[发明专利]一种安全策略管理方法、装置、设备及机器可读存储介质

说明书

本公开提供一种安全策略管理方法、装置、设备及机器可读存储介质，该方法包括：获取当前配置的安全策略，为安全策略配置可信度等级；接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略；以匹配的安全策略对所述报文流量执行安全管理动作。通过本公开的技术方案，为各安全策略配置相应的可信度等级，在接收到报文流量后，获取关联于报文流量的可信度等级，匹配并启用且只启用可信度等级匹配的安全策略，因报文流量的可信度等级是根据网络环境可变的，从而实现根据网络风险和不同的对象，动态调整安全策略。

技术领域

本公开涉及通信技术领域，尤其是涉及一种安全策略管理方法、装置、设备及机器可读存储介质。

背景技术

FW(FireWall，防火墙)作为一种网络安全设备，一般都可以通过配置访问控制策略来达到控制经过FW转发的报文。例如当前主流厂商的FW上的安全策略。安全策略是部署在FW设备上的一种策略，该策略根据报文的属性信息对报文进行转发控制。安全策略对报文的控制是通过安全策略规则实现的，规则中可以设置匹配报文的过滤条件，处理报文的动作和对报文内容进行深度检测等功能。每条规则中均可以配置多种过滤条件，具体包括：源安全域、目的安全域、源IP地址、目的IP地址、用户、应用、服务。每种过滤条件均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等。

安全策略对报文的处理过程包括：

识别出报文的属性信息，然后将这些属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系，即报文与某一个过滤条件中的任意一项匹配成功，则报文与此条过滤条件匹配成功；若报文与某一个过滤条件中的所有项都匹配失败，则报文与此条过滤条件匹配失败。

若报文与某条规则中已配置的所有过滤条件都匹配成功，则报文与此条规则匹配成功。若有一个过滤条件不匹配，则报文与此条规则匹配失败，报文继续匹配下一条规则。以此类推，直到最后一条规则，若报文还未与规则匹配成功，则设备会丢弃此报文。

若报文与某条规则匹配成功，则结束此匹配过程，并对此报文执行规则中配置的动作。若规则的动作为“丢弃”，则设备会丢弃此报文；若规则的动作为“允许”，则允许此报文通过。

但这种技术方案安全策略预先固化配置，无法根据网络风险动态调整策略。

发明内容

有鉴于此，本公开提供一种安全策略管理方法、装置及电子设备、机器可读存储介质，以改善上述无法根据网络风险动态调整策略的问题。

具体地技术方案如下：

本公开提供了一种安全策略管理方法，应用于安全管理设备，所述方法包括：获取当前配置的安全策略，为安全策略配置可信度等级；接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略；以匹配的安全策略对所述报文流量执行安全管理动作。

作为一种技术方案，所述获取当前配置的安全策略，为安全策略配置可信度等级，包括：为一条安全策略配置至少一个的可信度等级；和/或，为一条安全策略配置的可信度等级为大于等于目标可信度；和/或，为一条安全策略配置的可信度等级为小于等于目标可信度。

作为一种技术方案，所述接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略，包括：接收报文流量；接收可信度系统推送的关联于所述报文流量的可信度信息，和/或，向可信度系统请求并获取关联于所述报文流量的可信度信息；根据可信度信息获取报文流量的可信度等级，匹配对应的安全策略。

作为一种技术方案，所述接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略，包括：获取报文流量关联的用户的可信度等级；保存报文流量关联的可信度等级与用户的对应关系；周期性刷新用户对应的可信度等级。