CN114389876A - 安全策略实施方法、装置、设备及存储介质 - Google Patents

Abstract

本发明涉及网络安全技术，公开了一种安全策略实施方法、装置、设备及存储介质，该方法包括：创建活动目录组，并在活动目录组中加入预先配置的组安全策略；获取用户信息，并基于用户信息为用户分配虚拟机，生成用户与对应的虚拟机的映射关系表；将虚拟机加入活动目录组中，并基于映射关系表，对活动目录组进行更新；将更新后的活动目录组对应的组安全策略下发至对应的虚拟机；当活动目录组中的虚拟机发出操作请求时，基于组安全策略判断操作请求是否合法；若否，则拒绝操作请求。通过本方法中安全策略的集中管控，可以避免入职、离职带来的工作疏漏导致的安全事故，同时，工作人员因为虚拟机及安全策略的设置，无法通过技术手段修改客户信息。

Description

安全策略实施方法、装置、设备及存储介质

技术领域

本发明涉及网络安全领域，尤其涉及一种安全策略实施方法、装置、设备及存储介质。

背景技术

随着互联网的发展，许多线下业务搬运到线上进行，例如当前的催收系统，催收人员可在催收系统上查看逾期客户的各种信息。在催收作业的过程中，存在这样一种风险，催员为了达成绩效，可能会通过浏览器修改催收系统前端页面上客户的一些信息，如借贷本金，逾期金额，利息等，并将修改之后的页面截屏或拍照发送给客户。这将对后期的催收及回款带来较大的隐患，甚至可能造成一定的社会影响。为防范对于工作人员对线上系统的前端页面进行信息修改的隐患，现有技术大部分通过修改电脑注册表的方式来限制对浏览器网页的修改，但对每个工作人员的电脑逐个进行修改工作量巨大，且当公司规模较大时，工作人员分散在全国各地，再加上离职和入职频繁，管控相对困难，很容易发生遗漏从而造成工作隐患。

发明内容

本发明的主要目的在于解决现有的限制用户更改系统设置或信息需要逐个进行限制的技术问题。

本发明第一方面提供了一种安全策略实施方法，包括：创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；若所述操作请求不合法，则拒绝所述操作请求。

可选的，在本发明第一方面的第一种实现方式中，所述用户信息包括所述用户对应的瘦终端的第一资源配置数据，所述获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表包括：获取用户信息、待分配虚拟机的运行时间和所述待分配虚拟机的第二资源配置数据；根据所述运行时间对所述待分配虚拟机进行排序，得到虚拟机序列；基于所述第一资源配置数据和所述第二资源配置数据，计算所述瘦终端的资源利用率；基于所述资源利用率和所述虚拟机序列，生成所述瘦终端的虚拟机分配方案；基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表。

可选的，在本发明第一方面的第二种实现方式中，所述基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表包括：基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端；获取镜像文件，其中，所述镜像文件包括操作系统安装文件和应用程序安装文件；通过所述镜像文件，在所述虚拟机中安装操作系统和应用程序，并生成用户和对应的虚拟机的映射关系表。

可选的，在本发明第一方面的第三种实现方式中，所述将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新包括：获取目标脚本，并将所述目标脚本存储在存储服务器中，其中，所述目标脚本包括活动目录程序的安装文件；调用预设的数据接口，通过所述数据接口，向对应的虚拟机发送控制指令，以使得所述虚拟机基于所述控制指令从所述存储服务器中获取并运行所述目标脚本；当所述目标脚本运行成功时，则确定所述虚拟机加入所述活动目录组中；基于所述映射关系表，对所述活动目录组进行更新。

可选的，在本发明第一方面的第四种实现方式中，所述应用程序包括浏览器，所述组安全策略包括浏览器安全配置策略，在所述将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机之后，还包括：基于所述浏览器安全配置策略，确定注册表配置命令集；根据所述注册表配置命令集中的各注册表配置命令，修改所述虚拟机对应的系统注册表；基于修改后的系统注册表，对所述虚拟机上的浏览器进行安全配置。

可选的，在本发明第一方面的第五种实现方式中，所述浏览器安全配置策略包括禁止执行浏览器的开发者工具选项，所述当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法包括：当所述活动目录组中的虚拟机对应的瘦终端发出操作请求时，拦截所述操作请求；判断所述操作请求是否为执行浏览器的开发者工具选项；若所述操作请求不是执行浏览器的开发者工具选项，则将所述操作请求发送至对应的虚拟机进行对应操作；若所述操作请求是执行浏览器的开发者工具选项，则确定所述操作请求为非法。

