一种基于wmi软件白名单机制的移动安全办公方法
【技术领域】
[0001]本发明属于终端设备移动办公安全技术领域,涉及一种基于WMI软件白名单机制的移动安全办公方法。
技术背景
[0002]对于一般企事业而言,平常使用的软件与工作性质密切相关。一些特定企事业单位,出于安全性与保密性,只允许员工使用一些特定的软件,便于进行统一的管理。传统控制软件运行的方式是禁止员工安装一些无关工作的软件。但是实际情况,员工会偷偷的下载一些聊天、炒股、下载软件等,对于管理层而言,这些软件是“有害的”,也是不安全的。对于移动安全办公系统而言,对员工使用的软件进行统一管理,只允许员工运行一些特定的软件显得尤为重要,这些,对于软件的控制提出了一个很高的要求。
[0003]公开号为CN 103646215A的中国专利公开了一种应用程序的安装控制方法、相关系统及装置。该方法设置一个黑白名单,针对应用程序的安装请求,若在白名单中,允许安装;若在黑名单中,不允许安装。该方法虽然可以控制应用程序的安装,但只是对安装程序进行判断,对无需安装但供直接运行的软件程序未做处理。同时,黑白名单中只包含应用程序名称及版本号,因此,通过修改应用程序名称及版本号的恶意程序可绕过白名单,该方法安全性较差。
[0004]WMI—Windows Management Instrumentat1n 是一项核心的 Windows 管理技术,通过WMI,可以获取关于硬件/软件的数据,也可以提供关于硬件或软件服务的数据给WMI。本发明一种基于WMI软件白名单机制的移动安全办公方法,在移动安全办公服务器端对下载软件进行预处理,创建软件白名单;在移动安全办公终端基于WMI创建监控进程,监控软件安装程序与运行程序的启动,在软件白名单中的允许启动,反之,禁止启动;保证终端用户可以安装与运行的软件,都只能从服务器端下载,都是经过服务器端管理员认证过的,都在软件白名单中。
[0005]本发明与现有的方法相比优点有:服务器端对下载软件进行了预处理,可以阻止大量附带在下载软件内的无关程序的安装,只保留用户所需的核心程序一安装程序和执行程序,可以极大提高效率;对安装程序、执行程序都放在虚拟执行环境沙箱中预先运行,可以观察该软件的实际效果,避免直接安装在系统中对系统造成威胁。终端用户从服务器端下载软件,安装和运行,可使得用户使用的软件都在软件白名单中,便于服务器端管理员进行统一管理和保证安全性。基于WMI创建监控程序,对软件安装与运行进行检测,可以同时保证安装与运行的安全性,也具有较好的稳定性与兼容性。采用软件多个属性,软件类型、软件版本、软件名称、出厂日期、大小、版权、数字签名、执行路径综合,设为软件属性参数序列,与设置的软件编号构建软件-编号映射表,可以避免因修改软件名称、执行路径等避过软件白名单的检测,保证检测的准确性。本发明适合在企事业中进行大规模部署,便于使用和维护,在移动办公领域有着良好的应用。
【发明内容】
[0006]为有效控制软件的运行,保证安全性,本发明提供了一种基于丽I软件白名单机制的移动安全办公方法,控制软件的安装与运行。保证移动安全办公终端用户能够安装的软件只能从移动安全办公服务器端下载,经过服务器端管理员认证过的,都在软件白名单中,非法下载或移植的安装程序不能安装。保证终端用户可以运行的软件程序都在软件白名单中,非法下载或移植的可执行程序都不能运行。
[0007]本发明的特征在于:是一种基于简称为WMI的Windows ManagementInstrumentat1n管理工具的一种移动安全办公方法,是在由一个供移动安全办公用的服务器端和多个移动安全办公终端共同组成的移动安全办公系统中依次按以下步骤实现的:
[0008]步骤⑴:服务器端依次按以下步骤初始化,添加软件并创建软件白名单,下发至所述的移动安全办公终端,以下简称终端,
[0009]步骤(1.1):服务器端管理员下载所需软件并按以下步骤进行下载软件的预处理后再添加到服务器端,
[0010]步骤(1.1.1):判断下载的软件是软件安装包还是供直接运行的执行程序,并执行以下步骤,
[0011]若是软件安装包,执行步骤(1.1.1.1),
[0012]若是供直接运行的执行程序,执行步骤(1.1.1.2),
[0013]步骤(1.1.1.1):把所述软件安装包在虚拟执行环境沙箱中预先安装,安装完成后运行,待运行正常后,抽取安装程序和执行程序,执行步骤(1.1.2),
[0014]步骤(1.1.1.2):把所述供直接运行的执行程序在所述的沙箱中预先运行,待运行正常后抽取执行程序,执行步骤(1.1.2),
[0015]步骤(1.1.2):把从步骤(1.1.1)中得到的软件安装程序与执行程序添加到服务器立而软件库,
[0016]步骤(1.1.3):把从步骤(1.1.1)中得到的软件安装程序与执行程序对应的软件属性综合,设为软件属性参数序列,同时设置软件编号,以软件属性参数序列和编号构建软件-编号映射表,添加到服务器端的应用软件白名单中,设定的所述软件属性参数序列中的属性参数:软件类别、软件名称、软件版本、出厂日期、大小、软件的版权、数字签名、执行路径,软件类别是指软件是安装程序还是执行程序,分别用“O”和“ I ”标示,执行路径是指软件的具体安装路径,
[0017]步骤(1.1.4):在所述服务器端的一台计算机“裸机”上,安装一套完整无病毒木马的操作系统,获取其上的包括动态链接库DLL文件、可执行程序EXE文件、对象类别扩充组件OCX文件和部分系统SYS文件在内的可移植可执行PE各文件后,设置编号,以PE文件的软件属性参数序列和编号构建软件-编号映射表,拼成系统软件白名单,所述的应用软件白名单和所述的系统软件白名单共同构成总体的软件白名单,
[0018]步骤(1.2):服务器端根据不同部门使用的软件不同,把不同的部门分成不同的组,一个部门对应一个组,依次来创建各部门的软件白名单,并设置一个部门识别码,所述部门识别码再加上部门内员工的PIN码共同组成部门内每个员工的身份验证码,
[0019]步骤(1.3):服务器端把部门内所有员工的身份验证码和对应的所述部门的软件白名单组成一个映射表供各个部门内各员工的移动安全办公终端使用;
[0020]步骤(2):各移动安全办公终端初始化,在终端创建基于所述WMI的监控程序,所述监控程序的创建依次包含以下步骤,监控程序创建后一直运行,用于在软件安装与运行时进行软件的启动检测,
[0021]步骤(2.1):初始化微软的组件对象模型COM库,
[0022]步骤(2.2):设置丽I服务进程中COM的安全信息,同时设置管理员权限,
[0023]步骤(2.3):创建丽I服务进程中的COM服务器,用于和丽I服务进程通信,以便接发数据,
[0024]步骤(2.4):连接WMI命名空间,
[0025]步骤(2.5):设置丽I连接的安全等级,以便允许访问另一个丽I服务进程的对象,
[0026]步骤(2.6):发起丽I请求,查询Win32-Process进程信息,以便监控软件启动时进程的创建;
[0027]步骤(3):服务器端按部门向其中的员工的移动安全办公终端下发最新的软件白名单;
[0028]步骤(4):各移动安全办公终端接收到步骤(3)中下发的所述最新的软件白名单后,向服务器端发送所需求软件的请求;
[0029]步骤(5):服务器端对发出所需软件请求的移动安全办公终端根据所述的身份验证码对移动安全办公终端进行员工身份验证,
[0030]若员工身份验证未通过,则阻断软件请求,
[0031]若员工身份验证通过,执行步骤(6);
[0032]步骤¢):服务器端根据记载在所述发送软件请求中的发送日期和所需软件对应所述的软件编号,判断软件编号是否属于发送软件请求的移动安全办公终端所在部门的软件白名单中,
[0033]若所述软件编号不在对应的部门的软件白名单中,则终止软件请求,
[0034]若所述软件编号在对应的部门的软件白名单中,则执行步骤(7);
[0035]步骤(7):在服务器端把步骤¢)中通过所述软件编号校验的软件下载到所述需求软件的移动安全办公终端后,在软件安装时,所述移动安全办公终端的所述监控程序对软件的安装进行启动检测,检测通过后进行正常安装,否则,不能正常安装;
[0036]步骤⑶:在步骤(7)中软件正常安装后,在软件运行时,所述移动安全办公终端的所述监控程序对软件的运行进行启动检测,检测通过后进行正常运行,否则,不能正常运行。
[0037]基于丽I软件白名单机制的移动安全办公方法,具有较好的稳定性、安全性与兼容性。
【附图说明】
[0038]图1为本发明主系统流程图;
[0039]图2为本发明的下载