一种基于资产清单的策略确定方法、装置及介质与流程

本发明涉及计算机，特别是涉及一种基于资产清单的策略确定方法、装置及介质。

背景技术：

1、现有的主机安全软件一般包括文件访问控制和网络防火墙访问控制，需要管理中心进行策略配置，以生成文件访问控制策略和网络防火墙访问控制策略。

2、在主机环境中会通过在主机上安装代理软件(agent)以便于管理中心向各主机下发控制策略。当前，为了可以覆盖较多的主机，会将所有的控制策略批量下发配置，即将所有的网络端口、可执行程序以及用户等下发控制，导致各个主机中的无效策略，如，本想针对主机1中的端口a下发，结果针对端口b下发的策略也下发至端口a，导致主机1中的端口a中存在无关策略。另外，在每次下发策略匹配过程中浪费较多时间才可以在下发的多个策略到找到实际真正需要的策略。目前的主机环境会对资产信息进行定时清点，但是对于策略却无法修改更新，导致主机安全软件的策略配置的可靠性降低。

3、因此，如何提高主机安全软件的策略配置的可靠性以及下发对主机有关的资产策略，是本领域技术人员亟需要解决的。

技术实现思路

1、本发明的目的是提供一种基于资产清单的策略确定方法、装置及介质，以解决当前下发策略给主机无关策略以及策略匹配过程中浪费较多时间，策略无法修改更新导致策略配置可靠性较低的技术问题。

2、为解决上述技术问题，本发明提供一种基于资产清单的策略确定方法，应用于云服务器，包括：

3、接收由各主机代理程序发送的当前资产信息，并根据所述当前资产信息确定对应的目标信息类型，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；

4、根据所述目标信息类型确定目标策略的策略信息，其中，所述目标策略为文件访问控制策略或网络访问控制策略；

5、根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机。

6、一方面，所述根据所述当前资产信息确定对应的目标信息类型，包括：

7、获取所述当前资产信息的数据格式信息；

8、根据所述数据格式信息的类型信息确定所述目标信息类型。

9、另一方面，在所述目标信息类型为所述全量上报类型时，所述根据所述目标信息类型确定目标策略的策略信息，包括：

10、获取所述当前资产信息的所述数据格式信息的配置信息，其中，所述配置信息为端口、用户和程序的一种或者多种；

11、根据所述配置信息和所述全量上报类型删除原有的所述配置信息所属的资产信息以进行更新保存；

12、将所述配置信息所属的控制策略进行全量遍历以确定所述目标策略的策略信息。

13、另一方面，在所述目标信息类型为所述新增类型或所述删除类型时，所述根据所述目标信息类型确定目标策略的策略信息，包括：

14、获取所述当前资产信息的所述配置信息对应的端口代理程序；

15、根据所述端口代理程序查询端口配置信息所属的控制策略是否存在入站目的端口为所述当前资产信息的规则；

16、如果存在，则将所述控制策略确定为所述网络访问控制策略。

17、另一方面，所述将所述配置信息所属的控制策略进行全量遍历以确定所述目标策略的策略信息，包括：

18、在所述配置信息为端口类型时，将所述端口类型所属的所述网络访问控制策略进行遍历以遍历出所有入站目的端口在端口代理程序的规则；

19、将所述端口代理程序的规则作为所述网络访问控制策略的策略信息；

20、在所述配置信息为用户和程序类型时，判断所述用户和程序类型分别对应的主机的用户和程序类型是否相同；

21、若所述用户和程序类型分别对应的主机的用户和程序类型全部相同，则获取所述当前资产信息的所述配置信息对应的账号信息；

22、根据所述账号信息确定所述文件访问控制策略的变化信息；

23、更新所述账号信息对应的账号代理程序；

24、根据所述账号代理程序查询账号配置信息所属的所述文件访问控制策略是否存在应用代理程序；

25、如果存在，则将所述文件访问控制策略确定为所述目标策略；

26、如果不存在，则所述文件访问控制策略不为所述目标策略；

27、若所述用户和程序类型分别对应的主机的用户和程序类型不全部相同，则不做处理；

28、若所述用户和程序类型分别对应的主机的用户和程序类型均不相同，则不做处理。

29、另一方面，在所述目标策略为所述文件访问控制策略时，所述根据所述目标策略的策略信息遍历各所述主机存储的资产清单，包括：

30、根据所述目标策略的策略信息遍历各所述主机对应的账号信息和应用程序信息；

31、若存在主机内的账号代理程序包含所述账号信息且所述主机内的应用代理程序包含所述应用程序信息，则确定所述文件访问控制策略对所述主机生效，且所述主机为所述目标主机。

32、另一方面，所述将所述目标策略下发至所述目标主机，包括：

33、通过数据格式将所述目标策略下发至所述目标主机，其中，所述数据格式的第一个数据表示所述目标信息类型，第二个数据表示配置信息，第三个数据表示控制策略，第四个数据表示所述控制策略的匹配规则。

