功能时,实际执行操作是在WMI服务中执行的。这样要求应用和WMI服务进程有通信,创建一个进程内COM服务器用于接发数据。
[0100]对于步骤S006,从Windows提供的WMI Provider中查询想要的信息,查询WMI类中的Win32_Pix)CesS,即进程的相关信息,就可以捕获到软件启动时进程的创建。这样,就实现了软件启动时进程的监控。
[0101]对于步骤S12,拦截安装程序启动进程。步骤Sll中创建的监控程序,监控安装程序启动。当程序启动时,启动进程创建这个事件触发后,被监控程序所捕获到,拦截启动进程之后,暂停启动进程。防止在对启动进程进行处理时,启动进程已经执行完了这种特殊情况。
[0102]对于步骤S13,判断启动进程对应的软件的安装程序是否在软件白名单中,就是对暂停后的启动进程进行处理。是将捕获到的启动进程对应的软件的相关信息,包括软件类型、软件版本、软件名称、出厂日期、大小、版权、数字签名、执行路径作为软件属性参数序列,比对软件白名单中的软件-编号映射表。若在软件白名单中,则说明该软件的安装程序在软件白名单中。软件类型是指软件程序是安装程序还是执行程序,分别使用“O”和“I”来标示,在比对软件白名单时,可以根据标示提高比对效率。
[0103]对于步骤S14,若步骤S13中启动进程对应的软件的安装程序在软件白名单中,允许启动进程运行,软件正常安装。
[0104]对于步骤S15,若步骤S13中启动进程对应的软件的安装程序不在软件白名单中,关闭启动进程,软件安装失败。
[0105]对软件安装程序的检测,是为了保证用户能够安装的软件都是从服务器端下载的,都是经过服务器端管理员认证过的,在软件白名单中,安全性可靠。
[0106]软件安装完成后,在运行时进行执行程序的启动检测。执行程序的启动检测参见图5,方法的实现如下:
[0107]步骤S21:在终端创建监控程序,监控执行程序的启动;
[0108]步骤S22:拦截执行程序启动进程;
[0109]步骤S23:判断启动进程对应的软件的执行程序是否在软件白名单中,若在,进入步骤S24,若不在,进入步骤S25 ;
[0110]步骤S24:允许启动进程运行,执行程序启动成功,软件正常运行;
[0111]步骤S25:关闭启动进程,执行程序启动失败,软件不能正常运行。
[0112]对于步骤S21,监控程序的创建详细步骤参见图6步骤S001-S006。
[0113]对于步骤S22、S23功能类似图4中步骤S12、S13。
[0114]对于步骤S24,若步骤S23中启动进程对应的软件的执行程序在软件中,允许启动进程运行,软件正常运行。
[0115]对于步骤S25,若步骤S23中启动进程对应的软件的执行程序不在软件白名单中,关闭启动进程,软件运行失败。
[0116]对软件执行程序的检测,是为了保证用户能够运行的软件都是从服务器端下载的,都是经过服务器端管理员认证过的,同时进一步在软件成功安装后,运行时进行启动检测,多重检测,保证安全性。
【主权项】
1.一种基于WMI软件白名单机制的移动安全办公方法,其特征在于,是一种基于简称为WMI的Windows Management Instrumentat1n管理工具的一种移动安全办公方法,是在由一个供移动安全办公用的服务器端和多个移动安全办公终端共同组成的移动安全办公系统中依次按以下步骤实现的: 步骤(I):服务器端依次按以下步骤初始化,添加软件并创建软件白名单,下发至所述的移动安全办公终端,以下简称终端, 步骤(1.1):服务器端管理员下载所需软件并按以下步骤进行下载软件的预处理后再添加到服务器端, 步骤(1.1.1):判断下载的软件是软件安装包还是供直接运行的执行程序,并执行以下步骤, 若是软件安装包,执行步骤(1.1.1.1), 若是供直接运行的执行程序,执行步骤(1.1.1.2), 步骤(1.1.1.1):把所述软件安装包在虚拟执行环境沙箱中预先安装,安装完成后运行,待运行正常后,抽取安装程序和执行程序,执行步骤(1.1.2), 步骤(1.1.1.2):把所述供直接运行的执行程序在所述的沙箱中预先运行,待运行正常后抽取执行程序,执行步骤(1.1.2), 步骤(1.1.2):把从步骤(1.1.1)中得到的软件安装程序与执行程序添加到服务器端软件库, 步骤(1.1.3):把从步骤(1.1.1)中得到的软件安装程序与执行程序对应的软件属性综合,设为软件属性参数序列,同时设置软件编号,以软件属性参数序列和编号构建软件-编号映射表,添加到服务器端的应用软件白名单中,设定的所述软件属性参数序列中的属性参数:软件类别、软件名称、软件版本、出厂日期、大小、软件的版权、数字签名、执行路径,软件类别是指软件是安装程序还是执行程序,分别用“O”和“ I ”标示,执行路径是指软件的具体安装路径, 步骤(1.1.4):在所述服务器端的一台计算机“裸机”上,安装一套完整无病毒木马的操作系统,获取其上的包括动态链接库DLL文件、可执行程序EXE文件、对象类别扩充组件OCX文件和部分系统SYS文件在内的可移植可执行PE各文件后,设置编号,以PE文件的软件属性参数序列和编号构建软件-编号映射表,拼成系统软件白名单,所述的应用软件白名单和所述的系统软件白名单共同构成总体的软件白名单, 步骤(1.2):服务器端根据不同部门使用的软件不同,把不同的部门分成不同的组,一个部门对应一个组,依次来创建各部门的软件白名单,并设置一个部门识别码,所述部门识别码再加上部门内员工的PIN码共同组成部门内每个员工的身份验证码, 步骤(1.3):服务器端把部门内所有员工的身份验证码和对应的所述部门的软件白名单组成一个映射表供各个部门内各员工的移动安全办公终端使用; 步骤(2):各移动安全办公终端初始化,在终端创建基于所述WMI的监控程序,所述监控程序的创建依次包含以下步骤,监控程序创建后一直运行,用于在软件安装与运行时进行软件的启动检测, 步骤(2.1):初始化微软的组件对象模型COM库, 步骤(2.2):设置丽I服务进程中COM的安全信息,同时设置管理员权限, 步骤(2.3):创建WMI服务进程中的COM服务器,用于和WMI服务进程通信,以便接发数据, 步骤(2.4):连接丽I命名空间, 步骤(2.5):设置丽I连接的安全等级,以便允许访问另一个丽I服务进程的对象,步骤(2.6):发起WMI请求,查询Win32-Process进程信息,以便监控软件启动时进程的创建; 步骤(3):服务器端按部门向其中的员工的移动安全办公终端下发最新的软件白名单; 步骤(4):各移动安全办公终端接收到步骤(3)中下发的所述最新的软件白名单后,向服务器端发送所需求软件的请求; 步骤(5):服务器端对发出所需软件请求的移动安全办公终端根据所述的身份验证码对移动安全办公终端进行员工身份验证, 若员工身份验证未通过,则阻断软件请求, 若员工身份验证通过,执行步骤(6); 步骤出):服务器端根据记载在所述发送软件请求中的发送日期和所需软件对应所述的软件编号,判断软件编号是否属于发送软件请求的移动安全办公终端所在部门的软件白名单中, 若所述软件编号不在对应的部门的软件白名单中,则终止软件请求, 若所述软件编号在对应的部门的软件白名单中,则执行步骤(7); 步骤(7):在服务器端把步骤¢)中通过所述软件编号校验的软件下载到所述需求软件的移动安全办公终端后,在软件安装时,所述移动安全办公终端的所述监控程序对软件的安装进行启动检测,检测通过后进行正常安装,否则,不能正常安装; 步骤(8):在步骤(7)中软件正常安装后,在软件运行时,所述移动安全办公终端的所述监控程序对软件的运行进行启动检测,检测通过后进行正常运行,否则,不能正常运行。
【专利摘要】一种基于WMI软件白名单机制的移动安全办公方法,属于终端设备安全办公技术领域,其特征在于:将软件多种属性作为软件属性参数序列和设置的编号拼成应用软件白名单,加上计算机初装机时的系统PE文件拼成的系统软件白名单共同组成总体的软件白名单。按部门的需求划分成各部门的软件白名单下发到部门员工移动安全办公终端中。用户根据部门识别码、员工PIN码组成身份验证码向服务器端发起软件请求。在移动安全办公终端基于WMI建立监控程序对软件安装与运行进行启动检测,比对软件白名单,比对通过后则允许安装与运行。与现有的应用程序的安装控制方法相比,具有较好的稳定性、安全性以及兼容性,提高了安装与运行效率。
【IPC分类】G06F21-52, G06F21-51
【公开号】CN104573494
【申请号】CN201410842891
【发明人】张建标, 雷声威, 阎林, 刘燕辉, 公备
【申请人】北京工业大学
【公开日】2015年4月29日
【申请日】2014年12月30日