CN110008694A - 一种应用程序安全控制方法、装置、设备及可读存储介质 - Google Patents
一种应用程序安全控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110008694A CN110008694A CN201910300458.1A CN201910300458A CN110008694A CN 110008694 A CN110008694 A CN 110008694A CN 201910300458 A CN201910300458 A CN 201910300458A CN 110008694 A CN110008694 A CN 110008694A
- Authority
- CN
- China
- Prior art keywords
- program
- security level
- rank
- client
- cryptographic hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用程序安全控制方法,该方法包括以下步骤:管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,管理平台和客户端均位于与互联网物理隔绝的局域网内;结合黑名单和白名单,确定目标程序的安全级别;将安全级别反馈给客户端,以便客户端利用安全级别对目标程序的执行进行控制。应用该方法,在与互联网具有物理隔绝的局域网内实现高效的安全控制。本发明还公开了一种应用程序安全控制装置、设备及可读存储介质,具有相应的技术效果。
Description
技术领域
本发明涉及安全保障技术领域,特别是涉及一种应用程序安全控制方法、装置、设备及可读存储介质。
背景技术
随着信息安全事件频发,信息安全越来越受到人们的重视。为保障信息安全,通常需对需要进行保护的计算机运行的程序进行安全管控。
目前,为了实现控制应用程序执行权限的安全功能,大多通过在需要进行安全保护的计算机中安装安全软件客户端,且该安全软件客户端与互联网中的程序级别服务器进行交互,确定该计算机中程序是否安全。
在与互联网物理隔绝的局域网内,如铁路局域网、公安信息网、医院内网、企业内网,由于其与互联网物理隔绝,因此便无法联网获取数据,及无法通过与程序级别服务器进行交互,并结合在线病毒库(或称在线威胁库)确定计算机中程序是否安全。因此,在这种局域网网内,大多以网络管理人员以经验对各个程序进行标记排查,以保障信息安全。但是,人工标记效率低,且以经验作为判决依据无法确定出程序内部是否已被篡改。
综上所述,如何有效地解决与互联网物理隔绝的局域网内的信息安全等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种应用程序安全控制方法、装置、设备及可读存储介质,以在与物联网物理隔绝的局域网内对应用程序进行高效且准确地安全控制。
为解决上述技术问题,本发明提供如下技术方案:
一种应用程序安全控制方法,包括:
管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,所述管理平台和所述客户端均位于与互联网物理隔绝的局域网内;
结合黑名单和白名单,确定所述目标程序的安全级别;
将所述安全级别反馈给所述客户端,以便所述客户端利用所述安全级别对所述目标程序的执行进行控制;
其中,获取所述白名单的过程,包括:
利用程序收集工具搜集所述局域网内各个操作系统对应的纯净系统中的各个程序;
计算各个所述程序的哈希值,并利用所述哈希值生成程序清单文件,并将所述程序清单文件作为所述白名单。
优选地,结合黑名单和白名单,确定所述目标程序的安全级别,包括:
若所述白名单中存在所述目标程序的哈希值,则确定所述安全级别为白级别;
若所述黑名单中存在所述目标程序的哈希值,则确定所述安全级别为黑级别;
若所述白名单和所述黑名单中均无所述目标程序的哈希值,则确定所述安全级别为灰级别。
优选地,所述客户端利用所述安全级别对所述目标程序的执行进行控制,包括:
若所述安全级别为所述白级别,则允许执行所述目标程序;
若所述安全级别为所述黑级别,则禁止执行所述目标程序。
优选地,在确定所述安全级别为灰级别之后,还包括:
将所述目标程序的哈希值添加至灰名单中,并将所述灰名单导出至移动存储设备。
优选地,将所述灰名单导出至移动存储设备之后,还包括:
与所述互联网具有通信连接的计算机从所述移动存储设备中读取所述灰名单;
调取程序级别服务器的服务接口,对所述灰名单中各个程序的哈希值标记安全级别,获得程序级别清单;
将所述程序级别清单存入所述移动存储设备。
优选地,在将所述程序级别清单存入所述移动存储设备之后,还包括:
从所述移动存储设备中读取所述程序级别清单;
利用所述程序级别清单对所述白名单和所述黑名单进行更新。
优选地,还包括:
接收并解析所述客户端发送的程序级别更正请求,确定待更正程序,以及所述待更正程序的准确安全级别;
将所述待更正程序的哈希值调整至与所述准确安全级别对应的名单中。
一种应用程序安全控制装置,包括:
请求解析模块,用于管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,所述管理平台和所述客户端均位于与互联网物理隔绝的局域网内;
安全级别清单模块,用于结合黑名单和白名单,确定所述目标程序的安全级别;
程序安全控制模块,用于将所述安全级别反馈给所述客户端,以便所述客户端利用所述安全级别对所述目标程序的执行进行控制;
白名单获取模块,用于利用程序收集工具搜集所述局域网内各个操作系统对应的纯净系统中的各个程序;计算各个所述程序的哈希值,并利用所述哈希值生成程序清单文件,并将所述程序清单文件作为所述白名单。
一种应用程序安全控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述应用程序安全控制方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述应用程序安全控制方法的步骤。
应用本发明实施例所提供的方法,管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,管理平台和客户端均位于与互联网物理隔绝的局域网内;结合黑名单和白名单,确定目标程序的安全级别;将安全级别反馈给客户端,以便客户端利用安全级别对目标程序的执行进行控制;其中,获取白名单的过程,包括:利用程序收集工具搜集局域网内各个操作系统对应的纯净系统中的各个程序;计算各个程序的哈希值,并利用哈希值生成程序清单文件,并将程序清单文件作为白名单。
考虑到与互联网物理隔离的局域网中,由于局域网内的设备如计算机、服务器等设备无法与互联网相连接,因而局域网内的设备上运行的软件更新频次较低。基于此,可直接将局域网内的各个操作系统对应的纯净系统中的各个程序认定为是安全程序,可通过程序收集工具将这里安全程序进行搜集,并生成程序清单文件,并将程序清单文件作为实现应用程序安全控制的白名单。具体的,即当处于局域网内的管理平台接收到客户端发送的程序安全级别判定请求之后,首先解析出需要进行程序安全级别判定的目标程序,然后结合黑名单和白名单确定目标程序的安全级别;将安全级别反馈给客户端。客户端便可基于该安全级别对目标程序进行安全控制。也就是说,即便在与互联网具有物理隔绝的局域网内,也可实现高效的安全控制。
相应地,本发明实施例还提供了与上述应用程序安全控制方法相对应的应用程序安全控制装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种应用程序安全控制方法的实施流程图;
图2为本发明实施例中一种应用程序安全控制装置的结构示意图;
图3为本发明实施例中一种应用程序安全控制设备的结构示意图;
图4为本发明实施例中一种应用程序安全控制设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参考图1,图1为本发明实施例中一种应用程序安全控制方法的流程图,该方法应用于与互联网物理隔离的局域网内的管理平台中。该方法包括以下步骤:
S101、管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序。
其中,管理平台和客户端均位于与互联网物理隔绝的局域网内。
在本发明实施例中,该局域网指与互联网物理隔绝的内网,如铁路局域网、公安信息网、医院内网、企业内网等。管理平台和客户端均位于该局域网内,也就是说,管理平台和客户端也同时满足与互联网物理隔绝,即管理平台和客户端均无法从互联网中获取数据。
其中,客户端可以设置在需要进行安全控制的设备,如计算机、服务器或智能终端上。在需要进行安全控制的设备首次启动运行时,或安装了新的软件时,客户端可计算出需要进行安全判决的程序的哈希值,然后将携带哈希值的程序安全级别判定请求发送给管理平台。
管理平台接收到客户端发送的程序安全级别判定请求之后,可对该程序安全级别判定请求进行解析,确定出待确定安全级别的目标程序。具体的,即从程序安全借呗判定请求中解析出目标程序的哈希值。需要说明的是,在本分明实施例中需要进行安全级别判定的目标程序的数量可为一个也可以为多个,当为多个时,则解析出获得哈希值清单。
S102、结合黑名单和白名单,确定目标程序的安全级别。
考虑到与互联网物理隔离的局域网中,由于局域网内的设备如计算机、服务器等设备无法与互联网相连接,因而局域网内的设备上运行的软件更新频次较低。基于此,可直接将局域网内的各个操作系统对应的纯净系统中的各个程序认定为是安全程序。即,可通过执行以下步骤,获得白名单:
步骤一、利用程序收集工具搜集局域网内各个操作系统对应的纯净系统中的各个程序;
步骤二、计算各个程序的哈希值,并利用哈希值生成程序清单文件,并将程序清单文件作为白名单。
为便于描述,下面将上述两个步骤结合起来进行说明。
在本发明实施例中,可在离线环境下或安全可信的环境内,分别按照该局域网内各个操作系统对应的纯净系统。然后,可通过程序收集工具对各个纯净系统中的程序进行搜集,然后分别计算各个程序的哈希值,将各个程序对应的哈希值写入程序清单文件中。由于纯净系统本身的特性,因此认为纯净系统中的各个程序均为安全程序,因而可将程序清单文件作为实现应用程序安全控制的白名单。
优选地,为了进一步丰富白名单,还可在安装纯净系统后,进行程序收集之前,在纯净系统中安装信任的软件,然后再进行程序收集,即此时产生的白名单包括纯净系统的各个程序以及信任的软件对应的各个程序。
其中,黑名单可以人工依据经验进行编制,也可利用诸如U盘、移动硬盘等移动存储设备从在线病毒库中下载而来。
如此,在确定出目标程序时,便可结合白名单和黑名单,确定目标程序的安全级别。具体的,安全级别可具体分为白级别、灰级别和黑级别,各个安全级别的对应确定过程包括:
白级别:若白名单中存在目标程序的哈希值,则确定安全级别为白级别;
黑级别:若黑名单中存在目标程序的哈希值,则确定安全级别为黑级别;
灰级别:若白名单和黑名单中均无目标程序的哈希值,则确定安全级别为灰级别。
当目标程序具体为多个程序时,则可依次判决每一个程序的安全级别。其中,白级别则表明程序为安全的,黑级别则表明程序为危险的,灰级别则表明暂无法确定程序的安全性。
S103、将安全级别反馈给客户端,以便客户端利用安全级别对目标程序的执行进行控制。
在确定出目标程序的安全级别之后,便可将安全级别反馈给客户端。客户端接收到安全级别之后,便可利用安全级别对目标程序的执行进行控制,以保障信息的安全。具体的,程序执行控制的具体实现,具体包括若安全级别为白级别,则允许执行目标程序;若安全级别为黑级别,则禁止执行目标程序。需要说明的是,当安全级别为灰级别时,则表明暂时无法判定目标程序是否安全,此时可按照预设的规定确定是否允许执行该目标程序。例如,若规定灰级别程序允许执行,则在确定出目标程序的安全级别为灰级别时,此时也允许运行目标程序;若规定灰级别禁止执行,则在确定出目标程序的安全级别为灰级别时,此时禁止运行目标程序。
应用本发明实施例所提供的方法,管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,管理平台和客户端均位于与互联网物理隔绝的局域网内;结合黑名单和白名单,确定目标程序的安全级别;将安全级别反馈给客户端,以便客户端利用安全级别对目标程序的执行进行控制;其中,获取白名单的过程,包括:利用程序收集工具搜集局域网内各个操作系统对应的纯净系统中的各个程序;计算各个程序的哈希值,并利用哈希值生成程序清单文件,并将程序清单文件作为白名单。
考虑到与互联网物理隔离的局域网中,由于局域网内的设备如计算机、服务器等设备无法与互联网相连接,因而局域网内的设备上运行的软件更新频次较低。基于此,可直接将局域网内的各个操作系统对应的纯净系统中的各个程序认定为是安全程序,可通过程序收集工具将这里安全程序进行搜集,并生成程序清单文件,并将程序清单文件作为实现应用程序安全控制的白名单。具体的,即当处于局域网内的管理平台接收到客户端发送的程序安全级别判定请求之后,首先解析出需要进行程序安全级别判定的目标程序,然后结合黑名单和白名单确定目标程序的安全级别;将安全级别反馈给客户端。客户端便可基于该安全级别对目标程序进行安全控制。也就是说,即便在与互联网具有物理隔绝的局域网内,也可实现高效的安全控制。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在本文的优选/改进实施例中不再一一赘述。
优选地,为了提高程序管控的准确率,尽量减少出现无法判定程序是否安全的情况,即尽量少地向客户端反馈安全级别为灰级别的情况。另外,又因与互联网物理隔绝的局域网必须保证不能联网,因此管理平台在确定安全级别为灰级别之后,可将目标程序的哈希值添加至灰名单中,并将灰名单导出至移动存储设备。其中,移动存储设备具体可为U盘、移动硬盘、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储数据的可读移动存储介质。导出到移动存储设备之后,便可将移动存储设备与局域网断开实现物理隔离。例如,若为U盘,则可将其从局域网的USB接口上拔下。
由于移动存储设备的可移动性,此时可借助互联网设备,将灰名单中各个程序的安全级别进行标注。具体的,与互联网具有通信连接的计算机从移动存储设备中读取灰名单;调取程序级别服务器的服务接口,对灰名单中各个程序的哈希值标记安全级别,获得程序级别清单;将程序级别清单存入移动存储设备。以移动存储设备为U盘为例,管理平台将所有灰名单导出为一个特定格式的列表到U盘,用户通过U盘将该列表拷贝出来,并且在联网的计算机上导入至程序级别辅助程序,对一条或多条列表中的灰名单项目,该辅助程序调用程序级别服务器的REST API接口。程序级别服务器上运行REST服务程序,接收到辅助程序的REST请求后,查询其内置的清单数据库并返回各条程序哈希值的程序安全级别(黑或白);对于内置清单数据库中没有的哈希值,程序级别服务器调用在线的威胁库API,获取其级别。需要说明的是,本文仅调用在线的威胁库API接口,在实际应用时,还可调用很多组织或厂家提供付费或免费的开源接口对程序哈希值标记程序安全级别。
在将程序级别清单存入移动存储设备之后,管理平台便可从移动存储设备中读取程序级别清单;利用程序级别清单对白名单和黑名单进行更新。如此,在后续程序安全级别判定过程中,便可减少反馈灰级别的程序安全级别给客户端。当然,管理平台还可将更新后的白名单和更新后的黑名单发送给客户端,以便客户端基于更新后的白名单和黑名单实现程序控制。
优选地,在本发明实施例中,用户还可针对程序的安全性进行修正或标定。具体的,用户操作客户端,令客户端向管理平台发送程序级别更正请求。管理平台接收并解析客户端发送的程序级别更正请求,确定待更正程序,以及待更正程序的准确安全级别;将待更正程序的哈希值调整至与准确安全级别对应的名单中。如此,便可增强用户体验,同时还可保障应用程序安全控制的准确性。
实施例二:
相应于上面的方法实施例,本发明实施例还提供了一种应用程序安全控制装置,下文描述的应用程序安全控制装置与上文描述的应用程序安全控制方法可相互对应参照。
参见图2所示,该装置包括以下模块:
请求解析模块101,用于管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,管理平台和客户端均位于与互联网物理隔绝的局域网内;
安全级别清单模块102,用于结合黑名单和白名单,确定目标程序的安全级别;
程序安全控制模块103,用于将安全级别反馈给客户端,以便客户端利用安全级别对目标程序的执行进行控制;
白名单获取模块104,用于利用程序收集工具搜集局域网内各个操作系统对应的纯净系统中的各个程序;计算各个程序的哈希值,并利用哈希值生成程序清单文件,并将程序清单文件作为白名单。
应用本发明实施例所提供的装置,管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,管理平台和客户端均位于与互联网物理隔绝的局域网内;结合黑名单和白名单,确定目标程序的安全级别;将安全级别反馈给客户端,以便客户端利用安全级别对目标程序的执行进行控制;其中,获取白名单的过程,包括:利用程序收集工具搜集局域网内各个操作系统对应的纯净系统中的各个程序;计算各个程序的哈希值,并利用哈希值生成程序清单文件,并将程序清单文件作为白名单。
考虑到与互联网物理隔离的局域网中,由于局域网内的设备如计算机、服务器等设备无法与互联网相连接,因而局域网内的设备上运行的软件更新频次较低。基于此,可直接将局域网内的各个操作系统对应的纯净系统中的各个程序认定为是安全程序,可通过程序收集工具对安全程序进行搜集,并生成程序清单文件,并将程序清单文件作为实现应用程序安全控制的白名单。其中,程序收集工具可采集常见的程序收集工具,在此不在一一赘述程序收集过程。具体的,即当处于局域网内的管理平台接收到客户端发送的程序安全级别判定请求之后,首先解析出需要进行程序安全级别判定的目标程序,然后结合黑名单和白名单确定目标程序的安全级别;将安全级别反馈给客户端。客户端便可基于该安全级别对目标程序进行安全控制。也就是说,即便在与互联网具有物理隔绝的局域网内,也可实现高效的安全控制。
在本发明的一种具体实施方式中,安全级别清单模块102,包括:
白级别确定单元,用于若白名单中存在目标程序的哈希值,则确定安全级别为白级别;
黑级别确定单元,用于若黑名单中存在目标程序的哈希值,则确定安全级别为黑级别;
灰级别确定单元,用于若白名单和黑名单中均无目标程序的哈希值,则确定安全级别为灰级别;
相应地,客户端利用安全级别对目标程序的执行进行控制,包括:若安全级别为白级别,则允许执行目标程序;若安全级别为黑级别,则禁止执行目标程序。
在本发明的一种具体实施方式中,还包括:
灰名单导出模块,用于在确定安全级别为灰级别之后,将目标程序的哈希值添加至灰名单中,并将灰名单导出至移动存储设备。
将灰名单导出至移动存储设备之后,相应地,可利用与互联网具有通信连接的计算机从移动存储设备中读取灰名单;调取程序级别服务器的服务接口,对灰名单中各个程序的哈希值标记安全级别,获得程序级别清单;将程序级别清单存入移动存储设备。
在本发明的一种具体实施方式中,还包括:
黑白名单更新模块,用于在将程序级别清单存入移动存储设备之后,从移动存储设备中读取程序级别清单;利用程序级别清单对白名单和黑名单进行更新。
在本发明的一种具体实施方式中,还包括:
程序安全级别修正模块,用于接收并解析客户端发送的程序级别更正请求,确定待更正程序,以及待更正程序的准确安全级别;将待更正程序的哈希值调整至与准确安全级别对应的名单中。
实施例三:
相应于上面的方法实施例,本发明实施例还提供了一种应用程序安全控制设备,下文描述的一种应用程序安全控制设备与上文描述的一种应用程序安全控制方法可相互对应参照。
参见图3所示,该应用程序安全控制设备包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例的应用程序安全控制方法的步骤。
具体的,请参考图4,图4为本实施例提供的一种应用程序安全控制设备的具体结构示意图,该应用程序安全控制设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在应用程序安全控制设备301上执行存储介质330中的一系列指令操作。
应用程序安全控制设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的应用程序安全控制方法中的步骤可以由应用程序安全控制设备的结构实现。
实施例四:
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种应用程序安全控制方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的应用程序安全控制方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (10)
1.一种应用程序安全控制方法,其特征在于,包括:
管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,所述管理平台和所述客户端均位于与互联网物理隔绝的局域网内;
结合黑名单和白名单,确定所述目标程序的安全级别;
将所述安全级别反馈给所述客户端,以便所述客户端利用所述安全级别对所述目标程序的执行进行控制;
其中,获取所述白名单的过程,包括:
利用程序收集工具搜集所述局域网内各个操作系统对应的纯净系统中的各个程序;
计算各个所述程序的哈希值,并利用所述哈希值生成程序清单文件,并将所述程序清单文件作为所述白名单。
2.根据权利要求1所述的应用程序安全控制方法,其特征在于,结合黑名单和白名单,确定所述目标程序的安全级别,包括:
若所述白名单中存在所述目标程序的哈希值,则确定所述安全级别为白级别;
若所述黑名单中存在所述目标程序的哈希值,则确定所述安全级别为黑级别;
若所述白名单和所述黑名单中均无所述目标程序的哈希值,则确定所述安全级别为灰级别。
3.根据权利要求2所述的应用程序安全控制方法,其特征在于,所述客户端利用所述安全级别对所述目标程序的执行进行控制,包括:
若所述安全级别为所述白级别,则允许执行所述目标程序;
若所述安全级别为所述黑级别,则禁止执行所述目标程序。
4.根据权利要求2所述的应用程序安全控制方法,其特征在于,在确定所述安全级别为灰级别之后,还包括:
将所述目标程序的哈希值添加至灰名单中,并将所述灰名单导出至移动存储设备。
5.根据权利要求4所述的应用程序安全控制方法,其特征在于,将所述灰名单导出至移动存储设备之后,还包括:
与所述互联网具有通信连接的计算机从所述移动存储设备中读取所述灰名单;
调取程序级别服务器的服务接口,对所述灰名单中各个程序的哈希值标记安全级别,获得程序级别清单;
将所述程序级别清单存入所述移动存储设备。
6.根据权利要求5所述的应用程序安全控制方法,其特征在于,在将所述程序级别清单存入所述移动存储设备之后,还包括:
从所述移动存储设备中读取所述程序级别清单;
利用所述程序级别清单对所述白名单和所述黑名单进行更新。
7.根据权利要求1至6任一项所述的应用程序安全控制方法,其特征在于,还包括:
接收并解析所述客户端发送的程序级别更正请求,确定待更正程序,以及所述待更正程序的准确安全级别;
将所述待更正程序的哈希值调整至与所述准确安全级别对应的名单中。
8.一种应用程序安全控制装置,其特征在于,包括:
请求解析模块,用于管理平台接收并解析客户端发送的程序安全级别判定请求,确定出待确定安全级别的目标程序;其中,所述管理平台和所述客户端均位于与互联网物理隔绝的局域网内;
安全级别清单模块,用于结合黑名单和白名单,确定所述目标程序的安全级别;
程序安全控制模块,用于将所述安全级别反馈给所述客户端,以便所述客户端利用所述安全级别对所述目标程序的执行进行控制;
白名单获取模块,用于利用程序收集工具搜集所述局域网内各个操作系统对应的纯净系统中的各个程序;计算各个所述程序的哈希值,并利用所述哈希值生成程序清单文件,并将所述程序清单文件作为所述白名单。
9.一种应用程序安全控制设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述应用程序安全控制方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述应用程序安全控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910300458.1A CN110008694A (zh) | 2019-04-15 | 2019-04-15 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910300458.1A CN110008694A (zh) | 2019-04-15 | 2019-04-15 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110008694A true CN110008694A (zh) | 2019-07-12 |
Family
ID=67171920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910300458.1A Pending CN110008694A (zh) | 2019-04-15 | 2019-04-15 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110008694A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110929259A (zh) * | 2019-11-14 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
| CN111193730A (zh) * | 2019-12-25 | 2020-05-22 | 上海沄界信息科技有限公司 | 一种IoT可信场景构建方法及装置 |
| CN112306505A (zh) * | 2020-06-28 | 2021-02-02 | 北京沃东天骏信息技术有限公司 | 用于安装程序的方法和装置 |
| CN113452718A (zh) * | 2021-07-07 | 2021-09-28 | 北京泰立鑫科技有限公司 | 一种专属存储空间主动防御方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243214A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 一种数据处理的方法、装置及系统 |
| CN104281809A (zh) * | 2014-09-30 | 2015-01-14 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及系统 |
| CN107463839A (zh) * | 2017-08-16 | 2017-12-12 | 郑州云海信息技术有限公司 | 一种管理应用程序的系统和方法 |
| CN107480528A (zh) * | 2017-08-16 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种操作系统防病毒的方法 |
| CN109460638A (zh) * | 2018-11-22 | 2019-03-12 | 郑州云海信息技术有限公司 | 一种用于管控可执行程序的方法和装置 |
-
2019
- 2019-04-15 CN CN201910300458.1A patent/CN110008694A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243214A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 一种数据处理的方法、装置及系统 |
| CN104281809A (zh) * | 2014-09-30 | 2015-01-14 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及系统 |
| CN107463839A (zh) * | 2017-08-16 | 2017-12-12 | 郑州云海信息技术有限公司 | 一种管理应用程序的系统和方法 |
| CN107480528A (zh) * | 2017-08-16 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种操作系统防病毒的方法 |
| CN109460638A (zh) * | 2018-11-22 | 2019-03-12 | 郑州云海信息技术有限公司 | 一种用于管控可执行程序的方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110929259A (zh) * | 2019-11-14 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
| CN110929259B (zh) * | 2019-11-14 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
| CN111193730A (zh) * | 2019-12-25 | 2020-05-22 | 上海沄界信息科技有限公司 | 一种IoT可信场景构建方法及装置 |
| CN111193730B (zh) * | 2019-12-25 | 2022-06-14 | 上海沄界信息科技有限公司 | 一种IoT可信场景构建方法及装置 |
| CN112306505A (zh) * | 2020-06-28 | 2021-02-02 | 北京沃东天骏信息技术有限公司 | 用于安装程序的方法和装置 |
| CN113452718A (zh) * | 2021-07-07 | 2021-09-28 | 北京泰立鑫科技有限公司 | 一种专属存储空间主动防御方法和系统 |
| CN113452718B (zh) * | 2021-07-07 | 2022-07-01 | 何小林 | 一种专属存储空间主动防御方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Schaberreiter et al. | A quantitative evaluation of trust in the quality of cyber threat intelligence sources | |
| CN110008694A (zh) | 一种应用程序安全控制方法、装置、设备及可读存储介质 | |
| CN105247529B (zh) | 在目录服务之间同步凭证散列 | |
| CN104615852B (zh) | 针对保障网上预约挂号秩序及提高号源使用效率的方法 | |
| CN108984370A (zh) | 一种确定监控阈值的方法和装置 | |
| CN108494703A (zh) | 一种访问频率控制方法、装置及存储介质 | |
| CN110716832A (zh) | 业务运行的监控告警方法、系统、电子设备及存储介质 | |
| CN109861985A (zh) | 基于风险等级划分的ip风控方法、装置、设备和存储介质 | |
| CN112351031B (zh) | 攻击行为画像的生成方法、装置、电子设备和存储介质 | |
| CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
| CN111510428B (zh) | 安全资源运维平台系统及管控方法 | |
| CN109299913B (zh) | 员工薪资方案生成方法及装置 | |
| US12052600B2 (en) | Entities and methods for enabling control of a usage of collected data in multiple analytics phases in communication networks | |
| CN110991871A (zh) | 风险监测方法、装置、设备与计算机可读存储介质 | |
| CN115186304A (zh) | 一种基于区块链的交易数据校验方法和系统 | |
| CN111897643B (zh) | 线程池配置系统、方法、装置和存储介质 | |
| CN111865927B (zh) | 基于系统的漏洞处理方法、装置、计算机设备和存储介质 | |
| CN111310242B (zh) | 设备指纹生成的方法、装置、存储介质及电子设备 | |
| CN109240916A (zh) | 信息输出控制方法、装置及计算机可读存储介质 | |
| CN110071952A (zh) | 服务调用量的控制方法和装置 | |
| CN117390698A (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
| CN117217732A (zh) | 对象运维方法以及对象运维平台 | |
| CN115048413B (zh) | 一种业务域数据的管理方法及装置 | |
| CN115208671B (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
| JP2004102479A (ja) | 脆弱性検査情報提供システム及び脆弱性検査情報提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190712 |