本發(fā)明公開了一種策略調(diào)整方法，所述方法包括以下步驟：定義策略配置模型，并定義策略管理模型，所述策略配置模型基于不同類別終端對應的標簽完成定義操作；在策略配置模型存在策略更新的情況下，依據(jù)所述策略管理模型檢測更新后各策略間是否存在策略沖突；若存在策略沖突，則確定與所述策略沖突對應的策略調(diào)整方案，根據(jù)所述策略調(diào)整方案自動執(zhí)行策略調(diào)整操作。本發(fā)明還公開了一種策略調(diào)整裝置、策略調(diào)整設備及計算機可讀存儲介質(zhì)。通過不同類別終端對應的標簽定義策略配置模型，實現(xiàn)了大規(guī)模場景下的策略優(yōu)化與自動調(diào)整，提高了策略配置的有效性與策略配置的便捷性。

技術(shù)領域

本發(fā)明涉及網(wǎng)絡安全技術(shù)領域，尤其涉及一種策略調(diào)整方法、策略調(diào)整裝置、策略調(diào)整設備及計算機可讀存儲介質(zhì)。

背景技術(shù)

目前，對于終端網(wǎng)絡訪問控制的管理主要是以允許策略為主，使得已經(jīng)習慣配置拒絕策略的管理員不適應以允許策略為主的配置規(guī)則，容易出現(xiàn)配置出錯或配置耗時較長等問題；即使，已經(jīng)出現(xiàn)一些同時支持允許策略和拒絕策略的混合管理方案，但是在大規(guī)模終端的場景下，難以自動進行策略沖突和策略覆蓋的優(yōu)化，若由管理員手動進行配置，由于大規(guī)模終端的場景下所涉及的終端較多，不同終端對應的配置規(guī)則也有所不同，因而同樣存在配置難，配置容易出錯等問題。

上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案，并不代表承認上述內(nèi)容是現(xiàn)有技術(shù)。

發(fā)明內(nèi)容

本發(fā)明主要目的在于提供一種策略調(diào)整方法、策略調(diào)整裝置、策略調(diào)整設備及計算機可讀存儲介質(zhì)，旨在解決現(xiàn)有技術(shù)中無法在大規(guī)模場景下實現(xiàn)策略的自動優(yōu)化導致配置難且配置容易出錯的問題。

為實現(xiàn)上述目的，本發(fā)明提供一種策略調(diào)整方法，所述方法包括以下步驟：

定義策略配置模型，并定義策略管理模型，所述策略配置模型基于不同類別終端對應的標簽完成定義操作；

在策略配置模型存在策略更新的情況下，依據(jù)所述策略管理模型檢測更新后各策略間是否存在策略沖突；

若存在策略沖突，則確定與所述策略沖突對應的策略調(diào)整方案，根據(jù)所述策略調(diào)整方案自動執(zhí)行策略調(diào)整操作。

可選地，所述定義策略配置模型，并定義策略管理模型，所述策略配置模型基于不同類別終端對應的標簽完成定義操作的步驟包括：

基于不同類別終端對應的標簽，將策略配置模型定義為：源標簽，目的標簽，端口/協(xié)議，業(yè)務方向，授權(quán)動作；

基于所定義的源標簽，目的標簽，端口/協(xié)議，業(yè)務方向和授權(quán)動作，以預設管理結(jié)構(gòu)定義策略管理模型。

可選地，所述在策略配置模型存在策略更新的情況下，依據(jù)所述策略管理模型檢測更新后各策略間是否存在策略沖突的步驟包括：

在策略配置模型存在策略更新的情況下，確定所述策略更新對應的更新類型；

依據(jù)所述策略管理模型檢測不同更新類型的策略更新后各策略間是否存在策略沖突。

可選地，所述依據(jù)所述策略管理模型檢測不同更新類型的策略更新后各策略間是否存在策略沖突的步驟包括：

在所述更新類型為新增策略的情況下，根據(jù)所述策略管理模型的層級關(guān)系，按照新增策略對應的業(yè)務方向，檢測新增策略后各策略間是否存在策略沖突；

在所述更新類型為刪除策略的情況下，根據(jù)所述策略管理模型的層級關(guān)系，檢測刪除策略后各策略間是否存在策略沖突。

可選地，所述根據(jù)所述策略管理模型的層級關(guān)系，按照新增策略對應的業(yè)務方向，檢測新增策略后各策略間是否存在策略沖突的步驟之前，包括：

在所述新增策略對應的業(yè)務方向為出站方向的情況下，按照多叉樹結(jié)構(gòu)將策略管理模型的層級關(guān)系從上至下依次確定為：授權(quán)動作，源端口，目的端口，源標簽；