可选的，在本发明第一方面的第六种实现方式中，在所述拒绝所述操作请求之后，还包括：扫描所述活动目录中的所有虚拟机并获取活动目录中的所有虚拟机的最后登录时间；判断是否存在虚拟机对应的最后登录时间大于预设的时间阈值；若是，则从所述活动目录中删除最后登录时间大于预设的时间阈值对应的虚拟机。

本发明第二方面提供了一种安全策略实施装置，包括：目录创建模块，用于创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；

分配模块，用于获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；目录更新模块，用于将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；策略下发模块，用于将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；判断模块，用于当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；操作拒绝模块，用于当所述操作请求不合法时，拒绝所述操作请求。

可选的，在本发明第二方面的第一种实现方式中，所述用户信息包括所述用户对应的瘦终端的第一资源配置数据，所述分配模块具体包括：信息获取单元，用于获取用户信息、待分配虚拟机的运行时间和所述待分配虚拟机的第二资源配置数据；排序单元，用于根据所述运行时间对所述待分配虚拟机进行排序，得到虚拟机序列；计算单元，用于基于所述第一资源配置数据和所述第二资源配置数据，计算所述瘦终端的资源利用率；分配方案生成单元，用于基于所述资源利用率和所述虚拟机序列，生成所述瘦终端的虚拟机分配方案；虚拟机分配单元，用于基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表。

可选的，在本发明第二方面的第二种实现方式中，所述虚拟机分配单元具体用于：基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端；获取镜像文件，其中，所述镜像文件包括操作系统安装文件和应用程序安装文件；通过所述镜像文件，在所述虚拟机中安装操作系统和应用程序，并生成用户和对应的虚拟机的映射关系表。

可选的，在本发明第二方面的第三种实现方式中，所述目录更新模块具体用于：获取目标脚本，并将所述目标脚本存储在存储服务器中，其中，所述目标脚本包括活动目录程序的安装文件；调用预设的数据接口，通过所述数据接口，向对应的虚拟机发送控制指令，以使得所述虚拟机基于所述控制指令从所述存储服务器中获取并运行所述目标脚本；当所述目标脚本运行成功时，则确定所述虚拟机加入所述活动目录组中；基于所述映射关系表，对所述活动目录组进行更新。

可选的，在本发明第二方面的第四种实现方式中，所述应用程序包括浏览器，所述组安全策略包括浏览器安全配置策略，所述安全策略实施装置还包括浏览器配置模块，所述浏览器配置模块具体用于：基于所述浏览器安全配置策略，确定注册表配置命令集；根据所述注册表配置命令集中的各注册表配置命令，修改所述虚拟机对应的系统注册表；基于修改后的系统注册表，对所述虚拟机上的浏览器进行安全配置。

可选的，在本发明第二方面的第五种实现方式中，所述浏览器安全配置策略包括禁止执行浏览器的开发者工具选项，所述判断模块具体用于：当所述活动目录组中的虚拟机对应的瘦终端发出操作请求时，拦截所述操作请求；判断所述操作请求是否为执行浏览器的开发者工具选项；若所述操作请求不是执行浏览器的开发者工具选项，则将所述操作请求发送至对应的虚拟机进行对应操作；若所述操作请求是执行浏览器的开发者工具选项，则确定所述操作请求为非法。

可选的，在本发明第二方面的第六种实现方式中，所述安全策略实施装置还包括虚拟机删除模块，所述虚拟机删除模块具体用于：扫描所述活动目录中的所有虚拟机并获取活动目录中的所有虚拟机的最后登录时间；判断是否存在虚拟机对应的最后登录时间大于预设的时间阈值；若是，则从所述活动目录中删除最后登录时间大于预设的时间阈值对应的虚拟机。

本发明第三方面提供了一种安全策略实施设备，包括：存储器和至少一个处理器，所述存储器中存储有指令，所述存储器和所述至少一个处理器通过线路互连；所述至少一个处理器调用所述存储器中的所述指令，以使得所述安全策略实施设备执行上述的安全策略实施方法的步骤。

