对电力控制系统中应用程序提供安全防护的方法及装置与流程

1.本技术涉及电力控制系统安全防护技术领域，尤其涉及一种对电力控制系统中应用程序提供安全防护的方法及装置。


背景技术：

2.对数据远程访问的需求促使电力企业建立到工业控制网络的连接。并且，由于企业网络往往连接到互联网，电力控制系统也使用互联网或广域网将数据传输到远程站点、设备，it系统与电力控制系统间的互联已经成为电力控制系统安全的薄弱环节，来自互联网的各种安全威胁也正在影响着电力控制系统的安全运行。
3.所以为规避由于非法用户入侵电力控制服务器操作或篡改系统资源，导致干扰应用程序正常工作等安全威胁，亟待更优的解决方案。


技术实现要素：

4.有鉴于此，本技术提供一种对电力控制系统中应用程序提供安全防护的方法及装置，通过对系统中应用程序进行应用域的管理，以提供对应用程序的更加优化的安全防护解决方案。
5.为了达到上述目的，本技术主要提供如下技术方案：
6.本技术第一方面提供了一种对电力控制系统中应用程序提供安全防护的方法，该方法包括：
7.为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；
8.在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；
9.在所述应用域中创建所述公共资源对应的镜像文件；
10.响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。
11.在本技术第一方面的一些变更实施方式中，在基于所述已启动的目标应用程序执行操作之前，所述方法还包括：
12.响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；
13.若否，则禁止启动所述目标应用程序；
14.若是，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；若通过校验，则启动所述目标应用程序。
15.在本技术第一方面的一些变更实施方式中，所述利用预置可信度量机制对所述目标应用程序的可执行文件进行校验，包括：
16.计算所述目标应用程序的可执行文件对应的特征值；
17.校验所述特征值是否与基准值一致，所述基准值为上一个周期计算并存储的所述目标应用程序的可执行文件对应的特征值。
18.在本技术第一方面的一些变更实施方式中，所述在所述应用域中创建所述公共资源对应的镜像文件，包括：
19.将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；
20.基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。
21.本技术第二方面提供了一种对电力控制系统中应用程序提供安全防护的装置，该装置包括：
22.第一创建单元，用于为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；
23.第二创建单元，用于在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；
24.第三创建单元，用于在所述应用域中创建所述公共资源对应的镜像文件；
25.执行单元，用于响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。
26.在本技术第二方面的一些变更实施方式中，在基于所述已启动的目标应用程序执行操作之前，所述装置还包括：
27.判断单元，用于响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；
28.禁止单元，用于若确定所述目标应用程序不在预置可执行列表中，则禁止启动所述目标应用程序；
29.校验单元，用于若确定所述目标应用程序在预置可执行列表中，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；
30.启动单元，用于若通过校验，则启动所述目标应用程序。
31.在本技术第二方面的一些变更实施方式中，所述校验单元包括：
32.计算模块，用于计算所述目标应用程序的可执行文件对应的当前特征值；
33.校验模块，用于校验所述当前特征值是否与基准值一致，所述基准值为计算并存储的所述目标应用程序的可执行文件对应的预置特征值。
34.在本技术第二方面的一些变更实施方式中，所述第三创建单元包括：
35.表征模块，用于将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；
36.处理模块，用于基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。
37.本技术第三方面提供了一种存储介质，所述存储介质包括存储的程序，其中，在所
述程序运行时控制所述存储介质所在设备执行如上述的对电力控制系统中应用程序提供安全防护的方法。
38.本技术第四方面提供了一种电子设备，所述设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线；
39.其中，所述处理器、所述存储器通过所述总线完成相互间的通信；
40.所述处理器用于调用所述存储器中的程序指令，以执行如上述的对电力控制系统中应用程序提供安全防护的方法。
41.借由上述技术方案，本技术提供的技术方案至少具有下列优点：
42.本技术提供一种对电力控制系统中应用程序提供安全防护的方法及装置，对于系统中的应用程序，本技术为其创建应用域，该应用域中至少包括应用进程及其对应的应用资源，并在应用域中创建虚拟化隔离模型，用于将可信进程和应用程序的私有资源划分存储在应用域中的可信域中，以及还在应用域中为应用程序的公共资源创建镜像文件，从而对于已启动的目标应用程序，如果需要调用对应的私有资源则需要利用可信进程来访问获取，避免私有资源被恶意使用，以及如果需要使用对应的公共资源则仅是操作镜像文件而已，从而相当于采用对系统资源虚拟化隔离防护方式，规避公共资源存在可能的被篡改风险。从而为应对现有技术提及的规避由于非法用户入侵电力控制服务器操作或篡改系统资源，导致干扰应用程序正常工作等安全威胁，本技术提供更加优化的解决方案。
43.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
44.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
45.图1为本技术实施例提供的一种对电力控制系统中应用程序提供安全防护的方法流程图；
46.图2为本技术实施例提供的另一种对电力控制系统中应用程序提供安全防护的方法流程图；
47.图3为本技术实施例例举的公共资源虚拟化的实现流程示意图；
48.图4为本技术实施例提供的应用域中的主要构成元素示意图；
49.图5为本技术实施例提供的目标应用程序的启动过程的示意图；
50.图6为本技术实施例提供的一种对电力控制系统中应用程序提供安全防护的装置的组成框图；
51.图7为本技术实施例提供的另一种对电力控制系统中应用程序提供安全防护的装置的组成框图。
具体实施方式
52.下面将参照附图更详细地描述本技术的示例性实施例。虽然附图中显示了本技术
的示例性实施例，然而应当理解，可以以各种形式实现本技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本技术，并且能够将本技术的范围完整的传达给本领域的技术人员。
53.本技术实施例提供了一种对电力控制系统中应用程序提供安全防护的方法，如图1所示，对此本发明实施例提供以下具体步骤：
54.101、为应用程序创建应用域，应用域至少包括：应用进程和应用进程对应的应用资源，应用资源包括应用程序的私有资源和多个应用程序之间可相互共享的公共资源。
55.102、在应用域中创建虚拟化隔离模型，虚拟化隔离模型用于将应用域划分成可信域和非可信域，在可信域中存储可信进程和应用程序的私有资源。
56.在本技术实施例中基于虚拟化隔离模型将应用域划分成可信域和非可信域，从而利用可信域和非可信域将应用域所具有的应用进程和应用资源进行分开存储。
57.例如，采用以域划分策略(即用于划分进程域)得到分开存储方式，格式为：{{域名}{路径信息(支持通配符)}，从而基于划分进程域而得到可信域所包含的可信进程和私有资源。从而使得一个目标应用程序在启动后，如果需要调用私有资源，则需要使用可信域中的可信进程访问私有资源而得到相应数据信息的。
58.103、在应用域中创建公共资源对应的镜像文件。
59.104、响应于在已启动的目标应用程序上进行的操作，利用可信进程访问私有资源获以及利用可信进程访问镜像文件进行操作，以返回指定数据信息。
60.在本技术实施例中镜像文件为对公共资源进行虚拟化处理而得到的文件，从而使得一个目标应用程序在启动后，如果需要调用私有资源，则需要使用可信域中可信进程访问该镜像文件而避免出现对原本公共资源进行篡改。
61.以上，本技术实施例提供一种对电力控制系统中应用程序提供安全防护的方法，对于系统中的应用程序，本技术实施例为其创建应用域，该应用域中至少包括应用进程及其对应的应用资源，并在应用域中创建虚拟化隔离模型，用于将可信进程和应用程序的私有资源划分存储在应用域中的可信域中，以及还在应用域中为应用程序的公共资源创建镜像文件，从而对于已启动的目标应用程序，如果需要调用对应的私有资源则需要利用可信进程来访问获取，避免私有资源被恶意使用，以及如果需要使用对应的公共资源则仅是操作镜像文件而已，从而相当于采用对系统资源虚拟化隔离防护方式，规避公共资源存在可能的被篡改风险。从而为应对现有技术提及的规避由于非法用户入侵电力控制服务器操作或篡改系统资源，导致干扰应用程序正常工作等安全威胁，本技术实施例提供更加优化的解决方案。
62.为了对上述实施例做出更加详细的说明，本技术实施例还提供了另一种对电力控制系统中应用程序提供安全防护的方法，如图2所示，对此本技术实施例提供以下具体步骤：
63.201、为应用程序创建应用域，应用域至少包括：应用进程和应用进程对应的应用资源，应用资源包括应用程序的私有资源和多个应用程序之间可相互共享的公共资源。
64.202、在应用域中创建虚拟化隔离模型，虚拟化隔离模型用于将应用域划分成可信域和非可信域，在可信域中存储可信进程和应用程序的私有资源。
65.203、在应用域中创建公共资源对应的镜像文件。
66.在本技术实施例中，本步骤可以进一步细化包括：首先，将公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；其次，基于文件对应的树状结构，进行公共资源的虚拟化处理，得到公共资源对应的镜像文件。示例性解释说明如下：
67.在linux系统中，所有的资源都是以文件的形式表示的，linux系统中每一个文件都由索引节点(即inode)以及目录项(即dentry)来表示。目录项记录了上级的目录、文件名等信息，形成树状的结构，索引节点中存放这个文件的管理与组织信息、在存储介质上的分布和位置等。下面例举公共资源虚拟化的实现流程，如图3所示。
68.公共资源的虚拟化，是基于虚拟文件系统(virtualfilesystem，vfs)实现的，vfs为linux系统上的文件系统提供了一个抽象的接口，即拦截vfs层，进程在经由vfs接口访问某个公共资源的时候，dentry-》d_inode指向相应inode结构在/tmp目录下生成文件的一份拷贝，即虚拟文件，原文件dentry结构的void*d_fsdata指向虚拟文件的dentry结构，这样进程进行文件操作的时候，返回的是虚拟文件的inode与dentry，所有的操作被重定向到这个虚拟文件上，这就完成了公共资源镜像的创建。
69.如此，基于如上步骤201-203，本技术实施例得到应用域中的主要构成元素如图4所示。如图4，应用域主要由应用进程和应用资源构成。应用资源包括私有资源和公共资源。对于应用程序的私有资源，与该应用进程属于同一个域(即可信域)。对于应用进程运行过程中所需的公共资源，在应用程序所对应的域中建立公共资源的镜像，即进行公共资源的虚拟化，得到镜像文件。
70.以上，在本技术实施例中除了为应用程序创建应用域以实现对私有资源和公共资源的安全防护以外，本技术实施例还在对应用程序的启动过程进行控制，即调用可信软件基的相关接口，对应用程序文件的特征值进行校验，以确保应用程序没有感染恶意代码，从而有效阻断恶意代码感染和传播的基本途径。具体解释说明如下步骤204、205a和205b。
71.204、响应于启动目标应用程序的请求，判断目标应用程序是否在预置可执行列表中。
72.205a、若确定目标应用程序不在预置可执行列表中，则禁止启动目标应用程序。
73.在本技术实施例中可以采用预置可执行列表来区分哪个是来历不明的应用程序(即阻止用户启动来历不明的程序)，那么如果目标应用程序不在该预置可执行列表中，则被禁止启动。具体实施方法如下：
74.可以通过在可信软件基的基础上增加强制执行控制功能，强制执行控制功能是限制进程运行时的行为，目标是对特定代码的执行进行限制，阻止其被恶意侵入的进程或误操作启动，即要求指定程序/动态库不能在指定方式以外的情况下执行/加载。
75.205b、若确定目标应用程序在预置可执行列表中，则利用预置可信度量机制对目标应用程序的可执行文件进行校验，若通过校验，则启动目标应用程序。
76.在本技术实施例中如果经预置可执行列表而判定目标应用程序不是来历不明的程序，则进一步利用预置可信度量机制对目标应用程序的可执行文件进行校验，以进一步校验即将运行的程序是否有感染恶意代码，如果校验通过，则可启动目标应用程序。示例性的，执行如图5所示的方法流程。
77.其中，利用预置可信度量机制对目标应用程序的可执行文件进行校验，的细化实施步骤包括：首先，计算目标应用程序的可执行文件对应的当前特征值；其次，校验当前特
征值是否与基准值一致，基准值为计算并存储的目标应用程序的可执行文件对应的预置特征值，即本技术实施例可预先计算一个基准值存储在寄存器中，并且考虑到周期性检测。
78.其中，本技术实施例提供的计算特征值的方法可以但不限于是计算哈希值。
79.206、响应于在已启动的目标应用程序上进行的操作，利用可信进程访问私有资源获以及利用可信进程访问镜像文件进行操作，以返回指定数据信息。
80.在本技术实施例中在校验目标应用程序可被成功启动之后，在基于之前划分的域策略，操作目标应用程序所需的私有资源和公共资源，以返回所需数据信息。
81.进一步的，作为对上述图1、图2所示方法的实现，本技术实施例提供了一种对电力控制系统中应用程序提供安全防护的装置。该装置实施例与前述方法实施例对应，为便于阅读，本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。该装置应用于优化对电力控制系统中应用程序的安全防护，具体如图6所示，该装置包括：
82.第一创建单元31，用于为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；
83.第二创建单元32，用于在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；
84.第三创建单元33，用于在所述应用域中创建所述公共资源对应的镜像文件；
85.执行单元34，用于响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。
86.进一步的，如图7所示，在基于所述已启动的目标应用程序执行操作之前，所述装置还包括：
87.判断单元35，用于响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；
88.禁止单元36，用于若确定所述目标应用程序不在预置可执行列表中，则禁止启动所述目标应用程序；
89.校验单元37，用于若确定所述目标应用程序在预置可执行列表中，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；
90.启动单元38，用于若通过校验，则启动所述目标应用程序。
91.进一步的，如图7所示，所述校验单元37包括：
92.计算模块371，用于计算所述目标应用程序的可执行文件对应的当前特征值；
93.校验模块372，用于校验所述当前特征值是否与基准值一致，所述基准值为计算并存储的所述目标应用程序的可执行文件对应的预置特征值。
94.进一步的，如图7所示，所述第三创建单元33包括：
95.表征模块331，用于将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；
96.处理模块332，用于基于所述文件对应的所述树状结构，进行公共资源的虚拟化处
理，得到所述公共资源对应的镜像文件。
97.综上所述，本技术实施例提供一种对电力控制系统中应用程序提供安全防护的方法及装置，对于系统中的应用程序，本技术实施例为其创建应用域，该应用域中至少包括应用进程及其对应的应用资源，并在应用域中创建虚拟化隔离模型，用于将可信进程和应用程序的私有资源划分存储在应用域中的可信域中，以及还在应用域中为应用程序的公共资源创建镜像文件，从而对于已启动的目标应用程序，如果需要调用对应的私有资源则需要利用可信进程来访问获取，避免私有资源被恶意使用，以及如果需要使用对应的公共资源则仅是操作镜像文件而已，从而相当于采用对系统资源虚拟化隔离防护方式，规避公共资源存在可能的被篡改风险。从而为应对现有技术提及的规避由于非法用户入侵电力控制服务器操作或篡改系统资源，导致干扰应用程序正常工作等安全威胁，本技术实施例提供更加优化的解决方案。
98.所述对电力控制系统中应用程序提供安全防护的装置包括处理器和存储器，上述第一创建单元、第二创建单元、第三创建单元和执行单元等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
99.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来通过对系统中应用程序进行应用域的管理，以提供对应用程序的更加优化的安全防护解决方案。
100.本技术实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现所述对电力控制系统中应用程序提供安全防护的方法。
101.本技术实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述对电力控制系统中应用程序提供安全防护的方法。
102.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有上对电力控制系统中应用程序提供安全防护的方法步骤的程序。
103.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
104.在一个典型的配置中，设备包括一个或多个处理器(cpu)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
105.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
106.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、
数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。
107.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
108.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
109.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种对电力控制系统中应用程序提供安全防护的方法，其特征在于，所述方法包括：为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；在所述应用域中创建所述公共资源对应的镜像文件；响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。2.根据权利要求1所述的方法，其特征在于，在基于所述已启动的目标应用程序执行操作之前，所述方法还包括：响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；若否，则禁止启动所述目标应用程序；若是，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；若通过校验，则启动所述目标应用程序。3.根据权利要求2所述的方法，其特征在于，所述利用预置可信度量机制对所述目标应用程序的可执行文件进行校验，包括：计算所述目标应用程序的可执行文件对应的特征值；校验所述特征值是否与基准值一致，所述基准值为上一个周期计算并存储的所述目标应用程序的可执行文件对应的特征值。4.根据权利要求1所述的方法，其特征在于，所述在所述应用域中创建所述公共资源对应的镜像文件，包括：将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。5.一种对电力控制系统中应用程序提供安全防护的装置，其特征在于，所述装置包括：第一创建单元，用于为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；第二创建单元，用于在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；第三创建单元，用于在所述应用域中创建所述公共资源对应的镜像文件；执行单元，用于响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。6.根据权利要求5所述的装置，其特征在于，在基于所述已启动的目标应用程序执行操作之前，所述装置还包括：
判断单元，用于响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；禁止单元，用于若确定所述目标应用程序不在预置可执行列表中，则禁止启动所述目标应用程序；校验单元，用于若确定所述目标应用程序在预置可执行列表中，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；启动单元，用于若通过校验，则启动所述目标应用程序。7.根据权利要求6所述的装置，其特征在于，所述校验单元包括：计算模块，用于计算所述目标应用程序的可执行文件对应的当前特征值；校验模块，用于校验所述当前特征值是否与基准值一致，所述基准值为计算并存储的所述目标应用程序的可执行文件对应的预置特征值。8.根据权利要求5所述的装置，其特征在于，所述第三创建单元包括：表征模块，用于将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；处理模块，用于基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。9.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行如权利要求1-4中任一项所述的对电力控制系统中应用程序提供安全防护的方法。10.一种电子设备，其特征在于，所述设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1-4中任一项所述的对电力控制系统中应用程序提供安全防护的方法。

技术总结
本申请公开了一种对电力控制系统中应用程序提供安全防护的方法及装置，涉及电力控制系统安全防护技术领域。本申请的主要技术方案为：对于系统中的应用程序，本申请为其创建应用域，该应用域中至少包括应用进程及其对应的应用资源，并在应用域中创建虚拟化隔离模型，用于将可信进程和应用程序的私有资源划分存储在应用域中的可信域中，以及还在应用域中为应用程序的公共资源创建镜像文件，从而对于已启动的目标应用程序，如果需要调用对应的私有资源则需要利用可信进程来访问获取，以及如果需要使用对应的公共资源则操作镜像文件。本申请应用于优化对电力控制系统中应用程序的安全防护。全防护。全防护。


技术研发人员：张实君 那琼澜 来骥 苏丹 李硕 徐相森 曾婧 杨睿 聂正璞
受保护的技术使用者：国家电网有限公司
技术研发日：2023.04.24
技术公布日：2023/8/13