策略更新方法、系统、装置及电子设备与流程

1.本技术涉及通信技术领域，具体而言，涉及一种策略更新方法、系统、装置及电子设备。


背景技术：

2.终端安全管理系统是一种对指定网络内的所有终端设备进行安全管理、风险管控的系统。其中，终端安全管理系统在对大量的终端设备进行管理时，通常采用的是一对一的策略管理方式，例如，终端安全管理系统的后台服务器在同时管理n个终端设备所对应的策略时，后台服务器需要存储有以下维护记录：维护记录1：策略a与终端设备1相对应；维护记录2：策略a与终端设备2相对应；维护记录3：策略a与终端设备3相对应；维护记录4：策略b与终端设备4相对应；维护记录5：策略b与终端设备5相对应
……
维护记录n：策略n与终端设备n相对应。
3.由此可见，即便有多个终端使用了同一个策略，后台服务器仍需要在数据库中维护多个记录。在终端数量和策略数量不断增多的情况下，数据库的存储资源会越来越紧张，从而导致后台服务器的资源可利用率也会越来越低。
4.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术实施例提供了一种策略更新方法、系统、装置及电子设备，以至少解决现有技术中服务器在管理终端设备对应的策略时存在的存储资源利用率低的技术问题。
6.根据本技术实施例的一个方面，提供了一种策略更新方法，包括：获取多个终端设备中的每个终端设备所对应的设备标识；根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则；检测策略分组所对应的策略是否存在更新；在策略分组所对应的策略存在更新的情况下，确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略；根据目标策略的策略标识和更新信息对目标策略分组对应的目标终端设备中所存储的本地目标策略进行更新，其中，本地目标策略的策略标识与目标策略的策略标识相同。
7.进一步地，策略更新方法还包括：获取每个终端设备的属性信息，其中，属性信息用于表征终端设备的归属部门，属性信息相同的终端设备执行相同的策略；根据属性信息对多个设备标识进行分组，得到至少一个策略分组。
8.进一步地，策略更新方法还包括：在根据属性信息对多个设备标识进行分组，得到至少一个策略分组之后，检测第一终端设备的属性信息是否发生更新，其中，第一终端设备为多个终端设备中的任意一个终端设备，第一终端设备所对应的策略分组为第一策略分组；在第一终端设备对应的属性信息发生更新的情况下，确定第一终端设备更新后的属性信息为目标属性信息；根据目标属性信息将第一终端设备对应的设备标识从第一策略分组
中移动至第二策略分组，其中，第二策略分组中的设备标识所对应的终端设备的属性信息为目标属性信息。
9.进一步地，策略更新方法还包括：在根据目标属性信息将第一终端设备对应的设备标识从第一策略分组中移动至第二策略分组之后，将第一终端设备中所存储的本地策略更新为第二策略分组中的策略；检测第二策略分组所对应的策略是否发生更新；在第二策略分组所对应的策略发生更新时，确定该策略为待处理策略；根据待处理策略的策略标识和待处理策略的更新信息对第一终端设备中存储的第一本地策略进行更新，其中，第一本地策略的策略标识与待处理策略的策略标识相同。
10.进一步地，策略更新方法还包括：至少一个策略分组存储于控制中心的目标数据库中，其中，控制中心为用于管理至少一个策略分组的服务器。
11.进一步地，策略更新方法还包括：检测至少一个策略分组中是否存在空闲分组，其中，空闲分组为不包含设备标识的策略分组；在至少一个策略分组中存在空闲分组时，删除空闲分组下的策略，并将空闲分组从控制中心中删除。
12.根据本技术实施例的另一方面，还提供了一种策略更新方法，包括：监听目标策略分组所对应的目标策略的更新信息，其中，目标策略分组为控制中心存储的至少一个策略分组中发生策略更新的策略分组，至少一个策略分组中的每个策略分组所对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则，控制中心为用于管理至少一个策略分组的服务器；根据更新信息和目标策略的策略标识对目标终端设备中所存储的本地目标策略进行更新，其中，目标终端设备为目标策略分组所对应的终端设备，目标策略的策略标识与本地目标策略的策略标识相同。
13.根据本技术实施例的另一方面，还提供了一种策略更新系统，包括：控制中心，用于获取多个终端设备中的每个终端设备所对应的设备标识，并根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则；目标终端设备，用于监听目标策略分组所对应的目标策略的更新信息，并根据更新信息和目标策略的策略标识对目标终端设备中所存储的本地目标策略进行更新，其中，目标策略分组为至少一个策略分组中发生策略更新的策略分组，目标终端设备为目标策略分组所对应的终端设备，目标策略的策略标识与本地目标策略的策略标识相同。
14.根据本技术实施例的另一方面，还提供了一种策略更新装置，包括：获取模块，用于获取多个终端设备中的每个终端设备所对应的设备标识；分组模块，用于根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则；检测模块，用于检测策略分组所对应的策略是否存在更新；确定模块，用于在策略分组所对应的策略存在更新的情况下，确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略；更新模块，用于根据目标策略的策略标识和更新信息对目标策略分组对应的目标终端设备中所存储的本地目标策略进行更新，其中，本地目标策略的策略标识与目标策略的策略标识相同。
15.根据本技术实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器
执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的策略更新方法。
16.在本技术中，采用根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组的方式，首先获取多个终端设备中的每个终端设备所对应的设备标识，并根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，然后检测策略分组所对应的策略是否存在更新，在策略分组所对应的策略存在更新的情况下，确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略，最后根据目标策略的策略标识和更新信息对目标策略分组对应的目标终端设备中所存储的本地目标策略进行更新。其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则，本地目标策略的策略标识与目标策略的策略标识相同。
17.由上述内容可知，本技术通过将执行相同策略的终端设备的设备标识划分至同一个策略分组的方式，实现了将使用相同策略的至少一个终端设备进行统一管理的目的。例如，多个终端设备都使用同一个策略，则本技术仅需要将这些终端设备的设备标识和这些终端设备所使用的同一个策略维护为一份记录存储在服务器的数据库中即可，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。另外，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
18.由此可见，本技术的技术方案达到了减少服务器在管理终端设备对应的策略时需要存储的数据量的目的，从而实现了提高服务器的存储资源利用率的技术效果，进而解决了现有技术中服务器在管理终端设备对应的策略时存在的存储资源利用率低的技术问题。
附图说明
19.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
20.图1是根据本技术实施例的一种可选的策略更新方法的流程图；
21.图2是根据本技术实施例的一种可选的控制中心与终端设备的交互示意图；
22.图3是根据本技术实施例的另一种可选的策略更新方法的流程图；
23.图4是根据本技术实施例的一种可选的策略更新系统的示意图；
24.图5是根据本技术实施例的一种可选的策略更新装置的示意图。
具体实施方式
25.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
26.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
27.实施例1
28.根据本技术实施例，提供了一种策略更新方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
29.图1是根据本技术实施例的一种可选的策略更新方法的流程图，如图1所示，该方法包括如下步骤：
30.步骤s101，获取多个终端设备中的每个终端设备所对应的设备标识。
31.在步骤s101中，终端设备包括但不限于智能手机、智能平板、笔记本电脑、台式电脑等各种终端设备。设备标识为终端设备的唯一标识，例如，设备标识可以是终端设备的sn(serial number，产品序列号)号、ip(internet protocol address，互联网协议地址)地址、mac(media access control address，局域网地址)地址或者技术人员为终端设备设置的编号。
32.在本技术实施例中，终端安全管理系统的控制中心可作为本技术实施例中的策略更新方法的执行主体。其中，控制中心也是终端安全管理系统的后台服务器，控制中心在获取每个终端设备所对应的设备标识时，还可以获取每个终端设备的其他信息，例如，终端设备的运行状态、终端设备的设备类型等等。
33.步骤s102，根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组。
34.在步骤s102中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则。其中，终端设备在运行时会执行特定的策略，但是，多个不用的终端设备之间所执行的策略可能存在不同。例如，对于财务部门的终端设备，需要执行第一信息加密策略，依据第一信息加密策略，财务部门的终端设备会对资金账号、资金金额、资金流向等资金信息进行加密。而对于人事部门的终端设备，需要执行第二信息加密策略，依据第二信息加密策略，人事部门的终端设备会对人员身份证号、家庭住址等人员信息进行加密。
35.需要注意到的是，如表1所示，依据现有技术中一对一的策略管理方式，如果财务部门有n个终端设备需要执行第一信息加密策略，则控制中心需要在数据库中存储n个策略记录。
36.表1
37.策略记录序号终端标识策略标识1财务部终端设备1第一信息加密策略
2财务部终端设备2第一信息加密策略
…………
第一信息加密策略n财务部终端设备n第一信息加密策略
38.容易注意到是，和第一信息加密策略的维护方式相同，如果人事部门有m个终端设备需要执行第二信息加密策略，则控制中心需要在数据库中再存储m个策略记录。随着策略数量和终端设备数量的不断增多，控制中心的数据库存储资源将会越来越紧张。
39.而本技术通过将执行相同策略的终端设备统一放置在一个策略分组中进行管理，可以大大减少需要存储的策略记录的数量。如表2所示，对于上述财务部门的n个终端设备，依据本技术的方案，控制中心中只需要存储一条策略记录即可，从而大大减少了策略记录的数量，不仅能够减轻数据库的存储压力，还可以提高策略管理效率。
40.表2
41.策略分组标识终端标识策略标识策略分组1财务部终端设备1-n第一信息加密策略
42.步骤s103，检测策略分组所对应的策略是否存在更新。
43.在步骤s103中，控制中心会实时检测每个策略分组所对应的策略是否存在更新。需要注意到是，一个策略分组所对应的策略可以是一个，也可以是多个，具体根据该策略分组下所对应的终端设备执行的相同的策略的数量而确定。另外，策略更新包括但不限于策略删除、策略新增或者策略修改。
44.步骤s104，在策略分组所对应的策略存在更新的情况下，确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略。
45.在步骤s104中，如果控制中心检测到控制中心中存储的至少一个策略分组中有某个策略分组对应的策略出现了更新，则控制中心会确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略。
46.步骤s105，根据目标策略的策略标识和更新信息对目标策略分组对应的目标终端设备中所存储的本地目标策略进行更新。
47.在步骤s105中，本地目标策略的策略标识与目标策略的策略标识相同。
48.可选的，假设目标策略分组为策略分组a，其中，策略分组a对应的n个终端设备分别为财务部终端设备1、财务部终端设备2
……
财务部终端设备n。在策略分组a中，n个终端设备同时执行策略1-1、策略1-2以及策略1-3。如果控制中心中发生更新的目标策略为策略1-1，则n个终端设备中的每个终端设备都需要对存储在终端设备本地的本地策略1-1也进行相应的更新。
49.需要注意到的是，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
50.基于上述步骤s101至步骤s105的内容可知，在本技术中，采用根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组的方式，首先获取多个终
端设备中的每个终端设备所对应的设备标识，并根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，然后检测策略分组所对应的策略是否存在更新，在策略分组所对应的策略存在更新的情况下，确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略，最后根据目标策略的策略标识和更新信息对目标策略分组对应的目标终端设备中所存储的本地目标策略进行更新。其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则，本地目标策略的策略标识与目标策略的策略标识相同。
51.由上述内容可知，本技术通过将执行相同策略的终端设备的设备标识划分至同一个策略分组的方式，实现了将使用相同策略的至少一个终端设备进行统一管理的目的。例如，多个终端设备都使用同一个策略，则本技术仅需要将这些终端设备的设备标识和这些终端设备所使用的同一个策略维护为一份记录存储在服务器的数据库中即可，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。另外，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
52.由此可见，本技术的技术方案达到了减少服务器在管理终端设备对应的策略时需要存储的数据量的目的，从而实现了提高服务器的存储资源利用率的技术效果，进而解决了现有技术中服务器在管理终端设备对应的策略时存在的存储资源利用率低的技术问题。
53.在一种可选的实施例中，至少一个策略分组存储于控制中心的目标数据库中，其中，控制中心为用于管理至少一个策略分组的服务器。
54.可选的，上述的目标数据库为etcd数据库，其中，etcd数据库是coreos基于raft协议开发的分布式key-value存储数据库，可用于服务发现、共享配置以及一致性保障。etcd具有监听功能，可以实现终端设备对etcd监听一个或一组key的目的，当key对应的value发生任何变化时，终端设备都能收到变化的通知信息。
55.本技术的方案使用了etcd数据库作为控制中心中存储至少一个策略分组的数据库，并实现策略状态的查询、下发以及监听功能。
56.另外，控制中心还会检测至少一个策略分组中是否存在空闲分组，其中，空闲分组为不包含设备标识的策略分组。在至少一个策略分组中存在空闲分组时，控制中心会删除空闲分组下的策略，并将空闲分组从控制中心中删除。
57.容易理解的是，如果控制中心的一个策略分组下没有设备标识，则说明该策略分组已经不会对任何终端设备进行管理，因此，控制中心将该策略分组下的策略进行删除，可以节约数据库的存储资源。
58.在一种可选的实施例中，控制中心可以获取每个终端设备的属性信息，并根据属性信息对多个设备标识进行分组，得到至少一个策略分组。其中，属性信息用于表征终端设备的归属部门，属性信息相同的终端设备执行相同的策略。
59.如表3所示，表3示出了根据本技术实施例的一种可选的策略分组定义示意图。
60.表3
[0061][0062][0063]
在一种可选的实施例中，由于同一个部门的终端设备通常用于处理相同的业务，因此，为了方便划分策略分组，可以根据终端设备的归属部门将终端设备归属于不同的策略分组中，例如，财务部门的终端设备统一由策略分组a进行管理，人事部门的终端设备统一由策略分组b进行管理。另外，表3中的分组其他信息可以是对该分组的备注信息，例如，分组的创建时间信息、所对应的终端设备的数量信息以及分组的创建者信息。通过分组其他信息，可以提高技术人员对策略分组的管理效率。
[0064]
另外，表4示出了根据本技术实施例的一种可选的终端设备信息的定义示意图，如表4所示：
[0065]
表4
[0066][0067]
可选的，上述的终端id为每个终端设备的唯一标识，一个终端设备在一个控制中心上的终端id是唯一的，通过终端id，控制中心可确定区分不同的终端设备。控制中心保存有终端信息列表，其中，终端信息列表中保存有每个终端设备的终端id及每个终端设备所属的策略分组的分组id，终端信息列表保存在控制中心的关系型数据库中。
[0068]
在一种可选的实施例中，表5示出了根据本技术实施例的一种可选的策略定义示意图，如表5所示：
[0069]
表5
[0070][0071]
可选的，每个策略都保存在控制中心的etcd数据库中。
[0072]
另外，每个终端设备都需要知道自己属于哪一个策略分组，根据通过监听该终端id由控制中心写入的分组id，实时确定终端设备所在的策略分组，以便获取对应的策略。
[0073]
其中，表6示出了策略分组在etcd数据库中的存储格式。
[0074]
表6
[0075]
keyvalue/prefix/${agent_id}/group_id${group_id}
[0076]
其中，在表6中，${agent_id}为一个变量，用于表示终端设备的agent_id；${group_id}为一个变量，用于表示终端设备所对应的策略分组的分组id，由控制中心定义并下发给终端设备，每个终端设备在本地保存一份对应的分组id。
[0077]
表7示出了分组策略在etcd数据库的存储格式，如表7所示：
[0078]
表7
[0079][0080]
其中，在表7中，${group_id}为一个变量，用于表示终端设备所属的策略分组的分组id，当终端设备监听到分组id发生变化时，更换需要监听分组策略的key中的${group_id}值；value用于表征该分组策略的具体策略项内容，可以为json格式。
[0081]
需要注意到的是，在终端安全管理系统中一般针对终端设备会有多种策略，因此，控制中心需要存储每个策略分组下的多种策略，每个终端设备通过监听自己分组的策略来更新本地策略。
[0082]
在一种可选的实施例中，在根据属性信息对多个设备标识进行分组，得到至少一个策略分组之后，控制中心检测第一终端设备的属性信息是否发生更新，其中，第一终端设备为多个终端设备中的任意一个终端设备，第一终端设备所对应的策略分组为第一策略分组。在第一终端设备对应的属性信息发生更新的情况下，控制中心确定第一终端设备更新
后的属性信息为目标属性信息，并根据目标属性信息将第一终端设备对应的设备标识从第一策略分组中移动至第二策略分组，其中，第二策略分组中的设备标识所对应的终端设备的属性信息为目标属性信息。
[0083]
可选的，当控制中心检测到某个终端设备(例如上述的第一终端设备)的属性信息发生了变化，则说明该终端设备的归属部门发生了变化(例如，从a部门移动至了b部门)，在此基础上，由于两个部门所处理的业务不同，因此该终端设备所要执行的策略也发生了变化，控制中心需要将该终端设备的设备标识从原有的第一策略分组移动至第二策略分组中，其中，第二策略分组所对应的所有终端设备都归属于b部门。
[0084]
在一种可选的实施例中，在根据目标属性信息将第一终端设备对应的设备标识从第一策略分组中移动至第二策略分组之后，控制中心将第一终端设备中所存储的本地策略更新为第二策略分组中的策略，并检测第二策略分组所对应的策略是否发生更新，在第二策略分组所对应的策略发生更新时，确定该策略为待处理策略，最后，控制中心根据待处理策略的策略标识和待处理策略的更新信息对第一终端设备中存储的第一本地策略进行更新，其中，第一本地策略的策略标识与待处理策略的策略标识相同。
[0085]
可选的，在控制中心将第一终端设备的设备标识从第一策略分组移动至第二策略分组时之后，控制中心会将第二策略分组的分组id写入第一终端设备的配置信息中，从而第一终端设备监听到自己对应的策略分组发生了变换，第一终端设备便会主动获取第二策略分组下的所有策略到本地，并停止监听原来的第一策略分组的策略，开始监听第二策略分组的所有策略，当监听到第二策略分组的策略发生更新时，第一终端设备对本地策略进行相应的更新。
[0086]
在一种可选的实施例中，图2示出了根据本技术实施例的一种可选的控制中心与终端设备的交互示意图。如图2所示，当终端设备a上线连接到控制中心后，控制中心根据终端设备a的属性信息为其分配对应的策略分组1，并将该策略分组的分组id(策略分组1)写入至终端设备a的配置信息中。当终端设备a监听到自己的配置信息中写入了分组id(策略分组1)，便会主动获取策略分组1下的所有策略到本地，并开始监听策略分组1的所有策略，如果有策略发生变化即更新对应的本地策略。
[0087]
进一步地，如果控制中心将终端设备a从策略分组1移动至了策略分组2，则控制中心会将终端设备a的配置信息中的“策略分组1”这一分组id改写为“策略分组2”，从而在终端设备a监听到配置信息的这一变化之后，终端设备a会重新获取策略分组2下的策略，并对策略分组2下的策略进行监听，如果有策略发生变化即更新对应的本地策略。
[0088]
另外，如图2所示，当控制中心需要新增分组时，控制中心写入所有新增分组的策略到该分组id的策略配置中，该分组下的所有终端设备会立即监听到分组策略的变化并得到最新策略。此外，管理人员还可以通过终端安全管理系统的显示界面直接查看策略分组的信息，其中，策略分组的信息直接由控制中心的etcd数据库提供。
[0089]
此外，还需要注意到的是，本技术实施例中的技术方案同时适用于一个控制中心通过分组管理多个客户端配置的场景(如一般的主机管理系统，多节点的集群管理系统等)。在系统具有多个子节点，而子节点可以按分组划分为多个组，同一个分组内的终端拥有相同配置的情况下，使用此方案同样可以获得发明中的有益效果。
[0090]
根据本技术的方案，实现了将使用相同目标策略的至少一个终端设备进行统一管
理的目的，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。同时，终端设备能够主动监听自己所在策略分组和策略的变化，从而能够更加及时响应，更快地将策略同步到本地。另外，控制中心本地使用、页面展示以及终端设备监听的是同一套策略，因此还可以避免多份策略数据在转换过程中出错的问题。
[0091]
实施例2
[0092]
根据本技术实施例，还提供了另一种策略更新方法的实施例，如图3所示，该方法包括如下步骤：
[0093]
步骤s301，监听目标策略分组所对应的目标策略的更新信息。
[0094]
在步骤s301中，目标策略分组为控制中心存储的至少一个策略分组中发生策略更新的策略分组，至少一个策略分组中的每个策略分组所对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则，控制中心为用于管理至少一个策略分组的服务器。
[0095]
步骤s302，根据更新信息和目标策略的策略标识对目标终端设备中所存储的本地目标策略进行更新。
[0096]
在步骤s302中，目标终端设备为目标策略分组所对应的终端设备，目标策略的策略标识与本地目标策略的策略标识相同。
[0097]
在本技术实施例中，目标终端设备可作为本技术实施例中的策略更新方法的执行主体。需要说明的是，在目标终端设备监听目标策略分组所对应的目标策略的更新信息之前，控制中心会首先获取多个终端设备中的每个终端设备所对应的设备标识，然后根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，其中，如果至少一个策略分组中哪一个策略分组所对应的策略存在更新，则确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略。
[0098]
可选的，上述的终端设备包括但不限于智能手机、智能平板、笔记本电脑、台式电脑等各种终端设备。设备标识为终端设备的唯一标识，例如，设备标识可以是终端设备的sn号、ip地址、mac地址或者技术人员为终端设备设置的编号。其中，终端设备在运行时会执行特定的策略，但是，多个不用的终端设备之间所执行的策略可能存在不同。例如，对于财务部门的终端设备，需要执行第一信息加密策略，依据第一信息加密策略，财务部门的终端设备会对资金账号、资金金额、资金流向等资金信息进行加密。而对于人事部门的终端设备，需要执行第二信息加密策略，依据第二信息加密策略，人事部门的终端设备会对人员身份证号、家庭住址等人员信息进行加密。
[0099]
需要注意到的是，如表1所示，依据现有技术中一对一的策略管理方式，如果财务部门有n个终端设备需要执行第一信息加密策略，则控制中心需要在数据库中存储n个策略记录。
[0100]
表1
[0101]
策略记录序号终端标识策略标识1财务部终端设备1第一信息加密策略2财务部终端设备2第一信息加密策略
…………
第一信息加密策略n财务部终端设备n第一信息加密策略
[0102]
容易注意到是，和第一信息加密策略的维护方式相同，如果人事部门有m个终端设备需要执行第二信息加密策略，则控制中心需要在数据库中再存储m个策略记录。随着策略数量和终端设备数量的不断增多，控制中心的数据库存储资源将会越来越紧张。
[0103]
而本技术通过将执行相同策略的终端设备统一放置在一个策略分组中进行管理，可以大大减少需要存储的策略记录的数量。如表2所示，对于上述财务部门的n个终端设备，依据本技术的方案，控制中心中只需要存储一条策略记录即可，从而大大减少了策略记录的数量，不仅能够减轻数据库的存储压力，还可以提高策略管理效率。
[0104]
表2
[0105]
策略分组标识终端标识策略标识策略分组a财务部终端设备1-n第一信息加密策略
[0106]
在一种可选的实施例中，假设目标策略分组为策略分组a，其中，策略分组a对应的n个终端设备分别为财务部终端设备1、财务部终端设备2
……
财务部终端设备n。在策略分组a中，n个终端设备同时执行策略1-1、策略1-2以及策略1-3。如果发生更新的目标策略为策略1-1，则n个终端设备中的每个终端设备都需要对存储在终端设备本地的本地策略1-1也进行相应的更新。
[0107]
需要注意到的是，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
[0108]
由上述内容可知，本技术通过将执行相同策略的终端设备的设备标识划分至同一个策略分组的方式，实现了将使用相同策略的至少一个终端设备进行统一管理的目的。例如，多个终端设备都使用同一个策略，则本技术仅需要将这些终端设备的设备标识和这些终端设备所使用的同一个策略维护为一份记录存储在服务器的数据库中即可，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。另外，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
[0109]
由此可见，本技术的技术方案达到了减少服务器在管理终端设备对应的策略时需要存储的数据量的目的，从而实现了提高服务器的存储资源利用率的技术效果，进而解决了现有技术中服务器在管理终端设备对应的策略时存在的存储资源利用率低的技术问题。
[0110]
在一种可选的实施例中，至少一个策略分组存储于控制中心的目标数据库中，其中，控制中心为用于管理至少一个策略分组的服务器。
[0111]
可选的，上述的目标数据库为etcd数据库，其中，etcd数据库是coreos基于raft协议开发的分布式key-value存储数据库，可用于服务发现、共享配置以及一致性保障。etcd具有监听功能，可以实现终端设备对etcd监听一个或一组key的目的，当key对应的value发
生任何变化时，终端设备都能收到变化的通知信息。
[0112]
本技术的方案使用了etcd数据库作为控制中心中存储至少一个策略分组的数据库，并实现策略状态的查询、下发以及监听功能。
[0113]
另外，控制中心还会检测至少一个策略分组中是否存在空闲分组，其中，空闲分组为不包含设备标识的策略分组。在至少一个策略分组中存在空闲分组时，控制中心会删除空闲分组下的策略，并将空闲分组从控制中心中删除。
[0114]
容易理解的是，如果控制中心的一个策略分组下没有设备标识，则说明该策略分组已经不会对任何终端设备进行管理，因此，控制中心将该策略分组下的策略进行删除，可以节约数据库的存储资源。
[0115]
在一种可选的实施例中，图2示出了根据本技术实施例的一种可选的控制中心与终端设备的交互示意图。如图2所示，当终端设备a上线连接到控制中心后，控制中心根据终端设备a的属性信息为其分配对应的策略分组1，并将该策略分组的分组id(策略分组1)写入至终端设备a的配置信息中。当终端设备a监听到自己的配置信息中写入了分组id(策略分组1)，便会主动获取策略分组1下的所有策略到本地，并开始监听策略分组1的所有策略，如果有策略发生变化即更新对应的本地策略。
[0116]
进一步地，如果控制中心将终端设备a从策略分组1移动至了策略分组2，则控制中心会将终端设备a的配置信息中的“策略分组1”这一分组id改写为“策略分组2”，从而在终端设备a监听到配置信息的这一变化之后，终端设备a会重新获取策略分组2下的策略，并对策略分组2下的策略进行监听，如果有策略发生变化即更新对应的本地策略。
[0117]
另外，如图2所示，当控制中心需要新增分组时，控制中心写入所有新增分组的策略到该分组id的策略配置中，该分组下的所有终端设备会立即监听到分组策略的变化并得到最新策略。此外，管理人员还可以通过终端安全管理系统的显示界面直接查看策略分组的信息，其中，策略分组的信息直接由控制中心的etcd数据库提供。
[0118]
由上述内容可知，根据本技术的方案，实现了将使用相同目标策略的至少一个终端设备进行统一管理的目的，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。同时，终端设备能够主动监听自己所在策略分组和策略的变化，从而能够更加及时响应，更快地将策略同步到本地。另外，控制中心本地使用、页面展示以及终端设备监听的是同一套策略，因此还可以避免多份策略数据在转换过程中出错的问题。
[0119]
实施例3
[0120]
根据本技术实施例，还提供了一种策略更新系统的实施例，如图4所示，该系统包括：
[0121]
控制中心，用于获取多个终端设备中的每个终端设备所对应的设备标识，并根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则；
[0122]
目标终端设备，用于监听目标策略分组所对应的目标策略的更新信息，并根据更新信息和目标策略的策略标识对目标终端设备中所存储的本地目标策略进行更新，其中，目标策略分组为至少一个策略分组中发生策略更新的策略分组，目标终端设备为目标策略
分组所对应的终端设备，目标策略的策略标识与本地目标策略的策略标识相同。
[0123]
可选的，策略更新系统也称为终端安全管理系统。如果至少一个策略分组中哪一个策略分组所对应的策略存在更新，则策略更新系统确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略。另外，上述的终端设备包括但不限于智能手机、智能平板、笔记本电脑、台式电脑等各种终端设备。设备标识为终端设备的唯一标识，例如，设备标识可以是终端设备的sn号、ip地址、mac地址或者技术人员为终端设备设置的编号。其中，终端设备在运行时会执行特定的策略，但是，多个不用的终端设备之间所执行的策略可能存在不同。例如，对于财务部门的终端设备，需要执行第一信息加密策略，依据第一信息加密策略，财务部门的终端设备会对资金账号、资金金额、资金流向等资金信息进行加密。而对于人事部门的终端设备，需要执行第二信息加密策略，依据第二信息加密策略，人事部门的终端设备会对人员身份证号、家庭住址等人员信息进行加密。
[0124]
需要注意到的是，如表1所示，依据现有技术中一对一的策略管理方式，如果财务部门有n个终端设备需要执行第一信息加密策略，则控制中心需要在数据库中存储n个策略记录。
[0125]
表1
[0126]
策略记录序号终端标识策略标识1财务部终端设备1第一信息加密策略2财务部终端设备2第一信息加密策略
…………
第一信息加密策略n财务部终端设备n第一信息加密策略
[0127]
容易注意到是，和第一信息加密策略的维护方式相同，如果人事部门有m个终端设备需要执行第二信息加密策略，则控制中心需要在数据库中再存储m个策略记录。随着策略数量和终端设备数量的不断增多，控制中心的数据库存储资源将会越来越紧张。
[0128]
而本技术通过将执行相同策略的终端设备统一放置在一个策略分组中进行管理，可以大大减少需要存储的策略记录的数量。如表2所示，对于上述财务部门的n个终端设备，依据本技术的方案，控制中心中只需要存储一条策略记录即可，从而大大减少了策略记录的数量，不仅能够减轻数据库的存储压力，还可以提高策略管理效率。
[0129]
表2
[0130]
策略分组标识终端标识策略标识策略分组a财务部终端设备1-n第一信息加密策略
[0131]
在一种可选的实施例中，假设目标策略分组为策略分组a，其中，策略分组a对应的n个终端设备分别为财务部终端设备1、财务部终端设备2
……
财务部终端设备n。在策略分组a中，n个终端设备同时执行策略1-1、策略1-2以及策略1-3。如果发生更新的目标策略为策略1-1，则n个终端设备中的每个终端设备都需要对存储在终端设备本地的本地策略1-1也进行相应的更新。
[0132]
需要注意到的是，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系
进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
[0133]
由上述内容可知，本技术通过将执行相同策略的终端设备的设备标识划分至同一个策略分组的方式，实现了将使用相同策略的至少一个终端设备进行统一管理的目的。例如，多个终端设备都使用同一个策略，则本技术仅需要将这些终端设备的设备标识和这些终端设备所使用的同一个策略维护为一份记录存储在服务器的数据库中即可，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。另外，由于现有的策略更新方式中没有对策略和使用该策略的至少一个终端设备之间的对应关系进行维护，因此很容易出现更新遗漏的问题，例如，在策略更新时，某一个对应的终端设备未接收到更新通知消息，从而导致该终端设备未进行策略更新。而本技术利用策略分组的形式对策略和使用该策略的至少一个终端设备之间的对应关系进行了单独维护，从而提高了策略更新过程中的稳定性，确保了不会遗漏每一个对应的终端设备的更新。
[0134]
由此可见，本技术的技术方案达到了减少服务器在管理终端设备对应的策略时需要存储的数据量的目的，从而实现了提高服务器的存储资源利用率的技术效果，进而解决了现有技术中服务器在管理终端设备对应的策略时存在的存储资源利用率低的技术问题。
[0135]
在一种可选的实施例中，至少一个策略分组存储于控制中心的目标数据库中，其中，控制中心为用于管理至少一个策略分组的服务器。
[0136]
可选的，上述的目标数据库为etcd数据库，其中，etcd数据库是coreos基于raft协议开发的分布式key-value存储数据库，可用于服务发现、共享配置以及一致性保障。etcd具有监听功能，可以实现终端设备对etcd监听一个或一组key的目的，当key对应的value发生任何变化时，终端设备都能收到变化的通知信息。
[0137]
本技术的方案使用了etcd数据库作为控制中心中存储至少一个策略分组的数据库，并实现策略状态的查询、下发以及监听功能。
[0138]
另外，控制中心还会检测至少一个策略分组中是否存在空闲分组，其中，空闲分组为不包含设备标识的策略分组。在至少一个策略分组中存在空闲分组时，控制中心会删除空闲分组下的策略，并将空闲分组从控制中心中删除。
[0139]
容易理解的是，如果控制中心的一个策略分组下没有设备标识，则说明该策略分组已经不会对任何终端设备进行管理，因此，控制中心将该策略分组下的策略进行删除，可以节约数据库的存储资源。
[0140]
在一种可选的实施例中，图2示出了根据本技术实施例的一种可选的控制中心与终端设备的交互示意图。如图2所示，当终端设备a上线连接到控制中心后，控制中心根据终端设备a的属性信息为其分配对应的策略分组1，并将该策略分组的分组id(策略分组1)写入至终端设备a的配置信息中。当终端设备a监听到自己的配置信息中写入了分组id(策略分组1)，便会主动获取策略分组1下的所有策略到本地，并开始监听策略分组1的所有策略，如果有策略发生变化即更新对应的本地策略。
