CN114095257B - 安全策略调整方法、装置、通信设备和存储介质 - Google Patents
安全策略调整方法、装置、通信设备和存储介质 Download PDFInfo
- Publication number
- CN114095257B CN114095257B CN202111394141.2A CN202111394141A CN114095257B CN 114095257 B CN114095257 B CN 114095257B CN 202111394141 A CN202111394141 A CN 202111394141A CN 114095257 B CN114095257 B CN 114095257B
- Authority
- CN
- China
- Prior art keywords
- security policy
- content
- security
- adjusted
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000004891 communication Methods 0.000 title claims description 14
- 238000004590 computer program Methods 0.000 claims abstract description 23
- 238000012986 modification Methods 0.000 claims description 87
- 230000004048 modification Effects 0.000 claims description 87
- 238000012217 deletion Methods 0.000 claims description 35
- 230000037430 deletion Effects 0.000 claims description 35
- 230000001105 regulatory effect Effects 0.000 claims description 34
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
本申请涉及一种安全策略调整方法、装置、计算机设备、存储介质和计算机程序产品,本申请涉及信息安全技术领域,该方法包括:接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型,并根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息,进而根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令。从而在目标网络设备的数量较多的情况下,服务器能够向多个目标网络设备分别发送对应的配置命令,使多个目标网络设备同时执行配置命令,以调整自身的安全策略,从而提高安全策略的调整效率。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种安全策略调整方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
在网络设备的大型应用范围例如银行的网络拓扑中,终端需连接到这些网络设备来访问目标服务器。从网络安全角度考虑,网络设备上需要配置安全策略,来控制不同终端能访问的目标服务器范围。安全策略会因为业务调整、网络安全等原因进行调整。
目前安全策略的调整方案是:用户先登录到目标网络设备,查看目标网络设备所应用的安全策略列表,在安全策略列表的某一序列位置,手工插入、修改或删除至少一条安全策略。
然而,由于传统的安全策略调整方法的人工参与度较高,因此,存在网设备数量较多时安全策略的调整效率较低的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够在网设备数量较多的情况下,提高网络设备的安全策略的调整效率的安全策略调整方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种安全策略调整方法。所述方法包括:
接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;
根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;
根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
在其中一个实施例中,所述根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息,包括:
若所述操作类型包括新增类型,则根据所述第一安全策略内容,从所述安全策略库中确定待调安全策略的策略名称。
在其中一个实施例中,所述根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,包括:
所述根据所述第一安全策略内容、所述新增类型和所述待调安全策略的策略名称,生成新增配置命令;其中,所述新增配置命令用于供所述目标网络设备将第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,所述根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息,包括:
若所述操作类型包括修改类型或者删除类型,根据所述第一安全策略内容,从所述安全策略库中确定待调安全策略的策略名称和所述待调安全策略的内容。
在其中一个实施例中,所述根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,包括:
根据所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成修改配置命令;其中,所述修改配置命令用于供所述目标网络设备根据第一安全策略内容对所述待调安全策略的内容进行修改。
在其中一个实施例中,所述方法还包括:
获取计算机设备发送的覆盖信息,所述覆盖信息用于指示在所述操作类型为修改类型时,是否允许采用所述第一安全策略内容覆盖所述待调安全策略的内容;
所述根据所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成修改配置命令,包括:
根据所述覆盖信息、所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成所述修改配置命令。
在其中一个实施例中,若所述覆盖信息为允许覆盖,则所述修改配置命令用于供所述目标网络设备采用所述第一安全策略内容覆盖所述待调安全策略的内容。
在其中一个实施例中,若所述覆盖信息为不允许覆盖,则所述改配置命令用于供所述目标网络设备将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,所述根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,包括:
根据所述第一安全策略内容、所述删除类型和所述待调安全策略的策略名称,生成删除配置命令;其中,所述删除配置命令用于供所述目标网络设备删除所述待调安全策略的内容。
在其中一个实施例中,所述第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号。
在其中一个实施例中,所述若所述操作类型包括新增类型,则根据所述第一安全策略内容,从安全策略库中确定待调安全策略的策略名称,包括:
若所述操作类型包括新增类型,则根据第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从所述安全策略库中确定所述待调安全策略的策略名称
在其中一个实施例中,所述若所述操作类型包括修改类型或者删除类型,则根据所述第一安全策略内容,从所述安全策略库中确定待调安全策略的策略名称和所述待调安全策略的内容,包括:
若所述操作类型为修改或删除,则根据所述第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从所述安全策略库中确定待调安全策略的策略名称和内容。
第二方面,本申请还提供了一种安全策略调整方法,所述方法包括:
接收服务器发送的配置命令,其中,所述配置命令为所述服务器根据第一安全策略内容、所述第一安全策略内容对应的操作类型和待调安全策略的信息生成的命令,所述第一安全策略内容和所述操作类型分别为所述服务器接收的计算机设备所发送的目标网络设备的策略内容和所述策略内容对应的类型;
执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整。
在其中一个实施例中,所述接收服务器发送的配置命令,包括:
若所述操作类型包括新增类型,则接收所述服务器发送的新增配置命令;
对应地,所述执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整,包括:
执行所述新增配置命令,以将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,所述接收服务器发送的配置命令,包括:
若所述操作类型包括修改类型,则接收所述服务器发送的修改配置命令;
对应地,所述执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整,包括:
执行所述修改配置命令,以根据第一安全策略内容对所述待调安全策略的内容进行修改。
在其中一个实施例中,所述执行所述修改配置命令,以根据第一安全策略内容对所述待调安全策略的内容进行修改,包括:
若所述修改配置命令中的覆盖信息为允许覆盖,则执行所述修改配置命令,以采用所述第一安全策略内容覆盖所述待调安全策略的内容。
在其中一个实施例中,所述执行所述修改配置命令,以根据第一安全策略内容对所述待调安全策略的内容进行修改,包括:
若所述修改配置命令中的覆盖信息为不允许覆盖,则执行所述修改配置命令,以将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,所述接收服务器发送的配置命令,包括:
若所述操作类型包括删除类型,则接收所述服务器发送的删除配置命令;
对应地,所述执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整,包括:
执行所述删除配置命令,以删除所述待调安全策略的内容。
第三方面,本申请还提供了一种安全策略调整装置。所述装置包括:
接收模块,用于接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;
确定模块,用于根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;
生成模块,用于根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
第四方面,本申请还提供了一种安全策略调整装置,所述装置包括:
接收模块,用于接收服务器发送的配置命令,其中,所述配置命令为所述服务器根据第一安全策略内容、所述第一安全策略内容对应的操作类型和待调安全策略的信息生成的命令,所述第一安全策略内容和所述操作类型分别为所述服务器接收的计算机设备所发送的目标网络设备的策略内容和所述策略内容对应的类型;
调整模块,用于执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整。
第五方面,本申请还提供了一种通信设备。所述通信设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;
根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;
根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
第六方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;
根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;
根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
第七方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;
根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;
根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
上述安全策略调整方法、装置、计算机设备、存储介质和计算机程序产品,通过接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型,并根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息,进而根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令。其中,配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略进行调整,从而在目标网络设备的数量较多的情况下,服务器能够向多个目标网络设备分别发送对应的配置命令,使多个目标网络设备同时执行配置命令,以调整自身的安全策略,从而能够提高安全策略的调整效率。
附图说明
图1为一个实施例中安全策略调整方法的应用环境图;
图2是本申请实施例提供的一种安全策略调整方法的流程示意图;
图3是本申请实施例提供的另一种安全策略调整方法的流程示意图;
图4是本申请实施例提供的配置命令接收方法的流程示意图;
图5是本申请实施例提供的一种全策略调整装置的结构框图;
图6是本申请实施例提供的一种全策略调整装置的结构框图;
图7为一个实施例中通信设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,图1为一个实施例中安全策略调整方法的应用环境图。本申请实施例提供的安全策略调整方法,可以应用于如图1所示的应用环境中。其中,计算机设备101与服务器102,服务器102与网络设备103进行通信。数据存储系统可以存储服务器102需要处理的数据。数据存储系统可以集成在服务器102上,也可以放在云上或其他网络服务器上。其中,计算机设备可以但不限于是各种个人计算机、笔记本电脑、平板电脑。服务器102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,图2是本申请实施例提供的一种安全策略调整方法的流程示意图,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
S201、接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型。
本实施例中,操作类型可以为新增类型、修改类型或删除类型。用户可以在计算机设备提供的界面上从目标应用内范围内选择目标网络设备,并输入目标网络设备对应的第一安全策略内容以及该第一安全策略内容对应的操作类型。用户可以选择多个目标网络设备,并分别输入每个目标网络设备对应的第一安全策略内容以及该第一安全策略内容对应的操作类型。计算机设备能够获取用户输入的目标网络设备对应的第一安全策略内容以及该第一安全策略内容对应的操作类型,并将用户输入的目标网络设备对应的第一安全策略内容以及该第一安全策略内容对应的操作类型发送给服务器,相应地,服务器接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型。
需要说明的是,若用户选择的目标网络设备的数量是多个,则计算机设备可以同时向服务器发送多个目标网络设备各自的第一安全策略内容以及对应的第一安全策略内容所对应的操作类型。
S202、根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,安全策略库包括多个网络设备对应的安全策略的信息。
需要说明的是,安全策略库中的不同的网络设备对应的安全策略的信息不同。其中,安全策略的信息可以为安全策略的策略名称。同一个网络设备可以对应多个策略名称,同一个策略名称可以对应多条安全策略。
其中,安全策略库可以为服务器预先构建并存储在本地的数据库。服务器构建安全策略库的方式可以为如下方式:
服务器构建目标应用范围内各网络设备的基本信息表,其中,该基本信息表用于存储各个网络设备的设备标识和设备信息之间的对应关系,网络设备包括路由器、交换机、防火墙等设备,设备信息包括设备标识、回环(loopback)地址、互联网协议(Internet P,IP)网段。
服务器可以遍历基本信息表中的各网络设备,以获取各网络设备的安全策略,并将各网络设备的安全策略保存在安全策略信息表,安全策略信息表中包括设备标识与安全策略之间的对应关系,该对应关系可以为同一个设备标识对应多个策略名称,同一个策略名称可以对应多个安全策略。其中,安全策略信息表可以存储在安全策略库中。
S203、根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令;配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略进行调整。
传统技术中,用户先登录到目标网络设备,查看目标网络设备所应用的安全策略列表,在安全策略列表的某一序列位置,手工插入、修改或删除至少一条安全策略。也就是说,用户若需对数量较多的目标网络设备调整安全策略,则需要逐个登录到目标网络设备,通过手工插入、修改或删除至少一条安全策略。目标网络设备数量较多的情况下,需要耗费大量的人力和时间,严重影响安全策略调整的效率。并且,目标网络设备的数量越多,需要耗费的人力和时间越多,越影响安全策略调整的效率。而本步骤中,服务器能够根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令,配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略进行调整。在目标网络设备的数量较多的情况下,服务器能够向多个目标网络设备分别发送对应的配置命令,让多个目标网络设备同时执行配置命令,以调整自身的安全策略,从而能够提高安全策略的调整效率。
本实施例提供的安全策略调整方法,通过接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型,并根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息,进而根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令。其中,配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略进行调整,从而在目标网络设备的数量较多的情况下,服务器能够向多个目标网络设备分别发送对应的配置命令,使多个目标网络设备同时执行配置命令,以调整自身的安全策略,从而能够提高安全策略的调整效率。
用传统方法调整网络设备上的安全策略,所需要的时间取决于网点数量、工作人员对安全策略的掌握程度。在当前愈发严峻的网络安全形势下,由于安全策略的调整效率较低,无法快速应对新生成的安全威胁。而采用本实施例提供的安全策略调整方法后,几乎可以忽略网点数量与时间的关系,同时也降低了对工作人员掌握安全策略程度的技术门槛,工作人员不需要逐台登录网络设备调整安全策略,只需要确定目标网络设备群,输入源IP网段、目的IP网段、目的端口号等要素,即可快速调整目标网络设备群的安全策略。从而大幅提高整个企业的安全策略配置的效率,节省了人力成本,并能灵活应对新的网络安全威胁,有效保障企业网络系统的安全。
在其中一个实施例中,上述的S202、根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息,可以通过如下方式实现:
若操作类型包括新增类型,则根据第一安全策略内容,从安全策略库中确定待调安全策略的策略名称。
本实施例中,若操作类型包括新增类型,则意味着需要在目标网络设备对应的安全策略列表中新插入第一安全策略内容,此种情况下,根据第一安全策略内容,从安全策略库中确定待调安全策略的策略名称。可以将第一安全策略内容与安全策略库中的目标网络设备的安全策略如下表1所示,表1示例性示出了目标网络设备为设备1,该设备1对应的安全策略列表的内容。可以将第一安全策略内容与设备1所对应的各条安全策略内容逐个比对,以从设备1对应的各条安全策略中确定与第一安全策略内容的控制方向、源IP网段、目的IP网段相同的安全策略所对应的策略名称。例如,若安全策略A1的内容的控制方向与第一安全策略内容的控制方向相同、安全策略A1的内容的源IP网段与安全策略A1的内容的源IP网段相同、安全策略A1的内容的目的IP网段与安全策略A1的内容的目的IP网段相同,则将安全策略A1对应的策略名称作为待调安全策略的策略名称。
表1
在其中一个实施例中,上述的S203、根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,可以通过如下方式实现:
根据第一安全策略内容、新增类型和待调安全策略的策略名称,生成新增配置命令;其中,新增配置命令用于供目标网络设备将第一安全策略内容增加至待调安全策略的策略名称下。
本实施例中,在操作类型为新增类型的情况下,生成的配置命令为新增配置命令,新增配置命令用于供目标网络设备将第一安全策略内容增加至待调安全策略的策略名称下,结合上述举例,则可以将第一安全策略内容增加至策略名称1下,也即策略名称1所对应的安全策略由增加前的4条变为5条。通过新增配置命令,能够实现目标网络设备将第一安全策略内容增加至待调安全策略的策略名称下,避免人工登录目标网络设备进行手工插入时,导致目标网络设备数量较多的情况下浪费人力、时间、安全策略调整的效率较低的问题。
在其中一个实施例中,上述的S202、根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息,可以通过如下方式实现:
若操作类型包括修改类型或者删除类型,根据第一安全策略内容,从安全策略库中确定待调安全策略的策略名称和待调安全策略的内容。
本年实施例中,若操作类型包括修改类型或者删除类型,结合上述举例,从安全策略库中确定待调安全策略的策略名称例如为安全策略A1对应的策略名称,待调安全策略的内容例如为安全策略A1的内容。
在其中一个实施例中,上述的S203中的根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,可以通过如下方式实现:
根据第一安全策略内容、修改类型和待调安全策略的策略名称,生成修改配置命令;其中,修改配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略的内容进行修改。
本实施例中,修改配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略的内容进行修改,从而在目标网络设备数量较多的情况下浪费人力、时间、安全策略调整的效率较低的问题,节省了人力和时间,并且提高了安全策略的修改的效率。
在其中一个实施例中,还可以包括如下步骤:
获取计算机设备发送的覆盖信息,覆盖信息用于指示在操作类型为修改类型时,是否允许采用第一安全策略内容覆盖待调安全策略的内容;
对应地,上述的S203、根据第一安全策略内容、修改类型和待调安全策略的策略名称,生成修改配置命令,可以通过如下方式实现:
根据覆盖信息、第一安全策略内容、修改类型和待调安全策略的策略名称,生成修改配置命令。
在其中一个实施例中,若覆盖信息为允许覆盖,则修改配置命令用于供目标网络设备采用第一安全策略内容覆盖待调安全策略的内容。
本实施例中,若覆盖信息为允许覆盖,则意味着允许采用第一安全策略内容覆盖待调安全策略的内容。结合上述举例介绍,则目标网络设备可以采用第一安全策略内容覆盖安全策略A1的内容。从而实现修改待调安全策略的内容,进而节省了人力和时间,并且提高了安全策略的修改的效率。
在其中一个实施例中,若覆盖信息为不允许覆盖,则改配置命令用于供目标网络设备将第一安全策略内容增加至待调安全策略的策略名称下。
本实施例中,若覆盖信息为不允许覆盖,则处理过程可以如同操作类型为新增类型的处理方式,即在目标网络设备对应的安全策略列表中新增第一安全策略内容。该第一安全策略内容可以增加至待调安全策略的策略名称对应的第一条安全策略之前,也可以增加至待调安全策略的策略名称对应的最后一条安全策略之后。本实施例对第一安全策略内容增加至待调安全策略的策略名称下的具体位置不进行限定。
在其中一个实施例中,上述的S203、根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,可以通过如下方式实现:
根据第一安全策略内容、删除类型和待调安全策略的策略名称,生成删除配置命令;其中,删除配置命令用于供目标网络设备删除待调安全策略的内容。
本实施例中,删除配置命令用于供目标网络设备删除待调安全策略的内容。例如,若待调安全策略的内容为安全策略A1的内容,则目标网络设备收到删除配置命令后,则将安全策略A1的内容删除,从而实现删除待调安全策略的内容,进而节省了人力和时间,并且提高了安全策略的删除的效率。
在其中一个实施例中,第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号。
需要说明的是,控制方向可以为信息的流入方向(in)或者信息的流出方向(out),访问信息可以用于表示是否允许源IP网段的网点终端访问网络拓扑结构中的目的IP网段的目标服务器,访问信息为允许访问,则允许源IP网段的网点终端访问目的IP网段的目标服务器。用户输入的访问信息若为不允许访问,则源IP网段的终端不能访问目的IP网段的目标服务器,因此,在存在网络安全威胁的情况下,通过调整目标网络设备的安全策略,能够有效保障企业网络系统的安全。
在其中一个实施例中,上述的若操作类型包括新增类型,则根据第一安全策略内容,从安全策略库中确定待调安全策略的策略名称,可以通过如下方式实现:
若操作类型包括新增类型,则根据第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从安全策略库中确定待调安全策略的策略名称。
在其中一个实施例中,若操作类型包括修改类型或者删除类型,则根据第一安全策略内容,从安全策略库中确定待调安全策略的策略名称和待调安全策略的内容,包括:
若操作类型为修改或删除,则根据第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从安全策略库中确定待调安全策略的策略名称和内容。
如图3所示,图3是本申请实施例提供的另一种安全策略调整方法的流程示意图。本实施例可以应用在如图1所示的网络设备,本实施例提供的安全策略调整方法可以通过如下步骤实现:
S301、接收服务器发送的配置命令。
其中,配置命令为服务器根据第一安全策略内容、第一安全策略内容对应的操作类型和待调安全策略的信息生成的命令,第一安全策略内容和操作类型分别为服务器接收的计算机设备所发送的目标网络设备的策略内容和策略内容对应的类型。
S302、执行配置命令,以根据第一安全策略内容对待调安全策略进行调整。
本实施例中,网络设备接收服务器发送的配置命令,并执行配置命令,以根据第一安全策略内容对待调安全策略进行调整,从而在目标网络设备的数量较多的情况下,服务器能够向多个目标网络设备分别发送对应的配置命令,使多个目标网络设备同时执行配置命令,以调整自身的安全策略,从而能够提高安全策略的调整效率。
在其中一个实施例中,上述的S301、接收服务器发送的配置命令,可以通过如下方式实现:
若操作类型包括新增类型,则接收服务器发送的新增配置命令;
对应地,上述的S302、执行配置命令,以根据第一安全策略内容对待调安全策略进行调整,可以通过如下方式实现:
执行新增配置命令,以将第一安全策略内容增加至待调安全策略的策略名称下。
本实施例中,在操作类型为新增类型的情况下,目标网络设备通过执行新增配置命令,能够实现目标网络设备将第一安全策略内容增加至待调安全策略的策略名称下,避免人工登录目标网络设备进行手工插入时,导致目标网络设备数量较多的情况下浪费人力、时间、安全策略调整的效率较低的问题。
