下发至客户端1,根据安全策略3携带的信息,获取到安全策略3需要下发至客户端2,消息队列中间件B分别判断客户端1和客户端2是否在线,其中判断出客户端1在线,客户端2不在线,针对于安全策略1执行步骤407,针对于安全策略3执行步骤405。
步骤405:消息队列中间件将安全策略存储到预设的存储空间中。
在本发明一个实施例中,消息队列中间件判断接收安全策略的客户端不在线后,将安全策略存储到预先指定的存储空间中,对安全策略进行暂时保存。例如,消息队列中间件B盘判断客户端2不在线后,将安全策略3存储到消息队列中间件B中预先指定的客户端2对应的存储空间中。
步骤406:实时监控客户端的状态,判断其是否上线,如果是,执行步骤407,否则继续执行步骤406。
在本发明一个实施例中,将安全策略存储到指定的存储空间中之后,实时对接收该安全策略的客户端的状态进行监控,判断其是否上线,如果该客户端上线了,响应的执行步骤407,如果该客户端没有上线,则继续执行步骤406,对该客户端的状态进行监控,直至该客户端上线。例如,将安全策略3存储到消息队列中间件B中客户端2对应的存储空间中后,消息队列中间件B实时对客户端2的状态进行监控,根据监控结果判断客户端2是上线,如果客户端2上线了,相应的执行步骤407,如果客户端2没有上线,则继续执行步骤406,对客户端2的状态进行监控。
步骤407:消息队列中间件将安全策略发送至对应的客户端。
在本发明一个实施例中,当消息队列中间件判断接收安全策略的客户端在线时,通过安全套接层SSL加密协议将安全策略发送至对应的客户端。例如,消息队列中间件B在接收到安全策略1后判断客户端1在线,随即通过安全套接层SSL加密协议,将已经加密的安全策略1发送至客户端1;消息队列中间件B在对客户端2进行监控的过程中发现客户端2上线后,读取存储空间中的安全策略3,通过安全套接层SSL加密协议将安全策略3发送至客户端2。
步骤408:客户端接收消息队列中间件发送的安全策略,并执行该安全策略。
在本发明一个实施例中,客户端根据安全套接层SSL协议接收消息队列中间件发送的安全策略,根据安全套接层SSL协议对加密的安全策略进行解密,客户端在运行过程中,执行解密后的安全策略,对服务器进行防护。例如,客户端1在运行过程中,根据安全策略1规定的文件保护规则对服务器中的文件进行防护,客户端2在运行过程中,根据安全策略3规定的进程保护规则对服务器中的进程进行防护。
需要说明的是,在本发明一个实施例中,客户端在运行过程中采集安全日志,将采集到的安全日志发送给消息队列中间件,消息队列中间件在接收到客户端发送的安全日志后,将安全日志发送至服务器,服务器根据客户端采集到的安全日志,分析存在的潜在威胁,针对存在的潜在威胁制定对应的安全策略,重复执行上述步骤401至步骤407,对存在的潜在威胁进行防护。
根据上述方案,本发明的实施例所提供的一种安全策略下发的方法、系统及消息队列中间件,至少具有如下有益效果:
1、本发明实施例中,服务器在向客户端发送安全策略时,首先将安全策略发送至消息队列中间件,消息队列中间件接收到服务器下发的安全策略后,判断接收该安全策略的客户端是否在线,如果在线,将安全策略发送至该客户端,如果该客户端不在线,则将安全策略存储到存储空间,并实时检测该客户端的状态,判断该客户端是否上线,客户端上线后,将存储空间中的安全策略发送至该客户端,通过这种安全策略下发的方法,保证安全策略可以发送至对应的客户端,避免安全策略在下发过程中丢失而导致客户端在没有安全策略下运行的情况发生,通过客户端执行安全策略对服务器进行防护,提高了服务器的安全性。
2、本发明实施例中,在服务器通过安全套接层SSL加密协议下发安全策略,在安全策略下发过程中,安全策略一直处于加密状态,防止安全策略在传输过程中被截取或窃听,提高了服务器的安全性,采用安全套接层SSL加密协议传输安全策略,无需另外添加加密程序对安全策略进行加密,降低了该安全策略下发方法实现的技术难度,一般技术人员也能够实现,提高了该方法的适用性。
3、本发明实施例中,客户端运行过程中采集安全日志,通过消息队列中间件将安全日志发送给服务器,服务器根据安全日志分析存在的潜在隐患,针对存在的潜在威胁制定对应的安全策略进行防护,从而保证服务器的安全性。
4、本发明实施例中,消息队列中间件可以设置在服务器上,也可以另外配备一台计算设备作为消息队列中间件,可以根据实际需求灵活选择,提高了该方法的易用性及适用性。
