CN112347461A - 工控系统登录管控方法、装置、电子装置和存储介质 - Google Patents
工控系统登录管控方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN112347461A CN112347461A CN202011202099.5A CN202011202099A CN112347461A CN 112347461 A CN112347461 A CN 112347461A CN 202011202099 A CN202011202099 A CN 202011202099A CN 112347461 A CN112347461 A CN 112347461A
- Authority
- CN
- China
- Prior art keywords
- security policy
- information
- account
- login
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000003860 storage Methods 0.000 title claims abstract description 17
- 238000012795 verification Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 241000208125 Nicotiana Species 0.000 description 1
- 235000002637 Nicotiana tabacum Nutrition 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000037237 body shape Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种工控系统登录管控方法、装置、电子装置和存储介质,其中,该工控系统登录管控方法包括:接收登录请求信息,其中,所述登录请求信息至少包括请求登录的用户的身份信息;根据身份信息在安全策略账户参数表中查询目标安全策略账户信息;在查询到目标安全策略账户信息的情况下,通过目标安全策略账户信息进行系统登录;调用与身份信息对应的安全策略配置信息,并执行预设白名单策略。通过本申请,解决了相关技术中缺少对工控系统登录用户身份和权限进行安全有效管控的问题,实现了工控系统的安全登录与运行。
Description
技术领域
本申请涉及工业控制系统技术领域,特别是涉及工控系统登录管控方法、装置、电子装置和存储介质。
背景技术
随着工业信息化、物联网技术在全球快速发展,工业控制系统正逐渐从封闭、孤立的系统转化为开放互联的系统,工业控制系统(简称工控系统)接入物联网环境的需求也越来越迫切,但是如何能够应对工控系统在联网之后面临安全漏洞和系统缺陷以及病毒攻击的多种风险,是工控行业需要解决的首要问题。
随着工业控制系统信息安全产业不断进步,涌现出来越来越多的工控安全产品(工控安全管理系统),例如工控防火墙、工控安全审计平台、主机安全防护系统、综合管理平台、工控威胁检测系统、入侵检测系统、堡垒机、工控安全卫士等等。
工控安全管理系统可以通过应用程序、网络、USB移动存储的白名单策略,有效防止用户的违规操作和误操作,阻止不明程序、移动存储介质和网络通信的滥用,可以有效避免因病毒、木马或非法应用造成的停机,保障生产业务连续可靠运行并提高工控网络的综合“免疫”能力。因此,在我国工控安全管理系统已经广泛应用在油气、石化、市政、环保、交通、烟草、智能制造、能源、电力、冶金、政府、企业等大型控制需求的行业,为其提供稳定安全的防护,保障核心关键业务。
现有工控安全产品虽然可以通过应用程序、网络、USB移动存储的白名单策略等针对工控系统安全进行防护,但是,对工控系统终端(或者工控主机)操作系统不同用户账户登陆验证的过程,以及账户的安全管理权限没有进行有效的管控。
目前针对相关技术中缺少对工控系统登录用户身份和权限进行安全有效管控的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种工控系统登录管控方法、装置、电子装置和存储介质,以至少解决相关技术中缺少对工控系统登录用户身份和权限进行安全有效管控的问题。
第一方面,本申请实施例提供了一种工控系统登录管控方法,包括:
接收登录请求信息,其中,所述登录请求信息至少包括请求登录的用户的身份信息,所述身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书;
根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,所述安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系;
在查询到所述目标安全策略账户信息的情况下,通过所述目标安全策略账户信息进行系统登录;
调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略。
在其中一些实施例中,在未查询到所述目标安全策略账户信息的情况下,禁止进行系统登陆,并向所述用户发出警告。
在其中一些实施例中,根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:通过Credential Providers接口执行根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息。
在其中一些实施例中,所述安全策略账户参数表至少包括存储于预设安全策略管理单元的第一安全策略用户信息表,根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:
通过网络连接所述预测安全策略管理单元,并通过Credential Providers接口的DLL动态库文件获取所述第一安全策略用户信息表;
根据所述身份信息在所述第一安全策略用户信息表中查询所述目标安全策略账户信息。
在其中一些实施例中,所述安全策略账户参数表还包括本地存储的第二安全策略用户信息表,根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:调取所述第二安全策略用户信息表,并根据所述身份信息在所述第二安全策略用户信息表中查询所述目标安全策略账户信息。
在其中一些实施例中,所述目标安全策略账户信息包括安全策略账户对应的策略信息和权限信息,通过所述目标安全策略账户信息进行系统登录之前,所述方法还包括:
根据所述策略信息对所述安全策略账号进行安全性验证,其中,所述策略信息包括对所述安全策略账号进行安全验证的验证方式,所述验证方式包括以下其中一种:用户账号验证、人脸识别、指纹识别;
在所述安全策略账号验证通过的情况下,根据所述权限信息确定所述安全策略账号对所述系统的操作,并判断所述安全策略账号对所述系统的操作是否安全;
在判断到所述安全策略账号对所述系统的操作安全的情况下,通过所述目标安全策略账户信息进行系统登录。
在其中一些实施例中,所述方法还包括:
确定所述工控系统的第一运行状态,其中,所述第一运行状态包括以下其中之一:锁屏、注销、启动;
在所述工控系统处于所述第一运行状态时,执行根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息,通过所述目标安全策略账户信息执行第一运行状态,调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略的步骤。
第二方面,本申请实施例提供了一种工控系统登录管控装置,包括:
接收模块,用于接收登录请求信息,其中,所述登录请求信息至少包括请求登录的用户的身份信息,所述身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书;
查询模块,用于根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,所述安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系;
登录模块,用于在查询到所述目标安全策略账户信息的情况下,通过所述目标安全策略账户信息进行系统登录;
处理模块,用于调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的工控系统登录管控方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的工控系统登录管控方法。
相比于相关技术,本申请实施例提供的工控系统登录管控方法,通过接收登录请求信息,根据该身份信息在安全策略账户参数表中查询目标安全策略账户信息;在查询到目标安全策略账户信息的情况下,通过所述目标安全策略账户信息进行系统登录;调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略,解决了缺少对工控系统登录用户身份和权限进行安全有效管控的问题,实现了工控系统的可靠登录,降低了工控系统遭受非法用户破坏或者被窃取数据的风险。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的工控系统登录管控方法的终端的硬件结构框图;
图2是根据本申请实施例的工控系统登录管控方法流程图;
图3是根据本申请优选实施例的工控系统登录管控方法的流程图;
图4是根据本申请实施例的工控系统登录管控装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是本发明实施例的工控系统登录管控方法的终端的硬件结构框图。如图1所示,终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的工控系统登录管控方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端10的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例提供了一种运行于上述终端的工控系统登录管控方法,图2是根据本申请实施例的工控系统登录管控方法流程图,如图2所示,该流程包括如下步骤:
步骤S201,接收登录请求信息,其中,登录请求信息至少包括请求登录的用户的身份信息,身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书;除了人脸特征、指纹之外的其他生物特征识别技术,包括手掌纹、虹膜、视网膜、声音(语音)、体形等也同样适用。
步骤S202,根据身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系。
步骤S203,在查询到目标安全策略账户信息的情况下,通过目标安全策略账户信息进行系统登录。
步骤S204,调用与身份信息对应的安全策略配置信息,并根据安全策略配置信息执行预设的应用程序、网络、USB移动存储、脚本等白名单策略。
在其中一些实施例中,在未查询到目标安全策略账户信息的情况下,禁止进行系统登陆,并向用户发出警告。
在其中一些实施例中,根据身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:通过Credential Providers接口执行根据身份信息在安全策略账户参数表中查询目标安全策略账户信息。其中,Credential Providers表示凭据提供者,在Windows7及以上系统中,微软提供了Credential Providers;凭据就是提供了一种身份认证的方式,默认的Windows身份认证方式就是开机的时候输入用户名和密码(口令)。而通过Credential Providers接口能够实现丰富的身份认证方式,比如指纹、USB-Key等;并能够任意修改Windows系统登录时的界面,界面包括图片、下拉框、文本输入框、密码输入框、超链接按钮等。每次进行锁屏、开机登录的时候,DLL文件都会被操作系统的LogonUI.exe进程加载并显示出来,而界面上显示什么内容、显示哪些控件均由预先编写的DLL文件决定。
在其中一些实施例中,安全策略账户参数表至少包括存储于预设安全策略管理单元的第一安全策略用户信息表,根据身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:
通过网络连接预测安全策略管理单元,并通过Credential Providers接口的DLL动态库文件获取第一安全策略用户信息表;根据身份信息在第一安全策略用户信息表中查询目标安全策略账户信息。
在其中一些实施例中,安全策略账户参数表还包括本地存储的第二安全策略用户信息表,根据身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:调取第二安全策略用户信息表,并根据身份信息在第二安全策略用户信息表中查询目标安全策略账户信息。
在其中一些实施例中,目标安全策略账户信息包括安全策略账户对应的策略信息和权限信息,通过目标安全策略账户信息进行系统登录之前,还包括:
根据策略信息对安全策略账号进行安全性验证,其中,策略信息包括对安全策略账号进行安全验证的验证方式,验证方式包括以下其中一种:用户账号验证、人脸识别、指纹识别;
在安全策略账号验证通过的情况下,根据权限信息确定安全策略账号对系统的操作,并判断安全策略账号对系统的操作是否安全;
在判断到安全策略账号对系统的操作安全的情况下,通过目标安全策略账户信息进行系统登录。
在其中一些实施例中,该工控系统登录管控方法还包括:
确定工控系统的第一运行状态,其中,第一运行状态包括以下其中之一:锁屏、注销、启动;
在工控系统处于第一运行状态时,执行根据身份信息在安全策略账户参数表中查询目标安全策略账户信息,通过目标安全策略账户信息执行第一运行状态,调用与身份信息对应的安全策略配置信息,并根据安全策略配置信息执行预设白名单策略的步骤。
通过上述步骤,工控系统终端实现了用可信工控安全策略账户接管工控系统终端用户登陆身份验证过程;相比于传统工控安全技术的登录过程,本申请的工控系统登录管控方法在系统登陆前,通过将接收的用户的身份信息与安全策略账户参数表中的目标安全策略账户信息进行匹配和比对,通过目标安全策略账户信息进行系统登录,提高了工控系统的安全性,降低了出现工控安全问题的风险。同时,在并且无需在登录操作系统后再次进行登陆进入工控安全管理系统的操作。在匹配成功登录系统后,直接调用与该安全策略账户的安全策略配置信息,并执行预设白名单策略对工控系统进行管控与保护,这简化了系统启动初期的操作流程,从而在提高了安全的同时提升了效率。本申请通过Windows提供的Credential Providers接口,可以在工控系统登陆同时进行一系列的更高级更安全的身份验证工作,比如,通过人脸识别或指纹识别等,使得工控系统在使用中更加的安全可靠与灵活便利。
下面通过优选实施例对本申请实施例进行描述和说明。
图3是根据本申请优选实施例的工控系统登录管控方法的流程图。如图3所示,该工控系统登录管控方法包括如下步骤:
步骤S301,确定工控系统是否处于锁屏、注销、启动的第一运行状态。
步骤S302,若处于第一运行状态,接收登录请求信息,登录请求信息包括请求登录的用户指纹信息。
步骤S303,判定该终端是否处于网络中。
步骤S304,若该终端处于网络中,根据接收的用户指纹信息在存储于预设安全策略管理单元的第一安全策略用户信息表中查询目标安全策略账户信息;
若该终端处于没有连接到网络中,根据接收的用户指纹信息在存储于本地的第二安全策略用户信息表中查询目标安全策略账户信息。
步骤S305,在查询到目标安全策略账户信息的情况下,通过目标安全策略账户信息进行系统登录;在没有查询到目标安全策略账户信息的情况下,禁止进行系统登陆,并向用户发出警告。
步骤S306,调用与身份信息对应的安全策略配置信息,并根据该安全策略配置信息执行预设的应用程序、网络、USB移动存储、脚本等白名单策略。
步骤S307,将用户的访问信息和操作日志传递至安全策略管理单元进行存储。通过对用户使用系统情况的跟踪、对数据的跟踪,从而防止数据意外删除;并保证系统或数据更改时有所记录,以便在出现误操作或者安全事故的时候对数据的进行还原与恢复,以保护工控数据的完整性。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,步骤S305与步骤S306、步骤S305与步骤S307。
本实施例还提供了一种工控系统登录管控装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的工控系统登录管控装置的结构示意图,如图4所示,该装置包括:
接收模块41,用于接收登录请求信息,其中,登录请求信息至少包括请求登录的用户的身份信息,身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书;
查询模块42,与接收模块41耦合连接,用于根据身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系;
登录模块43,与查询模块42耦合连接,用于在查询到目标安全策略账户信息的情况下,通过目标安全策略账户信息进行系统登录;
处理模块44,与登录模块43耦合连接的,用于调用与身份信息对应的安全策略配置信息,并根据安全策略配置信息执行预设白名单策略。
在其中一些实施例中,装置还用于在未查询到目标安全策略账户信息的情况下,禁止进行系统登陆,并向用户发出警告。
在其中一些实施例中,查询模块42用于通过Credential Providers接口执行根据身份信息在安全策略账户参数表中查询目标安全策略账户信息。
