一种网络安全管理方法及电子设备与流程

1.本技术涉及计算机技术领域，尤其涉及一种网络安全管理方法及电子设备。


背景技术：

2.云计算(cloud computing)作为互联网基础设施与传统经济融合推动了地方经济的快速发展，随着物联网、人工智能、大数据与云计算的进一步融合，让云服务的深度和广度得到进一步延伸。其中，公有云是最常见的云计算部署类型，由云服务提供商拥有和运营。在公有云中，所有资源均由云服务提供商所拥有和管理，云租户共享硬件、存储和网络等设备。
3.公有云服务的提供商为了保护云上租户网络安全，会在公有云环境下部署防火墙。其中，防火墙是一个部署在两个或多个网络边界间的信息安全系统，根据用户预定的策略来控制互联网流量数据的传输。防火墙可能是一台专属的网络设备来检查网络流量传输，实行网络间访问或控制的系统。访问控制是指对资源访问的管控，防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内被访问。
4.目前，公有云服务的防火墙实现方法主要是：在公有云环境的网络边界处，将网络流量牵引到独立的流量处理集群，集中检测所有网络流量与用户预设的访问控制策略，同时将命中日志等进行上报存储。但这样的方式存在受到云上网络结构的限制，部署困难，且存在云内安全隐患。因此，如何在公有云环境下对网络安全进行有效管控是亟待解决的问题。


技术实现要素：

5.本发明实施例提供了一种网络安全管理方法及电子设备，可以实现分布式的防火墙配置，有效解决云内攻击威胁的管控问题，保护云上租户的网络安全。
6.第一方面，本发明实施例提供了一种网络安全管理方法，包括：
7.获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；
8.根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；
9.将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。
10.第二方面，本发明实施例提供了一种网络安全管理方法，包括：
11.在网络安全管理界面中展示目标用户的网络资产，该网络安全管理界面包括配置区域，该网络资产包括私有网络、子网和实例；
12.获取通过该配置区域针对该网络资产输入的访问控制配置操作；
13.根据该访问控制配置操作生成配置数据，该配置数据包括该目标用户的网络资产
的访问控制策略；
14.向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。
15.第三方面，本发明实施例提供了一种网络安全管理装置，该装置包括：
16.获取单元，用于获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；
17.确定单元，用于根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；
18.发送单元，用于将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。
19.第四方面，本发明实施例提供了一种网络安全管理装置，该装置包括：
20.展示单元，用于在网络安全管理界面中展示目标用户的网络资产，该网络安全管理界面包括配置区域，该网络资产包括私有网络、子网和实例；
21.获取单元，用于获取通过该配置区域针对该网络资产输入的访问控制配置操作；
22.生成单元，用于根据该访问控制配置操作生成配置数据，该配置数据包括该目标用户的网络资产的访问控制策略；
23.发送单元，用于向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。
24.第五方面，本发明实施例提供了一种电子设备，包括：
25.处理器，适于实现一条或多条指令；以及
26.计算机存储介质，该计算机存储介质存储有一条或多条指令，该一条或多条指令适于由该处理器加载并执行前述第一方面所述的网络安全管理方法。
27.第六方面，本发明实施例提供了另一种电子设备，包括：
28.处理器，适于实现一条或多条指令；以及
29.计算机存储介质，该计算机存储介质存储有一条或多条指令，该一条或多条指令适于由该处理器加载并执行前述第二方面所述的网络安全管理方法。
30.第七方面，本发明实施例提供了一种计算机存储介质，其特征在于，该计算机存储介质中存储有计算机程序指令，该计算机程序指令被处理器执行时，用于执行前述第一方面或第二方面所述的网络安全管理方法。
31.第八方面，本发明实施例提供了一种计算机程序产品或计算机程序，该计算机程序产品包括计算机程序，计算机程序存储在计算机存储介质中；服务器的处理器从计算机存储介质中读取该计算机指令，该处理器执行前述第一方面或第二方面所述的网络安全管理方法。
32.在本发明实施例中，根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，其中，管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种，然后将每个管控单元对应的访问控制策略集发送给属
于该每个管控单元的实例，从而利用每个管控单元对应的访问控制策略集对实例的网络流量进行有效管控，实现对云上用户网络安全的保护，针对不同的实例采用该实例所属管控单元对应的访问控制策略集对该实例的网络流量进行管控，无需对网络流量进行牵引，基于公有云环境中实例的基础能力，分布式的防火墙配置，能够有效解决云内威胁管控场景，保护云上租户网络安全。
附图说明
33.为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
34.图1是本发明实施例提供的一种网络安全管理系统的结构示意图；
35.图2是本发明实施例提供的另一种网络安全管理方法的流程示意图；
36.图3是本发明实施例提供的一种用户网络资产拓扑图；
37.图4是本发明实施例提供的另一种网络安全管理方法的流程示意图；
38.图5是本发明实施例提供的另一种网络安全管理方法的流程示意图；
39.图6是本发明实施例提供的一种网络安全管理界面示意图；
40.图7是本发明实施例提供的一种入站规则配置区域示意图；
41.图8是本发明实施例提供的一种访问控制管理界面示意图；
42.图9是本发明实施例提供的另一种网络安全管理方法的流程示意图；
43.图10是本发明实施例提供的一种实例策略查看区域示意图；
44.图11是本发明实施例提供的一种日志审计界面示意图；
45.图12是本发明实施例提供的另一种网络安全管理方法的流程示意图；
46.图13是本发明实施例提供的另一种网络安全管理方法的流程示意图；
