专利名称:一种计算机终端的安全保护方法及系统的制作方法
技术领域:
本发明属于计算机安全技术领域,尤其涉及一种计算机终端的安全保护方法及系 统。
背景技术:
白名单是指可信(已知的好应用)的软件列表,存储有可信软件的身份信息,通过 追踪应用软件的身份信息,只有在白名单内的应用软件才可以执行,从而实现终端等的安 全防护。目前常用的白名单的方式包括代码签名和大白名单库。代码签名的证书使得软件 开发者能对其开发的软件代码进行数字签名,让其发布时,用户能够确信此代码没有被非 法篡改和来源可信,从而保护了代码的完整性、保护了用户不会被病毒、恶意代码和间谍软 件所侵害;而大名单库则是提供大量的白名单软件,供客户端进行查看比较其可信度。但是,对于上述两种白名单实现网络安全的方式,企业在应用时都存在不够实用、 灵活的问题,企业内部网络中办公、业务等各种系统需要使用的软件数量是非常有限的,而 大白名单库和签名代码库的数量不断增大,和特定企业相关的却屈指可数。某个企业要到 和所有企业和个人相关的巨大的白名单库中来验证所用软件的可信度,随着库的数量的不 断增长,可用性会越来越差,而且对于离线使用的计算机终端保护力度不够。
发明内容
本发明实施例的目的在于提供一种计算机终端的安全保护方法,旨在解决现有技 术中的白名单保护计算机终端安全的方式不完善、保护力度不够的问题。本发明实施例是这样实现的,一种计算机终端的安全保护方法,所述方法包括下 述步骤检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断所述应用软件是否存在于白名单内,所述白名 单为预先配置在计算机终端的可信软件列表;若所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运 行,否则控制所述应用软件在所述计算机终端运行。本发明实施例的另一目的在于提供一种计算机终端的安全保护系统,所述系统包 括检测模块,用于检测计算机终端是否有应用软件的运行;第一判断模块,用于当所述检测模块检测到有应用软件运行时,判断所述应用软 件是否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;允许运行模块,用于若所述第一判断模块判断所述应用软件存在于白名单内,允 许所述应用软件在所述计算机终端继续运行;以及控制运行模块,用于若所述第一判断模块判断所述应用软件不存在于白名单内,控制所述应用软件在所述计算机终端运行。在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软 件运行时,判断应用软件是否存在于白名单内,白名单为预先配置在计算机终端的可信软 件列表;若应用软件存在于白名单内,允许应用软件在计算机终端继续运行,否则控制应用 软件在计算机终端运行,有效的保护计算机终端的安全。
图1是本发明第一实施例提供的计算机终端的安全保护方法的实现流程图;图2是本发明第二实施例提供的计算机终端的安全保护方法的实现流程图;图3是本发明实施例提供的计算机终端的安全保护系统的结构框图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软 件运行时,判断应用软件是否存在于白名单内,白名单为预先配置在计算机终端的可信软 件列表;若应用软件存在于白名单内,允许应用软件在计算机终端继续运行,否则控制应用 软件在计算机终端运行。图1示出了本发明第一实施例提供的计算机终端的安全保护方法的实现流程,其 详细步骤如下所述在步骤SlOl中,检测判断计算机终端是否有应用软件的运行,是则执行步骤 S102,否则继续检测。在步骤S102中,当检测到有应用软件运行时,判断应用软件是否存在于白名单 内,是则执行步骤S103 ;否则执行步骤S104。在本发明实施例中,上述白名单为预先配置在计算机终端的可信软件列表。在步骤S103中,若应用软件存在于白名单内,允许应用软件在计算机终端继续运 行。在步骤S104中,控制应用软件在计算机终端运行。在本发明实施例中,控制应用软件在计算机终端运行的步骤具体包括禁止应用软 件在计算机终端运行和控制在沙箱中运行应用软件,其中,可以单独进行其中的某一个步 骤,也可以同时执行该两个步骤,在此不用于限制本发明。作为本发明的一个具体实施例,图2示出了本发明第二实施例提供的计算机终端 的安全保护方法的实现流程,其详细步骤如下所述在步骤S201中,预先配置包括可信软件列表的白名单。在本发明实施例中,预先配置的白名单可以是计算机终端用户自己预先建立的一 系列的可信软件列表,也可以是预先下载到计算机终端的可信软件列表,在此不用以限制 本发明。在步骤S202中,检测判断计算机终端是否有应用软件的运行,是则执行步骤S203,否则继续检测。在步骤S203中,当检测到有应用软件运行时,判断应用软件是否存在于白名单 内,是则执行步骤S204 ;否则执行步骤S206。在本发明实施例中,白名单为步骤S201中预先配置在计算机终端的可信软件列表。在步骤S204中,若应用软件存在于白名单内,判断存在于所述白名单的所述应用 软件是否是可疑软件,是则执行步骤S206,否则执行步骤S205。在本发明实施例中,该可疑软件是存在于白名单内,但是该应用软件的某些行为 存在不够安全的可疑因素,例如可以执行脚本的应用软件,在此不用以限制本发明。在步骤S205中,允许应用软件在计算机终端继续运行。在步骤S206中,控制应用软件在计算机终端运行。在本发明实施例中,控制应用软件在计算机终端运行的步骤具体包括禁止应用软 件在计算机终端运行和控制在沙箱中运行应用软件,其中,可以单独进行其中的某一个步 骤,也可以同时执行该两个步骤,在此不用于限制本发明。在本发明实施例中,当上述检测到的应用软件为可疑软件时,将该判断为可疑软 件的应用软件放在沙箱里运行,保证计算机终端的安全。在步骤S207中,对应用软件进行安全验证。在本发明实施例中,在控制不存在于白名单上的应用软件在计算机终端运行的同 时,对应用软件的安全性进行安全验证,其中,该验证可以是现有技术提供的方式即可实 现,即验证该应用软件所执行的程序、插件等操作是否对计算机终端构成安全为威胁,在此 不用以限制本发明。在步骤S208中,判断应用软件是否为安全软件,是则执行步骤S209,否则结束。在步骤S209中,若应用软件是安全软件,则将应用软件保存到白名单中。在本发明实施例中,通过对计算机终端运行的应用软件进行检测,从而执行不同 的运行策略,保护计算机终端的安全,方便用户使用计算机终端。图3示出了本发明实施例提供的计算机终端的安全保护系统的结构框图,为了便 于说明,图中仅给出了与本发明实施例相关的部分,其中,计算机终端的安全保护系统可以 内置于计算机终端的软件单元、硬件单元或软硬件结合单元。检测模块11检测计算机终端是否有应用软件的运行;当检测模块11检测到有应 用软件运行时,第一判断模块12判断应用软件是否存在于白名单内,其中,白名单为预先 配置在计算机终端的可信软件列表;若第一判断模块12判断应用软件存在于白名单内,允 许运行模块13允许应用软件在计算机终端继续运行;若第一判断模块12判断应用软件不 存在于白名单内,控制运行模块14控制应用软件在所述计算机终端运行。在本发明实施例中,白名单预先配置模块15预先配置包括可信软件列表的白名在本发明实施例中,控制运行模块14具体包括禁止运行模块141和/或沙箱运行 模块142,其中,禁止运行模块141禁止应用软件在计算机终端运行;沙箱运行模块142控 制在沙箱中运行应用软件。在本发明实施例中,若第一判断模块12判断应用软件存在于白名单内,第二判断模块16判断存在于白名单的应用软件是否是可疑软件;若第二判断模块16判断存在于白 名单的应用软件不是可疑软件,则允许运行模块13允许应用软件在计算机终端继续运行; 若第二判断模块16判断存在于白名单的应用软件是可疑软件,则沙箱运行模块14控制在 沙箱中运行存在于白名单的应用软件。当第一判断模块12判断应用软件不存在于白名单上,控制运行模块14控制应用 软件在计算机终端运行的同时,验证判断模块17对应用软件进行安全验证,判断应用软件 是否为安全软件;若验证判断模块17判断应用软件是安全软件,白名单更新模块18将应用 软件保存到白名单中。在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软 件运行时,判断应用软件是否存在于白名单内,白名单为预先配置在计算机终端的可信软 件列表;若应用软件存在于白名单内,允许应用软件在所述计算机终端继续运行,否则控制 应用软件在所述计算机终端运行,有效的保护计算机终端的安全,当计算机终端离线使用 时,同样能够保证计算机终端的安全,方便用户使用。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
一种计算机终端的安全保护方法,其特征在于,所述方法包括下述步骤检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断所述应用软件是否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;若所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行,否则控制所述应用软件在所述计算机终端运行。
2.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述检测计算机终 端是否有应用软件的运行的步骤之前还包括下述步骤预先配置包括可信软件列表的白名单。
3.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述控制所述应用 软件在计算机终端运行的步骤具体包括禁止所述应用软件在所述计算机终端运行;和/或 控制在沙箱中运行所述应用软件。
4.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述若所述应用软 件存在于白名单内,允许所述应用软件在所述计算机终端继续运行的步骤还包括下述步 骤若所述应用软件存在于白名单内,判断存在于所述白名单的所述应用软件是否是可疑 软件;若所述存在于所述白名单的所述应用软件是可疑软件,则控制在沙箱中运行所述存在 于所述白名单的所述应用软件;若所述存在于所述白名单的所述应用软件不是可疑软件,允许所述应用软件在所述计 算机终端继续运行。
5.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述若所述应用软 件存在于白名单内,允许所述应用软件在所述计算机终端继续运行,否则控制所述应用软 件在所述计算机终端运行的步骤之后还包括下述步骤当所述应用软件不存在于所述白名单上,控制所述应用软件在所述计算机终端运行的 同时,对所述应用软件进行安全验证,判断所述应用软件是否为安全软件; 若所述应用软件是安全软件,则将所述应用软件保存到所述白名单中。
6.一种计算机终端的安全保护系统,其特征在于,所述系统包括 检测模块,用于检测计算机终端是否有应用软件的运行;第一判断模块,用于当所述检测模块检测到有应用软件运行时,判断所述应用软件是 否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;允许运行模块,用于若所述第一判断模块判断所述应用软件存在于白名单内,允许所 述应用软件在所述计算机终端继续运行;以及控制运行模块,用于若所述第一判断模块判断所述应用软件不存在于白名单内,控制 所述应用软件在所述计算机终端运行。
7.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述系统还包括 白名单预先配置模块,用于预先配置包括可信软件列表的白名单。
8.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述控制运行模块具体包括禁止运行模块,用于禁止所述应用软件在所述计算机终端运行;和/或 沙箱运行模块,用于控制在沙箱中运行所述应用软件。
9.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述系统还包括 第二判断模块,用于若所述第一判断模块判断所述应用软件存在于白名单内,判断存在于所述白名单的所述应用软件是否是可疑软件;若所述第二判断模块判断存在于所述白名单的所述应用软件不是可疑软件,则所述允 许运行模块允许所述应用软件在所述计算机终端继续运行;若所述第二判断模块判断存在于所述白名单的所述应用软件是可疑软件,则沙箱运行 模块控制在沙箱中运行所述存在于所述白名单的所述应用软件。
10.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述系统还包括 验证判断模块,用于当所述第一判断模块判断所述应用软件不存在于所述白名单上,控制运行模块控制所述应用软件在所述计算机终端运行的同时,对所述应用软件进行安全 验证,判断所述应用软件是否为安全软件;以及白名单更新模块,用于若所述验证判断模块判断所述应用软件是安全软件,则将所述 应用软件保存到所述白名单中。
全文摘要
本发明适用于计算机安全技术领域,提供了一种计算机终端的安全保护方法及系统,所述方法包括下述步骤检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内;若应用软件存在于白名单内,允许应用软件在计算机终端继续运行,否则控制应用软件在计算机终端运行。在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内;若应用软件存在于白名单内,允许应用软件在所述计算机终端继续运行,否则控制应用软件在计算机终端运行,有效的保护计算机终端的安全。
文档编号G06F21/22GK101937500SQ20091010851
公开日2011年1月5日 申请日期2009年6月29日 优先权日2009年6月29日
发明者张晓辉, 王志, 祝青柳 申请人:深圳市联软科技有限公司