专利名称::安全审计系统及安全审计方法
技术领域:
:本发明涉及一种进行审计的技术,该审计与连接于网络且能够执行所授予的程序的终端的安全相关。
背景技术:
:以往,互联网上的各种病毒所引起的被害呈现多样化、扩大化,对于构建电子社会(网络社会),病毒对策成为紧迫的课题。现实状况中针对计算机采用如下对策,应用针对OS(操作系统OperatingSystem)、具有脆弱性的应用程序的安全补丁、更新病毒定义文件及执行病毒检查。但是,对策遍及所有的计算机需要时间,在此期间感染病毒的可能性较高,效果上也具有一定的限度。在此,作为其它对策,也提出有各种在未执行已感染有病毒的文件之前便进行阻止的技术。在专利文献1中记载有简单且有效地防止执行病毒文件的信息处理装置。该信息处理装置具有判别部,判别设置于服务器的全局数据库中所保存的多个文件中,通过经由终端的来自用户的指示而成为执行对象的文件的名称是否与规定的命名规则一致;及执行处理部,如果与命名规则不一致,则执行对象文件是相对于病毒安全的文件从而允许执行,而与前述命名规则一致时,则执行对象文件是相对于病毒存在危险可能性的文件从而向用户发出警告。而且,前述执行处理部在警告后由用户再次指示执行时,允许执行与命名规则一致的文件,另一方面,由用户指示取消执行时,取消文件的执行。如此,被再次指示执行的文件注册在安全文件列表保持部中,该保持部保持示出可安全执行的文件的安全文件列表。另一方面,在专利文献1中记载有具备禁止文件列表保持部,其保持示出应禁止执行的文件的禁止文件列表,即使是与命名规则不一致的文件,只要注册在禁止文件列表中,就不允许执行该文件。如此,通过活用安全文件列表、危险文件列表而能够简单且有效地防止执行病毒文件。但是,由于专利文献1与病毒感染的可能性(危险程度)的高低无关,仅通过警告显示,无论如何依赖于用户的最终意志来决定可否执行文件,因此存在执行病毒感染文件的可能性较高的问题。而且,在专利文献2中记载有一种软件的监控系统,在连接有多个终端装置的网络上配置监控装置,可取得各终端装置的特征信息,根据所取得的特征信息,有效地检测出具有存在脆弱性的软件的终端装置或感染有恶意软件的终端装置,可采取正确的对策。但是,虽然专利文献2所记载的系统在知道终端装置的安全水准的基础上较为合适,但是例如在检测到散列值的变化后才采取病毒对策等(专利文献2的段落号00190020),依然存在难以无视的时滞。专利文献1日本国特开2007-148805号公报专利文献2日本国特开2006-040196号公报
发明内容本发明的目的在于提供一种安全审计方法及其系统,其针对安装在终端中的程序文件检查病毒感染的危险性,通过针对未感染的文件允许程序的执行而避免使病毒启动。本发明所涉及的安全审计系统的特征在于,具备多个终端,连接于网络,可根据来自操作部的指示执行所授予的程序;及管理服务器,连接于前述网络,进行与可否执行前述各终端中的前述程序相关的审计,前述终端具备程序存储部,更新储存前述所授予的程序;执行许可列表制作单元,针对前述所授予的程序中的规定程序制作列表,更新储存在执行许可列表存储部中;判断单元,有来自前述操作部的前述所授予的程序的任意一个的执行指示时,判断该所授予的程序是否是与储存在前述执行许可列表存储部中的列表相对应的程序;第1匹配单元,前述判断单元的判断为肯定时,从前述程序存储部读出该所授予的程序并制作第1匹配用信息,判断与前述执行许可列表存储部的对应于前述执行指示的程序的列表信息的异同;匹配信息制作单元,前述判断单元的判断为否定时,从前述程序存储部读出前述所授予的程序并制作第2匹配用信息,发送至前述管理服务器;及可否执行单元,根据与由前述匹配信息制作单元向前述管理服务器发送前述第2匹配用信息相对应的来自前述管理服务器的回送信号、及来自前述第1匹配单元的判断前述异同的结果,指示可否执行该程序,前述管理服务器具备匹配源信息存储部,响应于向前述程序存储部写入前述所授予的程序,储存对应于该程序的前述第2匹配用信息的匹配源信息;及第2匹配单元,对从前述终端接收的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。而且,本发明所涉及的安全审计方法,是控制连接于网络的各个终端可否执行程序的安全审计方法,其特征在于,在前述终端的程序存储部中更新储存前述所授予的程序;前述终端的执行许可列表制作单元针对前述所授予的程序中的规定程序制作列表,更新储存在执行许可列表存储部中;前述终端的判断单元在有来自前述操作部的前述所授予的程序的任意一个的执行指示时,判断该所授予的程序是否是与储存在前述执行许可列表存储部中的列表相对应的程序;前述终端的第1匹配单元在前述判断单元的判断为肯定时,从前述程序存储部读出该所授予的程序并制作第1匹配用信息,判断与前述执行许可列表存储部的对应于前述执行指示的程序的列表信息的异同;前述终端的匹配信息制作单元在前述判断单元的判断为否定时,从前述程序存储部读出前述所授予的程序并制作第2匹配用信息,发送至前述管理服务器;响应于向前述程序存储部写入前述所授予的程序,在连接于前述网络的前述管理服务器的匹配源信息存储部中储存对应于该程序的前述第2匹配用信息的匹配源信息;前述管理服务器的第2匹配单元对从前述终端接收的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端;前述终端的可否执行单元根据与由前述匹配信息制作单元向前述管理服务器发送前述第2匹配用信息相对应的来自前述管理服务器的回送信号、及来自前述第1匹配单元的判断前述异同的结果,指示可否执行该程序。根据上述发明,根据安全审计来控制连接于网络的各个终端可否执行程序。艮口,在前述终端的程序存储部中更新储存前述所授予的程序,通过前述终端的执行许可列表制作单元,针对前述所授予的程序中的规定程序制作列表,更新储存在执行许可列表存储部中。而且,通过前述终端的判断单元,在有来自前述操作部的前述所授予的程序的任意一个的执行指示时,判断该所授予的程序是否是与储存在前述执行许可列表存储部中的列表相对应的程序,通过前述终端的第1匹配单元,在前述判断单元的判断为肯定时,从前述程序存储部读出该所授予的程序并制作第1匹配用信息,判断与前述执行许可列表存储部的对应于前述执行指示的程序的列表信息的异同。通过前述终端的匹配信息制作单元,在前述判断单元的判断为否定时,从前述程序存储部读出前述所授予的程序并制作第2匹配用信息,发送至前述管理服务器。在管理服务器中,响应于向前述程序存储部写入前述所授予的程序,在匹配源信息存储部中储存对应于该程序的前述第2匹配用信息的匹配源信息。而且,通过前述管理服务器的第2匹配单元,对从前述终端接收的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。于是,通过前述终端的可否执行单元,根据与由前述匹配信息制作单元向前述管理服务器发送前述第2匹配用信息相对应的来自前述管理服务器的回送信号、及来自前述第1匹配单元的判断前述异同的结果,指示可否执行该程序。因而,即使是与包含在执行许可列表中的列表相对应的程序,也通过终端侧的自我诊断来进行篡改、病毒感染等的检查,而且,对于不包含在执行许可列表中的程序,则与管理服务器之间进行安全审计,仅能执行安全的程序,因此,假使之后在文件内侵入并感染病毒,也不会启动。根据本发明,通过针对未感染病毒的文件允许执行程序而避免使病毒启动,可将终端保持于安全状态。图1是应用本发明所涉及的安全审计系统的网络系统的示意构成图。图2是说明利用程序文件的散列值来判定可否执行的处理的图。图3是说明关于针对每个终端1的正常动作可疑的程序文件嵌入终端认证戳(固有认证信息)的处理的图。图4是说明关于针对由自身的终端1制作的程序文件嵌入终端认证戳(固有认证信息)的处理的图。图5是说明禁止执行违规动作模式的处理的图。图6是表示图2所示的系统的终端1侧的病毒监控处理的流程图。图7是表示图2、图3、图4所示的系统的终端管理服务器5侧的病毒监控处理的流程图。图8是表示图3所示的系统的终端1侧的宏等的程序等的文件的注册处理的流程图。图9是表示图3所示的系统的终端管理服务器5侧的宏等的程序等的文件的注册处理的流程图。图10是表示图3、图4所示的系统的终端1侧的病毒监控处理的流程图。图11是表示图3、图4所示的系统的终端1侧的病毒监控处理的流程图。图12是表示图5所示的系统的终端1侧的违规动作模式检测处理的流程图。图13是表示图5所示的系统的终端1侧的违规动作模式列表更新处理的流程图。图14是表示图5所示的系统的终端1侧的检查中列表的更新处理的流程图。图15是表示图5所示的系统的终端1侧的执行程序监控处理的流程图。符号说明1-终端;2-终端处理部;21-操作部;3-程序监控部;5-终端管理服务器;7_网络;202-程序存储器(程序存储部);211-程序执行处理部;212-程序制作处理部(程序制作单元);301-执行许可列表存储部;302-正常动作可疑列表存储部;303-违规动作模式列表存储部;304-检查中列表存储部;311-程序特定部(判断单元);312-散列值制作部(第1匹配单元);313-散列值匹配部(第1匹配单元);314-可否执行部(可否执行单元);315-匹配信息制作部(匹配信息制作单元);316-转送部(转送单元);317-更新部(执行许可列表制作单元、正常动作可疑列表制作单元、列表削除单元、安装处理单元);318-戳有无判断部;319-实际使用效果监控部(监控单元);320-终端认证戳匹配部(固有认证信息匹配单元);321-违规动作模式更新部;322-违规动作模式检测部;323-执行程序监控部;330-终端认证戳赋予部(固有认证信息赋予单元);501-匹配源信息数据库(匹配源信息存储部);502-病毒模式存储部;503-终端认证戳存储部(固有认证信息存储部);511-可否执行判断部(第2匹配单元);512-病毒检查部;513-可否执行信号制作部;514-终端认证戳赋予部(固有认证信息赋予单元);515-违规动作模式制作部;516-违规动作模式检查部(安装处理单元);520-戳发行部(发行单元)。具体实施方式图1是应用本发明所涉及的安全审计系统的网络系统的示意构成图。图1所示的网络系统例如具备终端1,配置于会员即消费者、商店以至企业等、以及进行结算的1个或多个金融机构;会员信息服务器4,配设于统一进行上述各终端1及终端1之间的信息的管理及保管的管理机构;及终端管理服务器5,进行终端1的安全管理。终端1通常由内置CPU(中央处理器=CentralProcessingUnit)的个人计算机等构成。终端1内具备终端处理部2,执行利用通常的文档、图形的制作软件的信息制作、加工、储存、以及利用通信用软件的信息收发等的通常的各处理;及程序监控部3,执行后述的程序的审计处理。更具体为,消费者、商店及企业等的终端1中作为终端处理部2安装有进行关于商品、服务的买卖、估价以至付款通知、汇入汇出的各种资料的制作及通信的软件。即,终端1可进行通常交易中的结算,例如商家店铺的账单的发行、领收、购买者侧向账单发行人的签约金融机构的账户汇款(即支付)的指示书、其收据的发行等,无论电子结算的哪一方面,可进行各种电子文书的收发处理。终端1可把各种资料制作成文本形式或二进制形式的电子文件。电子文件例如经由会员信息服务器4在终端1之间进行交接。各金融机构的终端1中还安装有进行基于来自消费者、企业的终端1的金融结算文书的结算指示处理(金融机构之间的结算处理的指令等)的软件。会员信息服务器4根据需要储存关于会员的适当的信息,例如会员的姓名、名称、电子邮件地址、住址等的会员信息。而且,会员信息服务器4也可以进一步具备存储部,储存各会员的文件收发历史记录、其文件种类等用于管理。终端管理服务器5由进行用于管理终端1安全的软件的制作及分发的主体即规定的系统审计团体运营。而且,本系统作为其它的应用例,可列举应用于与制作、保管管理机密信息的例如公共机构的团体组织内的LAN连接的多个终端1之间的信息通信,以及与团体组织外的终端之间的信息通信、管理体制的例子。另外,针对团体组织内的终端1及LAN应用程序监控部3、会员信息服务器4及程序认证部5时,该LAN相当于本发明所涉及的网络。本系统在硬件上使用互联网的网络。即终端1连接于互联网,另一方面如后所述,与互联网之间在软件上确保终端1及终端1之间的安全。根据本发明在软件上确保安全,从连接有终端1的网络的视点出发,可作为与互联网不同的专用网络来使用。由此,可构建不需要新的基础结构的系统,并且各终端1可根据需要经由互联网而与其它的个人计算机之间实现通常的信息通信及互联网上的Web站点的检索、阅览及信息的取得。在图1中,终端1介由提供商(ISP)6与网络7连接。ISP6上连接有多个终端1。另外,虽然图1中未图示,但是ISP6上连接有适当数量的服务器,其具有提供各种信息的Web站点。而且,连接于ISP6的终端1中存在安装有程序监控部3的终端1和未安装程序监控部3的通常的终端1'。程序监控部3如后所述,提前检查由终端1执行的程序文件是否感染有病毒,仅执行未感染病毒的程序文件,即包含用于禁止执行存在感染有病毒的可能性的程序文件的软件及审计所需的数据库。终端管理服务器5具备程序认证部50,其针对连接于网络7的终端中安装有程序监控部3即软件的终端1,进行后述的病毒对策。即,针对由终端1执行的程序文件,在其执行前认证未感染病毒。图2图5表示对终端1的终端处理部2、程序监控部3及程序认证部50所具有的功能分别进行方框化的构成图。图2图5为了便于说明及作图,适当分开表示各功能。图2是说明利用程序文件的散列值来判定可否执行的处理的图。图3是说明关于针对每个终端1的正常动作可疑的程序文件嵌入终端认证戳(固有认证信息)的处理的图。图4是说明关于针对由自身的终端1制作的程序文件嵌入终端认证戳(固有认证信息)的处理的图。图5是说明禁止执行违规动作模式的处理的图。在图2中,终端1的终端处理部2具备存储部200和控制部210。控制部210具备程序执行处理部211,其执行所被指示的程序。而且,终端处理部2具备操作部21,由用于进行信息的显示、信息处理(即执行对应的程序)的指示等的鼠标、键盘构成;及显示部22,进行输入信息、处理结果的显示。存储部200由储存OS(操作系统OperatingSystem)、BIOS(基本输入/输出系统BasicInput/OutputSystem)等的ROM(只读存储器ReadOnlyMemory)201和RAM(随机存取存储器RandomAccessMemory)构成。RAM具备程序存储器部202,储存所授予的处理所需的各种应用程序的文件;及缓冲存储器部203,设置在与外部的输入输出部中,暂时储存接收信息。另外,RAM还具有工作存储器区域,暂时储存处理中途的信息。程序监控部3具有存储部300,储存将用于监控程序文件的软件个别地安装于终端1的结果所得到的监控程序文件所需的信息;及控制部310,用于执行监控程序。在本实施方式中,优选存储部300利用终端处理部2的存储部200的一部分区域。存储部300如图2所示,具有执行许可列表存储部301。执行许可列表是指按每个终端1制作的列表,是在该终端1中用于识别作为未感染病毒而由终端管理服务器5允许执行的程序文件的列表用信息。执行许可列表的各列表用信息中至少包含从程序文件得到的(确定的)散列值。存在各种从由二进制码构成的程序文件制作该程序的散列值的方法,可以采用任意的方法。例如,反复进行如下处理直至达到(减少至)规定位数,即抽取程序文件整体或预先指定的范围的规定位部分进行2分割,之后,实施该2分割后的各编码群的规定的逻辑处理例如逻辑积,制作新的编码信息,再次对新的编码信息进行2分割,实施逻辑处理这样的处理。而且,向程序存储器部202注册时,得到从程序文件得到的规定位的编码信息,将其作为散列值使用即可。而且,除散列值以外,也可以具备程序的厂商信息、产品信息,还可以具备版本fn息ο另外,用于监控程序文件的软件写入外部记录媒体9,例如硬盘、光盘、软盘、CD、DVD、USB存储器、半导体存储器等,可介由硬盘驱动器、光盘驱动器、软盘驱动器、硅磁盘驱动器、盒式媒体读取机等公知的驱动器进行读取,并导入(安装)至终端1的存储部200的相应区域(RAM区域)。或者也可以是如下方式,通过从会员的终端1向管理团体的计算机(会员信息服务器4或终端管理服务器5等)发送规定的发行请求,接收该软件并进行安装。或者也可以是如下方式,装入搭载有该程序的扩展卡。而且,安装软件时,介由例如显示部22求出用于会员注册的信息输入,通过输入所需的信息,注册至会员信息服务器4即可。控制部310作为如下功能部发挥作用,即执行程序特定部311,通过从存储部200的相应区域读出用于监控程序文件而安装的软件,并由终端处理部2的CPU执行,来特定用于执行由操作部21指定的处理的程序文件;散列值制作部312,当所指定的程序文件包含在执行许可列表存储部301中时,制作该程序文件的散列值(第1匹配用信息);散列值匹配部(第1匹配单元)313,判断所制作的散列值与执行许可列表存储部301内的该程序文件的列表用信息所包含的散列值的异同;可否执行部314,当散列值一致时,生成允许该程序执行的指示信号,而不一致时,生成禁止该程序执行的指示信号,输出至程序执行处理部211;匹配信息制作部315,当所指定的程序文件未包含在执行许可列表存储部301中时,制作该程序文件的匹配用信息(第2匹配用信息);转送部316,从程序存储器部202读出所指定的程序文件,并作为病毒检查对象转送至终端管理服务器5;及更新部317,当判断为检查对象的程序文件未感染病毒时,通过制作该程序文件的程序识别信息(列表用信息),追加至前述执行许可列表存储部301,而更新前述执行许可列表存储部301的内容。而且,更新部317在散列值匹配部313中的结果为不一致时,进行从执行许可列表存储部301削除该程序的列表用信息的处理。程序特定部311对执行由操作部21指定的处理的程序进行特定,判断所特定的程序是否是与包含在执行许可列表存储部301中的列表相对应的程序,当判断结果为包含时,根据其信息生成读出指示信号,发送至执行许可列表存储部301及程序存储器部202。该读出指示信号为,从程序存储器部202将对应的程序文件读出至散列值制作部312,同时从执行许可列表存储部301将对应的程序的列表用信息内的散列值读出至散列值匹配部313。而且,程序特定部311在前述判断为不包含时,生成在匹配信息制作部315中制作匹配信息的指示信号。另外,由于在可执行的程序文件中,存在用于OS进行判断的作为头信息的MZ及PE(可移植可执行PortableExecutableHeader)头,因此例如可利用有无上述头信息来特定读取的程序文件。散列值制作部312利用预先设定的(与执行许可列表存储部301的列表用信息的散列值的制作规则相同的)规则从所输入的程序文件计算出散列值。散列值匹配部313匹配由散列值制作部312制作的散列值与执行许可列表存储部301内的该程序文件的散列值的异同,向可否执行部314输出匹配结果即一致、不一致的任意一个信号。如果散列值一致,则可以认为两个程序文件一致,如果不一致,则可以认为两个程序文件不同。通过一律地匹配散列值,即使是执行许可列表存储部301所包含的列表的程序文件,在安装后,一部分被篡改而成为其它版本,或被病毒感染时,也不会漏掉上述篡改等而能够检测得到。优选通过采用使用程序文件的大致整体来计算散列值的方法,可检测出篡改。可否执行部314收到来自终端1内的,即来自散列值匹配部313的匹配结果的信号,还如后所述,收到在预定执行的程序不是包含在执行许可列表中的程序时的来自终端管理服务器5的可否信号,生成指示执行程序(许可)的信号、指示禁止执行(不许可)的信号。终端管理服务器5具有程序认证部50及操作部51,为了管理者而根据需要具有显示部。程序认证部50与存储部500连接,该存储部500具有储存所需的信息的区域及暂时储存处理中途的信息的工作区。程序认证部50具备由具有CPU的计算机构成的控制部510。存储部500具有每个终端1的匹配源信息数据库501。匹配源信息数据库501是用于在各终端1中与从程序文件制作的匹配用信息进行匹配的作为每个终端1的匹配源信息而储存的数据库。匹配源信息数据库501内的匹配源信息是在该程序文件被最初安装在该终端1的程序存储器202中时制作、保存的。其与由匹配信息制作部315制作的匹配用信息相对应。从可靠性出发优选匹配用信息及匹配源信息除前述的散列值以外,具备程序的厂商信息、产品信息,还具备版本信息。控制部510通过将认证程序读出至CPU并进行执行,而作为可否执行判定部(第2匹配单元)511、病毒检查部512及可否执行信号制作部513发挥作用。可否执行判定部511在预定执行的程序不是与包含在执行许可列表中的列表相对应的程序时,执行前述的匹配用信息与匹配源信息的匹配处理,判断其异同,生成可否执行信号。病毒检查部512针对预定执行的程序文件执行病毒扫描,利用公知的模式匹配方法等检测有无病毒感染,根据其结果输出可否执行信号(执行许可信号、执行不许可信号)。病毒检查部512利用更新储存有持续地得到的各病毒的模式的病毒模式存储部502,通过模式匹配进行检查。可否执行信号制作部513以可否执行判定部511及病毒检查部512以外的方式,根据来自操作部51的操作,生成与前述同样的可否执行信号。可否执行信号制作部513在利用匹配及病毒检查也无法发现违规时,通过管理者,或者接受经过程度更高的外部专家(包括反病毒等的软件)的检查的有无违规的结论,根据来自操作部51的针对可否执行的指示来制作可否信号。而且,通过操作部51的上述指示,一并将该匹配用信息作为新的匹配源信息更新储存在匹配源信息数据库501中。图6是表示图2所示的系统的终端1侧的病毒监控处理的流程图。图7是表示图2所示的系统的终端管理服务器5侧的病毒监控处理的流程图。首先,在图6中,判断是否从操作部21输入了程序执行指令(步骤Si),如果未输入指令,则离开本流程。另一方面,如果输入了指令,则根据该指令特定成为执行对象的程序文件(步骤S3),接下来,暂时保留该执行对象程序的执行以用于监控处理(步骤S5),进而,判断该执行对象的程序是否包含在与执行许可列表存储部301所包含的列表相对应的程序中(步骤S7)。该判断为肯定时,从执行许可列表存储部301向散列值匹配部313读出上述执行对象的程序文件的散列值(步骤S9)。接下来,从程序存储器部202向散列值制作部312读出上述预定执行的程序文件,根据规定的规则制作散列值(步骤S11)。而且,匹配两个散列值(步骤S13),判定是否一致(步骤S15)。如果匹配结果为一致,则制作执行许可信号并输出至程序执行处理部211(步骤S17)。其结果,通过程序执行处理部211开始执行对象程序的执行(即启动执行对象程序)(步骤S19)。另一方面,在步骤S15中,如果匹配结果为不一致,则从执行许可列表存储部301削除对应于该程序的列表用信息,并且从程序存储器部202削除该程序(步骤S21)。即,相当于禁止执行该程序。另一方面,步骤S7的判断为否定时,读出执行对象程序的文件,通过匹配信息制作部315制作匹配用信息(步骤S23)。而且,所制作的匹配用信息被发送至终端管理服务器5的程序认证部50(步骤S25)。接下来,判断有无从终端管理服务器5接收可否信号(步骤S27)。如果接收了可否信号,则判断该接收信号是否是执行许可信号(步骤S29)。如果接收信号是执行许可信号,则由可否执行部314变换为允许执行的规定的指示信号,通过该变换后的执行许可信号来指示向执行许可列表存储部301开始列表更新处理(步骤S31),之后,进入步骤S19,开始执行对象程序的执行。另一方面,在步骤S29中,如果接收信号不是执行许可信号,即是执行不许可信号,则从程序存储器202削除执行对象的程序(步骤S3。。步骤S31中的列表更新处理是指,判断为允许执行的程序未感染病毒时,通过更新部317以与执行许可列表存储部301的列表用信息相同的格式,制作散列值、其它所授予的信息,并进行追加。而且,当步骤S27中的可否信号的未接收状态持续规定期间时(步骤S33中为是),程序的执行从暂时保留状态变更为禁止执行(步骤S37)。