本发明的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述的安全策略实施方法的步骤。

本发明的技术方案中，创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；若所述操作请求不合法，则拒绝所述操作请求。通过本方法能够将工作人员快速分配到执行了安全设置的虚拟机开展业务，同时，因为安全策略的集中管控，可以避免频繁入职、离职过程中带来的工作疏漏导致的安全事故，工作人员因为虚拟机及安全策略的设置，也无法通过技术手段修改客户信息，将该类安全隐患降到最低。

附图说明

图1为本发明实施例中安全策略实施方法的第一个实施例示意图；

图2为本发明实施例中安全策略实施方法的第二个实施例示意图；

图3为本发明实施例中安全策略实施方法的第三个实施例示意图；

图4为本发明实施例中安全策略实施方法的第四个实施例示意图；

图5为本发明实施例中安全策略实施装置的一个实施例示意图；

图6为本发明实施例中安全策略实施装置的另一个实施例示意图；

图7为本发明实施例中安全策略实施设备的一个实施例示意图。

具体实施方式

本发明的技术方案中，创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；若所述操作请求不合法，则拒绝所述操作请求。通过本方法能够将工作人员快速分配到执行了安全设置的虚拟机开展业务，同时，因为安全策略的集中管控，可以避免频繁入职、离职过程中带来的工作疏漏导致的安全事故，工作人员因为虚拟机及安全策略的设置，也无法通过技术手段修改客户信息，将该类安全隐患降到最低。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”或“具有”及其任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于理解，下面对本发明实施例的具体流程进行描述，请参阅图1，本发明实施例中安全策略实施方法的第一个实施例包括：

101、创建活动目录组，并在活动目录组中加入预先配置的组安全策略；

可以理解的是，本发明的执行主体可以为安全策略实施装置，还可以是终端或者服务器，具体此处不做限定。本发明实施例以服务器为执行主体为例进行说明。服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

在实际应用中，活动目录(AD，Active Directory)是面向Windows StandardServer、Windows Enterprise Server以及Windows Datacenter Server的目录服务，活动目录中的组可以用来将用户账户、计算机账户和其他组账户集中到可管理的单元中，使用组而不是单独的用户可以简化网络的维护和管理，活动目录中有两种组类型，包括通讯组和安全组，在本实施例中，主要用到的是安全组，使用安全组能够在组内共享资源并指派权限。

在本实施例中，以系统管理员身份登录域控制器，打开“Active Directory用户和计算机”窗口，并在左窗格中选中域名(如msserver.com.cn)。然后依次选择“操作”→“新建”→“组”菜单命令，打开“新建对象-组”对话框，在“组名”编辑框中输入所创建的组的名称(如JinshouzhiUsers)。然后在“组作用域”区域选中“全局”单选框，并在“组类型”区域选中“安全组”单选框。最后单击“确定”按钮即可创建活动目录组。

在实际应用中，组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境的多种设置，使用组策略可以给同组的计算机或者用户强加一套统一的标准，在本实施例中，当组策略主要用于保障系统安全时，则成为组安全策略。在本实施例中，组安全策略可以在用户登录时运行对应的脚本，或者是在虚拟机运行时运行对应的脚本。

102、获取用户信息，并基于用户信息为用户分配虚拟机，生成用户与对应的虚拟机的映射关系表；

在本实施例中，当有工作人员入职时，将为工作人员分配一个显示器及瘦终端，瘦终端指的是在客户端-服务器网络体系中的一个基本无需应用程序的计算哑终端。它通过一些协议和服务器通信，进而接入局域网。瘦终端将其鼠标、键盘等输入传送到服务器处理，服务器再把处理结果回传至瘦终端对应的显示器上显示。

在本实施例中，使用云计算技术将数据中心资源虚拟化，并根据不同配置规则生成虚拟机，并基于用户信息，将生成的虚拟机分配至对应的工作人员。工作人员使用瘦终端，通过远程访问协议连接虚拟机的专属桌面账户进行使用，完成相关工作。在本实施例中，由于工作人员存在入职和离职的情况，所以虚拟机和工作人员之间的映射关系存在变化，所以在后续过程中，每次获取用户信息进行虚拟机分配后，需要进行映射关系表的更新。

103、将虚拟机加入活动目录组中，并基于映射关系表，对活动目录组进行更新；

在本实施例中，在“Active Directory用户和计算机”窗口中选中Users容器，然后在右窗格中双击组名称，打开对话框。切换到“成员”选项卡，依次单击“添加”→“高级”→“立即查找”按钮。在用户列表中选中多个用户账户，并连续单击“确定”按钮完成组成员的添加，将对应虚拟机的账号加入至活动目录组中。

