CN114338231B - 策略处理方法及系统 - Google Patents

策略处理方法及系统 Download PDF

Info

Publication number
CN114338231B
CN114338231B CN202210164223.6A CN202210164223A CN114338231B CN 114338231 B CN114338231 B CN 114338231B CN 202210164223 A CN202210164223 A CN 202210164223A CN 114338231 B CN114338231 B CN 114338231B
Authority
CN
China
Prior art keywords
policy
target
security
strategy
platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210164223.6A
Other languages
English (en)
Other versions
CN114338231A (zh
Inventor
连志永
张园超
高嵩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang eCommerce Bank Co Ltd
Original Assignee
Zhejiang eCommerce Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang eCommerce Bank Co Ltd filed Critical Zhejiang eCommerce Bank Co Ltd
Priority to CN202210164223.6A priority Critical patent/CN114338231B/zh
Publication of CN114338231A publication Critical patent/CN114338231A/zh
Application granted granted Critical
Publication of CN114338231B publication Critical patent/CN114338231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本说明书实施例提供策略处理方法及系统,其中所述策略处理方法应用于策略处理系统,所述系统包含策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,其中,所述策略提供平台,响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台;所述策略执行平台,基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及调用所述策略提供平台提供的策略处理接口,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元;所述目标安全单元,执行所述目标安全策略。