[0141]
进一步地，如果控制中心将终端设备a从策略分组1移动至了策略分组2，则控制中心会将终端设备a的配置信息中的“策略分组1”这一分组id改写为“策略分组2”，从而在终端设备a监听到配置信息的这一变化之后，终端设备a会重新获取策略分组2下的策略，并对策略分组2下的策略进行监听，如果有策略发生变化即更新对应的本地策略。
[0142]
另外，如图2所示，当控制中心需要新增分组时，控制中心写入所有新增分组的策略到该分组id的策略配置中，该分组下的所有终端设备会立即监听到分组策略的变化并得到最新策略。此外，管理人员还可以通过终端安全管理系统的显示界面直接查看策略分组的信息，其中，策略分组的信息直接由控制中心的etcd数据库提供。
[0143]
由上述内容可知，根据本技术的方案，实现了将使用相同目标策略的至少一个终端设备进行统一管理的目的，从而降低了数据库的数据存储压力，实现了提高服务器存储资源的利用率的技术效果。同时，终端设备能够主动监听自己所在策略分组和策略的变化，从而能够更加及时响应，更快地将策略同步到本地。另外，控制中心本地使用、页面展示以及终端设备监听的是同一套策略，因此还可以避免多份策略数据在转换过程中出错的问题。
[0144]
实施例4
[0145]
根据本技术实施例，还提供了一种策略更新装置的实施例，如图5所示，该装置包括：获取模块501，用于获取多个终端设备中的每个终端设备所对应的设备标识；分组模块502，用于根据每个终端设备所执行的策略，对多个设备标识进行分组，得到至少一个策略分组，其中，每个策略分组对应的终端设备执行相同的策略，策略用于表征终端设备需要执行的业务规则；检测模块503，用于检测策略分组所对应的策略是否存在更新；确定模块504，用于在策略分组所对应的策略存在更新的情况下，确定该策略分组为目标策略分组，并确定发生更新的策略为目标策略；更新模块505，用于根据目标策略的策略标识和更新信息对目标策略分组对应的目标终端设备中所存储的本地目标策略进行更新，其中，本地目标策略的策略标识与目标策略的策略标识相同。
[0146]
可选的，上述的分组模块还包括：获取单元以及分组单元。其中，获取单元，用于获取每个终端设备的属性信息，其中，属性信息用于表征终端设备的归属部门，属性信息相同的终端设备执行相同的策略；分组单元，用于根据属性信息对多个设备标识进行分组，得到至少一个策略分组。
[0147]
可选的，策略更新装置还包括：第一检测模块、第一确定模块以及移动模块。其中，第一检测模块，用于检测第一终端设备的属性信息是否发生更新，其中，第一终端设备为多个终端设备中的任意一个终端设备，第一终端设备所对应的策略分组为第一策略分组；第一确定模块，用于在第一终端设备对应的属性信息发生更新的情况下，确定第一终端设备更新后的属性信息为目标属性信息；移动模块，用于根据目标属性信息将第一终端设备对应的设备标识从第一策略分组中移动至第二策略分组，其中，第二策略分组中的设备标识所对应的终端设备的属性信息为目标属性信息。
[0148]
可选的，策略更新装置还包括：第一更新模块、第二检测模块、第二确定模块以及第二更新模块。其中，第一更新模块，用于将第一终端设备中所存储的本地策略更新为第二策略分组中的策略；第二检测模块，用于检测第二策略分组所对应的策略是否发生更新；第二确定模块，用于在第二策略分组所对应的策略发生更新时，确定该策略为待处理策略；第二更新模块，用于根据待处理策略的策略标识和待处理策略的更新信息对第一终端设备中存储的第一本地策略进行更新，其中，第一本地策略的策略标识与待处理策略的策略标识相同。
[0149]
可选的，至少一个策略分组存储于控制中心的目标数据库中，其中，控制中心为用
于管理至少一个策略分组的服务器。
[0150]
可选的，策略更新装置还包括：第三检测模块和删除模块。其中，第三检测模块，用于检测至少一个策略分组中是否存在空闲分组，其中，空闲分组为不包含设备标识的策略分组；删除模块，用于在至少一个策略分组中存在空闲分组时，删除空闲分组下的策略，并将空闲分组从控制中心中删除。
[0151]
实施例5
[0152]
根据本技术实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述实施例1与实施例2中的策略更新方法。
[0153]
上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
[0154]
在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0155]
在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
[0156]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0157]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0158]
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0159]
以上仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。