CN110909365B

CN110909365B - 安全补丁推送方法和装置

Info

Publication number: CN110909365B
Application number: CN201911221156.1A
Authority: CN
Inventors: 田中山; 赖少川; 蔡其星; 马楠桦; 许少新; 杨昌群; 刘维国; 王长征; 姚杰; 倪志光; 汪涛; 李育特; 黄桂锋; 郑家宜
Original assignee: China Petroleum and Chemical Corp; Zhejiang Supcon Technology Co Ltd; Sinopec Sales Co Ltd South China Branch
Current assignee: China Petroleum and Chemical Corp; Zhejiang Supcon Technology Co Ltd; China Oil and Gas Pipeline Network Corp
Priority date: 2019-12-03
Filing date: 2019-12-03
Publication date: 2022-07-05
Anticipated expiration: 2039-12-03
Also published as: CN110909365A

Abstract

本发明提供了一种安全补丁推送方法和装置，该方法包括：当接收到补丁更新信息时，获取各个终端的检测信息，判断每个所述终端是否满足预先设置的适用性条件，并将满足适用性条件的终端确定为第一候选终端；对每个第一候选终端进行漏洞验证；若存在通过漏洞验证的第一候选终端，则将所述通过漏洞验证的第一候选终端确定为第二候选终端；对每个所述第二候选终端进行依赖性验证；若存在通过依赖性验证的第二候选终端，则将通过依赖性验证的第二候选终端确定为目标终端；将补丁更新信息对应的安全补丁推送至目标终端，以触发目标终端依据其预先设置的补丁安装策略对安全补丁进行安装。应用本发明提供的安全补丁推送方法，能够提高终端的运行稳定性。

Description

安全补丁推送方法和装置

技术领域

本发明涉及计算机安全技术领域，特别涉及一种安全补丁推送方法和装置。

背景技术

工业控制系统是由各种自动化控制终端和实时数据采集、监测的过程控制终端共同构成的，广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域，用于控制关键生产设备的运行。这些领域中的工业控制系统一旦运行故障，将会影响产业的发展，造成巨大的损失，因此保障工业控制系统的运行安全具有重大意义。

为了保障工业控制系统的安全，需要对工业控制系统中的各个终端安装安全补丁，以防止系统漏洞带来的设备运行隐患，现有技术中，往往采用普通领域的安全补丁安装形式对各个终端进行补丁安装，然而，采用普通领域的补丁安装形式进行补丁安装，容易出现新安装的补丁与终端中原有的软件运行冲突等缺陷，进而容易导致终端运行出现故障。

发明内容

本发明所要解决的技术问题是提供一种安全补丁推送方法，能够避免新安装的补丁与终端中原有的软件运行冲突等缺陷，提高终端运行的稳定性。

本发明还提供了一种安全补丁推送装置，用以保证上述方法在实际中的实现及应用。

一种安全补丁推送方法，包括：

当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息；

依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端；

依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证；

若存在通过漏洞验证的所述第一候选终端，则将所述通过漏洞验证的第一候选终端确定为第二候选终端；

依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证；

若存在通过依赖性验证的所述第二候选终端，则将所述通过依赖性验证的第二候选终端确定为目标终端；

将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。

上述的方法，可选的，所述依据各个所述终端的操作系统版本信息判断各个所述终端是否满足预先设置的适用性条件，包括：

获取所述补丁更新信息中的操作系统适配信息；

分别判断各个所述操作系统版本信息是否与所述操作系统适配信息匹配；

将与所述操作系统适配信息匹配的操作系统版本信息对应的终端，确定为满足所述适用性条件的终端；

将与所述操作系统适配信息不匹配的系统版本信息对应的终端，确定为不满足所述适用性条件的终端。

上述的方法，可选的，所述依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志对每个所述第一候选终端进行漏洞验证，包括：

获取所述补丁更新信息中的漏洞描述信息；

对于每个所述第一候选终端，依据所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，判断所述第一候选终端中是否存在与所述漏洞描述信息对应的安全漏洞，若存在，则确定所述安全漏洞的风险等级，并确定所述第一候选终端对应的安全需求条件，判断所述风险等级是否与所述安全需求条件匹配，若匹配，则确定所述第一候选终端通过漏洞验证，否则，确定所述第一候选终端未通过漏洞验证。

上述的方法，可选的，所述依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证，包括：

获取所述补丁更新信息中的补丁依赖信息；

对于每个所述第二候选终端，在所述第二候选终端的程序依赖状况信息中确定所述补丁更新信息所对应的程序的目标依赖状况信息，判断所述目标依赖状况信息是否包含所述补丁依赖信息中所有的依赖接口以及库文件，若包含，则确定所述第二候选终端通过依赖性验证，否则，确定所述第二候选终端未通过依赖性验证。

上述的方法，可选的，所述将所述补丁更新信息对应的安全补丁推送至所述目标终端之后，还包括：

接收所述目标终端反馈的补丁安装完成信息；

依据所述补丁安装完成信息更新预先存储的所述目标终端对应的补丁安装记录。

一种安全补丁推送装置，包括：

接收单元，用于当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息；

第一确定单元，用于依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端；

第一验证单元，用于依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证；

第二确定单元，用于当存在通过漏洞验证的所述第一候选终端时，将所述通过漏洞验证的第一候选终端确定为第二候选终端；

第二验证单元，用于依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证；

第三确定单元，用于当存在通过依赖性验证的所述第二候选终端时，将所述通过依赖性验证的第二候选终端确定为目标终端；

发送单元，用于将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。

上述的装置，可选的，所述第一确定单元，包括：

第一获取子单元，用于获取所述补丁更新信息中的操作系统适配信息；

判断子单元，用于分别判断各个所述操作系统版本信息是否与所述操作系统适配信息匹配；

第一确定子单元，用于将与所述操作系统适配信息匹配的操作系统版本信息对应的终端，确定为满足所述适用性条件的终端；

第二确定子单元，用于将与所述操作系统适配信息不匹配的系统版本信息对应的终端，确定为不满足所述适用性条件的终端。

上述的装置，可选的，所述第一验证单元，包括：

第二获取子单元，用于获取所述补丁更新信息中的漏洞描述信息；

第一验证子单元，用于针对于每个所述第一候选终端，依据所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，判断所述第一候选终端中是否存在与所述漏洞描述信息对应的安全漏洞，若存在，则确定所述安全漏洞的风险等级，并确定所述第一候选终端对应的安全需求条件，判断所述风险等级是否与所述安全需求条件匹配，若匹配，则确定所述第一候选终端的漏洞验证通过，否则，漏洞验证未通过。

上述的装置，可选的，所述第二验证单元，包括：

第三获取子单元，用于获取所述补丁更新信息中的补丁依赖信息；

第二验证子单元，用于针对于每个所述第二候选终端，在所述第二候选终端的程序依赖状况信息中确定所述补丁更新信息所对应的程序的目标依赖状况信息，判断所述目标依赖状况信息是否包含所述补丁依赖信息中所有的依赖接口以及库文件，若包含，则确定所述第二候选终端的依赖性验证通过，否则，确定所述第二候选终端的依赖性验证未通过。

上述的装置，可选的，还包括：

执行单元，用于接收所述目标终端反馈的补丁安装完成信息；

更新单元，用于依据所述补丁安装完成信息更新预先存储的所述目标终端对应的补丁安装记录。

与现有技术相比，本发明包括以下优点：

本发明提供了一种安全补丁推送方法和装置，当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息；依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端；依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证；若存在通过漏洞验证的所述第一候选终端，则将所述通过漏洞验证的第一候选终端确定为第二候选终端；依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证；若存在通过依赖性验证的所述第二候选终端，则将所述通过依赖性验证的第二候选终端确定为目标终端；将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。应用本发明提供的安全补丁推送方法，能够降低终端安装新的安全补丁所带来的缺陷，提高了终端的运行稳定性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明提供的一种安全补丁推送方法的方法流程图；

图2为本发明提供的一种安全补丁推送方法的又一方法流程图；

图3为本发明提供的一种实施场景示例图；

图4为本发明提供的一种安全补丁推送装置的结构示意图；

图5为本发明提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明可用于众多通用或专用的计算装置环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。

本发明实施例提供了一种安全补丁推送方法，该方法可以应用在多种系统平台，其执行主体可以为安全管理平台服务器的处理器，所述安全管理平台服务器可以为计算机终端或各种移动设备，所述方法的方法流程图如图1所示，具体包括：

S101：当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息。

本发明实施例提供的方法中，可以用过轮询补丁服务接口，可以在新的安全补丁发布时，接收到该安全补丁对应的补丁更新信息，其中，该补丁更新信息中可以包含安全补丁的操作系统适配信息、安全补丁依赖信息和安全补丁所对应的漏洞描述信息。

