本發(fā)明屬于可信火電dcs系統(tǒng)，具體涉及一種可信策略增量下發(fā)方法及相關裝置。

背景技術：

1、隨著工業(yè)環(huán)境日益復雜和網(wǎng)絡安全威脅的日益嚴峻，國產(chǎn)可信dcs(distributedcontrol?system，分布式控制系統(tǒng))管理系統(tǒng)的安全性成為不容忽視的重要問題，傳統(tǒng)的安全手段已難以滿足當前工業(yè)系統(tǒng)對高度可信性的需求。因此，國產(chǎn)可信dcs管理系統(tǒng)在設計和實施中，特別強調(diào)了可信策略的重要性。國產(chǎn)可信dcs管理系統(tǒng)通常是由dcs、上位機和歷史站等設備組成一個完整的管理系統(tǒng)。dcs系統(tǒng)集成了先進的控制算法、高速數(shù)據(jù)處理能力及遠程監(jiān)控功能，廣泛應用于電力、化工、石油、冶金等多個關鍵行業(yè)，對保障生產(chǎn)安全、提高運營效率起著至關重要的作用。這些設備在出廠時已經(jīng)為系統(tǒng)設置了可信策略：可信啟動、靜態(tài)可信驗證、動態(tài)可信驗證、可信白名單、進程保護、應用程序訪問控制，每中類型的策略都保證了設備上固件及文件的安全性，共同構(gòu)建了一個多層次的防御體系，旨在防止未授權訪問、惡意軟件入侵以及數(shù)據(jù)篡改等安全威脅。

2、然而，隨著系統(tǒng)或軟件的不斷升級，這些策略在升級以后，就會隨升級而改變，有的文件甚至沒有策略，在這一過程中對系統(tǒng)的安全帶來很大的安全隱患，因此可信策略的管理很重要，既要保證管理平臺的策略和設備上的策略的一致性，又要保證設備上的策略不會少管或漏管帶來的安全問題，還要保證設備上的策略不會多管帶來的文件無法修改及程序無法執(zhí)行等問題。

技術實現(xiàn)思路

1、本發(fā)明提供一種可信策略增量下發(fā)方法及相關裝置，以解決現(xiàn)有技術中dcs管理系統(tǒng)在升級后設備中的策略無法與管理平臺的策略保持一致的問題。

2、為達到上述目的，本發(fā)明采用以下技術方案：

3、第一方面，一種可信策略增量下發(fā)方法，包括以下步驟：

4、獲取下發(fā)可信策略和設備已有可信策略；

5、開啟對比線程后對比所述下發(fā)可信策略和設備已有可信策略，得到對比結(jié)果，根據(jù)所述對比結(jié)果對所述設備已有可信策略進行管理，同時將所述對比結(jié)果進行分類，得到分類結(jié)果；

6、根據(jù)所述分類結(jié)果重新組織所述下發(fā)可信策略，得到更新后下發(fā)可信策略，dcs設備開啟多線程獲取所述更新后下發(fā)可信策略，完成可信策略增量下發(fā)。

7、在一些實施方式中，獲取所述下發(fā)可信策略和設備已有可信策略時，檢查所述下發(fā)可信策略是否合法，若合法，則開啟對比線程后對比所述下發(fā)可信策略和設備已有可信策略；若不合法，則停止獲取所述下發(fā)可信策略。

8、在一些實施方式中，所述對比結(jié)果包括：下發(fā)可信策略與設備已有可信策略一致、下發(fā)可信策略多于設備已有可信策略和下發(fā)可信策略少于設備已有可信策略。

9、在一些實施方式中，所述根據(jù)所述對比結(jié)果對所述設備已有可信策略進行管理的步驟，具體包括：

10、若對比結(jié)果為下發(fā)可信策略與設備已有可信策略一致，則dcs設備停止獲取所述下發(fā)可信策略；

11、若對比結(jié)果為下發(fā)可信策略多于設備已有可信策略，則根據(jù)所述分類結(jié)果重新組織所述下發(fā)可信策略；

12、若對比結(jié)果為下發(fā)可信策略少于設備已有可信策略，則刪除所述設備已有可信策略中未包含在所述下發(fā)可信策略內(nèi)的部分。

13、在一些實施方式中，所述更新后下發(fā)可信策略包括：可信啟動策略、靜態(tài)可信驗證策略、動態(tài)可信驗證策略、可信白名單策略、進程保護策略和應用程序訪問控制下發(fā)策略。

14、在一些實施方式中，所述每個dcs設備開啟六個線程，每個線程對應獲取一種更新后下發(fā)可信策略。

15、第二方面，一種可信策略增量下發(fā)系統(tǒng)，包括：

16、可信策略獲取模塊，用于獲取下發(fā)可信策略和設備已有可信策略；

17、可信策略對比模塊，用于開啟對比線程后對比所述下發(fā)可信策略和設備已有可信策略，得到對比結(jié)果，根據(jù)所述對比結(jié)果對所述設備已有可信策略進行管理，同時將所述對比結(jié)果進行分類，得到分類結(jié)果；

18、可信策略下發(fā)模塊，用于根據(jù)所述分類結(jié)果重新組織所述下發(fā)可信策略，得到更新后下發(fā)可信策略，dcs設備開啟多線程獲取所述更新后下發(fā)可信策略，完成可信策略增量下發(fā)。

19、第三方面，一種計算機設備，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器中運行的計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)所述一種可信策略增量下發(fā)方法的步驟。

20、第四方面，一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)所述一種可信策略增量下發(fā)方法的步驟。

21、第五方面，一種計算機程序產(chǎn)品，所述計算機產(chǎn)品包括計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)所述一種可信策略增量下發(fā)方法的步驟。

22、與現(xiàn)有技術相比，本發(fā)明具有以下有益效果：

23、本發(fā)明提供一種可信策略增量下發(fā)方法，通過開啟對比線程后對比所述下發(fā)可信策略和設備已有可信策略，根據(jù)對比結(jié)果對所述設備已有可信策略進行管理，同時將所述對比結(jié)果進行分類，根據(jù)分類結(jié)果重新組織所述下發(fā)可信策略，得到更新后下發(fā)可信策略，dcs設備開啟多線程獲取所述更新后下發(fā)可信策略，完成可信策略增量下發(fā)，可以使設備上的策略和受管理的策略一致，對比后再將策略消息下發(fā)，能夠減少流量開支；同時通過該方法能夠保證設備上的策略和管理平臺的策略一致，不會影響設備上系統(tǒng)的運行，不會因策略減少而導致系統(tǒng)關鍵進程無法開啟，從而達到可信策略不會少管或多管帶來的安全問題，極大減少管理成本。

24、進一步地，本發(fā)明在獲取下發(fā)可信策略前進行合法性檢查，防止非法或惡意的策略被下發(fā)到設備上，增強系統(tǒng)安全性。

25、進一步地，本發(fā)明開啟多線程獲取可信策略，能夠提高系統(tǒng)的并行處理能力，適用于大規(guī)模設備集群的場景。

技術特征：

1.一種可信策略增量下發(fā)方法，其特征在于，包括以下步驟：

2.根據(jù)權利要求1所述的一種可信策略增量下發(fā)方法，其特征在于，獲取所述下發(fā)可信策略和設備已有可信策略時，檢查所述下發(fā)可信策略是否合法，若合法，則開啟對比線程后對比所述下發(fā)可信策略和設備已有可信策略；若不合法，則停止獲取所述下發(fā)可信策略。

3.根據(jù)權利要求1所述的一種可信策略增量下發(fā)方法，其特征在于，所述對比結(jié)果包括：下發(fā)可信策略與設備已有可信策略一致、下發(fā)可信策略多于設備已有可信策略和下發(fā)可信策略少于設備已有可信策略。

4.根據(jù)權利要求3所述的一種可信策略增量下發(fā)方法，其特征在于，所述根據(jù)所述對比結(jié)果對所述設備已有可信策略進行管理的步驟，具體包括：

5.根據(jù)權利要求1所述的一種可信策略增量下發(fā)方法，其特征在于，所述更新后下發(fā)可信策略包括：可信啟動策略、靜態(tài)可信驗證策略、動態(tài)可信驗證策略、可信白名單策略、進程保護策略和應用程序訪問控制下發(fā)策略。

6.根據(jù)權利要求5所述的一種可信策略增量下發(fā)方法，其特征在于，所述每個dcs設備開啟六個線程，每個線程對應獲取一種更新后下發(fā)可信策略。

7.一種可信策略增量下發(fā)系統(tǒng)，其特征在于，包括：

8.一種計算機設備，其特征在于，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器中運行的計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)權利要求1～6任一項所述一種可信策略增量下發(fā)方法的步驟。

9.一種計算機可讀存儲介質(zhì)，其特征在于，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)權利要求1～6任一項所述一種可信策略增量下發(fā)方法的步驟。

10.一種計算機程序產(chǎn)品，所述計算機產(chǎn)品包括計算機程序，其特征在于，所述計算機程序被處理器執(zhí)行時實現(xiàn)權利要求1～6任一項所述一種可信策略增量下發(fā)方法的步驟。

技術總結(jié)
本發(fā)明屬于可信火電DCS系統(tǒng)技術領域，公開了一種可信策略增量下發(fā)方法及相關裝置，包括以下步驟：獲取下發(fā)可信策略和設備已有可信策略；開啟對比線程后對比所述下發(fā)可信策略和設備已有可信策略，得到對比結(jié)果，根據(jù)所述對比結(jié)果對所述設備已有可信策略進行管理，同時將所述對比結(jié)果進行分類，得到分類結(jié)果；根據(jù)所述分類結(jié)果重新組織所述下發(fā)可信策略，得到更新后下發(fā)可信策略，DCS設備開啟多線程獲取所述更新后下發(fā)可信策略，完成可信策略增量下發(fā)。本發(fā)明能夠解決現(xiàn)有技術中DCS管理系統(tǒng)在升級后設備中的策略無法與管理平臺的策略保持一致的問題。

技術研發(fā)人員：李廣亭,曾亮,張軍,高少華,程國棟,翟亮晶,張勇,韓培林,常曉杰,焦龍,李卓,管磊,李業(yè)旺,劉海潔
受保護的技術使用者：西安熱工研究院有限公司
技術研發(fā)日：
技術公布日：2024/12/30