安全策略下发方法、装置、电子设备及存储介质

技术领域

本申请涉及安全技术领域，具体而言，涉及一种安全策略下发方法、装置、电子设备及存储介质。

背景技术

随着信息化建设和IT互联网技术的快速发展，网络安全的重要性越来越突出，网络信息安全其重要性，正随着全球信息化步伐的加快越来越重要。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露。系统连续可靠正常地运行，网络服务不中断，也已经成为公司向客户展示自己的最主要也是最方便的工具之一。

网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

为了应对复杂的网络安全现状，网络安全细分领域应运而生了许多的安全设备，比如防火墙系列、网闸系列等。在客户实际部署使用这些安全设备时，基本上都会集群部署多种类型的安全设备、每一个类型设备部署多台设备，成千上万台不同种类的安全设备由于不同的需求需要执行不同的安全策略，以保护不同范围内的网络安全。

相关技术中，一套安全设备相应生成有一套策略配置文件，传统的策略配置文件通过手动编写代码来实现，当安全设备配置的策略需要更改时，需要用户重新修改或编辑对应的业务代码来实现，如此使得策略管理比如策略下发较为不便，效率较低。

发明内容

本申请实施例的目的在于提供一种安全策略下发方法、装置、电子设备及存储介质，用以改善现有的策略下发方式效率低的问题。

第一方面，本申请实施例提供了一种安全策略下发方法，所述方法包括：

确定要下发安全策略的安全设备；

通过所述安全设备对应的微服务读取权限配置文件，从所述权限配置文件中获得需要向所述安全设备下发的目标安全策略，其中，所述微服务通过执行对应的微服务包进行启动，所述微服务包包括所述权限配置文件，所述权限配置文件包括配置的目标安全策略；

通过所述微服务将所述目标安全策略下发给所述安全设备。

在上述实现过程中，通过安全设备对应的微服务来获取下发的目标安全策略，然后即可将目标安全策略下发给安全设备，本方案中微服务对应的微服务包包括权限配置文件，权限配置文件包括配置的目标安全策略，这样若需要更改安全策略，只需要在微服务包中进行更改即可，无需修改业务代码，方便快捷可复用，提高了策略下发的效率。

可选地，所述权限配置文件还包括对应安全策略的下发权限，所述通过所述微服务将所述目标安全策略下发给所述安全设备，包括：

通过所述微服务获取所述权限配置文件中所述目标安全策略的下发权限；

若所述目标安全策略具备下发权限，则通过所述微服务将所述目标安全策略下发给所述安全设备。

在上述实现过程中，通过设置策略的下发权限，可确保策略的下发安全，避免策略的非法下发。

可选地，所述通过所述微服务将所述目标安全策略下发给所述安全设备，包括：

通过所述微服务获取所述安全设备的历史下发策略，并将所述历史下发策略和所述目标安全策略一并下发给所述安全设备，其中，所述安全设备用于将所述历史下发策略删除，并重新添加所述历史下发策略和所述目标安全策略。

在上述实现过程中，将历史下发策略与当前的策略一并下发给安全设备，通过策略覆盖机制来实现策略的下发，如此可避免需要反复调用安全设备的删除或编辑接口进行策略的修改和删除操作从而导致增加网络带宽占用和策略管理系统与安全设备交互成本的问题。

可选地，所述通过所述微服务获取所述安全设备的历史下发策略之前，还包括：

通过所述微服务在数据库中查询所述安全设备的历史下发策略，所述数据库用于存储所述微服务的历史下发策略。这样可便于查询历史下发策略，用户可以知晓安全设备的策略配置情况。

可选地，所述微服务包括公共微服务，所述通过所述微服务将所述目标安全策略下发给所述安全设备，包括：

若需下发的安全策略为公共安全策略，则通过所述公共微服务将所述目标安全策略下发给所述安全设备。这样在公共安全策略下发时，可通过公共微服务进行批量下发，可提高策略下发效率。

可选地，所述微服务包括私有微服务，所述通过所述微服务将所述目标安全策略下发给所述安全设备，包括：

若需下发的安全策略为私有安全策略，则通过所述私有微服务将所述目标安全策略下发给所述安全设备。这样可以兼容不同安全设备的不同策略的下发，实现策略的定向下发。

可选地，所述通过所述微服务将所述目标安全策略下发给所述安全设备，包括：

通过所述微服务获取所述安全设备的历史下发策略；

通过所述微服务将所述目标安全策略与所述历史下发策略进行比对校验，在校验通过后，则将所述目标安全策略下发给所述安全设备。

在上述实现过程中，在下发策略时进行校验，校验通过后才进行下发，如此可避免策略下发到各个安全设备后才能进行比对校验的问题，可有效减少策略管理系统与成千上万台安全设备的交互成本，提高了策略下发的时效性。

第二方面，本申请实施例提供了一种安全策略下发装置，所述装置包括：

设备确定模块，用于确定要下发安全策略的安全设备；

策略确定模块，用于通过所述安全设备对应的微服务读取权限配置文件，从所述权限配置文件中获得需要向所述安全设备下发的目标安全策略，其中，所述微服务通过执行对应的微服务包进行启动，所述微服务包包括权限配置文件，所述权限配置文件包括配置的目标安全策略；

策略下发模块，用于通过所述微服务将所述目标安全策略下发给所述安全设备。

第三方面，本申请实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第一方面提供的所述方法中的步骤。

第四方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。

本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种安全策略下发方法的流程图；

图2为本申请实施例提供的一种安全策略下发装置的结构框图；

图3为本申请实施例提供的一种用于执行安全策略下发方法的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述。

需要说明的是，本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上，鉴于此，本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。

本申请实施例提供一种安全策略下发方法，该方法通过安全设备对应的微服务来获取下发的目标安全策略，然后即可将目标安全策略下发给安全设备，本方案中微服务对应的微服务包包括权限配置文件，权限配置文件包括配置的目标安全策略，这样若需要更改安全策略，只需要在微服务包中进行更改即可，无需修改业务代码，方便快捷可复用，提高了策略下发的效率。

请参照图1，图1为本申请实施例提供的一种安全策略下发方法的流程图，该方法包括如下步骤：

步骤S110：确定要下发安全策略的安全设备。

本方案的安全策略下发方法可以执行在策略管理系统中，策略管理系统可向用户提供相应的显示界面，在需要下发安全策略时，用户可在策略管理系统的相关显示界面中选择需要下发安全策略的安全设备。

比如，策略管理系统中可预先配置有相应的安全设备的相关信息，这些安全设备与策略管理系统连接，这样可通过在策略管理系统来对各个安全设备进行策略配置、下发等操作，更加便捷。

在用户需要给相应的安全设备下发安全策略时，可以在策略管理系统中的相关显示界面中选中相应的安全设备，这些安全设备即为需要下发安全策略的安全设备。

在本申请实施例中，安全设备可以是指防火墙、网关、网闸等设备，在部署这些安全设备时，基本上都会集群部署多种类型的安全设备，每个类型的设备会部署多台，为了对这些不同类型的安全设备进行方便快捷的安全策略的管理，则可通过策略管理系统来实现。

每一种类型或型号的安全设备各有自己的特定和擅长的安全防护能力，各个类型或型号的安全设备不是同一个部门甚至是不同公司生产出来的，比如访问控制策略，不同类型或型号的安全设备往往存在差异，策略类型也不尽相同，也即，同样是访问控制策略，不是每一种类型或型号的安全设备都支持的，这也就存在策略类型的差异。因此，每种类型的安全设备所需配置的安全策略可能不同，这样通过策略管理系统来管理各个安全设备以及各个安全设备的安全策略，更加便捷。