在其中一个实施例中,上述的S301、接收服务器发送的配置命令,可以通过如下方式实现:
若操作类型包括修改类型,则接收服务器发送的修改配置命令;
对应地,上述的S302、执行配置命令,以根据第一安全策略内容对待调安全策略进行调整,可以通过如下方式实现:
执行修改配置命令,以根据第一安全策略内容对待调安全策略的内容进行修改。
本实施例中,在操作类型为修改类型的情况下,目标网络设备通过执行修改配置命令,根据第一安全策略内容对待调安全策略的内容进行修改,从而在目标网络设备数量较多的情况下浪费人力、时间、安全策略调整的效率较低的问题,节省了人力和时间,并且提高了安全策略的修改的效率。
在其中一个实施例中,上述的执行修改配置命令,以根据第一安全策略内容对待调安全策略的内容进行修改,可以通过如下方式实现:
若修改配置命令中的覆盖信息为允许覆盖,则执行修改配置命令,以采用第一安全策略内容覆盖待调安全策略的内容。
在其中一个实施例中,上述的执行修改配置命令,以根据第一安全策略内容对待调安全策略的内容进行修改,可以通过如下方式实现:
若修改配置命令中的覆盖信息为不允许覆盖,则执行修改配置命令,以将第一安全策略内容增加至待调安全策略的策略名称下。
在其中一个实施例中,上述的S301、接收服务器发送的配置命令,可以通过如下方式实现:
若操作类型包括删除类型,则接收服务器发送的删除配置命令;
对应地,上述的S302、执行配置命令,以根据第一安全策略内容对待调安全策略进行调整,可以通过如下方式实现:
执行删除配置命令,以删除待调安全策略的内容。
需要说明的是,服务器中可以存储目标网络设备的调整后的安全策略和调整前的安全策略,以备回退或核查。目标网络设备对目标网络设备的安全策略调整后,后续若需要回退到调整前的安全策略,则目标网络设备可以从服务器的安全策略库中获取调整前的安全策略。
参照图4,图4是本申请实施例提供的配置命令接收方法的流程示意图。参照图4,图4是本申请实施例提供的又一种安全策略调整方法的流程示意图。该方法包括如下步骤:
S401、服务器接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型。
S402、服务器根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,安全策略库包括多个网络设备对应的安全策略的信息。
S403、服务器根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令。
其中,配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略进行调整。
S404、目标网络设备接收服务器发送的配置命令。
S405、目标网络设备执行配置命令,以根据第一安全策略内容对待调安全策略进行调整。
本实施例提供的安全策略调整方法,通过接收计算机设备发送的目标网络设备的第一安全策略内容以及第一安全策略内容对应的操作类型,并根据操作类型和第一安全策略内容,从安全策略库中确定待调安全策略的信息,进而根据第一安全策略内容、操作类型和待调安全策略的信息,生成配置命令,并向目标网络设备发送配置命令。其中,配置命令用于供目标网络设备根据第一安全策略内容对待调安全策略进行调整,从而在目标网络设备的数量较多的情况下,服务器能够向多个目标网络设备分别发送对应的配置命令,使多个目标网络设备同时执行配置命令,以调整自身的安全策略,从而能够提高安全策略的调整效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的安全策略调整方法的安全策略调整装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个安全策略调整装置实施例中的具体限定可以参见上文中对于安全策略调整方法的限定,在此不再赘述。
在一个实施例中,如图5所示,图5是本申请实施例提供的一种全策略调整装置的结构框图,包括:接收模块501、确定模块502和生成模块503,其中:
接收模块501,用于接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;
确定模块502,用于根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;
生成模块503,用于根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
在其中一个实施例中,确定模块502,具体用于若所述操作类型包括新增类型,则根据所述第一安全策略内容,从所述安全策略库中确定待调安全策略的策略名称。
在其中一个实施例中,生成模块503,具体用于所述根据所述第一安全策略内容、所述新增类型和所述待调安全策略的策略名称,生成新增配置命令;其中,所述新增配置命令用于供所述目标网络设备将第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,确定模块502,具体用于若所述操作类型包括修改类型或者删除类型,根据所述第一安全策略内容,从所述安全策略库中确定待调安全策略的策略名称和所述待调安全策略的内容。
在其中一个实施例中,生成模块503,具体用于根据所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成修改配置命令;其中,所述修改配置命令用于供所述目标网络设备根据第一安全策略内容对所述待调安全策略的内容进行修改。
在其中一个实施例中,所述装置还包括:
获取模块,用于获取计算机设备发送的覆盖信息,所述覆盖信息用于指示在所述操作类型为修改类型时,是否允许采用所述第一安全策略内容覆盖所述待调安全策略的内容;
所述生成模块503,具体用于根据所述覆盖信息、所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成所述修改配置命令。
在其中一个实施例中,若所述覆盖信息为允许覆盖,则所述修改配置命令用于供所述目标网络设备采用所述第一安全策略内容覆盖所述待调安全策略的内容。
在其中一个实施例中,若所述覆盖信息为不允许覆盖,则所述改配置命令用于供所述目标网络设备将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,所述生成模块503,具体用于根据所述第一安全策略内容、所述删除类型和所述待调安全策略的策略名称,生成删除配置命令;其中,所述删除配置命令用于供所述目标网络设备删除所述待调安全策略的内容。
在其中一个实施例中,所述第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号。
在其中一个实施例中,所述确定模块502,具体用于若所述操作类型包括新增类型,则根据第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从所述安全策略库中确定所述待调安全策略的策略名称。
在其中一个实施例中,确定模块502,具体用于若所述操作类型为修改或删除,则根据所述第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从所述安全策略库中确定待调安全策略的策略名称和内容。
在一个实施例中,如图6所示,图6是本申请实施例提供的一种全策略调整装置的结构框图,包括:接收模块601和调整模块602,其中:
接收模块601,用于接收服务器发送的配置命令,其中,所述配置命令为所述服务器根据第一安全策略内容、所述第一安全策略内容对应的操作类型和待调安全策略的信息生成的命令,所述第一安全策略内容和所述操作类型分别为所述服务器接收的计算机设备所发送的目标网络设备的策略内容和所述策略内容对应的类型;
调整模块602,用于执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整。
在其中一个实施例中,接收模块601,具体用于若所述操作类型包括新增类型,则接收所述服务器发送的新增配置命令;
对应地,所述调整模块602,具体用于执行所述新增配置命令,以将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,接收模块601,具体用于若所述操作类型包括修改类型,则接收所述服务器发送的修改配置命令;
对应地,调整模块602,具体用于执行所述修改配置命令,以根据第一安全策略内容对所述待调安全策略的内容进行修改。
在其中一个实施例中,所述调整模块602,具体用于若所述修改配置命令中的覆盖信息为允许覆盖,则执行所述修改配置命令,以采用所述第一安全策略内容覆盖所述待调安全策略的内容。
在其中一个实施例中,所述调整模块602,具体用于若所述修改配置命令中的覆盖信息为不允许覆盖,则执行所述修改配置命令,以将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
在其中一个实施例中,所述接收模块601,具体用于若所述操作类型包括删除类型,则接收所述服务器发送的删除配置命令;
对应地,调整模块602,具体用于执行所述删除配置命令,以删除所述待调安全策略的内容。
上述安全策略调整装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种通信设备,该通信设备可以是服务器,其内部结构图可以如图7所示,图7为一个实施例中通信设备的内部结构图。该通信设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信设备的数据库用于存储安全策略库中的数据。该通信设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全策略调整方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种通信设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述安全策略调整方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述安全策略调整方法的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现实现上述安全策略调整方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (21)
1.一种安全策略调整方法,其特征在于,所述方法包括:
接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;所述目标网络设备是基于所述计算机设备提供的界面,从目标应用内范围中确定的,所述第一安全策略内容和所述操作类型是基于所述界面输入的;所述目标网络设备的数量是多个;所述第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号;所述操作类型包括新增类型、修改类型或删除类型;
根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;所述待调安全策略的信息包括待调安全策略的策略名称;
根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
2.根据权利要求1所述的方法,其特征在于,所述根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息,包括:
若所述操作类型包括所述新增类型,则根据所述第一安全策略内容,从所述安全策略库中确定所述待调安全策略的策略名称。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,包括:
根据所述第一安全策略内容、所述新增类型和所述待调安全策略的策略名称,生成新增配置命令;其中,所述新增配置命令用于供所述目标网络设备将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
4.根据权利要求1所述的方法,其特征在于,所述根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息,包括:
若所述操作类型包括所述修改类型或者所述删除类型,则根据所述第一安全策略内容,从所述安全策略库中确定所述待调安全策略的策略名称和所述待调安全策略的内容。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,包括:
根据所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成修改配置命令;其中,所述修改配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略的内容进行修改。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
获取计算机设备发送的覆盖信息,所述覆盖信息用于指示在所述操作类型为所述修改类型时,是否允许采用所述第一安全策略内容覆盖所述待调安全策略的内容;
所述根据所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成修改配置命令,包括:
根据所述覆盖信息、所述第一安全策略内容、所述修改类型和所述待调安全策略的策略名称,生成所述修改配置命令。
7.根据权利要求6所述的方法,其特征在于,若所述覆盖信息为允许覆盖,则所述修改配置命令用于供所述目标网络设备采用所述第一安全策略内容覆盖所述待调安全策略的内容。
8.根据权利要求6所述的方法,其特征在于,若所述覆盖信息为不允许覆盖,则所述修改配置命令用于供所述目标网络设备将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
9.根据权利要求4所述的方法,其特征在于,所述根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,包括:
根据所述第一安全策略内容、所述删除类型和所述待调安全策略的策略名称,生成删除配置命令;其中,所述删除配置命令用于供所述目标网络设备删除所述待调安全策略的内容。
10.根据权利要求2所述的方法,其特征在于,所述若所述操作类型包括所述新增类型,则根据所述第一安全策略内容,从所述安全策略库中确定所述待调安全策略的策略名称,包括:
若所述操作类型包括所述新增类型,则根据所述第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从所述安全策略库中确定所述待调安全策略的策略名称。
11.根据权利要求4所述的方法,其特征在于,所述若所述操作类型包括所述修改类型或者所述删除类型,则根据所述第一安全策略内容,从所述安全策略库中确定所述待调安全策略的策略名称和所述待调安全策略的内容,包括:
若所述操作类型为所述修改类型或所述删除类型,则根据所述第一安全策略内容中的控制方向、源IP网段以及目的IP网段,从所述安全策略库中确定所述待调安全策略的策略名称和内容。
12.一种安全策略调整方法,其特征在于,所述方法包括:
接收服务器发送的配置命令,其中,所述配置命令为所述服务器根据第一安全策略内容、所述第一安全策略内容对应的操作类型和待调安全策略的信息生成的命令,所述第一安全策略内容和所述操作类型分别为所述服务器接收的计算机设备所发送的目标网络设备的策略内容和所述策略内容对应的类型;所述目标网络设备是基于所述计算机设备提供的界面,从目标应用内范围中确定的,所述第一安全策略内容和所述操作类型是基于所述界面输入的;所述目标网络设备的数量是多个;所述第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号;所述操作类型包括新增类型、修改类型或删除类型;所述待调安全策略的信息包括待调安全策略的策略名称;
执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整。
13.根据权利要求12所述的方法,其特征在于,所述接收服务器发送的配置命令,包括:
若所述操作类型包括所述新增类型,则接收所述服务器发送的新增配置命令;
对应地,所述执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整,包括:
执行所述新增配置命令,以将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
14.根据权利要求12所述的方法,其特征在于,所述接收服务器发送的配置命令,包括:
若所述操作类型包括所述修改类型,则接收所述服务器发送的修改配置命令;
对应地,所述执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整,包括:
执行所述修改配置命令,以根据所述第一安全策略内容对所述待调安全策略的内容进行修改。
15.根据权利要求14所述的方法,其特征在于,所述执行所述修改配置命令,以根据所述第一安全策略内容对所述待调安全策略的内容进行修改,包括:
若所述修改配置命令中的覆盖信息为允许覆盖,则执行所述修改配置命令,以采用所述第一安全策略内容覆盖所述待调安全策略的内容。
16.根据权利要求14所述的方法,其特征在于,所述执行所述修改配置命令,以根据所述第一安全策略内容对所述待调安全策略的内容进行修改,包括:
若所述修改配置命令中的覆盖信息为不允许覆盖,则执行所述修改配置命令,以将所述第一安全策略内容增加至所述待调安全策略的策略名称下。
17.根据权利要求12所述的方法,其特征在于,所述接收服务器发送的配置命令,包括:
若所述操作类型包括所述删除类型,则接收所述服务器发送的删除配置命令;
对应地,所述执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整,包括:
执行所述删除配置命令,以删除所述待调安全策略的内容。
18.一种安全策略调整装置,其特征在于,所述装置包括:
接收模块,用于接收计算机设备发送的目标网络设备的第一安全策略内容以及所述第一安全策略内容对应的操作类型;所述目标网络设备是基于所述计算机设备提供的界面,从目标应用内范围中确定的,所述第一安全策略内容和所述操作类型是基于所述界面输入的;所述目标网络设备的数量是多个;所述第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号;所述操作类型包括新增类型、修改类型或删除类型;
确定模块,用于根据所述操作类型和所述第一安全策略内容,从安全策略库中确定待调安全策略的信息;其中,所述安全策略库包括多个网络设备对应的安全策略的信息;所述待调安全策略的信息包括待调安全策略的策略名称;
生成模块,用于根据所述第一安全策略内容、所述操作类型和所述待调安全策略的信息,生成配置命令,并向所述目标网络设备发送所述配置命令;所述配置命令用于供所述目标网络设备根据所述第一安全策略内容对所述待调安全策略进行调整。
19.一种安全策略调整装置,其特征在于,所述装置包括:
接收模块,用于接收服务器发送的配置命令,其中,所述配置命令为所述服务器根据第一安全策略内容、所述第一安全策略内容对应的操作类型和待调安全策略的信息生成的命令,所述第一安全策略内容和所述操作类型分别为所述服务器接收的计算机设备所发送的目标网络设备的策略内容和所述策略内容对应的类型;所述目标网络设备是基于所述计算机设备提供的界面,从目标应用内范围中确定的,所述第一安全策略内容和所述操作类型是基于所述界面输入的;所述目标网络设备的数量是多个;所述第一安全策略内容包括控制方向、访问信息、端口协议、源互联网协议IP网段、目的IP网段、目的端口号;所述操作类型包括新增类型、修改类型或删除类型;所述待调安全策略的信息包括待调安全策略的策略名称;
调整模块,用于执行所述配置命令,以根据所述第一安全策略内容对待调安全策略进行调整。
20.一种通信设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至17中任一项所述的方法的步骤。
21.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至17中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111394141.2A CN114095257B (zh) | 2021-11-23 | 2021-11-23 | 安全策略调整方法、装置、通信设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111394141.2A CN114095257B (zh) | 2021-11-23 | 2021-11-23 | 安全策略调整方法、装置、通信设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114095257A CN114095257A (zh) | 2022-02-25 |
| CN114095257B true CN114095257B (zh) | 2024-03-26 |
Family
ID=80303221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111394141.2A Active CN114095257B (zh) | 2021-11-23 | 2021-11-23 | 安全策略调整方法、装置、通信设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095257B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9325739B1 (en) * | 2013-04-29 | 2016-04-26 | Amazon Technologies, Inc. | Dynamic security policy generation |
| CN108768879A (zh) * | 2018-04-26 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
| CN110198313A (zh) * | 2019-05-23 | 2019-09-03 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| CN112491822A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种安全策略自动下发的方法及装置 |
| CN113590184A (zh) * | 2021-08-19 | 2021-11-02 | 深圳市天天来玩科技有限公司 | 一种配置处理方法、网络设备和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127417A1 (en) * | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
| US11303678B2 (en) * | 2019-08-15 | 2022-04-12 | ColorTokens, Inc. | Determination and autocorrection of modified security policies |
-
2021
- 2021-11-23 CN CN202111394141.2A patent/CN114095257B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9325739B1 (en) * | 2013-04-29 | 2016-04-26 | Amazon Technologies, Inc. | Dynamic security policy generation |
| CN108768879A (zh) * | 2018-04-26 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
| CN110198313A (zh) * | 2019-05-23 | 2019-09-03 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| CN112491822A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种安全策略自动下发的方法及装置 |
| CN113590184A (zh) * | 2021-08-19 | 2021-11-02 | 深圳市天天来玩科技有限公司 | 一种配置处理方法、网络设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114095257A (zh) | 2022-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8112463B2 (en) | File management method and storage system | |
| CN112000741B (zh) | 内外网数据交换系统、方法、装置、计算机设备和介质 | |
| KR102301257B1 (ko) | 블록체인 부분 원장 | |
| CN106682215B (zh) | 一种数据处理方法和管理节点 | |
| CN109460252B (zh) | 基于git的配置文件处理方法、装置和计算机设备 | |
| CN112073438B (zh) | 一种访问控制规则配置方法、装置、交换机及存储介质 | |
| CN112714018B (zh) | 基于网关的ElasticSearch搜索服务方法、系统、介质及终端 | |
| WO2024016624A1 (zh) | 多集群访问方法和系统 | |
| WO2022247316A1 (zh) | 存储对象处理系统、请求处理方法、网关和存储介质 | |
| CN115348171A (zh) | 网络设备的访问控制列表管理方法、装置、设备和介质 | |
| CN114095257B (zh) | 安全策略调整方法、装置、通信设备和存储介质 | |
| CN108304555A (zh) | 分布式地图数据处理方法 | |
| CN108197323A (zh) | 应用于分布式系统地图数据处理方法 | |
| CN114884955B (zh) | 透明代理部署系统和方法 | |
| CN109445988A (zh) | 异构容灾方法、装置、系统、服务器和容灾平台 | |
| CN108566421A (zh) | 一种基于网络附属存储器的网络式分布方法及系统 | |
| CN116431275B (zh) | 容忍配置方法、装置、计算机设备和存储介质 | |
| CN114257453B (zh) | 防火墙配置转换方法、装置、设备、存储介质和程序产品 | |
| US11829261B2 (en) | Providing a logical data isolation with intermittent connectivity | |
| CN116684282B (zh) | 新增云端服务器初始化方法、装置和计算机设备 | |
| US11797486B2 (en) | File de-duplication for a distributed database | |
| CN114598708B (zh) | 一种信息处理方法、装置、系统、设备及可读存储介质 | |
| US11423046B2 (en) | Mechanism for replication and population of a data subset in Hadoop from a private network to a public cloud instance | |
| CN117978423A (zh) | 访问控制方法、装置、设备、存储介质和程序产品 | |
| WO2018176175A1 (zh) | 一种提供可信任的文档更新方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |