一種基于wmi軟件白名單機(jī)制的移動(dòng)安全辦公方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于終端設(shè)備移動(dòng)辦公安全技術(shù)領(lǐng)域,涉及一種基于WMI軟件白名單機(jī)制的移動(dòng)安全辦公方法。
技術(shù)背景
[0002]對(duì)于一般企事業(yè)而言,平常使用的軟件與工作性質(zhì)密切相關(guān)。一些特定企事業(yè)單位,出于安全性與保密性,只允許員工使用一些特定的軟件,便于進(jìn)行統(tǒng)一的管理。傳統(tǒng)控制軟件運(yùn)行的方式是禁止員工安裝一些無關(guān)工作的軟件。但是實(shí)際情況,員工會(huì)偷偷的下載一些聊天、炒股、下載軟件等,對(duì)于管理層而言,這些軟件是“有害的”,也是不安全的。對(duì)于移動(dòng)安全辦公系統(tǒng)而言,對(duì)員工使用的軟件進(jìn)行統(tǒng)一管理,只允許員工運(yùn)行一些特定的軟件顯得尤為重要,這些,對(duì)于軟件的控制提出了一個(gè)很高的要求。
[0003]公開號(hào)為CN 103646215A的中國專利公開了一種應(yīng)用程序的安裝控制方法、相關(guān)系統(tǒng)及裝置。該方法設(shè)置一個(gè)黑白名單,針對(duì)應(yīng)用程序的安裝請(qǐng)求,若在白名單中,允許安裝;若在黑名單中,不允許安裝。該方法雖然可以控制應(yīng)用程序的安裝,但只是對(duì)安裝程序進(jìn)行判斷,對(duì)無需安裝但供直接運(yùn)行的軟件程序未做處理。同時(shí),黑白名單中只包含應(yīng)用程序名稱及版本號(hào),因此,通過修改應(yīng)用程序名稱及版本號(hào)的惡意程序可繞過白名單,該方法安全性較差。
[0004]WMI—Windows Management Instrumentat1n 是一項(xiàng)核心的 Windows 管理技術(shù),通過WMI,可以獲取關(guān)于硬件/軟件的數(shù)據(jù),也可以提供關(guān)于硬件或軟件服務(wù)的數(shù)據(jù)給WMI。本發(fā)明一種基于WMI軟件白名單機(jī)制的移動(dòng)安全辦公方法,在移動(dòng)安全辦公服務(wù)器端對(duì)下載軟件進(jìn)行預(yù)處理,創(chuàng)建軟件白名單;在移動(dòng)安全辦公終端基于WMI創(chuàng)建監(jiān)控進(jìn)程,監(jiān)控軟件安裝程序與運(yùn)行程序的啟動(dòng),在軟件白名單中的允許啟動(dòng),反之,禁止啟動(dòng);保證終端用戶可以安裝與運(yùn)行的軟件,都只能從服務(wù)器端下載,都是經(jīng)過服務(wù)器端管理員認(rèn)證過的,都在軟件白名單中。
[0005]本發(fā)明與現(xiàn)有的方法相比優(yōu)點(diǎn)有:服務(wù)器端對(duì)下載軟件進(jìn)行了預(yù)處理,可以阻止大量附帶在下載軟件內(nèi)的無關(guān)程序的安裝,只保留用戶所需的核心程序一安裝程序和執(zhí)行程序,可以極大提高效率;對(duì)安裝程序、執(zhí)行程序都放在虛擬執(zhí)行環(huán)境沙箱中預(yù)先運(yùn)行,可以觀察該軟件的實(shí)際效果,避免直接安裝在系統(tǒng)中對(duì)系統(tǒng)造成威脅。終端用戶從服務(wù)器端下載軟件,安裝和運(yùn)行,可使得用戶使用的軟件都在軟件白名單中,便于服務(wù)器端管理員進(jìn)行統(tǒng)一管理和保證安全性?;赪MI創(chuàng)建監(jiān)控程序,對(duì)軟件安裝與運(yùn)行進(jìn)行檢測(cè),可以同時(shí)保證安裝與運(yùn)行的安全性,也具有較好的穩(wěn)定性與兼容性。采用軟件多個(gè)屬性,軟件類型、軟件版本、軟件名稱、出廠日期、大小、版權(quán)、數(shù)字簽名、執(zhí)行路徑綜合,設(shè)為軟件屬性參數(shù)序列,與設(shè)置的軟件編號(hào)構(gòu)建軟件-編號(hào)映射表,可以避免因修改軟件名稱、執(zhí)行路徑等避過軟件白名單的檢測(cè),保證檢測(cè)的準(zhǔn)確性。本發(fā)明適合在企事業(yè)中進(jìn)行大規(guī)模部署,便于使用和維護(hù),在移動(dòng)辦公領(lǐng)域有著良好的應(yīng)用。