步骤S120：通过安全设备对应的微服务读取权限配置文件，从权限配置文件中获得需要向安全设备下发的目标安全策略。

本方案中的微服务是一种架构，其可以是指一个单一的应用拆分为的多个小型的服务，每个服务运行在自己的进程中，服务间可以采用轻量级的通信机制。本方案中，每种类型或型号的安全设备可对应一个微服务，在上述选中要下发安全策略的安全设备后，即可启动该安全设备对应的微服务。

在策略管理系统中，存储的是各个微服务对应的微服务包，微服务通过执行对应的微服务包进行启动，微服务包包括权限配置文件，权限配置文件中包括配置的目标安全策略。

比如在启动安全设备对应的微服务后，即可通过微服务读取微服务包中的权限配置文件，然后即可获得权限配置文件中配置的安全策略，这些安全策略可以称为目标安全策略，或者说目标安全策略是从这些配置的安全策略所选择的，比如，权限配置文件中配置有多种安全策略，而本次需要下发的安全策略为其中一种访问控制策略，则可将该访问控制策略作为目标安全策略。

在一些实施方式中，启动安全设备对应的微服务后，可通过微服务获取权限配置文件中配置的所有安全策略，并将这些安全策略在策略管理系统中展示给用户，这样用户可以从中选择需要下发的目标安全策略。

在一些实施方式中，用户可以根据需求定制相应的微服务包，微服务主要是包含了各个类型或型号的安全设备所支持的所有策略配置的页面，该微服务无需进行过多的二次开发，只需要把支持的各个类型或型号的安全设备中安全策略这部分的前端源代码和依赖库拷贝一份，加上一些必要的配置文件打包成一份微服务包，然后把完整的微服务包上传到策略管理系统上即可。

在启动微服务后策略管理系统可为其分配一个进程服务端口，拉起服务即可复制出与对应安全设备一样的微服务，这里的进程服务端口可以理解为是策略管理系统与微服务进行数据流交互的端口，可使得策略管理系统通过进程服务端口来控制微服务。换言之，微服务在策略管理系统中的运行状态可以理解为是一个进程状态，即每个微服务运行时相当于在策略管理系统中启动一个进程，通过该进程即可获取相关的信息。

步骤S130：通过微服务将目标安全策略下发给安全设备。

在获取到需要下发的目标安全策略后，可通过微服务将目标安全策略下发给安全设备。在具体实施方式中，微服务可通过调用各个策略下发模块，通过策略下发模块来将安全策略下发给安全设备，比如目标安全策略为访问控制策略，则微服务可调用访问控制策略对应的策略下发模块，该策略下发模块中可存储有该访问控制策略的策略配置文件等信息，这样策略下发模块即可将策略配置文件等信息下发给安全设备，安全设备接收到策略配置文件后即可实现访问控制策略的配置。

可以理解地，上述的权限配置文件中配置的安全策略可以理解为是配置的安全策略的标识，其标识可用于指示对应的策略下发模块，即可通过微服务获取到需要下发的安全策略的标识，然后微服务通过标识即知晓需要调用哪个策略下发模块，从而可实现安全策略的下发。

在上述实现过程中，通过安全设备对应的微服务来获取下发的目标安全策略，然后即可将目标安全策略下发给安全设备，本方案中微服务对应的微服务包包括权限配置文件，权限配置文件包括配置的目标安全策略，这样若需要更改安全策略，只需要在微服务包中进行更改即可，无需修改业务代码，方便快捷可复用，提高了策略下发的效率。且微服务包制作无需二次开发，制作方便快捷可复用，减少了开发成本。

在上述实施例的基础上，为了提高安全策略配置的灵活性，上述的权限配置文件还可以包括对应安全策略的下发权限，在下发安全策略时，可以先通过微服务获取权限配置文件中目标安全策略的下发权限，若目标安全策略具有下发权限，则可通过微服务将目标安全策略下发给安全设备。

比如，在权限配置文件中，配置了该微服务包中有哪些安全策略需要展示和下发，有哪些安全策略具有下发权限，哪些安全策略不具备下发权限的，这样在不同安全策略的下发上的取舍更加的灵活可控。

在权限配置文件中设置安全策略的下发权限，可避免越权漏洞等安全问题，比如防火墙的某安全策略因故关闭了license权限，那么微服务则没有权限下发该安全策略。对于安全策略的下发权限的修改可以在权限配置文件中修改即可，比如在权限配置文件中进行权限配置的注释操作，修改完成即可生效，该操作可以是人为修改的，也可以是微服务自动修改的，比如人为只是触发修改操作，而不用实际去权限配置文件中修改，如此更加便捷，可体现微服务的时效性和可维护性。

当然，如果目标安全策略不具备下发权限，那么微服务则没有权限将该目标安全策略下发给安全设备，此时微服务可通过策略管理系统向用户输出相应的提示信息，以对用户进行提示。

在上述实现过程中，通过设置策略的下发权限，可确保策略的下发安全，避免策略的非法下发。且通过权限配置文件进行权限的校验与更改，权限控制更加灵活安全，避免了越权漏洞的安全问题的出现。

在上述实施例的基础上，上述的微服务包中还可包括安全设备基本信息文件，该文件中配置了安全设备的型号、版本信息、唯一识别码等基本信息，这样在选择好需要下发安全策略的安全设备后，即可通过安全设备的唯一识别码等信息来执行对应的微服务包，以启动该安全设备对应的微服务。或者这些基本信息也可以提供给策略管理系统识别安全设备的合法性使用的，比如通过该文件获取需下发安全策略的安全设备的相关基本信息，对其基本信息进行合法性验证，验证通过后，即可允许微服务将目标安全策略下发。

在微服务包中，可通过该文件绑定该安全设备的其他文件，比如权限配置文件以及后续提到的策略清除命令配置文件。

在上述实施例的基础上，为了减少资源消耗，微服务在下发目标安全策略时，可以先获取安全设备的历史下发策略，并将历史下发策略和目标安全策略一并下发给安全设备，其中，安全设备用于将历史下发策略删除，并重新添加历史下发策略和目标安全策略。

比如，在微服务包中还可配置策略清除命令配置文件，可采用策略覆盖的机制管理下发的策略，微服务在下发安全策略时，可先进行预处理，比如调用策略下发模块的清除命令，如果成功调用，则证明安全设备的清除已下发策略是成功的，此时还没有实际清除掉安全设备中的已下发策略，如果微服务成功调用，则表示可以成功清除，此时微服务可再将安全设备的历史下发策略和当前的目标安全策略一并下发给安全设备。

也就是说，微服务在每次下发安全策略时，均会将当前要下发的安全策略和历史已经下发给安全设备的安全策略一并发送给安全设备，安全设备端可以进行相应的配置，即每次接收到安全策略后，可先删除历史已下发的安全策略，然后再添加当前接收到的安全策略。这样先清除再添加的优点是可以一次性更新当前微服务配置的安全策略，保证数据的一致性，也避免了添加、删除和编辑等操作分别下发代理的资源消耗成本，比如如果当前需要将安全策略1和安全策略2进行下发，其中安全策略1是已经下发过的策略，如果不按照本方案的方式，微服务需要先向安全设备下发删除安全策略1的指令，然后微服务再下发安全策略1和安全策略2，这样就会使得删除和添加操作是分别下发的，从而带来了资源消耗，而本方案中采用策略覆盖的机制实现，删除和添加操作是一并下发的，所以可以节省资源消耗。

在上述实现过程中，将历史下发策略与当前的策略一并下发给安全设备，通过策略覆盖机制来实现策略的下发，如此可避免需要反复调用安全设备的删除或编辑接口进行策略的修改和删除操作从而导致增加网络带宽占用和策略管理系统与安全设备交互成本的问题。

在上述实施例的基础上，微服务还可以提供安全策略查询功能，如可以通过微服务在数据库中查询安全设备的历史下发策略，该数据库用于存储微服务的历史下发策略。

比如，策略管理系统可提供存储功能，采用数据库来存储微服务的历史数据配置信息，比如历史下发策略以及历史策略配置信息等，数据库如MySQL、Oracle、SQL Server、PostgreSQL等等。这样在每次启动微服务后，可在策略管理系统的显示界面上查询该微服务对应的安全策略、查询历史下发策略以及现有的策略配置，如此可无需每次都要调用一遍安全设备的查询接口来查询历史下发的策略，提高了查询效率，节省了与安全设备交互消耗的资源。

在上述实施例的基础上，由于不同类型或型号的安全设备的安全策略可能相同也可能不同，所以考虑到各个安全设备的策略相同点和不同点，本方案中可以将策略下发分为两种模式，一种是公共策略下发模式，另一种是私有策略下发模式，公共策略下发模式下可以知道具有相同安全策略的不同类型或型号的安全设备，可以解决不同类型或型号的安全设备对相同安全策略的多次重复性下发的问题，私有策略下发模式下，可针对不同类型或型号的安全设备具有各自不同的或私有的安全策略进行下发。

所以，本方案中的微服务可包括公共微服务和私有微服务，在策略管理系统中，一个安全设备可对应有公共微服务和/或私有微服务，若多个安全设备的安全策略相同，则这些安全设备对应一个公共微服务。

在制定打包工具打微服务包时，可以按照公共模式和私有模式这两种模式进行打微服务包，其中公共微服务包包括了两个或多个安全设备共有的安全策略，私有微服务包包括了安全设备除共有安全策略外剩余的安全策略。策略管理系统可通过对比权限配置文件可以确定多个安全设备具有哪些公共安全策略。

公共微服务包可以包括公共安全策略配置所需的前端表单页面源码、公共安全策略配置后端命令行接口源码、公共安全策略权限配置文件、安全设备基本信息文件、公共安全策略清除命令配置文件与其他定制化配置文件等。

私有微服务包主要包括私有安全策略配置所需的前端表单页面源码、私有安全策略配置后端命令接口源码、私有安全策略权限配置文件、安全设备基本信息文件、私有安全策略清除命令配置文件与其他定制化配置文件等。

策略管理系统可支持对微服务包的上传、安全校验、解压和解析，并可记录好需要的调试日志，即各个微服务的运行日志等信息。

微服务在将目标安全策略下发给安全设备时，若安全策略为公共安全策略，则可通过公共微服务将目标安全策略下发给安全设备。

比如一开始在选择安全设备时，如果用户此时选中了多个安全设备，表示用户想要下发公共安全策略给这多个安全设备，此时可以启动这多个安全设备对应的公共微服务，然后通过公共微服务获取到的目标安全策略即可认为是公共安全策略，此时可通过公共微服务将目标安全策略下发给各个安全设备。

在上述实现过程中，这样在公共安全策略下发时，可通过公共微服务进行批量下发，可提高策略下发效率。

在上述实施例的基础上，如果用户在选择安全设备时，只选择了一个安全设备，则可先启动该安全设备对应的私有微服务，然后获取对应的目标安全策略，此时该目标安全策略即为私有安全策略，然后可通过私有微服务将目标安全策略下发给安全设备。

这样可以将私有安全策略和公共安全策略进行区分，公共安全策略可以通过公共微服务统一下发，效率更高。

在策略管理系统中，也可以通过选择公共安全策略和私有安全策略来启动对应的微服务，比如在系统中可以将公共安全策略和私有安全策略两者合并到一起进行展示，比如一级菜单包括公共安全策略和私有安全策略，其中私有安全又可以细分为具体的私有安全策略。这里，两种策略模式可以在同一个页面展示，最大限度的集成策略下发，提升运维工作效率，及时应急处理，保证安全设备的安全防护。两种策略模式适当解耦，互不影响，提高了安全策略下发的效率。

在进行下发多个安全设备的安全策略时，公共安全策略可以是默认下发其对应的所有安全设备，当然策略管理系统也可提供可配置的指定安全设备，只有用户选中的安全设备才会进行公共安全策略的下发。比如在策略管理系统中，用户可在公共安全策略下选择需要下发安全策略的安全设备，然后启动对应的公共微服务，可获取公共微服务对应的目标安全策略。可以理解地，这里的目标安全策略也可以选择，比如用户在选择好安全设备后，比如选择了2个安全设备，然后可选择公共的安全策略，如访问控制策略，此时公共微服务即可获取到目标安全策略为访问控制策略，然后公共微服务即可将访问控制策略下发给这2个安全设备。

私有安全策略的下发可以直接指定对应的安全设备，即每个私有策略与对应的安全设备绑定，比如用户在页面点击某个私有安全策略即可表示用户选中了对应的安全设备，需要对该安全设备下发私有安全策略，此时可启动私有微服务获取对应的私有安全策略进行下发，这样可以确保下发的私有安全策略不会下发给不支持的安全设备，解决了安全设备之间的差异化安全策略下发的问题。

在需要将公共安全策略和私有安全策略一起下发的场景下，可以按照并行下发的方式，先下发公共安全策略，然后再下发私有安全策略，这两种下发模式相互独立，互不干扰下发结果，比如公共安全策略如果下发失败，只会回滚该模式下发的策略，不影响私有安全策略下发的结果，可使得公共安全策略的下发和私有安全策略的下发解耦，提高了安全策略下发的效率。

在上述实现过程中，这样可以兼容不同安全设备的不同策略的下发，实现策略的定向下发。

在上述实施例的基础上，为了确保安全策略下发的准确性，在下发目标安全策略的方式中，可先通过微服务获取安全设备的历史下发策略，然后通过微服务将目标安全策略与历史下发策略进行比对校验，在校验通过后，则将目标安全策略下发给安全设备。

这里的比对校验可以是比对安全策略的标识，比如微服务可以将当前获取到的目标安全策略的标识与历史下发策略的标识(当然这里也可以是其他信息的比对，比如策略的相关信息，该相关信息可用于区分不同的策略即可)进行比对，如果比对一致，则校验不通过，表示目标安全策略已经下发过了，不必再下发，此时可给用户输出报错提示信息，节省了设备间交互消耗的大量资源。如果标识(或相关信息)比对不一致，则校验通过，然后可进行安全策略的下发。

这里的比对校验还可以是一些合法性校验，比如可以将目标安全策略的相关身份信息和历史下发策略的身份信息进行比对，该身份信息可表征其合法性，如果身份信息一致，则表示合法，可进行策略下发，不一致，则表示不合法，可输出错误提示信息。

在其他实施方式中，这里还可加入时间的校验，比如可以先获取当前时刻与最近一次历史下发策略的时刻之间的时长，如果这个时长大于或等于设定时长，则表示校验通过，可进行策略下发，如果小于设定时长，则表示不通过，认为下发策略的时间过短，有可能是非法下发，所以此时可向用户输出提示信息。

在上述实现过程中，在下发策略时进行校验，校验通过后才进行下发，如此可避免策略下发到各个安全设备后才能进行比对校验的问题，可有效减少策略管理系统与成千上万台安全设备的交互成本，提高了策略下发的时效性。

在本申请方案中，策略管理系统，在管理不计其数的安全设备时，采用每一个型号的安全设备按照自己的需求把所支持集中策略管理的安全策略依据上述制定公共微服务包和私有微服务包，其中两个或多个安全设备的公共安全策略由策略管理系统研发统一提取和依据上述方式制定微服务包。上传该微服务包，对微服务包进行解压和解析。对于符合公共策略模式的安全设备或私有策略模式分别打开公共微服务或私有微服务的安全策略配置页面进行安全策略添加、编辑或删除后，进行下发操作，并把每一次的操作记录到数据库里，这样每次重新打开微服务页面时，都可以看到历史添加或修改的安全策略，体现了安全策略配置的可复用性，也可以通过微服务预处理下发安全策略，对安全策略的合法性、冲突冗余在策略管理系统端进行校验，如果校验不通过的，无需下发给安全设备，直接报错提示，节省了设备间交互消耗的大量资源。当安全策略配置添加等操作通过校验后，策略管理系统接收并以调用api的方式解析下发给对应的安全设备，当安全设备接收到合法的安全策略下发指令时，对策略管理系统历史下发的对应安全策略先清除，再执行添加当前下发的安全策略，完成整个策略管理系统通过微服务配置的安全策略成功下发给安全设备的下发流程。

请参照图2，图2为本申请实施例提供的一种安全策略下发装置200的结构框图，该装置200可以是电子设备上的模块、程序段或代码。应理解，该装置200与上述图1方法实施例对应，能够执行图1方法实施例涉及的各个步骤，该装置200具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。

可选地，所述装置200包括：

设备确定模块210，用于确定要下发安全策略的安全设备；

策略确定模块220，用于通过所述安全设备对应的微服务读取权限配置文件，从所述权限配置文件中获得需要向所述安全设备下发的目标安全策略，其中，所述微服务通过执行对应的微服务包进行启动，所述微服务包包括所述权限配置文件，所述权限配置文件包括配置的目标安全策略；

策略下发模块230，用于通过所述微服务将所述目标安全策略下发给所述安全设备。

可选地，所述权限配置文件还包括对应安全策略的下发权限，所述策略下发模块230，用于通过所述微服务获取所述权限配置文件中所述目标安全策略的下发权限；若所述目标安全策略具备下发权限，则通过所述微服务将所述目标安全策略下发给所述安全设备。

可选地，所述策略下发模块230，用于通过所述微服务获取所述安全设备的历史下发策略，并将所述历史下发策略和所述目标安全策略一并下发给所述安全设备，其中，所述安全设备用于将所述历史下发策略删除，并重新添加所述历史下发策略和所述目标安全策略。

可选地，所述策略下发模块230，还用于通过所述微服务在数据库中查询所述安全设备的历史下发策略，所述数据库用于存储所述微服务的历史下发策略。

可选地，所述微服务包括公共微服务，所述策略下发模块230，用于若需下发的安全策略为公共安全策略，则通过所述公共微服务将所述目标安全策略下发给所述安全设备。

可选地，所述微服务包括私有微服务，所述策略下发模块230，用于若需下发的安全策略为私有安全策略，则通过所述私有微服务将所述目标安全策略下发给所述安全设备。

可选地，所述策略下发模块230，用于通过所述微服务获取所述安全设备的历史下发策略；通过所述微服务将所述目标安全策略与所述历史下发策略进行比对校验，在校验通过后，则将所述目标安全策略下发给所述安全设备。

需要说明的是，本领域技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再重复描述。

请参照图3，图3为本申请实施例提供的一种用于执行安全策略下发方法的电子设备的结构示意图，所述电子设备可以包括：至少一个处理器310，例如CPU，至少一个通信接口320，至少一个存储器330和至少一个通信总线340。其中，通信总线340用于实现这些组件之间的连接通信。其中，本申请实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速RAM存储器，也可以是非易失性的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器310执行时，电子设备执行上述图1所示方法过程。

可以理解，图3所示的结构仅为示意，所述电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行如图1所示方法实施例中电子设备所执行的方法过程。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，包括：

确定要下发安全策略的安全设备；

通过所述安全设备对应的微服务确定需要向所述安全设备下发的目标安全策略，其中，所述微服务通过执行对应的微服务包进行启动，所述微服务包包括权限配置文件，所述权限配置文件包括配置的目标安全策略；

通过所述微服务将所述目标安全策略下发给所述安全设备。

综上所述，本申请实施例提供一种安全策略下发方法、装置、电子设备及存储介质，该方法通过安全设备对应的微服务来获取下发的目标安全策略，然后即可将目标安全策略下发给安全设备，本方案中微服务对应的微服务包包括权限配置文件，权限配置文件包括配置的目标安全策略，这样若需要更改安全策略，只需要在微服务包中进行更改即可，无需修改业务代码，方便快捷可复用，提高了策略下发的效率。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。