5、本发明实施例中,服务器在下发安全策略之前,根据安全策略的优先级对同类安全策略进行判决,最终将优先级较高的安全策略下发至客户端,通过设置安全策略的优先级,实现对服务器不同级别的防护,提高了服务器的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种服务器下发安全策略的方法,其特征在于,应用于与所述服务器相连的消息队列中间件,包括:
接收所述服务器下发的安全策略;
根据所述安全策略,判断接收该安全策略的客户端是否在线;
如果是,将所述安全策略发送至所述客户端;
如果否,将所述安全策略存储到预设的存储空间内,并实时监测所述客户端的状态,进一步判断所述客户端是否上线,如果是,执行所述将所述安全策略发送至所述客户端。
2.根据权利要求1所述的方法,其特征在于,
所述接收所述服务器下发的安全策略包括:根据安全套接层SSL加密协议,接收所述服务器根据SSL加密协议生成的已经加密的安全策略;
所述将所述安全策略发送至所述客户端包括:根据安全套接层SSL加密协议,将所述安全策略发送至所述客户端;
和/或,
所述安全策略包括:安全标记规则、文件保护规则、进程保护规则、注册表规则及信任列表规则中的任意一个或多个。
3.根据权利要求1或2所述的方法,其特征在于,进一步包括:
接收所述客户端发送的安全日志,并将所述安全日志发送至所述服务器。
4.一种消息队列中间件,其特征在于,与下发安全策略的服务器相连,包括:接收单元、判断单元、存储单元及发送单元;
所述接收单元,用于接收所述服务器下发的安全策略;
所述判断单元,用于根据所述接收单元接收到的安全策略,判断接收该安全策略的客户端是否在线;
所述发送单元,用于根据所述判断单元的判断结果,如果是,将所述安全策略发送至所述客户端;
所述存储单元,用于根据所述判断单元的判断结果,如果否,将所述安全策略存储到预设的存储空间内,并实时检测所述客户端的状态,进一步判断所述客户端是否上线,如果是,通知所述发送单元将所述安全策略发送至所述客户端。
5.根据权利要求4所述的消息队列中间件,其特征在于,
所述接收单元,用于根据安全套接层SSL加密协议,接收所述服务器根据SSL加密协议生成的已经加密的安全策略;
所述发送单元,用于根据安全套接层SSL加密协议,将所述安全策略发送至所述客户端。
6.根据权利要求4或5所述的消息队列中间件,其特征在于,
所述接收单元,进一步用于接收所述客户端发送的安全日志;
所述发送单元,进一步用于将所述接收单元接收到的安全日志发送至所述服务器。
7.一种服务器下发安全策略的系统,其特征在于,包括:服务器、至少一个客户端及权利要求4至6中任一所述的消息队列中间件;
所述服务器与所述消息队列中间件相连,所述消息队列中间件与各个所述客户端相连;
所述服务器,用于向所述消息队列中间件发送安全策略;
所述客户端,用于接收所述消息队列中间件发送的安全策略。
8.根据权利要求7所述的系统,其特征在于,
所述服务器,用于在向所述消息队列中间件发送安全策略之前,根据安全策略的优先级对同类安全策略进行判决,将优先级较高的安全策略作为最终发送至消息队列中间件的安全策略,其中,主机策略的优先级高于分组策略的优先级,所述主机策略为通过批量分发多台客户端的方式分发的策略,所述分组策略为通过添加分组属性策略来进行策略分发的策略。
9.根据权利要求7所述的系统,其特征在于,
所述消息队列中间件设置于所述服务器上或其他计算设备上;
和/或,
所述服务器,用于接收外部触发,根据安全套接层SSL加密协议生成加密的安全策略,并根据SSL加密协议向所述消息队列中间件发送该安全策略;
所述客户端,用于根据SSL加密协议接收所述消息队列中间件发送的安全策略。
10.根据权利要求7至9中任一所述的系统,其特征在于,
所述客户端,用于采集安全日志,并将所述安全日志发送至所述消息队列中间件;
所述服务器,用于接收所述消息队列中间件发送的安全日志。
CN201510830013.6A 2015-11-25 2015-11-25 一种服务器下发安全策略的方法、系统及消息队列中间件 Pending CN105516081A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510830013.6A CN105516081A (zh) 2015-11-25 2015-11-25 一种服务器下发安全策略的方法、系统及消息队列中间件

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510830013.6A CN105516081A (zh) 2015-11-25 2015-11-25 一种服务器下发安全策略的方法、系统及消息队列中间件

Publications (1)

Publication Number Publication Date
CN105516081A true CN105516081A (zh) 2016-04-20

Family

ID=55723719

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510830013.6A Pending CN105516081A (zh) 2015-11-25 2015-11-25 一种服务器下发安全策略的方法、系统及消息队列中间件

Country Status (1)

Country Link
CN (1) CN105516081A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027569A (zh) * 2016-07-19 2016-10-12 浪潮电子信息产业股份有限公司 一种防火墙管理方法、主节点、从节点及集群
CN108648108A (zh) * 2018-04-08 2018-10-12 北京大米科技有限公司 在线课堂的学习数据聚合方法、服务器组件及服务器
CN109005197A (zh) * 2018-09-11 2018-12-14 郑州云海信息技术有限公司 一种安全规则的配置方法、装置和计算机可读存储介质
CN109104374A (zh) * 2018-07-24 2018-12-28 郑州云海信息技术有限公司 一种实现同步下发策略的方法及装置
CN109150866A (zh) * 2018-08-09 2019-01-04 郑州云海信息技术有限公司 一种策略下发反馈和查看系统及方法
CN110474917A (zh) * 2019-08-16 2019-11-19 深圳前海微众银行股份有限公司 消息中间件上、下线方法、装置、设备及可读存储介质
CN110830366A (zh) * 2019-11-14 2020-02-21 北京京航计算通讯研究所 军工领域消息推送系统
CN111245777A (zh) * 2019-11-14 2020-06-05 北京京航计算通讯研究所 军工领域消息的传递方法
CN111859397A (zh) * 2020-07-23 2020-10-30 国家工业信息安全发展研究中心 终端防护策略配置方法及装置
CN112241535A (zh) * 2020-10-20 2021-01-19 福建奇点时空数字科技有限公司 一种基于流量数据分析的服务器安全策略配置方法
CN112422539A (zh) * 2020-11-08 2021-02-26 国家电网有限公司 基于消息队列的策略同步下发方法
CN114095568A (zh) * 2021-06-02 2022-02-25 北京机电工程研究所 一种基于中间件技术的消息传送装置和方法

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027569A (zh) * 2016-07-19 2016-10-12 浪潮电子信息产业股份有限公司 一种防火墙管理方法、主节点、从节点及集群
CN108648108A (zh) * 2018-04-08 2018-10-12 北京大米科技有限公司 在线课堂的学习数据聚合方法、服务器组件及服务器
CN109104374B (zh) * 2018-07-24 2022-02-18 郑州云海信息技术有限公司 一种实现同步下发策略的方法及装置
CN109104374A (zh) * 2018-07-24 2018-12-28 郑州云海信息技术有限公司 一种实现同步下发策略的方法及装置
CN109150866A (zh) * 2018-08-09 2019-01-04 郑州云海信息技术有限公司 一种策略下发反馈和查看系统及方法
CN109005197A (zh) * 2018-09-11 2018-12-14 郑州云海信息技术有限公司 一种安全规则的配置方法、装置和计算机可读存储介质
CN110474917A (zh) * 2019-08-16 2019-11-19 深圳前海微众银行股份有限公司 消息中间件上、下线方法、装置、设备及可读存储介质
CN110830366A (zh) * 2019-11-14 2020-02-21 北京京航计算通讯研究所 军工领域消息推送系统
CN111245777A (zh) * 2019-11-14 2020-06-05 北京京航计算通讯研究所 军工领域消息的传递方法
CN111859397A (zh) * 2020-07-23 2020-10-30 国家工业信息安全发展研究中心 终端防护策略配置方法及装置
CN112241535A (zh) * 2020-10-20 2021-01-19 福建奇点时空数字科技有限公司 一种基于流量数据分析的服务器安全策略配置方法
CN112422539A (zh) * 2020-11-08 2021-02-26 国家电网有限公司 基于消息队列的策略同步下发方法
CN114095568A (zh) * 2021-06-02 2022-02-25 北京机电工程研究所 一种基于中间件技术的消息传送装置和方法
CN114095568B (zh) * 2021-06-02 2023-09-12 北京机电工程研究所 一种基于中间件技术的消息传送装置和方法

Similar Documents

Publication Publication Date Title
CN105516081A (zh) 一种服务器下发安全策略的方法、系统及消息队列中间件
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
EP2889798B1 (en) Method and apparatus for improving network security
CA2526759A1 (en) Event monitoring and management
TW201804757A (zh) 網路攻擊防禦系統、方法及裝置
EP2788913B1 (en) Data center infrastructure management system incorporating security for managed infrastructure devices
CN114826880A (zh) 一种数据安全运行在线监测的方法及系统
CN102752289A (zh) 一种用于用电信息采集系统的主站
CN105812405A (zh) 一种处理消息的方法、装置及系统
KR101657180B1 (ko) 프로세스 접근 제어 시스템 및 방법
CN109600395A (zh) 一种终端网络接入控制系统的装置及实现方法
CN110049015B (zh) 网络安全态势感知系统
CN108322460B (zh) 一种业务系统流量监测系统
CN111049853A (zh) 一种基于计算机网络的安全认证系统
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
CN113726820A (zh) 数据传输系统
CN105491118B (zh) 一种航电以太网数据加载系统
CN108471428B (zh) 应用于CDN系统内的DDoS攻击主动防御技术及装备
CN106453358A (zh) 一种监控qq发送文件数据的方法
CN110022301A (zh) 物联网设备防护用防火墙
Qassim et al. Assessing the cyber-security of the IEC 60870-5-104 protocol in SCADA system
CN112351044A (zh) 一种基于大数据的网络安全系统
CN202713367U (zh) 一种用于用电信息采集系统的主站
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160420

WD01 Invention patent application deemed withdrawn after publication