步骤S37设想了除病毒检查以外,有无违规的检查需要时间的情况。得到检查结果时,针对该检查对象中的程序进行处分。处分是指,根据来自终端管理服务器5的指示,例如从程序存储器部202的削除处理。另外,规定期间是指,比由操作部21指定后到通常开始执行的时间稍长的时间,例如几秒到10秒左右。也可以在超过该期间或规定时间的阶段,例如在显示部22中进行表示病毒审计中的报告。报告除显示以外,在安装有扬声器时,也可以是以声音来进行的方式。接下来,在图7中,判断是否接收了匹配用信息(步骤#1)。如果未接收匹配用信息,则离开本流程。另一方面,如果接收了匹配用信息,则进行接收的匹配用信息与匹配源信息数据库501内的匹配源信息的匹配(步骤#3)。如果两个信号一致(步骤#5中为是),则制作执行许可信号,回送至匹配用信息的发送源即终端1(步骤#7)。另一方面,在步骤#5中,如果两个信号不一致,则执行病毒检查处理(步骤#9)。病毒检查处理针对匹配信息的发送源即终端1的转送部316,要求转送执行对象的程序文件,针对所转送的该执行对象的程序文件,例如以模式匹配方法进行检查。如果确认了病毒感染(步骤#11中为是),则生成执行不许可信号,回送至执行对象程序文件的发送源即终端1(步骤#13)。相反,在步骤#11中,如果未确认病毒感染,则判断有无来自操作部51的表示是否违规的信号的输入(步骤#15)。如果信号输入为违规信号(步骤#17中为是),则进入步骤#13,如果不是表示违规的信号,则将该匹配用信息注册至匹配源信息数据库501(即更新前面的匹配源信息)(步骤#19),进入步骤#7。另外,如果经过规定期间没有信号输入(步骤#21),则进行继续保留的处理(步骤#2,进入步骤#13。另外,规定期间是指图6的步骤S33的期间。而且,继续保留的处理是指如下处理,针对执行对象的程序文件,考虑当未感染病毒时,由管理者或外部专家进行进一步的检查,在上述情况下,暂时禁止程序的执行,另一方面,随后用于以前述管理者等的检查结果,实现程序认证部50及该终端1的所需的存储部的数据更新。具体为,设置保留信息一览列表的存储部,在前述检查后,以能够反映检查结果的方式,读出相符的保留信息,实现更新处理。接下来,在图3中,存储部300还具有正常动作可疑列表存储部302。正常动作可疑列表是指包含在执行许可列表中的程序以外的程序的列表。正常动作可疑列表是指将允许执行的程序所使用的包含宏的文件、Add-in文件等(称为子程序)作为灰名单按每个终端1,更新储存在其程序存储器部202中。程序按每个终端1,更新储存在其程序存储器部202中。另外,宏是指对于文档制作软件、表计算软件等的规定的程序,将特定的操作步骤进一步预先制作成程序,通过预先注册其文件,而自动执行上述特定的操作步骤的功能。而且,Add-in文件是指对于规定的程序,追加装备有扩展的功能的文件(程序)。上述程序针对本体程序的文件,显示为使用了扩展名的追加形式的文件,可分别识别。另外,在图3中,虽然设想从外部取得宏文件、Add-in文件,但是也可以在自终端1中制作。控制部310的更新部317如后所述,根据可否执行判定结果、实际使用效果判定结果,在执行许可列表存储部301和正常动作可疑列表存储部302之间进行列表的更换。更新部317还执行以下处理,在图3(后述的图4也同样)中,基于操作部21的指示向程序存储部202注册从外部取得的程序或者由自终端1制作的程序。另外,注册时,包含宏的文件和Add-in文件通过参照扩展名等而被识别。控制部310还具备戳有无判断部318、实际使用效果监控部319。程序认证部50的存储部500还具备终端认证戳存储部503。而且,控制部510还具备终端认证戳赋予部514。首先,对终端认证戳存储部503进行说明。储存在终端认证戳存储部503中的戳是终端1安装程序监控部3即软件时,使用该终端1的所有者(包括占有的使用者)、IP地址、电子邮件地址等的信息,或者根据该终端1所有者的希望制作的终端固有的信息。因而,在终端认证戳存储部503中储存每个终端1的戳。戳是指用于保证数字文档的正当性所附加的签名信息,电子地表现文字、记号、标记等。在本实施方式中,作为戳采用由二进制码表现规定数量的记号。终端认证戳赋予部514针对从某个终端1发送来的请求赋予戳的程序文件,识别发送源即终端1,电子地赋予对应于该终端1的戳,例如进行嵌入处理。在电子赋予的一个形式即电子嵌入处理的情况下,通过根据规定的规则在程序文件内嵌入记述戳的二进制码来进行。规定的规则是指可采用统一嵌入文件的规定位置的方法、或者将戳的二进制码分割成所授予的数量从而分散嵌入文件内预先指定的多个位置的方法、其它各种公知的方法。例如,在可执行的程序文件的情况下,在MZ头中存在未使用于程序执行的空白区,因此,也可以将戳嵌入该空白区。在本实施方式中,在安装有程序监控部3即软件的终端1的正常动作可疑列表存储部302中所注册的程序内,主要对宏程序的文件进行戳的赋予处理,在此进行嵌入处理。宏程序的文件即使不变更程序自身,也通过变更数据(例如数值数据),而具有其它的散列值。由此,在每次执行该宏程序时,需要向终端管理服务器5发送该宏程序的文件,进行接受检查的作业。这导致发送处理的负担增大、处理的低速化及网上的信息泄漏机会的增大,所以不优选。于是,对于各终端1中用于包含在执行许可列表中的程序使用的所制作的宏程序等的文件,为了指定终端并认证(保证)正当性,而嵌入终端认证戳。戳有无判断部318在与正常动作可疑列表存储部302内的列表相对应的程序为执行对象时,首先判断有无戳,将其判断结果输出至可否执行部314。可否执行部314对于赋予有戳的文件的程序,向程序执行处理部211输出执行许可信号。戳有无判断部318在对象的程序文件中未被赋予戳时,输出使匹配信息制作部315制作匹配信息,发送至程序认证部50的指示信号。实际使用效果监控部319监控注册在执行许可列表存储部301中的对应的程序的各使用历史记录,在不使用状态持续规定期间时,从执行许可列表存储部301削除上述程序,追加至正常动作可疑列表存储部302中,即从病毒感染的可能性方面出发实施降级处理。即,不使用期间超过一定程度时,即使是正当的程序文件也会给予篡改机会,前述的散列值变为不一致的可能性增大。因而,在上述情况下,通过提前降级,不进行散列值的匹配及匹配信息的匹配,如后所述,可通过1次病毒检查处理来进行判定。而且,如果通过病毒检查认定未感染病毒,则再次升级(恢复)至执行许可列表中即可。匹配信息制作部315在与正常动作可疑列表存储部302内的列表相对应的程序成为执行对象时,且由戳有无判断部318判断为未赋予戳时,制作该程序文件的匹配用信息,发送至可否执行判定部511。转送部316向终端认证戳赋予部514发送新制作的宏程序的文件,将赋予戳后的程序文件储存在程序存储器部202中。另外,将宏程序的文件发送至终端管理服务器5时,该文件作为TCP/IP信息包数据而被发送,但是除宏程序以外有可能包含使用者所输入的数据。于是,优选对TCP/IP的数据部进行加密并发送。而且,还优选为了避免该密码被破译,优选密码的方法为每次通信都变更的方式。而且,终端管理服务器5向发送源的终端1回送赋予戳后的宏程序的文件时也优选同样地构成。图8是表示图3所示的系统的终端1侧的宏等的程序等的文件的注册处理的流程图。图9是表示图3所示的系统的终端管理服务器5侧的宏等的程序等的文件的注册处理的流程图。图10、图11是表示图3所示的系统的终端1侧的病毒监控处理的流程图。另外,图7还作为表示图3所示的系统的终端管理服务器5侧的病毒监控处理的流程图而发挥作用。首先,在图8中,当取得将与执行许可列表存储部301所包含的列表相对应的程序文件作为本体的宏、Add-in程序的文件,有来自操作部21的注册指示时(步骤S41中为是),判断该程序是否是宏程序(步骤S4!3),如果是宏程序,则在所取得的程序文件中附加戳赋予请求的信号,转送至终端管理服务器5(步骤S4Q。接下来,判断有无发回(步骤S47),有发回时,将发回来的程序文件储存在程序存储器202中(步骤S49),进而制作对应的列表用信息,追加至正常动作可疑列表存储部302(步骤S51)。另一方面,当在步骤S41中,判断为不是宏程序时,根据如前所述的规定规则从所取得的程序文件制作匹配信息,附加注册请求的信号并转送至终端管理服务器5(步骤S53)。在图9中,当接收戳赋予请求或注册请求的信号时(步骤#41),首先,判断有无戳赋予请求(步骤#4。如果不是戳赋予请求信号,则由于是注册请求,因此将接收到的文件的匹配信息作为匹配源信息写入匹配源信息数据库501(步骤#45)。另一方面,在步骤#43中,如果是戳赋予请求信号,则根据前述的规则执行戳赋予处理(步骤#47)。接下来,制作匹配源信息,并写入匹配源信息数据库501(步骤#49),最后,将赋予了戳的程序文件发回至该终端1(步骤#51)。在图10、图11中,首先,进行执行程序的特定(步骤S61)。接下来,判断是否是与执行许可列表内的列表相对应的程序(步骤S6!3)。如果是与执行许可列表内的列表相对应的程序,则进入图6所示的流程图的步骤S5(步骤S6Q,从终端1内的散列值的匹配处理开始。另一方面,如果不是与执行许可列表内的列表相对应的程序,则判断是否在该程序文件中赋予了自终端认证戳(步骤S67)。如果赋予了戳,则输出执行许可信号(步骤S69),接下来开始执行程序(步骤S71)。相反,在步骤S67中,如果未赋予戳,则从该程序文件制作匹配用信息(步骤S7!3),发送至程序认证部50(步骤S75)。接下来,判断有无接收可否信号(步骤S77),如果所接收的信号是执行许可信号(步骤S79),则开始执行该程序(步骤S81)。接下来,判断该程序是否是宏程序(步骤S83)。如果不是宏程序,则将该程序的列表用信息从正常动作可疑列表转移至执行许可列表(步骤S8Q。另一方面,在步骤S83中,如果是宏程序,则在该程序文件中附加戳赋予请求的信号并转送至终端管理服务器5(步骤S87)。接下来,判断有无发回赋予了戳的程序文件(步骤S89),有发回时,将发回来的程序文件储存在程序存储器部202中(更新戳赋予前的程序文件)(步骤S91),结束本流程。相反,在步骤S79中,如果不是执行许可信号,则禁止执行(步骤S95)。另外,步骤S77的判断处理经过规定期间时(步骤S93中为是),禁止执行(步骤S95),离开本流程。而且,如图7所示,在终端管理服务器5侧,执行匹配用信息的匹配及病毒检查。另外,作为终端1中的通常处理,导入由其它终端1制作的宏程序(赋予进行制作的终端1的戳)时,在导入侧的终端1中不重新进行戳的赋予。由此,可以留下宏程序由哪个终端1制作的展示源信息。另外,执行宏程序时,在控制部310侧(或者程序执行处理部211中),反向执行前述的规定规则,从宏程序的文件去掉戳的编码信息,从而进行执行即可。例如,在图9中,追加是否已经在程序文件中赋予了戳的判断步骤,如果未赋予戳,则执行图9的处理,在已经赋予了戳时,只要跳过图9的步骤#47即可。接下来,在图4中,存储部200还具有RAM(工作存储器)204。而且,终端1的控制部210还具备程序制作处理部212。程序制作处理部212在利用操作部21在自终端1中制作新的宏、其它程序时而被执行,执行程序的记述直至注册指示处理。工作存储器204作为暂时储存由程序制作处理部212制作程序时的处理中途的信息的区域而使用。而且,程序制作处理部212检测到由OS写入程序存储器部202的文件是新的,由此,认识到写入的文件是由终端1新制作的文件。另外,用于由自终端1制作的程序向程序存储器部202内的注册及向正常动作可疑列表存储部302追加列表的处理是通过与前述的图8、图9大致相同的处理步骤来进行的。另外,在图4的方式中,不再需要图8的步骤S41,一律进入步骤S45。S卩,作为由自终端1新制作的程序文件的注册,在步骤S45中,在所制作的程序文件中附加戳请求信号并转送至终端管理服务器5。而且,图9的步骤#41变为全部接收戳赋予请求的信号,不再需要#43、#45。控制部310还具备终端认证戳匹配部320。终端认证戳匹配部320在由程序制作处理部212制作的程序即在制作时赋予认证自终端1的戳并储存在程序存储器部202中的程序文件随后成为执行对象时,从程序存储器部202内的相符的程序文件抽出戳信息,同时读出存储部500的终端认证戳存储部503的相符的终端的戳信息,对两个戳进行匹配。两个戳一致时,由可否执行部314生成执行许可信号。两个戳不一致时,储存在程序存储器部202中的程序被篡改、或者被病毒感染等,变为不适合执行的程序,因此禁止使用。另外,在图3所示的实施方式中,也可以使用终端认证戳匹配部320来代替戳有无判断部318。由此,对于宏程序,也在导入后的每次执行时,实现戳的匹配,可靠性提高。而且,相反在图4中,也可以使用戳有无判断部318来代替终端认证戳匹配部320。此时,可实现终端1侧的检查。而且,所制作的程序文件的注册从工作存储器204被转送至终端认证戳赋予部514,在此赋予了戳后,返回并写入程序存储器202。而且,图4所示的系统的终端1侧的病毒监控处理及终端管理服务器5侧的病毒监控处理通过与前述的图10、图11、图7大致相同的处理步骤来进行。但是,在图4中,图10图11的步骤S67中为是后,由终端认证戳匹配部320进行前述的戳的匹配处理。而且,如果戳匹配的结果为一致,则输出步骤S69中所示的执行许可信号。相反,如果戳匹配的结果为不一致,则转入步骤S73。另外,在图3的方式中,也与图4一样,优选采用终端认证戳匹配部320。在图5中,存储部300还具有违规动作模式列表存储部303及检查中列表存储部304。违规动作模式列表是指对程序所执行的模式中的定型的违规动作模式或者与其类似的模式列出名单。或者,也包括需要人为操作时操作速度异常迅速这样的异常状态、没有意义的信息处理等。针对所有安装有称为程序监控部3的软件的终端1,典型上,从终端管理服务器5配送该违规动作模式列表。例如,违规动作模式列表是使对CPU可实现命令的命令码文件列表化而成的。由后述的违规动作模式检测部322进行违规动作模式的检测时,通过并行执行全部列表的命令码,而同时执行与检查对象程序的匹配(检查)处理,从而可检测出有无违规动作模式及特定违规动作模式。检查中列表存储部304在违规动作模式及发生该模式的程序文件处于终端管理服务器5侧的检查(解析)中时,储存该程序及违规动作模式的列表。每次发生违规动作模式时进行追加,每次解析结束时进行削除。检查中列表存储部304按每个终端1储存个别的列表信息。控制部310还具备违规动作模式列表更新部321、违规动作模式检测部322及执行程序监控部323。终端管理服务器5的控制部510具备违规动作模式制作部515及违规动作模式检查部516。违规动作模式制作部515制作违规动作模式,发送(配送)至安装有程序监控部3的软件的所有终端1。每次确认新的违规动作模式时追加发送至全部终端1。违规动作模式列表更新部321将从违规动作模式制作部515发送的违规动作模式更新储存在违规动作模式列表存储部303中。违规动作模式检测部322针对根据来自操作部21的指令而执行的程序,监控在该程序的执行中有无发生违规动作模式。而且,违规动作模式检测部322在发生违规动作模式时,将识别该程序的信息、识别该违规动作模式的信息及该程序中的该违规动作模式的发生位置的信息相对应地追加储存在检查中列表存储部304中,同时对转送部316进行指示,将该程序及该违规动作模式转送至终端管理服务器5。违规动作模式可以考虑为例如在显示部22画面上,打开某个特定的窗口或者不规则地打开窗口的动作,或制作与对操作部21的键盘中的例如特定键或不特定的键高速地反复进行按下操作时的指示信号相同的信号的情况等。转送部316从程序存储器部202读出所指示的程序文件,与由违规动作模式检测部322检测到的违规动作模式及违规位置的信息一起转送至终端管理服务器5。违规动作模式检查部516根据从转送部316转送来的程序文件、违规动作模式及违规位置的信息,按照规定的步骤进行原因的分析、解析。例如,通过有无篡改的解析处理、病毒检查处理等来解析内容。解析的结果,关于在安全上存在问题的程序,实施使用禁止处理。具体为,从执行许可列表存储部301、正常动作可疑列表存储部302削除。而且,随着解析结束,对于检查中列表存储部304,削除该检查中的列表信息。执行程序监控部323在针对处于检查中的程序由操作部21发出执行指令时,通过跳过所检测到的违规动作模式的部分的流程等,而禁止其执行。另外,在其为通信用程序,当转入通信状态,而无法在中途停止程序的情况下,也可以通过控制OS而封闭与ISP6相连的输出端口,禁止意外的信息流出(即令流程的结果无效)。图12是表示图5所示的系统的终端1侧的违规动作模式检测处理的流程图。图13是表示图5所示的系统的终端1侧的违规动作模式列表更新处理的流程图。图14是表示图5所示的系统的终端1侧的检查中列表的更新处理的流程图。图15是表示图5所示的系统的终端1侧的执行程序监控处理的流程图。首先,在图12中,判断程序是否处于执行中(步骤S101),如果不在执行中,则离开本流程。如果处于执行中,则判断是否检测到违规动作模式(步骤S103)。如果未检测到违规动作模式,则在程序结束之前,持续检测动作(步骤S105中为否)。另一方面,当检测到违规动作模式时,执行识别该程序文件的信息、识别违规动作模式的信息及该程序的违规动作模式的发生位置的信息的转送指示及储存处理(步骤S107),并返回至步骤S103。在图13中,判断有无向违规动作模式列表的追加请求(步骤S111),如果没有请求,则离开本流程。另一方面,如果存在请求,则接收的违规动作模式的信息与用于识别该模式的信息一起被追加储存在违规动作模式列表存储部303中(步骤S113)。在图14中,判断有无检查中列表的更新请求(步骤S121),如果没有更新请求,则离开本流程。另一方面,如果有更新请求,则判断是否进行检查中列表的追加(步骤S123),如果更新要求是检查中列表的追加,则执行列表用信息的写入(步骤S125),相反,如果更新要求是检查中列表的削除,则执行所指定的列表用信息的削除(步骤S127)。在图15中,首先,判断由操作部21指示的预定执行的程序是否是包含在检查中列表中的程序(步骤S131)。当预定执行的程序是不包含在检查中列表中的程序时,离开本流程。另一方面,预定执行的程序是包含在检查中列表中的程序时,判断程序的执行开始(步骤S133),监控有无发生违规动作模式(步骤S135)。如果执行中的程序的流程是违规动作模式的发生位置(步骤S137),则跳过该流程,或者控制OS执行使流程执行的结果无效的处理(步骤S139)。另外,对于执行哪一个则预先设定为,如果是可跳过流程的程序,则如此进行,如果是无法修正流程的程序,则控制OS进行使流程执行的结果无效的处理。接下来,判断程序的执行是否已结束(步骤S141),如果未结束,则返回步骤S135继续监控,另一方面,如果已结束,则结束本流程。另外,本发明可采用以下对象。(1)在本实施方式中,在会员之间介由终端1进行与电子结算相关的处理。因而,像企业、团体等这样在LAN(局域网=LocalAreaNetwork)上连接有多个终端的方式中,也能够分别作为各个终端1进行对应。另一方面,如图1所示,本发明在很多终端连接于LAN8的企业、团体的情况下,可以用以下的方式进行应用。即,也可以在LAN8上设置相当于终端管理服务器5的程序认证部50的程序认证服务器81,从而管理LAN8上的各终端1。而且,优选LAN8上的终端1通过该程序认证服务器81担当前述的功能中的一部分,例如针对自身公司开发程序的程序认证功能。(2)优选在定期或保存有规定数量的时刻,或者所希望的时刻,从程序存储器部202削除除对应于执行许可列表的程序、赋予了认证戳的程序以外的病毒感染可能性高的程序文件。(3)另外,也可以在终端管理服务器5中,暂且将如下程序文件即判断为感染病毒等的文件,在终端1侧作为违规文件列表(黑名单)来对待,即与其它的程序进行区别,在每个启动指令中,不进行接受来自终端管理服务器5的确认的处理,而直接进行不可执行的处理。或者,对于上述程序文件,也可以与前述终端认证戳相对应地赋予(嵌入)不可执行戳。如此,可省略与终端管理服务器5的通信。(4)而且,虽然在本实施方式中,将终端认证戳赋予部514设置在终端管理服务器5侧,但是本发明不限于此,也可以以包含在程序监控部3的软件中的方式,设置在各终端1侧。据此,每次终端认证戳的赋予处理时,在对成为对象的程序赋予戳的前后不需要通过网络往返。具体为,终端管理服务器5具有终端认证戳存储部501,将各终端1的戳作为原本而储存,具备在所希望的时候或需要赋予戳的时候,根据从各终端1发送来的戳发送请求信号,发行所请求的1个或所需数量的该终端1的固有戳的戳发行部520(参照图幻。终端1侧接收所发行的戳并暂时储存在存储部200中,在终端1侧还具备相当于终端认证戳赋予部514的功能部。该终端1侧所具备的新的终端认证戳赋予部330(参照图幻针对如前所述的子程序文件、由自终端制作的程序文件,从戳的存储部200读出戳并执行赋予(嵌入)的处理。另外,从终端管理服务器5发行且保管在戳存储部中的戳例如通过附加识别信息(例如连号)等来抑制复制。(5)虽然在本实施方式中,作为匹配源信息,使用程序文件的散列值等信息,但是也可以使用散列值和头相关信息。程序文件在开头区域具有头信息,在下一个节中写入用于程序的文本数据、执行文件数据。在头信息中记录它们各自的入口点、大小数据。因而,如果在执行文件数据区域中发生什么变化(典型的是病毒感染),则入口点、大小数据的至少一个会显现出变化。于是,也可以是直接将头信息,或将由其计算出的散列值,或者将入口点及大小数据作为头相关信息来进行采用的方式。如上所述,本发明是一种安全审计系统,其特征在于,具备多个终端,连接于网络,可根据来自操作部的指示执行所授予的程序;及管理服务器,连接于前述网络,进行与可否执行前述各终端中的前述程序相关的审计,前述终端具备程序存储部,更新储存前述所授予的程序;执行许可列表制作单元,针对前述所授予的程序中的规定程序制作列表,更新储存在执行许可列表存储部中;判断单元,有来自前述操作部的前述所授予的程序的任意一个的执行指示时,判断该所授予的程序是否是与储存在前述执行许可列表存储部中的列表相对应的程序;第1匹配单元,前述判断单元的判断为肯定时,从前述程序存储部读出该所授予的程序并制作第1匹配用信息,判断与前述执行许可列表存储部的对应于前述执行指示的程序的列表信息的异同;匹配信息制作单元,前述判断单元的判断为否定时,从前述程序存储部读出前述所授予的程序并制作第2匹配用信息,发送至前述管理服务器;及可否执行单元,根据与由前述匹配信息制作单元向前述管理服务器发送前述第2匹配用信息相对应的来自前述管理服务器的回送信号、及来自前述第1匹配单元的判断前述异同的结果,指示可否执行该程序,前述管理服务器具备匹配源信息存储部,响应于向前述程序存储部写入前述所授予的程序,储存对应于该程序的前述第2匹配用信息的匹配源信息;及第2匹配单元,对从前述终端接收的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。根据该构成,即使是与包含在执行许可列表中的列表相对应的程序,也通过终端侧的自我诊断来进行篡改、病毒感染等的检查,而且,对于不包含在执行许可列表中的程序,与管理服务器之间进行安全审计,仅能执行安全的程序,因此,假使之后在文件内侵入并感染病毒,也不会使其启动。而且,优选前述第1匹配用信息包含从前述各程序文件生成的散列值。根据该构成,由于从程序文件生成的散列值为较少的规定位,且在有无篡改、病毒感染等的每个程序中是确定的信息,因此作为匹配用是贴切的。而且,优选前述第2匹配用信息及前述匹配源信息包含头相关信息,其对应于从程序文件生成的散列值及储存在该程序的文件头区域中的头信息。根据该构成,除散列值以外,可检测到执行文件区域的变化,可提高判断的可靠度。而且,优选前述终端具备第1转送单元,其在前述第2匹配单元的匹配结果为不一致时,从前述程序存储部读出前述所授予的程序并发送至前述管理服务器,前述管理服务器具备病毒检查单元,其检查从前述转送单元发送的前述所授予的程序有无感染病毒,已感染病毒时,向前述可否执行单元发回用于不允许执行该所授予的程序的信号。根据该构成,首先判断匹配信息有无一致,在不一致时进行病毒检查,因此,不再需要每次进行病毒检查。而且,优选前述终端具备正常动作可疑列表制作单元,在与前述执行许可列表不同的正常动作可疑列表存储部中更新储存将与包含在前述执行许可列表中的列表相对应的程序作为本体的宏程序的列表;及第2转送单元,在收到来自前述操作部的指示而将前述宏程序安装于前述程序存储部之前,发送至前述管理服务器,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及固有认证信息赋予单元,将该终端的固有认证信息赋予前述接收的宏程序的文件并回送至该终端,前述终端还具备安装处理单元,将赋予了前述固有认证信息的宏程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述宏程序的执行指示时,在判断为赋予给该宏程序的前述固有认证信息与作为该宏程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。根据该构成,将与包含在执行许可列表中的列表相对应的程序作为本体的宏程序对应于正常动作可疑列表,另一方面,向该宏程序的文件赋予(例如嵌入)终端所固有的固有认证信息,并安装在程序存储部中。而且,之后当针对该宏程序有执行指示时,进行赋予给该宏程序的文件的固有认证信息与管理服务器所保管的相当于原本的固有认证信息的匹配,因此,即使宏的数值数据改变,也能检查违规篡改、病毒感染。而且,优选前述终端具备程序制作单元,介由前述操作部制作程序;正常动作可疑列表制作单元,将由前述程序制作单元制作的新程序的列表更新储存在前述正常动作可疑列表存储部中;及第2转送单元,在收到来自前述操作部的指示而将前述新程序安装于前述程序存储部之前,将该新程序发送至前述管理服务器,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及固有认证信息赋予单元,将该终端的固有认证信息赋予前述接收的新程序的文件并回送至该终端,前述终端还具备安装处理单元,将赋予了前述固有认证信息的新程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述新程序的执行指示时,在判断为赋予给该新程序的前述固有认证信息与作为该新程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。根据该构成,由自终端制作的新程序对应于正常动作可疑列表,另一方面,向该新程序的文件赋予(例如嵌入)终端所固有的固有认证信息,并安装在程序存储部中。而且,之后当针对该新程序有执行指示时,进行赋予给该新程序的文件的固有认证信息与管理服务器所保管的相当于原本的固有认证信息的匹配,因此,可检查违规篡改、病毒感染。而且,优选前述匹配信息制作单元在前述固有认证信息匹配单元的匹配结果为不一致时,制作前述第2匹配用信息并发送至前述管理服务器,前述第2匹配单元对从前述终端发送的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。根据该构成,当固有认证信息的匹配结果为不一致时,进行匹配信息的匹配,因此,可实现可靠度的高精度。而且,优选前述终端具备正常动作可疑列表制作单元,在与前述执行许可列表不同的正常动作可疑列表存储部中更新储存将与包含在前述执行许可列表中的列表相对应的程序作为本体的宏程序的列表,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及发行部,根据来自终端的请求向该终端发行固有认证信息,前述终端还具备固有认证信息赋予单元,在收到来自前述操作部的指示而将前述宏程序安装于前述程序存储部之前,向该宏程序的文件赋予前述发行的前述固有认证信息;安装处理单元,将赋予了前述固有认证信息的宏程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述宏程序的执行指示时,在判断为赋予给该宏程序的前述固有认证信息与作为该宏程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。根据该构成,可预先接受固有认证信息的预先发行。而且,可在必要时将固有认证信息附加在宏程序的文件中。而且,优选前述终端具备程序制作单元,介由前述操作部制作程序;及正常动作可疑列表制作单元,将由前述程序制作单元制作的新程序的列表更新储存在前述正常动作可疑列表存储部中,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及发行部,根据来自终端的请求向该终端发行固有认证信息,前述终端还具备固有认证信息赋予单元,在收到来自前述操作部的指示而将前述新程序安装于前述程序存储部之前,向该新程序的文件赋予前述发行的前述固有认证信息;安装处理单元,将赋予了前述固有认证信息的新程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述新程序的执行指示时,在判断为赋予给该新程序的前述固有认证信息与作为该新程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。根据该构成,可预先接受固有认证信息的预先发行。而且,可在必要时将固有认证信息附加在新程序的文件中。而且,优选前述匹配信息制作单元在前述固有认证信息匹配单元的匹配结果为不一致时,制作前述第2匹配用信息并发送至前述管理服务器,前述第2匹配单元对从前述终端发送的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。根据该构成,当固有认证信息的匹配结果为不一致时,进行匹配信息的匹配,因此,可实现可靠度的高精度。而且,优选前述终端具备监控单元,监控与包含在前述执行许可列表中的列表相对应的程序的不执行状态是否已超过规定期间;及列表削除单元,从前述执行许可列表削除前述不执行状态超过前述规定期间的程序的列表。根据该构成,即使是与包含在执行许可列表中的列表相对应的程序,如果在规定期间内不执行,则在该期间内篡改、病毒感染机会也会增大,因此暂且从执行许可列表削除,对于安全可靠性降低的程序,进行降级。权利要求1.一种安全审计系统,其特征在于,具备多个终端,连接于网络,可根据来自操作部的指示执行所授予的程序;及管理服务器,连接于前述网络,进行与可否执行前述各终端中的前述程序相关的审计,前述终端具备程序存储部,更新储存前述所授予的程序;执行许可列表制作单元,针对前述所授予的程序中的规定程序制作列表,更新储存在执行许可列表存储部中;判断单元,有来自前述操作部的前述所授予的程序的任意一个的执行指示时,判断该所授予的程序是否是与储存在前述执行许可列表存储部中的列表相对应的程序;第1匹配单元,前述判断单元的判断为肯定时,从前述程序存储部读出该所授予的程序并制作第1匹配用信息,判断与前述执行许可列表存储部的对应于前述执行指示的程序的列表信息的异同;匹配信息制作单元,前述判断单元的判断为否定时,从前述程序存储部读出前述所授予的程序并制作第2匹配用信息,发送至前述管理服务器;及可否执行单元,根据与由前述匹配信息制作单元向前述管理服务器发送前述第2匹配用信息相对应的来自前述管理服务器的回送信号、及来自前述第1匹配单元的判断前述异同的结果,指示可否执行该程序,前述管理服务器具备匹配源信息存储部,响应于向前述程序存储部写入前述所授予的程序,储存对应于该程序的前述第2匹配用信息的匹配源信息;及第2匹配单元,对从前述终端接收的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。2.根据权利要求1所述的安全审计系统,其特征在于,前述第1匹配用信息包含从前述各程序文件生成的散列值。3.根据权利要求1或2所述的安全审计系统,其特征在于,前述第2匹配用信息及前述匹配源信息包含头相关信息,其对应于从程序文件生成的散列值及储存在该程序的文件头区域中的头信息。4.根据权利要求1至3中任意一项所述的安全审计系统,其特征在于,前述终端具备第1转送单元,其在前述第2匹配单元的匹配结果为不一致时,从前述程序存储部读出前述所授予的程序并发送至前述管理服务器,前述管理服务器具备病毒检查单元,其检查从前述转送单元发送的前述所授予的程序有无感染病毒,已感染病毒时,向前述可否执行单元发回用于不允许执行该所授予的程序的信号。5.根据权利要求1至3中任意一项所述的安全审计系统,其特征在于,前述终端具备正常动作可疑列表制作单元,在与前述执行许可列表不同的正常动作可疑列表存储部中更新储存将与包含在前述执行许可列表中的列表相对应的程序作为本体的宏程序的列表;及第2转送单元,在收到来自前述操作部的指示而将前述宏程序安装于前述程序存储部之前,发送至前述管理服务器,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及固有认证信息赋予单元,将该终端的固有认证信息赋予前述接收的宏程序的文件并回送至该终端,前述终端还具备安装处理单元,将赋予了前述固有认证信息的宏程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述宏程序的执行指示时,在判断为赋予给该宏程序的前述固有认证信息与作为该宏程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。6.根据权利要求1至3中任意一项所述的安全审计系统,其特征在于,前述终端具备程序制作单元,介由前述操作部制作程序;正常动作可疑列表制作单元,将由前述程序制作单元制作的新程序的列表更新储存在前述正常动作可疑列表存储部中;及第2转送单元,在收到来自前述操作部的指示而将前述新程序安装于前述程序存储部之前,将该新程序发送至前述管理服务器,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及固有认证信息赋予单元,将该终端的固有认证信息赋予前述接收的新程序的文件并回送至该终端,前述终端还具备安装处理单元,将赋予了前述固有认证信息的新程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述新程序的执行指示时,在判断为赋予给该新程序的前述固有认证信息与作为该新程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。7.根据权利要求5或6所述的安全审计系统,其特征在于,前述匹配信息制作单元在前述固有认证信息匹配单元的匹配结果为不一致时,制作前述第2匹配用信息并发送至前述管理服务器,前述第2匹配单元对从前述终端发送的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。8.根据权利要求1至3中任意一项所述的安全审计系统,其特征在于,前述终端具备正常动作可疑列表制作单元,在与前述执行许可列表不同的正常动作可疑列表存储部中更新储存将与包含在前述执行许可列表中的列表相对应的程序作为本体的宏程序的列表,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及发行部,根据来自终端的请求向该终端发行固有认证信息,前述终端还具备固有认证信息赋予单元,在收到来自前述操作部的指示而将前述宏程序安装于前述程序存储部之前,向该宏程序的文件赋予前述发行的前述固有认证信息;安装处理单元,将赋予了前述固有认证信息的宏程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述宏程序的执行指示时,在判断为赋予给该宏程序的前述固有认证信息与作为该宏程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。9.根据权利要求1至3中任意一项所述的安全审计系统,其特征在于,前述终端具备程序制作单元,介由前述操作部制作程序;及正常动作可疑列表制作单元,将由前述程序制作单元制作的新程序的列表更新储存在前述正常动作可疑列表存储部中,前述管理服务器具备固有认证信息存储部,储存每个前述终端的固有认证信息;及发行部,根据来自终端的请求向该终端发行固有认证信息,前述终端还具备固有认证信息赋予单元,在收到来自前述操作部的指示而将前述新程序安装于前述程序存储部之前,向该新程序的文件赋予前述发行的前述固有认证信息;安装处理单元,将赋予了前述固有认证信息的新程序的文件安装在前述程序存储部中;及固有认证信息匹配单元,有来自前述操作部的针对前述新程序的执行指示时,在判断为赋予给该新程序的前述固有认证信息与作为该新程序的固有认证信息而储存在前述固有认证信息存储部中的信息一致时,向前述可否执行单元输出旨在允许执行的信号。10.根据权利要求8或9所述的安全审计系统,其特征在于,前述匹配信息制作单元在前述固有认证信息匹配单元的匹配结果为不一致时,制作前述第2匹配用信息并发送至前述管理服务器,前述第2匹配单元对从前述终端发送的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端。11.根据权利要求1至10中任意一项所述的安全审计系统,其特征在于,前述终端具备监控单元,监控与包含在前述执行许可列表中的列表相对应的程序的不执行状态是否已超过规定期间;及列表削除单元,从前述执行许可列表削除前述不执行状态超过前述规定期间的程序的列表。12.—种安全审计方法,是控制连接于网络的各个终端可否执行程序的安全审计方法,其特征在于,在前述终端的程序存储部中更新储存前述所授予的程序,前述终端的执行许可列表制作单元针对前述所授予的程序中的规定程序制作列表,更新储存在执行许可列表存储部中,前述终端的判断单元在有来自前述操作部的前述所授予的程序的任意一个的执行指示时,判断该所授予的程序是否是与储存在前述执行许可列表存储部中的列表相对应的程序,前述终端的第1匹配单元在前述判断单元的判断为肯定时,从前述程序存储部读出该所授予的程序并制作第1匹配用信息,判断与前述执行许可列表存储部的对应于前述执行指示的程序的列表信息的异同,前述终端的匹配信息制作单元在前述判断单元的判断为否定时,从前述程序存储部读出前述所授予的程序并制作第2匹配用信息,发送至前述管理服务器,响应于向前述程序存储部写入前述所授予的程序,在连接于前述网络的前述管理服务器的匹配源信息存储部中储存对应于该程序的前述第2匹配用信息的匹配源信息,前述管理服务器的第2匹配单元对从前述终端接收的前述第2匹配用信息和储存在前述匹配源信息存储部中的前述匹配源信息进行匹配,将其结果作为前述回送信号回送至该终端,前述终端的可否执行单元根据与由前述匹配信息制作单元向前述管理服务器发送前述第2匹配用信息相对应的来自前述管理服务器的回送信号、及来自前述第1匹配单元的判断前述异同的结果,指示可否执行该程序。全文摘要安全审计系统具备多个终端(1)和终端管理服务器(5)。终端(1)具备程序存储器(202);其一部分程序的列表的执行许可列表存储部(301);程序特定部(311),判断执行指示程序是否是执行许可列表内的程序;及散列值匹配部(313),当程序在执行许可列表内时,在终端(1)内,利用从程序文件制作的散列值进行匹配,还具备匹配部(315、501、511),当程序在执行许可列表之外时,与管理服务器之间,利用从程序文件制作的散列值进行匹配;及可否执行部(314),根据散列值的匹配结果指示可否执行该程序。文档编号G06F21/55GK102498491SQ200980161448公开日2012年6月13日申请日期2009年9月14日优先权日2009年9月14日发明者古川义久,杉中顺子申请人:杉中顺子,森清