服務(wù)器操作系統(tǒng)軟件白名單管理

引言：服務(wù)器操作系統(tǒng)軟件白名單管理可以協(xié)助管理員全面、詳實(shí)的了解現(xiàn)網(wǎng)設(shè)備上的信息，以最小化安裝為原則，保證服務(wù)器設(shè)備安裝軟件的最小化，發(fā)現(xiàn)違規(guī)安裝的與業(yè)務(wù)運(yùn)行無(wú)關(guān)的軟件，對(duì)設(shè)備上安裝的軟件做到“心中有數(shù)”，幫助提高信息系統(tǒng)的安全性。

伴隨著國(guó)家信息化浪潮，各個(gè)行業(yè)也在大力建設(shè)信息化系統(tǒng)，這使得網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，設(shè)備數(shù)量迅猛增加，隨之而來的安全問題也愈加突出。

傳統(tǒng)的軟件白名單產(chǎn)品主要功能集中在Client端，僅針對(duì)終端設(shè)備防護(hù)，僅支持Windows操作系統(tǒng)，需要在被管設(shè)備上部署客戶端軟件，有潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

相比于傳統(tǒng)軟件白名單管理系統(tǒng)的實(shí)現(xiàn)，本發(fā)明將功能更多遷移到Server端，且支持各種操作系統(tǒng)類型的被管設(shè)備進(jìn)行核查，具備諸多優(yōu)勢(shì)：面向服務(wù)器端設(shè)備進(jìn)行軟件白名單管理；支持的設(shè)備類型廣泛；無(wú)需在被管設(shè)備上安裝客戶端軟件；核查過程對(duì)被管設(shè)備影響極小；完善的各類設(shè)備默認(rèn)系統(tǒng)軟件知識(shí)庫(kù)。

服務(wù)器操作系統(tǒng)軟件白名單管理實(shí)現(xiàn)

1.軟件白名單策略庫(kù)的建立

軟件白名單策略庫(kù)有三個(gè)主要來源：產(chǎn)品初始階段通過最大化安裝各類型純凈的操作系統(tǒng)，采集其中的默認(rèn)軟件，將其內(nèi)置到產(chǎn)品中，作為允許安裝的軟件策略；系統(tǒng)用戶和管理員根據(jù)實(shí)際情況制定軟件安裝策略；第三種是根據(jù)核查結(jié)果發(fā)現(xiàn)允許和禁止安裝的軟件策略以外的未知軟件，并對(duì)其進(jìn)行確認(rèn)，確認(rèn)過程即為建立策略的過程。

最大化安裝各類型操作系統(tǒng)。

采集系統(tǒng)軟件，添加允許安裝的策略。安裝完成后，啟動(dòng)操作系統(tǒng)，采集默認(rèn)安裝的軟件列表。

將建立的策略添加到軟件白名單核查產(chǎn)品的策略庫(kù)中。

由設(shè)備管理員在系統(tǒng)中添加軟件安裝策略，可以采用按照業(yè)務(wù)系統(tǒng)添加策略和按照具體設(shè)備添加策略這兩種方式。

選擇業(yè)務(wù)系統(tǒng)，新建允許安裝策略，為該業(yè)務(wù)系統(tǒng)下所有的設(shè)備批量添加該策略。并且，業(yè)務(wù)系統(tǒng)策略具有高優(yōu)先級(jí)，優(yōu)先匹配業(yè)務(wù)系統(tǒng)策略，然后再匹配具體設(shè)備策略。

選擇具體設(shè)備，新建針對(duì)該設(shè)備生效的策略。

判斷是否與業(yè)務(wù)系統(tǒng)策略沖突。添加具體設(shè)備安裝策略時(shí)，需要和業(yè)務(wù)系統(tǒng)策略進(jìn)行比對(duì)，發(fā)現(xiàn)與業(yè)務(wù)系統(tǒng)策略沖突的策略是，提示策略沖突，禁止添加。

軟件白名單的核查結(jié)果中包含了未經(jīng)過策略定義的未知軟件。這部分軟件經(jīng)過管理員的確認(rèn)過程，可以生成允許安裝或者禁止安裝的策略，添加到策略庫(kù)中。

2.設(shè)備信息采集

新建漏洞掃描任務(wù)，選擇需要進(jìn)行軟件白名單核查的設(shè)備，并發(fā)連接登錄設(shè)備，采集設(shè)備信息。如安裝的軟件、開啟的端口、啟動(dòng)的進(jìn)程、運(yùn)行的服務(wù)等信息。設(shè)備信息采集的流程如下：

選擇被檢查設(shè)備。建立軟件白名單核查任務(wù)，選擇被檢查設(shè)備，確定核查任務(wù)的檢查范圍，并獲取被檢查設(shè)備登錄信息（設(shè)備類型、IP地址、帳號(hào)名、密碼）等。

分布式并發(fā)連接被查設(shè)備。使用獲取到的設(shè)備登錄信息，多臺(tái)采集服務(wù)器采用分布式的方式并發(fā)建立到被檢查設(shè)備的網(wǎng)絡(luò)連接，登錄被檢查設(shè)備。

執(zhí)行采集腳本。采集腳本按照設(shè)備類型分別編寫，根據(jù)核查任務(wù)中所選擇的設(shè)備類型，自動(dòng)匹配執(zhí)行腳本。

返回腳本執(zhí)行回顯。將采集結(jié)果返回到服務(wù)器。把分析結(jié)果保存到數(shù)據(jù)庫(kù)，發(fā)送消息給采集服務(wù)器，告知采集完畢。

關(guān)閉網(wǎng)絡(luò)連接。完成數(shù)據(jù)采集任務(wù)后，斷開與被檢查設(shè)備的網(wǎng)絡(luò)連接。

3.軟件白名單核查

匯總建立的策略庫(kù)和采集的設(shè)備信息，根據(jù)采集到的設(shè)備上安裝的軟件信息逐條與策略庫(kù)中的策略進(jìn)行匹配，最終得到設(shè)備上軟件安裝是否正確的核查結(jié)果。軟件白名單核查流程如下：

解析腳本回顯，獲取安裝軟件列表。獲取腳本執(zhí)行結(jié)果，解析腳本回顯信息，得到其中獲取到的安裝軟件列表信息。

與策略庫(kù)對(duì)比。將解析得到的安裝軟件列表逐條與建立的策略庫(kù)中的策略對(duì)比，判斷該設(shè)備上是否可以安裝這些軟件。

判斷是否匹配業(yè)務(wù)系統(tǒng)策略。業(yè)務(wù)系統(tǒng)策略具有較高的優(yōu)先級(jí)，所以對(duì)比過程中需要優(yōu)先與業(yè)務(wù)系統(tǒng)策略進(jìn)行比對(duì)，判斷是否與業(yè)務(wù)系統(tǒng)策略匹配。

判斷是否匹配設(shè)備個(gè)性策略。業(yè)務(wù)系統(tǒng)策略如果沒有匹配成功，進(jìn)一步匹配設(shè)備個(gè)性策略（設(shè)備個(gè)性策略針對(duì)具體設(shè)備指定安裝策略），判斷是否與設(shè)備個(gè)性策略匹配。

判斷匹配策略的類型。匹配到業(yè)務(wù)系統(tǒng)策略或者設(shè)備個(gè)性策略后，進(jìn)一步判斷所匹配到策略的種類。策略種類分為兩類：禁止安裝策略和允許安裝策略。

判斷結(jié)果為違規(guī)。匹配到的策略種類為“禁止安裝”，則得到判斷結(jié)果為“違規(guī)”軟件。

判斷結(jié)果為正常。匹配到的策略種類為“允許安裝”，則得到判斷結(jié)果為“正常”軟件。

判斷結(jié)果為未知。業(yè)務(wù)系統(tǒng)策略和設(shè)備個(gè)性策略均未匹配到的軟件為“未知”軟件。

返回核查結(jié)果。匯總核查結(jié)果，得到該設(shè)備的核查結(jié)果。

4.核查結(jié)果展現(xiàn)

根據(jù)得到的檢查結(jié)果，從設(shè)備維度和軟件維度對(duì)核查結(jié)果進(jìn)行多方位的全面展現(xiàn)。從設(shè)備維度展示某設(shè)備上安裝軟件數(shù)量及詳細(xì)列表、正常軟件數(shù)量及詳細(xì)列表、違規(guī)軟件數(shù)量及詳細(xì)列表、未知軟件數(shù)量及詳細(xì)列表；從軟件維度展示某軟件在所有設(shè)備上的安裝次數(shù)，判斷正常安裝的設(shè)備數(shù)量及詳細(xì)列表、判斷為違規(guī)安裝的設(shè)備數(shù)量及詳細(xì)列表、判斷為未知的設(shè)備數(shù)量及詳細(xì)列表。詳盡的報(bào)表便于后期有重點(diǎn)的進(jìn)行整改。