[发明专利]一种策略的集中管理方法及集中管理设备

说明书

技术领域

本发明涉及策略管理技术领域，特别涉及一种策略的集中管理方法及集中管理设备。

背景技术

随着计算机网络技术的飞速发展，网络中部署的安全产品越来越多。为了保证网络中的安全性能，需要为网络中所包括的各个设备配置并下发安全策略。

现有的策略管理方法是由管理端的审计管理设备、超级管理设备和安全管理设备分别为网络中所包括的每一台设备逐个配置相应的策略，并将配置的安全策略下发给相应设备，且不同的管理端存储其下发的策略。

由于计算机网络中所包括的设备越来越多，在为每一个设备配置并下发安全策略时，耗费的资源量较大，配置下发的效率较低。

发明内容

有鉴于此，本发明提供一种策略的集中管理方法及集中管理设备，以提高策略配置下发的效率。

第一方面，本发明提供了一种策略的集中管理方法，应用于集中管理设备，所述集中管理设备预先创建包括有多条策略的策略库；还包括：

将计算机网络中的多个客户端进行分组；

根据策略库中包括的多条策略，为属于同一个分组的客户端分配相应的策略；

将分配完成的各个策略分别下发给相应的客户端。

优选地，

所述将计算机网络中的多个客户端进行分组，包括：按照客户端属性，将计算机网络中具有相同属性的客户端分成同一组；

或，

所述将计算机网络中的多个客户端进行分组，包括：按照客户端所属的主机标识，将计算机网络中所属于同一主机的客户端分成同一组。

优选地，

所述策略库中的每一条策略包括至少一个规则组；

所述规则组包括为所需保护的对象分别配置的相应安全规则；

其中，每一个规则组包括至少一类如下规则：安全标记规则、文件保护规则、进程保护规则、注册表保护规则和信任列表保护规则。

优选地，

进一步包括：预先创建策略判决消息队列和各个客户端对应的客户端消息队列；以及预先创建用于监控策略判决消息队列的策略判决线程；

所述将分配完成的各个策略分别下发给相应的客户端，包括：

将分配完成的各个策略发送至策略判决消息队列中，策略判决线程对下发到所述策略判决消息队列中的各个策略分别执行策略判决处理，根据判决结果确定各个策略所属的客户端标识；

根据确定的客户端标识，将各个策略下发至相应客户端所对应的客户端消息队列中，以使相应客户端在监控到与其对应的客户端消息队列中包括策略时，将与其对应的客户端消息队列中的策略取出进行存储。

优选地，

在所述将分配完成的各个策略分别下发给相应的客户端之前，进一步包括：将各个策略的数据结构转换为HashMap数据结构，其中，转换成的HashMap数据结构包括：用于表征客户端的标识的关键字key和用于表征策略内容的字段value；

所述对下发到所述策略判决消息队列中的各个策略分别执行策略判决处理，根据判决结果确定各个策略所属的客户端标识包括：根据下发到所述策略判决消息队列中的每一个策略所对应的关键字key确定相应策略所属的客户端标识。

优选地，

进一步包括：预先创建客户端响应队列；

进一步包括：在监控到客户端响应队列中包括响应消息时，解析出该响应消息中所包括的客户端标识和对应的目标策略，并判断所述目标策略是否需要同步，若需要同步，则根据该响应消息中包括的客户端标识所对应客户端所属的目标分组，将该所述目标策略下发至所述目标分组中其他客户端分别对应的客户端消息队列中，以将所述目标策略同步至所述目标分组中的其他客户端。

第二方面，本发明还提供了一种集中管理设备，包括：

创建单元，用于创建包括有多条策略的策略库；

划分单元，用于将计算机网络中的多个客户端进行分组；

分配单元，用于根据策略库中包括的多条策略，为属于同一个分组的客户端分配相应的目标策略；

下发单元，用于将分配完成的各个策略分别下发给相应的客户端。

优选地，

所述创建单元，进一步用于创建策略判决消息队列和各个客户端对应的客户端消息队列；以及预先创建用于监控策略判决消息队列的策略判决线程；