47.图14是本发明实施例提供的一种网络安全管理装置的结构示意图；
48.图15是本发明实施例提供的另一种网络安全管理装置的结构示意图；
49.图16是本发明实施例提供的一种电子设备的结构示意图；
50.图17是本发明实施例提供的另一种电子设备的结构示意图。
具体实施方式
51.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
52.云技术(cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。
53.云技术(cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有
可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，只能通过云计算来实现。
54.云安全(cloud security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
55.云安全主要研究方向包括：1.云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2.安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3.云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。
56.本技术实施例主要涉及云技术领域的云安全等技术，具体通过如下实施例进行说明。
57.为了实现上述网络安全管理方法，本发明实施例提供了一种网络安全管理系统，请参见图1，是本发明实施例提供的一种网络安全管理系统的结构示意图。该网络安全管理系统包括但不限于一个或多个客户端、一个或多个服务器、一个或多个实例，在图1以一个客户端101、一个服务器102、一个实例103为例。其中，客户端101、服务器102和实例103之间可以建立无线链路进行通信。图1所示的设备数量和形态用于举例并不构成对本发明实施例的限定。
58.其中，客户端101可用于执行本发明实施例针对客户端提供的网络安全管理方法，对目标用户的网络资产的访问控制策略进行配置，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。服务器102可用于执行本发明实施例针对服务器提供的网络安全管理方法，根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，然后将每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例。实例103可用于接收该管控单元对应的访问控制策略集，并采用该管控单元对应的访问控制策略集对实例的网络流量进行管控。
59.需要说明的是，该网络资产包括私有网络、子网和实例，管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。其中，私有网络是指租户专属的云上网络空间，不同私有网络间完全逻辑隔离；子网是私有网络的组成，一个私有网络由至少一个子网组成，私有网络中的所有云实例资产(如云服务器、云数据库等)都必须部署在子网内。
60.另外，实例包括以下情况中的一种或多种：云服务器、云数据库、弹性网卡、负载均衡。其中，云服务器是用于提供弹性计算服务，实时扩展或缩减计算资源，降低您的软硬件采购成本，简化it运维工作，是云上最主要的资产；云数据库是一种高性能、高可靠、可灵活伸缩的数据库托管服务；弹性网卡是绑定私有网络内云服务器的一种弹性网络接口，可在多个云服务器间自由迁移；负载均衡提供安全快捷的流量分发服务，访问流量经由负载均
衡可以自动分配到云中的多台云服务器上，扩展系统的服务能力并消除单点故障。
61.在一个实施例中，服务器102、实例103可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器。客户端101可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。
62.在一个实施例中，服务器102、实例103可作为区块链上的节点，配置数据、管控单元以及每个管控单元对应的访问控制策略集可保存于区块链上。
63.基于上述的网络安全管理系统，本发明实施例提供了一种网络安全管理方法。请参见图2，是本发明实施例提供的一种网络安全管理方法的流程示意图。该网络安全管理方法可应用于图1所示的网络安全管理系统，由服务器执行，具体可由服务器的处理器执行。该网络安全管理方法包括如下步骤：
64.s201、服务器获取配置数据。
65.在一个实施例中，该配置数据包括目标用户的网络资产的访问控制策略，网络资产包括私有网络、子网和实例。其中，实例包括以下情况中的一种或多种：云服务器、云数据库、弹性网卡、负载均衡等。可选的，服务器可以接收客户端发送的配置数据。需要说明的是，访问控制策略是对资源访问的管控策略，防止对任何资源进行未授权的访问，从而使系统在合法的范围内被访问。
66.如图3所示，示出了本发明实施例提供的一种用户网络资产拓扑图。服务器获取的配置数据包括目标用户的3个私有网络(私有网络a、私有网络b、私有网络c)、5个子网(子网a、子网b、子网c、子网d、子网e)和2个实例(实例a和实例b)。其中，私有网络a包括一个子网a；私有网络b包括3个子网，分别是子网b、子网c和子网d；私有网络c包括一个子网e；子网d包括2个实例，分别是实例a和实例b。
67.在一个实施例中，服务器可以调用云上网络资产信息获取接口，获取目标用户的网络资产信息，并将该网络资产信息发送给客户端。基于该方式，便于后续客户端对该目标用户的网络资产的访问控制策略进行配置。
68.s202、服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
69.在一个实施例中，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。其中，该管控单元所管控的实例范围从大到小依次为：私有网络级管控单元》子网级管控单元》实例级管控单元。同一个管控单元具备相同的访问控制策略，一个云上实例资产仅属于一个管控单元。基于该方式，可以使服务器尽可能少的维护访问控制策略集，降低系统消耗。
70.s203、服务器将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例。
