[发明专利]一种基于白名单机制的软件运行统一控制系统及方法

说明书

一种基于白名单机制的软件运行统一控制系统及方法，属于信息安全技术领域。本发明包括客户机白名单初始化及软件验证功能启动；以及用户申请在客户机添加新软件进入本地软件白名单，客户机准备要加入白名单的软件实体，然后将软件实体及其类型发送给服务机，服务机根据软件类型计算得到软件白名单变化量，客户机收到并添加进本地软件白名单，之后新软件就可以安装使用；以及用户申请在客户机上将某软件从本地软件白名单中移除，计算要从本地软件白名单移除的软件的特征值发送给服务机，服务机利用特征值在本机日志中查询该软件对应的白名单变化量并发送给客户机，客户机从本地软件白名单中去除软件白名单变化量里的元素，软件就被禁止执行使用。

技术领域

本发明涉及一种基于白名单机制的软件运行统一控制系统及方法，属于信息安全技术领域。

背景技术

随着网络攻击技术的发展，计算机恶意软件、病毒、木马的数量和种类呈现逐年上升的态势，并逐步蔓延到工业控制网络中，对信息安全构成巨大威胁。对于大多数企业工业控制计算机设备，由于其与互联网相对隔离、软硬件更新相对滞后且一般仅运行特定若干软件，采取安装杀毒软件、主机防火墙等安全手段不能很好地适应工业控制计算机设备的性能现状和业务需求。

采用软件白名单机制是一种很好的安全防护方法，软件白名单机制可以防止不在白名单的任何已知和未知的恶意软件、病毒、木马运行，同时可以用于规范用户操作行为，未经管理员批准，用户无法自行安装任何软件，大大降低工业控制计算机设备的系统运行风险。

但是现有针对工业控制网络等局域网的软件白名单机制，缺乏完整的从管理员到用户的管理方法和流程，且没有针对软件安装包和可直接执行软件两种不同的软件形式制定不同的白名单生成和下发方法。

发明内容

本发明解决的技术问题是：克服现有技术的不足，提供了一种基于白名单机制的软件运行统一控制系统及方法，解决现有软件白名单机制缺少基于C/S架构的统一软件运行控制系统和方法的问题。

本发明的技术解决方案是：一种基于白名单机制的软件运行统一控制系统，包括客户机和服务机；所述客户机和服务机处于同一个局域网中，所述客户机包括若干个；

所述客户机向服务机发送本地软件清单和指令信息；所述指令信息包括在客户机添加新软件进入本地软件白名单的添加申请指令以及在客户机上将某软件从本地软件白名单中移除的移除申请指令；接收服务机发送的初始软件白名单和软件白名单变化量，根据软件白名单变化量更新本地软件白名单，并根据本地软件白名单控制本机软件运行；

所述服务机接收客户机发送的本地软件清单和指令信息，根据所述本地软件清单计算初始软件白名单，根据所述和指令信息计算软件白名单变化量，并将初始软件白名单和软件白名单变化量通过局域网发送给对应客户机。

根据所述的一种基于白名单机制的软件运行统一控制系统实现的基于白名单机制的软件运行统一控制方法，包括如下步骤：

客户机上运行软件前，生成本机软件清单，将本机软件清单发送至服务机；

服务机根据客户机的本机软件清单计算生成初始软件白名单，将初始软件白名单发送至客户机；

客户机接收初始软件白名单，将初始软件白名单存为本地软件白名单，对将要执行的软件检测其是否在本地软件白名单中；若在，则允许执行；否则，不允许执行。