本公開提供一種安全策略管理方法、裝置、設備及機器可讀存儲介質，該方法包括：獲取當前配置的安全策略，為安全策略配置可信度等級；接收報文流量，根據報文流量關聯的可信度等級，匹配對應的安全策略；以匹配的安全策略對所述報文流量執行安全管理動作。通過本公開的技術方案，為各安全策略配置相應的可信度等級，在接收到報文流量后，獲取關聯于報文流量的可信度等級，匹配并啟用且只啟用可信度等級匹配的安全策略，因報文流量的可信度等級是根據網絡環境可變的，從而實現根據網絡風險和不同的對象，動態調整安全策略。

技術領域

本公開涉及通信技術領域，尤其是涉及一種安全策略管理方法、裝置、設備及機器可讀存儲介質。

背景技術

FW(FireWall，防火墻)作為一種網絡安全設備，一般都可以通過配置訪問控制策略來達到控制經過FW轉發的報文。例如當前主流廠商的FW上的安全策略。安全策略是部署在FW設備上的一種策略，該策略根據報文的屬性信息對報文進行轉發控制。安全策略對報文的控制是通過安全策略規則實現的，規則中可以設置匹配報文的過濾條件，處理報文的動作和對報文內容進行深度檢測等功能。每條規則中均可以配置多種過濾條件，具體包括：源安全域、目的安全域、源IP地址、目的IP地址、用戶、應用、服務。每種過濾條件均可以配置多個匹配項，比如源安全域過濾條件中可以指定多個源安全域等。

安全策略對報文的處理過程包括：

識別出報文的屬性信息，然后將這些屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關系，即報文與某一個過濾條件中的任意一項匹配成功，則報文與此條過濾條件匹配成功；若報文與某一個過濾條件中的所有項都匹配失敗，則報文與此條過濾條件匹配失敗。

若報文與某條規則中已配置的所有過濾條件都匹配成功，則報文與此條規則匹配成功。若有一個過濾條件不匹配，則報文與此條規則匹配失敗，報文繼續匹配下一條規則。以此類推，直到最后一條規則，若報文還未與規則匹配成功，則設備會丟棄此報文。

若報文與某條規則匹配成功，則結束此匹配過程，并對此報文執行規則中配置的動作。若規則的動作為“丟棄”，則設備會丟棄此報文；若規則的動作為“允許”，則允許此報文通過。

但這種技術方案安全策略預先固化配置，無法根據網絡風險動態調整策略。

發明內容

有鑒于此，本公開提供一種安全策略管理方法、裝置及電子設備、機器可讀存儲介質，以改善上述無法根據網絡風險動態調整策略的問題。

具體地技術方案如下：

本公開提供了一種安全策略管理方法，應用于安全管理設備，所述方法包括：獲取當前配置的安全策略，為安全策略配置可信度等級；接收報文流量，根據報文流量關聯的可信度等級，匹配對應的安全策略；以匹配的安全策略對所述報文流量執行安全管理動作。

作為一種技術方案，所述獲取當前配置的安全策略，為安全策略配置可信度等級，包括：為一條安全策略配置至少一個的可信度等級；和/或，為一條安全策略配置的可信度等級為大于等于目標可信度；和/或，為一條安全策略配置的可信度等級為小于等于目標可信度。

作為一種技術方案，所述接收報文流量，根據報文流量關聯的可信度等級，匹配對應的安全策略，包括：接收報文流量；接收可信度系統推送的關聯于所述報文流量的可信度信息，和/或，向可信度系統請求并獲取關聯于所述報文流量的可信度信息；根據可信度信息獲取報文流量的可信度等級，匹配對應的安全策略。

作為一種技術方案，所述接收報文流量，根據報文流量關聯的可信度等級，匹配對應的安全策略，包括：獲取報文流量關聯的用戶的可信度等級；保存報文流量關聯的可信度等級與用戶的對應關系；周期性刷新用戶對應的可信度等級。