71.在一个实施例中，每个管控单元对应的访问控制策略集用于对该每个管控单元的实例的网络流量进行管控，每个管控单元对应的访问控制策略集包括的访问控制策略可以存在一种或多种层级的访问控制策略。示例性的，一个实例级管控单元对应的访问控制策略集包括策略a、策略b、策略c、策略d和策略e，其中策略a和策略b对应同一个实例的访问控
制策略，策略c和策略d对应同一个子网的访问控制策略，策略e对应私有网络的访问控制策略。基于该方式，将每个管控单元对应的访问控制策略集生效的最终节点放在每一个实例资产上，每个实例可以执行所属的管控单元对应的访问控制策略集包括的各个访问控制策略，实现了防火墙的分布式配置，能够有效解决云内威胁管控场景，保护云上用户的网络安全。
72.在一个实施例中，服务器接收每个实例发送的访问控制命中信息，并将该访问控制命中信息进行存储。基于该方式，能够保存每个实例访问控制策略的命中情况，例如攻击日志等，便于后续用户能够进行查阅。
73.综上所述，在本发明实施例中，获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。应当理解的，将目标用户的网络资产的访问控制策略编排到各个管控单元，针对不同的实例采用该实例所属管控单元对应的访问控制策略集对该实例的网络流量进行管控，无需对网络流量进行牵引，基于公有云环境中实例的基础能力，实现简单，并且能够有效解决云内威胁管控场景，保护云上用户的网络安全。
74.请参见图4，是本发明实施例提供的另一种网络安全管理方法的流程示意图。该网络安全管理方法可应用于图1所示的网络安全管理系统，由服务器执行，具体可由服务器的处理器执行。该网络安全管理方法包括如下步骤：
75.s401、服务器获取配置数据。
76.其中，s401的具体实现方式与上述s201的具体实现方式相同，在此不赘述。
77.s402、服务器获取每个访问控制策略的生效对象。
78.在一个实施例中，该生效对象为该目标用户的任意网络资产。基于该方式，服务器遍历每个访问控制策略的生效对象，以确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
79.s403、服务器确定是否存在生效对象包括目标实例的访问控制策略。若存在生效对象包括目标实例的访问控制策略，则执行s404；若不存在生效对象包括目标实例的访问控制策略，则执行s405。
80.s404、服务器确定实例级管控单元，并将该目标实例的访问控制策略、该目标实例所属的子网的访问控制策略和该目标实例所属的私有网络的访问控制策略，添加到该实例级管控单元对应的访问控制策略集中。
81.在一个实施例中，该目标实例为该目标用户的任一实例。不同的目标实例对应不同的实例级管控单元。
82.例如，目标实例为云数据库，该云数据库的访问控制策略为策略a，该云数据库所属的子网的访问控制策略为策略b，该云数据库所属的私有网络的访问控制策略为策略c。服务器确定该云数据库的访问控制策略存在，因此确定出一个实例级管控单元，并将策略a、策略b和策略c添加到该实例级管控单元对应的访问控制策略集中。
83.s405、服务器确定是否存在生效对象包括该目标实例所属的子网的访问控制策
略。若存在生效对象包括该目标实例所属的子网的访问控制策略，则执行s406；若不存在生效对象包括该目标实例所属的子网的访问控制策略，则执行s407。
84.在一个实施例中，服务器确定不存在生效对象包括目标实例的访问控制策略，因此进一步确定是否存在生效对象包括该目标实例所属的子网的访问控制策略。
85.s406、服务器确定子网级管控单元，并将该目标实例所属的子网的访问控制策略和该目标实例所属的私有网络的访问控制策略，添加到该子网级管控单元对应的访问控制策略集中。
86.例如，目标实例为云数据库，该云数据库的访问控制策略不存在，该云数据库所属的子网的访问控制策略为策略b，该云数据库所属的私有网络的访问控制策略为策略c。服务器确定该云数据库所属的子网的的访问控制策略存在，因此确定出一个子网级管控单元，并将策略b和策略c添加到该子网级管控单元对应的访问控制策略集中。
87.s407、若存在生效对象包括该目标实例所属的私有网络的访问控制策略，则确定私有网络级管控单元，并将所述目标实例所属的私有网络的访问控制策略，添加到所述私有网络级管控单元对应的访问控制策略集中。
88.在一个实施例中，服务器确定不存在生效对象包括该目标实例以及该目标实例所属的子网的访问控制策略，且存在生效对象包括该目标实例所属的私有网络的访问控制策略，则确定私有网络级管控单元，并确定该私有网络级管控单元对应的访问控制策略集。
89.例如，目标实例为云数据库，该云数据库的访问控制策略以及该云数据库所属的子网的访问控制策略均不存在，该云数据库所属的私有网络的访问控制策略为策略c。服务器确定该云数据库所属的私有网络的访问控制策略存在，因此确定出一个私有网络级管控单元，并将策略c添加到该私有网络级管控单元对应的访问控制策略集中。
90.在一个实施例中，服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集之后，需要检测目标用户的网络资产的访问控制策略是否发生更改，若发生更改，则对该管控单元对应的访问控制策略集进行更新。
91.需要说明的是，s402～s407为上述s202的一种具体的实现方式。
92.s408、针对该一个或多个管控单元中的第一管控单元，若该第一管控单元为实例级管控单元，则服务器将该实例级管控单元的生效对象指示的实例划分到该第一管控单元。
93.在一个实施例中，该第一管控单元为该一个或多个管控单元中的任意一个。一个云上实例资产仅属于一个管控单元，实例所属的管控单元按照最小管控范围原则，管控范围从大到小依次为：私有网络级管控单元》子网级管控单元》实例级网络单元。
94.例如，假设该第一管控单元为实例级管控单元a，该实例级管控单元的生效对象指示的实例为云数据库，则将该云数据库划分到该实例级管控单元a。
95.在一个实施例中，若该第一管控单元为子网级管控单元，则服务器将该子网级管控单元的生效对象指示的子网包括的实例划分到该第一管控单元。
96.例如，假设该第一管控单元为子网级管控单元a，该子网级管控单元的生效对象指示的子网为子网a，其中，子网a包括实例a和实例b。因此将实例a和实例b都划分到该子网级管控单元a。
97.在一个实施例中，若该第一管控单元为私有网络级管控单元，则服务器将该私有
网络级管控单元的生效对象指示的私有网络包括的实例划分到该第一管控单元。
98.例如，假设该第一管控单元为私有网络级管控单元a，将该私有网络级管控单元的生效对象指示的私有网络为私有网络a，该私有网络a包括子网a和子网b，其中，子网a包括实例a和实例b，子网b包括实例c。因此将实例a、实例b和实例c都划分到该私有网络级管控单元a。
99.s409、服务器将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例。
100.例如，实例q属于实例级管控单元1，该实例级管控单元1对应的访问控制策略集包括策略a、策略b和策略c，因此服务器将策略a、策略b和策略c发送给实例q，实例q按照策略a、策略b和策略c对出入的网络流量进行管控。
101.其中，s409的具体实现方式与上述s203的具体实现方式相同，在此不赘述。
102.综上所述，在本发明实施例中，获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。应当理解的，将目标用户的网络资产的访问控制策略编排到各个管控单元，针对不同的实例采用该实例所属管控单元对应的访问控制策略集对该实例的网络流量进行管控，无需对网络流量进行牵引，基于公有云环境中实例的基础能力，实现简单，并且能够有效解决云内威胁管控场景，保护云上用户的网络安全。
103.请参见图5，是本发明实施例提供的另一种网络安全管理方法的流程示意图。该网络安全管理方法可应用于图1所示的网络安全管理系统，由客户端执行，具体可由客户端的处理器执行。该网络安全管理方法包括如下步骤：
104.s501、客户端在网络安全管理界面中展示目标用户的网络资产。
105.在一个实施例中，该网络资产包括私有网络、子网和实例。如图6所示，示出了本技术实施例提供的一种网络安全管理界面示意图，用户可以通过该界面中的资产扫描选项或者同步资产选项获取到该用户的所有网络资产，用户还可以通过设定资产扫描周期(比如7天一个周期或者24小时一个周期)，在固定周期对该用户的所有网络资产进行扫描。
106.另外，该网络安全管理界面还包括公网资产的数量、内网资产的数量、私有网络的数量、暴露端口的数量、暴露漏洞的数量以及安全事件的数量，还包括针对入向峰值带宽、出向峰值带宽、入向累计流量、出向累计流量、安全事件、暴露端口以及暴露漏洞的各个条形图。该网络安全管理界面还提供6个网络资产选项，分别是公网资产选项、内网资产选项、私有网络资产选项、子网选项、暴露端口选项和暴露漏洞选项。当客户端检测到用户针对这6个网络资产选项的点击操作，将该点击操作所选中的网络资产选项所对应的网络资产进行可视化展示，其中包括该网络资产的名称或者身份标识号(identity document，id)、所属专有网络(virtual private cloud，vpc)、网际协议版本4无类别域间路由(ipv4 cidr)、地域、可用区、云服务器、可用ip、资源标签。需要说明的是，用户还可以通过查询区域对网络资产进行快速查询。
107.在一个实施例中，该网络安全管理界面还包括配置区域，便于用户可以通过该配
置区域针对该网络资产进行访问控制策略的配置。如图7所示，示出了本技术实施例提供的一种入站规则配置区域示意图，该配置区域包括访问源类型选项、端口协议类型选项和规则优先级选项，其中访问源类型选项包括ip地址和参数模板，端口协议类型选项包括手动填写和参数模板，规则优先级选项包括最先和最后。需要说明的是，参数模板表示ip地址的集合，所有的配置都基于该参数模板来配置，从而减少用户配置策略的工作量。
108.另外，用户配置的访问控制策略需要包括访问目的类型、执行顺序、访问源、访问目的、目的端口、协议、策略和描述。其中，访问目的类型包括云服务器、云数据库、弹性网卡、负载均衡、子网、私有网络和资源标签，策略包括阻断或放行的各类三层网络协议规则，三层网络协议包括：tcp协议、udp协议、icmp协议等。需要说明的是，用户可以通过自动双向下发的选项实现入站规则和出站规则的同步，从而减少用户配置策略的工作量。
109.例如，客户端配置的访问控制策略可以是：执行顺序为4，访问源为0.0.0.0/0，访问目的为ins-hkpl3ga1，目的端口为-1/-1，协议为tcp协议，策略为阻断，描述为rule，访问目的类型为子网。
110.s502、客户端获取通过该配置区域针对该网络资产输入的访问控制配置操作。
111.在一个实施例中，客户端在该配置区域针对不同的网络资产配置访问控制策略，并获取针对该网络资产输入的访问控制配置操作，便于后续客户端针对该访问控制配置操作生成配置数据。
112.s503、客户端根据该访问控制配置操作生成配置数据。
113.在一个实施例中，该配置数据包括该目标用户的网络资产的访问控制策略。客户端在访问控制管理界面中展示该目标用户的网络资产的访问控制策略。如图8所示，示出了本技术实施例提供的一种访问控制管理界面示意图，该企业安全组为上海，共包括3条规则。该访问控制管理界面包括入站规则的条数、出站规则的条数、安全组数量、安全组配额，其中安全组配额可以查看详情，也可以对该配额进行管理。该访问控制管理界面还包括操作日志，用户可以查看到最近的操作记录。
114.另外，该访问控制管理界面展示的目标用户所有网络资产的访问控制策略包括执行顺序、访问源、访问目的、目的端口、协议、策略、描述、状态和操作，其中，操作包括编辑、插入和删除的选项。用户还可以在该访问控制管理界面中的添加规则选项进行新访问控制策略的添加。需要说明的是，用户还可以通过查询区域对访问控制策略进行快速查询。
115.s504、客户端向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
116.在一个实施例中，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。客户端将该配置数据发送给服务器，便于该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
117.综上所述，在本发明实施例中，在网络安全管理界面中展示目标用户的网络资产，获取通过该配置区域针对该网络资产输入的访问控制配置操作，然后根据该访问控制配置操作生成配置数据，并向服务器发送该配置数据。应当理解的，在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，用户可以按需对各个网络资产的访问控制策略进行灵活配置。
118.请参见图9，是本发明实施例提供的另一种网络安全管理方法的流程示意图。该网络安全管理方法可应用于图1所示的网络安全管理系统，由客户端执行，具体可由客户端的处理器执行。该网络安全管理方法包括如下步骤：
119.s901、客户端在网络安全管理界面中展示目标用户的网络资产。
120.s902、客户端获取通过该配置区域针对该网络资产输入的访问控制配置操作。
121.s903、客户端根据该访问控制配置操作生成配置数据。
122.s904、客户端向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
123.其中，s901～s904的具体实现方式与上述s501～s504的具体实现方式相同，在此不赘述。