其中，获取各个终端的检测信息的一种方式，可以为：向各个终端发送检测指令，以触发各个终端获取自身的检测信息，并将各个检测信息发送至安全管理平台。

具体的，该终端可以为工业控制系统中的服务器、操作站以及工程师站等等。

S102：依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端。

本发明实施例提供的方法，通过补丁更新信息中的操作系统适配信息与各个操作系统版本信息进行匹配，以确定终端是否满足的适用性条件，当终端的操作系统版本信息与补丁更新信息中的操作系统适配信息匹配时，确定该终端满足该适用性条件。

S103：依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证。

本发明实施例提供的方法中，对于每个第一候选终端，通过该第一候选终端的操作系统环境配置信息和系统配置变动日志，判断该第一候选终端中是否存在该补丁更新信息对应的安全漏洞，以对该第一候选终端进行漏洞验证。

S104：若存在通过漏洞验证的所述第一候选终端，则将所述通过漏洞验证的第一候选终端确定为第二候选终端。

本发明实施例提供的方法中，当第一候选终端中存在与该补丁更新信息对应的漏洞时，可以确定该第一候选终端通过漏洞验证。

S105：依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证。

本发明实施例提供的方法中，对于每个第二候选终端，该第二候选终端的程序依赖状况信息可以包含该第二候选终端中各个软件程序的依赖状况信息，即该第二候选终端中的每个软件程序运行时所依赖的操作系统提供的应用程序接口API、库文件DLL以及三方程序提供的程序接口等。

具体的，获取确定补丁更新信息中包含的补丁依赖信息，通过将补丁更新信息与该安全补丁对应的软件程序的依赖状况信息进行比对，即可对第二候选终端进行依赖性验证。

S106：若存在通过依赖性验证的所述第二候选终端，则将所述通过依赖性验证的第二候选终端确定为目标终端。

本发明实施例提供的方法中，当第二候选终端的程序依赖状况信息中与安全补丁对应的程序的依赖状况信息包含补丁更新信息的补丁依赖信息时，确定第二候选终端通过依赖性验证。

S107：将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。

本发明实施例提供的方法中，每个目标终端中都预先设置有补丁安装策略，依据该补丁安装策略来决定该安全补丁的安装方式，该安装方式可以为自动安装也可以为手动安装，可以在接收到该安全补丁时立即对该安全补丁进行安装，也可以在一段时间后安装。

本发明实施例提供了一种安全补丁推送方法，包括：当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息；依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端；依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证；若存在通过漏洞验证的所述第一候选终端，则将所述通过漏洞验证的第一候选终端确定为第二候选终端；依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证；若存在通过依赖性验证的所述第二候选终端，则将所述通过依赖性验证的第二候选终端确定为目标终端；将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。应用本发明提供的安全补丁推送方法，能够降低终端安装新的安全补丁所带来的缺陷，提高了终端的运行稳定性。

本发明实施例提供的方法中，基于上述的实施过程，具体的，所述依据各个所述终端的操作系统版本信息判断各个所述终端是否满足预先设置的适用性条件，如图2所示，可以包括：

S201：获取所述补丁更新信息中的操作系统适配信息。

其中，该操作系统适配信息可以包含该补丁更新信息对应的安全补丁所适配的操作系统版本，该适配的操作系统版本可以为一个或多个。

S202：分别判断各个所述操作系统版本信息是否与所述操作系统适配信息匹配。

具体的，通过将每个终端的操作系统版本信息与该安全补丁的操作系统适配信息进行匹配，以判断各个终端的操作系统版本是否为该安全补丁的适配操作系统版本。

S203：将与所述操作系统适配信息匹配的操作系统版本信息对应的终端，确定为满足所述适用性条件的终端。

本发明实施例提供的方法中，若终端的操作系统版本信息与安全补丁的操作系统适配信息匹配，则说明该终端的操作系统版本可以支持安装该安全补丁，若存在满足适用性条件的终端，则可以对该补丁更新信息对应的安全补丁进行缓存。

S204：将与所述操作系统适配信息不匹配的系统版本信息对应的终端，确定为不满足所述适用性条件的终端。

本发明实施例提供的方法中，若终端的操作系统版本信息与安全补丁的操作系统适配信息匹配，则说明该终端的操作系统版本不支持安装该安全补丁。

应用本发明实施例提供的方法，通过将各个终端的操作系统版本信息与安全补丁的操作系统适配信息进行匹配，可以快速的筛选出符合适用性条件的终端。

本发明实施例提供的方法中，基于上述的实施过程，具体的，所述依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志对每个所述第一候选终端进行漏洞验证，包括：

