一种应用程序的监控方法、装置及系统与流程

本发明涉及互联网技术领域，具体涉及一种应用程序的监控方法、装置及系统。

背景技术：

随着移动信息化的高速发展，企业中使用的各种业务应用程序，例如办公信息化软件、ERP(Enterprise Resource Planning，企业资源计划)软件、CRM(Customer Relationship Management，客户关系管理)软件、物流管理软件、进销存软件以及特定行业业务软件等等逐步移植到移动终端，加上移动终端原生应用的发展，各类移动应用程序的数量呈现指数级增长。移动化应用场景可以极大的提高工作效率，使得移动终端变身为一台业务处理终端设备，既能够进行信息化工作联动，也能够与计算机端应用程序保持互联互通。随着移动终端成为信息化网络中的移动载体，移动信息化将让现在需要固定场所、固定布局的企业信息化建设模式变得更加灵活方便，满足用户在出差、外出、休假，或是某些突发性事件时，与信息化系统的全方位顺畅沟通，与此同时，移动终端应用的安全问题日益凸显，例如移动终端安装非法应用程序导致移动终端中毒，个人和企业重要数据丢失，将造成个人信息泄露和巨大的经济损失，因此，移动终端的应用安全保障在企业化应用场景中有着迫切需求。如何能够在多样化的终端和网络环境下实现应用程序的统一管理，有效保障移动终端和业务数据安全，成为企业移动化建设面临的一道难题。

在现有技术中，移动终端的应用程序平台一般提供应用程序的发布，并对应用程序进行推荐和分发，通过应用程序版本控制实现初步的应用程序安全保障。但是，在现有技术中无法对用户移动终端中的所有应用程序进行监控，无法保障移动终端的安全。

技术实现要素：

有鉴于此，本发明提供一种应用程序的监控方法、装置及系统，以解决现有技术中无法对移动终端中的所有应用程序进行监控，从而无法保障移动终端安全的技术问题。

为解决上述问题，本发明提供的技术方案如下：

一种应用程序的监控方法，所述方法应用于客户端，所述方法包括：

获取服务器发送的策略文件，所述策略文件中包括应用程序黑名单和/或应用程序白名单；

当获取到所述应用程序黑名单，通过监控运行的应用程序进程判断是否启动所述应用程序黑名单中的应用程序；

当获取到所述应用程序白名单，通过监控运行的应用程序进程判断是否启动所述应用程序白名单之外的应用程序；

当启动所述应用程序黑名单中的应用程序或者启动所述应用程序白名单之外的应用程序时，启动空白界面对所述应用程序黑名单中的应用程序或者所述应用程序白名单之外的应用程序进行遮蔽。

相应的，在启动空白界面对所述应用程序黑名单中的应用程序或者所述应用程序白名单之外的应用程序进行遮蔽之后，所述方法还包括：

监听返回按键的状态，当检测到在所述空白界面触发返回按键后，直接返回桌面界面。

相应的，所述方法还包括：

定时向所述服务器发送安装应用程序列表，以使所述服务器判断所述客户端是否安装有所述应用程序黑名单中的应用程序、判断所述客户端是否未安装应用程序需安装名单中的应用程序。

一种应用程序的监控方法，所述方法应用于服务器，所述方法包括：

向客户端发送策略文件，所述策略文件中包括应用程序黑名单和/或应用程序白名单，以使所述客户端在监控到启动所述应用程序黑名单中的应用程序或者启动所述应用程序白名单之外的应用程序时，启动空白界面对所述应用程序黑名单中的应用程序或者所述应用程序白名单之外的应用程序进行遮蔽；

定时接收所述客户端发送的安装应用程序列表；

根据所述安装应用程序列表判断所述客户端是否安装有所述应用程序黑名单中的应用程序，判断所述客户端是否未安装应用程序需安装名单中的应用程序；

当安装有所述应用程序黑名单中的应用程序或者未安装应用程序需安装名单中的应用程序，产生告警信息。

相应的，所述方法还包括：

根据本次接收到的安装应用程序列表与上一次接收到的安装应用程序列表的区别，获取所述客户端新安装的应用程序和/或新卸载的应用程序；

当所述新安装的应用程序在所述应用程序需安装名单中或者所述新卸载的应用程序在所述应用程序黑名单中，消除所述告警信息。

一种应用程序的监控装置，所述装置应用于客户端，所述装置包括：

获取单元，用于获取服务器发送的策略文件，所述策略文件中包括应用程序黑名单和/或应用程序白名单；

监控单元，用于当获取到所述应用程序黑名单，通过监控运行的应用程序进程判断是否启动所述应用程序黑名单中的应用程序；当获取到所述应用程序白名单，通过监控运行的应用程序进程判断是否启动所述应用程序白名单之外的应用程序；

遮蔽单元，用于当启动所述应用程序黑名单中的应用程序或者启动所述应用程序白名单之外的应用程序时，启动空白界面对所述应用程序黑名单中的应用程序或者所述应用程序白名单之外的应用程序进行遮蔽。

相应的，所述装置还包括：

监听单元，用于监听返回按键的状态，当检测到在所述空白界面触发返回按键后，直接返回桌面界面。

相应的，所述装置还包括：

发送单元，用于定时向所述服务器发送安装应用程序列表，以使所述服务器判断所述客户端是否安装有所述应用程序黑名单中的应用程序、判断所述客户端是否未安装应用程序需安装名单中的应用程序。

一种应用程序的监控装置，所述装置应用于服务器，所述装置包括：

发送单元，用于向客户端发送策略文件，所述策略文件中包括应用程序黑名单和/或应用程序白名单，以使所述客户端在监控到启动所述应用程序黑名单中的应用程序或者启动所述应用程序白名单之外的应用程序时，启动空白界面对所述应用程序黑名单中的应用程序或者所述应用程序白名单之外的应用程序进行遮蔽；

接收单元，用于定时接收所述客户端发送的安装应用程序列表；

判断单元，用于根据所述安装应用程序列表判断所述客户端是否安装有所述应用程序黑名单中的应用程序，判断所述客户端是否未安装应用程序需安装名单中的应用程序；

告警单元，用于当安装有所述应用程序黑名单中的应用程序或者未安装应用程序需安装名单中的应用程序，产生告警信息。

相应的，所述装置还包括：

获取单元，用于根据本次接收到的安装应用程序列表与上一次接收到的安装应用程序列表的区别，获取所述客户端新安装的应用程序和/或新卸载的应用程序；

消除单元，用于当所述新安装的应用程序在所述应用程序需安装名单中或者所述新卸载的应用程序在所述应用程序黑名单中，消除所述告警信息。

一种应用程序的监控系统，所述系统包括：

客户端以及服务器；

所述客户端是上述第一种应用程序的监控装置；

所述服务器是上述第二种应用程序的监控装置。

由此可见，本发明实施例具有如下有益效果：

本发明实施例中可以获取应用程序黑名单和/或应用程序白名单，对移动终端上运行的应用程序进行监控，当移动终端启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽，从而使用户无法使用启动的该应用，对存在安全隐患、不符合企业要求的应用程序进行屏蔽，以充分保证移动终端的安全。

附图说明

图1为本发明实施例中提供的应用程序的监控方法实施例一的流程图；

图2为本发明实施例中提供的应用程序的监控方法实施例二的流程图；

图3为本发明实施例中提供的应用程序的监控装置实施例一的示意图；

图4为本发明实施例中提供的应用程序的监控装置实施例二的示意图；

图5为本发明实施例中提供的应用程序的监控系统实施例的示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。

在现有技术中，移动终端的应用程序平台一般提供应用程序的发布，并对应用程序进行推荐和分发，通过应用程序版本控制实现初步的应用程序安全保障。企业可以基于用户权限实现对各种应用分发管理，设置应用更新方式来进行版本控制，对用户违规应用安装、卸载情况进行统计并告警提醒，但是这种应用程序安全保护方法只是在应用程序的获取渠道方面进行管控，不能对移动终端中的应用程序实现全面监控，如果用户绕过应用程序平台完成应用安装，应用程序平台则无法对应用程序进行有效的监控，无法保障移动终端的安全。因此，随着企业移动信息化发展，企业自身将面临越来越多安全性问题，迫切需要对移动设备上的应用进行更有效的控制和管理，以降低风险、精简管理。

