[发明专利]策略一致性审计方法、装置及设备

说明书

技术领域

本发明涉及终端设备领域，特别涉及一种策略一致性审计方法、装置及设备。

背景技术

当前互联网应用日益增多，病毒、木马等危害企业及个人用户信息安全的问题也越来越突出，网络安全受到了极大的关注。由于外网的安全防护和内网的访问控制策略越来越多，所以安全策略的配置和运行维护需求也日趋强烈，策略的管理变得越来越复杂。策略是指防火墙网络的策略配置，可以根据五元组（源地址、源端口、目的地址、目的端口、协议）对经过防火墙的数据包进行过滤和内容安全检测。设备的配置是否和网管服务器配置的策略一致，影响着互联网的正常防护，因此，策略的一致性审计尤为重要。

在现有技术中，一致性审计严格通过按照策略序号比较网管服务器和设备的配置差异，策略序号不同，则认为策略不同，而对于序号相同的策略需要进一步地比较策略所引用的对象名称的字符串，如果字符串相同则认为网管服务器和设备的策略一致，如果字符串不同则认为网管服务器和设备的策略不一致。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

现有技术的审计方法，按照策略序号比较时，对于序号相同的策略，由于可能发生策略反复添加和删除的场景，而一旦修改的策略复用了以前的策略序号，会导致将序号不同而业务内容相同的策略误判成不一致而造成的审计结果错误，且在使用字符串进行进一步比较时，在公共对象数量大的情况下，效率较低，同时会出现重复比较的问题，而由于仅对所引用的对象名称进行比较，没有关心里面的内容，对于名字没有变化但是内容发生变化的情况比较不出来，导致审计结果不准确。

发明内容

为了解决一致性审计效率低、审计结果不准确的问题，本发明实施例提供了一种策略一致性审计方法、装置及设备。所述技术方案如下：

一方面，提供了一种策略一致性审计方法，所述方法包括：

分别计算网管服务器和设备的策略数据的特征值，每个策略数据的特征值包括第一循环冗余码校验值和第二循环冗余码校验值；所述第一循环冗余码校验值为该策略数据的循环冗余码校验值，所述第二循环冗余码校验值为该策略数据所引用的公共对象的循环冗余码校验值；

对网管服务器和设备的策略数据的特征值进行比较，获取审计结果。

对网管服务器和设备的策略数据的特征值进行比较，获取审计结果，包括：

对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据；

当经过比较确定所述网管服务器和设备的策略数据还包括第二策略数据时，对所述网管服务器的第二策略数据和设备的第二策略数据的第二循环冗余码校验值进行比较，获取所述网管服务器的第二策略数据和设备的第二策略数据之间的差异。

对网管服务器和设备的策略数据的第一循环冗余码校验值进行比较，确定第一策略数据，包括：

分别对网管服务器和设备的策略数据的特征值按照配置顺序进行排序；

确定第一序列和第二序列，所述第一序列为以网管服务器的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列，所述第二序列为以设备的策略数据为基准所确定的第一循环冗余码校验值相同的策略数据序列；

比较所述第一序列和第二序列，将包含具有相同的第一循环冗余码校验值的策略数据多的序列中的策略数据确定为第一策略数据。

分别计算网管服务器和设备的策略数据的特征值，包括：

分别获取网管服务器和设备的策略数据；

根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值。

根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值，包括：

当所述网管服务器和设备的策略数据的形式不同时，将所述设备的策略数据的形式转换为所述网管服务器的策略数据的形式，根据所述网管服务器和设备的策略数据以及各个策略数据公共对象的引用关系，计算所述网管服务器和设备的策略数据的特征值。

根据所述网管服务器和设备的策略数据以及各个策略数据所引用的公共对象，计算所述网管服务器和设备的策略数据的特征值，包括：

按照所述各个策略数据及公共对象的引用关系层次，从下向上逐层计算各个策略数据的第一循环冗余码校验值和第二循环冗余码校验值。

另一方面，提供了一种策略一致性审计装置，所述装置包括：