Description

策略处理方法及系统
技术领域
本说明书实施例涉及计算机技术领域,特别涉及一种策略处理方法。
背景技术
随着计算机技术的不断发展,许多互联网企业会通过多种多样的安全产品保护自己的应用程序,而安全产品能够基于互联网企业下发的安全策略对该安全产品进行保护,从而避免应用程序遭受到网络攻击、或者避免隐私数据被泄露等问题。
现有技术中,互联网企业自身具有安全运营平台,能够通过安全运营平台自身的策略生成逻辑创建安全策略,并通过策略编辑平台的策略下发逻辑,将该安全策略下发至安全产品。
但是,在安全运营平台需要进行平台迁移的情况下,互联网企业需要花费大量的时间和人力成本,将安全运营平台中的策略生成逻辑以及策略下发逻辑与新平台进行适配,从而无法保证策略创建以及策略下发的时效性。
发明内容
有鉴于此,本说明书实施例提供了一种策略处理方法。本说明书一个或者多个实施例同时涉及一种策略处理系统,一种计算设备,一种计算机可读存储介质,一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种策略处理方法,应用于策略处理系统,所述系统包含策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,其中,
所述策略提供平台,响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台;
所述策略执行平台,基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及
调用所述策略提供平台提供的策略处理接口,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元;
所述目标安全单元,执行所述目标安全策略。
根据本说明书实施例的第二方面,提供了一种策略处理系统,包括:策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,其中,
所述策略提供平台,被配置为响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台;
所述策略执行平台,被配置为基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及
调用所述策略提供平台提供的策略处理接口,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元;
所述目标安全单元,被配置为执行所述目标安全策略。
根据本说明书实施例的第三方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现所述策略处理方法的步骤。
根据本说明书实施例的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现所述策略处理方法的步骤。
根据本说明书实施例的第五方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行所述策略处理方法的步骤。
本说明书提供的策略处理方法,应用于策略处理系统,所述系统包含策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,其中,所述策略提供平台,响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台;所述策略执行平台,基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及调用所述策略提供平台提供的策略处理接口,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元;所述目标安全单元,执行所述目标安全策略。
具体地,该应用于策略处理系统的策略处理方法中,基于策略执行平台的策略生成逻辑和策略下发逻辑,生成策略提供平台,基于策略提供平台为策略执行平台提供初始安全策略,以及策略处理接口,使得该策略执行平台能够基于该初始安全策略,快速的生成目标安全策略,以及基于该策略处理接口,快速的将该目标安全策略下发至安全运行单元中执行,从而避免了策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,将策略执行平台自身的策略生成逻辑和策略下发逻辑与新平台进行适配的问题,从而保证了策略创建和策略下发的时效性。
附图说明
图1是本说明书一个实施例提供的一种策略处理方法的场景图;
图2是本说明书一个实施例提供的一种策略处理方法的流程图;
图3是本说明书一个实施例提供的一种策略处理方法的处理示意图;
图4是本说明书一个实施例提供的一种策略处理系统的结构示意图;
图5是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
安全容器:是基于虚拟化技术和容器技术的有机结合产生的安全产品,安全容器具有更好的隔离性。应用程序能够运行在安全容器中,且一个安全容器只能运行一个应用程序。
WAF(Web Application Firewall):Web应用防护系统,也称为:网站应用级入侵防御系统,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款安全产品。
IDS(intrusion detection system):入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
IPS( Intrusion Prevention System):入侵防御系统,是电脑网络安全设施,是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备。
HIDS(Host-based Intrusion Detection System):基于主机型入侵检测系统。
安全策略:是指在某个安全区域(安全产品)内,用于所有与安全相关活动的一套规则。
三板斧能力:三板斧能力是对于应用每次线上变更的可监控、可灰度、可应急三种能力的统称。
随着计算机技术的不断发展,许多互联网企业会通过多种多样的安全产品保护自己的应用程序,而安全产品能够基于互联网企业下发的安全策略对该安全产品进行保护,从而避免应用程序遭受到网络攻击、或者避免隐私数据被泄露等问题。
对于安全产品的能力来说,策略下发流程的灵活性和时效性十分重要。安全产品策略下发时,需要考虑其策略下发的时效性和三板斧能力,但是,当前安全运营平台提供的调度引擎存在时效性和分批策略体验比较差的问题。例如,在容器应用可信的规则下发的场景中,安全运营平台进行平台迁移过程中,考虑需要将自身的策略生成逻辑以及策略下发逻辑与新平台进行适配,导致普适性和编排引擎迁移的灵活性交叉的问题,提供了一种应用于策略处理系统的策略处理方法。
在本说明书中,提供了一种策略处理方法,本说明书同时涉及一种策略处理系统,一种计算设备,一种计算机可读存储介质以及一种计算机程序,在下面的实施例中逐一进行详细说明。
图1示出了根据本说明书一个实施例提供的一种策略处理方法的场景图,其中,该应用程序运行在安全产品106中,该安全产品106能够基于安全运营平台104下发的安全策略对该安全产品106中运行的应用程序进行保护,从而避免应用程序遭受到网络攻击、或者避免隐私数据被泄露等问题。
而为了避免安全运营平台104在进行平台迁移的过程中,需要花费大量的时间和人力成本,将安全运营平台104自身的策略生成逻辑和策略下发逻辑与新平台进行适配的问题,本说明书提供的策略处理方法中,基于安全运营平台104的策略生成逻辑和策略下发逻辑,生成策略提供平台102,由该策略提供平台102为安全运营平台104提供初始安全策略,以及策略处理接口。基于此,安全运营平台104能够向策略提供平台102发送、针对安全产品106对应的初始安全策略的获取请求,该策略提供平台102,响应于该获取请求将初始安全策略发送至该安全运营平台104;该安全运营平台104,基于安全产品106中的目标应用程序的属性信息对初始安全策略进行编排,生成安全产品106对应的目标安全策略;以及对策略提供平台102提供的多个策略处理接口进行编排,获得针对目标安全策略的策略下发流程,基于所述策略下发流程将安全产品106对应的目标安全策略发送至安全产品106;该安全产品106执目标安全策略。从而对该安全产品106中运行的应用程序进行保护,从而避免应用程序遭受到网络攻击、或者避免隐私数据被泄露等问题。
图2示出了根据本说明书一个实施例提供的一种策略处理方法的流程图,该策略处理方法应用于策略处理系统,所述系统包含策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,该方法具体包括以下步骤。
步骤202:所述策略提供平台,响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台。
其中,策略提供平台可以理解为能够为策略执行平台提供初始安全策略,以及策略处理接口的平台。在实际应用中,为了避免策略执行平台在进行平台迁移的过程中,需要花费大量的成本,将自身的策略创建逻辑和策略下发逻辑与新平台进行适配,因此,本说明书提供的策略处理方法,通过对策略执行平台的策略创建逻辑和策略下发逻辑进行抽象处理,形成一个新的服务平台,即策略提供平台;由于该策略提供平台是基于对策略创建逻辑和策略下发逻辑进行抽象处理获得的,因此,该策略提供平台,能够通过策略创建逻辑创建初始安全策略。并将该初始安全策略提供给策略执行平台,由该策略执行平台将该初始安全策略编排为目标安全策略,同时,该策略提供平台,还能够将策略下发逻辑封装为对应的功能接口,并提供给策略执行平台;后续该策略执行平台在需要进行策略下发时,能够通过调用该功能接口,获得对该安全策略进行策略下发的能力,从而执行针对该安全策略的策略下发流程。
相应地,该策略创建逻辑可以理解为策略执行平台中实现创建安全策略的功能、或者,策略执行平台中,实现创建安全策略的功能的代码数据等等。该策略下发逻辑可以理解为策略执行平台中实现针对该安全策略的策略下发功能、或者,策略执行平台中,实现针对该安全策略的策略下发的代码数据等等。
相应地,该策略执行平台可以理解为对安全单元进行管理,从而保证应用程序安全的平台,例如,互联网企业的安全运营平台、安全管理平台等。在实际应用中,许多互联网企业会采用安全产品,保证自身开发的应用程序不遭受网络攻击,或者保证应用程序的隐私数据的安全性。而该安全产品会基于安全策略对应用程序进行保护,而该安全运营平台则能够向该安全产品下发安全策略,并监测安全产品的运行状态,从而保证应用程序的安全。
相应地,该安全单元可以理解为保护应用程序安全的单元。在实际应用中,该安全单元可以为任意一种能够保护应用程序安全的安全产品,例如,安全容器、IDS、WAF、IPS、HIDS等等;本说明书对此不作具体限定。为了避免过多赘述,下述均已安全单元为安全容器为例,对本说明书提供的策略处理方法进行解释说明。针对安全单元为IDS、WAF、IPS或者HIDS场景下,对IDS、WAF、IPS或者HIDS的描述内容,可以参照以安全单元为安全容器为例进行解释过程中,对应或相应的描述内容。
该初始安全策略可以理解为策略提供平台基于策略生成逻辑创建的安全策略。后续该策略执行平台能够通过对该初始安全策略进行编排获得目标安全策略。
具体地,本说明书提供的策略处理方法中,该策略执行平台能够向策略提供平台发送,针对目标安全单元对应的初始安全策略的获取请求;该策略提供平台在接收到该获取请求之后,能够响应于该获取请求,从自身创建的初始安全策略中,确定目标安全单元对应的初始安全策略,并将该安全策略发送至该策略执行平台。在实际应用中,该策略执行平台能够在满足预设请求发送条件的情况下,向该策略提供平台发送获取请求;该预设请求发送条件可以根据实际应用场景进行设置,例如,在该策略提供平台确定运行在安全容器中的应用程序更新完成之后,向策略提供平台发送获取请求。或者。以预设时间频率(例如1周一次)向策略提供平台发送获取请求等。
再如,该策略执行平台还能够在接收到,目标对象指示其获得目标安全单元对应的初始安全策略的获取指令的情况下,响应于该获取指令向策略提供平台,发送获取请求。其中,该目标对象可以为至少策略执行平台获取该目标安全单元对应的初始安全策略的对象,例如,智能设备、智能运维机器人等。
下面以策略处理方法应用于向安全容器下发安全策略场景下的应用为例,对策略提供平台基于获取请求将初始安全策略发送至策略执行平台进行进一步说明。其中,策略执行平台可以为互联网企业的安全运营平台,该目标安全单元可以为安全容器。基于此,该安全运营平台能够向策略提供平台,发送针对安全容器的初始安全策略的获取请求。其中,该安全容器中能够运行应用程序,该应用程序可以为“通信程序”。该策略提供平台在接收到该获取请求之后,响应于该获取请求,从自身为运行应用程序的安全容器所创建的初始安全策略中,确定出为运行通信程序的安全容器所创建的初始安全策略。并将该初始安全策略发送至安全运营平台。
步骤204:所述策略执行平台,基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及
调用所述策略提供平台提供的策略处理接口,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元;
其中,该目标应用程序可以根据实际应用场景进行设置,本说明书对此不做具体限制,例如,该目标应用程序可以为通信程序、互联网金融应用程序等等。该策略处理接口可以理解策略提供平台提供的,能够实现特定功能的接口;该实现特定功能的接口可以根据实际应用场景进行设置,例如,该策略处理接口可以为策略验证接口,用于实现安全策略的验证功能;该策略处理接口可以为策略发布接口,用于实现将安全策略发布(即下发)至目标安全单元;该策略处理接口可以为策略回滚接口,用于实现安全策略的回滚功能。
目标应用程序的属性信息可以理解为用于创建安全策略所需要的信息;该属性信息可以根据实际应用场景进行设置,例如,该属性信息可以为该应用程序中接口标识、该应用程序的进程信息等等。在实际应用中,该运行该通信程序的安全容器所执行的安全策略,可以为不允许通信程序运行,除白名单中包括接口,或者进程之外的所有接口和进程。但是,当通信程序更新了新的接口或进程的情况下,该新的接口或进程并不存在于白名单之后,因此,由于白名单中并未添加新的接口或进程,可能会导致更新后的通信程序的错误执行,所以需要将该更新后的接口或进程添加至白名单中。
具体地,策略执行平台向策略提供平台发送获取请求之后,能够接收到策略提供平台返回的该目标安全单元对应的初始安全策略。之后,该策略执行平台能够确定出运行在该目标安全运行单元中的目标应用程序的属性信息,并基于该接收的初始安全策略以及目标应用程序的属性信息,生成目标安全单元对应的目标安全策略,以及,通过调用该策略提供平台提供的策略处理接口,将目标安全单元对应的目标安全策略发送至目标安全单元。
在实际应用中,由于策略提供平台会提供多个策略处理接口,也即是,多种功能的接口。因此,策略执行平台需要对策略处理接口进行编排;通过调用编排后的策略处理接口,将目标安全单元对应的目标安全策略发送至目标安全单元,使得该目标安全单元能够执行该目标安全策略。
在本说明书提供的一实施例中,该策略提供平台是对策略生成逻辑以及策略下发逻辑进行抽象处理获得的服务平台,该策略提供平台能够基于该策略生成逻辑生成初始安全策略,该初始安全策略可以类似于不同的“积木组件”。当策略提供平台为安全运营平台能够基于对“积木组件”进行编排,从而获得一个完成的积木“目标安全策略”。其中,将该初始安全策略编排为目标安全策略的方式,可以为任意一种实现基于该初始安全策略编排为目标安全策略的方式,本说明书对此不做具体设置。基于此,本说明书提供的一种该初始安全策略编排为目标安全策略的方式如下。
所述基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略,包括:
所述策略执行平台,确定所述初始安全策略中的待修改信息,并基于运行在所述目标安全单元中的目标应用程序的属性信息对所述待修改信息进行修改,获得所述目标安全单元对应的目标安全策略。
其中,初始安全策略中的待修改信息可以理解为,需要目标应用程序的属性信息进行修改的信息,例如,在初始安全策略为上述实现白名单的安全策略的情况下,该待修改信息可以理解为安全策略中的白名单。基于此,基于该属性信息对待修改信息进行修改,可以理解为将该通信程序更新的接口或进程添加至白名单中。使得该接口或进程能够正常运行。
具体地,策略执行平台,需要确定该初始安全策略中的待修改信息,并基于该运行在目标安单元中的目标应用程序的属性信息,对初始安全策略中的待修改信息进行修改,获得修改后的初始安全策略。并将该修改后的初始安全策略作为目标安全策略。从而实现策略执行平台能够快速的基于该初始安全策略生成目标安全策略。避免了自身需要基于策略创建逻辑主动编写安全策略所造成的成本高的问题,并且,进一步避免了策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,策略执行平台自身的策略生成逻辑与新平台进行适配的问题,从而保证了策略创建的时效性。
进一步地,在对多个初始安全策略进行编排的过程中,不仅仅需要基于应用程序的属性信息对初始安全策略进行调整,同时,还需要基于不同安全产品的需要,对不同初始安全策略的执行顺序进行编排,从而适应不同的安全产品,提高本说明书提供的策略处理方法的适应性。基于此,本说明书提供的另一种该初始安全策略编排为目标安全策略的方式如下。
本说明书提供的策略处理方法中,所述初始安全策略为多个;
相应地,所述基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略,包括:
所述策略执行平台,确定运行在所述目标安全单元中的目标应用程序的属性信息,以及所述目标安全单元的属性信息;
基于所述目标应用程序的属性信息,对所述每个初始安全策略中的待修改信息进行调整,获得多个待处理安全策略;
基于所述目标安全单元的属性信息,对所述多个待处理安全策略进行编排,获得目标安全策略。
其中,该目标安全单元的属性信息可以理解为能够该目标安全单元对应的安全策略编排方式的信息。例如,该目标安全单元的属性信息可以为目标安全产品的标识、或安全产品的类型。在实际应用中,该安全运营平台针对不同类型或标识的安全产品,能够以不同的方式对安全策略的编排,从而获得与该安全产品对应的目标安全策略。基于此,当安全运营平台确定该安全产品的标识之后,能够基于该标识确定该安全产品对应的编排规则,基于该编排规则对该初始安全策略的执行顺序进行编排,获得与该安全产品对应的目标安全策略。
沿用上例,其中,与该安全容器对应的初始安全策略为多个,基于此,策略执行平台需要确定安全容器更新后的通信程序的更新接口信息,以及该安全单元的标识。将该通信程序的更新接口信息添加至每个初始安全策略的白名单中,从而获得多个待编排安全策略;之后,基于该安全单元的标识确定该安全单元对应的策略编排方式,基于该策略编排方式对多个待编排安全策略的执行顺序进行编排,获得目标安全策略。
本说明书提供的实施例中,通过目标应用程序的属性信息,以及目标安全单元的属性信息对多个初始安全策略进行编排,获得目标安全策略,从而能够快速的生成目标安全策略。避免了自身需要基于策略创建逻辑主动编写安全策略所造成的成本高的问题,并且,进一步避免了策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,将策略执行平台自身的策略生成逻辑与新平台进行适配的问题,从而保证了策略创建的时效性。
在本说明书提供的一实施例中,由于不同的策略执行平台对于安全策略的下发流程存在差异,获得策略执行平台对不同安全产品对应的安全策略的下发流程同样存在差异。基于此,基于对策略下发逻辑进行抽象处理获得的服务平台,能够将策略下发流程所需要功能封装成多个功能接口,以供安全运营平台根据自身的需要进行编排。从而快速且灵活的生成策略下发流程,从而避免了策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,将策略执行平台自身的策略下发逻辑与新平台进行适配的问题,从而保证了策略下发的时效性和灵活性,基于此,所述策略执行平台,基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略可以包括步骤B1至步骤B3。
步骤B1:所述策略执行平台,确定所述策略提供平台提供的多个策略处理接口。
在实际应用中,该策略提供平台能够将策略下发逻辑进行打包,获得多种功能的策略处理接口,基于此,该策略执行平台在需要基于策略处理接口将该目标安全策略发送至目标安全单元的过程中,需要确定该策略提供平台,为其提供的多个策略处理接口。
在实际应用中,该安全运营平台可以向该策略提供平台发送针对该功能接口的查询请求,该策略提供平台响应于该查询请求,将其自身提供的功能接口的接口信息发送至该安全运营平台,从而使得该安全运营平台能够确定出该策略提供平台所系统的多个功能接口,从而便于后续基于特定的功能接口,将目标安全策略下发至安全容器。
步骤B2:基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果。
其中,该预设编排规则可以根据策略执行平台的实际应用场景进行设置,本说明书对此不做具体设置,例如,该预设编排规则可以为根据不同安全产品对应的预设下发流程,对策略处理接口进行编排。比如,在策略处理接口为策略发布接口和策略验证接口,且该安全产品为安全容器的情况下,该预设编排规则,可以为将策略验证接口排在第一步调用,将该策略发布接口排在第二位调用,从而获得针对该策略处理接口的编排结果。后续,基于该编排结果首先调用策略验证接口对该目标安全策略进行验证,在验证通过的情况下,调用该策略发布接口对该目标安全策略进行发布。相应地,该编排结果可以理解为针对该目标安全策略的策略下发流程。
进一步的,所述基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果,包括:
所述策略执行平台,将满足预设接口确定条件的策略处理接口,确定为目标策略处理接口;
确定所述目标安全单元的属性信息,以及确定所述目标安全单元对应的策略处理模块,其中,所述策略处理模块为对所述目标安全单元的目标安全策略进行处理的数据;
基于所述属性信息确定所述目标安全单元对应的预设编排规则;
基于所述预设编排规则,对所述目标策略处理接口以及所述策略处理模块进行编排,获得所述策略处理接口的编排结果。
其中,目标安全单元对应的策略处理模块可以理解为,该策略执行平台自身创建的、用于对该目标安全策略进行处理的模块。例如,部署在该安全运营平台上,用于实现对该目标安全策略进行下发功能的模块,该模块可以通过编写的计算机代码实现。在实际应用中,由于策略提供平台提供的策略处理接口,可能无法完成实现或覆盖安全运营平台所需要的策略下发功能,基于此,该安全运营平台还能够创建自己所需要的策略下发功能。基于此,该安全运营平台能够将策略提供平台提供的功能接口,以及自身创建的策略下功能编排在一起,从而获得至少所需要的策略下发流程。
该预设接口确定条件可以根据实际应用场景进行设置,本说明书对此不做具体限定。例如,该满足预设接口确定条件可以理解为策略提供平台所提供的功能接口中,能够实现策略下发功能的接口。
沿用上例,该安全运营平台从策略提供平台提供的多个功能接口中,选择在策略下发流程中能够使用的功能接口,该功能接口可以为策略发布接口,策略验证接口。之后该安全运营平台能够确定该安全容器的标识,以及自身为该安全容器创建的策略下发功能模块,该功能模块可以为实现策略中断恢复功能的中断处理模块。
基于该安全容器的标识确定该安全容器对应的策略下发规则,基于该策略下发规则,将策略提供模块提供的策略发布接口,策略验证接口以及中断处理模块按照特定执行顺序进行编排,获得策略下发流程。
在本说明书提供的一实施例中,该安全运营平台可以完全采用策略提供平台所提供的功能接口,编排目标安全策略的策略下发流程。从而避免了自身需要开发对应的功能模块所增加的成本,并且,能够更好的避免策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,将策略下发功能与新平台进行适配的问题。具体实现方式如下。
所述对每个策略处理接口中满足预设编排条件的策略处理接口进行编排,获得所述策略处理接口的编排结果,包括:
所述策略执行平台,将满足预设接口确定条件的策略处理接口,确定为目标策略处理接口;
基于所述目标安全单元的属性信息,确定针对所述目标策略处理接口的编排顺序信息;
基于所述编排顺序信息对所述目标策略处理接口的调用顺序进行编排,获得所述策略处理接口的编排结果。
其中,该编排顺序信息可以理解为预先设定的、针对该目标安全单元的策略下发流程的编排信息。
沿用上例,该安全运营平台从策略提供平台提供的多个功能接口中,选择在策略下发流程中能够使用的功能接口,该功能接口可以为策略发布接口,策略验证接口。之后该安全运营平台能够确定该安全容器的标识,确定该安全容器对应的策略下发流程的编排信息,基于该编排信息,将策略提供模块提供的策略发布接口,策略验证接口按照特定执行顺序进行编排,获得策略下发流程。
步骤B3:基于所述编排结果,调用所述策略处理接口对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元。
本说明书提供的一实施例中,所述基于所述编排结果,调用所述策略处理接口对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元,包括:
所述策略执行平台,确定所述编排结果中所述策略处理接口的调用顺序;以及
基于所述调用顺序调用所述策略处理接口,对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元。
具体地,该策略执行平台在获得编排结果之后,能够确定该编排结果中策略处理接口对应的调用顺序,基于该调用顺序对该策略处理接口进行调用,从而获得该策略处理接口对应的策略处理能力,基于该策略处理能力,对该目标安全策略进行策略处理,从而获得处理后的目标安全策略,以及将该处理后的目标安全策略下发至目标安全单元,实现后续该目标安全单元能够执行该目标安全策略,从而保证运行在该目标安全单元中的目标应用程序的安全性。
本说明书提供的一实施例中,能够基于该调用顺序先后调用不同的策略处理接口,实现对该目标安全策略的下发。具体实现方式如下。
所述基于所述调用顺序调用所述策略处理接口,对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元,包括:
所述策略执行平台,基于所述调用顺序,调用位于所述调用顺序中第一位置的第一策略处理接口;
基于所述第一策略处理接口对应的第一策略处理服务,对所述目标安全策略进行处理,获得所述目标安全策略的处理结果;
在所述处理结果满足预设处理条件的情况下,调用位于所述调用顺序中第二位置的第二策略处理接口;
基于所述第二策略处理接口对应的第二策略处理服务,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元。
其中,该第一策略处理接口可以理解为策略下发流程中第一个需要调用的功能接口,该功能接口可以为策略验证接口,该第一策略处理服务可以理解为策略验证功能。相应地,该第一策略处理接口可以理解为策略下发流程中第二个需要调用的功能接口,该功能接口可以为策略发布接口,该第二策略处理服务可以理解为策略发布功能。
沿用上例,安全运营平台对策略提供平台提供的策略验证接口和策略发布接口,获得策略下发流程之后,该安全运营平台在执行该策略下发流程的过程中,能够基于编排的接口调用顺序,分别调用不同的接口,从而获得不同的功能。基于此,该安全运营平台在执行策略下发流程的过程中,基于该策略下发流程的接口调用顺序,首先调用第一位置的策略验证接口,从而基于该策略验证接口对应的策略验证服务,对该目标安全策略进行验证。其中,该验证的过程包括但不限于确定该目标安全策略对应的安全容器是否存在、确定服务器和/或安全容器是否具有执行该目标安全策略的计算资源等等。在验证完成之后,能够获得针对该目标安全策略的验证结果。
在安全运营平台确定该验证结果为验证通过的情况下,调用位于该策略验证步骤之后的策略发布接口,基于该策略发布接口对应的策略发布功能,将该目标安全策略下发至安全容器,使得后续该安全容器能够执行该目标安全策略,保证安全容器内运行的应用程序的安全性。
步骤206:所述目标安全单元,执行所述目标安全策略。
沿用上例,在安全容器接收到安全运营平台下发的目标安全策略之后,执行该目标安全策略,从而保证该安全容器内运行的应用程序的安全性。
本说明书提供的策略处理方法中,基于策略执行平台的策略生成逻辑和策略下发逻辑进行处理,生成策略提供平台,基于策略提供平台为策略执行平台提供初始安全策略,以及策略处理接口,使得该策略执行平台能够基于该初始安全策略,快速的生成目标安全策略,以及基于该策略处理接口,快速的将该目标安全策略下发至安全运行单元中执行,从而避免了策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,将策略执行平台自身的策略生成逻辑和策略下发逻辑与新平台进行适配的问题,从而保证了策略创建和策略下发的时效性。
在本说明书提供的一实施例中,该策略执行平台在将该目标安全策略下发至目标安全单元中执行之后,当该策略执行平台需要对该目标安全单元进行策略回滚,将该目标安全单元当前执行的安全策略,回滚至历史执行的某个安全策略的情况下,该策略执行平台能够基于策略提供平台提供的策略回滚接口,调用对应的策略回滚功能。基于该策略回滚功能实现对目标安全单元执行策略回滚的操作。从而避免策略下发错误对互联网企业造成的损失,进一步保证的应用程序的安全。具体实现方式如下。
所述目标安全单元,执行所述目标安全策略之后,还包括:
所述策略执行平台,接收用户针对所述目标安全单元的策略恢复请求,其中,所述策略恢复请求携带有待恢复安全策略的标识和目标安全单元的标识;
基于所述策略恢复请求,调用所述策略提供平台提供的策略恢复接口;
基于所述策略恢复接口对应的策略恢复服务,通过所述目标安全单元的标识确定目标安全单元,以及通过待恢复安全策略的标识,在所述目标安全单元恢复所述待恢复安全策略。
其中,该待恢复安全策略可以理解为需要回滚的安全策略,该策略恢复请求可以理解为策略回滚请求,该策略恢复接口可以理解为调用该策略回滚能力的接口,该策略恢复服务可以理解为策略回滚能力。
沿用上例,安全运营平台在接收到用户针对安全容器的策略回滚请求的情况下,能够响应于该策略回滚请求,调用该策略提供平台所提供的策略回滚接口。基于该策略回滚接口对应的策略回滚能力,通过策略回滚请求中携带的安全容器的标识确定待回滚的安全容器,以及基于该策略回滚能够,通过待回滚安全策略的标识,将该安全容器执行的安全策略会回滚至该待回滚安全策略,从而实现策略回滚操作。
本说明书提供的一实施例中,该策略提供平台还能够对应用程序的更新状态进行监测,在确定该应用程序的更新进程完成之后,确定该应用程序所更新的接口和/或进程,基于该接口和/或进程主动创建一个待确定安全策略,并将该待确定安全策略发送至安全运营平台,在该安全运营平台对该待确定安全策略验证通过的情况下,直接将该待确定安全策略作为目标安全策略下发至安全容器,从而避免了策略执行平台还需要生成目标安全策略的问题,提高了策略执行平台的策略处理效率。基于此,策略提供平台主动创建待确定安全策略的方式如下。
所述策略处理方法,还包括:
所述策略提供平台,监测所述目标应用程序的更新状态信息,并在所述更新状态信息满足预先更新条件的情况下,获取所述目标应用程序的更新数据;
基于所述目标应用程序的更新数据确定所述目标应用程序的初始安全策略,并基于所述目标应用程序的更新数据以及初始安全策略,生成待确定安全策略。
沿用上例,策略提供平台对应用程序的更新状态进行监测,获取该应用程序的当前更新状态,在基于该当前更新状态确定该应用程序完成更新之后,该策略提供平台能够主动确定该应用程序所更新的接口和/或进程。并确定该接口和/或进程能够进行修改的初始安全策略,该安全策略可以为白名单安全策略。将该接口和/或进程添加至该白名单中,从而获得一个待确定的安全策略。
进一步地,所述基于所述目标应用程序的更新数据以及初始安全策略,生成待确定安全策略之后,还包括:
所述策略提供平台,基于所述待确认安全策略生成策略确定通知,并将所述策略确定通知发送至所述策略执行平台;
所述策略执行平台,响应于所述策略确定通知获取所述待确认安全策略,并基于策略验证对象对所述待确认安全策略进行验证,获得所述待确认安全策略的验证结果;以及
在所述验证结果满足预设策略确定条件的情况下,将所述待确认安全策略确定为目标安全策略。
其中,该策略验证对象可以理解为对该待确认安全策略进行验证的对象,例如,该对象可以为预训练的神经网络模型、智能设备、应用程序等等。
沿用上例,该策略提供平台生成待确定安全策略之后,基于该待确定安全策略创建一个策略确定通知,并将该策略确定通知发送至安全运营平台。
该安全运营平台在接收到该通知之后,基于该通知从该策略提供平台中的获取该待确定安全策略,并将该待确定安全策略输入至预训练的策略验证模型中进行验证,获得验证结果。在该验证结果为通过的情况下,该安全运营平台能够将该待确定安全策略确定为目标安全策略,并对该目标安全策略执行下发至安全容器的策略下发流程,使得该安全容器能够执行该目标安全策略。
本说明书提供的一实施例中,该策略提供模块能够主动基于目标应用程序的更新信息生成待确认安全策略,并在该策略执行平台确定验证通过的情况下,将该待确认安全策略作为目标安全策略,从而减少了策略执行平台生成目标安全策略的成本。
下述结合附图3,以本说明书提供的策略处理方法在向安全容器下发安全策略场景的应用为例,对所述策略处理方法进行进一步说明。其中,图3示出了本说明书一个实施例提供的一种策略处理方法的处理示意图,本说明书提供的策略处理方法,考虑到互联网企业的免安全运营平台在进行平台迁移的情况下,会需要花费大量的时间和人力成本,将安全运营平台自身的策略生成逻辑和策略下发逻辑与新平台进行适配,因此,将安全运营平台的策略生成逻辑和策略下发逻辑进行抽象处理,获得一个服务平台(即上述策略提供平台),该服务平台为用户(即安全运行平台)提供策略管理服务以及核心能力服务。该策略管理(又称为规则管理)服务主要包括策略规则编辑、策略打包以及策略发布;其中,该策略规则编辑可以理解为该服务平台预先为每个安全容器编辑创建对应的安全策略。该策略打包可以理解为对创建的安全策略进行打包处理,便于后续安全运营平台需要获取安全策略的情况下,能够直接将打包后的安全策略发送至该安全运营平台。该策略发布可以理解为,在安全运行平台通过人工提单的方式获取打包后的安全策略的情况下,该策略发布服务能够基于API触发的方式将打包后的安全策略发送至安全运行平台。
其中,该核心能力服务可以理解为将策略下发逻辑的核心能力封装为多个原子性的功能接口,该核心能力包括但不限于规则验证(即策略验证)、规则发布(即策略发布)以及策略回滚的能力。并将该能力接口提供给安全运行平台,该安全运行平台能够基于该功能接口,调用对应的核心安全能力。其中,核心能力之间为配套的能力,整体逻辑形成排他性事务,形成不依赖编排系统(该编排系统为安全运行平台)的独立能力集合。
需要说明的是,该策略管理服务以及核心能力服务在实现的过程中,还需要通过安全产品(例如安全容器)提供的多个生效接口实现;该生效接口可以理解为安全产品将自己的安全能力进行封装而获得的接口,该生效接口为面向策略管理服务和核心能力服务的接口。该生效接口包括策略创建接口以及策略生效接口。
在实际应用中,该策略管理服务在进行策略规则编辑服务的过程中,需要通过调用该策略创建接口完成策略规则的创建。该策略生效接口在进行策略发布、策略验证以及策略回滚的过程中,需要调用策略生效接口,完成策略发布服务、策略验证以及策略回滚服务。
基于此,将安全运营平台的策略生成逻辑和策略下发逻辑,抽象为策略管理服务以及核心能力服务之后,基于该策略管理服务以及核心能力服务,能够在编排平台上进行策略应用流程(策略下发流程)以及安全策略的编排,
其中,该安全策略的编排可以通过编排平台中的变更管理和准备功能实现,该变更管理和准备功能提供自定义编排安全策略的功能,具体地,该变更管理和准备功能通过人工提单的方式,获得策略管理服务创建的安全策略,并基于该安全策略进行变更单编排(该变更单可以理解为针对安全产品的安全策略,例如上述目标安全策略);在完成变更单编排之后,通过变更单提交服务将变更单提交审批。
在审批通过的情况下,通过变更执行服务对核心能力服务提供的多个功能接口进行编排,获得针对安全策略的策略下发流程。在该策略下发流程执行的过程中,调用相应流程步骤所对应的功能接口,通过该功能接口对应的核心能力,实现安全策略的下发。具体包括,该策略下发流程执行的过程中,能够调用策略验证接口实现服务调用(即调用策略验证服务);并在通过策略验证服务获得验证结果之后进行结果判断。基于该策略下发流程,在判断该验证结果为通过的情况下,调用策略发布接口实现策略发布。
在本说明书提供的策略处理方法中,该策略发布的过程中,可以通过范围分批的方式将分批执行策略的发布,从而将安全策略分批下发至特定范围的安全产品;并基于该策略发布服务实现该安全策略的下发(即图3中的生效调用)。并对安全策略生效的结果进行处理。
此外,在发布过程中可根据执行结果分批回滚(即图3中的回滚分批),具体包括,编排平台通过回滚功能调用策略回滚接口(即图3中的回滚调用),基于策略回滚服务进行回滚,并对策略回滚生效的结果进行处理。
本说明书提供的策略处理方法是一种基于动态编排机制的策略应用方案,该方案可单独剥离安全能力的策略管理体系,同时实现对安全策略的应用生效流程可编排,且编排引擎不受限制,降低迁移成本提升策略生效的效率。
与上述方法实施例相对应,本说明书还提供了策略处理系统实施例,图3示出了本说明书一个实施例提供的一种策略处理系统的结构示意图。如图3所示,该系统包括:策略提供平台402、策略执行平台404、以及运行在服务器中的目标安全单元406,其中,
所述策略提供平台402,被配置为响应于所述策略执行平台404发送的、针对所述目标安全单元406对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台404;
所述策略执行平台404,被配置为基于接收的所述初始安全策略以及运行在所述目标安全单元406中的目标应用程序的属性信息,生成所述目标安全单元406对应的目标安全策略;以及
调用所述策略提供平台402提供的策略处理接口,将所述目标安全单元406对应的目标安全策略发送至所述目标安全单元406;
所述目标安全单元406,被配置为执行所述目标安全策略。
可选地,所述策略执行平台404,还被配置为:
确定所述策略提供平台402提供的多个策略处理接口;
基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果;
基于所述编排结果,调用所述策略处理接口对所述目标安全单元406对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元406。
可选地,所述策略执行平台404,还被配置为:
将满足预设接口确定条件的策略处理接口,确定为目标策略处理接口;
确定所述目标安全单元406的属性信息,以及确定所述目标安全单元406对应的策略处理模块,其中,所述策略处理模块为对所述目标安全单元406的目标安全策略进行处理的数据;
基于所述属性信息确定所述目标安全单元406对应的预设编排规则;
基于所述预设编排规则,对所述目标策略处理接口以及所述策略处理模块进行编排,获得所述策略处理接口的编排结果。
可选地,所述策略执行平台404,还被配置为:
将满足预设接口确定条件的策略处理接口,确定为目标策略处理接口;
基于所述目标安全单元406的属性信息,确定针对所述目标策略处理接口的编排顺序信息;
基于所述编排顺序信息对所述目标策略处理接口的调用顺序进行编排,获得所述策略处理接口的编排结果。
可选地,所述策略执行平台404,还被配置为:
确定所述编排结果中所述策略处理接口的调用顺序;以及
基于所述调用顺序调用所述策略处理接口,对所述目标安全单元406对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元406。
可选地,所述策略执行平台404,还被配置为:
基于所述调用顺序,调用位于所述调用顺序中第一位置的第一策略处理接口;
基于所述第一策略处理接口对应的第一策略处理服务,对所述目标安全策略进行处理,获得所述目标安全策略的处理结果;
在所述处理结果满足预设处理条件的情况下,调用位于所述调用顺序中第二位置的第二策略处理接口;
基于所述第二策略处理接口对应的第二策略处理服务,将所述目标安全单元406对应的目标安全策略发送至所述目标安全单元406。
可选地,所述策略执行平台404,还被配置为:
接收用户针对所述目标安全单元406的策略恢复请求,其中,所述策略恢复请求携带有待恢复安全策略的标识和目标安全单元406的标识;
基于所述策略恢复请求,调用所述策略提供平台402提供的策略恢复接口;
基于所述策略恢复接口对应的策略恢复服务,通过所述目标安全单元406的标识确定目标安全单元406,以及通过待恢复安全策略的标识,在所述目标安全单元406恢复所述待恢复安全策略。
可选地,所述策略提供平台402,还被配置为:
监测所述目标应用程序的更新状态信息,并在所述更新状态信息满足预先更新条件的情况下,获取所述目标应用程序的更新数据;
基于所述目标应用程序的更新数据确定所述目标应用程序的初始安全策略,并基于所述目标应用程序的更新数据以及初始安全策略,生成待确定安全策略。
可选地,所述策略提供平台402,还被配置为:基于所述待确认安全策略生成策略确定通知,并将所述策略确定通知发送至所述策略执行平台404;
所述策略执行平台404,还被配置为:
响应于所述策略确定通知获取所述待确认安全策略,并基于策略验证对象对所述待确认安全策略进行验证,获得所述待确认安全策略的验证结果;以及
在所述验证结果满足预设策略确定条件的情况下,将所述待确认安全策略确定为目标安全策略。
可选地,所述策略执行平台404,还被配置为:
确定所述初始安全策略中的待修改信息,并基于运行在所述目标安全单元406中的目标应用程序的属性信息对所述待修改信息进行修改,获得所述目标安全单元406对应的目标安全策略。
可选地,所述初始安全策略为多个;
相应地,所述策略执行平台404,还被配置为:
确定运行在所述目标安全单元406中的目标应用程序的属性信息,以及所述目标安全单元406的属性信息;
基于所述目标应用程序的属性信息,对所述每个初始安全策略中的待修改信息进行调整,获得多个待处理安全策略;
基于所述目标安全单元406的属性信息,对所述多个待处理安全策略进行编排,获得目标安全策略。
本说明书提供的一实施例中,该策略处理系统基于策略执行平台的策略生成逻辑和策略下发逻辑生成的策略提供平台,为策略执行平台提供初始安全策略,以及策略处理接口,使得该策略执行平台能够基于该初始安全策略,快速的生成目标安全策略,以及基于该策略处理接口,快速的将该目标安全策略下发至安全运行单元中执行,从而避免了策略执行平台在进行平台迁移的过程中,需要花费大量的时间和人力成本,将策略执行平台自身的策略生成逻辑和策略下发逻辑与新平台进行适配的问题,从而保证了策略创建和策略下发的时效性。
上述为本实施例的一种策略处理系统的示意性方案。需要说明的是,该策略处理系统的技术方案与上述的策略处理方法的技术方案属于同一构思,策略处理系统的技术方案未详细描述的细节内容,均可以参见上述策略处理方法的技术方案的描述。
图5示出了根据本说明书一个实施例提供的一种计算设备500的结构框图。该计算设备500的部件包括但不限于存储器510和处理器520。处理器520与存储器510通过总线530相连接,数据库550用于保存数据。
计算设备500还包括接入设备540,接入设备540使得计算设备500能够经由一个或多个网络560通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备540可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备500的上述部件以及图5中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图5所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备500可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备500还可以是移动式或静止式的服务器。
其中,处理器520用于执行如下计算机可执行指令,该计算机可执行指令被处理器520执行时实现上述策略处理方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的策略处理方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述策略处理方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述策略处理方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的策略处理方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述策略处理方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述策略处理方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的策略处理方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述策略处理方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。

Claims (13)

1.一种策略处理方法,应用于策略处理系统,所述系统包含策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,其中,
所述策略提供平台,响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台;
所述策略执行平台,基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及
确定所述策略提供平台提供的多个策略处理接口;基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果;基于所述编排结果,调用所述策略处理接口对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元;
所述目标安全单元,执行所述目标安全策略。
2.根据权利要求1所述的策略处理方法,所述基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果,包括:
所述策略执行平台,将满足预设接口确定条件的策略处理接口,确定为目标策略处理接口;
确定所述目标安全单元的属性信息,以及确定所述目标安全单元对应的策略处理模块,其中,所述策略处理模块为对所述目标安全单元的目标安全策略进行处理的数据;
基于所述属性信息确定所述目标安全单元对应的预设编排规则;
基于所述预设编排规则,对所述目标策略处理接口以及所述策略处理模块进行编排,获得所述策略处理接口的编排结果。
3.根据权利要求1所述的策略处理方法,所述基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果,包括:
所述策略执行平台,将满足预设接口确定条件的策略处理接口,确定为目标策略处理接口;
基于所述目标安全单元的属性信息,确定针对所述目标策略处理接口的编排顺序信息;
基于所述编排顺序信息对所述目标策略处理接口的调用顺序进行编排,获得所述策略处理接口的编排结果。
4.根据权利要求1所述的策略处理方法,所述基于所述编排结果,调用所述策略处理接口对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元,包括:
所述策略执行平台,确定所述编排结果中所述策略处理接口的调用顺序;以及
基于所述调用顺序调用所述策略处理接口,对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元。
5.根据权利要求4所述的策略处理方法,所述基于所述调用顺序调用所述策略处理接口,对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元,包括:
所述策略执行平台,基于所述调用顺序,调用位于所述调用顺序中第一位置的第一策略处理接口;
基于所述第一策略处理接口对应的第一策略处理服务,对所述目标安全策略进行处理,获得所述目标安全策略的处理结果;
在所述处理结果满足预设处理条件的情况下,调用位于所述调用顺序中第二位置的第二策略处理接口;
基于所述第二策略处理接口对应的第二策略处理服务,将所述目标安全单元对应的目标安全策略发送至所述目标安全单元。
6.根据权利要求1所述的策略处理方法,所述目标安全单元,执行所述目标安全策略之后,还包括:
所述策略执行平台,接收用户针对所述目标安全单元的策略恢复请求,其中,所述策略恢复请求携带有待恢复安全策略的标识和目标安全单元的标识;
基于所述策略恢复请求,调用所述策略提供平台提供的策略恢复接口;
基于所述策略恢复接口对应的策略恢复服务,通过所述目标安全单元的标识确定目标安全单元,以及通过待恢复安全策略的标识,在所述目标安全单元恢复所述待恢复安全策略。
7.根据权利要求1所述的策略处理方法,还包括:
所述策略提供平台,监测所述目标应用程序的更新状态信息,并在所述更新状态信息满足预先更新条件的情况下,获取所述目标应用程序的更新数据;
基于所述目标应用程序的更新数据确定所述目标应用程序的初始安全策略,并基于所述目标应用程序的更新数据以及初始安全策略,生成待确定安全策略。
8.根据权利要求7所述的策略处理方法,所述基于所述目标应用程序的更新数据以及初始安全策略,生成待确定安全策略之后,还包括:
所述策略提供平台,基于所述待确定安全策略生成策略确定通知,并将所述策略确定通知发送至所述策略执行平台;
所述策略执行平台,响应于所述策略确定通知获取所述待确定安全策略,并基于策略验证对象对所述待确定安全策略进行验证,获得所述待确定安全策略的验证结果;以及
在所述验证结果满足预设策略确定条件的情况下,将所述待确定安全策略确定为目标安全策略。
9.根据权利要求1所述的策略处理方法,所述基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略,包括:
所述策略执行平台,确定所述初始安全策略中的待修改信息,并基于运行在所述目标安全单元中的目标应用程序的属性信息对所述待修改信息进行修改,获得所述目标安全单元对应的目标安全策略。
10.根据权利要求1所述的策略处理方法,所述初始安全策略为多个;
相应地,所述基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略,包括:
所述策略执行平台,确定运行在所述目标安全单元中的目标应用程序的属性信息,以及所述目标安全单元的属性信息;
基于所述目标应用程序的属性信息,对每个初始安全策略中的待修改信息进行调整,获得多个待处理安全策略;
基于所述目标安全单元的属性信息,对所述多个待处理安全策略进行编排,获得目标安全策略。
11.一种策略处理系统,包括:策略提供平台、策略执行平台、以及运行在服务器中的目标安全单元,其中,
所述策略提供平台,被配置为响应于所述策略执行平台发送的、针对所述目标安全单元对应的初始安全策略的获取请求,将所述初始安全策略发送至所述策略执行平台;
所述策略执行平台,被配置为基于接收的所述初始安全策略以及运行在所述目标安全单元中的目标应用程序的属性信息,生成所述目标安全单元对应的目标安全策略;以及
确定所述策略提供平台提供的多个策略处理接口;基于预设编排规则的策略处理接口进行编排,获得所述策略处理接口的编排结果;基于所述编排结果,调用所述策略处理接口对所述目标安全单元对应的目标安全策略进行策略处理,并将处理后的所述目标安全策略发送至所述目标安全单元;
所述目标安全单元,被配置为执行所述目标安全策略。
12.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至10任意一项所述策略处理方法的步骤。
13.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至10任意一项所述策略处理方法的步骤。
CN202210164223.6A 2022-02-22 2022-02-22 策略处理方法及系统 Active CN114338231B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210164223.6A CN114338231B (zh) 2022-02-22 2022-02-22 策略处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210164223.6A CN114338231B (zh) 2022-02-22 2022-02-22 策略处理方法及系统

Publications (2)

Publication Number Publication Date
CN114338231A CN114338231A (zh) 2022-04-12
CN114338231B true CN114338231B (zh) 2023-10-31

Family

ID=81031075

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210164223.6A Active CN114338231B (zh) 2022-02-22 2022-02-22 策略处理方法及系统

Country Status (1)

Country Link
CN (1) CN114338231B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113360A (zh) * 2013-11-11 2019-08-09 亚马逊技术有限公司 用于访问多个计算资源服务的单组证书
CN110213331A (zh) * 2019-04-29 2019-09-06 北京奇艺世纪科技有限公司 业务请求的处理方法、终端设备、电子设备及存储介质
CN111176755A (zh) * 2019-12-25 2020-05-19 哈尔滨安天科技集团股份有限公司 云上安全的策略配置方法、系统、电子设备及存储介质
CN111447203A (zh) * 2020-03-24 2020-07-24 江苏易安联网络技术有限公司 一种安全策略编排方法
WO2021103580A1 (zh) * 2019-11-27 2021-06-03 华为技术有限公司 自动驾驶应用程序在不同开发平台间对接的方法
WO2021196051A1 (zh) * 2020-03-31 2021-10-07 华为技术有限公司 一种通信方法、装置及系统
CN113726813A (zh) * 2021-09-09 2021-11-30 海尔数字科技(青岛)有限公司 网络安全配置方法、设备及存储介质
CN113872951A (zh) * 2021-09-22 2021-12-31 绿盟科技集团股份有限公司 混合云安全策略下发方法、装置、电子设备和存储介质
CN113918534A (zh) * 2020-07-08 2022-01-11 腾讯科技(深圳)有限公司 一种策略处理系统及方法
CN113965375A (zh) * 2021-10-20 2022-01-21 上海华讯网络系统有限公司 利用策略对象模型管理防火墙的方法及系统
CN114066333A (zh) * 2022-01-17 2022-02-18 阿里巴巴达摩院(杭州)科技有限公司 数据处理方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070294217A1 (en) * 2006-06-14 2007-12-20 Nec Laboratories America, Inc. Safety guarantee of continuous join queries over punctuated data streams
US9571524B2 (en) * 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
US10721275B2 (en) * 2017-01-23 2020-07-21 Fireeye, Inc. Automated enforcement of security policies in cloud and hybrid infrastructure environments
US10594735B2 (en) * 2017-09-28 2020-03-17 At&T Intellectual Property I, L.P. Tag-based security policy creation in a distributed computing environment

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113360A (zh) * 2013-11-11 2019-08-09 亚马逊技术有限公司 用于访问多个计算资源服务的单组证书
CN110213331A (zh) * 2019-04-29 2019-09-06 北京奇艺世纪科技有限公司 业务请求的处理方法、终端设备、电子设备及存储介质
WO2021103580A1 (zh) * 2019-11-27 2021-06-03 华为技术有限公司 自动驾驶应用程序在不同开发平台间对接的方法
CN111176755A (zh) * 2019-12-25 2020-05-19 哈尔滨安天科技集团股份有限公司 云上安全的策略配置方法、系统、电子设备及存储介质
CN111447203A (zh) * 2020-03-24 2020-07-24 江苏易安联网络技术有限公司 一种安全策略编排方法
WO2021196051A1 (zh) * 2020-03-31 2021-10-07 华为技术有限公司 一种通信方法、装置及系统
CN113918534A (zh) * 2020-07-08 2022-01-11 腾讯科技(深圳)有限公司 一种策略处理系统及方法
CN113726813A (zh) * 2021-09-09 2021-11-30 海尔数字科技(青岛)有限公司 网络安全配置方法、设备及存储介质
CN113872951A (zh) * 2021-09-22 2021-12-31 绿盟科技集团股份有限公司 混合云安全策略下发方法、装置、电子设备和存储介质
CN113965375A (zh) * 2021-10-20 2022-01-21 上海华讯网络系统有限公司 利用策略对象模型管理防火墙的方法及系统
CN114066333A (zh) * 2022-01-17 2022-02-18 阿里巴巴达摩院(杭州)科技有限公司 数据处理方法及装置

Also Published As

Publication number Publication date
CN114338231A (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
US11875342B2 (en) Security broker
EP2839406B1 (en) Detection and prevention of installation of malicious mobile applications
CN108369625B (zh) 用于保护多个网络端点的双重存储器内省
US11503062B2 (en) Third-party application risk assessment in an authorization service
US20180217996A1 (en) Securing access to functionality of a file-based write filter
US20140137183A1 (en) Security system and method for the android operating system
US20230259386A1 (en) Data processing method based on container engine and related device
WO2014168954A1 (en) Security policies for loading, linking, and executing native code by mobile applications running inside of virtual machines
US8782782B1 (en) Computer system with risk-based assessment and protection against harmful user activity
KR20190067542A (ko) 암호화 관련 취약점 공격에 강인한 전자 장치 및 그 방법
US20230071264A1 (en) Security automation system
CN113297031B (zh) 容器集群中的容器组防护方法及装置
KR20160039234A (ko) 영역 지향 프로그래밍을 통한 모바일 보안 향상 시스템 및 방법
CN114338231B (zh) 策略处理方法及系统
US20220368697A1 (en) Method and system for synchronously generated security waiver interface
CN113326321B (zh) 一种基于区块链的用户数据管理方法和装置
CN109783156A (zh) 一种应用的启动控制方法及装置
CN111385791B (zh) 安全威胁检测方法及终端
US12015713B1 (en) Artificial intelligence protocols for enhancing token holder autonomy
US20240202308A1 (en) Device protection using pre-execution multi-factor process authentication
US20240111855A1 (en) Device protection using pre-execution command interception and evaluation
CN106326732A (zh) 一种api保护方法和装置
CN117195203A (zh) 操作系统的进程保护方法、装置、计算机设备和存储介质
CN118051322A (zh) 虚拟资产获取行为的处理方法、装置、设备、介质和程序
CN115543663A (zh) 数据处理方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant