软件白名单管理方法及系统技术方案

本发明专利技术是关于一种软件白名单管理方法及系统，该方法根据软件白名单核查任务中被检查设备的设备类型，为被检设备分配软件白名单核查执行脚本，然后，根据被检查设备的登录信息，登录被检查设备并将上述软件白名单核查执行脚本发送给被检查设备，最后，将被检查设备返回的脚本执行结果中的安装软件与软件安装策略库进行对比，得到被检设备中各安装软件的核查结果。本实施例提供的方法，是面向服务器端设备，不仅保证了网络内数据的安全性，还填补了在服务器端进行终端软件管理的空白；其次，本实施例采用登录设备、执行脚本、离线解析集结果的方式进行检查，无需在被管设备上安装客户端软件或启动服务，不仅减少设备资源占用，还保证了数据安全。

【技术实现步骤摘要】
软件白名单管理方法及系统
本专利技术涉及网络管理
，尤其涉及一种软件白名单管理方法及系统。
技术介绍
随着信息技术的快速发展，各个行业都在大力建设信息化系统，进而使网络的规模不断扩大，网络中的设备数量也快速增加，随之而来的安全问题也愈见突出。在系统和网络的安全性面临的问题中，在终端设备中私自部署与业务运行无关的软件，不仅造成了硬件资源的浪费、影响设备运行效率，还会因为数据窃取导致重要数据泄露的问题。现有技术中，为实现目标网络中终端设备所安装软件的管理，通常在终端设备上部署客户端检测软件。利用白名单技术，客户端检测软件将可信、安全的应用程序添加到白名单中，并实时监控终端设备上安装和运行的软件，只有白名单内的应用程序才能运行，白名单以外的应用程序均不能在终端设备上运行。图1为现有技术中的软件白名单管理系统的部署架构示意图。如图1所示，该管理系统包括服务器10、通过交换机20与服务器10连接的多个终端设备30，其中，服务器10的主要功能包括制定软件白名单策略；部署在终端设备30上的客户端检测软件从服务器10同步软件白名单策略，以及获取终端设备30上的安装软件列表，并将获取的软件列表与软件白名单策略进行对比，如果发现违规安装的软件，则进行相关安全提示。另外，由于终端设备30多采用Windows桌面版操作系统，所以，客户端检测软件多是通过WMI(WindowsManagementInstrumentation，Windows管理规范)与终端设备30中的操作系统进行交互。然而，上述软件白名单管理系统需要在被管控的终端设备30上安装客户端检测软件，该客户端检测软件的运行会占用终端设备30的内部硬件资源，因此会对终端设备30的运行性能造成较大影响；另外，上述客户端检测软件运行的源代码对用户通常是隐藏的，因此，可能存在软件厂家利用该客户端检测软件窃取数据的情况，增加了数据泄露的风险。
技术实现思路
为克服相关技术中存在的问题，本专利技术提供一种软件白名单管理方法及系统。根据本专利技术实施例的第一方面，提供一种软件白名单管理方法，该方法包括：获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息；根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本；根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备；获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。可选地，得到所述被检设备中各安装软件的策略核查结果之后，所述方法还包括：分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。可选地，所述软件安装策略库的建立方法包括：根据所述被检设备的设备类型，将所述设备类型对应操作系统的多个系统版本进行最大化安装；采集所述多个系统版本进行最大化安装后对应的默认安装软件；将所述默认安装软件的策略类型设置为允许安装；将所述默认安装软件和所述默认安装软件的策略类型添加到所述软件安装策略库中；和/或，获取为所述被检设备制定的软件安装策略；将制定的所述软件安装策略添加到所述软件安装策略库中；和/或，根据各所述安装软件的策略核查结果，获取各所述安装软件中的未知策略软件；根据对所述未知策略软件的策略类型判定结果，得到所述未知策略软件的策略类型；将所述未知策略软件和所述未知策略软件的策略类型添加到所述软件安装策略库中。可选地，获取为所述被检设备制定的软件安装策略，包括：分别获取为所述被检设备制定的业务系统软件安装策略和设备个性软件安装策略；将所述业务系统软件安装策略作为制定的软件安装策略；判断所述设备个性软件安装策略与所述业务系统软件安装策略是否存在冲突；如果存在冲突，则放弃所述设备个性软件安装策略；否则，将所述设备个性软件安装策略作为制定的软件安装策略。可选地，根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备，包括：获取所述软件白名单核查任务中的核查执行时间和核查周期；根据所述核查执行时间、所述核查周期以及所述被检查设备的登录信息，周期性的登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备。可选地，获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果，包括：判断是否接收到所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；如果接收到，则生成退出登录所述被检查设备的指令。可选地，将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果，包括：对所述脚本执行结果进行分析，得到所述被检设备中的安装软件列表；依次将所述安装软件列表中包含的安装软件与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。可选地，依次将所述安装软件列表中包含的安装软件与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果，包括：依次判断所述安装软件列表中包含的安装软件是否能在所述被检查设备的软件安装策略库中的业务系统子策略库查找到相同的软件；如果是，则获取所述业务系统子策略库中存储的所述安装软件的安装策略；否则，则判断所述安装软件是否能在所述被检查设备的软件安装策略库中的设备个性子策略库查找到相同的软件；如果是，则获取所述设备个性子策略库中存储的所述安装软件的安装策略；否则，则将所述安装软件判定为未知策略软件。根据本专利技术实施例的第二方面，还提供了一种软件白名单管理系统，该系统包括：设备信息获取模块：用于获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息；执行脚本分配模块：用于根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本；执行脚本发送模块：用于根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备；执行结果获取模块：用于获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；核查结果获取模块：用于将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。可选地，所述系统还包括：核查结果展现模块：用于分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。由以上技术方案可见，本专利技术实施例提供的一种软件白名单管理方法及系统，该方法根据软件白名单核查任务中的被检查设备的设备类型，为被检设备分配软件白名单核查执行脚本，然后，根据被检查设备的登录信息，登录被检查设备并将上述软件白名单核查执行脚本发送给被检查设备，最后，将被检查设备返回的脚本执行结果中的安装软件信息与预先建立好的软件安装策略库进行对比分析，得到被检设备中各安装软件的策略核查结果。本专利技术实施例提供的管理方法及系统，是面向服务器端设备进行软件白名单管理，服务器端设备多为承载重要业务的核心设备，因此，不仅保证了网络内数据的安全性，还填补了在服务器端进行操作系统软件白名单管理的空白；其次，本本文档来自技高网...

【技术保护点】
一种软件白名单管理方法，其特征在于，包括：获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息；根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本；根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备；获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。

【技术特征摘要】
1.一种软件白名单管理方法，其特征在于，包括：获取软件白名单核查任务中的被检查设备以及所述被检查设备的登录信息；根据所述被检设备的设备类型，为所述被检设备分配相应的软件白名单核查执行脚本；根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备；获取所述被检查设备根据所述软件白名单核查执行脚本返回的脚本执行结果；将所述脚本执行结果中的安装软件信息与所述被检查设备的软件安装策略库进行对比分析，得到所述被检设备中各安装软件的策略核查结果。2.根据权利要求1所述的方法，其特征在于，得到所述被检设备中各安装软件的策略核查结果之后，所述方法还包括：分别从设备维度和软件维度，对各所述安装软件的策略核查结果进行统计分析。3.根据权利要求1所述的方法，其特征在于，所述软件安装策略库的建立方法包括：根据所述被检设备的设备类型，将所述设备类型对应操作系统的多个系统版本进行最大化安装；采集所述多个系统版本进行最大化安装后对应的默认安装软件；将所述默认安装软件的策略类型设置为允许安装；将所述默认安装软件和所述默认安装软件的策略类型添加到所述软件安装策略库中；和/或，获取为所述被检设备制定的软件安装策略；将制定的所述软件安装策略添加到所述软件安装策略库中；和/或，根据各所述安装软件的策略核查结果，获取各所述安装软件中的未知策略软件；根据对所述未知策略软件的策略类型判定结果，得到所述未知策略软件的策略类型；将所述未知策略软件和所述未知策略软件的策略类型添加到所述软件安装策略库中。4.根据权利要求3所述的方法，其特征在于，获取为所述被检设备制定的软件安装策略，包括：分别获取为所述被检设备制定的业务系统软件安装策略和设备个性软件安装策略；将所述业务系统软件安装策略作为制定的软件安装策略；判断所述设备个性软件安装策略与所述业务系统软件安装策略是否存在冲突；如果存在冲突，则放弃所述设备个性软件安装策略；否则，将所述设备个性软件安装策略作为制定的软件安装策略。5.根据权利要求1所述的方法，其特征在于，根据所述被检查设备的登录信息，登录所述被检查设备以及将所述软件白名单核查执行脚本发送给所述被检查设备，包括：获取所述软件白名单核查任务中的核查执行时间和核查周期；根据所述核查执行时间、所述核查周期以及所述被检查设备的登录信息，周期性的登录所述...

【专利技术属性】
技术研发人员：刘乐，王柯蘅，訾荣，蒋艳娥，霍会潮，肖勇军，杨丑雄，苏砫，
申请(专利权)人：北京神州泰岳信息安全技术有限公司，
类型：发明
国别省市：北京,11