124.s905、客户端响应于针对该目标用户的目标实例的策略查看指令，向该服务器发送策略获取请求。
125.在一个实施例中，该策略获取请求包括该目标实例的实例标识。客户端根据该目标用户的目标实例的策略查看指令，确定该目标实例的实例标识，并该服务器发送策略获取请求，以使得服务器确定该目标实例所属管控单元对应的访问控制策略集。
126.s906、客户端接收该服务器发送的该目标实例所属管控单元对应的访问控制策略集。
127.在一个实施例中，客户端通过获取的该目标实例所属管控单元对应的访问控制策略集，以使得客户端确定该目标实例生效的访问控制策略。
128.s907、客户端在该网络安全管理界面中展示该访问控制策略集包括的一个或多个访问控制策略。
129.在一个实施例中，用户可以通过网络安全管理界面中的实例策略查看区域，根据用户针对不同实例选项的点击操作，将该点击操作对应的实例选项对应的实例的访问控制策略集展示在网络安全管理界面中。如图10所示，示出了本技术实施例提供的一种实例策略查看区域示意图，该实例策略查看区域包括入站规则选项和出站规则选项，入站规则表示其他服务器或设备访问该目标用户的规则，出站规则表示该目标用户访问其他服务器或设备的规则。该实例策略查看区域还包括添加规则选项、导入规则选项、排序选项、删除选项和一键放通选项，其中添加规则选项用于增加新的访问控制策略，一键放通选项用于将所有访问控制策略均设置为允许。另外，展示的访问控制策略包括来源、协议端口、策略、备注、修改时间和操作，其中，操作包括编辑、插入和删除的选项。
130.在一个实施例中，客户端在日志审计界面中展示每个实例的访问控制命中信息。基于该方式，有利于提高网络安全管理的可靠性。如图11所示，示出了本技术实施例提供的一种日志审计界面示意图，该日志审计界面包括入站规则和出站规则，该访问控制命中信息包括命中时间、访问源、源端口、访问目的(我的资产)、目的端口、协议和策略。
131.综上所述，在本发明实施例中，在网络安全管理界面中展示目标用户的网络资产，获取通过该配置区域针对该网络资产输入的访问控制配置操作，然后根据该访问控制配置操作生成配置数据，并向服务器发送该配置数据。应当理解的，在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
132.请参见图12，是本发明实施例提供的另一种网络安全管理方法的流程示意图。该网络安全管理方法可应用于图1所示的网络安全管理系统，由服务器、客户端和实例交互来实现，具体可由服务器的处理器、客户端的处理器和实例的处理器执行。该网络安全管理方法包括如下步骤：
133.s1201、客户端在网络安全管理界面中展示目标用户的网络资产。
134.s1202、客户端获取通过该配置区域针对该网络资产输入的访问控制配置操作。
135.s1203、客户端根据该访问控制配置操作生成配置数据。
136.s1204、客户端向服务器发送该配置数据。
137.s1205、服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
138.s1206、服务器将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例。
139.s1207、实例接收该实例所属管控单元对应的访问控制策略集。
140.s1208、实例根据该管控单元对应的访问控制策略集对网络流量进行管控，并生成访问控制命中信息。
141.其中，s1201～s1208的具体实现方式与上述实施例中描述的具体实现方式相同，在此不赘述。
142.综上所述，在本发明实施例中，客户端对目标用户的网络资产的访问控制策略进行配置，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集；服务器根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，然后将每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例；实例接收该管控单元对应的访问控制策略集，并采用该管控单元对应的访问控制策略集对实例的网络流量进行管控。基于图12所描述的方法，可以实现分布式的防火墙配置，有效解决云内攻击威胁的管控问题，保护云上租户的网络安全。
143.请参见图13，是本发明实施例提供的另一种网络安全管理方法的流程示意图。该网络安全管理方法可应用于图1所示的网络安全管理系统，由服务器、客户端和实例交互来实现，具体可由服务器的处理器、客户端的处理器和实例的处理器执行。该网络安全管理方法包括如下步骤：
144.s1301、租户网络发现。其中，租户对应上述实施例中的目标用户。
145.s1302、租户实例发现。
146.s1303、网络以及实例可视化编排。
147.s1304、控制台集中配置访问控制策略。
148.在一个实施例中，控制台每隔一定时间获取以上相关实例数据以及网络数据，与现有的数据进行对比，有变化的网络与实例及时同步更新，保证数据实时性。
149.s1305、划分管控单元，为每个单元生成其对应的子访问控制策略。
150.s1306、判断管控单元所属策略是否变化。若管控单元所属策略发生变化，则执行s1307；若管控单元所属策略未发生变化，则执行s1308。
151.s1307、管控单元策略更新。
152.s1308、划分实例所属的管控单元，并且使该单元策略在实例上生效。
153.其中，该单元策略在实例上生效的具体方式是将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，实例采用该访问控制策略集进行网络流量管控。
154.s1309、访问控制日志上报与展示。
155.在一个实施例中，根据实例上流量和策略的命中情况，每个实例通过消息队列服务发送日志消息，由日志服务处理后进行统一存储与展示。
156.其中，s1301～s1309的具体实现方式与上述实施例中描述的具体实现方式相同，在此不赘述。s1301～s1303用于网络和实例可视化，s1305～s1308用于策略编排与生效。
157.综上所述，在本发明实施例中，客户端对目标用户的网络资产的访问控制策略进行配置，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集；服务器根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，然后将每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例；实例接收该管控单元对应的访问控制策略集，并采用该管控单元对应的访问控制策略集对实例的网络流量进行管控。基于图13所描述的方法，可以实现分布式的防火墙配置，有效解决云内攻击威胁的管控问题，保护云上租户的网络安全。
158.基于上述的网络安全管理方法，本发明实施例提供了一种网络安全管理装置。请参见图14，是本发明实施例提供的一种网络安全管理装置的结构示意图，该网络安全管理装置1400可以运行如下单元：
159.获取单元1401，用于获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；
160.确定单元1402，用于根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；
161.发送单元1403，用于将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。
162.在一个实施例中，确定单元1402，在根据该网络安全配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集时，具体用于：获取每个访问控制策略的生效对象；若存在生效对象包括目标实例的访问控制策略，则确定实例级管控单元，该目标实例为该目标用户的任一实例；将该目标实例的访问控制策略、该目标实例所属的子网的访问控制策略和该目标实例所属的私有网络的访问控制策略，添加到该实例级管控单元对应的访问控制策略集中。
163.在一个实施例中，确定单元1402，还用于若不存在生效对象包括该目标实例的访问控制策略，且存在生效对象包括该目标实例所属的子网的访问控制策略，则确定子网级管控单元；将该目标实例所属的子网的访问控制策略和该目标实例所属的私有网络的访问控制策略，添加到该子网级管控单元对应的访问控制策略集中。
164.在一个实施例中，确定单元1402，还用于若不存在生效对象包括该目标实例以及该目标实例所属的子网的访问控制策略，且存在生效对象包括该目标实例所属的私有网络的访问控制策略，则确定私有网络级管控单元；将该目标实例所属的私有网络的访问控制策略，添加到该私有网络级管控单元对应的访问控制策略集中。
165.在一个实施例中，确定单元1402，在将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例之前，该装置还包括划分单元，该划分单元用于：针对该一个或多个管控单元中的第一管控单元，若该第一管控单元为实例级管控单元，则将该实例级管控单元的生效对象指示的实例划分到该第一管控单元，该第一管控单元为该一个或多个管控单元中的任意一个；若该第一管控单元为子网级管控单元，则将该子网级管控单元的生效对象指示的子网包括的实例划分到该第一管控单元；若该第一管控单元为私有网络级管控单元，则将该私有网络级管控单元的生效对象指示的私有网络包括的实例划分到该第一管控单元。
166.根据本发明的一个实施例，图2所示的网络安全管理方法所涉及各个步骤可以是由图14所示的网络安全管理装置中的各个单元来执行的。例如，图2所述的步骤s201可由图14所示的网络安全管理装置1400中的获取单元1401来执行，步骤s202可由图14所示的网络安全管理装置1400中的确定单元1402来执行，步骤s203可由图14所示的网络安全管理装置1400中的发送单元1403来执行。
167.根据本发明的另一个实施例，图14所示的网络安全管理装置中的各个单元可以分别或全部合并为一个或若干个另外的单元来构成，或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成，这可以实现同样的操作，而不影响本发明的实施例的技术效果的实现。上述单元是基于逻辑功能划分的，在实际应用中，一个单元的功能也可以由多个单元来实现，或者多个单元的功能由一个单元实现。在本发明的其它实施例中，基于网络安全管理装置也可以包括其它单元，在实际应用中，这些功能也可以由其它单元协助实现，并且可以由多个单元协作实现。
168.根据本发明的另一个实施例，可以通过在包括中央处理单元(cpu)、随机存取存储介质(ram)、只读存储介质(rom)等处理元件和存储元件的例如计算机的通用计算设备上运行能够执行如图2所示的相应方法所涉及的各步骤的计算机程序(包括程序代码)，来构造如图14中所示的网络安全管理装置，以及来实现本发明实施例网络安全管理方法。所述计算机程序可以记载于例如计算机存储介质上，并通过计算机存储介质装载于上述计算设备中，并在其中运行。
169.在本发明实施例中，根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，其中，管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种，然后将每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，从而利用每个管控单元对应的访问控制策略集对实例的网络流量进行有效管控，实现对云上用户网络安全的保护。这样一来，针对不同的实例采用该实例所属管控单元对应的访问控制策略集对该实例的网络流量进行管控，无需对网络流量进行牵引，基于公有云环境中实例的基础能力，实现简单，并且能够有效解决云内威胁管控场景，保护云上租户网络安全。
170.基于上述的网络安全管理方法，本发明实施例提供了另一种网络安全管理装置。请参见图15，是本发明实施例提供的一种网络安全管理装置的结构示意图，该网络安全管理装置1500可以运行如下单元：
171.展示单元1501，用于在网络安全管理界面中展示目标用户的网络资产，该网络安全管理界面包括配置区域，该网络资产包括私有网络、子网和实例；
172.获取单元1502，用于获取通过该配置区域针对该网络资产输入的访问控制配置操作；
173.生成单元1503，根据该访问控制配置操作生成配置数据，该配置数据包括该目标用户的网络资产的访问控制策略；
174.发送单元1504，用于向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。
175.在一个实施例中，该装置还包括响应单元、接收单元，该响应单元用于响应于针对该目标用户的目标实例的策略查看指令，向该服务器发送策略获取请求，该策略获取请求包括该目标实例的实例标识；该接收单元用于接收该服务器发送的该目标实例所属管控单元对应的访问控制策略集；该展示单元还用于在该网络安全管理界面中展示该访问控制策略集包括的一个或多个访问控制策略。
176.根据本发明的一个实施例，图5所示的网络安全管理方法所涉及各个步骤可以是由图15所示的网络安全管理装置中的各个单元来执行的。例如，图5所述的步骤s501可由图15所示的网络安全管理装置1500中的展示单元1501来执行，步骤s502可由图15所示的网络安全管理装置1500中的获取单元1502来执行，步骤s503可由图15所示的网络安全管理装置1500中的生成单元1503来执行，步骤s504可由图15所示的网络安全管理装置1500中的发送单元1504来执行。
177.根据本发明的另一个实施例，图15所示的网络安全管理装置中的各个单元可以分别或全部合并为一个或若干个另外的单元来构成，或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成，这可以实现同样的操作，而不影响本发明的实施例的技术效果的实现。上述单元是基于逻辑功能划分的，在实际应用中，一个单元的功能也可以由多个单元来实现，或者多个单元的功能由一个单元实现。在本发明的其它实施例中，基于网络安全管理装置也可以包括其它单元，在实际应用中，这些功能也可以由其它单元协助实现，并且可以由多个单元协作实现。
178.根据本发明的另一个实施例，可以通过在包括中央处理单元(cpu)、随机存取存储介质(ram)、只读存储介质(rom)等处理元件和存储元件的例如计算机的通用计算设备上运行能够执行如图2所示的相应方法所涉及的各步骤的计算机程序(包括程序代码)，来构造如图9中所示的网络安全管理装置，以及来实现本发明实施例网络安全管理方法。所述计算机程序可以记载于例如计算机存储介质上，并通过计算机存储介质装载于上述计算设备中，并在其中运行。
179.在本发明实施例中，在网络安全管理界面中展示目标用户的网络资产，可以在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。这样一来，在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
180.基于上述网络安全管理方法以及网络安全管理装置的实施例，本发明实施例提供了一种电子设备，此处所述的电子设备对应前述的服务器。请参见图16，是本发明实施例提
供的一种服务器的结构示意图，该电子设备1600至少可包括：处理器1601、通信接口1602以及计算机存储介质1603。其中，处理器1601、通信接口1602以及计算机存储介质1603可通过总线或其他方式连接。
181.计算机存储介质1603可以存储在电子设备1600的存储器1604中，所述计算机存储介质1603用于存储计算机程序，所述计算机程序包括程序指令，所述处理器1601用于执行所述计算机存储介质1603存储的程序指令。处理器1601(或称cpu(central processing unit，中央处理器))是电子设备1600的计算核心以及控制核心，其适于实现一条或多条指令，具体适于加载并执行：
182.获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。
183.在本发明实施例中，根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，其中，管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种，然后将每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，从而利用每个管控单元对应的访问控制策略集对实例的网络流量进行有效管控，实现对云上用户网络安全的保护。这样一来，针对不同的实例采用该实例所属管控单元对应的访问控制策略集对该实例的网络流量进行管控，无需对网络流量进行牵引，基于公有云环境中实例的基础能力，实现简单，并且能够有效解决云内威胁管控场景，保护云上租户网络安全。
184.基于上述的网络安全管理方法以及网络安全管理装置的实施例，本发明实施例还提供了另一种电子设备，此处所述电子设备对应于前述的客户端。请参见图17，是本发明实施例提供的一种电子设备的结构示意图，该电子设备1700至少可包括：处理器1701、输入接口1702、输出接口1703以及计算机存储介质1704可通过总线或其他方式连接。
185.计算机存储介质1704可以存储在电子设备1700的存储器1705中，所述计算机存储介质1701用于存储计算机程序，所述计算机程序包括程序指令，所述处理器1701用于执行所述计算机存储介质1704存储的程序指令。处理器1701(或称cpu(central processing unit，中央处理器))是电子设备的计算核心以及控制核心，其适于实现一条或多条指令，具体适于加载并执行：
186.在网络安全管理界面中展示目标用户的网络资产，该网络安全管理界面包括配置区域，该网络资产包括私有网络、子网和实例；获取通过该配置区域针对该网络资产输入的访问控制配置操作；根据该访问控制配置操作生成配置数据，该配置数据包括该目标用户的网络资产的访问控制策略；向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。
187.在本发明实施例中，在网络安全管理界面中展示目标用户的网络资产，可以在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控
制策略集。这样一来，在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
188.本发明实施例还提供了一种计算机存储介质(memory)，所述计算机存储介质是电子设备中的记忆设备，用于存放程序和数据。可以理解的是，此处的计算机存储介质既可以包括电子设备中的内置存储介质，当然也可以包括电子设备支持的扩展存储介质。计算机存储介质提供存储空间，该存储空间存储了电子设备的操作系统。并且，在该存储空间中还存放了适于被处理器1601或者1701加载并执行的一条或多条的指令，这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是，此处的计算机存储介质可以是高速ram存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器；可选的还可以是至少一个位于远离前述处理器的计算机存储介质。
189.在一个实施例中，所述计算机存储介质可由处理器1601加载并执行计算机存储介质中存放的一条或多条指令，以实现上述有关图2所示的网络安全管理方法的相应步骤。具体实现中，计算机存储介质中的一条或多条指令由处理器1601加载并执行如下步骤：
190.获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。