为此，本发明实施例中提供一种应用程序的监控方法、装置及系统，提出移动终端中的客户端根据服务器下发的策略文件，获取到应用程序的黑白名单列表，开启定时轮询实时监控客户端中运行的应用程序，如果启动了应用程序黑名单中或者程序白名单之外的应用程序，则启动屏蔽功能，利用空白页面遮住该应用程序，使得用户将无法使用该应用程序，而只能返回桌面界面，即利用黑白名单遮罩方式实现对应用程序的有效监控，企业可以通过设置黑白应用名单列表，并下发到移动终端的客户端，客户端通过移动设备管理服务获取黑白应用名单列表，对存在安全隐患的或者不符合企业要求的移动应用进行屏蔽，对非法应用进行删除，从而管理移动终端中的应用使用，保证移动终端的安全。

基于上述思想，参见图1所示，本发明实施例中提供的应用程序的监控方法实施例一，本实施例将从应用程序的监控装置的角度进行描述，该应用程序的监控装置具体可以集成在客户端中，该客户端可以装载在终端中，该终端具体可以为智能手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面3)播放器、膝上型便携计算机和台式计算机等等，本实施例可以包括以下步骤：

步骤101：获取服务器发送的策略文件，策略文件中包括应用程序黑名单和/或应用程序白名单。

客户端在登录时可以向服务器发送登录请求，登录请求中包括终端标识，服务器可以根据终端标识向客户端发送该客户端对应的策略文件；在服务器中的策略文件被修改后服务器也可以通知客户端，由客户端下拉更新后的策略文件，或者由服务器直接向客户端发送策略文件。策略文件中可以包括应用程序黑名单和/或应用程序白名单，应用程序黑名单中的应用程序为存在安全隐患的应用程序，客户端不应该安装及运行应用程序黑名单中的应用程序，应用程序白名单中的应用程序为已验证为安全的应用程序，客户端可以安装并运行应用程序白名单中的应用程序，而应用程序白名单之外的应用程序也可能为存在安全隐患的应用程序。

步骤102：当获取到应用程序黑名单，通过监控运行的应用程序进程判断是否启动应用程序黑名单中的应用程序。

步骤103：当获取到应用程序白名单，通过监控运行的应用程序进程判断是否启动应用程序白名单之外的应用程序。

客户端启动定时轮询通过监控当前运行的应用程序进行判断是否启动了应用程序黑名单中的应用程序，或者是否启动了应用程序白名单之外的应用程序。

步骤104：当启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽。

当启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，代表移动终端正在启动存在安全隐患的应用程序，则本实施例中启动一个空白界面对存在安全隐患的应用程序进行遮蔽，使用户无法使用存在安全隐患的应用程序。

在本发明一些可能的实现方式中，还可以监听返回按键的状态，当检测到在空白界面触发返回按键后，直接返回桌面界面。

在本实施例中，在启动空白界面对存在安全隐患的应用程序进行遮蔽后，当返回按键被按下，也无法关闭该空白界面而是直接返回移动终端的桌面界面，保证用户无法使用存在安全隐患的应用程序。

在本发明一些可能的实现方式中，本实施例还可以包括：

定时向服务器发送安装应用程序列表，以使服务器判断客户端是否安装有应用程序黑名单中的应用程序、判断客户端是否未安装应用程序需安装名单中的应用程序。

客户端可以在登录时向服务器上报终端状态，也可以定时向服务器上报终端状态，终端状态中可以包括终端标识以及安装应用程序列表，安装应用程序列表中为当前移动终端所安装的应用程序列表，服务器可以根据安装应用程序列表判断该移动终端中是否安装有应用程序黑名单中的应用程序，或者未安装应用程序需安装名单中的应用程序，产生相应的告警信息，以提示管理员注意该移动终端的异常状态。

这样，本发明实施例中客户端可以获取应用程序黑名单和/或应用程序白名单，对移动终端上运行的应用程序进行监控，当移动终端启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽，从而使用户无法使用启动的该应用，对存在安全隐患、不符合企业要求的应用程序进行屏蔽，以充分保证移动终端的安全。

参见图2所示，本发明实施例中提供的应用程序的监控方法实施例二，本实施例将从应用程序的监控装置的角度进行描述，该应用程序的监控装置具体可以集成在服务器中，本实施例可以包括以下步骤：

步骤201：向客户端发送策略文件，策略文件中包括应用程序黑名单和/或应用程序白名单，以使客户端在监控到启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽。

客户端在登录时可以向服务器发送登录请求，登录请求中包括终端标识，服务器可以根据终端标识向客户端发送该客户端对应的策略文件；在服务器中的策略文件被修改后服务器也可以通知客户端，由客户端下拉更新后的策略文件，或者由服务器直接向客户端发送策略文件。策略文件中可以包括应用程序黑名单和/或应用程序白名单，应用程序黑名单中的应用程序为存在安全隐患的应用程序，客户端不应该安装及运行应用程序黑名单中的应用程序，应用程序白名单中的应用程序为已验证为安全的应用程序，客户端可以安装并运行应用程序白名单中的应用程序，而应用程序白名单之外的应用程序也可能为存在安全隐患的应用程序。客户端在接收到策略文件后启动定时轮询通过监控当前运行的应用程序进行判断是否启动了应用程序黑名单中的应用程序，或者是否启动了应用程序白名单之外的应用程序。当启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，代表移动终端正在启动存在安全隐患的应用程序，则客户端可以启动一个空白界面对存在安全隐患的应用程序进行遮蔽，使用户无法使用存在安全隐患的应用程序。

步骤202：定时接收客户端发送的安装应用程序列表。

客户端可以在登录时向服务器上报终端状态，也可以定时向服务器上报终端状态，终端状态中可以包括终端标识以及安装应用程序列表，安装应用程序列表中为当前移动终端所安装的应用程序列表。

步骤203：根据安装应用程序列表判断客户端是否安装有应用程序黑名单中的应用程序，判断客户端是否未安装应用程序需安装名单中的应用程序。

步骤204：当安装有应用程序黑名单中的应用程序或者未安装应用程序需安装名单中的应用程序，产生告警信息。

服务器还保存有终端标识对应的应用程序需安装名单，应用程序需安装名单中的应用程序代表该移动终端所必需安装的应用程序，例如防病毒应用程序等，服务器可以根据安装应用程序列表判断该移动终端中安装有应用程序黑名单中的应用程序，或者未安装应用程序需安装名单中的应用程序时，可以产生相应的告警信息，以提示管理员或用户注意该移动终端的异常状态，及时卸载应用程序黑名单中的应用程序和/或及时安装应用程序需安装名单中的应用程序，以保证移动终端的安全。

在本发明一些可能的实现方式中，本实施例还可以包括：

根据本次接收到的安装应用程序列表与上一次接收到的安装应用程序列表的区别，获取客户端新安装的应用程序和/或新卸载的应用程序；

当新安装的应用程序在应用程序需安装名单中或者新卸载的应用程序在应用程序黑名单中，消除告警信息。

在实际应用中，服务器在判断有新安装的应用程序时，如果该新安装的应用程序在应用程序黑名单中，则产生告警信息，为了避免告警信息的重复产生还可以判断该新安装的应用程序在应用程序黑名单中的告警信息是否存在，如果不存在则产生该告警信息；如果该新安装的应用程序在应用程序需安装名单中，且之前产生过该新安装的应用程序未被安装的告警信息，则消除之前产生的告警信息，还可以将消除的告警信息移动到历史告警列表中。

服务器在判断有新卸载的应用程序时，如果该新卸载的应用程序在应用程序需安装名单中，则产生告警信息，为了避免告警信息的重复产生还可以判断该新卸载的应用程序在应用程序需安装名单中的告警信息是否存在，如果不存在则产生该告警信息；如果该新卸载的应用程序在应用程序黑名单中，且之前产生过该新卸载的应用程序属于应用程序黑名单的告警信息，则消除之前产生的告警信息，还可以将消除的告警信息移动到历史告警列表中。

这样，本发明实施例中服务器可以向客户端发送应用程序黑名单和/或应用程序白名单，使客户端启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽，从而使用户无法使用启动的该应用，对存在安全隐患、不符合企业要求的应用程序进行屏蔽，以充分保证移动终端的安全；同时，服务器可以根据客户端发送的安装应用程序列表判断该移动终端中安装有应用程序黑名单中的应用程序或者未安装应用程序需安装名单中的应用程序时，产生相应的告警信息，以提示管理员或用户注意该移动终端的异常状态，及时卸载应用程序黑名单中的应用程序和/或及时安装应用程序需安装名单中的应用程序，从而保证移动终端的安全。

参见图3所示，本发明实施例中提供的应用程序的监控装置实施例一，可以包括：

获取单元301，用于获取服务器发送的策略文件，策略文件中包括应用程序黑名单和/或应用程序白名单。

监控单元302，用于当获取到应用程序黑名单，通过监控运行的应用程序进程判断是否启动应用程序黑名单中的应用程序；当获取到应用程序白名单，通过监控运行的应用程序进程判断是否启动应用程序白名单之外的应用程序。

遮蔽单元303，用于当启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽。

在本发明的一些可能的实现方式中，本实施例还可以包括：

监听单元，用于监听返回按键的状态，当检测到在空白界面触发返回按键后，直接返回桌面界面。

在本发明的一些可能的实现方式中，本实施例还可以包括：

发送单元，用于定时向服务器发送安装应用程序列表，以使服务器判断客户端是否安装有应用程序黑名单中的应用程序、判断客户端是否未安装应用程序需安装名单中的应用程序。

这样，本发明实施例中客户端可以获取应用程序黑名单和/或应用程序白名单，对移动终端上运行的应用程序进行监控，当移动终端启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽，从而使用户无法使用启动的该应用，对存在安全隐患、不符合企业要求的应用程序进行屏蔽，以充分保证移动终端的安全。

参见图4所示，本发明实施例中提供的应用程序的监控装置实施例一，可以包括：

发送单元401，用于向客户端发送策略文件，策略文件中包括应用程序黑名单和/或应用程序白名单，以使客户端在监控到启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽。

接收单元402，用于定时接收客户端发送的安装应用程序列表。

判断单元403，用于根据安装应用程序列表判断客户端是否安装有应用程序黑名单中的应用程序，判断客户端是否未安装应用程序需安装名单中的应用程序。

告警单元404，用于当安装有应用程序黑名单中的应用程序或者未安装应用程序需安装名单中的应用程序，产生告警信息。

在本发明的一些可能的实现方式中，本实施例还可以包括：

获取单元，用于根据本次接收到的安装应用程序列表与上一次接收到的安装应用程序列表的区别，获取客户端新安装的应用程序和/或新卸载的应用程序；

消除单元，用于当新安装的应用程序在应用程序需安装名单中或者新卸载的应用程序在应用程序黑名单中，消除告警信息。

这样，本发明实施例中服务器可以向客户端发送应用程序黑名单和/或应用程序白名单，使客户端启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽，从而使用户无法使用启动的该应用，对存在安全隐患、不符合企业要求的应用程序进行屏蔽，以充分保证移动终端的安全；同时，服务器可以根据客户端发送的安装应用程序列表判断该移动终端中安装有应用程序黑名单中的应用程序或者未安装应用程序需安装名单中的应用程序时，产生相应的告警信息，以提示管理员或用户注意该移动终端的异常状态，及时卸载应用程序黑名单中的应用程序和/或及时安装应用程序需安装名单中的应用程序，从而保证移动终端的安全。

参见图5所示，本发明实施例中还提供一种应用程序的监控系统实施例，可以包括：

客户端501以及服务器502；

其中，客户端可以是上述实施例中提供的应用程序的监控装置实施例一；

服务器可以是上述实施例中提供的应用程序的监控装置实施例二。

本实施例中客户端与服务器的相关说明可以参见上述实施例，在此不再赘述。

这样，本发明实施例中客户端可以获取应用程序黑名单和/或应用程序白名单，对移动终端上运行的应用程序进行监控，当移动终端启动应用程序黑名单中的应用程序或者启动应用程序白名单之外的应用程序时，启动空白界面对应用程序黑名单中的应用程序或者应用程序白名单之外的应用程序进行遮蔽，从而使用户无法使用启动的该应用，对存在安全隐患、不符合企业要求的应用程序进行屏蔽，以充分保证移动终端的安全。

需要说明的是，本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。