信息安全防护方法、装置及服务器装置制造方法及图纸

本发明专利技术公开了一种信息安全防护方法、装置及服务器装置。该信息安全防护方法包括：判断对象软件是否在所保存的名单中；如果所述对象软件在所述名单中，则将第一权限分配给所述对象软件；如果所述对象软件不在所述名单中，则将低于第一权限的第二权限分配给所述对象软件。通过本发明专利技术，可以有效防止新出现的恶意软件对系统造成危害。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，尤其涉及一种信息安全防护方 法、装置及服务器装置。
技术介绍
随着信息技术的迅猛发展，信息安全问题越来越引起人们 的重视。信息安全防护的一种常用手段是在计算机终端上安装 各种防火墙、杀病毒和杀流氓软件的软件。它们都是针对已知 病毒的特征库通过黑名单过滤的方式，使在黑名单中的病毒软 件(或流氓软件)无法安装或运行。但是，每天各种病毒不断地涌现，据统计，2007年被某安全公司查杀到的新恶意软件有 近30万种，这样随时随地有近百种恶意软件等待被安全公司发 现和生成解决方案。对于新出现的病毒，由于其不在黑名单中， 或者由于用户无法将杀毒软件(或杀流氓软件的软件)及时升 级到黑名单包括该病毒的版本，从而无法避免受到该病毒的攻 击。
技术实现思路
本专利技术的目的是提供一种不依赖于黑名单的信息安全防护 方法及装置，使得即使出现新的病毒也能起到信息安全防护作用。根据本专利技术的第一方面，提供一种信息安全防护方法，包 括判断对象软件是否在所保存的软件名单中；如果所述对象 软件在所述软件名单中，则将第一权限分配给所述对象软件； 如果所述对象软件不在所述软件名单中，则将低于第一权限的第二权限分配给所述对象软件。这样，本专利技术通过有别于现有技术的黑名单的所述软件 名单，对于在所述软件名单中的软件分配较高的第 一权限，而对于不在所述软件名单中的软件则分配较低的第二权限，从而 使不在所述软件名单中的软件不会对系统造成危害。由于新出 现的木马、病毒软件或流氓软件(统称为恶意软件)不可能在 所保存的所述软件名单中，从而该新出现的恶意软件不可能被 分配较高的权限，因此不会对系统造成危害，有效地保护了系 统的信息安全。在一优选实施例中，所述软件名单中存储的是安装和运行 时需要系统关键资源且被确定为无危害的软件的列表。在这种情况下，由于对软件名单的范围进行了适当的縮小， 可以提高判断的效率。在又一实施例中，所述软件名单包括第一名单，所述第一 名单中存储的是与可信任的数字签名有关的信息。在另一实施例中，所述软件名单还包括第二名单，所述第 二名单中存储的是安装或运行时需要系统关键资源、不具有可 信任的数字签名并且对系统没有危害的软件的列表。在这种情况下，由于进一步缩小了软件名单的范围，因此 可以进一 步^是高判断的效率。根据本专利技术的另 一方面，本专利技术还提供一种信息安全防护装置，包括存储单元，用于存储预定的软件名单；判断单元， 用于判断对象软件是否在所述存储单元所存储的软件名单中； 权限分配单元，用于当所述判断单元判断为所述对象软件在所 述软件名单中时，将第一权限分配给所述对象软件，以及当所 述判断单元判断为所述对象软件不在所述软件名单中时，将低 于第一权限的第二权限分配给所述对象软件。在上述信息安全防护装置中，通过判断对象软件是否在有 别于现有技术的黑名单的所述软件名单中，对于在所述软件 名单中的软件分配较高的第 一权限，而对于不在所述软件名单 中的软件则分配较低的第二权限，从而使不在所述软件名单中 的软件不会对系统造成危害。由于新出现的恶意软件不可能在 所保存的所述软件名单中，从而该新出现的恶意软件不可能被 分配较高的权限，因此不会对系统造成危害，有效地保护了系 统的信息安全。相应地，本专利技术还提供一种信息安全防护的服务器装置，包括判断单元，用于判断一软件是否会对系统造成危害；添加单元，用于当所述判断单元判断为所述软件不会对系统造成危害时，将所述软件添加到一软件名单中；存储单元，用于存储所述软件名单。相应地，本专利技术还提供一种信息安全防护方法，包括判 断步骤，用于判断一软件是否会对系统造成危害；添加步骤， 用于当在所述判断步骤中判断为所述软件不会对系统造成危害 时，将所述软件添加到所存储的软件名单中。通过下面参考附图所说明的实施例，本专利技术的其它优点和 特征将显而易见。附图说明图l是示出本专利技术的信息安全防护方法的概要处理的流程图；图2示出本专利技术中的软件名单的部分内容的例子；图3示出本专利技术中的软件名单中的第 一名单的部分内容的例子；图4示出当软件名单包括第 一 名单和第二名单两部分时判断对象软件是否在软件名单中的处理流程；图5是示出当软件名单包括第一名单和第二名单时，在服务器端设备上建立所述软件名单的过程的流程圓；图6示出本专利技术的信息安全防护装置的概要配置的框图； 图7示出当软件名单包括第 一名单和第二名单时，根据本专利技术的信息安全防护装置的配置；图8示出本专利技术的信息安全防护的服务器装置的概要配置； 图9示出当软件名单包括第一名单和第二名单时，根据本专利技术的信息安全防护的服务器装置的配置。具体实施方式本专利技术通过有别于现有技术的黑名单的软件名单，对于 在软件名单中的软件分配较高的第 一 权限，而对于不在软件名 单中的软件则分配较低的第二权限，从而使不在软件名单中的 软件不会对系统造成危害。由于新出现的病毒软件或流氓软件 不可能在所保存的软件名单中，从而该新出现的病毒软件或流 珉软件不可能被分配较高的权限，因此不会对系统造成危害，有效地保护了系统的信息安全。下面将参考附图说明本专利技术的示例性实施例。图l是示出本专利技术的信息安全防护方法的概要处理的流程图。本专利技术的信息安全防护方法是在用户端设备例如个人计算 上实现的，该用户端设备包括其赖以运行的诸如操作系统等的 软件系统(在下文中简称为系统)。如图l所示，对于要在应用 了本信息安全防护方法的用户端设备上安装或运行的软件，首 先，在步骤S101中判断该软件(对象软件)是否在所保存的软 件名单中。这里的软件名单是被确定为对用户端设备的系统不10会造成危害的软件的列表。可以将该软件名单预先存储在该用 户端设备的存储单元中，作为该判断处理的基准，也可以将其 预先存储在用户端设备之外的设备中，如服务器设备中，在执 行该判断步骤时通过网络或其它通信方式从所述设备中读取该 软件名单，并进行判断。病毒、木马、流氓软件(统称为恶意软件)及其它对系统 构成安全威胁和安全隐患的软件为了达到其隐蔽地传播、窃取 及破坏的目的，不可避免地利用系统的一些关键资源，如管理 员的访问权限等。因此，作为一优选实施例，可以将所述软件 名单限定为安装或运行时需要系统关键资源并且对系统没有危 害的软件的列表。在这样的情况下，对于不需要系统关键资源的软件，不管 它是否是恶意软件，由于它不在所述软件名单中，因此均对其 分配较低的权限。对于不需要系统关键资源的非恶意软件，由 于它不需要系统关键资源，该较低的权限不影响其正常安装或运行；而如果它是不需要系统关键资源的恶意软件，由于对其 分配了较低的权限，它的安装或运行也不会对系统造成危害。 对于需要系统关键资源的软件，由于所述软件名单中的软件是 虽然需要系统关键资源但已被确定为无危害的软件，因此，如 果对象软件在该软件名单中，则可以放'、地给予较高的权限使 其可以利用系统关键资源。对于需要系统关键资源但不确定是 否是恶意软件的软件，由于它们不在软件名单中，因此只分配 给它们较低的权限，使它们无法利用系统关键资源，从而不会 对系统造成危害。另外，由于在已知软件中需要关键资源的软件只占一小部 分，因此，大大减少了软件名单中的数量，提高了判断的效率。 同时，也方便了所述软件名单的建立和维护。本文档来自技高网...

【技术保护点】
一种信息安全防护方法，其特征在于，包括：　判断对象软件是否在所保存的软件名单中；　如果所述对象软件在所述软件名单中，则将第一权限分配给所述对象软件；　如果所述对象软件不在所述软件名单中，则将低于第一权限的第二权限分配给所述 对象软件。

【技术特征摘要】
1.一种信息安全防护方法，其特征在于，包括判断对象软件是否在所保存的软件名单中；如果所述对象软件在所述软件名单中，则将第一权限分配给所述对象软件；如果所述对象软件不在所述软件名单中，则将低于第一权限的第二权限分配给所述对象软件。2. 根据权利要求l所述的信息安全防护方法，其特征在于， 所述软件名单中存储的是对系统没有危害的软件的列表。3. 根据权利要求l所述的信息安全防护方法，其特征在于， 所述软件名单中存储的是安装或运行时需要系统关键资源并且 对系统没有危害的软件的列表。4. 根据权利要求l所述的信息安全防护方法，其特征在于， 所述软件名单包括第一名单，所述第一名单中存储的是与可信 任的数字签名有关的信息。5. 根据权利要求4所述的信息安全防护方法，其特征在于， 所述软件名单还包括第二名单，所述第二名单中存储的是安装 或运行时需要系统关键资源、不具有可信任的数字签名并且对 系统没有危害的软件的列表。6. 根据权利要求4所述的信息安全防护方法，其特征在于， 所述判断对象软件是否在所保存的软件名单中的方式为判断 所述对象软件是否具有数字签名，并且所述数字签名的信息是 否与所述第一名单中所存储的信息相匹配，其中，如果所述对象软件具有数字签名，并且所述数字签 名的信息与所述第一名单中所存储的信息相匹配，则判断为所 述对象软件在所保存的软件名单中。7. 根据权利要求5所述的信息安全防护方法，其特征在于，括判断所述对象软件是否在所述第 一名单中； 判断所述对象软件是否在所述第二名单中； 如果所述对象软件载所述第一名单中或所述第二名单中， 则判断为所述对象软件在所保存的软件名单中。8. 根据权利要求7所述的信息安全防护方法，其特征在于， 判断所述对象软件是否在所述第 一 名单中的方式为判断所述 对象软件是否具有数字签名，并且所述数字签名的信息是否与 所述第 一名单中所存储的信息相匹配，其中，如果所述对象软件具有数字签名，并且所述数字签 名的信息与所述第 一名单中所存储的信息相匹配，则判断为所 述对象软件在所述第一名单中。9. 根据权利要求5所述的信息安全防护方法，其特征在于， 在判断对象软件是否在所述软件名单中之前还包括在服务器设 备上建立所述软件名单的步骤，建立所述软件名单的步骤包括判断 一 软件是否具有可信任的数字签名；如果所述软件具有可信任的数字签名，则将有关所述数字 签名的信息记录到所述第一名单中；判断所述软件安装或运行时是否需要系统关键资源；如果所述软件不具有可信任的数字签名并且需要系统关键 资源，则判断所述软件是否会对系统造成危害；如果所述软件不具有可信任的数字签名、安装或运行时需 要系统关键资源并且对系统没有危害，则将所述软件添加到所 述第二名单中。10. 根据权利要求1至3任一项所述的信息安全防护方法， 其特征在于，所述软件名单中存储的是软件的识别信息的列表。11 其特征在于，所述第二名单中存储的是所述软件的识别信息的列表。12. —种信息安全防护装置，其特征在于，包括 存储单元，用于存储预定的软件名单；判断单元，用于判断对象软件是否在所述存储单元所存储 的软件名单中；权限分配单元，用于当所述判断单元判断为所述对象软件 在所述软件名单中时，将第一权限分配给所述对象软件，以及 当所述判断单元判断为所述对象软件不在所述软件名单中时， 将低于第 一 权限的第二权限分配给所述对象软件。13. 根据权利要求12所述的信息安全防护装置，其特征在 于，所述软件名单包括第一名单和第二名单，其中，所述第一 名单中存储的是与...

【专利技术属性】
技术研发人员：李子拓，邹贵强，潘剑锋，
申请(专利权)人：奇智软件北京有限公司，
类型：发明
国别省市：11[中国|北京]