專利名稱:一種計算機終端的安全保護方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明屬于計算機安全技術領域,尤其涉及一種計算機終端的安全保護方法及系 統(tǒng)�����。
背景技術:
白名單是指可信(已知的好應用)的軟件列表�����,存儲有可信軟件的身份信息�,通過 追蹤應用軟件的身份信息,只有在白名單內的應用軟件才可以執(zhí)行���,從而實現(xiàn)終端等的安 全防護��。目前常用的白名單的方式包括代碼簽名和大白名單庫����。代碼簽名的證書使得軟件 開發(fā)者能對其開發(fā)的軟件代碼進行數(shù)字簽名,讓其發(fā)布時����,用戶能夠確信此代碼沒有被非 法篡改和來源可信,從而保護了代碼的完整性���、保護了用戶不會被病毒��、惡意代碼和間諜軟 件所侵害���;而大名單庫則是提供大量的白名單軟件����,供客戶端進行查看比較其可信度。但是�����,對于上述兩種白名單實現(xiàn)網(wǎng)絡安全的方式,企業(yè)在應用時都存在不夠實用�、 靈活的問題,企業(yè)內部網(wǎng)絡中辦公��、業(yè)務等各種系統(tǒng)需要使用的軟件數(shù)量是非常有限的����,而 大白名單庫和簽名代碼庫的數(shù)量不斷增大,和特定企業(yè)相關的卻屈指可數(shù)��。某個企業(yè)要到 和所有企業(yè)和個人相關的巨大的白名單庫中來驗證所用軟件的可信度���,隨著庫的數(shù)量的不 斷增長�,可用性會越來越差�����,而且對于離線使用的計算機終端保護力度不夠����。
發(fā)明內容
本發(fā)明實施例的目的在于提供一種計算機終端的安全保護方法,旨在解決現(xiàn)有技 術中的白名單保護計算機終端安全的方式不完善��、保護力度不夠的問題���。本發(fā)明實施例是這樣實現(xiàn)的����,一種計算機終端的安全保護方法,所述方法包括下 述步驟檢測計算機終端是否有應用軟件的運行����;當檢測到有應用軟件運行時,判斷所述應用軟件是否存在于白名單內�����,所述白名 單為預先配置在計算機終端的可信軟件列表���;若所述應用軟件存在于白名單內����,允許所述應用軟件在所述計算機終端繼續(xù)運 行��,否則控制所述應用軟件在所述計算機終端運行����。本發(fā)明實施例的另一目的在于提供一種計算機終端的安全保護系統(tǒng)�,所述系統(tǒng)包 括檢測模塊�,用于檢測計算機終端是否有應用軟件的運行��;第一判斷模塊�����,用于當所述檢測模塊檢測到有應用軟件運行時��,判斷所述應用軟 件是否存在于白名單內��,所述白名單為預先配置在計算機終端的可信軟件列表��;允許運行模塊����,用于若所述第一判斷模塊判斷所述應用軟件存在于白名單內,允 許所述應用軟件在所述計算機終端繼續(xù)運行�;以及控制運行模塊,用于若所述第一判斷模塊判斷所述應用軟件不存在于白名單內��,控制所述應用軟件在所述計算機終端運行����。在本發(fā)明實施例中,檢測計算機終端是否有應用軟件的運行;當檢測到有應用軟 件運行時���,判斷應用軟件是否存在于白名單內��,白名單為預先配置在計算機終端的可信軟 件列表�;若應用軟件存在于白名單內���,允許應用軟件在計算機終端繼續(xù)運行����,否則控制應用 軟件在計算機終端運行�����,有效的保護計算機終端的安全����。
圖1是本發(fā)明第一實施例提供的計算機終端的安全保護方法的實現(xiàn)流程圖;圖2是本發(fā)明第二實施例提供的計算機終端的安全保護方法的實現(xiàn)流程圖�;圖3是本發(fā)明實施例提供的計算機終端的安全保護系統(tǒng)的結構框圖。
具體實施例方式為了使本發(fā)明的目的�����、技術方案及優(yōu)點更加清楚明白���,以下結合附圖及實施例����,對 本發(fā)明進行進一步詳細說明���。應當理解���,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并 不用于限定本發(fā)明���。在本發(fā)明實施例中����,檢測計算機終端是否有應用軟件的運行�����;當檢測到有應用軟 件運行時�����,判斷應用軟件是否存在于白名單內,白名單為預先配置在計算機終端的可信軟 件列表�;若應用軟件存在于白名單內,允許應用軟件在計算機終端繼續(xù)運行�����,否則控制應用 軟件在計算機終端運行���。圖1示出了本發(fā)明第一實施例提供的計算機終端的安全保護方法的實現(xiàn)流程�,其 詳細步驟如下所述在步驟SlOl中�,檢測判斷計算機終端是否有應用軟件的運行,是則執(zhí)行步驟 S102�,否則繼續(xù)檢測。在步驟S102中����,當檢測到有應用軟件運行時,判斷應用軟件是否存在于白名單 內�����,是則執(zhí)行步驟S103 ��;否則執(zhí)行步驟S104�。在本發(fā)明實施例中��,上述白名單為預先配置在計算機終端的可信軟件列表�����。在步驟S103中,若應用軟件存在于白名單內�,允許應用軟件在計算機終端繼續(xù)運 行。在步驟S104中����,控制應用軟件在計算機終端運行。在本發(fā)明實施例中�,控制應用軟件在計算機終端運行的步驟具體包括禁止應用軟 件在計算機終端運行和控制在沙箱中運行應用軟件,其中����,可以單獨進行其中的某一個步 驟,也可以同時執(zhí)行該兩個步驟���,在此不用于限制本發(fā)明�。作為本發(fā)明的一個具體實施例���,圖2示出了本發(fā)明第二實施例提供的計算機終端 的安全保護方法的實現(xiàn)流程�,其詳細步驟如下所述在步驟S201中,預先配置包括可信軟件列表的白名單�����。在本發(fā)明實施例中�����,預先配置的白名單可以是計算機終端用戶自己預先建立的一 系列的可信軟件列表�,也可以是預先下載到計算機終端的可信軟件列表,在此不用以限制 本發(fā)明����。在步驟S202中,檢測判斷計算機終端是否有應用軟件的運行�����,是則執(zhí)行步驟S203���,否則繼續(xù)檢測�����。在步驟S203中���,當檢測到有應用軟件運行時�����,判斷應用軟件是否存在于白名單 內����,是則執(zhí)行步驟S204 �����;否則執(zhí)行步驟S206�。在本發(fā)明實施例中���,白名單為步驟S201中預先配置在計算機終端的可信軟件列表���。在步驟S204中,若應用軟件存在于白名單內����,判斷存在于所述白名單的所述應用 軟件是否是可疑軟件,是則執(zhí)行步驟S206���,否則執(zhí)行步驟S205����。在本發(fā)明實施例中�,該可疑軟件是存在于白名單內�,但是該應用軟件的某些行為 存在不夠安全的可疑因素,例如可以執(zhí)行腳本的應用軟件,在此不用以限制本發(fā)明��。在步驟S205中�����,允許應用軟件在計算機終端繼續(xù)運行���。在步驟S206中,控制應用軟件在計算機終端運行�����。在本發(fā)明實施例中,控制應用軟件在計算機終端運行的步驟具體包括禁止應用軟 件在計算機終端運行和控制在沙箱中運行應用軟件����,其中����,可以單獨進行其中的某一個步 驟����,也可以同時執(zhí)行該兩個步驟�����,在此不用于限制本發(fā)明�����。在本發(fā)明實施例中��,當上述檢測到的應用軟件為可疑軟件時����,將該判斷為可疑軟 件的應用軟件放在沙箱里運行�����,保證計算機終端的安全。在步驟S207中�,對應用軟件進行安全驗證�����。在本發(fā)明實施例中��,在控制不存在于白名單上的應用軟件在計算機終端運行的同 時�,對應用軟件的安全性進行安全驗證,其中,該驗證可以是現(xiàn)有技術提供的方式即可實 現(xiàn),即驗證該應用軟件所執(zhí)行的程序���、插件等操作是否對計算機終端構成安全為威脅�,在此 不用以限制本發(fā)明����。在步驟S208中,判斷應用軟件是否為安全軟件�����,是則執(zhí)行步驟S209����,否則結束。在步驟S209中�,若應用軟件是安全軟件�����,則將應用軟件保存到白名單中�。在本發(fā)明實施例中,通過對計算機終端運行的應用軟件進行檢測,從而執(zhí)行不同 的運行策略���,保護計算機終端的安全,方便用戶使用計算機終端����。圖3示出了本發(fā)明實施例提供的計算機終端的安全保護系統(tǒng)的結構框圖,為了便 于說明��,圖中僅給出了與本發(fā)明實施例相關的部分�����,其中�����,計算機終端的安全保護系統(tǒng)可以 內置于計算機終端的軟件單元���、硬件單元或軟硬件結合單元���。檢測模塊11檢測計算機終端是否有應用軟件的運行;當檢測模塊11檢測到有應 用軟件運行時,第一判斷模塊12判斷應用軟件是否存在于白名單內�,其中���,白名單為預先 配置在計算機終端的可信軟件列表�;若第一判斷模塊12判斷應用軟件存在于白名單內�����,允 許運行模塊13允許應用軟件在計算機終端繼續(xù)運行�����;若第一判斷模塊12判斷應用軟件不 存在于白名單內����,控制運行模塊14控制應用軟件在所述計算機終端運行���。在本發(fā)明實施例中,白名單預先配置模塊15預先配置包括可信軟件列表的白名在本發(fā)明實施例中�����,控制運行模塊14具體包括禁止運行模塊141和/或沙箱運行 模塊142�,其中,禁止運行模塊141禁止應用軟件在計算機終端運行��;沙箱運行模塊142控 制在沙箱中運行應用軟件�。在本發(fā)明實施例中,若第一判斷模塊12判斷應用軟件存在于白名單內�,第二判斷模塊16判斷存在于白名單的應用軟件是否是可疑軟件;若第二判斷模塊16判斷存在于白 名單的應用軟件不是可疑軟件��,則允許運行模塊13允許應用軟件在計算機終端繼續(xù)運行; 若第二判斷模塊16判斷存在于白名單的應用軟件是可疑軟件�,則沙箱運行模塊14控制在 沙箱中運行存在于白名單的應用軟件。當?shù)谝慌袛嗄K12判斷應用軟件不存在于白名單上����,控制運行模塊14控制應用 軟件在計算機終端運行的同時,驗證判斷模塊17對應用軟件進行安全驗證���,判斷應用軟件 是否為安全軟件���;若驗證判斷模塊17判斷應用軟件是安全軟件,白名單更新模塊18將應用 軟件保存到白名單中����。在本發(fā)明實施例中,檢測計算機終端是否有應用軟件的運行���;當檢測到有應用軟 件運行時�,判斷應用軟件是否存在于白名單內�,白名單為預先配置在計算機終端的可信軟 件列表;若應用軟件存在于白名單內�����,允許應用軟件在所述計算機終端繼續(xù)運行,否則控制 應用軟件在所述計算機終端運行�����,有效的保護計算機終端的安全����,當計算機終端離線使用 時,同樣能夠保證計算機終端的安全���,方便用戶使用����。以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精 神和原則之內所作的任何修改����、等同替換和改進等,均應包含在本發(fā)明的保護范圍之內�。
權利要求
一種計算機終端的安全保護方法,其特征在于��,所述方法包括下述步驟檢測計算機終端是否有應用軟件的運行;當檢測到有應用軟件運行時��,判斷所述應用軟件是否存在于白名單內�,所述白名單為預先配置在計算機終端的可信軟件列表;若所述應用軟件存在于白名單內�����,允許所述應用軟件在所述計算機終端繼續(xù)運行�����,否則控制所述應用軟件在所述計算機終端運行��。
2.如權利要求1所述的計算機終端的安全保護方法�,其特征在于,所述檢測計算機終 端是否有應用軟件的運行的步驟之前還包括下述步驟預先配置包括可信軟件列表的白名單�。
3.如權利要求1所述的計算機終端的安全保護方法,其特征在于���,所述控制所述應用 軟件在計算機終端運行的步驟具體包括禁止所述應用軟件在所述計算機終端運行��;和/或 控制在沙箱中運行所述應用軟件�。
4.如權利要求1所述的計算機終端的安全保護方法����,其特征在于���,所述若所述應用軟 件存在于白名單內,允許所述應用軟件在所述計算機終端繼續(xù)運行的步驟還包括下述步 驟若所述應用軟件存在于白名單內�,判斷存在于所述白名單的所述應用軟件是否是可疑 軟件;若所述存在于所述白名單的所述應用軟件是可疑軟件��,則控制在沙箱中運行所述存在 于所述白名單的所述應用軟件��;若所述存在于所述白名單的所述應用軟件不是可疑軟件����,允許所述應用軟件在所述計 算機終端繼續(xù)運行。
5.如權利要求1所述的計算機終端的安全保護方法�����,其特征在于��,所述若所述應用軟 件存在于白名單內�,允許所述應用軟件在所述計算機終端繼續(xù)運行�����,否則控制所述應用軟 件在所述計算機終端運行的步驟之后還包括下述步驟當所述應用軟件不存在于所述白名單上,控制所述應用軟件在所述計算機終端運行的 同時���,對所述應用軟件進行安全驗證��,判斷所述應用軟件是否為安全軟件����; 若所述應用軟件是安全軟件����,則將所述應用軟件保存到所述白名單中。
6.一種計算機終端的安全保護系統(tǒng)���,其特征在于���,所述系統(tǒng)包括 檢測模塊,用于檢測計算機終端是否有應用軟件的運行��;第一判斷模塊���,用于當所述檢測模塊檢測到有應用軟件運行時�����,判斷所述應用軟件是 否存在于白名單內���,所述白名單為預先配置在計算機終端的可信軟件列表��;允許運行模塊���,用于若所述第一判斷模塊判斷所述應用軟件存在于白名單內,允許所 述應用軟件在所述計算機終端繼續(xù)運行����;以及控制運行模塊,用于若所述第一判斷模塊判斷所述應用軟件不存在于白名單內��,控制 所述應用軟件在所述計算機終端運行�。
7.如權利要求6所述的計算機終端的安全保護系統(tǒng),其特征在于��,所述系統(tǒng)還包括 白名單預先配置模塊�,用于預先配置包括可信軟件列表的白名單。
8.如權利要求6所述的計算機終端的安全保護系統(tǒng)�,其特征在于,所述控制運行模塊具體包括禁止運行模塊�,用于禁止所述應用軟件在所述計算機終端運行�����;和/或 沙箱運行模塊,用于控制在沙箱中運行所述應用軟件�����。
9.如權利要求6所述的計算機終端的安全保護系統(tǒng)����,其特征在于,所述系統(tǒng)還包括 第二判斷模塊�,用于若所述第一判斷模塊判斷所述應用軟件存在于白名單內,判斷存在于所述白名單的所述應用軟件是否是可疑軟件���;若所述第二判斷模塊判斷存在于所述白名單的所述應用軟件不是可疑軟件��,則所述允 許運行模塊允許所述應用軟件在所述計算機終端繼續(xù)運行�����;若所述第二判斷模塊判斷存在于所述白名單的所述應用軟件是可疑軟件����,則沙箱運行 模塊控制在沙箱中運行所述存在于所述白名單的所述應用軟件。
10.如權利要求6所述的計算機終端的安全保護系統(tǒng)�,其特征在于,所述系統(tǒng)還包括 驗證判斷模塊���,用于當所述第一判斷模塊判斷所述應用軟件不存在于所述白名單上��,控制運行模塊控制所述應用軟件在所述計算機終端運行的同時�����,對所述應用軟件進行安全 驗證����,判斷所述應用軟件是否為安全軟件��;以及白名單更新模塊��,用于若所述驗證判斷模塊判斷所述應用軟件是安全軟件��,則將所述 應用軟件保存到所述白名單中��。
全文摘要
本發(fā)明適用于計算機安全技術領域����,提供了一種計算機終端的安全保護方法及系統(tǒng)�����,所述方法包括下述步驟檢測計算機終端是否有應用軟件的運行;當檢測到有應用軟件運行時�,判斷應用軟件是否存在于白名單內;若應用軟件存在于白名單內��,允許應用軟件在計算機終端繼續(xù)運行���,否則控制應用軟件在計算機終端運行�。在本發(fā)明實施例中����,檢測計算機終端是否有應用軟件的運行;當檢測到有應用軟件運行時�����,判斷應用軟件是否存在于白名單內���;若應用軟件存在于白名單內���,允許應用軟件在所述計算機終端繼續(xù)運行��,否則控制應用軟件在計算機終端運行�,有效的保護計算機終端的安全���。
文檔編號G06F21/22GK101937500SQ20091010851
公開日2011年1月5日 申請日期2009年6月29日 優(yōu)先權日2009年6月29日
發(fā)明者張曉輝, 王志, 祝青柳 申請人:深圳市聯(lián)軟科技有限公司