34、另一方面，在所述接收由各主机代理程序发送的当前资产信息之后，还包括：

35、根据资产清单的各配置信息进行分类以确定主机对应的记录范围；

36、将所述记录范围作为存储规则；

37、预先根据所述存储规则在数据库内划分对应的存储区域；

38、根据所述存储规则将所述当前资产信息存储至对应的存储区域内。

39、为解决上述技术问题，本发明还提供一种基于资产清单的策略确定方法，应用于主机，包括：

40、获取当前资产信息；

41、将所述当前资产信息通过主机代理程序发送至云服务器，以便于所述云服务器根据所述当前资产信息确定对应的目标信息类型，根据所述目标信息类型确定目标策略的策略信息，根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；所述目标策略为文件访问控制策略或网络访问控制策略；

42、接收下发的所述目标策略完成策略匹配。

43、另一方面，所述获取当前资产信息，包括：

44、通过内核技术，并基于主机系统的接口获取所述主机系统的当前时间的资产信息和上一个时间的资产信息；

45、将所述当前时间的资产信息和所述上一个时间的资产信息进行比较以确定所述当前时间的资产信息相对于所述上一个时间的资产信息的修改信息；

46、将所述修改信息和所述当前时间的资产信息作为所述当前资产信息。

47、另一方面，在所述接收下发的所述目标策略之后，还包括：

48、预先建立所述文件访问控制策略和所述网络访问控制策略对应的内存区域；

49、在接收到所述目标策略时，确定所述目标策略的策略类型，其中，所述策略类型为文件访问控制策略类型和网络访问控制策略类型，所述策略类型与对应的内存区域呈映射关系；

50、将所述目标策略进行数组形式处理得到处理后的所述目标策略；

51、根据确定的所述目标策略的策略类型和对应的内存区域之间的映射关系对处理后的所述目标策略进行存储。

52、为解决上述技术问题，本发明还提供一种基于资产清单的策略确定装置，应用于云服务器，包括：

53、第一接收模块，用于接收由各主机代理程序发送的当前资产信息，并根据所述当前资产信息确定对应的目标信息类型，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；

54、第一确定模块，用于根据所述目标信息类型确定目标策略的策略信息，其中，所述目标策略为文件访问控制策略或网络访问控制策略；

55、遍历模块，用于根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机。

56、为解决上述技术问题，本发明还提供一种基于资产清单的策略确定装置，应用于主机，包括：

57、获取模块，用于获取当前资产信息；

58、发送模块，用于将所述当前资产信息通过主机代理程序发送至云服务器，以便于所述云服务器根据所述当前资产信息确定对应的目标信息类型，根据所述目标信息类型确定目标策略的策略信息，根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；所述目标策略为文件访问控制策略或网络访问控制策略；

59、第二接收模块，用于接收下发的所述目标策略完成策略匹配。

60、为解决上述技术问题，本发明还提供一种基于资产清单的策略确定装置，包括：

61、存储器，用于存储计算机程序；

62、处理器，用于执行所述计算机程序时实现如上述所述的基于资产清单的策略确定方法的步骤。

63、为解决上述技术问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的基于资产清单的策略确定方法的步骤。

64、本发明实施例提供的一种基于资产清单的策略确定方法，应用于云服务器，包括：接收由各主机代理程序发送的当前资产信息，并根据当前资产信息确定对应的目标信息类型，其中，目标信息类型包括全量上报类型、新增类型和删除类型；根据目标信息类型确定目标策略的策略信息，其中，目标策略为文件访问控制策略或网络访问控制策略；根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机；将目标策略下发至目标主机。本发明的有益效果在于基于各主机的当前资产信息的目标信息类型以确定目标策略的策略信息，并针对当前资产信息内确定的目标策略下发至主机。同时，根据目标策略的策略信息遍历各主机中存储的资产清单，若主机的资产清单内存在策略信息，其确定为目标主机，并将目标策略下发至该主机，并不是将目标策略下发至所有的主机，保证目标主机内仅存在自己相关的目标策略，避免每次策略匹配浪费的时间。另外，针对当前资产信息确定目标策略的策略信息，以实现策略的定时更新，将目标策略下发至目标主机，减少下发策略的策略内容，在一定程度上提升策略下发速度，减少策略匹配速度。

65、其次，本发明提供的通过数据格式以确定目标信息类型，使得确定类型的过程较为简单，节省解析时间；基于不同的目标信息类型确定不同的目标策略的策略信息，以便于后续将其目标策略下发至目标主机内，根据当前资产信息的特性确定对应的控制策略，使得下发至主机的控制策略更具有针对性；确定目标主机，无需将所有的控制策略全部下发至所有主机，仅是针对与对应相关的主机进行下发控制策略即可，以节省筛选的时间。数据格式下发策略，简单易懂，提升下发速度。

66、另外，本发明还提供了一种应用于主机的基于资产清单的策略确定方法、装置及介质，具有如上述基于资产清单的策略确定方法相同的有益效果。