在本实施例中，由于工作人员存在入职和离职的情况，所以虚拟机和工作人员之间的映射关系存在变化，在将虚拟机加入至活动目录组后，可能在需要将活动目录组中的部分虚拟机进行删除，基于更新后的映射关系表，即可实现活动目录组的更新。

104、将更新后的活动目录组对应的组安全策略下发至对应的虚拟机；

在本实施例中，更新后的活动目录组内的虚拟机是当前状态的工作人员的虚拟机，解决了工作人员离职和入职易纰漏的问题。在本实施例中将，虚拟机基于获取的组安全策略进行相应的配置，确定注册表配置命令集中对应的配置指令，并就与配置指令修改虚拟机上相应的配置，例如修改虚拟机上的注册表，注册表是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等。

105、当活动目录组中的虚拟机发出操作请求时，基于组安全策略判断操作请求是否合法；

106、若操作请求不合法，则拒绝操作请求。

在本实施例中，工作人员在瘦终端上进行相应的操作，在进行部分操作时，发出操作请求，例如开启虚拟机上某个应用的设置选项，当发出操作请求时，组安全策略对操作请求进行检验，判断该操作请求是否为组安全策略限制的事项，例如禁止工作人员执行浏览器的开发者工具选项，当工作人员的瘦终端发出的操作请求是操作执行浏览器的开发者工具选项时，则拒绝该请求，当操作请求不是操作执行浏览器的开发者工具选项，则允许对应的虚拟机执行该项操作。

在本实施例中，通过创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；若所述操作请求不合法，则拒绝所述操作请求。通过本方法能够将工作人员快速分配到执行了安全设置的虚拟机开展业务，同时，因为安全策略的集中管控，可以避免频繁入职、离职过程中带来的工作疏漏导致的安全事故，工作人员因为虚拟机及安全策略的设置，也无法通过技术手段修改客户信息，将该类安全隐患降到最低。

请参阅图2，本发明实施例中安全策略实施方法的第二个实施例包括：

201、创建活动目录组，并在活动目录组中加入预先配置的组安全策略；

202、获取用户信息、待分配虚拟机的运行时间和待分配虚拟机的第二资源配置数据，其中用户信息包括用户对应的瘦终端的第一资源配置数据；

在本实施例中，当有工作人员入职时，将为工作人员分配一个显示器及瘦终端，各虚拟机的资源配置数据包括：至少一项资源指标，其中，资源指标具体可以选自CPU指标、内存指标和磁盘读写指标等。

203、根据运行时间对待分配虚拟机进行排序，得到虚拟机序列；

可以根据运行时间由长至短或由短至长的顺序来对各虚拟机进行排序，并生成虚拟机序列。此时，在该虚拟机序列中，运行时间相同或相近的虚拟机会排在一起。

204、基于第一资源配置数据和第二资源配置数据，计算瘦终端的资源利用率；

在本实施例中，瘦终端的资源利用率等于其自身各项资源指标利用率的乘积，资源指标利用率等于瘦终端所装载的所有虚拟机的该项资源指标之和与瘦终端的该项资源指标的比值。

具体地，当资源配置数据包括CPU指标、内存指标和磁盘读写指标时，瘦终端处于最优装机方案时资源利用率等于其自身的CPU指标利用率、内存指标利用率和磁盘读写指标利用率三者的乘积。

205、基于资源利用率和虚拟机序列，生成瘦终端的虚拟机分配方案；

在本实施例中，根据资源利用率从大到小的顺序，为瘦终端分配虚拟机，需要说明的是，当出现资源利用率相同且均为最大的至少两个瘦终端时，可以选择其中任意一个物理机作为优选物理机，基于虚拟机分配方案将待分配虚拟机分配至对应的用户的瘦终端。

206、基于虚拟机分配方案，将待分配虚拟机分配至对应的用户的瘦终端；

207、获取镜像文件，其中，镜像文件包括操作系统安装文件和应用程序安装文件；

208、通过镜像文件，在虚拟机中安装操作系统和应用程序，并生成用户和对应的虚拟机的映射关系表；

在本实施例中，分配虚拟机后需要对对应的瘦终端后，需要给虚拟机构建操作环境，通过获取镜像文件实现，镜像文件就是将特定的一系列文件按照一定的格式制作成单一的文件，以方便用户下载和使用，例如一个操作系统、游戏等，在本实施例中，镜像文件包括操作系统安装文件和客户端程序安装文件，接着通过镜像文件，为每个云服务器实例安装操作系统和客户端程序。其中，操作系统可以为Windows系列的操作系统。应用程序可以是工作人员需要进行办公的客户端，或者是浏览器。

209、将虚拟机加入活动目录组中，并基于映射关系表，对活动目录组进行更新；

210、将更新后的活动目录组对应的组安全策略下发至对应的虚拟机；

211、当活动目录组中的虚拟机发出操作请求时，基于组安全策略判断操作请求是否合法；

212、若操作请求不合法，则拒绝操作请求。

本实施例在上一实施例的基础上，详细描述了获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表的过程，通过获取用户信息、待分配虚拟机的运行时间和所述待分配虚拟机的第二资源配置数据；根据所述运行时间对所述待分配虚拟机进行排序，得到虚拟机序列；基于所述第一资源配置数据和所述第二资源配置数据，计算所述瘦终端的资源利用率；基于所述资源利用率和所述虚拟机序列，生成所述瘦终端的虚拟机分配方案；基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表。本实施例通过将待分配虚拟机的资源配置数据和用户瘦终端的资源配置数据进行匹配，基于两者计算的资源利用率进行虚拟机分配，可是最大程度利用虚拟机的资源数据，避免资源浪费。

请参阅图3，本发明实施例中安全策略实施方法的第三个实施例包括：

301、创建活动目录组，并在活动目录组中加入预先配置的组安全策略，组安全策略包括浏览器安全配置策略；

302、获取用户信息，并基于用户信息为用户分配虚拟机；

303、获取镜像文件，其中，镜像文件包括操作系统安装文件和应用程序安装文件；

304、通过镜像文件，在虚拟机中安装操作系统和应用程序，并生成用户和对应的虚拟机的映射关系表，其中，应用程序包括浏览器；

305、将虚拟机加入活动目录组中，并基于映射关系表，对活动目录组进行更新；

306、将更新后的活动目录组对应的组安全策略下发至对应的虚拟机；

307、基于浏览器安全配置策略，确定注册表配置命令集，浏览器安全配置策略包括禁止执行浏览器的开发者工具选项；

308、根据注册表配置命令集中的各注册表配置命令，修改虚拟机对应的系统注册表；

309、基于修改后的系统注册表，对虚拟机上的浏览器进行安全配置；

在实际应用中，组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境的多种设置，使用组策略可以给同组的计算机或者用户强加一套统一的标准，在本实施例中，当组策略主要用于保障系统安全时，则成为组安全策略，在本实施例中，以组安全策略是浏览器安全配置策略为例，在日常工作中，工作人员常在系统的前端页面进行对应的工作，前端页面运行在浏览器上，通过对浏览器进行部署配置，进而保证系统的安全性，针对浏览器的配置，可以基于修改电脑的注册表的方式进行，具体的，可以预先为浏览器中的每个配置项目设置一个注册表配置命令，并建立注册表配置命令与配置项目之间的对应关系，然后将注册表配置命令，以及注册表配置命令与配置项目之间的对应关系保存在该用于对浏览器进行配置的应用程序中，注册表配置命令集可以以程序脚本的形式存在，注册表配置命令集中的每个注册表配置命令为一条计算机指令，该计算机指令可以用于对操作系统中的系统注册表的名称和值进行调整从而实现对浏览器中的配置的修改。

310、当活动目录组中的虚拟机对应的瘦终端发出操作请求时，拦截操作请求；

在本实施例中，浏览器安全配置策略可以包括禁止执行浏览器的开发者工具选项，开发者工具能够帮助开发人员对网页进行布局，比如HTML+CSS，帮助前端工程师更好的调试脚本(JavaScript、jQuery)之类的，还可以使用工具查看网页加载过程，获取网页请求，通过浏览器的开发者工具，能够对浏览器中的前端页面上的信息进行修改。

311、判断操作请求是否为执行浏览器的开发者工具选项；

312、若操作请求不是执行浏览器的开发者工具选项，则将操作请求发送至对应的虚拟机进行对应操作；

在本实施例中，工作人员在瘦终端上进行相应的操作，在进行部分操作时，发出操作请求，例如开启虚拟机上某个应用的设置选项，当发出操作请求时，组安全策略对操作请求进行检验，判断该操作请求是否为调用浏览器的开发者工具选项，若否，则将所述操作请求发送至对应的虚拟机进行对应操作，若是，则拒绝所述操作请求。

313、若操作请求是执行浏览器的开发者工具选项，则确定操作请求为非法，并拒绝操作请求。

本实施例在前实施例的基础上，详细描述了在对虚拟机下发安全策略后，进行安全策略部署的过程，通过基于浏览器安全配置策略，确定注册表配置命令集；根据注册表配置命令集中的各注册表配置命令，修改虚拟机对应的系统注册表；基于修改后的系统注册表，对虚拟机上的浏览器进行安全配置。本实施例中，通过对虚拟机中的浏览器进行安全策略部署，工作人员因为虚拟机及安全策略的设置，也无法通过技术手段修改客户信息，将该类安全隐患降到最低。

请参阅图4，本发明实施例中安全策略实施方法的第四个实施例包括：

401、创建活动目录组，并在活动目录组中加入预先配置的组安全策略；

402、获取用户信息，并基于用户信息为用户分配虚拟机，生成用户与对应的虚拟机的映射关系表；

403、获取目标脚本，并将目标脚本存储在存储服务器中，其中，目标脚本包括活动目录程序的安装文件；

404、调用预设的数据接口，通过数据接口，向对应的虚拟机发送控制指令，以使得虚拟机基于控制指令从存储服务器中获取并运行目标脚本；

405、当目标脚本运行成功时，则确定虚拟机加入活动目录组中；

406、基于映射关系表，对活动目录组进行更新；

407、将更新后的活动目录组对应的组安全策略下发至对应的虚拟机；

408、当活动目录组中的虚拟机发出操作请求时，基于组安全策略判断操作请求是否合法；

409、若操作请求不合法，则拒绝操作请求；

410、扫描活动目录中的所有虚拟机并获取活动目录中的所有虚拟机的最后登录时间；

411、判断是否存在虚拟机对应的最后登录时间大于预设的时间阈值；

412、若是，则从活动目录中删除最后登录时间大于预设的时间阈值对应的虚拟机。

本实施例在前实施例的基础上，详细描述了将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新的过程，通过获取目标脚本，并将所述目标脚本存储在存储服务器中，其中，所述目标脚本包括活动目录程序的安装文件；调用预设的数据接口，通过所述数据接口，向对应的虚拟机发送控制指令，以使得所述虚拟机基于所述控制指令从所述存储服务器中获取并运行所述目标脚本；当所述目标脚本运行成功时，则确定所述虚拟机加入所述活动目录组中；基于所述映射关系表，对所述活动目录组进行更新。本方法通过述映射关系表，对所述活动目录组进行实时更新，保证安全策略的集中部署，避免遗漏。

上面对本发明实施例中安全策略实施方法进行了描述，下面对本发明实施例中安全策略实施装置进行描述，请参阅图5，本发明实施例中安全策略实施装置一个实施例包括：

目录创建模块501，用于创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；

分配模块502，用于获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；

目录更新模块503，用于将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；

策略下发模块504，用于将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；

判断模块505，用于当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；

操作拒绝模块506，用于当所述操作请求不合法时，拒绝所述操作请求。

本发明实施例中，所述安全策略实施装置运行上述安全策略实施方法，所述安全策略实施装置通过创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；若所述操作请求不合法，则拒绝所述操作请求。通过本方法能够将工作人员快速分配到执行了安全设置的虚拟机开展业务，同时，因为安全策略的集中管控，可以避免频繁入职、离职过程中带来的工作疏漏导致的安全事故，工作人员因为虚拟机及安全策略的设置，也无法通过技术手段修改客户信息，将该类安全隐患降到最低。

请参阅图6，本发明实施例中安全策略实施装置的第二个实施例包括：

目录创建模块501，用于创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；

分配模块502，用于获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；

目录更新模块503，用于将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；

策略下发模块504，用于将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；

判断模块505，用于当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；

操作拒绝模块506，用于当所述操作请求不合法时，拒绝所述操作请求。

在本实施例中，所述用户信息包括所述用户对应的瘦终端的第一资源配置数据，所述分配模块502具体包括：信息获取单元5021，用于获取用户信息、待分配虚拟机的运行时间和所述待分配虚拟机的第二资源配置数据；排序单元5022，用于根据所述运行时间对所述待分配虚拟机进行排序，得到虚拟机序列；计算单元5023，用于基于所述第一资源配置数据和所述第二资源配置数据，计算所述瘦终端的资源利用率；分配方案生成单元5024，用于基于所述资源利用率和所述虚拟机序列，生成所述瘦终端的虚拟机分配方案；虚拟机分配单元5025，用于基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表。

在本实施例中，所述虚拟机分配单元5025具体用于：基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端；获取镜像文件，其中，所述镜像文件包括操作系统安装文件和应用程序安装文件；通过所述镜像文件，在所述虚拟机中安装操作系统和应用程序，并生成用户和对应的虚拟机的映射关系表。

在本实施例中，所述目录更新模块503具体用于：获取目标脚本，并将所述目标脚本存储在存储服务器中，其中，所述目标脚本包括活动目录程序的安装文件；调用预设的数据接口，通过所述数据接口，向对应的虚拟机发送控制指令，以使得所述虚拟机基于所述控制指令从所述存储服务器中获取并运行所述目标脚本；当所述目标脚本运行成功时，则确定所述虚拟机加入所述活动目录组中；基于所述映射关系表，对所述活动目录组进行更新。

在本实施例中，所述应用程序包括浏览器，所述组安全策略包括浏览器安全配置策略，所述安全策略实施装置还包括浏览器配置模块507，所述浏览器配置模块507具体用于：基于所述浏览器安全配置策略，确定注册表配置命令集；根据所述注册表配置命令集中的各注册表配置命令，修改所述虚拟机对应的系统注册表；基于修改后的系统注册表，对所述虚拟机上的浏览器进行安全配置。

在本实施例中，所述浏览器安全配置策略包括禁止执行浏览器的开发者工具选项，所述判断模块505具体用于：当所述活动目录组中的虚拟机对应的瘦终端发出操作请求时，拦截所述操作请求；判断所述操作请求是否为执行浏览器的开发者工具选项；若所述操作请求不是执行浏览器的开发者工具选项，则将所述操作请求发送至对应的虚拟机进行对应操作；若所述操作请求是执行浏览器的开发者工具选项，则确定所述操作请求为非法。

在本实施例中，所述安全策略实施装置还包括虚拟机删除模块508，所述虚拟机删除模块508具体用于：扫描所述活动目录中的所有虚拟机并获取活动目录中的所有虚拟机的最后登录时间；判断是否存在虚拟机对应的最后登录时间大于预设的时间阈值；若是，则从所述活动目录中删除最后登录时间大于预设的时间阈值对应的虚拟机。

本实施例在上一实施例的基础上，详细描述了各个模块的具体功能以及部分模块的单元构成，通过安全策略的集中管控，可以避免入职、离职带来的工作疏漏导致的安全事故，同时，工作人员因为虚拟机及安全策略的设置，无法通过技术手段修改客户信息，同时通过新增的模块，例如虚拟机删除模块，能够对限制的虚拟机进行删除，释放占用的资源，避免资源浪费。

上面图5和图6从模块化功能实体的角度对本发明实施例中的中安全策略实施装置进行详细描述，下面从硬件处理的角度对本发明实施例中安全策略实施设备进行详细描述。

图7是本发明实施例提供的一种安全策略实施设备的结构示意图，该安全策略实施设备700可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，CPU)710(例如，一个或一个以上处理器)和存储器720，一个或一个以上存储应用程序733或数据732的存储介质730(例如一个或一个以上海量存储设备)。其中，存储器720和存储介质730可以是短暂存储或持久存储。存储在存储介质730的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对安全策略实施设备700中的一系列指令操作。更进一步地，处理器710可以设置为与存储介质730通信，在安全策略实施设备700上执行存储介质730中的一系列指令操作，以实现上述安全策略实施方法的步骤。

安全策略实施设备700还可以包括一个或一个以上电源740，一个或一个以上有线或无线网络接口750，一个或一个以上输入输出接口760，和/或，一个或一个以上操作系统731，例如Windows Serve，Mac OS X，Unix，Linux，FreeBSD等等。本领域技术人员可以理解，图7示出的安全策略实施设备结构并不构成对本申请提供的安全策略实施设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

本发明还提供一种计算机可读存储介质，该计算机可读存储介质可以为非易失性计算机可读存储介质，该计算机可读存储介质也可以为易失性计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，使得计算机执行所述安全策略实施方法的步骤。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统或装置、单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种安全策略实施方法，其特征在于，所述安全策略实施方法包括：

创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；

获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；

将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；

将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；

当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；

若所述操作请求不合法，则拒绝所述操作请求。

2.根据权利要求1所述的安全策略实施方法，其特征在于，所述用户信息包括所述用户对应的瘦终端的第一资源配置数据，所述获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表包括：

获取用户信息、待分配虚拟机的运行时间和所述待分配虚拟机的第二资源配置数据；

根据所述运行时间对所述待分配虚拟机进行排序，得到虚拟机序列；

基于所述第一资源配置数据和所述第二资源配置数据，计算所述瘦终端的资源利用率；

基于所述资源利用率和所述虚拟机序列，生成所述瘦终端的虚拟机分配方案；

基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表。

3.根据权利要求2所述的安全策略实施方法，其特征在于，所述基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端，并生成用户和对应的虚拟机的映射关系表包括：

基于所述虚拟机分配方案，将所述待分配虚拟机分配至对应的用户的瘦终端；

获取镜像文件，其中，所述镜像文件包括操作系统安装文件和应用程序安装文件；

通过所述镜像文件，在所述虚拟机中安装操作系统和应用程序，并生成用户和对应的虚拟机的映射关系表。

4.根据权利要求3所述的安全策略实施方法，其特征在于，所述将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新包括：

获取目标脚本，并将所述目标脚本存储在存储服务器中，其中，所述目标脚本包括活动目录程序的安装文件；

调用预设的数据接口，通过所述数据接口，向对应的虚拟机发送控制指令，以使得所述虚拟机基于所述控制指令从所述存储服务器中获取并运行所述目标脚本；

当所述目标脚本运行成功时，则确定所述虚拟机加入所述活动目录组中；

基于所述映射关系表，对所述活动目录组进行更新。

5.根据权利要求3所述的安全策略实施方法，其特征在于，所述应用程序包括浏览器，所述组安全策略包括浏览器安全配置策略，在所述将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机之后，还包括：

基于所述浏览器安全配置策略，确定注册表配置命令集；

根据所述注册表配置命令集中的各注册表配置命令，修改所述虚拟机对应的系统注册表；

基于修改后的系统注册表，对所述虚拟机上的浏览器进行安全配置。

6.根据权利要求5所述的安全策略实施方法，其特征在于，所述浏览器安全配置策略包括禁止执行浏览器的开发者工具选项，所述当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法包括：

当所述活动目录组中的虚拟机对应的瘦终端发出操作请求时，拦截所述操作请求；

判断所述操作请求是否为执行浏览器的开发者工具选项；

若所述操作请求不是执行浏览器的开发者工具选项，则将所述操作请求发送至对应的虚拟机进行对应操作；

若所述操作请求是执行浏览器的开发者工具选项，则确定所述操作请求为非法。

7.根据权利要求1-6中任一项所述的安全策略实施方法，其特征在于，在所述拒绝所述操作请求之后，还包括：

扫描所述活动目录中的所有虚拟机并获取活动目录中的所有虚拟机的最后登录时间；

判断是否存在虚拟机对应的最后登录时间大于预设的时间阈值；

若是，则从所述活动目录中删除最后登录时间大于预设的时间阈值对应的虚拟机。

8.一种安全策略实施装置，其特征在于，所述安全策略实施装置包括：

目录创建模块，用于创建活动目录组，并在所述活动目录组中加入预先配置的组安全策略；

分配模块，用于获取用户信息，并基于所述用户信息为用户分配虚拟机，生成所述用户与对应的虚拟机的映射关系表；

目录更新模块，用于将所述虚拟机加入所述活动目录组中，并基于所述映射关系表，对所述活动目录组进行更新；

策略下发模块，用于将更新后的所述活动目录组对应的组安全策略下发至对应的虚拟机；

判断模块，用于当所述活动目录组中的虚拟机发出操作请求时，基于所述组安全策略判断所述操作请求是否合法；

操作拒绝模块，用于当所述操作请求不合法时，拒绝所述操作请求。

9.一种安全策略实施设备，其特征在于，所述安全策略实施设备包括：存储器和至少一个处理器，所述存储器中存储有指令，所述存储器和所述至少一个处理器通过线路互连；

所述至少一个处理器调用所述存储器中的所述指令，以使得所述安全策略实施设备执行如权利要求1-7任一项所述的安全策略实施方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的安全策略实施方法的步骤。

Images