CN111049855A - 一种基于标签的策略配置方法及装置 - Google Patents
一种基于标签的策略配置方法及装置 Download PDFInfo
- Publication number
- CN111049855A CN111049855A CN201911362710.8A CN201911362710A CN111049855A CN 111049855 A CN111049855 A CN 111049855A CN 201911362710 A CN201911362710 A CN 201911362710A CN 111049855 A CN111049855 A CN 111049855A
- Authority
- CN
- China
- Prior art keywords
- dynamic
- policy
- strategy
- sub
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
本申请提供一种基于标签的策略配置方法及装置。方法包括:获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;标签用于表征对应终端的属性信息;获取动态策略,动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;针对每个终端,根据其当前所使用的标签,从动态策略中选择目标子动态策略,并利用目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块获得目标策略。本申请既能够实现不同标签终端策略的灵活配置,又能够实现相同标签的终端策略的批量配置,提高了策略配置的灵活性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种基于标签的策略配置方法及装置。
背景技术
在终端安全领域,策略的制定与管理是终端安全的重要模块。新一代的终端安全强调情报驱动以及主动防御,即通过挖掘终端相关信息,进行薄弱点分析,加强策略配置,完成主动防御。由此可见,策略的配置管理是终端安全的重要环节。
策略配置管理的一般过程为:按照一定经验初始化一条完整策略,将策略分发到对应终端,出现需要调整策略的情况,调整策略,更新到对应终端。在上述过程中,终端最终使用的策略是一条完整的策略,但是在策略配置及分发过程中则有不同的方法。比如基于终端的策略管理方法以及基于分组的策略管理方法。但是这两种方法在策略管理过程中,灵活程度欠缺。
发明内容
本申请实施例的目的在于提供一种基于标签的策略配置方法及装置,用以解决现有技术中对策略管理不够灵活的问题。
第一方面,本申请实施例提供一种基于标签的策略配置方法,包括:获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
本申请实施例通过根据各个终端的标签不同为其配置对应的动态策略,从而既能够实现不同标签终端策略的灵活配置,又能够实现相同标签的终端策略的批量配置,提高了策略配置的灵活性。
进一步地,所述动态策略还包括每个子动态策略对应的优先级;所述针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,包括:
针对每个终端,根据其当前所使用的标签,按照子动态策略对应的优先级大小从所述动态策略中选择目标子动态策略。
进一步地,所述针对每个终端,根据其当前所使用的标签,按照子动态策略对应的优先级大小从所述动态策略中选择目标子动态策略,包括:
针对每一个终端,从优先级最高的子动态策略开始,每次选择一个子动态策略通过如下步骤与终端进行匹配,直至终端当前所使用的标签全部匹配成功或者所有的子动态策略均匹配过为止;所述步骤包括:
判断终端当前所使用的标签中是否包含所述子动态策略所对应的标签;
若包含,则将所述子动态策略作为目标子动态策略,并将终端当前所使用的标签中将匹配成功的标签删除,继续次高级的子动态策略匹配;
若不包含,则继续次高级的子动态策略匹配。
本申请实施例通过根据子动态策略的优先级依次进行子动态策略与终端的匹配,由于优先级高的子动态策略相对来说要更加重要一些,或者使用更加频繁一些,所以可以更好的对终端的安全进行保护。
进一步地,在获取网络中各终端分别对应的初始策略之前,所述方法还包括:
按照预设规则将所述网络中的终端进行分组,获得所述网络中的至少一个分组;其中,属于同一个分组的终端对应相同的初始策略。
本申请实施例中,对终端进行分组,并且被分为一组的终端可能包含相同的标签,可以实现批量配置具有相同标签的终端的策略,提高策略配置的效率。
进一步地,在获取动态策略之前,所述方法还包括:根据各个业务所需的一个或多个标签生成对应的子动态策略。
本申请实施例通过为某个标签或多个标签的组合分别生成对应的子动态策略,从而保证了动态策略中有各个终端所需的子动态策略,直接进行策略配置即可,无需临时生成子动态策略,从而提高了策略配置的效率。
进一步地,所述方法还包括:根据所述子动态策略生成的先后顺序确定子动态策略对应的优先级。
本申请实施例通过根据子动态策略的优先级依次进行子动态策略与终端的匹配,由于优先级高的子动态策略相对来说要更加重要一些,或者使用更加频繁一些,所以可以更好的对终端的安全进行保护。
第二方面,本申请实施例提供一种基于标签的策略配置装置,包括:
初始策略获取模块,用于获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;
动态策略获取模块,用于获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;
目标策略生成模块,用于针对每个终端,根据当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
进一步地,所述动态策略还包括每个子动态策略对应的优先级;目标策略生成模块,具体用于:
针对每个终端,根据其当前所使用的标签,按照优先级大小从所述动态策略中选择目标子动态策略。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为对照实施例提供的基于终端的策略管理方法示意图;
图2为另一对照实施例提供的基于分组的策略管理方法示意图;
图3为本申请实施例提供的一种策略配置方法流程图;
图4为本申请实施例提供的另一种策略配置流程图;
图5为本申请实施例提供的目标子动态策略选择流程示意图;
图6为本申请实施例提供的一种优先级顺序的策略配置方法示意图;
图7为本申请实施例提供的另一种优先级顺序的策略配置方法示意图;
图8为本申请实施例提供的装置结构示意图;
图9为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
在本申请之前,针对终端的不同业务其所需的策略不同,因此,需要实时地根据终端当前的业务情况动态调整其策略。其中,策略是指在某个区域内,用于所有相关活动的一套规则。策略管理即对上述规则的制定、调整、适配活动。现有的策略管理方法多为两种,一种是基于终端的策略管理方法,另一种是基于分组的策略管理方法。
图1为对照实施例提供的基于终端的策略管理方法示意图,如图1所示,在已绑定的策略基础上进行修改,获得修改后的完整策略,从而,与该终端绑定的变为修改后的完整策略,该策略只对绑定的终端生效。这种方法一次配置仅能对一个终端生效,不能批量配置。
图2为另一对照实施例提供的基于分组的策略管理方法示意图,如图2所示,预先将终端进行分组,直接将一条完整的策略绑定到分组,此策略对绑定的分组中的所有终端生效。因此,基于分组的策略管理方法,能够对整个分组的终端生效,能够实现批量修改,自动适应到整个分组的终端,但是特殊情境下,需要跨分组给某些终端调整策略中某个模块的配置,操作不便,需要调整分组,并重新配置完整策略,使整个操作变得繁琐,容易出现问题。
综上,上述两种策略配置方法均表现为配置不够灵活,操作繁琐的问题,为了解决上述问题,本申请实施例提供一种基于标签的策略配置方法,该方法根据终端当前所使用的标签来实现策略的灵活配置。
下面将详细描述配置方法,应当说明的是,执行下述方法的主体为配置装置,该配置装置可以是各个终端,也可以是独立于各个终端之外的一个设备,该设备可以与各个终端进行通信,并能够获取各个终端当前所使用的标签,以及为各个终端配置对应的策略,如图3所示:
步骤301:获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息。
在具体的实施过程中,一个网络中可以包括多个终端,该网络可以是一个公司的局域网,也可以是一个部门的局域网等。每个终端都有对应的标签,该标签用于表征对应终端的属性信息,例如:IE,Linux,Windows 7,Centos,test,Office,笔记本,台式电脑等等。一个终端可以对应一个或多个标签。可以理解的是,该标签可以是人工预先为其绑定的,不同业务需要使用不同的标签,并且终端在执行业务时,其能够自动查询所绑定的标签。
初始策略是指预先为每个终端配置的完整的策略,并且初始策略中包括的多个策略模块中的参数也可以是默认值,或者人工预先设置。应当说明的是,完整的策略是指,该初始策略中包括了该终端可能执行的业务所需的多个策略模块,因此,初始策略中可能包括终端当然不需要的策略模块,对于这类策略模块,可以将其状态关闭即可。
各个终端的初始策略可以相同,也可以不同。相同是指各个终端对应的初始策略包括的策略模块相同,并且各个策略模块中的参数也相同。不同是指各个终端对应的初始策略包括的策略模块相同,但是各个策略模块内部的参数不同。例如:一个策略模块为“文件监控”,该“文件监控”策略模块中包括状态参数,该状态参数可以是开,也可以是关。
步骤302:获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块。
在具体的实施过程中,动态策略包括至少一个子动态策略,一个子动态策略包括至少一个动态策略模块。其中,一个子动态策略中可以只包括需要调整的动态策略模块即可。动态策略中的子动态策略可以是人工预先根据各个业务所需要的标签建立对应的子动态策略。可以理解的是,有的业务可能只需要一个标签,有的业务可能同时需要多个标签,例如:终端A绑定了标签P、标签Q和标签O,终端B绑定了标签S,在建立子动态策略时,可以建立标签P的子动态策略,标签Q的子动态策略,标签O的子动态策略,标签S的子动态策略,标签P+Q的子动态策略,标签Q+O的子动态策略,标签P+O的子动态策略,以及标签P+Q+O的子动态策略。当然,若无业务需要同时使用标签P、标签Q和标签O,那么则可以不建立标签P+Q+O的子动态策略。也可以是终端在执行某项业务时,若动态策略中没有所需的子动态策略,则人工为其建立对应的子动态策略。又如:业务可以是:Windows系统最近发布有某种漏洞,通过封闭某个端口,可以防止漏洞被利用。所以,选取Windows标签生成一个对应的子动态策略。
步骤303:针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
在具体的实施过程中,对于终端的标签来说,并不是每次都需要使用其绑定的所有的标签,而是根据当前所执行的业务来确定所使用的标签,不同的标签、不同的标签组合所需的策略不同。因此,可以根据当前所使用的标签从动态策略中选择目标子动态策略。然后利用目标子动态策略对应的动态策略模块更新终端的初始策略中对应的策略模块,以获得目标策略,该目标策略为对应终端的生效策略。
可以理解的是,可能存在没有绑定标签的终端,对于这种终端,可以直接使用初始策略即可。
本申请实施例通过根据各个终端的标签不同为其配置对应的动态策略,从而既能够实现不同标签终端策略的灵活配置,又能够实现相同标签的终端策略的批量配置,提高了策略配置的灵活性。
在上述实施例的基础上,在获取网络中各终端分别对应的初始策略之前,所述方法还包括:
按照预设规则将所述网络中的终端进行分组,获得所述网络中的至少一个分组;其中,属于同一个分组的终端对应相同的初始策略。
在具体的实施过程中,本申请适用于网络中未分组的多个终端,同样,也适用于网络中分组的多个终端。即,可以预先为网络中的多个终端进行分组,其中,分组的原则可以是按公司组织架构、部门、地点、机器类型等。分组完成后可以获得网络中的至少个分组,其中,一个终端只能属于一个分组,每个分组中可以包括至少一个终端,属于同一个分组的终端对应的初始策略可以是相同的。但是,应当说明的是,属于同一个分组的终端所绑定的标签可能不同。
为了便于理解,下面基于分组终端提供一种策略配置流程,如图4所示,可以理解的是,分组的与不分组的配置流程一致,此处不再赘述。
分组N包含终端A和终端B两个终端,分组N对应的策略为初始策略为策略N,策略N包含从策略模块1至策略模块m的完整模块策略。终端A绑定标签P和标签Q(例如“标签P”为“Server”,“标签Q”为“Windows”),终端B绑定标签Q。动态策略中包括标签P+标签Q对应的子动态策略(策略P+Q),和标签Q对应的子动态策略(策略Q)。
对于分组N中的终端A来说,若当前所使用的标签包括标签P和标签Q,那么终端A所需的子动态策略为策略P+Q,可以从动态策略中获得策略P+Q,然后将策略P+Q与初始策略合成策略A(目标策略),此时,终端A生效的策略为策略A。
对于分组中的终端B来说,若当前所使用的标签为标签Q,那么终端B所需的子动态策略为策略Q,可以从动态策略中获得策略Q然后将策略Q与初始策略合成策略B(目标策略),此时,终端B生效的策略为策略B。
在上述实施例的基础上,所述动态策略还包括每个子动态策略对应的优先级;所述针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,包括:
针对每个终端,根据其当前所使用的标签,按照优先级大小从所述动态策略中选择目标子动态策略。
动态策略中的子动态策略都有对应的优先级,子动态策略对应的最初的优先级可以是根据建立的先后顺序进行确定,例如:先建立的子动态策略的优先级高于后建立的子动态策略的优先级。后期,该优先级可以是人为去调整,配置装置根据调整后的优先级为终端配置对应的策略。
图5为本申请实施例提供的目标子动态策略选择流程示意图,如图5所示:
步骤501:选择最高级子动态策略;在根据动态策略中各个子动态策略的优先级选择目标子动态策略时,先从动态策略中选择优先级最高的子动态策略;
步骤502:是否匹配成功;判断终端当前所使用的标签中是否包括优先级最高的子动态策略对应的标签;若包括,则执行步骤503;否则执行步骤504;
步骤503:作为目标子动态策略;将优先级最高的子动态策略作为一个目标子动态策略,并将终端当前所使用的标签中匹配成功的标签删除;
步骤504:判断是否结束匹配;判断是否结束的依据是终端当前所使用的标签是否全部匹配成功或者动态策略中的子动态策略全都匹配过;如果匹配结束,则执行步骤506;否则执行步骤505;
步骤505:选择次高级子动态策略;从动态策略中选择次高级子动态策略,并执行步骤502;
步骤506:结束;将上述步骤确定的所有的目标子动态策略作为最终的目标子动态策略,并利用最终的目标子动态策略对终端的初始策略进行动态调整,获得目标策略。
本申请实施例通过根据子动态策略的优先级依次进行子动态策略与终端的匹配,由于优先级高的子动态策略相对来说要更加重要一些,或者使用更加频繁一些,所以可以更好的对终端的安全进行保护。
另外,动态策略中的子动态策略优先级顺序不同,其对策略的调整也会有影响,本申请实施例提供两种不同优先级顺序的动态策略对相同的终端进行策略调整方法,如图6和图7所示。
网络中包括三个终端,分别为终端A、终端B和终端C,终端A当前所使用的标签为:标签P和标签Q;终端B当前所使用的标签为标签P;终端C当前所使用的标签为标签Q。终端A属于分组1,终端B和终端C属于分组2。分组1对应的初始策略包括:模块1-value:A;模块2-value:B;模块3-value:C;模块4-value:D;模块5-value:E;分组2对应的初始策略为:模块1-value:A;模块2-value:B;模块3-value:Cc;模块4-value:D;模块5-value:e。
第一种情况,参见图6,动态策略中按照优先级从大到小的子动态策略分别为:标签P+Q的子动态策略;标签P的子动态策略;标签Q的子动态策略。其中,标签P+Q的子动态策略为:模块2-value:Bb;模块5-value:e;标签P的子动态策略为:模块2-value:b;标签Q的子动态策略为:模块4-value:d。
对于终端A来说,先从动态策略中获取优先级最高的子动态策略,即标签P+Q的子动态策略,由于终端A当前所使用的标签为标签P和标签Q,因此,终端A中包括优先级最高的子动态策略,将标签P+Q的子动态策略作为目标子动态策略。然后利用标签P+Q的子动态策略中的模块2-value:Bb替换分组1对应的初始策略中的模块2-value:B,模块5-value:e替换初始策略中的模块5-value:E,最后获得的目标策略为:模块1-value:A;模块2-value:Bb;模块3-value:C;模块4-value:D;模块5-value:e。由于终端A中的标签均被匹配成功,结束配置,将上述获得的目标子动态策略作为最终的目标子动态策略。
对于终端B来说,先从动态策略中获取优先级最高的子动态策略,即标签P+Q的子动态策略,由于终端B当前所使用的标签为标签P,因此,终端B中不包括优先级最高的子动态策略。继续选择次高级的子动态策略,即标签P对应的子动态策略,终端B中包括次最高的子动态策略,因此,将标签P对应的子动态策略作为目标子动态策略。然后利用标签P对应的子动态策略中的模块2-value:b替换分组2的初始策略中的模块2-value:B,最终获得终端B对应的目标策略,该目标策略为:模块1-value:A;模块2-value:b;模块3-value:C;模块4-value:D;模块5-value:e。由于终端B中的标签均被匹配成功,结束配置,将上述获得的目标子动态策略作为最终的目标子动态策略。
对于终端C来说,先从动态策略中获取优先级最高的子动态策略,判断得知,第一个以及第二个子动态策略均不满足条件,而第三个子动态策略满足条件,因此,将标签Q对应的子动态策略中的模块4-value:d替换分组2对应的初始策略中的模块4-value:D,获得终端C对应的目标策略,其中,目标策略为:模块1-value:A;模块2-value:B;模块3-value:Cc;模块4-value:d;模块5-value:e。由于终端C中的标签均被匹配成功,结束配置,将上述获得的目标子动态策略作为最终的目标子动态策略。
第二种情况,参见图7,动态策略中按照优先级从大到小的子动态策略分别为:标签P的子动态策略;标签Q的子动态策略;标签P+Q的子动态策略。其中,标签P的子动态策略为:模块2-value:b;标签Q的子动态策略为:模块4-value:d;标签P+Q的子动态策略为:模块2-value:Bb。
对于终端A来说,先从动态策略中获取优先级最高的子动态策略,即标签P的子动态策略,由于终端A当前所使用的标签为标签P和标签Q,因此,终端A中包括优先级最高的子动态策略,将标签P的子动态策略作为目标子动态策略。由于终端A中还有一个标签Q没有被匹配,所以从动态策略中选择第二个子动态策略,即标签Q对应的子动态策略,并且匹配成功,将标签Q的子动态策略也作为目标子动态策略。最后用标签P的子动态策略中的模块2-value:b替换分组1的初始动态策略中的模块2-value:B,用标签Q的子动态策略中的模块4-value:d替换分组1的初始动态策略中的模块4-value:D,获得目标策略,目标策略为:模块1-value:A;模块2-value:b;模块3-value:C;模块4-value:d;模块5-value:E。由于终端A中的标签均被匹配成功,结束配置,将上述获得的目标子动态策略作为最终的目标子动态策略。应当说明的是,可以在匹配成功标签P的子动态策略后,即可先对分组1的初始策略的对应模块进行更新,也可以等将所有的标签匹配完之后,统一更新初始策略的模块,本申请实施例对此不作具体限定。
对于终端B来说,先从动态策略中获取优先级最高的子动态策略,即标签P的子动态策略,由于终端B当前所使用的标签为标签P,因此匹配成功,将标签P的子动态策略作为目标子动态策略,并用标签P的子动态策略中的模块2-value:b替换分组2的初始策略中的模块2-value:B,获得目标策略,其中,目标策略为:模块1-value:A;模块2-value:b;模块3-value:Cc;模块4-value:D;模块5-value:e。由于终端B中的标签均被匹配成功,结束配置,将上述获得的目标子动态策略作为最终的目标子动态策略。
对于终端C来说,先从动态策略中获取优先级最高的子动态策略,可知第一个子动态策略匹配失败,从动态策略中选择第二个子动态策略,即标签Q,此时匹配成功,标签Q的子动态策略为目标子动态策略。用标签Q的子动态策略中的模块4-value:d替换分组2的初始策略中的模块4-value:D,由于终端B中的标签均被匹配成功,结束配置,将上述获得的目标子动态策略作为最终的目标子动态策略,获得目标策略,其中,目标策略为:模块1-value:A;模块2-value:B;模块3-value:Cc;模块4-value:d;模块5-value:e。
综上,图6和图7中的终端、标签和策略均相同,唯一的区别在于动态策略中子动态策略的优先级不同,可以清晰的比较,最终终端A的生效策略不同,此为在一些特定时间段或者特定场景下,可以通过调整动态策略的优先级,使得某些标签的终端达到不同的生效策略效果。
本申请实施例中,基于标签的动态策略可以更灵活的配置到对应终端,一个终端可以打多个标签,从而在动态策略标签匹配时候,可以根据动态策略的优先级调整实现终端对应生效的策略不同;多个终端可以拥有共同的标签,从而保证批量的配置及某一类标签的策略定制。标签的方式划分终端的颗粒度可大可小,动态策略的配置模块颗粒度可灵活调整,可配置一条完整策略,也可以配置部分策略模块。最后对于特定时段特定场景,易于通过调整动态策略优先级来控制管理终端最终生效的策略。
图8为本申请实施例提供的装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图3方法实施例对应,能够执行图3方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:初始策略获取模块801、动态策略获取模块802和目标策略生成模块803,其中:
初始策略获取模块801用于获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;动态策略获取模块802用于获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;目标策略生成模块803用于针对每个终端,根据当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
在上述实施例的基础上,所述动态策略还包括每个子动态策略对应的优先级;目标策略生成模块803具体用于:
针对每个终端,根据其当前所使用的标签,按照优先级大小从所述动态策略中选择目标子动态策略。
在上述实施例的基础上,目标策略生成模块803具体用于:
针对每一个终端,从优先级最高的子动态策略开始,每次选择一个子动态策略通过如下步骤与终端进行匹配,直至终端当前所使用的标签全部匹配成功或者所有的子动态策略均匹配过为止;所述步骤包括:
判断终端当前所使用的标签中是否包含所述子动态策略所对应的标签;
若包含,则将所述子动态策略作为目标子动态策略,并将终端当前所使用的标签中将匹配成功的标签删除,继续次高级的子动态策略匹配;
若不包含,则继续次高级的子动态策略匹配。
在上述实施例的基础上,该装置还包括分组模块,用于:
按照预设规则将所述网络中的终端进行分组,获得所述网络中的至少一个分组;其中,属于同一个分组的终端对应相同的初始策略。
在上述实施例的基础上,该装置还包括子动态策略生成模块,用于:
针对每一个终端,分别为所述终端绑定的每一个标签生成对应的子动态策略以及为所述终端绑定的多个标签的组合生成对应的子动态策略。
在上述实施例的基础上,该装置还包括优先级确定模块,用于:
根据所述子动态策略生成的先后顺序确定子动态策略对应的优先级。
综上所述,本申请实施例通过根据各个终端的标签不同为其配置对应的动态策略,从而既能够实现不同标签终端策略的灵活配置,又能够实现相同标签的终端策略的批量配置,提高了策略配置的灵活性。
图9为本申请实施例提供的电子设备实体结构示意图,如图9所示,所述电子设备,包括:处理器(processor)901、存储器(memory)902和总线903;其中,
所述处理器901和存储器902通过所述总线903完成相互间的通信;
所述处理器901用于调用所述存储器902中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
处理器901可以是一种集成电路芯片,具有信号处理能力。上述处理器901可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器902可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于标签的策略配置方法,其特征在于,包括:
获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;
获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;
针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
2.根据权利要求1所述的方法,其特征在于,所述动态策略还包括每个子动态策略对应的优先级;所述针对每个终端,根据其当前所使用的标签,从所述动态策略中选择目标子动态策略,包括:
针对每个终端,根据其当前所使用的标签,按照子动态策略对应的优先级大小从所述动态策略中选择目标子动态策略。
3.根据权利要求2所述的方法,其特征在于,所述针对每个终端,根据其当前所使用的标签,按照子动态策略对应的优先级大小从所述动态策略中选择目标子动态策略,包括:
针对每一个终端,从优先级最高的子动态策略开始,每次选择一个子动态策略通过如下步骤与终端进行匹配,直至终端当前所使用的标签全部匹配成功或者所有的子动态策略均匹配过为止;所述步骤包括:
判断终端当前所使用的标签中是否包含所述子动态策略所对应的标签;
若包含,则将所述子动态策略作为目标子动态策略,并将终端当前所使用的标签中将匹配成功的标签删除,继续次高级的子动态策略匹配;
若不包含,则继续次高级的子动态策略匹配。
4.根据权利要求1所述的方法,其特征在于,在获取网络中各终端分别对应的初始策略之前,所述方法还包括:
按照预设规则将所述网络中的终端进行分组,获得所述网络中的至少一个分组;其中,属于同一个分组的终端对应相同的初始策略。
5.根据权利要求1所述的方法,其特征在于,在获取动态策略之前,所述方法还包括:
根据各个业务所需的一个或多个标签生成对应的子动态策略。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
根据所述子动态策略生成的先后顺序确定子动态策略对应的优先级。
7.一种基于标签的策略配置装置,其特征在于,包括:
初始策略获取模块,用于获取网络中各终端分别对应的初始策略,以及各终端当前所使用的标签;其中,所述初始策略包括多个策略模块,每一策略模块定义终端执行一项或多项操作的规则;所述标签用于表征对应终端的属性信息;
动态策略获取模块,用于获取动态策略,所述动态策略包括至少一个子动态策略,每一子动态策略包括至少一个动态策略模块;
目标策略生成模块,用于针对每个终端,根据当前所使用的标签,从所述动态策略中选择目标子动态策略,并利用所述目标子动态策略对应的动态策略模块更新终端的所述初始策略中对应的策略模块,获得目标策略。
8.根据权利要求7所述的装置,其特征在于,所述动态策略还包括每个子动态策略对应的优先级;目标策略生成模块,具体用于:
针对每个终端,根据其当前所使用的标签,按照优先级大小从所述动态策略中选择目标子动态策略。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-6任一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911362710.8A CN111049855B (zh) | 2019-12-25 | 2019-12-25 | 一种基于标签的策略配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911362710.8A CN111049855B (zh) | 2019-12-25 | 2019-12-25 | 一种基于标签的策略配置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049855A true CN111049855A (zh) | 2020-04-21 |
| CN111049855B CN111049855B (zh) | 2022-02-01 |
Family
ID=70239886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911362710.8A Active CN111049855B (zh) | 2019-12-25 | 2019-12-25 | 一种基于标签的策略配置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049855B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111773714A (zh) * | 2020-07-09 | 2020-10-16 | 网易(杭州)网络有限公司 | 游戏技能配置方法与装置及游戏技能控制方法与装置 |
| CN111800408A (zh) * | 2020-06-30 | 2020-10-20 | 深信服科技股份有限公司 | 策略配置装置、终端的安全策略配置方法和可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2868062A1 (en) * | 2012-06-29 | 2015-05-06 | Hangzhou H3C Technologies Co., Ltd. | Firewall security between virtual devices |
| US20160088012A1 (en) * | 2013-09-23 | 2016-03-24 | New York University | System, method and computer-accessible medium for deterrence of malware |
| CN106878445A (zh) * | 2017-03-09 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 资源文件更新方法及装置 |
| CN109639487A (zh) * | 2018-12-17 | 2019-04-16 | 杭州迪普科技股份有限公司 | 策略配置的方法、装置、网络设备及存储介质 |
| CN109684065A (zh) * | 2018-12-26 | 2019-04-26 | 北京云联万维技术有限公司 | 一种资源调度方法、装置及系统 |
| WO2019091738A1 (en) * | 2017-11-08 | 2019-05-16 | Siemens Aktiengesellschaft | A method for providing restricted access to hardware component interfaces of a network device |
| CN109767316A (zh) * | 2018-12-14 | 2019-05-17 | 深圳壹账通智能科技有限公司 | 规则配置方法、装置、计算机设备和存储介质 |
| CN109829308A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 控制策略的管理方法及装置、存储介质、电子装置 |
| CN110011971A (zh) * | 2019-03-03 | 2019-07-12 | 北京立思辰安科技术有限公司 | 一种网络安全策略的手动配置方法 |
-
2019
- 2019-12-25 CN CN201911362710.8A patent/CN111049855B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2868062A1 (en) * | 2012-06-29 | 2015-05-06 | Hangzhou H3C Technologies Co., Ltd. | Firewall security between virtual devices |
| US20160088012A1 (en) * | 2013-09-23 | 2016-03-24 | New York University | System, method and computer-accessible medium for deterrence of malware |
| CN106878445A (zh) * | 2017-03-09 | 2017-06-20 | 腾讯科技(深圳)有限公司 | 资源文件更新方法及装置 |
| WO2019091738A1 (en) * | 2017-11-08 | 2019-05-16 | Siemens Aktiengesellschaft | A method for providing restricted access to hardware component interfaces of a network device |
| CN109829308A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 控制策略的管理方法及装置、存储介质、电子装置 |
| CN109767316A (zh) * | 2018-12-14 | 2019-05-17 | 深圳壹账通智能科技有限公司 | 规则配置方法、装置、计算机设备和存储介质 |
| CN109639487A (zh) * | 2018-12-17 | 2019-04-16 | 杭州迪普科技股份有限公司 | 策略配置的方法、装置、网络设备及存储介质 |
| CN109684065A (zh) * | 2018-12-26 | 2019-04-26 | 北京云联万维技术有限公司 | 一种资源调度方法、装置及系统 |
| CN110011971A (zh) * | 2019-03-03 | 2019-07-12 | 北京立思辰安科技术有限公司 | 一种网络安全策略的手动配置方法 |
Non-Patent Citations (2)
| Title |
|---|
| SHENGHONG LI,HAO LOU,WEN JIANG,JUNHUA TANG: "Detecting community structure via synchronous label propagation", 《SCIENCEDIRECT》 * |
| 梅芳: "基于策略的移动网络自主管理机制研究", 《中国优秀博士学位论文全文数据库信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800408A (zh) * | 2020-06-30 | 2020-10-20 | 深信服科技股份有限公司 | 策略配置装置、终端的安全策略配置方法和可读存储介质 |
| CN111800408B (zh) * | 2020-06-30 | 2022-09-30 | 深信服科技股份有限公司 | 策略配置装置、终端的安全策略配置方法和可读存储介质 |
| CN111773714A (zh) * | 2020-07-09 | 2020-10-16 | 网易(杭州)网络有限公司 | 游戏技能配置方法与装置及游戏技能控制方法与装置 |
| CN111773714B (zh) * | 2020-07-09 | 2024-01-19 | 网易(杭州)网络有限公司 | 游戏技能配置方法与装置及游戏技能控制方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049855B (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535777B (zh) | 访问请求控制方法、装置、电子设备以及可读存储介质 | |
| CN111049855B (zh) | 一种基于标签的策略配置方法及装置 | |
| WO2018210096A1 (zh) | 一种基于规则引擎的规则配置方法、终端、设备以及存储介质 | |
| CN110008665B (zh) | 一种区块链的权限控制方法及装置 | |
| CN108446314A (zh) | 一种学生信息存储方法、计算机可读存储介质及终端设备 | |
| CN114531477B (zh) | 功能组件的配置方法、装置、计算机设备和存储介质 | |
| CN110222107B (zh) | 一种数据发送方法及相关设备 | |
| CN111654399B (zh) | 基于sd-wan的组网方法、装置、设备及存储介质 | |
| EP3843362A1 (en) | Apparatus and method for managing concurrent activation of bundle installed in smart security platform | |
| CN112529711B (zh) | 基于区块链虚拟机复用的交易处理方法及装置 | |
| CN108536773A (zh) | 一种汽车报警信息整合方法、装置、设备及介质 | |
| US11431795B2 (en) | Method, apparatus and storage medium for resource configuration | |
| CN109359799B (zh) | 保单调单处理方法、装置、计算机设备及存储介质 | |
| CN108153564B (zh) | 界面管理方法、设备及系统和计算机可读存储介质 | |
| CN109660379B (zh) | 一种网络方法和系统、及终端 | |
| CN111131324A (zh) | 业务系统的登陆方法及装置、存储介质、电子装置 | |
| US8229870B2 (en) | Constraint based system with domain splitting | |
| US11228502B2 (en) | Aggregation platform, requirement owner, and methods thereof | |
| CN110580172B (zh) | 配置规则的验证方法及装置、存储介质、电子装置 | |
| CN113434176A (zh) | 数据更新处理方法、装置、存储介质及电子装置 | |
| CN110737513A (zh) | 一种信息处理方法、系统和电子设备 | |
| CN110647546A (zh) | 第三方规则引擎生成方法及装置 | |
| CN110276212B (zh) | 数据的处理方法及装置、存储介质和电子装置 | |
| CN113852919B (zh) | 预警消息的生成方法和装置、存储介质及电子装置 | |
| CN107784425A (zh) | 坐席系统的名单分配方法、存储介质和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |