软件白名单管理方法及系统与流程

本发明涉及网络管理
技术领域：
，尤其涉及一种软件白名单管理方法及系统。
背景技术：
：随着信息技术的快速发展，各个行业都在大力建设信息化系统，进而使网络的规模不断扩大，网络中的设备数量也快速增加，随之而来的安全问题也愈见突出。在系统和网络的安全性面临的问题中，在终端设备中私自部署与业务运行无关的软件，不仅造成了硬件资源的浪费、影响设备运行效率，还会因为数据窃取导致重要数据泄露的问题。现有技术中，为实现目标网络中终端设备所安装软件的管理，通常在终端设备上部署客户端检测软件。利用白名单技术，客户端检测软件将可信、安全的应用程序添加到白名单中，并实时监控终端设备上安装和运行的软件，只有白名单内的应用程序才能运行，白名单以外的应用程序均不能在终端设备上运行。图1为现有技术中的软件白名单管理系统的部署架构示意图。如图1所示，该管理系统包括服务器10、通过交换机20与服务器10连接的多个终端设备30，其中，服务器10的主要功能包括制定软件白名单策略；部署在终端设备30上的客户端检测软件从服务器10同步软件白名单策略，以及获取终端设备30上的安装软件列表，并将获取的软件列表与软件白名单策略进行对比，如果发现违规安装的软件，则进行相关安全提示。另外，由于终端设备30多采用Windows桌面版操作系统，所以，客户端检测软件多是通过WMI(WindowsManagementInstrumentation，Windows管理规范)与终端设备30中的操作系统进行交互。然而，上述软件白名单管理系统需要在被管控的终端设备30上安装客户端检测软件，该客户端检测软件的运行会占用终端设备30的内部硬件资源，因此会对终端设备30的运行性能造成较大影响；另外，上述客户端检测软件运行的源代码对用户通常是隐藏的，因此，可能存在软件厂家利用该客户端检测软件窃取数据的情况，增加了数据泄露的风险。技术实现要素：为克服相关技术中存在的问题，本发明提供一种软件白名单管理方法及系统。根据本发明实施例的第一方面，提供一种软件白名单管理方法，该方法包括：获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息；根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本；根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备；获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。可选地，得到所述被检设备中各安装软件的策略核查结果之后，所述方法还包括：分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。可选地，所述软件安装策略库的建立方法包括：根据所述被检设备的设备类型，将所述设备类型对应操作系统的多个系统版本进行最大化安装；采集所述多个系统版本进行最大化安装后对应的默认安装软件；将所述默认安装软件的策略类型设置为允许安装；将所述默认安装软件和所述默认安装软件的策略类型添加到所述软件安装策略库中；和/或，获取为所述被检设备制定的软件安装策略；将制定的所述软件安装策略添加到所述软件安装策略库中；和/或，根据各所述安装软件的策略核查结果，获取各所述安装软件中的未知策略软件；根据对所述未知策略软件的策略类型判定结果，得到所述未知策略软件的策略类型；将所述未知策略软件和所述未知策略软件的策略类型添加到所述软件安装策略库中。可选地，获取为所述被检设备制定的软件安装策略，包括：分别获取为所述被检设备制定的业务系统软件安装策略和设备个性软件安装策略；将所述业务系统软件安装策略作为制定的软件安装策略；判断所述设备个性软件安装策略与所述业务系统软件安装策略是否存在冲突；如果存在冲突，则放弃所述设备个性软件安装策略；否则，将所述设备个性软件安装策略作为制定的软件安装策略。可选地，根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备，包括：获取所述软件白名单核查任务中的核查执行时间和核查周期；根据所述核查执行时间、所述核查周期以及所述被检查设备的登录信息，周期性的登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备。可选地，获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果，包括：判断是否接收到所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；如果接收到，则生成退出登录所述被检查设备的指令。可选地，将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果，包括：对所述脚本执行结果进行分析，得到所述被检设备中的安装软件列表；依次将所述安装软件列表中包含的安装软件与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。可选地，依次将所述安装软件列表中包含的安装软件与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果，包括：依次判断所述安装软件列表中包含的安装软件是否能在所述被检查设备的软件安装策略库中的业务系统子策略库查找到相同的软件；如果是，则获取所述业务系统子策略库中存储的所述安装软件的安装策略；否则，则判断所述安装软件是否能在所述被检查设备的软件安装策略库中的设备个性子策略库查找到相同的软件；如果是，则获取所述设备个性子策略库中存储的所述安装软件的安装策略；否则，则将所述安装软件判定为未知策略软件。根据本发明实施例的第二方面，还提供了一种软件白名单管理系统，该系统包括：设备信息获取模块：用于获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息；执行脚本分配模块：用于根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本；执行脚本发送模块：用于根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备；执行结果获取模块：用于获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；核查结果获取模块：用于将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。可选地，所述系统还包括：核查结果展现模块：用于分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。由以上技术方案可见，本发明实施例提供的一种软件白名单管理方法及系统，该方法根据软件白名单核查任务中的被检查设备的设备类型，为被检设备分配软件白名单核查执行脚本，然后，根据被检查设备的登录信息，登录被检查设备并将上述软件白名单核查执行脚本发送给被检查设备，最后，将被检查设备返回的脚本执行结果中的安装软件信息与预先建立好的软件安装策略库进行对比分析，得到被检设备中各安装软件的策略核查结果。本发明实施例提供的管理方法及系统，是面向服务器端设备进行软件白名单管理，服务器端设备多为承载重要业务的核心设备，因此，不仅保证了网络内数据的安全性，还填补了在服务器端进行操作系统软件白名单管理的空白；其次，本发明实施例采用登录设备、执行脚本、离线解析采集结果的方式进行检查，仅在需要检查时连接设备即可，不需要在被管设备上安装任何客户端软件或者启动任何服务，并且脚本为开源性文件，所有可保证数据的安全性，另外通过对数据采集脚本进行轻量化处理，执行过程中不会占用大量硬件资源，整个采集过程对被检查设备的影响很小。最后，本发明实施例采用根据被检设备的类型自动匹配相应的数据采集脚本，弥补了传统软件白名单仅支持Windows操作系统的缺点，增加了对Unix类和Linux类操作系统的支持，极大的丰富了软件白名单产品支持的设备类型。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为现有技术中的软件白名单管理系统的部署架构示意图；图2为本发明实施例提供的软件白名单管理系统的部署架构示意图；图3为本发明实施例提供的一种软件白名单管理方法的流程示意图；图4为本发明实施例提供的对被检设备中各安装软件进行安装策略分析的流程示意图；图5为本发明实施例提供的软件安装策略库的建立方法的流程示意图；图6为本发明实施例提供的一种软件白名单管理系统的基本结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。针对现有技术中的客户端检测软件需要安装在被检测设备上所引发的问题，本发明实施例提供的软件白名单管理方法，将对终端中安装软件的核查功能迁移到网络中的服务器端。图2为本发明实施例提供的软件白名单管理系统的部署架构示意图，如图2所示，首先，Sever服务器10利用预先存储的终端设备30的设备登录信息(如用户名、密码、访问端口等)登录终端设备30，进一步的，由于大多数企业网内的终端设备都按照业务系统进行了网络隔离，所以可能存在Server服务器10不能直接访问终端设备的问题，针对此问题，本发明实施例在每个业务系统中还部署有一台Probe(采集)服务器40，即Server服务器10通过交换机20与各Probe服务器40，各Probe服务器40与其所属业务系统内的终端设备30连接；然后，控制终端设备30执行Sever服务器10发送的软件白名单核查执行脚本，以采集控制终端设备30的安装软件信息；最后，Server服务器10通过对比采集到的安装软件信息与预先指定好的安装策略，得到终端设备30上是否存在违规安装运行的软件，进而解决了需要在终端设备上安装客户端软件的问题。需要说明的是，在具体实施时，Server服务器10还可以通过交换机20直接与终端设备30连接。下面将对本发明实施例提供的管理方法进行详细介绍。图3为本发明实施例提供的一种软件白名单管理方法的流程示意图，应用于图2的管理系统中的Server服务器。如图3所示，该方法具体包括如下步骤：S110：获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息。具体的，用户在Server服务器端选择软件白名单管理系统内待检查的设备、以及设定核查任务的开始时间、结束时间以及执行周期等信息后，便完成了软件白名单核查任务的建立过程。Server服务器首先获取用户建立好的软件白名单核查任务中的被检查设备，然后，根据被检查设备的预设标识(如ID身份标识)，在预先建立好的设备登录信息库中，查找所述被检查设备的登录信息。S120：根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本。具体的，本发明实施例中软件白名单核查执行脚本按照设备类型(如Windows设备、Redhat设备等)分别编写，Server服务器根据核查任务中所选择的被检查设备的设备类型，自动匹配相应的软件白名单核查执行脚本。S130：根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备。具体的，Server服务器将被检查设备的登录信息发送给相应的Probe服务器，Probe服务器采用分布式的方式并发建立到被检查设备的网络连接，其中，与被检查设备的网络连接可以支持多种连接协议(如Telnet远程终端协议、SSH安全壳协议和RDP远程桌面协议等)，完成被检查设备的登录；然后，Probe服务器将来自Server服务器的软件白名单核查执行脚本发送给被检查设备。另外，为了保证检查的时效性，本发明实施例还提供了采用周期性任务的方式登录被检查设备，具体包括如下步骤：S131：获取所述软件白名单核查任务中的核查执行时间和核查周期。其中，检查周期可根据被检设备所属的业务系统和设备类型的重要程度等实际需求进行灵活设定。S132：根据所述核查执行时间、所述核查周期以及所述被检查设备的登录信息，周期性的登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备。通过上述采用周期性任务登录被检查设备并采集设备信息的形式可以保证检查频次，在不安装客户端软件的前提下，保证了检查结果的时效性。S140：获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果。本发明实施例采用离线方式对脚本执行结果进行分析，即仅在需要采集被检测设备信息时连接被检查设备。具体的，包括如下步骤：S141：判断是否接收到所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果。其中，被检查设备执行软件白名单核查执行脚本中的内容，并将脚本执行结果发送给Probe服务器，然后再由Probe服务器发送给Server服务器并保存到数据库。S142：如果接收到，则生成退出登录所述被检查设备的指令。当Server服务器接收到脚本执行结果后，便会生成退出登录所述被检查设备的指令，并将该指令发送给Probe服务器，以使Probe服务器断开与被检查设备的网络连接。通过上述信息采集方式，不需要在被检查设备中上安装任何客户端软件或者启动任何服务，进而可有效减少对被检查设备的资源占用。进一步的，上述脚本执行结果包括被检查设备中安装的软件信息，还可以包括被检查设备开启的端口、启动的进程、运行的服务等信息。S150：将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。具体的，首先，对所述脚本执行结果进行分析，得到被检设备中的安装软件列表；然后，依次将所述安装软件列表中包含的安装软件与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。下面将以单台CentOS被检查设备为例，对本发明实施例中的软件白名单核查执行脚本和脚本执行结果进行举例说明，如表一所示，为部分软件白名单核查执行脚本以及对应的脚本执行结果。表一：通过对表一的分析，可以得出该CentOS设备上安装的软件列表，如下表二所示：表二：序号软件名称1telnet2gnome-desktop3openssh本发明实施例将软件安装策略库分为两种：业务系统子策略库和设备个性子策略库，其中，业务系统子策略库以业务系统为单位进行设定，该业务系统内的所有设备均需要满足该策略；设备个性子策略库以单台设备为单位进行设定，只需要该设备满足策略即可。因此，依次将所述安装软件列表中包含的安装软件与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果的过程，本发明实施例提供了如下步骤，如图4所示为本发明实施例提供的对被检设备中各安装软件进行安装策略分析的流程示意图。S151：依次判断所述安装软件列表中包含的安装软件是否能在所述被检查设备的软件安装策略库中的业务系统子策略库查找到相同的软件。由于业务系统策略具有较高的优先级，所以，对比过程中优先与业务系统子策略库进行比对，判断是否与业务系统子策略库中保存的软件相匹配。如果判断结果为“是”，则跳转到步骤S152，进行策略类型判断；如果判断结果为“否”，则跳转到步骤S153，判断是否匹配设备个性策略。S152：如果是，则获取所述业务系统子策略库中存储的所述安装软件的安装策略。其中，安装策略种类分为两类：禁止安装策略和允许安装策略，如果匹配到的策略种类为“禁止安装”，则得到判断结果为“违规”软件，相反，匹配到的策略种类为“允许安装”，则得到判断结果为“正常”软件。S153：否则，则判断所述安装软件是否能在所述被检查设备的软件安装策略库中的设备个性子策略库查找到相同的软件。如果业务系统策略如果没有匹配成功，则进行本步骤中的匹配设备个性策略，判断是否与设备个性策略匹配。如果判断结果为“是”，则跳转到步骤S154，进行策略类型判断；如果判断结果为“否”，则得到S155中判断结果。S154：如果是，则获取所述设备个性子策略库中存储的所述安装软件的安装策略。同样的，设备个性子策略库中的安装策略种类也分为两类：禁止安装策略和允许安装策略，如果匹配到的策略种类为“禁止安装”，则得到判断结果为“违规”软件，相反，匹配到的策略种类为“允许安装”，则得到判断结果为“正常”软件。S155：否则，则将所述安装软件判定为未知策略软件。在业务系统子策略库和设备个性子策略库中均未匹配到的软件即为未知策略软件。通过汇总安装软件列表中每一个安装软件的核查结果，便可以得到被检设备中的安装软件的核查结果。结合表二中得到的安装软件列表，下面将对比对分析过程进行举例说明，假设该CentOS设备上的软件安装策略为下表三：表三：将表二的软件安装列表中的安装软件逐条与该策略列表进行比对，发现其中违规安装的软件，对比过程具体如下：1)获取软件安装列表中第一条数据telnet，在软件安装策略库中查找逐条查找，发现第1条策略为业务系统-A中所有的CentOS设备均禁止安装telnet，得出结果为该设备违规安装telnet软件；2)获取软件安装列表中第二条数据gnome-desktop，在软件安装策略库中查找逐条查找，发现第2条策略为业务系统-A中所有的CentOS设备均禁止安装gnome-desktop，得出结果为该设备违规安装gnome-desktop软件；3)获取软件安装列表中第三条数据openssh，在软件安装策略库中查找逐条查找，发现第3条策略为业务系统-A中所有的CentOS设备均允许安装openssh，得出结果为该设备安装openssh软件为正常。通过上述比分析，便可以得到该CentOS设备上的安装软件的核查结果如下表四所示：表四：序号软件名称核查结果1telnet违规安装2gnome-desktop违规安装3openssh正常安装进一步的，在步骤S150得到被检设备中各安装软件的策略核查结果之后，为实现被检查设备上安装软件的多维度展示，便于后续网络管理人员可以有针对性的进行网络整改，本发明实施例还提供了如下步骤：S160：分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。具体的，从设备维度展示该被检查设备上所安装软件的数量及详细列表、正常安装的软件数量及详细列表、违规安装软件数量及详细列表以及、未知软件数量及详细列表；以及，从软件维度展示某软件在该被检查设备所处网络内的所有设备上的的安装次数、被判断未正常安装的设备数量及详细列表、被判断为违规安装的设备数量及详细列表、以及判断为未知的设备数量及详细列表。在本发明实施例中，软件安装策略库中的内容有三个主要来源：首先，是在产品初始阶段，通过最大化安装各类型纯净的操作系统，采集其中的默认软件，将其内置到产品中，作为允许安装的软件策略；其次，是系统用户和管理员根据实际情况制定软件安装策略，如数据库服务器中需要建立允许Oracle、DB2、PostreSQL等软件运行的策略，网络服务器中需要建立允许Websphere、Weblogic、Tomcat等软件运行的策略；以上两种方式都是系统或系统用户主动添加的软件白名单策略，最后是根据步骤S150的核查结果，发现允许和禁止安装的软件策略以外的未知软件，并对未知软件进行确认，确认的过程即为建立策略的过程。下面将以本发明实施例中的被检测设备为例，对软件安装策略库的建立过程进行详细介绍。图5为本发明实施例提供的软件安装策略库的建立方法的流程示意图，如图5所示，具体包括如下步骤：S211：根据所述被检设备的设备类型，将所述设备类型对应操作系统的多个系统版本进行最大化安装。以CentOS6.6为例说明该过程，将CentOS6.6操作系统的多个版本在裸机上进行最大化安装，当安装过程进行到选择安装应用步骤时，将应用、基本系统、数据库、桌面、开发工具、高可用性、语言、负载均衡、弹性存储、服务器、系统管理、虚拟化以及web服务等节点下的所有组件，共计4000余个安装包，进行最大化安装。对于建立软件白名单核查系统内其它设备类型和操作系统的软件安装策略库也均采用以上方式进行安装，本实施例在此不再赘述。S212：采集所述多个系统版本进行最大化安装后对应的默认安装软件。在步骤S211完成系统安装后，启动操作系统，采集默认安装的软件列表。S213：将所述默认安装软件的策略类型设置为允许安装。进一步的，还可以在软件白名单核查系统中选择所有CentOS6.6设备，为设备批量添加策略，允许安装所有默认安装的软件。同样的，其它设备类型和操作系统的也可采用相同方式采集。S214：将所述默认安装软件和所述默认安装软件的策略类型添加到所述软件安装策略库中。利用上述操作步骤，便可以完成策略库中通过最大化安装各类型纯净的操作系统方式的策略添加，下面将对用户根据需要制定软件安装策略的过程进行介绍，其中，由用户在软件白名单核查系统添加软件安装策略，可以采用按照业务系统添加策略和按照具体设备添加策略两种方式，具体如下：S221：获取为所述被检设备制定的业务系统软件安装策略。获取用户添加业务系统软件安装策略，具体包括添加的软件以及该软件的安装策略，并为该业务系统下所有的终端设备批量添加该策略。S222：将所述业务系统软件安装策略作为制定的软件安装策略。S223：将制定的所述软件安装策略添加到所述软件安装策略库中。S224：获取为所述被检设备制定的设备个性软件安装策略。S225：判断所述设备个性软件安装策略与所述业务系统软件安装策略是否存在冲突。由于业务系统策略具有高优先级，添加具体设备安装策略时，需要先与业务系统策略进行比对，如果不存在冲突，则执行步骤S226，否则，则放弃该设备个性软件安装策略。S226：将所述设备个性软件安装策略作为制定的软件安装策略。并且，继续执行步骤S223，将制定的所述软件安装策略添加到所述软件安装策略库中。利用上述操作步骤，便可以完成策略库中通过用户制定软件安装策略的策略添加，下面将对根据软件核查结果指定安装策略的过程进行介绍。S231：根据各所述安装软件的策略核查结果，获取各所述安装软件中的未知策略软件。S232：根据对所述未知策略软件的策略类型判定结果，得到所述未知策略软件的策略类型。在步骤S150的软件白名单的核查结果中包含了未经过策略定义的未知软件，这部分软件经过管理员的确认过程，便可生成允许安装或者禁止安装的策略。S233：将所述未知策略软件和所述未知策略软件的策略类型添加到所述软件安装策略库中。本发明实施例提供的软件白名单管理方法，首先，面向服务器端设备进行软件白名单管理，服务器端设备多为承载重要业务的核心设备，其用途固定且专一，通常不会部署与所承载业务无关的软件，不仅保证了网络内数据的安全性，还填补了在服务器端进行操作系统软件白名单管理的空白；其次，本发明实施例采用向被检查终端设备发送采集脚本的方式，根据被检设备的类型，自动匹配相应的数据采集脚本，弥补了传统软件白名单仅支持Windows操作系统的缺点，增加了对Unix类和Linux类操作系统的支持，极大的丰富了软件白名单产品支持的设备类型；最后，本发明实施例采用登录设备、执行采集脚本、离线解析采集结果的方式进行检查，仅在需要检查时连接设备即可，不需要在被管设备上安装任何客户端软件或者启动任何服务，并且通过对数据采集脚本进行轻量化处理，执行过程中不会占用大量硬件资源，整个采集过程对被检查设备的影响很小。因此，利用本实施例提供的软件白名单管理方法，可以精细化的管理系统内终端设备上部署的软件，准确掌握终端设备上运行的软件信息，定位违规安装的与业务运行无关的软件，保证服务器运行在最高效的状态下，其大规模的推广使用可以迅速提高信息系统的安全性，为保障信息系统的安全打下坚实基础。对应于上述软件白名单管理方法，本发明实施例还提供了一种软件白名单管理系统。图6为本发明实施例提供的一种软件白名单管理系统的基本结构示意图，如图6所示该系统主要包括：设备信息获取模块610：用于获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息。执行脚本分配模块620：用于根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本。执行脚本发送模块630：用于根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备。执行结果获取模块640：用于获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果。核查结果获取模块650：用于将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。进一步的，所述系统还包括：核查结果展现模块660：用于分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。进一步的，所述系统还包括软件安装策略建立模块670，用于建立软件安装策略库，其中，该模块具体包括：系统安装子模块671：用于根据所述被检设备的设备类型，将所述设备类型对应操作系统的多个系统版本进行最大化安装。安装软件采集子模块672：用于采集所述多个系统版本进行最大化安装后对应的默认安装软件。安装策略设置子模块673：用于将所述默认安装软件的策略类型设置为允许安装。第一策略添加子模块674：用于将所述默认安装软件和所述默认安装软件的策略类型添加到所述软件安装策略库中。和/或，指定策略获取子模块674：用于获取为所述被检设备制定的软件安装策略。具体包括，分别获取为所述被检设备制定的业务系统软件安装策略和设备个性软件安装策略；将所述业务系统软件安装策略作为制定的软件安装策略；判断所述设备个性软件安装策略与所述业务系统软件安装策略是否存在冲突，如果存在冲突，则放弃所述设备个性软件安装策略，否则，将所述设备个性软件安装策略作为制定的软件安装策略。第二策略添加子模块676：用于将制定的所述软件安装策略添加到所述软件安装策略库中。和/或，未知软件获取子模块677：用于根据各所述安装软件的策略核查结果，获取各所述安装软件中的未知策略软件。策略类型获取子模块678：用于根据对所述未知策略软件的策略类型判定结果，得到所述未知策略软件的策略类型。第三策略添加子模块679：用于将所述未知策略软件和所述未知策略软件的策略类型添加到所述软件安装策略库中。本发明实施例提供的软件白名单管理系统，首先，面向服务器端设备进行软件白名单管理，服务器端设备多为承载重要业务的核心设备，其用途固定且专一，通常不会部署与所承载业务无关的软件，不仅保证了网络内数据的安全性，还填补了在服务器端进行操作系统软件白名单管理的空白；其次，本发明实施例采用向被检查终端设备发送采集脚本的方式，根据被检设备的类型，自动匹配相应的数据采集脚本，弥补了传统软件白名单仅支持Windows操作系统的缺点，增加了对Unix类和Linux类操作系统的支持，极大的丰富了软件白名单产品支持的设备类型；最后，本发明实施例采用登录设备、执行采集脚本、离线解析采集结果的方式进行检查，仅在需要检查时连接设备即可，不需要在被管设备上安装任何客户端软件或者启动任何服务，并且通过对数据采集脚本进行轻量化处理，执行过程中不会占用大量硬件资源，整个采集过程对被检查设备的影响很小。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上仅是本发明的具体实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页1 2 3