获取所述补丁更新信息中的漏洞描述信息；

本发明实施例提供的方法中，该补丁更新信息中包含其对应的安全补丁的漏洞描述信息，该漏洞描述信息为该安全补丁所能修复的安全漏洞的描述信息，应用预先设置漏洞检测方式、漏洞检测脚本小程序等对第一候选终端的操作系统环境配置信息和系统配置变动日志进行分析，以判断该第一候选终端中是否存在与所述漏洞描述信息对应的安全漏洞。

其中，当第一候选终端存在该漏洞描述信息对应的安全漏洞时，可以确定该安全漏洞的风险等级，并确定该第一候选终端的安全需求条件，若该风险等级未达到该第一候选终端的安全需求条件时，可以不用安装该安全补丁，以避免造成对系统的影响，即，当该安全漏洞的安全等级较低或不会对终端的操作系统造成不利影响时，可以确定该第一候选终端的漏洞验证未通过。

具体的，通过第一候选终端的操作系统环境配置信息判断当前操作系统环境是否开启该补丁更新信息对应的服务，若未开启，则说明该第一候选终端不存在该安全漏洞，通过系统配置变动日志可以判断该第一候选终端是否存在解决该安全漏洞的需求。

本发明实施例提供的方法中，基于上述的实施过程，具体的，所述依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证，包括：

获取所述补丁更新信息中的补丁依赖信息；

本发明实施例提供的方法中，所述补丁更新信息中的补丁依赖信息包含该补丁更新信息对应的安全补丁所依赖的系统的应用程序接口、动态链接库文件、第三方应用程序接口等，上述的依赖接口包括系统的应用程序接口和三方程序接口。

具体的，对于每个第二候选终端，确定该安全补丁所要覆盖的程序文件，在该第二候选终端的程序依赖状况信息中确定该程序文件的依赖状况信息，若该程序文件的依赖状况信息包含该安全补丁的补丁依赖信息所有依赖的应用程序接口、动态链接库文件和第三方应用程序接口，则说明该安全补丁的影响面小于原程序文件的影响面。

其中，若该第二候选终端的依赖性验证未通过，则可以依据该安全漏洞的安全等级和该安全补丁的补丁依赖信息进行综合分析，可以将该安全等级以及补丁依赖信息的影响面进行量化，并得到安全等级参数以及影响面参数，将安全等级参数、该安全等级参数对应的权重值、影响面参数以及影响面参数对应的权重值进行计算，得到安全补丁的必要度参数，判断所述必要度参数是否大于预先设置的阈值，若是，则可以将该第二候选终端确定为目标终端。

应用本发明实施例提供的方法，通过安全补丁的补丁依赖信息以及终端的软件程序的依赖状况信息进行比较，能够有效的避免安装新的安全补丁对目标终端带来的负面影响，提高了终端的操作系统运行的稳定性。

本发明实施例提供的方法中，基于上述的实施过程，具体的，所述将所述补丁更新信息对应的安全补丁推送至所述目标终端之后，还包括：

接收所述目标终端反馈的补丁安装完成信息；

本发明实施例提供的方法中，该目标终端依据其自身所设置的补丁安装策略对该安全补丁安装成功后，可以将补丁安装完成信息发送至安全管理平台；在接收到该补丁安装完成信息后，更新该目标终端对应的补丁安装记录，使得更新后的补丁安装记录包含该目标终端所有的补丁信息。

具体的，该补丁安装完成信息包括该安全补丁的描述信息以及该目标终端的安装该安全补丁的时间，管理管理平台依据该补丁安装完成信息更新目标终端对应的补丁安装记录，可以在操作系统出现故障时，依据该补丁安装记录快速查询故障原因。

在本发明提供的一实施例中，提供了一具体应用场景，如图3所示，为本发明提供的一种实施场景示例图，该应用场景包含了安全管理平台服务器301、补丁服务站点302以及工业控制系统中的各个终端303。

该安全管理平台服务器301可以为单一的服务器、服务器集群或者云计算中心。

该补丁服务站点302中存储有各个安全补丁，并向安全管理平台服务器301提供的补丁服务接口，以供安全管理平台进行调用。

该终端303可以包括工业控制系统中的操作站、服务器或工程师站等。

该安全管理平台服务器301通过网络与补丁服务站点302进行交互，安全管理平台服务器301通过网络与终端303进行交互，本发明实施例涉及的网络为提供通信链路的介质，该网络可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

在本发明实施例中，当安全管理平台服务器调用该补丁服务接口，接收到补丁更新信息时，向各个终端发送检测指令，以触发各个终端对其各自的操作系统状况进行检测，得到检测信息，该检测信息可以包括1.操作系统版本信息操作系统补丁信息、操作系统环境配置信息、操作系统重要配置变动日志、操作系统上程序软件的依赖情况信息以及其他重要信息日志等，其中，可以终端可以通过调用对应的API获取到其操作系统版本信息、操作系统补丁信息、操作系统环境配置信息、操作系统重要配置变动信息等，可以采用DLL标准化依赖分析的方式得到终端的各个程序对DLL以及操作系统的依赖状况信息；

安全管理平台服务器依据各个终端的操作系统版本信息判断每个终端是否满足预先设置的适用性条件，并将满足适用性条件的终端确定为第一候选终端；依据各个第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个第一候选终端进行漏洞验证，若存在通过漏洞验证的第一候选终端，则将通过漏洞验证的第一候选终端确定为第二候选终端；依据各个第二候选终端的程序依赖状况信息对每个第二候选终端进行依赖性验证；若存在通过依赖性验证的第二候选终端，则将通过依赖性验证的第二候选终端确定为目标终端；将补丁更新信息对应的安全补丁推送至目标终端，以触发目标终端依据其预先设置的补丁安装策略对安全补丁进行安装。

具体的，终端通过调用操作系统提供的补丁管理接口，可实现补丁的安装以及卸载等操作，可通过配置性来决定该该终端是自动补丁安装还是手动补丁安装。即通过从安管平台上接收安全补丁后立刻安装还是仅进行补丁的接收等到操作后进行安装，以用来满足不同的需求。每个目标终端通过对安装安全补丁前后操作系统变化的检测来形成升级日志，更进一步的提供相关升级操作信息等反馈给安全管理平台服务器，为安全管理平台服务器后续的升级分析提供足够的信息记录。

需要说明的是，安全管理平台服务器在目标终端安装该安全补丁前，对目标终端当前的操作系统进行备份，便于在目标终端的操作系统发生故障时，对该目标终端的操作系统进行恢复。

应该理解，图3中的安全管理平台服务器、补丁服务站点以及终端的数目仅是示意性的，可以根据实际需要进行设定。

与图1所述的方法相对应，本发明实施例还提供了一种安全补丁推送装置，用于对图1中方法的具体实现，本发明实施例提供的安全补丁推送装置可以应用于安全管理平台服务器中，其结构示意图如图4所示，具体包括：

接收单元401，用于当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息；

第一确定单元402，用于依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端；

第一验证单元403，用于依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证；

第二确定单元404，用于当存在通过漏洞验证的所述第一候选终端时，将所述通过漏洞验证的第一候选终端确定为第二候选终端；

第二验证单元405，用于依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证；

第三确定单元406，用于当存在通过依赖性验证的所述第二候选终端时，将所述通过依赖性验证的第二候选终端确定为目标终端；

发送单元407，用于将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。

本发明实施例提供了一种安全补丁推送装置，当接收到补丁更新信息时，获取各个预置的终端的检测信息，每个所述检测信息包括其所属的终端的操作系统版本信息、操作系统环境配置信息、系统配置变动日志以及程序依赖状况信息；依据各个所述终端的操作系统版本信息判断每个所述终端是否满足预先设置的适用性条件，并将满足所述适用性条件的终端确定为第一候选终端；依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，对每个所述第一候选终端进行漏洞验证；若存在通过漏洞验证的所述第一候选终端，则将所述通过漏洞验证的第一候选终端确定为第二候选终端；依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证；若存在通过依赖性验证的所述第二候选终端，则将所述通过依赖性验证的第二候选终端确定为目标终端；将所述补丁更新信息对应的安全补丁推送至所述目标终端，以触发所述目标终端依据其预先设置的补丁安装策略对所述安全补丁进行安装。应用本发明提供的安全补丁推送装置，能够降低终端安装新的安全补丁时所带来的缺陷，提高了终端的运行稳定性。

在本发明提供的一实施例中，基于上述的方案，所述第一确定单元402，包括：

在本发明提供的一实施例中，基于上述的方案，所述第一验证单元403，包括：

第一验证子单元，用于针对于每个所述第一候选终端，依据所述第一候选终端的操作系统环境配置信息以及系统配置变动日志，判断所述第一候选终端中是否存在与所述漏洞描述信息对应的安全漏洞，若存在，则确定所述安全漏洞的风险等级，并确定所述第一候选终端对应的安全需求条件，判断所述风险等级是否与所述安全需求条件匹配，若匹配，则确定所述第一候选终端通过漏洞验证，否则，确定所述第一候选终端未通过漏洞验证。

在本发明提供的一实施例中，基于上述的方案，所述第二验证单元405，包括：

第二验证子单元，用于针对于每个所述第二候选终端，在所述第二候选终端的程序依赖状况信息中确定所述补丁更新信息所对应的程序的目标依赖状况信息，判断所述目标依赖状况信息是否包含所述补丁依赖信息中所有的依赖接口以及库文件，若包含，则确定所述第二候选终端通过依赖性验证，否则，确定所述第二候选终端未通过依赖性验证。

在本发明提供的一实施例中，基于上述的方案，还包括：

上述本发明实施例公开的安全补丁推送装置中的各个单元和模块具体的原理和执行过程，与上述本发明实施例公开的用户兴趣度的评价方法相同，可参见上述本发明实施例提供的安全补丁推送方法中相应的部分，这里不再进行赘述。

本发明实施例还提供了一种存储介质，所述存储介质包括存储的指令，其中，在所述指令运行时控制所述存储介质所在的设备执行上述安全补丁推送方法。

本发明实施例还提供了一种电子设备，其结构示意图如图5所示，具体包括存储器501，以及一个或者一个以上的指令502，其中一个或者一个以上指令502存储于存储器501中，且经配置以由一个或者一个以上处理器503执行所述一个或者一个以上指令502进行以下操作：

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明所提供的一种安全补丁推送方法和装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种安全补丁推送方法，其特征在于，包括：

依据各个所述第二候选终端的程序依赖状况信息对每个所述第二候选终端进行依赖性验证，包括：获取所述补丁更新信息中的补丁依赖信息；对于每个所述第二候选终端，在所述第二候选终端的程序依赖状况信息中确定所述补丁更新信息所对应的程序的目标依赖状况信息，判断所述目标依赖状况信息是否包含所述补丁依赖信息中所有的依赖接口以及库文件，若包含，则确定所述第二候选终端通过依赖性验证，否则，确定所述第二候选终端未通过依赖性验证；

若该第二候选终端的依赖性验证未通过，则将安全漏洞的安全等级以及所述补丁依赖信息的影响面进行量化，得到安全等级参数以及影响面参数，将所述安全等级参数、所述安全等级参数对应的权重值、所述影响面参数以及所述影响面参数对应的权重值进行计算，得到所述安全补丁的必要度参数，判断所述必要度参数是否大于预先设置的阈值，若是，则将所述第二候选终端确定为目标终端；

2.根据权利要求1所述的方法，其特征在于，所述依据各个所述终端的操作系统版本信息判断各个所述终端是否满足预先设置的适用性条件，包括：

获取所述补丁更新信息中的操作系统适配信息；

3.根据权利要求1所述的方法，其特征在于，所述依据各个所述第一候选终端的操作系统环境配置信息以及系统配置变动日志对每个所述第一候选终端进行漏洞验证，包括：

获取所述补丁更新信息中的漏洞描述信息；

4.根据权利要求1所述的方法，其特征在于，所述将所述补丁更新信息对应的安全补丁推送至所述目标终端之后，还包括：

接收所述目标终端反馈的补丁安装完成信息；

5.一种安全补丁推送装置，其特征在于，包括：

所述第二验证单元，包括：

第二验证子单元，用于针对于每个所述第二候选终端，在所述第二候选终端的程序依赖状况信息中确定所述补丁更新信息所对应的程序的目标依赖状况信息，判断所述目标依赖状况信息是否包含所述补丁依赖信息中所有的依赖接口以及库文件，若包含，则确定所述第二候选终端通过依赖性验证，否则，确定所述第二候选终端未通过依赖性验证；

所述第三确定单元，还用于若该第二候选终端的依赖性验证未通过，则将安全漏洞的安全等级以及所述补丁依赖信息的影响面进行量化，得到安全等级参数以及影响面参数，将所述安全等级参数、所述安全等级参数对应的权重值、所述影响面参数以及所述影响面参数对应的权重值进行计算，得到所述安全补丁的必要度参数，判断所述必要度参数是否大于预先设置的阈值，若是，则将所述第二候选终端确定为目标终端；

6.根据权利要求5所述的装置，其特征在于，第一确定单元，包括：

7.根据权利要求5所述的装置，其特征在于，所述第一验证单元，包括：

8.根据权利要求5所述的装置，其特征在于，还包括：