CN118012725A - 一种可信管理平台告警管理方法、***、设备及存储介质 - Google Patents
一种可信管理平台告警管理方法、***、设备及存储介质 Download PDFInfo
- Publication number
- CN118012725A CN118012725A CN202410422700.3A CN202410422700A CN118012725A CN 118012725 A CN118012725 A CN 118012725A CN 202410422700 A CN202410422700 A CN 202410422700A CN 118012725 A CN118012725 A CN 118012725A
- Authority
- CN
- China
- Prior art keywords
- terminal
- trusted
- alarm
- management platform
- treatment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 159
- 238000003860 storage Methods 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 claims description 73
- 238000012795 verification Methods 0.000 claims description 72
- 238000011065 in-situ storage Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 15
- 238000011217 control strategy Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明属于分散控制***领域,提供一种可信管理平台告警管理方法、***、设备及存储介质,该方法接收到终端发送的告警信息时,会在预先存储的告警原因数据库中查找与告警信息对应的告警原因以及与告警原因对应的处置方案,将告警信息、告警原因及告警处置建议均发送给客户端,从而将告警信息和可能的告警原因及对应的处置建议告知用户,提示用户如何处置,这种情况下,用户能更加快速、高效的确定告警的真实原因,并能更加准确的找到处置方案,降低工作人员的劳动强度,及时有效地排除潜在的不安全因素,提高DCS***的安全性。
Description
技术领域
本发明属于分散控制***领域,涉及一种可信管理平台告警管理方法、***、设备及存储介质。
背景技术
一套可信国产火电分散控制***(DCS,Distributed Control System)一般是由DCS控制器、工程师站、历史站和操作员站等终端组成,这些终端均会注册到可信管理平台中,由可信管理平台统一管理。每台终端上都配置有可信验证策略和可信增强策略。当这些终端受到非法攻击时,可信验证策略可以检测到文件由可信变为不可信,或者进程由可信变为不可信,此时,终端的可信状态由可信变为不可信。当终端的可信状态由可信变为不可信时,以及由不可信变为可信时,终端都会产生告警信息并发送至可信管理平台。可信增强策略主要包括可信白名单、应用程序访问控制策略、进程保护策略三方面内容。可信白名单中包括程序和库文件(包括静态库和动态库)。当执行不在可信白名单中的程序或链接不在可信白名单中的库文件时,终端会产生告警信息并发送至可信管理平台;当应用程序非法访问没有权限的文件时,终端会产生告警信息并发送至可信管理平台;当恶意关闭被保护的进程时,终端也会产生告警信息并发送至可信管理平台。
然而,可信管理平台在收到这些告警信息后不会对告警信息做处理,而是将告警信息直接发送至客户端,因为告警信息通常为一些简单的符号,用户无法根据告警信息确定产生告警的原因,用户需要自行去排查这些终端产生告警的原因并寻找处置方案。这种方式会增加工作人员的工作强度,耗时较长,不能及时有效地排除潜在的不安全因素,且由于工作人员技术能力的不同,可能会产生错误的判断或处置建议,对DCS***的安全运行造成威胁。
发明内容
为了解决上述现有技术的问题,本发明提供一种可信管理平台告警管理方法、***、设备及存储介质,该方法能及时、高效且准确地排除DCS***中潜在的不安全因素。
本发明通过以下技术方案实现:
一种可信管理平台告警管理方法,包括:
S1,可信管理平台接收终端发送的告警信息;
S2,所述可信管理平台在预先存储的告警原因数据库中查找与所接收的告警信息对应的告警原因以及与所述告警原因对应的处置建议;并将所述告警信息、告警原因和处置建议发送至客户端;其中,所述告警原因数据库中预先存储有与多个告警信息分别对应的告警原因以及与告警原因对应的处置建议;
S3,所述可信管理平台接收所述客户端发送的处置方案,并发送至所述终端;所述处置方案为所述客户端根据所述告警信息、告警原因和处置建议得到的处置方案。
优选的,S1中,所述的终端包括DCS控制器、工程师站、历史站和操作员站中的一种或几种。
优选的,S2中,所述告警原因数据库中预先存储的告警原因包括:所述终端启动过程中的引导程序或所述引导程序的配置文件由可信转变为不可信,所述终端上的文件由可信转变为不可信,以及所述终端上的进程由可信转变为不可信。
进一步的,S2中,当告警原因为所述终端启动过程中的引导程序或所述引导程序的配置文件由可信转变为不可信时,与所述告警原因对应的处置建议为所述可信管理平台向所述终端下发与所述终端启动过程中的引导程序或所述引导程序的配置文件对应的可信验证策略;
当告警原因为所述终端上的文件由可信转变为不可信时,与所述告警原因对应的处置建议包括:1)所述可信管理平台向所述终端下发与所述终端上的文件对应的可信验证策略;2)所述可信管理平台向所述终端发送以备份替换所述终端上的文件的指令,所述备份为所述终端上的文件的备份且预先存储在所述终端上;
当告警原因为所述终端上的进程由可信转变为不可信时,与所述告警原因对应的处置建议为重新启动所述进程。
优选的,S2中,所述告警原因数据库中预先存储的告警原因包括:所述终端上执行的程序不在可信白名单中,所述终端上链接的库文件不在可信白名单中,所述终端上的应用程序非法访问没有权限的文件,以及所述终端上被保护的进程被关闭。
进一步的,S2中,当告警原因为所述终端上执行的程序不在可信白名单中时,与所述告警原因对应的处置建议包括:1)将所述程序加入所述可信白名单;2)关闭对应的告警;
当告警原因为所述终端上链接的库文件不在可信白名单中时,与所述告警原因对应的处置建议包括:1)将所述库文件加入可信白名单;2)排查并取消对所述库文件的链接;
当告警原因为所述终端上的应用程序非法访问没有权限的文件时,与所述告警原因对应的处置建议包括:1)所述可信管理平台下发新的应用程序访问控制策略至所述终端;2)排查并禁止所述的访问;其中,所述新的应用程序访问控制策略为所述应用程序对所述文件具有访问权限;
当告警原因为所述终端上被保护的进程被关闭时,与所述告警原因对应的处置建议为排查所述终端上被保护的进程被关闭是否属于异常操作。
优选的,S2中,所述告警原因数据库中预先存储的告警原因包括:终端发生原位替换时新终端与旧终端上的可信验证策略不一致,以及终端发生原位替换时新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致;其中,终端发生原位替换时,替换前的终端称为旧终端,替换后的终端称为新终端;
当告警原因为终端发生原位替换时新终端与旧终端上的可信验证策略不一致时,对应的处置建议包括:1)可信管理平台下发旧终端的运行时策略到新终端;2)以新终端的可信验证策略更新可信管理平台中旧终端的运行时策略;
当告警原因为终端发生原位替换时新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致时,对应的处置建议包括:1)以新终端的可信验证策略更新可信管理平台中的所述默认策略;2)升级新终端的可信验证策略,使新终端的可信验证策略与可信管理平台中的所述默认策略一致。
一种可信管理平台告警管理***,包括:可信管理平台,所述可信管理平台包括接收模块、分析模块和处置模块;
所述接收模块,用于接收终端发送的告警信息;
所述分析模块,用于在预先存储的告警原因数据库中查找与所接收的告警信息对应的告警原因以及与所述告警原因对应的处置建议;并将所述告警信息、告警原因和处置建议发送至客户端;其中,所述告警原因数据库中预先存储有与多个告警信息分别对应的告警原因以及与告警原因对应的处置建议;
所述处置模块,用于接收所述客户端发送的处置方案,并发送至所述终端;所述处置方案为所述客户端根据所述告警信息、告警原因和处置建议得到的处置方案。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述可信管理平台告警管理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上所述可信管理平台告警管理方法的步骤。
与现有技术相比,本发明具有如下的有益效果:
本发明的可信管理平台告警管理方法,接收到终端发送的告警信息时,会在预先存储的告警原因数据库中查找与告警信息对应的告警原因以及与告警原因对应的处置建议,将告警信息、告警原因及处置建议均发送给客户端,从而将告警信息和可能的告警原因及对应的处置建议告知用户,提示用户如何处置,这种情况下,用户能更加快速、高效的确定告警的真实原因,并能更加准确的找到处置方案,降低工作人员的劳动强度,及时有效地排除潜在的不安全因素,提高DCS***的安全性。
进一步的,本发明针对不同的告警信息,预先整理存储了对应的告警原因,并给出了对应的处置建议,能覆盖多种告警信息,提供更全面的告警原因和处置建议。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明可信管理平台告警管理方法的流程图;
图2为本发明可信管理平台告警管理方法的示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
须知,下列实施例中未具体注明的工艺设备或装置均采用本领域内的常规设备或装置。
需要说明的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。而且,除非另有说明,各方法步骤的编号仅为鉴别各方法步骤的便利工具,而非为限制各方法步骤的排列次序或限定本发明可实施的范围,其相对关系的改变或调整,在无实质变更技术内容的情况下,当亦视为本发明可实施的范畴。
请参考图1和图2,本发明所述的可信管理平台告警管理方法,包括:
S1,可信管理平台接收终端发送的告警信息;
S2,所述可信管理平台在预先存储的告警原因数据库中查找与所接收的告警信息对应的告警原因以及与所述告警原因对应的处置建议;并将所述告警信息、告警原因和处置建议发送至客户端;其中,所述告警原因数据库中预先存储有与多个告警信息分别对应的告警原因以及与告警原因对应的处置建议;
S3,所述可信管理平台接收所述客户端发送的处置方案,并发送至所述终端;所述处置方案为所述客户端根据所述告警信息、告警原因和处置建议得到的处置方案。
本发明一些具体实施例中,S1所述的终端包括DCS控制器、工程师站、历史站和操作员站中的一种或几种。这些终端预先在所述可信管理平台中进行注册,并由可信管理平台进行统一的管理。
本发明一些具体实施例中,S2所述的告警原因数据库,是预先存储在可信管理平台上的。所述告警原因数据库中预先存储有多种不同的告警信息所对应的告警原因,针对每种告警原因存储有对应的处置建议。当可信管理平台收到告警信息后,根据告警信息在告警原因数据库中进行搜索,查找到与告警信息对应的告警原因及与查找到的告警原因对应的处置建议,从而能找到与告警信息对应的告警原因和处置建议,给用户提供参考和问题解决方案。
本发明一些具体实施例中,S1所述的告警信息包括所述终端基于可信验证策略产生的告警信息、所述终端基于可信增强策略产生的告警信息、终端发生原位替换时新终端与旧终端上的可信验证策略发生不一致时产生的告警信息、终端发生原位替换时新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致时产生的告警信息中的一种或几种。其中,所述可信验证策略和可信增强策略预先存储在所述终端中。终端发生原位替换时,替换前的终端称为旧终端,替换后的终端称为新终端。
本发明一些具体实施例中,所述终端基于可信验证策略所产生的告警信息,包括所述可信验证策略检测到文件由可信转变为不可信时所述终端产生的告警信息和所述可信验证策略检测到终端上的进程由可信转变为不可信时所述终端产生的告警信息中的一种或两种;其中,所述文件包括所述终端启动过程中的引导程序、所述引导程序的配置文件和终端上的文件中一种或几种。
所述可信验证策略包括三部分,分别为启动可信验证、静态可信验证和动态可信验证。所述启动可信验证是对所述终端启动过程中的引导程序和引导程序的配置文件进行可信验证,当可信验证结果为终端启动过程中的引导程序或引导程序的配置文件由可信转变为不可信时所述终端产生告警信息;所述静态可信验证是对所述终端上的文件进行可信验证,当可信验证结果为终端上的文件由可信转变为不可信时所述终端产生告警信息;所述动态可信验证是对所述终端上的进程进行可信验证,当可信验证结果为所述终端上的进程由可信转变为不可信时所述终端产生告警信息。因此上述可信验证策略检测到文件由可信转变为不可信时终端产生的告警信息包括两种情况,一是基于启动过程中的引导程序或所述引导程序的配置文件所产生的告警信息,二是基于所述终端上的文件所产生的告警信息。
针对上述几种情况下,所述告警原因数据库中预先存储的告警原因包括:所述终端启动过程中的引导程序或所述引导程序的配置文件由可信转变为不可信,所述终端上的文件由可信转变为不可信,以及所述终端上的进程由可信转变为不可信。
当与所接收的告警信息对应的告警原因为所述终端启动过程中的引导程序或引导程序的配置文件由可信转变为不可信时,与所述告警原因对应的处置建议为所述可信管理平台向所述终端下发与所述终端启动过程中的引导程序或所述引导程序的配置文件对应的可信验证策略。
当与所接收的告警信息对应的告警原因为所述终端上的文件由可信转变为不可信时,与所述告警原因对应的处置建议包括:1)所述可信管理平台向所述终端下发与所述终端上的文件对应的可信验证策略;2)所述可信管理平台向所述终端发送以备份替换所述终端上的文件的指令,所述备份为所述终端上的文件的备份且预先存储在所述终端上。
当与所接收的告警信息对应的告警原因为所述终端上的进程由可信转变为不可信时,与所述告警原因对应的处置建议为重新启动所述进程。
本发明一些具体实施例中,所述终端基于可信增强策略所产生的告警信息包括:所述可信增强策略检测到所述终端上执行的程序不在可信白名单中时所述终端产生的告警信息、所述可信增强策略检测到所述终端上链接的库文件不在可信白名单中时所述终端产生的告警信息、所述可信增强策略检测到所述终端上的应用程序非法访问没有权限的文件时所述终端产生的告警信息以及所述可信增强策略检测到所述终端上被保护的进程被关闭时所述终端产生的告警信息中的一种或多种。优选包括所述的四种告警信息。
可信增强策略主要包括可信白名单、应用程序访问控制策略、进程保护策略三方面内容。可信白名单中包括程序和库文件(包括静态库和动态库)。当执行不在可信白名单中的程序时,终端会产生告警信息并发送至可信管理平台;当链接不在可信白名单中的库文件时,终端也会产生告警信息并发送至可信管理平台;当应用程序访问控制策略检测到应用程序非法访问没有权限的文件时,终端会产生告警信息并发送至可信管理平台;当进程保护策略检测到被保护的进程被关闭时,终端也会产生告警信息并发送至可信管理平台。
针对上述几种情况下,所述告警原因数据库中预先存储的告警原因包括:所述终端上执行的程序不在可信白名单中,所述终端上链接的库文件不在可信白名单中,所述终端上的应用程序非法访问没有权限的文件,以及所述终端上被保护的进程被关闭。
当与所接收的告警信息对应的告警原因为所述终端上执行的程序不在可信白名单中时,与所述告警原因对应的处置建议包括:1)将所述程序加入所述可信白名单;2)关闭对应的告警。
当与所接收的告警信息对应的告警原因为所述终端上链接的库文件不在可信白名单中时,与所述告警原因对应的处置建议包括:1)将所述库文件加入可信白名单;2)排查并取消对所述库文件的链接。
当与所接收的告警信息对应的告警原因为所述终端上的应用程序非法访问没有权限的文件时,与所述告警原因对应的处置建议包括:1)所述可信管理平台下发新的应用程序访问控制策略至所述终端;2)排查并禁止所述的访问;其中,所述新的应用程序访问控制策略为所述终端上的应用程序对所述文件具有访问权限。
当与所接收的告警信息对应的告警原因为所述终端上被保护的进程被关闭时,与所述告警原因对应的处置建议为排查所述终端上被保护的进程被关闭是否属于异常操作。
本发明一些具体实施例中,针对终端发生原位替换时新终端与旧终端上的可信验证策略发生不一致产生的告警信息,所述告警原因数据库中预先存储的告警原因包括:终端发生原位替换时新终端与旧终端上的可信验证策略不一致。
针对这类告警,提供两种处置建议:1)可信管理平台下发旧终端的运行时策略到新终端;2)以新终端的可信验证策略更新可信管理平台中旧终端的运行时策略。
本发明一些具体实施例中,针对新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致产生的告警信息,所述告警原因数据库中预先存储的告警原因包括:终端发生原位替换时新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致。
针对这类告警,提供两种处置建议:1)以新终端的可信验证策略更新可信管理平台中的默认策略;2)升级新终端的可信验证策略,确保新终端的可信验证策略与可信管理平台中的默认策略一致。
实施例
本实施例所述的终端上配置有可信验证策略和可信增强策略。
本实施例提供一种所述的可信管理平台告警管理方法的具体实施方法,包括:
(1)可信管理平台接收终端发送的告警信息。
(2)可信管理平台将告警信息翻译成一句通俗的语言,使用户能轻松看懂告警信息;并根据告警信息,在告警原因数据库中查找与所述告警信息对应的告警原因以及与所述告警原因对应的处置建议,将所述告警信息、告警原因和处置建议发送至客户端;客户端展示告警信息、告警原因、处置建议,从而将告警信息和可能的告警原因及对应的处置建议告知用户,提示用户如何处置。
本发明可以针对每一个告警信息提供相应的处置建议,形成告警闭环处理。具体如下:
A.针对基于可信验证策略的告警
所述可信验证策略包括启动可信验证、静态可信验证和动态可信验证。所述启动可信验证是对所述终端启动过程中的引导程序和引导程序的配置文件进行可信验证,当可信验证结果为终端启动过程中的引导程序和引导程序的配置文由可信转变为不可信时终端产生告警信息;此时告警信息所对应的告警原因即是所述终端启动过程中的引导程序或所述引导程序的配置文件由可信转变为不可信;针对这种告警信息,对应的处置建议为所述可信管理平台向所述终端下发与所述终端启动过程中的引导程序或引导程序的配置文件对应的可信验证策略,以替换终端上终端启动过程中的引导程序或所述引导程序的配置文件原有的可信验证策略。客户端收到告警信息、告警原因和处置建议后,将所述的处置建议作为处置方案反馈给可信管理平台,可信管理平台向终端重新下发与所述终端启动过程中的引导程序或引导程序的配置文件对应的可信验证策略,从而恢复可信状态。
所述静态可信验证是对所述终端上的文件进行可信验证,当可信验证结果为所述终端上的文件由可信转变为不可信时终端产生告警信息,此时告警信息所对应的告警原因即是所述终端上的文件由可信转变为不可信;针对这种告警信息,对应的处置建议包括:1)所述可信管理平台向所述终端下发与所述终端上的文件对应的可信验证策略;2)所述可信管理平台向所述终端发送以备份替换所述终端上的文件的指令,所述备份为所述终端上的文件的备份且预先存储在所述终端上。客户端收到告警信息、告警原因和处置建议后,可以从两种处置建议中选择其中一种作为最终的处置方案,反馈给可信管理平台,可信管理平台根据客户端选择的处置方案向终端发送相应的信息。
所述动态可信验证是对终端上的进程进行可信验证,当可信验证结果为所述进程由可信转变为不可信时终端产生告警信息,此时告警信息所对应的告警原因即是终端上的进程由可信转变为不可信;针对这种告警信息,对应的处置建议为重新启动所述进程,即由用户直接登入终端,重新启动所述的进程。
B.针对基于可信增强策略的告警
所述可信增强策略主要包括可信白名单、应用程序访问控制策略、进程保护策略三方面内容。可信白名单中包括程序和库文件,库文件包括静态库和动态库。
当终端上执行的程序不在可信白名单中时,终端会产生告警信息并发送至可信管理平台,此时告警信息所对应的告警原因即是终端上执行的程序不在可信白名单中;针对这种告警信息,对应的处置建议为将所述程序加入可信白名单或者关闭对应的告警。当客户端收到告警信息、告警原因和处置建议时,会判断程序是否应该在可信白名单中,如果是则选择将所述程序加入可信白名单作为处置方案发送给可信管理平台,可信管理平台下发将所述程序加入可信白名单的指令给终端(具体是终端上的终端可信模块),终端将所述程序加入可信白名单;如果不是,则将关闭对应的告警作为处置方案发送给可信管理平台,可信管理平台关闭对应的告警。
当终端上链接的库文件不在可信白名单中时,终端也会产生告警信息并发送至可信管理平台,此时告警信息所对应的告警原因即是终端上链接的库文件不在可信白名单中;针对这种告警信息,对应的处置建议包括:1)将所述库文件加入可信白名单;2)排查并取消对所述库文件的链接。当客户端收到告警信息、告警原因和处置建议时,会判断链接所述库文件是否为正常操作,如果是则选择将所述库文件加入可信白名单作为处置方案发送给可信管理平台,可信管理平台下发将所述库文件加入可信白名单指令给终端,终端将所述库文件加入可信白名单;如果链接所述库文件不是正常操作,则用户需要在终端上排查所述库文件并取消对所述库文件的链接。
当应用程序访问控制策略检测到终端上的应用程序非法访问没有权限的文件时,终端会产生告警信息并发送至可信管理平台,此时告警信息所对应的告警原因即是终端上的应用程序非法访问没有权限的文件;针对这种告警信息,对应的处置建议包括:1)可信管理平台下发新的应用程序访问控制策略(所述新的应用程序访问控制策略为所述终端上的应用程序对所述文件具有访问权限)至终端;2)排查并禁止所述的访问。客户端收到告警信息、告警原因和处置建议后,会排查是否为正常访问,若是正常访问,则选择可信管理平台下发新的应用程序访问控制策略至终端的处置建议作为处置方案并发送至可信管理平台,可信管理平台下发新的应用程序访问控制策略至终端;若是恶意访问,则用户在终端上禁止所述的访问以消除隐患,可信管理平台更新告警状态,即关闭告警。
当进程保护策略检测到终端上被保护的进程被关闭时,终端也会产生告警信息并发送至可信管理平台,此时告警信息所对应的告警原因即是终端上被保护的进程被关闭;针对这种告警信息,对应的处置建议为排查是什么用户、什么时间进行的关闭操作,排查攻击,排查过后无异常(比如误操作),则重启被关闭的进程,可信管理平台关闭告警;如有异常,则采用清除攻击程序等手段恢复***。
C.针对终端发生原位替换时产生的告警
终端发生原位替换时,新终端和旧终端上的可信验证策略发生不一致时,也会产生告警。此时,告警原因为新终端与旧终端上的可信验证策略不一致。针对这类告警,可信管理平台提供两种处置建议给客户端:1)可信管理平台下发旧终端的运行时策略到新终端;2)以新终端的可信验证策略更新可信管理平台中旧终端的运行时策略。客户端收到告警信息、告警原因和处置建议后,可以从两种处置方案中选择其中一种作为最终的处置方案,反馈给可信管理平台,可信管理平台根据客户端选择的处置方案向终端发送相应的信息。
新终端注册到管理平台,新终端的可信验证策略与管理平台中此类终端的默认策略不一致时,也会产生告警,针对这类告警,提供两种处置建议给客户端:1)以新终端的可信验证策略更新可信管理平台中的默认策略;2)升级新终端的可信验证策略,确保新终端的可信验证策略与可信管理平台中的默认策略一致。客户端收到告警信息、告警原因和处置建议后,可以从两种处置方案中选择其中一种作为最终的处置方案,反馈给可信管理平台,可信管理平台根据客户端选择的处置方案向终端发送相应的信息。
本发明中,还可以根据筛选条件,一键关闭所有同类告警;具体的:选择告警的关闭条件,可信管理平台会将符合关闭条件的告警全部关闭。
下述为本发明的装置实施例,可以用于执行本发明方法实施例。对于装置实施例中未纰漏的细节,请参照本发明方法实施例。
本发明再一实施例中,提供一种可信管理平台告警管理***,其特征在于,包括:可信管理平台,所述可信管理平台包括接收模块、分析模块和处置模块;
所述接收模块,用于接收终端发送的告警信息;
所述分析模块,用于在预先存储的告警原因数据库中查找与所接收的告警信息对应的告警原因以及与所述告警原因对应的处置建议;并将所述告警信息、告警原因和处置建议发送至客户端;其中,所述告警原因数据库中预先存储有与多个告警信息分别对应的告警原因以及与告警原因对应的处置建议;
所述处置模块,用于接收所述客户端发送的处置方案,并发送至所述终端;所述处置方案为所述客户端根据所述告警信息、告警原因和处置建议得到的处置方案。
本发明再一个实施例中,提供了一种计算机设备,该计算机设备包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于执行所述计算机存储介质存储的程序指令。处理器可能是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor、DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其是终端的计算核心以及控制核心,其适于实现一条或一条以上指令,具体适于加载并执行计算机存储介质内一条或一条以上指令从而实现相应方法流程或相应功能;本发明实施例所述的处理器可以用于可信管理平台告警管理方法的操作。
本发明再一个实施例中,本发明还提供了一种存储介质,具体为计算机可读存储介质(Memory),所述计算机可读存储介质是计算机设备中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机可读存储介质既可以包括计算机设备中的内置存储介质,当然也可以包括计算机设备所支持的扩展存储介质。计算机可读存储介质提供存储空间,该存储空间存储了终端的操作***。并且,在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机可读存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令,以实现上述实施例中有关可信管理平台告警管理方法的相应步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种可信管理平台告警管理方法,其特征在于,包括:
S1,可信管理平台接收终端发送的告警信息;
S2,所述可信管理平台在预先存储的告警原因数据库中查找与所接收的告警信息对应的告警原因以及与所述告警原因对应的处置建议;并将所述告警信息、告警原因和处置建议发送至客户端;其中,所述告警原因数据库中预先存储有与多个告警信息分别对应的告警原因以及与告警原因对应的处置建议;
S3,所述可信管理平台接收所述客户端发送的处置方案,并发送至所述终端;所述处置方案为所述客户端根据所述告警信息、告警原因和处置建议得到的处置方案。
2.根据权利要求1所述的可信管理平台告警管理方法,其特征在于,S1中,所述的终端包括DCS控制器、工程师站、历史站和操作员站中的一种或几种。
3.根据权利要求1所述的可信管理平台告警管理方法,其特征在于,S2中,所述告警原因数据库中预先存储的告警原因包括:所述终端启动过程中的引导程序或所述引导程序的配置文件由可信转变为不可信,所述终端上的文件由可信转变为不可信,以及所述终端上的进程由可信转变为不可信。
4.根据权利要求3所述的可信管理平台告警管理方法,其特征在于,S2中,当告警原因为所述终端启动过程中的引导程序或所述引导程序的配置文件由可信转变为不可信时,与所述告警原因对应的处置建议为所述可信管理平台向所述终端下发与所述终端启动过程中的引导程序或所述引导程序的配置文件对应的可信验证策略;
当告警原因为所述终端上的文件由可信转变为不可信时,与所述告警原因对应的处置建议包括:1)所述可信管理平台向所述终端下发与所述终端上的文件对应的可信验证策略;2)所述可信管理平台向所述终端发送以备份替换所述终端上的文件的指令,所述备份为所述终端上的文件的备份且预先存储在所述终端上;
当告警原因为所述终端上的进程由可信转变为不可信时,与所述告警原因对应的处置建议为重新启动所述进程。
5.根据权利要求1所述的可信管理平台告警管理方法,其特征在于,S2中,所述告警原因数据库中预先存储的告警原因包括:所述终端上执行的程序不在可信白名单中,所述终端上链接的库文件不在可信白名单中,所述终端上的应用程序非法访问没有权限的文件,以及所述终端上被保护的进程被关闭。
6.根据权利要求5所述的可信管理平台告警管理方法,其特征在于,S2中,当告警原因为所述终端上执行的程序不在可信白名单中时,与所述告警原因对应的处置建议包括:1)将所述程序加入所述可信白名单;2)关闭对应的告警;
当告警原因为所述终端上链接的库文件不在可信白名单中时,与所述告警原因对应的处置建议包括:1)将所述库文件加入可信白名单;2)排查并取消对所述库文件的链接;
当告警原因为所述终端上的应用程序非法访问没有权限的文件时,与所述告警原因对应的处置建议包括:1)所述可信管理平台下发新的应用程序访问控制策略至所述终端;2)排查并禁止所述的访问;其中,所述新的应用程序访问控制策略为所述应用程序对所述文件具有访问权限;
当告警原因为所述终端上被保护的进程被关闭时,与所述告警原因对应的处置建议为排查所述终端上被保护的进程被关闭是否属于异常操作。
7.根据权利要求1所述的可信管理平台告警管理方法,其特征在于,S2中,所述告警原因数据库中预先存储的告警原因包括:终端发生原位替换时新终端与旧终端上的可信验证策略不一致,以及终端发生原位替换时新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致;其中,终端发生原位替换时,替换前的终端称为旧终端,替换后的终端称为新终端;
当告警原因为终端发生原位替换时新终端与旧终端上的可信验证策略不一致时,对应的处置建议包括:1)可信管理平台下发旧终端的运行时策略到新终端;2)以新终端的可信验证策略更新可信管理平台中旧终端的运行时策略;
当告警原因为终端发生原位替换时新终端的可信验证策略与可信管理平台中和新终端对应的默认策略不一致时,对应的处置建议包括:1)以新终端的可信验证策略更新可信管理平台中的所述默认策略;2)升级新终端的可信验证策略,使新终端的可信验证策略与可信管理平台中的所述默认策略一致。
8.一种可信管理平台告警管理***,其特征在于,包括:可信管理平台,所述可信管理平台包括接收模块、分析模块和处置模块;
所述接收模块,用于接收终端发送的告警信息;
所述分析模块,用于在预先存储的告警原因数据库中查找与所接收的告警信息对应的告警原因以及与所述告警原因对应的处置建议;并将所述告警信息、告警原因和处置建议发送至客户端;其中,所述告警原因数据库中预先存储有与多个告警信息分别对应的告警原因以及与告警原因对应的处置建议;
所述处置模块,用于接收所述客户端发送的处置方案,并发送至所述终端;所述处置方案为所述客户端根据所述告警信息、告警原因和处置建议得到的处置方案。
9.一种计算机设备,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7任意一项所述可信管理平台告警管理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述可信管理平台告警管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410422700.3A CN118012725B (zh) | 2024-04-09 | 一种可信管理平台告警管理方法、***、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410422700.3A CN118012725B (zh) | 2024-04-09 | 一种可信管理平台告警管理方法、***、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN118012725A true CN118012725A (zh) | 2024-05-10 |
CN118012725B CN118012725B (zh) | 2024-07-09 |
Family
ID=
Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850252B1 (en) * | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
US20120331290A1 (en) * | 2011-06-24 | 2012-12-27 | Broadcom Corporation | Method and Apparatus for Establishing Trusted Communication With External Real-Time Clock |
US9185089B2 (en) * | 2011-12-20 | 2015-11-10 | Apple Inc. | System and method for key management for issuer security domain using global platform specifications |
CN110598645A (zh) * | 2019-09-17 | 2019-12-20 | 北京西骏数据科技股份有限公司 | 一种快速修复信息***的故障和风险的方法 |
CN112884177A (zh) * | 2021-03-09 | 2021-06-01 | 国网冀北电力有限公司信息通信分公司 | 通信管理***缺陷派单方法及装置 |
CN113821408A (zh) * | 2021-09-23 | 2021-12-21 | 中国建设银行股份有限公司 | 一种服务器告警处理方法及相关设备 |
CN114422327A (zh) * | 2022-01-14 | 2022-04-29 | 杭州立思辰安科科技有限公司 | 一种告警处置建议生成方法、装置、***和计算机可读存储介质 |
CN114710390A (zh) * | 2022-02-18 | 2022-07-05 | 联通沃悦读科技文化有限公司 | 针对互联网***的监控告警方法及***、设备及介质 |
CN115865613A (zh) * | 2022-10-25 | 2023-03-28 | 中国工商银行股份有限公司 | 基础环境故障处理方法及装置 |
CN116880415A (zh) * | 2023-08-10 | 2023-10-13 | 西安热工研究院有限公司 | Dcs控制器可信验证告警***及方法 |
CN117032113A (zh) * | 2023-08-10 | 2023-11-10 | 西安热工研究院有限公司 | Dcs控制器及其主备控制器可信工作方法和*** |
CN117055501A (zh) * | 2023-09-12 | 2023-11-14 | 华能山东发电有限公司 | 可信dcs上位机***的部署方法、***、设备及存储介质 |
CN117093423A (zh) * | 2023-10-18 | 2023-11-21 | 西安热工研究院有限公司 | 可信dcs终端间数据同步方法、***、电子设备及存储介质 |
CN117130875A (zh) * | 2023-08-21 | 2023-11-28 | 中国银行股份有限公司 | 告警信息处理方法、装置及设备 |
CN117155685A (zh) * | 2023-09-15 | 2023-12-01 | 西安热工研究院有限公司 | Dcs***关键数据可信采集传输方法、***及存储介质 |
CN117195231A (zh) * | 2023-09-14 | 2023-12-08 | 华能威海发电有限责任公司 | 可信dcs控制器实时操作***的安全防护方法、***及介质 |
CN117195205A (zh) * | 2023-11-06 | 2023-12-08 | 西安热工研究院有限公司 | 可信dcs上位机程序动态验证方法、***、设备及介质 |
CN117234179A (zh) * | 2023-09-13 | 2023-12-15 | 西安热工研究院有限公司 | 一种基于可信计算的异常捕获及处理***和方法 |
CN117290852A (zh) * | 2023-09-26 | 2023-12-26 | 西安热工研究院有限公司 | 可信dcs终端动态管理方法、***、电子设备及存储介质 |
CN117311311A (zh) * | 2023-09-14 | 2023-12-29 | 西安热工研究院有限公司 | Dcs控制器可信度量方法、***、电子设备及存储介质 |
Patent Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850252B1 (en) * | 1999-10-05 | 2005-02-01 | Steven M. Hoffberg | Intelligent electronic appliance system and method |
US20120331290A1 (en) * | 2011-06-24 | 2012-12-27 | Broadcom Corporation | Method and Apparatus for Establishing Trusted Communication With External Real-Time Clock |
US9185089B2 (en) * | 2011-12-20 | 2015-11-10 | Apple Inc. | System and method for key management for issuer security domain using global platform specifications |
CN110598645A (zh) * | 2019-09-17 | 2019-12-20 | 北京西骏数据科技股份有限公司 | 一种快速修复信息***的故障和风险的方法 |
CN112884177A (zh) * | 2021-03-09 | 2021-06-01 | 国网冀北电力有限公司信息通信分公司 | 通信管理***缺陷派单方法及装置 |
CN113821408A (zh) * | 2021-09-23 | 2021-12-21 | 中国建设银行股份有限公司 | 一种服务器告警处理方法及相关设备 |
CN114422327A (zh) * | 2022-01-14 | 2022-04-29 | 杭州立思辰安科科技有限公司 | 一种告警处置建议生成方法、装置、***和计算机可读存储介质 |
CN114710390A (zh) * | 2022-02-18 | 2022-07-05 | 联通沃悦读科技文化有限公司 | 针对互联网***的监控告警方法及***、设备及介质 |
CN115865613A (zh) * | 2022-10-25 | 2023-03-28 | 中国工商银行股份有限公司 | 基础环境故障处理方法及装置 |
CN117032113A (zh) * | 2023-08-10 | 2023-11-10 | 西安热工研究院有限公司 | Dcs控制器及其主备控制器可信工作方法和*** |
CN116880415A (zh) * | 2023-08-10 | 2023-10-13 | 西安热工研究院有限公司 | Dcs控制器可信验证告警***及方法 |
CN117130875A (zh) * | 2023-08-21 | 2023-11-28 | 中国银行股份有限公司 | 告警信息处理方法、装置及设备 |
CN117055501A (zh) * | 2023-09-12 | 2023-11-14 | 华能山东发电有限公司 | 可信dcs上位机***的部署方法、***、设备及存储介质 |
CN117234179A (zh) * | 2023-09-13 | 2023-12-15 | 西安热工研究院有限公司 | 一种基于可信计算的异常捕获及处理***和方法 |
CN117195231A (zh) * | 2023-09-14 | 2023-12-08 | 华能威海发电有限责任公司 | 可信dcs控制器实时操作***的安全防护方法、***及介质 |
CN117311311A (zh) * | 2023-09-14 | 2023-12-29 | 西安热工研究院有限公司 | Dcs控制器可信度量方法、***、电子设备及存储介质 |
CN117155685A (zh) * | 2023-09-15 | 2023-12-01 | 西安热工研究院有限公司 | Dcs***关键数据可信采集传输方法、***及存储介质 |
CN117290852A (zh) * | 2023-09-26 | 2023-12-26 | 西安热工研究院有限公司 | 可信dcs终端动态管理方法、***、电子设备及存储介质 |
CN117093423A (zh) * | 2023-10-18 | 2023-11-21 | 西安热工研究院有限公司 | 可信dcs终端间数据同步方法、***、电子设备及存储介质 |
CN117195205A (zh) * | 2023-11-06 | 2023-12-08 | 西安热工研究院有限公司 | 可信dcs上位机程序动态验证方法、***、设备及介质 |
Non-Patent Citations (1)
Title |
---|
张磊;陈兴蜀;刘亮;李辉;: "基于虚拟机的内核完整性保护技术", 电子科技大学学报, no. 01, 30 January 2015 (2015-01-30) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101122517B1 (ko) | 런타임 보안 보장을 위한 자율 메모리 검사기 및 이의 방법 | |
US8443354B1 (en) | Detecting new or modified portions of code | |
US8151249B2 (en) | Operating system monitoring setting information generator apparatus and operating system monitoring apparatus | |
US8566949B2 (en) | Software component, software component management method, and software component management system | |
KR102036411B1 (ko) | 보안 엘리먼트의 비휘발성 메모리 내로의 데이터의 로딩의 보안화 | |
CN111400723A (zh) | 基于tee扩展的操作***内核强制访问控制方法及*** | |
CN101685487A (zh) | Api检查装置以及状态监视装置 | |
CN101084504A (zh) | 具有改进的器件安全性的集成电路 | |
CN105404559B (zh) | 在数据处理装置中进行除错 | |
CN108334404B (zh) | 应用程序的运行方法和装置 | |
CN106997435B (zh) | 一种操作***安全防控的方法、装置及*** | |
CN107045605A (zh) | 一种实时度量方法及装置 | |
CN118012725B (zh) | 一种可信管理平台告警管理方法、***、设备及存储介质 | |
CN114116118A (zh) | 容器应用程序安全监测方法、装置、电子设备及介质 | |
KR20200041639A (ko) | 차량용 소프트웨어 업데이트 장치 및 그 제어 방법 | |
CN118012725A (zh) | 一种可信管理平台告警管理方法、***、设备及存储介质 | |
CN110941825B (zh) | 一种应用监控方法及装置 | |
CN110392887B (zh) | 具有防止网络犯罪威胁的安全措施的方法和计算机 | |
CN115935373A (zh) | 用于保护操作***内核的方法和装置 | |
US20200244461A1 (en) | Data Processing Method and Apparatus | |
CN110188539B (zh) | 一种运行应用的方法、装置及*** | |
CN114329444A (zh) | ***安全提升方法及装置 | |
CN111125717A (zh) | 一种安全运行bios驱动程序的方法、装置、设备及介质 | |
CN110647771A (zh) | 一种mysql数据库存储完整性校验保护方法及装置 | |
CN117076002B (zh) | 一种安全启动方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |