[发明专利]终端防护策略配置方法及装置

说明书

本发明涉及网络安全技术领域，具体公开了一种终端防护策略配置方法，其中，包括：分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项；根据每项防护策略项设置当前终端主机对应的组织结构层级关系的策略，当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略；根据预设策略合并规则合并当前终端主机对应的组织机构的策略、组织单元的策略和终端主机的策略，得到合并策略；将合并策略配置到当前终端主机，得到当前终端主机的终端防护策略。本发明还公开了一种终端防护策略配置装置。本发明提供的终端防护策略配置方法配置灵活，能够实现对终端主机的有效防御。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种终端防护策略配置方法及一种终端防护策略配置装置。

背景技术

用户在体验互联网带来的各种便利和资源共享的同时也面临着网络威胁，如病毒、木马、勒索、黑客、甚至是成体制或专业团队的有计划和大规模攻击。从国家政治安全，企业生存安全，个人私、财产安全，网络安全越来越重要，受到空前的重视，但网络威胁也一直在不断变化，给安全带来很大挑战。有时候即使发现了威胁的存在，却没有解决办法。

站在防御的角度看，安全永远是防御不足，作为个体或一些企业，终端安全绝对不能忽视，终端渗透成功，就突破了外围防线，内网就被暴露。

因此，如何能够从终端主机上对攻击进行阻断成为本领域技术人员亟待解决的技术问题。

发明内容

本发明提供了一种终端防护策略配置方法及一种终端防护策略配置装置，解决相关技术中存在的终端主机防护的问题。

作为本发明的第一个方面，提供一种终端防护策略配置方法，其中，包括：

分别获取当前终端主机所属的组织结构层级关系以及待配置的至少一项防护策略项，所述组织结构层级关系包括组织机构、组织单元和终端主机，所述组织机构包括至少一个组织单元，每个所述组织单元包括至少一个终端主机，每个所述终端主机对应唯一的组织结构层级关系；

根据每项所述防护策略项设置当前终端主机对应的组织结构层级关系的策略，所述当前终端主机对应的组织结构层级关系的策略包括组织机构的策略、组织单元的策略和终端主机的策略；

根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略，得到合并策略；

将所述合并策略配置到当前终端主机，得到当前终端主机的终端防护策略。

进一步地，所述预设策略合并规则包括：根据组织机构和组织单元的标志状态定义的策略合并方式，其中所述标志状态包括无标志、应用标志和强制标志，所述应用标志的优先级大于所述无标志的优先级，所述强制标志的优先级大于所述应用标志的优先级。

进一步地，所述无标志表示在设置的当前值不同于默认值时，当前值将作为终端主机策略的默认值，且终端主机能够对该设置进行修改；

所述应用标志表示具有该标志的设置被应用到终端主机，且该设置在策略合并时能够被之后的策略覆盖；

所述强制标志表示在策略合并时不会被之后的策略覆盖。

进一步地，所述根据预设策略合并规则合并当前终端主机对应的所述组织机构的策略、组织单元的策略和终端主机的策略，得到合并策略，包括：

当所述组织机构的标志状态为无标志，且所述组织单元的标志状态为应用标志或强制标志时，当前终端主机上的合并策略均为继承所述组织单元的策略；

当所述组织机构的标志状态为应用标志，且所述组织单元的标志状态为应用标志或强制标志时，当前终端主机上的合并策略均为继承所述组织单元的策略；