191.在一个实施例中，处理器1601，在根据该网络安全配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集时，具体用于：获取每个访问控制策略的生效对象；若存在生效对象包括目标实例的访问控制策略，则确定实例级管控单元，该目标实例为该目标用户的任一实例；将该目标实例的访问控制策略、该目标实例所属的子网的访问控制策略和该目标实例所属的私有网络的访问控制策略，添加到该实例级管控单元对应的访问控制策略集中。
192.在一个实施例中，处理器1601，还用于若不存在生效对象包括该目标实例的访问控制策略，且存在生效对象包括该目标实例所属的子网的访问控制策略，则确定子网级管控单元；将该目标实例所属的子网的访问控制策略和该目标实例所属的私有网络的访问控制策略，添加到该子网级管控单元对应的访问控制策略集中。
193.在一个实施例中，处理器1601，还用于若不存在生效对象包括该目标实例以及该目标实例所属的子网的访问控制策略，且存在生效对象包括该目标实例所属的私有网络的访问控制策略，则确定私有网络级管控单元；将该目标实例所属的私有网络的访问控制策略，添加到该私有网络级管控单元对应的访问控制策略集中。
194.在一个实施例中，处理器1601，在将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例之前，该装置还包括划分单元，该划分单元用于：针对该一个或多个管控单元中的第一管控单元，若该第一管控单元为实例级管控单元，则将该实例级管控单元的生效对象指示的实例划分到该第一管控单元，该第一管控单元为该一个或多个管控单元中的任意一个；若该第一管控单元为子网级管控单元，则将该子网级管控单元的生效对象指示的子网包括的实例划分到该第一管控单元；若该第一管控单元为私有网络级
管控单元，则将该私有网络级管控单元的生效对象指示的私有网络包括的实例划分到该第一管控单元。
195.在本发明实施例中，根据获取到的配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，其中，管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种，然后将每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，从而利用每个管控单元对应的访问控制策略集对实例的网络流量进行有效管控，实现对云上用户网络安全的保护。这样一来，针对不同的实例采用该实例所属管控单元对应的访问控制策略集对该实例的网络流量进行管控，无需对网络流量进行牵引，基于公有云环境中实例的基础能力，实现简单，并且能够有效解决云内威胁管控场景，保护云上租户网络安全。
196.在其他实施例中，所述计算机存储介质可由处理器1701加载并执行计算机存储介质中存放的一条或多条指令，以实现上述有关图5所示的网络安全管理方法的相应步骤。具体实现中，计算机存储介质中的一条或多条指令由处理器1701加载并执行如下步骤：
197.在网络安全管理界面中展示目标用户的网络资产，该网络安全管理界面包括配置区域，该网络资产包括私有网络、子网和实例；获取通过该配置区域针对该网络资产输入的访问控制配置操作；根据该访问控制配置操作生成配置数据，该配置数据包括该目标用户的网络资产的访问控制策略；向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。
198.在一个实施例中，处理器1701还用于响应于针对该目标用户的目标实例的策略查看指令，向该服务器发送策略获取请求，该策略获取请求包括该目标实例的实例标识；接收该服务器发送的该目标实例所属管控单元对应的访问控制策略集；在该网络安全管理界面中展示该访问控制策略集包括的一个或多个访问控制策略。
199.在本发明实施例中，在网络安全管理界面中展示目标用户的网络资产，可以在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。这样一来，在配置区域对该目标用户的网络资产的访问控制策略进行配置，并将配置数据发送给服务器，以使得服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集。
200.根据本技术的一个方面，本发明实施例还提供了一种计算机产品或计算机程序，该计算机产品或计算机程序包括计算机指令，该计算机指令存储在计算机存储介质中。可选的，处理器1601从计算机存储介质中读取该计算机指令，处理器1601执行该计算机指令，使得电子设备执行图2所示的网络安全管理方法，具体地：
201.获取配置数据，该配置数据包括目标用户的网络资产的访问控制策略，该网络资产包括私有网络、子网和实例；根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种；将该每个管控单元对应的访问控制策略集发送给属于该每个管控单元的实例，该访问控制策略集用于对该实例的网络流量进行管控。
202.可选的，处理器1701从计算机存储介质中读取该计算机指令，处理器1701执行该
计算机指令，使得电子设备执行图5所示的网络安全管理方法，具体地：
203.在网络安全管理界面中展示目标用户的网络资产，该网络安全管理界面包括配置区域，该网络资产包括私有网络、子网和实例；获取通过该配置区域针对该网络资产输入的访问控制配置操作；根据该访问控制配置操作生成配置数据，该配置数据包括该目标用户的网络资产的访问控制策略；向服务器发送该配置数据，以使得该服务器根据该配置数据确定一个或多个管控单元以及每个管控单元对应的访问控制策略集，该管控单元包括私有网络级管控单元、子网级管控单元和实例级管控单元中的一种或多种。
204.本领域普通技术人员可以意识到，结合本技术中所公开的实施例描述的各示例的单元及步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用，使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
205.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。计算机指令可以存储在计算机存储介质中，或者通过计算机存储介质进行传输。计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如，同轴电缆、光纤、数字用户线(dsl))或无线(例如，红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如，固态硬盘(solid statedisk，ssd))等。
206.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。