【發(fā)明內(nèi)容】
[0006]為有效控制軟件的運(yùn)行,保證安全性,本發(fā)明提供了一種基于麗I軟件白名單機(jī)制的移動(dòng)安全辦公方法,控制軟件的安裝與運(yùn)行。保證移動(dòng)安全辦公終端用戶能夠安裝的軟件只能從移動(dòng)安全辦公服務(wù)器端下載,經(jīng)過服務(wù)器端管理員認(rèn)證過的,都在軟件白名單中,非法下載或移植的安裝程序不能安裝。保證終端用戶可以運(yùn)行的軟件程序都在軟件白名單中,非法下載或移植的可執(zhí)行程序都不能運(yùn)行。
[0007]本發(fā)明的特征在于:是一種基于簡(jiǎn)稱為WMI的Windows ManagementInstrumentat1n管理工具的一種移動(dòng)安全辦公方法,是在由一個(gè)供移動(dòng)安全辦公用的服務(wù)器端和多個(gè)移動(dòng)安全辦公終端共同組成的移動(dòng)安全辦公系統(tǒng)中依次按以下步驟實(shí)現(xiàn)的:
[0008]步驟⑴:服務(wù)器端依次按以下步驟初始化,添加軟件并創(chuàng)建軟件白名單,下發(fā)至所述的移動(dòng)安全辦公終端,以下簡(jiǎn)稱終端,
[0009]步驟(1.1):服務(wù)器端管理員下載所需軟件并按以下步驟進(jìn)行下載軟件的預(yù)處理后再添加到服務(wù)器端,
[0010]步驟(1.1.1):判斷下載的軟件是軟件安裝包還是供直接運(yùn)行的執(zhí)行程序,并執(zhí)行以下步驟,
[0011]若是軟件安裝包,執(zhí)行步驟(1.1.1.1),
[0012]若是供直接運(yùn)行的執(zhí)行程序,執(zhí)行步驟(1.1.1.2),
[0013]步驟(1.1.1.1):把所述軟件安裝包在虛擬執(zhí)行環(huán)境沙箱中預(yù)先安裝,安裝完成后運(yùn)行,待運(yùn)行正常后,抽取安裝程序和執(zhí)行程序,執(zhí)行步驟(1.1.2),
[0014]步驟(1.1.1.2):把所述供直接運(yùn)行的執(zhí)行程序在所述的沙箱中預(yù)先運(yùn)行,待運(yùn)行正常后抽取執(zhí)行程序,執(zhí)行步驟(1.1.2),
[0015]步驟(1.1.2):把從步驟(1.1.1)中得到的軟件安裝程序與執(zhí)行程序添加到服務(wù)器立而軟件庫,
[0016]步驟(1.1.3):把從步驟(1.1.1)中得到的軟件安裝程序與執(zhí)行程序?qū)?yīng)的軟件屬性綜合,設(shè)為軟件屬性參數(shù)序列,同時(shí)設(shè)置軟件編號(hào),以軟件屬性參數(shù)序列和編號(hào)構(gòu)建軟件-編號(hào)映射表,添加到服務(wù)器端的應(yīng)用軟件白名單中,設(shè)定的所述軟件屬性參數(shù)序列中的屬性參數(shù):軟件類別、軟件名稱、軟件版本、出廠日期、大小、軟件的版權(quán)、數(shù)字簽名、執(zhí)行路徑,軟件類別是指軟件是安裝程序還是執(zhí)行程序,分別用“O”和“ I ”標(biāo)示,執(zhí)行路徑是指軟件的具體安裝路徑,
[0017]步驟(1.1.4):在所述服務(wù)器端的一臺(tái)計(jì)算機(jī)“裸機(jī)”上,安裝一套完整無病毒木馬的操作系統(tǒng),獲取其上的包括動(dòng)態(tài)鏈接庫DLL文件、可執(zhí)行程序EXE文件、對(duì)象類別擴(kuò)充組件OCX文件和部分系統(tǒng)SYS文件在內(nèi)的可移植可執(zhí)行PE各文件后,設(shè)置編號(hào),以PE文件的軟件屬性參數(shù)序列和編號(hào)構(gòu)建軟件-編號(hào)映射表,拼成系統(tǒng)軟件白名單,所述的應(yīng)用軟件白名單和所述的系統(tǒng)軟件白名單共同構(gòu)成總體的軟件白名單,
[0018]步驟(1.2):服務(wù)器端根據(jù)不同部門使用的軟件不同,把不同的部門分成不同的組,一個(gè)部門對(duì)應(yīng)一個(gè)組,依次來創(chuàng)建各部門的軟件白名單,并設(shè)置一個(gè)部門識(shí)別碼,所述部門識(shí)別碼再加上部門內(nèi)員工的PIN碼共同組成部門內(nèi)每個(gè)員工的身份驗(yàn)證碼,
[0019]步驟(1.3):服務(wù)器端把部門內(nèi)所有員工的身份驗(yàn)證碼和對(duì)應(yīng)的所述部門的軟件白名單組成一個(gè)映射表供各個(gè)部門內(nèi)各員工的移動(dòng)安全辦公終端使用;
[0020]步驟(2):各移動(dòng)安全辦公終端初始化,在終端創(chuàng)建基于所述WMI的監(jiān)控程序,所述監(jiān)控程序的創(chuàng)建依次包含以下步驟,監(jiān)控程序創(chuàng)建后一直運(yùn)行,用于在軟件安裝與運(yùn)行時(shí)進(jìn)行軟件的啟動(dòng)檢測(cè),
[0021]步驟(2.1):初始化微軟的組件對(duì)象模型COM庫,
[0022]步驟(2.2):設(shè)置麗I服務(wù)進(jìn)程中COM的安全信息,同時(shí)設(shè)置管理員權(quán)限,
[0023]步驟(2.3):創(chuàng)建麗I服務(wù)進(jìn)程中的COM服務(wù)器,用于和麗I服務(wù)進(jìn)程通信,以便接發(fā)數(shù)據(jù),
[0024]步驟(2.4):連接WMI命名空間,
[0025]步驟(2.5):設(shè)置麗I連接的安全等級(jí),以便允許訪問另一個(gè)麗I服務(wù)進(jìn)程的對(duì)象,
[0026]步驟(2.6):發(fā)起麗I請(qǐng)求,查詢Win32-Process進(jìn)程信息,以便監(jiān)控軟件啟動(dòng)時(shí)進(jìn)程的創(chuàng)建;
[0027]步驟(3):服務(wù)器端按部門向其中的員工的移動(dòng)安全辦公終端下發(fā)最新的軟件白名單;
[0028]步驟(4):各移動(dòng)安全辦公終端接收到步驟(3)中下發(fā)的所述最新的軟件白名單后,向服務(wù)器端發(fā)送所需求軟件的請(qǐng)求;
[0029]步驟(5):服務(wù)器端對(duì)發(fā)出所需軟件請(qǐng)求的移動(dòng)安全辦公終端根據(jù)所述的身份驗(yàn)證碼對(duì)移動(dòng)安全辦公終端進(jìn)行員工身份驗(yàn)證,
[0030]若員工身份驗(yàn)證未通過,則阻斷軟件請(qǐng)求,
[0031]若員工身份驗(yàn)證通過,執(zhí)行步驟(6);
[0032]步驟¢):服務(wù)器端根據(jù)記載在所述發(fā)送軟件請(qǐng)求中的發(fā)送日期和所需軟件對(duì)應(yīng)所述的軟件編號(hào),判斷軟件編號(hào)是否屬于發(fā)送軟件請(qǐng)求的移動(dòng)安全辦公終端所在部門的軟件白名單中,
[0033]若所述軟件編號(hào)不在對(duì)應(yīng)的部門的軟件白名單中,則終止軟件請(qǐng)求,
[0034]若所述軟件編號(hào)在對(duì)應(yīng)的部門的軟件白名單中,則執(zhí)行步驟(7);
[0035]步驟(7):在服務(wù)器端把步驟¢)中通過所述軟件編號(hào)校驗(yàn)的軟件下載到所述需求軟件的移動(dòng)安全辦公終端后,在軟件安裝時(shí),所述移動(dòng)安全辦公終端的所述監(jiān)控程序?qū)浖陌惭b進(jìn)行啟動(dòng)檢測(cè),檢測(cè)通過后進(jìn)行正常安裝,否則,不能正常安裝;
[0036]步驟⑶:在步驟(7)中軟件正常安裝后,在軟件運(yùn)行時(shí),所述移動(dòng)安全辦公終端的所述監(jiān)控程序?qū)浖倪\(yùn)行進(jìn)行啟動(dòng)檢測(cè),檢測(cè)通過后進(jìn)行正常運(yùn)行,否則,不能正常運(yùn)行。
[0037]基于麗I軟件白名單機(jī)制的移動(dòng)安全辦公方法,具有較好的穩(wěn)定性、安全性與兼容性。
【附圖說明】
[0038]圖1為本發(fā)明主系統(tǒng)流程圖;
[0039]圖2為本發(fā)明的下載