本公开提供一种安全策略管理方法、装置、设备及机器可读存储介质,该方法包括:获取当前配置的安全策略,为安全策略配置可信度等级;接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略;以匹配的安全策略对所述报文流量执行安全管理动作。通过本公开的技术方案,为各安全策略配置相应的可信度等级,在接收到报文流量后,获取关联于报文流量的可信度等级,匹配并启用且只启用可信度等级匹配的安全策略,因报文流量的可信度等级是根据网络环境可变的,从而实现根据网络风险和不同的对象,动态调整安全策略。
A security policy management method, device, device and machine-readable storage medium
【技术实现步骤摘要】
一种安全策略管理方法、装置、设备及机器可读存储介质
本公开涉及通信
,尤其是涉及一种安全策略管理方法、装置、设备及机器可读存储介质。
技术介绍
FW(FireWall,防火墙)作为一种网络安全设备,一般都可以通过配置访问控制策略来达到控制经过FW转发的报文。例如当前主流厂商的FW上的安全策略。安全策略是部署在FW设备上的一种策略,该策略根据报文的属性信息对报文进行转发控制。安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对报文内容进行深度检测等功能。每条规则中均可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、应用、服务。每种过滤条件均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等。安全策略对报文的处理过程包括:识别出报文的属性信息,然后将这些属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。若报文与某条规则中已配置的所有过滤条件都匹配成功,则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。若规则的动作为“丢弃”,则设备会丢弃此报文;若规则的动作为“允许”,则允许此报文通过。但这种技术方案安全策略预先固化配置,无法根据网络风险动态调整策略。
技术实现思路
有鉴于此,本公开提供一种安全策略管理方法、装置及电子设备、机器可读存储介质,以改善上述无法根据网络风险动态调整策略的问题。具体地技术方案如下:本公开提供了一种安全策略管理方法,应用于安全管理设备,所述方法包括:获取当前配置的安全策略,为安全策略配置可信度等级;接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略;以匹配的安全策略对所述报文流量执行安全管理动作。作为一种技术方案,所述获取当前配置的安全策略,为安全策略配置可信度等级,包括:为一条安全策略配置至少一个的可信度等级;和/或,为一条安全策略配置的可信度等级为大于等于目标可信度;和/或,为一条安全策略配置的可信度等级为小于等于目标可信度。作为一种技术方案,所述接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略,包括:接收报文流量;接收可信度系统推送的关联于所述报文流量的可信度信息,和/或,向可信度系统请求并获取关联于所述报文流量的可信度信息;根据可信度信息获取报文流量的可信度等级,匹配对应的安全策略。作为一种技术方案,所述接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略,包括:获取报文流量关联的用户的可信度等级;保存报文流量关联的可信度等级与用户的对应关系;周期性刷新用户对应的可信度等级。本公开同时提供了一种安全策略管理装置,应用于安全管理设备,所述装置包括:配置模块,用于获取当前配置的安全策略,为安全策略配置可信度等级;匹配模块,用于接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略;管理模块,用于以匹配的安全策略对所述报文流量执行安全管理动作。作为一种技术方案,所述获取当前配置的安全策略,为安全策略配置可信度等级,包括:为一条安全策略配置至少一个的可信度等级;和/或,为一条安全策略配置的可信度等级为大于等于目标可信度;和/或,为一条安全策略配置的可信度等级为小于等于目标可信度。作为一种技术方案,所述接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略,包括:接收报文流量;接收可信度系统推送的关联于所述报文流量的可信度信息,和/或,向可信度系统请求并获取关联于所述报文流量的可信度信息;根据可信度信息获取报文流量的可信度等级,匹配对应的安全策略。作为一种技术方案,所述接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略,包括:获取报文流量关联的用户的可信度等级;保存报文流量关联的可信度等级与用户的对应关系;周期性刷新用户对应的可信度等级。本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的安全策略管理方法。本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的安全策略管理方法。本公开提供的上述技术方案至少带来了以下有益效果:为各安全策略配置相应的可信度等级,在接收到报文流量后,获取关联于报文流量的可信度等级,匹配并启用且只启用可信度等级匹配的安全策略,因报文流量的可信度等级是根据网络环境可变的,从而实现根据网络风险和不同的对象,动态调整安全策略。附图说明为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。图1是本公开一种实施方式中的安全策略管理方法的流程图;图2是本公开一种实施方式中的安全策略管理装置的结构图;图3是本公开一种实施方式中的电子设备的硬件结构图。具体实施方式在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本公开提供一种安全策略管理方法、装置及电子设备、机器可读存储介质,以改善上述技术问题的问题。具体地技术方案如后述。在一种实施方式中,本公开提供了一种安全策略管理方法,应用于安全管理设备,所述方法包括:获取当前配置的安全策略,为安全策略配置可信度等级;接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略;以匹配的安全策略对所述报文流量执行安全管理动作。具体地,如图1,包括以下步骤:步骤S11,获取当前配本文档来自技高网...
【技术保护点】
1.一种安全策略管理方法,其特征在于,应用于安全管理设备,所述方法包括:/n获取当前配置的安全策略,为安全策略配置可信度等级;/n接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略;/n以匹配的安全策略对所述报文流量执行安全管理动作。/n
【技术特征摘要】
1.一种安全策略管理方法,其特征在于,应用于安全管理设备,所述方法包括:
获取当前配置的安全策略,为安全策略配置可信度等级;
接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略;
以匹配的安全策略对所述报文流量执行安全管理动作。
2.根据权利要求1所述的方法,其特征在于,所述获取当前配置的安全策略,为安全策略配置可信度等级,包括:
为一条安全策略配置至少一个的可信度等级;
和/或,为一条安全策略配置的可信度等级为大于等于目标可信度;
和/或,为一条安全策略配置的可信度等级为小于等于目标可信度。
3.根据权利要求1所述的方法,其特征在于,所述接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略,包括:
接收报文流量;
接收可信度系统推送的关联于所述报文流量的可信度信息,和/或,向可信度系统请求并获取关联于所述报文流量的可信度信息;
根据可信度信息获取报文流量的可信度等级,匹配对应的安全策略。
4.根据权利要求1所述的方法,其特征在于,所述接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策略,包括:
获取报文流量关联的用户的可信度等级;
保存报文流量关联的可信度等级与用户的对应关系;
周期性刷新用户对应的可信度等级。
5.一种安全策略管理装置,其特征在于,应用于安全管理设备,所述装置包括:
配置模块,用于获取当前配置的安全策略,为安全策略配置可信度等级;
匹配模块,用于接收报文流量,根据报文流量关联的可信度等级,匹配对应的安全策...
【专利技术属性】
技术研发人员:赵文鹏,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。