策略管理方法、装置、电子设备及存储介质与流程

本技术涉及互联网，尤其涉及一种策略管理方法、装置、电子设备及存储介质。

背景技术：

1、混合云(hybrid cloud)，作为云计算的一种形态，它将私有云和公有云协同工作，从而提高用户跨云的资源利用率。acl(access control list)控制策略，是一种用于网络安全管理的技术手段，通过acl可以对网络流量进行精细化的管理和控制。它可以根据源ip地址、目的ip地址、协议类型、端口号等条件对网络流量进行过滤和限制，从而实现对网络资源的访问控制。

2、在混合云环境中，应用和数据跨越多个私有云和公有云环境，传统的acl控制策略往往存在手动操作繁琐、管理复杂度高、策略冲突难以解决、访问权限控制难以全面覆盖等问题。因此，在acl控制策略应用过程中，常常需要根据策略的应用情况对acl控制策略进行管理。现有的解决方案大多依赖于人工操作来进行acl控制策略的管理。

3、然而，目前这种通过人工操作来管理acl控制策略的方式，存在人力成本高、效率低的问题。

技术实现思路

1、本技术实施例的目的在于提供一种策略管理方法、装置、电子设备及存储介质，以解决通过人工操作来管理acl控制策略的方式，存在人力成本高、效率低的问题。具体技术方案如下：

2、第一方面，本技术提供了一种策略管理方法，所述方法包括：

3、获取初始策略集合，其中，所述初始策略集合中包括混合云环境下访问控制列表所包含的所有策略；

4、在多个所述策略中确定待清理策略，所述待清理策略为所述初始策略集合中预设时长未被使用或使用频率较低的策略；

5、在所述初始策略集合中删除所述待清理策略，得到对应的目标策略集合，其中，所述目标策略集合中包含多个待确认策略；

6、在多个所述待确认策略中确定待处理策略；

7、针对每个待处理策略，按照预设的处理规则对所述待处理策略进行处理，得到对应的目标策略。

8、在一个可能的实施方式中，所述在多个所述待确认策略中确定待处理策略，包括：

9、确定所述目标策略集合中是否包含至少两个相同的所述待确认策略；

10、在所述目标策略集合中包含至少两个相同的所述待确认策略的情况下，将相同的所述待确认策略确定为所述待处理策略。

11、在一个可能的实施方式中，所述确定所述目标策略集合中是否包含至少两个相同的所述待确认策略，包括：

12、确定所述待确认策略中的第一源地址、第一目标地址、第一协议及第一动作；

13、针对所述目标策略集合中的每个其他待确认策略，确定所述其他待确认策略中的第二源地址、第二目标地址、第二协议及第二动作；

14、在所述第一源地址与所述第二源地址相同，所述第一目标地址与所述第二目标地址相同，所述第一协议与所述第二协议相同，且，所述第一动作与所述第二动作相同的情况下，确定所述其他待确认策略为与所述待确认策略为相同的所述待确认策略。

15、在一个可能的实施方式中，所述按照预设的处理规则对所述待处理策略进行处理，得到对应的目标策略，包括：

16、采用所述处理规则，将所述待处理策略对应相同的所述待确认策略进行合并处理，得到对应的目标策略。

17、在一个可能的实施方式中，所述在多个所述待确认策略中确定待处理策略，包括：

18、确定所述待确认策略针对目标参数的限制范围，以及所述目标参数对应的应用范围，其中，所述目标参数包括源地址、目标地址、端口、协议及服务类型，所述限制范围指所述待确认策略针对所述目标参数设置的范围，所述应用范围指所述目标参数在实际使用时的使用范围；

19、在所述限制范围大于应用范围的情况下，确定所述待确认策略为所述待处理策略。

20、在一个可能的实施方式中，所述按照预设的处理规则对所述待处理策略进行处理，得到对应的目标策略，包括：

21、采用所述处理规则，按照所述应用范围对所述限制范围进行修改，以使所述限制范围小于或等于所述应用范围，得到对应的目标策略。

22、在一个可能的实施方式中，所述在多个所述策略中确定待清理策略，包括：

23、针对每个策略，确定所述策略最近一次的应用时间，和/或，所述策略在预设时间段内的应用次数；

24、在所述应用时间与当前时间相隔的时长超过预设时长，或者，所述应用次数小于预设次数的情况下，将所述策略确定为待清理策略。

25、第二方面，本技术提供了一种策略管理装置，所述装置包括：

26、获取模块，用于获取初始策略集合，其中，所述初始策略集合中包括混合云环境下访问控制列表所包含的所有策略；

27、第一确定模块，用于在多个所述策略中确定待清理策略，所述待清理策略为所述初始策略集合中预设时长未被使用或使用频率较低的策略；

28、删除模块，用于在所述初始策略集合中删除所述待清理策略，得到对应的目标策略集合，其中，所述目标策略集合中包含多个待确认策略；

29、第二确定模块，用于在多个所述待确认策略中确定待处理策略；

30、处理模块，用于针对每个待处理策略，按照预设的处理规则对所述待处理策略进行处理，得到对应的目标策略。

31、在一个可能的实施方式中，所述第二确定模块，进一步用于：

32、确定所述目标策略集合中是否包含至少两个相同的所述待确认策略；

33、在所述目标策略集合中包含至少两个相同的所述待确认策略的情况下，将相同的所述待确认策略确定为所述待处理策略。

34、在一个可能的实施方式中，第二确定模块，还用于：

35、确定所述待确认策略中的第一源地址、第一目标地址、第一协议及第一动作；

36、针对所述目标策略集合中的每个其他待确认策略，确定所述其他待确认策略中的第二源地址、第二目标地址、第二协议及第二动作；

37、在所述第一源地址与所述第二源地址相同，所述第一目标地址与所述第二目标地址相同，所述第一协议与所述第二协议相同，且，所述第一动作与所述第二动作相同的情况下，确定所述其他待确认策略为与所述待确认策略为相同的所述待确认策略。

38、在一个可能的实施方式中，所述处理模块，进一步用于：

39、采用所述处理规则，将所述待处理策略对应相同的所述待确认策略进行合并处理，得到对应的目标策略。

40、在一个可能的实施方式中，所述第二确定模块，还用于：

41、确定所述待确认策略针对目标参数的限制范围，以及所述目标参数对应的应用范围，其中，所述目标参数包括源地址、目标地址、端口、协议及服务类型，所述限制范围指所述待确认策略针对所述目标参数设置的范围，所述应用范围指所述目标参数在实际使用时的使用范围；

42、在所述限制范围大于应用范围的情况下，确定所述待确认策略为所述待处理策略。

43、在一个可能的实施方式中，所述处理模块，还用于：

44、采用所述处理规则，按照所述应用范围对所述限制范围进行修改，以使所述限制范围小于或等于所述应用范围，得到对应的目标策略。

45、在一个可能的实施方式中，所述第一确定模块，进一步用于：

46、针对每个策略，确定所述策略最近一次的应用时间，和/或，所述策略在预设时间段内的应用次数；

47、在所述应用时间与当前时间相隔的时长超过预设时长，或者，所述应用次数小于预设次数的情况下，将所述策略确定为待清理策略。

48、第三方面，提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

49、存储器，用于存放计算机程序；

50、处理器，用于执行存储器上所存放的程序时，实现第一方面任一所述的方法步骤。

51、第四方面，提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。

52、第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的策略管理方法。

53、本技术实施例有益效果：

54、本技术实施例提供了一种策略管理方法、装置、电子设备及存储介质，本技术实施例中，首先，获取初始策略集合，并在初始策略集合包含的多个策略中确定待清理策略，待清理策略为所述初始策略集合中预设时长未被使用或使用频率较低的策略，然后，在初始策略集合中删除待清理策略，得到包含多个待确认策略的目标策略集合，进而，在多个待确认策略中确定待处理策略，最后，针对每个待处理策略，按照预设的处理规则对待处理策略进行处理，得到对应的目标策略。由此，实现了对策略集合中所有策略的智能管理，无需人工操作，从而节省了人力成本，提高了效率。

55、当然，实施本技术的任一产品或方法并不一定需要同时达到以上所述的所有优点。