CN107395395B - 安全防护系统的处理方法和装置 - Google Patents

安全防护系统的处理方法和装置 Download PDF

Info

Publication number
CN107395395B
CN107395395B CN201710467458.1A CN201710467458A CN107395395B CN 107395395 B CN107395395 B CN 107395395B CN 201710467458 A CN201710467458 A CN 201710467458A CN 107395395 B CN107395395 B CN 107395395B
Authority
CN
China
Prior art keywords
state
server
protection system
safety protection
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710467458.1A
Other languages
English (en)
Other versions
CN107395395A (zh
Inventor
孙少华
杨林慧
苏生平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Qinghai Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Qinghai Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Qinghai Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201710467458.1A priority Critical patent/CN107395395B/zh
Publication of CN107395395A publication Critical patent/CN107395395A/zh
Application granted granted Critical
Publication of CN107395395B publication Critical patent/CN107395395B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种安全防护系统的处理方法和装置。其中,该方法包括:获取安全防护系统的状态信息,其中,状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态;根据状态信息,判断安全防护系统是否出现故障;如果判断出安全防护系统出现故障,则对安全防护系统进行处理。本发明解决了现有技术中当安全防护系统出现故障时,处理效率低的技术问题。

Description

安全防护系统的处理方法和装置
技术领域
本发明涉及电力系统领域,具体而言,涉及一种安全防护系统的处理方法和装置。
背景技术
在电力系统中,用户通过内网进行信息传递与沟通,整个内网由内网管理系统(Intranet Management System,简称为IMS)进行统一调度与管理,为了保证整个内网的安全,可以通过安全防护系统对内网进行病毒防护。
但是,在现有技术中,当安全防护系统出现故障时,需要协调不同运维人员对安全防护系统、内网管理系统、客户端和服务器进行检测,确定故障原因,并对故障进行处理,整个处理过程复杂且效率低。
针对现有技术中当安全防护系统出现故障时,处理效率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种安全防护系统的处理方法和装置,以至少解决现有技术中当安全防护系统出现故障时,处理效率低的技术问题。
根据本发明实施例的一个方面,提供了一种安全防护系统的处理方法,包括:获取安全防护系统的状态信息,其中,状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态;根据状态信息,判断安全防护系统是否出现故障;如果判断出安全防护系统出现故障,则对安全防护系统进行处理。
根据本发明实施例的另一方面,还提供了一种安全防护系统的处理装置,包括:获取模块,用于获取安全防护系统的状态信息,其中,状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态;判断模块,用于根据状态信息,判断安全防护系统是否出现故障;处理模块,用于如果判断出安全防护系统出现故障,则对安全防护系统进行处理。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述实施例中的安全防护系统的处理方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述实施例中的安全防护系统的处理方法。
在本发明实施例中,获取安全防护系统的状态信息,根据状态信息,判断安全防护系统是否出现故障,如果判断出安全防护系统出现故障,则对安全防护系统进行处理,从而实现对安全防护系统进行处理的目的。容易注意到的是,由于可以实时获取安全防护系统的状态信息,并根据状态信息判断安全防护系统是否出现故障,如果确定出现故障,则立即对安全防护系统进行处理,整个处理过程简单高效,从而解决了现有技术中当安全防护系统出现故障时,处理效率低的技术问题。因此,本发明上述实施例提供的方案,可以达到简化处理过程、提高处理效率的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种安全防护系统的处理方法的流程图;
图2是根据本发明实施例的一种可选的安全防护系统的示意图;以及
图3是根据本发明实施例的一种安全防护系统的处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种安全防护系统的处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种安全防护系统的处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取安全防护系统的状态信息,其中,状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态。
具体地,上述的安全防护系统可以是瑞星防病毒系统,本发明对此不做具体限定;与内网管理系统的数据传输状态可以包括:接口状态和数据显示状态;客户端状态可以包括:与安全防护系统的连接状态、数据库的更新状态、事件状态、已经安装的第二预设应用的状态、与客户端连接的移动设备中的感染文件的状态以及已经安装的第一预设应用的策略更新状态;服务器状态可以包括:第一服务器的日志信息、第一服务器的状态、第三服务器的网络流量的状态以及第四服务器的访问状态。
步骤S104,根据状态信息,判断安全防护系统是否出现故障。
步骤S106,如果判断出安全防护系统出现故障,则对安全防护系统进行处理。
图2是根据本发明实施例的一种可选的安全防护系统的示意图,如图2所示,信息内网可以包括:青海电力本部的信息内网和地市单位的信息内网,青海电力本部的信息内网包括:IMS、交换机、上级系统中心、服务器端和客户端,其中,上级系统中心和IMS通过交换机对服务器端和客户端进行控制或升级;地市单位的信息内网包括:下级系统中心、交换机、服务器端和客户端,其中,下级系统中心通过电力专用数据网由上级系统中心管理,并通过交换机对服务器端和客户端进行控制或升级。
在一种可选的方案中,可以通过上级系统中心实时获取防病毒系统的状态线信息,即获取整个防病毒系统中与内网管理系统的数据传输状态、客户端状态和服务器状态,并将获取到的状态信息与防病毒系统在正常状态下的状态信息进行比较,如果获取到的状态信息不满足正常状态下的状态信息,则确定防病毒系统出现故障,需要确定对应的故障原因,并基于故障原因对防病毒系统进行处理,保证防病毒系统的正常运行。
根据本发明上述实施例,获取安全防护系统的状态信息,根据状态信息,判断安全防护系统是否出现故障,如果判断出安全防护系统出现故障,则对安全防护系统进行处理,从而实现对安全防护系统进行处理的目的。容易注意到的是,由于可以实时获取安全防护系统的状态信息,并根据状态信息判断安全防护系统是否出现故障,如果确定出现故障,则立即对安全防护系统进行处理,整个处理过程简单高效,从而解决了现有技术中当安全防护系统出现故障时,处理效率低的技术问题。因此,本发明上述实施例提供的方案,可以达到简化处理过程、提高处理效率的技术效果。
可选地,在本发明上述实施例中,在状态信息包括:与内网管理系统的数据传输状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测内网管理系统是否接收到安全防护系统发送的数据包;如果检测到内网管理系统未接收到安全防护系统发送的数据包,则确定安全防护系统出现故障。
在一种可选的方案中,在获取到防病毒系统与IMS的数据传输状态之后,可以登录IMS系统,使用wireshock工具,检测防病毒系统发送的数据包是否到达IMS系统,即,检测IMS系统是否接收到防病毒系统发送的数据包,如果IMS系统接收到防病毒系统发送的数据包,则检查IMS系统以排除IMS系统故障,如果没有,则确定防病毒系统故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:获取安全防护系统与内网管理系统之间的预设接口的状态;判断预设接口的状态是否为正常状态;如果预设接口的状态为异常状态,则对预设接口进行修复;如果预设接口的状态为正常状态,则检测安全防护系统是否通过预设接口向内网管理系统发送数据包;如果检测到安全防护系统通过预设接口向内网管理系统发送数据包,则对安全防护系统与内网管理系统的网络连接进行修复;如果检测到安全防护系统未向内网管理系统发送数据包,则确定安全防护系统的故障类型,并根据故障类型,对安全防护系统进行处理,其中,故障类型至少包括:可用存储空间小于预设值、第一服务器的预设服务挂死、标识信息异常和数据库异常。
具体地,上述的预设接口可以是预先设置的安全防护系统与内网管理系统进行数据交互的接口;上述的第一服务器可以是安全防护系统服务器;上述的预设服务可以是第一服务器的主服务,例如,ESM服务(企业安全管理服务,是Enterprise SecurityManagement的简称);上述的标识信息异常是安全防护系统的序列号到期;上述的数据库可以是SQL(结构化查询语言,Structure Query Language的简称)数据库。
在一种可选的方案中,在确定防病毒系统故障之后,可以首先检测防病毒系统与IMS系统的接口程序是否正常工作,确保预设接口能够正常工作,如果接口程序工作异常,则确定预设接口的状态为异常状态,可以对接口程序进行修复;如果接口程序工作正常,则确定预设接口的状态为正常状态,进一步可以通过抓包工具检测防病毒系统是否通过预设接口向IMS系统发送数据包,例如,打开桌面上的IMS配置工具(imscfg.exe),单击某个指标(如安装客户端数)旁的测试按钮:<?xml version="1.0"encoding="utf-8"?><info><corporationid>12</corporationid><api name="RealTimMonitorClientsNum"></api></info>之后,单击“调用”,检查返回的结果中value值,如果value不为0,则说明防病毒系统通过预设接口向IMS发送数据包,可以进一步对防病毒系统与IMS系统之间的网络连接进行修复,避免因网络问题导致数据无法传递到IMS系统。如果数据为0,则说明防病毒系统未通过预设接口向IMS系统发送数据包,主要由以下故障导致:磁盘空间满,防病毒系统服务器的主服务挂死,防病毒系统序列号授权到期,SQL数据库占用系统资源过大,当确定磁盘空间满之后,可以对磁盘空间进行清理,清除无用数据;当确定防病毒系统服务器的主服务挂死时,可以重启防病毒系统服务器的主服务,其中,服务名为Rising ESM ManagerCenter;当确定防病毒系统序列号授权到期时,可以更新防病毒系统的序列号;当确定SQL数据库占用系统资源过大时,可以重启SQL数据库服务。
需要说明的是,上述处理过程会影响安全防护系统与IMS系统的数据通讯,以及IMS系统中的指标考核,在安全防护系统未出现故障的情况下不能进行。
还需要说明的是,在对安全防护系统进行处理之前,需要对SQL数据库进行备份,并确保网络方面没有做ACL(访问控制列表,是Access Control List的简称)策略调整。
可选地,在本发明上述实施例中,在状态信息包括:客户端状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:获取与安全防护系统连接的客户端的第一数量;判断第一数量是否达到第一预设数量;如果第一数量小于第一预设数量,则确定安全防护系统出现故障。
具体地,上述的第一预设数量可以是根据实际使用需要设定的数量,例如,可以是已注册的所有客户端的数量的60%。
在一种可选的方案中,在获取到与防病毒系统的连接状态之后,可以确定与防病毒系统连接的客户端的数量是否超过已注册的所有客户端的数量的60%,也即客户端脱机率是否大于40%,如果客户端脱机率大于40%,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:登录第一服务器;重启第一服务器的预设服务;检测预设服务是否正常启动以及是否接收到错误信息;如果预设服务正常启动,且未接收到错误信息,则获取与安全防护系统连接的客户端的第二数量,以及客户端中安全防护系统的地址信息;判断第二数量是否达到第一预设数量,以及地址信息是否为预设地址信息;如果第二数量大于等于第一预设数量,且地址信息为预设地址信息,则确定完成对安全防护系统进行处理。
具体地,上述的安全防护系统的地址信息可以是客户端本地的系统中心IP,如图2所示,如果客户端是青海电力本部的客户端,则本地的系统中心IP可以是上级系统中心的IP;如果客户端是青海电力本部的客户端,则本地的系统中心IP可以是下级系统中心的IP。
在一种可选的方案中,在确定防病毒系统故障之后,可以登录防病毒系统服务器,查看服务器上已停止的ESM服务,例如,进入C:\Program Files(x86)\Rising\ESM\bus目录下的esmcfg.exe文件,先停止服务,等待5秒钟后,再次启动服务,并检查该服务启动正常且无报错后,再次通过浏览器访问防病毒系统WEB管控页面,看到客户端逐渐增多,直到客户端数量达到预期数量,表1示出的防病毒系统的IP地址,根据表1可以确定客户端本地的系统中心IP是否指向正确,如果指向正确,则确定异常处理完毕。如果问题还未解决,则可以提取防病毒系统的日志,在开始程序中找到日志打包工具,进行打包,并将打包文件返回给厂商进行分析处理。
表1
序号 设备名称 IP地址 备注
1 瑞星防病毒内网主 10.215.243.42 防病毒管控中心
2 瑞星防病毒内网备 10.215.243.45
3 瑞星防病毒外网主 192.168.57.222
4 瑞星防病毒外网备 192.168.57.223
可选地,在本发明上述实施例中,在状态信息包括:客户端状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测客户端的数据库是否升级成功;如果检测到客户端的数据库升级失败,则确定安全防护系统出现故障。
具体地,上述的客户端的数据库可以是客户端病毒库。
在一种可选的方案中,在获取到客户端的数据库的更新状态之后,可以检测客户端的病毒库是否能够升级更新,如果检测到病毒库定义不能升级,或者无法正常更新,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:获取与客户端关联的防火墙的状态;判断与客户端关联的防火墙的状态是否为正常状态;如果与客户端关联的防火墙的状态为异常状态,则对与客户端关联的防火墙进行重新配置;如果与客户端关联的防火墙的状态为正常状态,则检测与客户端对应的第二服务器是否出现故障;如果检测到第二服务器出现故障,则对第二服务器的数据库进行处理;如果检测到第二服务器未出现故障,则对客户端上安装的第一预设应用进行修复或重新安装。
具体地,上述的与客户端关联的防火墙可以是安全防护系统防火墙,链路汇聚防火墙和二级单位上联防火墙;上述的第二服务器可以是安全防护系统的升级服务器;上述的第二服务器数据库可以是第二服务器病毒库;上述的第一预设应用可以是客户端上安装的防病毒软件。
在一种可选的方案中,在确定防病毒系统故障之后,可以查看客户端状态,检测本地客户端是否连接到升级服务器,例如,可以通过ping命令,检查是否能够ping通升级服务器,如果无法ping通服务器,则检查与客户端关联的防火墙的策略,如果与客户端关联的防火墙的策略异常,则可以对与客户端关联的防火墙进行重新配置;如果与客户端关联的防火墙的策略正常,则可以进一步检测升级服务器是否正常,例如,升级服务器的地址是否正确,升级服务器是否为最新版本,升级服务器的所有服务是否正常,如果检测到升级服务器异常,则确定升级服务器出现故障,可以对升级服务器进行相应的处理;如果升级服务器正常,则可以对客户端防病毒软件进行修复或者重新安装,排除因为环境损坏造成客户端运行异常情况。
需要说明的是,可以登录安全防护系统服务器管理控制台,查看当前客户端所在组策略(需要确定当前客户端是否有私有策略),找到瑞星客户端软件部署-默认策略,打开页面后,移动页面到尾部,找到升级源设置,确认是否设置了升级源(即上述的第二服务器),及升级源类型,如果仅仅设置了瑞星官方网站升级源,则检测此客户端是否能够访问瑞星官方(即客户端能否访问外网);如果设置了其他升级中心,则检测中心地址是否正确,并进入管理控制台的服务器管理页面,检查瑞星软件部署升级中心,点击后可以查看部署升级中心是否获得授权。
还需要说明的是,升级源配置时候注意更新源配置,检查配置是否是瑞星防病毒官网升级中心URL(统一资源定位符,是Uniform Resource Locator的简称),客户端是否能连接安全防护系统服务器。
可选地,在本发明上述实施例中,判断与客户端关联的防火墙的状态是否为正常状态,包括:获取与客户端关联的防火墙的时间信息和端口网络状态;判断时间信息是否超过预设时间,以及端口网络状态是否为连通状态;如果时间信息超过预设时间,或端口网络状态不是连通状态,则确定与客户端关联的防火墙的状态为异常状态;如果时间信息未超过预设时间,且端口网络状态是连通状态,则确定与客户端关联的防火墙的状态为正常状态。
具体地,上述的预设时间可以是预先设置的防火墙的过期的时间。
在一种可选的方案中,首先可以检测客户端到升级服务器的端口网络是否畅通,例如,可以采用telnet中心服务器5555端口确认网络是否畅通,如果检测到网络不畅通,则可以进一步检测防火墙策略是否过期,防火墙配置是否存在问题,如果检测到防火墙策略过期,则对防火墙策略进行更新;如果检测到防火墙配置存在问题,则对防火墙重新配置,确保网络连通性。
可选地,在本发明上述实施例中,检测与客户端对应的第二服务器是否出现故障,包括:获取第二服务器的数据库的第一版本信息和服务状态,以及客户端的数据库的第二版本信息;检测第一版本信息是否大于第二版本信息,以及服务状态是否为正常状态;如果第一版本信息小于等于第二版本信息,或服务状态为异常状态,则确定第二服务器的数据库出现故障。
在一种可选的方案中,可以进入管理控制台的服务器管理页面,检查瑞星软件部署升级中心,点击后可以查看部署升级中心的病毒库版本(即上述的第一版本信息),并登录升级服务器查询所有服务的服务状态,查看客户端状态查看防病毒软件版本和病毒库定义版本(即上述的第二版本信息),如果第一版本信息小于等于第二版本信息,则确定升级服务器的病毒库故障,可以对升级服务器的病毒库进行升级;如果所有服务的服务状态异常,则确定升级服务器的病毒库故障,可以重启异常状态的服务,或进行防病毒系统控制端软件重装。
可选地,在本发明上述实施例中,在状态信息包括:客户端状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测客户端上是否出现预设事件;如果检测到客户端上出现预设事件,则确定安全防护系统出现故障。
具体地,上述的预设事件可以是有害信息,也可以是包含有害信息的邮件。
在一种可选的方案中,在获取到客户端的事件状态之后,可以检测外网安全边界系统敏感信息模块中是否出现大量有害信息、外网社会邮件阻断设备中是否出现大量有害信息以及内外网流控控制设备中是否出现发现大量有害信息,如果检测到出现大量有害信息,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:获取预设事件的目标源的信息,并对目标源进行处理;对客户端进行处理。
在一种可选的方案中,在确定防病毒系统故障之后,可以获取预设事件的源地址,立即在防火墙配置阻断策略,并通知网络组对其进行断网操作,还可以获取传播有害信息邮件的账户,立即对账户进行停用,并在断网或停用账户后对客户端进行控制,对客户端进行杀毒等安全检查。
需要说明的是,可以对监控设备的关键字策略进行审核及补充,并进行实时监控,控制事件的发展程度,立即组织人员查明事件原因,如因计算机病毒、恶意插件导致,应在病毒及插件处理完毕后接入网络;如为人员主观行为需对人员进行通报、处罚的处理。
可选地,在本发明上述实施例中,在状态信息包括:客户端状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测客户端上安装的第二预设应用的状态是否为预设状态;如果检测到第二预设应用的状态为预设状态,则确定安全防护系统出现故障。
具体地,上述的第二预设应用可以是在客户端上预先安装的正常办公软件;上述的预设状态可以是查杀状态。
在一种可选的方案中,在获取到已经安装的第二预设应用的状态之后,可以检测第二预设应用的状态是否为查杀状态,即检测正常办公软件是否被查杀,如果检测到第二预设应用的状态是查杀状态,即检测到正常办公软件被查杀,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:将第二预设应用添加至白名单;获取与客户端关联的防火墙的状态,并判断与客户端关联的防火墙的状态是否为正常状态,如果与客户端关联的防火墙的状态为异常状态,则对与客户端关联的防火墙进行重新配置,如果与客户端关联的防火墙的状态为正常状态,则对客户端上安装的第一预设应用进行修复或重新安装;对安全防护系统中的数据库进行回退操作,将数据库回退为第一数据库;对安全防护系统进行升级。
具体地,上述的白名单可以是安全防护系统的病毒库的白名单,也可以是客户端上安装的防病毒软件的白名单。
在一种可选的方案中,在确定防病毒系统故障之后,可以联系厂商,将将办公软件加入病毒库,消除误杀现象;通过加扫描例外文件的方法,把被查杀的正常办公软件加入白名单;检测网络连通性和防火墙策略,检查相关防火墙策略,主要涉及包括防病毒系统防火墙,链路汇聚防火墙和二级单位上联防火墙,检测防火墙策略是否过期,或配置存在有问题,确保网络连通性,如果网络连通且防火墙正常,则对客户端上的防病毒软件进行修复安装,排除因为环境损坏造成客户端运行异常情况;在防病毒系统服务器上对病毒码进行回退操作,回退至上一个病毒码版本,降低误判对办公业务影响;在防病毒软件的“实时扫描”添加扫描例外,查看正常办公软件是否还会报毒被误杀,如果是,将客户端的日志提交给厂商进行分析;登录防病毒系统服务器控制台,在策略设置——实时扫描——设置里面添加扫描例外白名单文件,然后在组里实施策略,对误杀问题进行应急处理;根据厂商对问题的分析处理结果,并对防病毒系统(包括:防病毒软件和病毒库)进行升级。
可选地,在本发明上述实施例中,在状态信息包括:客户端状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测移动设备中的感染文件是否被处理,其中,移动设备与客户端连接;如果检测到感染文件未被处理,则确定安全防护系统出现故障。
具体地,上述的移动设备可以是U盘、智能手机、移动硬盘等移动存储设备。
在一种可选的方案中,在获取到感染文件的状态之后,可以检测感染文件是否被查杀,如果感染文件未被查杀,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:对客户端上安装的第一预设应用进行修复或重新安装;对移动设备中的病毒进行查杀;对客户端的数据库进行升级;对安全防护系统进行升级。
在一种可选的方案中,在确定防病毒系统出现故障之后,可以对客户端的防病毒软件及逆行安装,排除因为环境损坏造成客户端运行异常情况;可以对病毒U盘进行手动病毒查杀;可以远程获取感染文件,并在本地客户端进行测试,如果感染文件仍然未被查杀出来,则提交客户端的日志与感染文件,由厂商进行处理,根据厂商的处理结果,对防病毒系统(包括:防病毒软件和病毒库)进行升级。
需要说明的是,还可以通过手动升级客户端病毒码进行验证,并向安全防护系统下发病毒码进行防护。
可选地,在本发明上述实施例中,在状态信息包括:客户端状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测客户端上安装的第一预设应用的策略是否更新成功;如果第一预设应用的策略更新失败,则确定安全防护系统出现故障。
在一种可选的方案中,在获取到已经安装的第一预设应用的策略更新状态之后,可以检测防病毒软件策略是否更新成功,如果检测到防病毒软件策略更新失败,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:检测安全防护系统对应的服务或者进程是否正常运行,第一预设应用是否被客户端的防火墙或其他应用限制,以及客户端的防火墙是否开放相应的端口;如果检测到安全防护系统对应的服务或者进程未正常运行,则重启对应的服务或进程;如果检测到第一预设应用被客户端的防火墙或其他应用限制,则解除对第一预设应用的限制;如果检测到客户端的防火墙未开放相应的端口,则控制客户端的防火墙开放相应的端口。
在一种可选的方案中,在确定防病毒系统出现故障之后,可以登录至客户端,查看防病毒系统相关的服务、进程是否正常运行,如果服务、进程已异常中止,则重启相关的服务或进程。检测客户端自身防火墙是否对防病毒软件通讯有所阻断,并检测客户端是否安装其他安全防御软件,若安装,则检测其他安全防御软件是否对防病毒软件存在限制策略;登录防病毒软件的防火墙,检测防火墙策略是否开放相应端口;若因客户端或防火墙的限制原因而导致防病毒软件的策略更新失败,则采取开放防火墙端口等方式解除限制。
需要说明的是,可以通过如下方式恢复安全防护系统服务器运行:登录安全防护系统服务器,检测CPU或内存使用率是否过高、网络连接是否正常;打开services.msc检测安全防护系统策略下发相关服务是否正常启动,如果相关服务异常则重启相关服务;打开cmd输入netstat-ano|findstr“端口号”,检测安全防护系统服务端口号是否被其他程序占用,若被占用则停止其他程序后重启安全防护系统服务。
还需要说明的是,在恢复安全防护系统服务器正常运行之后,需要接入少量客户端进行检验,以确保安全防护系统策略下发可以正常实现。
可选地,在本发明上述实施例中,在状态信息包括:服务器状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:获取第一服务器中的日志信息;根据日志信息,判断安全防护系统是否出现故障。
在一种可选的方案中,在获取到第一服务器的日志信息之后,可以根据日志信息,判断防病毒系统是否出现故障,如果检测到病毒大面积爆发,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:获取日志信息中满足预设条件的多个客户端;对多个客户端进行处理。
具体地,上述的预设条件可以是感染病毒排名前10名。
在一种可选的方案中,在确定防病毒系统出现故障之后,可以备份日志信息,对日志信息中涉及的感染客户端进行检测,重点检测感染病毒排名前10名的客户端,并对客户端感染情况进行分析,可以通过修改网络VLAN(虚拟局域网,是Virtual Local AreaNetwork的简称)隔离主机、防火墙策略、关闭主机等方式进行物理隔离,防止病毒交叉感染,并且可以确定病毒破坏能力及影响范围,对影响范围内的所有客户端,使用防病毒软件清楚病毒。
可选地,在本发明上述实施例中,在状态信息包括:服务器状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测第一服务器是否出现故障;如果检测到第一服务器出现故障,则确定安全防护系统出现故障。
在一种可选的方案中,在获取到第一服务器的状态之后,可以检测第一服务器是否出现故障,如果检测到第一服务器出现故障,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,检测第一服务器是否出现故障,包括:获取第一服务器的登录状态、数据库状态和/或服务状态;判断登录状态、数据库状态和/或服务状态是否正常;如果登录状态、数据库状态或服务状态异常,则确定第一服务器出现故障。
在一种可选的方案中,可以检测客户端是否能够正常登陆第一服务器,即获取第一服务器的登陆状态,如果客户端无法正常登陆第一服务器,则确定第一服务器出现故障,并检测病毒库是否出现故障,如果检测到病毒库出现故障,则确定第一服务器出现故障,进一步检测第一服务器的服务是否出现异常,如果服务出现异常,则确定第一服务器出现故障。
可选地,在本发明上述实施例中,在登录状态异常的情况下,步骤S106,对安全防护系统进行处理,包括:登录第一服务器;重启第一服务器的预设服务;检测预设服务是否正常启动以及是否接收到错误信息;如果预设服务正常启动,且未接收到错误信息,则确定完成对安全防护系统进行处理。
可选地,在检测到第一服务器的登录状态异常,即检测客户端无法正常登陆第一服务器之后,可以远程登陆到第一服务器上,单击桌面“程序”——“运行”——输入services.msc命令,找到Rising ESM Manager Center服务,右键点击启动或重新启动,即可完成该服务重启,在检测该服务启动正常且无报错之后,再次检测第一服务器的登录状态是否正常,如果登录状态正常,即检测到客户端能够正常登陆第一服务器,异常处理完毕。
需要说明的是,在异常处理完毕之后,可以对问题进行记录并归档,生成报告;如果问题还未解决,则可以提取日志信息,在开始程序中找到瑞星日志打包工具,然后进行打包,最后将打包文件发给厂商进行处理。
可选地,在本发明上述实施例中,在数据库状态异常的情况下,步骤S106,对安全防护系统进行处理,包括:将第一服务器的数据库替换为备份数据库。
在一种可选的方案中,在检测到第一服务器的数据库状态异常之后,可以使用备份数据库替代新数据库,也可以使用旧数据库(即上一个版本的数据库)替代新数据库。
可选地,在本发明上述实施例中,在服务状态异常的情况下,步骤S106,对安全防护系统进行处理,包括:获取第一服务器的网络连接状态;在第一服务器的网络连接状态为未接通状态的情况下,对第一服务器的网络连接进行修复;在第一服务器的网络连接状态为接通状态的情况下,对第一服务器的操作系统、数据库和服务组件进行重新安装,对第一服务器的硬件进行更换,和/或重新安装第一服务器的控制端。
在一种可选的方案中,在检测到第一服务器的服务状态异常之后,可以通过ping命令检测是否能ping通第一服务器,如果不能ping通,则可以对第一服务器的网路进行修复,如果能ping通,则继续检测第一服务器是否正常,如果无法将第一服务器恢复到正常状态,则可以重新安装操作系统,如果重新安装了系统,则也必须重新安装数据库及IIS(网页服务组件,是Internet Information Service的简称)等服务组件,在安装IIS等服务组件时必须要检查版本号。如果第一服务器仍不能正常访问或工作,如果确认是由于硬件故障或操作系统问题导致服务器故障,则可以进行硬件更换或操作系统修复。第一服务器的服务无法恢复,可以备份相关的数据库(esmlogdb和esmdb数据库)与策略(策略可以提前截好图),卸载原有的控制端,重新安装控制端,其中,在重新安装控制端的过程中,需要注意如下内容:确认第一服务器的主机名和IP地址和重装前完全一致;在重新安装时,确定原第一服务器端使用的端口;确认客户端通信端口和安装前记录的原客户端通信端口完全一致,还原备份数据库,检查第一服务器相关进程,检测第一服务器是否正常访问,以及第一服务器的服务是否正常,如果均正常,则确定异常处理完成。
可选地,在本发明上述实施例中,在状态信息包括:服务器状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:获取第三服务器的网络流量的流量类型,开放端口,会话数量和目的地址信息;判断流量类型是否为预设类型,开放端口是否为预设端口,会话数量是否超过第二预设数量,以及目的地址信息是否正常;如果流量类型不是预设类型,开放端口不是预设端口,会话数量超过第二预设数量,或目的地址信息异常,则确定安全防护系统出现故障。
具体地,上述的第三服务器可以是被病毒感染的服务器;上述的预设类型可以是正常应用程序产生的流量的类型,例如,P2P下载、HTTP下载、大文件上传等;上述的预设端口可以是与业务相关的常用端口;上述的目的地址信息可以是目的IP地址;上述的第二预设数量可以是结合服务器的功能、所承载的业务,预先设置的正常的会话数量。
在一种可选的方案中,在获取到第三服务器的网络流量的状态之后,可以获取第三服务器的网络流量的流量类型,开放端口,会话数量和目的IP地址,检测流量类型是否为正常应用程序产生的流量,开放端口是否为常用端口,以及检测第三服务器的会话连接,例如,可以结合服务器的功能、所承载的业务,检测会话数量、目的IP地址是否正常,例如,客户端与国外IP地址或公司网段内的其他客户端之间的会话连接,如果流量类型不是正常应用程序产生的流量,开放端口不是常用端口,会话数量超过第二预设数量,或目的IP地址异常,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:获取第三服务器中病毒对应的系统信息,并对系统信息进行处理,其中,系统信息包括:进程信息、服务信息和任务信息;重启第三服务器的操作系统;对第三服务器的数据库进行升级。
具体地,上述的系统信息可以是病毒木马的隐藏位置或修改的DLL文件、对注册表的修改位置、启动的进程或服务以及计划任务、新增开放端口等。
在一种可选的方案中,在确定防病毒系统出现故障之后,可以首先登陆第三服务器,检测是否存在异常网络连接、进程、CPU或内存占用过高等现象,进一步可以使用进程查看器等安全软件确定病毒木马的隐藏位置或修改的DLL文件、对注册表的修改位置、启动的进程或服务以及计划任务、新增开放端口等,停止病毒木马控制运行的进程、服务、计划任务等,删除或恢复其注册表修改项,删除病毒木马文件,恢复其修改的DLL文件,关闭所有不必要的端口,重新启动操作系统,确保病毒木马已彻底清除,且无法再对系统发起攻击,在对第三服务器进行的过程中,可以更新操作系统补丁,并启动防病毒软件(如果防病毒软件被感染,需要卸载后重新安装),升级病毒库至最新版本,执行全盘病毒查杀。
可选地,在本发明上述实施例中,在状态信息包括:服务器状态的情况下,步骤S104,根据状态信息,判断安全防护系统是否出现故障,包括:检测是否能够正常访问第四服务器;如果无法正常访问第四服务器,则确定安全防护系统出现故障。
具体地,上述的第四服务器可以是控制中心服务器。
在一种可选的方案中,在获取到第四服务器的访问状态之后,可以检测是否能够正常访问第四服务器,如果无法正常访问,则确定防病毒系统出现故障。
可选地,在本发明上述实施例中,步骤S106,对安全防护系统进行处理,包括:获取第四服务器的网络状态、预设端口状态和服务状态;判断第四服务器的网络状态是否为正常状态,预设端口状态是否为开通状态,以及服务状态是否为正常状态;如果第四服务器的网络状态为异常状态,则对第四服务器的网络进行恢复;如果预设端口状态为未开通状态,则对第四服务器的预设端口进行开通;如果服务状态为异常状态,则重启第四服务器的服务,或对第四服务器的服务进行重新安装。
在一种可选的方案中,在确定防病毒系统出现故障之后,可以使用ping命令检测控制中心服务器的网络是否正常,如果网络异常,可以对网络进行相应恢复;可以使用telnet命令检测控制中心服务器端口是否开通,如果未开通,则可以检测第四服务器自身防火墙和安全域防火墙状态,对预设端口进行开通,或者对第四服务器自身防火墙和安全域防火墙进行重新配置;还可以检测控制中心服务器上的相关服务是否全部正常启动,如果存在异常,则可以重启相关服务或进行控制中心软件重装。
实施例2
根据本发明实施例,提供了一种安全防护系统的处理装置的实施例。
图3是根据本发明实施例的一种安全防护系统的处理装置的示意图,如图3所示,该装置包括:
获取模块31,用于获取安全防护系统的状态信息,其中,状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态。
具体地,上述的安全防护系统可以是瑞星防病毒系统,本发明对此不做具体限定;与内网管理系统的数据传输状态可以包括:接口状态和数据显示状态;客户端状态可以包括:与安全防护系统的连接状态、数据库的更新状态、事件状态、已经安装的第二预设应用的状态、与客户端连接的移动设备中的感染文件的状态以及已经安装的第一预设应用的策略更新状态;服务器状态可以包括:第一服务器的日志信息、第一服务器的状态、第三服务器的网络流量的状态以及第四服务器的访问状态。
判断模块33,用于根据状态信息,判断安全防护系统是否出现故障。
处理模块35,用于如果判断出安全防护系统出现故障,则对安全防护系统进行处理。
如图2所示,信息内网可以包括:青海电力本部的信息内网和地市单位的信息内网,青海电力本部的信息内网包括:IMS、交换机、上级系统中心、服务器端和客户端,其中,上级系统中心和IMS通过交换机对服务器端和客户端进行控制或升级;地市单位的信息内网包括:下级系统中心、交换机、服务器端和客户端,其中,下级系统中心通过电力专用数据网由上级系统中心管理,并通过交换机对服务器端和客户端进行控制或升级。
在一种可选的方案中,可以通过上级系统中心实时获取整个防病毒系统的状态线信息,即获取整个防病毒系统中与内网管理系统的数据传输状态、客户端状态和服务器状态,并将获取到的状态信息与防病毒系统在正常状态下的状态信息进行比较,如果获取到的状态信息不满足正常状态下的状态信息,则确定防病毒系统出现故障,需要确定对应的故障原因,并基于故障原因对防病毒系统进行处理,保证防病毒系统的正常运行。
根据本发明上述实施例,获取安全防护系统的状态信息,根据状态信息,判断安全防护系统是否出现故障,如果判断出安全防护系统出现故障,则对安全防护系统进行处理,从而实现对安全防护系统进行处理的目的。容易注意到的是,由于可以实时获取安全防护系统的状态信息,并根据状态信息判断安全防护系统是否出现故障,如果确定出现故障,则立即对安全防护系统进行处理,整个处理过程简单高效,从而解决了现有技术中当安全防护系统出现故障时,处理效率低的技术问题。因此,本发明上述实施例提供的方案,可以达到简化处理过程、提高处理效率的技术效果。
实施例3
根据本发明实施例,提供了一种存储介质的实施例,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述实施例1中的安全防护系统的处理方法。
实施例4
根据本发明实施例,提供了一种处理器的实施例,处理器用于运行程序,其中,程序运行时执行上述实施例1中的安全防护系统的处理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (30)

1.一种安全防护系统的处理方法,其特征在于,包括:
获取安全防护系统的状态信息,其中,所述状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态;
根据所述状态信息,判断所述安全防护系统是否出现故障;
如果判断出所述安全防护系统出现故障,则对所述安全防护系统进行处理;
其中,所述与内网管理系统的数据传输状态包括:接口状态和数据显示状态;所述客户端状态包括:与安全防护系统的连接状态、数据库的更新状态、事件状态、已经安装的第二预设应用的状态、与客户端连接的移动设备中的感染文件的状态以及已经安装的第一预设应用的策略更新状态;所述服务器状态包括:第一服务器的日志信息、第一服务器的状态、第三服务器的网络流量的状态以及第四服务器的访问状态;
对所述安全防护系统进行处理,包括:获取所述安全防护系统与所述内网管理系统之间的预设接口的状态;判断所述预设接口的状态是否为正常状态;如果所述预设接口的状态为异常状态,则对所述预设接口进行修复;如果所述预设接口的状态为正常状态,则检测所述安全防护系统是否通过所述预设接口向所述内网管理系统发送数据包;如果检测到所述安全防护系统通过所述预设接口向所述内网管理系统发送所述数据包,则对所述安全防护系统与所述内网管理系统的网络连接进行修复;如果检测到所述安全防护系统未向所述内网管理系统发送所述数据包,则确定所述安全防护系统的故障类型,并根据所述故障类型,对所述安全防护系统进行处理,其中,所述故障类型至少包括:可用存储空间小于预设值、第一服务器的预设服务挂死、标识信息异常和数据库异常;
所述预设接口是预先设置的所述安全防护系统与所述内网管理系统进行数据交互的接口;所述第一服务器是安全防护系统服务器;所述预设服务是所述第一服务器的主服务,所述主服务包括:企业安全管理服务Enterprise Security Management;所述标识信息异常是所述安全防护系统的序列号到期;所述数据库是结构化查询语言Structure QueryLanguage数据库;
所述第三服务器是被病毒感染的服务器;所述第四服务器是控制中心服务器。
2.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:与所述内网管理系统的数据传输状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测所述内网管理系统是否接收到所述安全防护系统发送的数据包;
如果检测到所述内网管理系统未接收到所述安全防护系统发送的数据包,则确定所述安全防护系统出现故障。
3.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述客户端状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
获取与所述安全防护系统连接的客户端的第一数量;
判断所述第一数量是否达到第一预设数量;
如果所述第一数量小于所述第一预设数量,则确定所述安全防护系统出现故障。
4.根据权利要求3所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
登录第一服务器;
重启所述第一服务器的预设服务;
检测所述预设服务是否正常启动以及是否接收到错误信息;
如果所述预设服务正常启动,且未接收到所述错误信息,则获取与所述安全防护系统连接的客户端的第二数量,以及所述客户端中所述安全防护系统的地址信息;
判断所述第二数量是否达到所述第一预设数量,以及所述地址信息是否为预设地址信息;
如果所述第二数量大于等于所述第一预设数量,且所述地址信息为所述预设地址信息,则确定完成对所述安全防护系统进行处理。
5.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述客户端状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测所述客户端的数据库是否升级成功;
如果检测到所述客户端的数据库升级失败,则确定所述安全防护系统出现故障。
6.根据权利要求5所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
获取与所述客户端关联的防火墙的状态;
判断与所述客户端关联的防火墙的状态是否为正常状态;
如果与所述客户端关联的防火墙的状态为异常状态,则对与所述客户端关联的防火墙进行重新配置;
如果与所述客户端关联的防火墙的状态为所述正常状态,则检测与所述客户端对应的第二服务器是否出现故障;
如果检测到所述第二服务器出现故障,则对所述第二服务器的数据库进行处理;
如果检测到所述第二服务器未出现故障,则对所述客户端上安装的第一预设应用进行修复或重新安装。
7.根据权利要求6所述的方法,其特征在于,判断与所述客户端关联的防火墙的状态是否为正常状态,包括:
获取与所述客户端关联的防火墙的时间信息和端口网络状态;
判断所述时间信息是否超过预设时间,以及所述端口网络状态是否为连通状态;
如果所述时间信息超过所述预设时间,或所述端口网络状态不是所述连通状态,则确定与所述客户端关联的防火墙的状态为异常状态;
如果所述时间信息未超过所述预设时间,且所述端口网络状态是所述连通状态,则确定与所述客户端关联的防火墙的状态为所述正常状态。
8.根据权利要求6所述的方法,其特征在于,检测与所述客户端对应的第二服务器是否出现故障,包括:
获取所述第二服务器的数据库的第一版本信息和服务状态,以及所述客户端的数据库的第二版本信息;
检测所述第一版本信息是否大于所述第二版本信息,以及所述服务状态是否为正常状态;
如果所述第一版本信息小于等于所述第二版本信息,或所述服务状态为异常状态,则确定所述第二服务器的数据库出现故障。
9.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述客户端状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测所述客户端上是否出现预设事件;
如果检测到所述客户端上出现所述预设事件,则确定所述安全防护系统出现故障。
10.根据权利要求9所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
获取所述预设事件的目标源的信息,并对所述目标源进行处理;
对所述客户端进行处理。
11.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述客户端状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测所述客户端上安装的第二预设应用的状态是否为预设状态;
如果检测到所述第二预设应用的状态为所述预设状态,则确定所述安全防护系统出现故障。
12.根据权利要求11所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
将所述第二预设应用添加至白名单;
获取与所述客户端关联的防火墙的状态,并判断与所述客户端关联的防火墙的状态是否为正常状态,如果与所述客户端关联的防火墙的状态为异常状态,则对与所述客户端关联的防火墙进行重新配置,如果与所述客户端关联的防火墙的状态为所述正常状态,则对所述客户端上安装的第一预设应用进行修复或重新安装;
对所述安全防护系统中的数据库进行回退操作,将所述数据库回退为第一数据库;
对所述安全防护系统进行升级。
13.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述客户端状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测移动设备中的感染文件是否被处理,其中,所述移动设备与所述客户端连接;
如果检测到所述感染文件未被处理,则确定所述安全防护系统出现故障。
14.根据权利要求13所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
对所述客户端上安装的第一预设应用进行修复或重新安装;
对所述移动设备中的病毒进行查杀;
对所述客户端的数据库进行升级;
对所述安全防护系统进行升级。
15.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述客户端状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测所述客户端上安装的第一预设应用的策略是否更新成功;
如果所述第一预设应用的策略更新失败,则确定所述安全防护系统出现故障。
16.根据权利要求15所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
检测所述安全防护系统对应的服务或者进程是否正常运行,所述第一预设应用是否被所述客户端的防火墙或其他应用限制,以及所述客户端的防火墙是否开放相应的端口;
如果检测到所述安全防护系统对应的服务或者进程未正常运行,则重启所述对应的服务或进程;
如果检测到所述第一预设应用被所述客户端的防火墙或其他应用限制,则解除对所述第一预设应用的限制;
如果检测到所述客户端的防火墙未开放所述相应的端口,则控制所述客户端的防火墙开放所述相应的端口。
17.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述服务器状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
获取第一服务器中的日志信息;
根据所述日志信息,判断所述安全防护系统是否出现故障。
18.根据权利要求17所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
获取所述日志信息中满足预设条件的多个客户端;
对所述多个客户端进行处理。
19.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述服务器状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测第一服务器是否出现故障;
如果检测到所述第一服务器出现故障,则确定所述安全防护系统出现故障。
20.根据权利要求19所述的方法,其特征在于,检测第一服务器是否出现故障,包括:
获取所述第一服务器的登录状态、数据库状态和/或服务状态;
判断所述登录状态、数据库状态和/或服务状态是否正常;
如果所述登录状态、所述数据库状态或所述服务状态异常,则确定所述第一服务器出现故障。
21.根据权利要求20所述的方法,其特征在于,在所述登录状态异常的情况下,对所述安全防护系统进行处理,包括:
登录所述第一服务器;
重启所述第一服务器的预设服务;
检测所述预设服务是否正常启动以及是否接收到错误信息;
如果所述预设服务正常启动,且未接收到所述错误信息,则确定完成对所述安全防护系统进行处理。
22.根据权利要求20所述的方法,其特征在于,在所述数据库状态异常的情况下,对所述安全防护系统进行处理,包括:
将所述第一服务器的数据库替换为备份数据库。
23.根据权利要求20所述的方法,其特征在于,在所述服务状态异常的情况下,对所述安全防护系统进行处理,包括:
获取所述第一服务器的网络连接状态;
在所述第一服务器的网络连接状态为未接通状态的情况下,对所述第一服务器的网络连接进行修复;
在所述第一服务器的网络连接状态为接通状态的情况下,对所述第一服务器的操作系统、数据库和服务组件进行重新安装,对所述第一服务器的硬件进行更换,和/或重新安装所述第一服务器的控制端。
24.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:所述服务器状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
获取第三服务器的网络流量的流量类型,开放端口,会话数量和目的地址信息;
判断所述流量类型是否为预设类型,所述开放端口是否为预设端口,所述会话数量是否超过第二预设数量,以及所述目的地址信息是否正常;
如果所述流量类型不是所述预设类型,所述开放端口不是所述预设端口,所述会话数量超过所述第二预设数量,或所述目的地址信息异常,则确定所述安全防护系统出现故障。
25.根据权利要求24所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
获取所述第三服务器中病毒对应的系统信息,并对所述系统信息进行处理;
重启所述第三服务器的操作系统;
对所述第三服务器的数据库进行升级。
26.根据权利要求1所述的方法,其特征在于,在所述状态信息包括:服务器状态的情况下,根据所述状态信息,判断所述安全防护系统是否出现故障,包括:
检测是否能够正常访问第四服务器;
如果无法正常访问所述第四服务器,则确定所述安全防护系统出现故障。
27.根据权利要求26所述的方法,其特征在于,对所述安全防护系统进行处理,包括:
获取所述第四服务器的网络状态、预设端口状态和服务状态;
判断所述第四服务器的网络状态是否为正常状态,所述预设端口状态是否为开通状态,以及所述服务状态是否为正常状态;
如果所述第四服务器的网络状态为异常状态,则对所述第四服务器的网络进行恢复;
如果所述预设端口状态为未开通状态,则对所述第四服务器的预设端口进行开通;
如果所述服务状态为异常状态,则重启所述第四服务器的服务,或对所述第四服务器的服务进行重新安装。
28.一种安全防护系统的处理装置,其特征在于,包括:
获取模块,用于获取安全防护系统的状态信息,其中,所述状态信息包括如下一种或多种:与内网管理系统的数据传输状态、客户端状态和服务器状态;
判断模块,用于根据所述状态信息,判断所述安全防护系统是否出现故障;
处理模块,用于如果判断出所述安全防护系统出现故障,则对所述安全防护系统进行处理;
其中,所述与内网管理系统的数据传输状态包括:接口状态和数据显示状态;所述客户端状态包括:与安全防护系统的连接状态、数据库的更新状态、事件状态、已经安装的第二预设应用的状态、与客户端连接的移动设备中的感染文件的状态以及已经安装的第一预设应用的策略更新状态;所述服务器状态包括:第一服务器的日志信息、第一服务器的状态、第三服务器的网络流量的状态以及第四服务器的访问状态;
对所述安全防护系统进行处理,包括:获取所述安全防护系统与所述内网管理系统之间的预设接口的状态;判断所述预设接口的状态是否为正常状态;如果所述预设接口的状态为异常状态,则对所述预设接口进行修复;如果所述预设接口的状态为正常状态,则检测所述安全防护系统是否通过所述预设接口向所述内网管理系统发送所述数据包;如果检测到所述安全防护系统通过所述预设接口向所述内网管理系统发送所述数据包,则对所述安全防护系统与所述内网管理系统的网络连接进行修复;如果检测到所述安全防护系统未向所述内网管理系统发送所述数据包,则确定所述安全防护系统的故障类型,并根据所述故障类型,对所述安全防护系统进行处理,其中,所述故障类型至少包括:可用存储空间小于预设值、第一服务器的预设服务挂死、标识信息异常和数据库异常;
所述预设接口是预先设置的所述安全防护系统与所述内网管理系统进行数据交互的接口;所述第一服务器是安全防护系统服务器;所述预设服务是所述第一服务器的主服务,所述主服务包括:企业安全管理服务Enterprise Security Management;所述标识信息异常是所述安全防护系统的序列号到期;所述数据库是结构化查询语言Structure QueryLanguage数据库;
所述第三服务器是被病毒感染的服务器;所述第四服务器是控制中心服务器。
29.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至27中任意一项所述的安全防护系统的处理方法。
30.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至27中任意一项所述的安全防护系统的处理方法。
CN201710467458.1A 2017-06-19 2017-06-19 安全防护系统的处理方法和装置 Active CN107395395B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710467458.1A CN107395395B (zh) 2017-06-19 2017-06-19 安全防护系统的处理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710467458.1A CN107395395B (zh) 2017-06-19 2017-06-19 安全防护系统的处理方法和装置

Publications (2)

Publication Number Publication Date
CN107395395A CN107395395A (zh) 2017-11-24
CN107395395B true CN107395395B (zh) 2021-07-09

Family

ID=60332478

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710467458.1A Active CN107395395B (zh) 2017-06-19 2017-06-19 安全防护系统的处理方法和装置

Country Status (1)

Country Link
CN (1) CN107395395B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109117644B (zh) * 2018-09-28 2022-08-05 深信服科技股份有限公司 一种运行状况的调整方法、系统、主机及可读存储介质
TWI705674B (zh) * 2019-06-17 2020-09-21 兆豐國際商業銀行股份有限公司 網站重啟系統
CN110879887B (zh) * 2019-11-15 2022-03-04 杭州安恒信息技术股份有限公司 一种挖矿木马程序修复方法、装置、设备、介质
CN111064715B (zh) * 2019-11-29 2022-05-17 北京浪潮数据技术有限公司 一种防火墙的编排方法、装置和计算机可读存储介质
CN111835702B (zh) * 2020-01-20 2023-10-31 北京嘀嘀无限科技发展有限公司 登录方法、装置、设备及计算机可读存储介质
CN113507755A (zh) * 2021-09-10 2021-10-15 江苏新恒基特种装备股份有限公司 一种加热控制系统及加热控制方法
CN114115936A (zh) * 2021-10-27 2022-03-01 安天科技集团股份有限公司 一种计算机程序的升级方法、装置、电子设备及存储介质
CN117056915B (zh) * 2023-10-11 2024-02-02 深圳安天网络安全技术有限公司 一种文件检测方法、装置、介质和电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721498A (zh) * 2016-04-07 2016-06-29 周文奇 一种工控网络安全预警系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242260B (zh) * 2007-02-08 2010-12-15 北京天融信网络安全技术有限公司 防火墙系统自动修复方法
KR100961180B1 (ko) * 2008-05-22 2010-06-09 한국전자통신연구원 Pc 보안 점검 장치 및 방법
CN103905406B (zh) * 2012-12-28 2017-09-12 中国移动通信集团公司 一种失效防火墙策略的检测方法和装置
CN103414724A (zh) * 2013-08-20 2013-11-27 曙光信息产业(北京)有限公司 防火墙设备的系统信息的显示方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721498A (zh) * 2016-04-07 2016-06-29 周文奇 一种工控网络安全预警系统

Also Published As

Publication number Publication date
CN107395395A (zh) 2017-11-24

Similar Documents

Publication Publication Date Title
CN107395395B (zh) 安全防护系统的处理方法和装置
US10637888B2 (en) Automated lifecycle system operations for threat mitigation
US8850587B2 (en) Network security scanner for enterprise protection
US10057284B2 (en) Security threat detection
US9503421B2 (en) Security information and event management
CN102045390B (zh) 计算机专用软件更新的自动配置
CN102132287B (zh) 保护虚拟客机免于受感染主机的攻击
US8533818B1 (en) Profiling backup activity
CN112534432A (zh) 不熟悉威胁场景的实时缓解
CA2883090A1 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
AU2008347034A1 (en) Systems and methods for automated data anomaly correction in a computer network
US9380064B2 (en) System and method for improving the resiliency of websites and web services
KR101649909B1 (ko) 가상 머신 취약점 점검과 복구 방법 및 장치
US20080115215A1 (en) Methods, systems, and computer program products for automatically identifying and validating the source of a malware infection of a computer system
US20230147215A1 (en) Computerized System for Complying with Certain Critical Infrastructure Protection Requirements
KR101233934B1 (ko) 지능형 통합 보안 관리 시스템 및 방법
US8868693B2 (en) Compliance tool
KR20180044507A (ko) 지능형 지속위협 환경의 네트워크 복구 시스템
JP2006018766A (ja) ネットワーク接続管理システム
KR101904415B1 (ko) 지능형 지속위협 환경에서의 시스템 복구 방법
CN114124459B (zh) 一种集群服务器安全防护方法、装置、设备及存储介质
US11960368B1 (en) Computer-implemented system and method for recovering data in case of a computer network failure
KR101042820B1 (ko) 시스템 취약점(exploit)을 이용한 웜 바이러스 치료 보안솔루션
US CYBER COMMAND FORT GEORGE G MEADE MD Fort George G. Meade Advanced Cyber Industrial Control System Tactics, Techniques, and Procedures (ACI TTP) for Department of Defense (DOD) Industrial Control Systems (ICS)
CN117201044A (zh) 工业互联网安全防护系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant