[发明专利]一种安全策略的下发方法及装置

权利要求书

1.一种安全策略的下发方法，其特征在于，所述方法包括：

获取各用户的网络日志和预先存储的用户权限列表，所述用户权限列表包含所述各用户的账户信息和权限信息的第一对应关系，所述权限信息包括目的网络地址和处理动作；

根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系；

基于所述第一对应关系和所述第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略；

将生成的安全策略发送给访问控制设备，以使所述访问控制设备根据所述安全策略对所述各用户进行访问控制。

2.根据权利要求1所述的方法，其特征在于，所述基于所述第一对应关系和所述第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略，包括：

针对每个账户信息，从所述第一对应关系中获取与该账户信息对应的第一目的网络地址和第一处理动作、并从所述第二对应关系中获取与该账户信息对应的第一源网络地址；

生成包含所述第一源网络地址、所述第一目的网络地址和所述第一处理动作的安全策略。

3.根据权利要求1所述的方法，其特征在于，所述网络日志为系统登录日志；

所述根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系，包括：

从所述各用户对应的系统登录日志中，提取登录账户的账户信息和源网络地址，并对应存储提取出的账户信息和源网络地址，得到第二对应关系。

4.根据权利要求1所述的方法，其特征在于，所述网络日志为动态主机配置协议DHCP日志；

所述根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系，包括：

从所述DHCP日志中获取用户终端标识和源网络地址的第三对应关系；

针对每个用户终端标识，在预先存储的用户终端标识和账户信息的对应关系和所述第三对应关系中，确定与该用户终端标识对应的第二账户信息和第二源网络地址；

对应存储所述第二账户信息和所述第二源网络地址，得到第二对应关系。

5.根据权利要求1所述的方法，其特征在于，所述将生成的安全策略发送给访问控制设备，包括：

通过与访问控制设备对应的应用程序接口API接口，将生成的安全策略发送给访问控制设备；或者，

将生成的安全策略以远程命令的方式发送给访问控制设备。

6.一种安全策略的下发装置，其特征在于，所述装置包括：

第一获取模块，用于获取各用户的网络日志和预先存储的用户权限列表，所述用户权限列表包含所述各用户的账户信息和权限信息的第一对应关系，所述权限信息包括目的网络地址和处理动作；

第二获取模块，用于根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系；

生成模块，用于基于所述第一对应关系和所述第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略；

发送模块，用于将生成的安全策略发送给访问控制设备，以使所述访问控制设备根据所述安全策略对所述各用户进行访问控制。

7.根据权利要求6所述的装置，其特征在于，所述生成模块，具体用于：

针对每个账户信息，从所述第一对应关系中获取与该账户信息对应的第一目的网络地址和第一处理动作、并从所述第二对应关系中获取与该账户信息对应的第一源网络地址；

生成包含所述第一源网络地址、所述第一目的网络地址和所述第一处理动作的安全策略。

8.根据权利要求6所述的装置，其特征在于，所述网络日志为系统登录日志；

所述第二获取模块，具体用于：

从所述各用户对应的系统登录日志中，提取登录账户的账户信息和源网络地址，并对应存储提取出的账户信息和源网络地址，得到第二对应关系。