在其中一些实施例中,安全策略账户参数表至少包括存储于预设安全策略管理单元的第一安全策略用户信息表,查询模块42用于通过网络连接预测安全策略管理单元,并通过Credential Providers接口的DLL动态库文件获取第一安全策略用户信息表;根据身份信息在第一安全策略用户信息表中查询目标安全策略账户信息。
在其中一些实施例中,安全策略账户参数表还包括本地存储的第二安全策略用户信息表,查询模块42用于调取第二安全策略用户信息表,并根据身份信息在第二安全策略用户信息表中查询目标安全策略账户信息。
在其中一些实施例中,目标安全策略账户信息包括安全策略账户对应的策略信息和权限信息,装置还用于通过目标安全策略账户信息进行系统登录之前,根据策略信息对安全策略账号进行安全性验证,其中,策略信息包括对安全策略账号进行安全验证的验证方式,验证方式包括以下其中一种:用户账号验证、人脸识别、指纹识别;在安全策略账号验证通过的情况下,根据权限信息确定安全策略账号对系统的操作,并判断安全策略账号对系统的操作是否安全;在判断到安全策略账号对系统的操作安全的情况下,通过目标安全策略账户信息进行系统登录。
在其中一些实施例中,装置还用于确定工控系统的第一运行状态,其中,第一运行状态包括以下其中之一:锁屏、注销、启动;在工控系统处于第一运行状态时,执行根据身份信息在安全策略账户参数表中查询目标安全策略账户信息,通过目标安全策略账户信息执行第一运行状态,调用与身份信息对应的安全策略配置信息,并根据安全策略配置信息执行预设白名单策略的步骤。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收登录请求信息,其中,登录请求信息至少包括请求登录的用户的身份信息,身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书。
S2,根据身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系。
S3,在查询到目标安全策略账户信息的情况下,通过目标安全策略账户信息进行系统登录。
S4,调用与身份信息对应的安全策略配置信息,并根据安全策略配置信息执行预设白名单策略。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的工控系统登录管控方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种工控系统登录管控方法。
本领域的技术人员应该明白,以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种工控系统登录管控方法,其特征在于,包括:
接收登录请求信息,其中,所述登录请求信息至少包括请求登录的用户的身份信息,所述身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书;
根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,所述安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系;
在查询到所述目标安全策略账户信息的情况下,通过所述目标安全策略账户信息进行系统登录;
调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略。
2.根据权利要求1所述的工控系统登录管控方法,其特征在于,在未查询到所述目标安全策略账户信息的情况下,禁止进行系统登陆,并向所述用户发出警告。
3.根据权利要求1所述的工控系统登录管控方法,其特征在于,根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:通过Credential Providers接口执行根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息。
4.根据权利要求1所述的工控系统登录管控方法,其特征在于,所述安全策略账户参数表至少包括存储于预设安全策略管理单元的第一安全策略用户信息表,根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:
通过网络连接所述预测安全策略管理单元,并通过Credential Providers接口的DLL动态库文件获取所述第一安全策略用户信息表;
根据所述身份信息在所述第一安全策略用户信息表中查询所述目标安全策略账户信息。
5.根据权利要求4所述的工控系统登录管控方法,其特征在于,所述安全策略账户参数表还包括本地存储的第二安全策略用户信息表,根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息包括:调取所述第二安全策略用户信息表,并根据所述身份信息在所述第二安全策略用户信息表中查询所述目标安全策略账户信息。
6.根据权利要求1所述的工控系统登录管控方法,其特征在于,所述目标安全策略账户信息包括安全策略账户对应的策略信息和权限信息,通过所述目标安全策略账户信息进行系统登录之前,所述方法还包括:
根据所述策略信息对所述安全策略账号进行安全性验证,其中,所述策略信息包括对所述安全策略账号进行安全验证的验证方式,所述验证方式包括以下其中一种:用户账号验证、人脸识别、指纹识别;
在所述安全策略账号验证通过的情况下,根据所述权限信息确定所述安全策略账号对所述系统的操作,并判断所述安全策略账号对所述系统的操作是否安全;
在判断到所述安全策略账号对所述系统的操作安全的情况下,通过所述目标安全策略账户信息进行系统登录。
7.根据权利要求1所述的工控系统登录管控方法,其特征在于,所述方法还包括:
确定所述工控系统的第一运行状态,其中,所述第一运行状态包括以下其中之一:锁屏、注销、启动;
在所述工控系统处于所述第一运行状态时,执行根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息,通过所述目标安全策略账户信息执行第一运行状态,调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略的步骤。
8.一种工控系统登录管控装置,其特征在于,包括:
接收模块,用于接收登录请求信息,其中,所述登录请求信息至少包括请求登录的用户的身份信息,所述身份信息至少包括以下其中之一:用户账号信息、人脸特征、指纹、数字证书;
查询模块,用于根据所述身份信息在安全策略账户参数表中查询目标安全策略账户信息,其中,所述安全策略账户参数表包括预设身份信息与预设安全策略账户信息的对应关系;
登录模块,用于在查询到所述目标安全策略账户信息的情况下,通过所述目标安全策略账户信息进行系统登录;
处理模块,用于调用与所述身份信息对应的安全策略配置信息,并根据所述安全策略配置信息执行预设白名单策略。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的工控系统登录管控方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的工控系统登录管控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011202099.5A CN112347461A (zh) | 2020-11-02 | 2020-11-02 | 工控系统登录管控方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011202099.5A CN112347461A (zh) | 2020-11-02 | 2020-11-02 | 工控系统登录管控方法、装置、电子装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112347461A true CN112347461A (zh) | 2021-02-09 |
Family
ID=74355421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011202099.5A Pending CN112347461A (zh) | 2020-11-02 | 2020-11-02 | 工控系统登录管控方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112347461A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024759A (zh) * | 2021-11-09 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
| CN114500034A (zh) * | 2022-01-24 | 2022-05-13 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
| CN115081848A (zh) * | 2022-06-14 | 2022-09-20 | 中国银行股份有限公司 | 一种操作风险的管控方法及装置、电子设备、存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103425914A (zh) * | 2012-05-17 | 2013-12-04 | 宇龙计算机通信科技(深圳)有限公司 | 应用程序的登录方法及通信终端 |
| JP5836511B1 (ja) * | 2015-01-29 | 2015-12-24 | ヤマザキマザック株式会社 | 旋削加工制御装置 |
| CN105207992A (zh) * | 2015-08-17 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种指纹管理账户的系统及方法 |
| CN106911947A (zh) * | 2017-03-20 | 2017-06-30 | 青岛中鉴高科信息有限公司 | 一种应用于用户登录的指纹识别系统 |
| CN108989346A (zh) * | 2018-08-30 | 2018-12-11 | 上海同态信息科技有限责任公司 | 基于账号隐匿的第三方有效身份托管敏捷认证访问模式 |
| CN109309659A (zh) * | 2018-07-19 | 2019-02-05 | 奇酷互联网络科技(深圳)有限公司 | 移动终端及其登录应用的方法和装置 |
| CN109995796A (zh) * | 2019-04-29 | 2019-07-09 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
| CN111680275A (zh) * | 2020-04-27 | 2020-09-18 | 宁波润华全芯微电子设备有限公司 | 工控机控制系统的权限管理方法、系统、存储介质及设备 |
-
2020
- 2020-11-02 CN CN202011202099.5A patent/CN112347461A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103425914A (zh) * | 2012-05-17 | 2013-12-04 | 宇龙计算机通信科技(深圳)有限公司 | 应用程序的登录方法及通信终端 |
| JP5836511B1 (ja) * | 2015-01-29 | 2015-12-24 | ヤマザキマザック株式会社 | 旋削加工制御装置 |
| CN105207992A (zh) * | 2015-08-17 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种指纹管理账户的系统及方法 |
| CN106911947A (zh) * | 2017-03-20 | 2017-06-30 | 青岛中鉴高科信息有限公司 | 一种应用于用户登录的指纹识别系统 |
| CN109309659A (zh) * | 2018-07-19 | 2019-02-05 | 奇酷互联网络科技(深圳)有限公司 | 移动终端及其登录应用的方法和装置 |
| CN108989346A (zh) * | 2018-08-30 | 2018-12-11 | 上海同态信息科技有限责任公司 | 基于账号隐匿的第三方有效身份托管敏捷认证访问模式 |
| CN109995796A (zh) * | 2019-04-29 | 2019-07-09 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
| CN111680275A (zh) * | 2020-04-27 | 2020-09-18 | 宁波润华全芯微电子设备有限公司 | 工控机控制系统的权限管理方法、系统、存储介质及设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024759A (zh) * | 2021-11-09 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
| CN114024759B (zh) * | 2021-11-09 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
| CN114500034A (zh) * | 2022-01-24 | 2022-05-13 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
| CN114500034B (zh) * | 2022-01-24 | 2023-01-31 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
| CN115081848A (zh) * | 2022-06-14 | 2022-09-20 | 中国银行股份有限公司 | 一种操作风险的管控方法及装置、电子设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112347461A (zh) | 工控系统登录管控方法、装置、电子装置和存储介质 | |
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| EP3029593B1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
| CN110290148B (zh) | 一种web防火墙的防御方法、装置、服务器及存储介质 | |
| CA3038884C (en) | Protecting mobile devices from unauthorized device resets | |
| RU2477520C1 (ru) | Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства | |
| CN112491788B (zh) | 一种安全云代理服务平台、实现方法及物联网系统 | |
| CN107247899B (zh) | 一种基于安全引擎的角色权限控制方法、装置及安全芯片 | |
| CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
| US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
| CN112149090A (zh) | 一种基于数据云的计算机网络安全防护系统 | |
| Rautmare | SCADA system security: Challenges and recommendations | |
| CN109302397B (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN112464213B (zh) | 一种操作系统访问控制方法、装置、设备及存储介质 | |
| CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| Lei et al. | Edge-enabled zero trust architecture for ICPS with spatial and temporal granularity | |
| CN110401621A (zh) | 一种敏感指令的防护方法、设备及存储介质 | |
| CN105516093B (zh) | 一种防蹭网的方法及路由器 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN103685134A (zh) | Wlan网络资源访问控制方法及装置 | |
| CN115001839A (zh) | 基于互联网大数据的信息安全防护系统及方法 | |
| Doghramachi et al. | Iot threats and solutions with blockchain and context-aware security design: A review | |
| KR101153115B1 (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 | |
| CN104281811A (zh) | 一种终端的自毁方法、系统及装置 | |
| CN113761537A (zh) | 一种防范容器逃逸的方法、系统、设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |