[发明专利]对电力控制系统中应用程序提供安全防护的方法及装置

说明书

本申请公开了一种对电力控制系统中应用程序提供安全防护的方法及装置，涉及电力控制系统安全防护技术领域。本申请的主要技术方案为：对于系统中的应用程序，本申请为其创建应用域，该应用域中至少包括应用进程及其对应的应用资源，并在应用域中创建虚拟化隔离模型，用于将可信进程和应用程序的私有资源划分存储在应用域中的可信域中，以及还在应用域中为应用程序的公共资源创建镜像文件，从而对于已启动的目标应用程序，如果需要调用对应的私有资源则需要利用可信进程来访问获取，以及如果需要使用对应的公共资源则操作镜像文件。本申请应用于优化对电力控制系统中应用程序的安全防护。

技术领域

本申请涉及电力控制系统安全防护技术领域，尤其涉及一种对电力控制系统中应用程序提供安全防护的方法及装置。

背景技术

对数据远程访问的需求促使电力企业建立到工业控制网络的连接。并且，由于企业网络往往连接到互联网，电力控制系统也使用互联网或广域网将数据传输到远程站点、设备，IT系统与电力控制系统间的互联已经成为电力控制系统安全的薄弱环节，来自互联网的各种安全威胁也正在影响着电力控制系统的安全运行。

所以为规避由于非法用户入侵电力控制服务器操作或篡改系统资源，导致干扰应用程序正常工作等安全威胁，亟待更优的解决方案。

发明内容

有鉴于此，本申请提供一种对电力控制系统中应用程序提供安全防护的方法及装置，通过对系统中应用程序进行应用域的管理，以提供对应用程序的更加优化的安全防护解决方案。

为了达到上述目的，本申请主要提供如下技术方案：

本申请第一方面提供了一种对电力控制系统中应用程序提供安全防护的方法，该方法包括：

为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；

在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；

在所述应用域中创建所述公共资源对应的镜像文件；

响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。

在本申请第一方面的一些变更实施方式中，在基于所述已启动的目标应用程序执行操作之前，所述方法还包括：

响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；

若否，则禁止启动所述目标应用程序；

若是，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；若通过校验，则启动所述目标应用程序。

在本申请第一方面的一些变更实施方式中，所述利用预置可信度量机制对所述目标应用程序的可执行文件进行校验，包括：

计算所述目标应用程序的可执行文件对应的特征值；

校验所述特征值是否与基准值一致，所述基准值为上一个周期计算并存储的所述目标应用程序的可执行文件对应的特征值。

在本申请第一方面的一些变更实施方式中，所述在所述应用域中创建所述公共资源对应的镜像文件，包括：

将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；

基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。

本申请第二方面提供了一种对电力控制系统中应用程序提供安全防护的装置，该装置包括：