一种基于WMI软件白名单机制的移动安全办公方法.pdf

一种基于WMI软件白名单机制的移动安全办公方法，属于终端设备安全办公技术领域，其特征在于：将软件多种属性作为软件属性参数序列和设置的编号拼成应用软件白名单，加上计算机初装机时的系统PE文件拼成的系统软件白名单共同组成总体的软件白名单。按部门的需求划分成各部门的软件白名单下发到部门员工移动安全办公终端中。用户根据部门识别码、员工PIN码组成身份验证码向服务器端发起软件请求。在移动安全办公终端基于WMI建立监控程序对软件安装与运行进行启动检测，比对软件白名单，比对通过后则允许安装与运行。与现有的应用程序的安装控制方法相比，具有较好的稳定性、安全性以及兼容性，提高了安装与运行效率。

权利要求书
1.  一种基于WMI软件白名单机制的移动安全办公方法，其特征在于，是一种基于简称为WMI的Windows Management Instrumentation管理工具的一种移动安全办公方法，是在由一个供移动安全办公用的服务器端和多个移动安全办公终端共同组成的移动安全办公系统中依次按以下步骤实现的：
步骤(1)：服务器端依次按以下步骤初始化，添加软件并创建软件白名单，下发至所述的移动安全办公终端，以下简称终端，
步骤(1.1)：服务器端管理员下载所需软件并按以下步骤进行下载软件的预处理后再添加到服务器端，
步骤(1.1.1)：判断下载的软件是软件安装包还是供直接运行的执行程序，并执行以下步骤，
若是软件安装包，执行步骤(1.1.1.1)，
若是供直接运行的执行程序，执行步骤(1.1.1.2)，
步骤(1.1.1.1)：把所述软件安装包在虚拟执行环境沙箱中预先安装，安装完成后运行，待运行正常后，抽取安装程序和执行程序，执行步骤(1.1.2)，
步骤(1.1.1.2)：把所述供直接运行的执行程序在所述的沙箱中预先运行，待运行正常后抽取执行程序，执行步骤(1.1.2)，
步骤(1.1.2)：把从步骤(1.1.1)中得到的软件安装程序与执行程序添加到服务器端软件库，
步骤(1.1.3)：把从步骤(1.1.1)中得到的软件安装程序与执行程序对应的软件属性综合，设为软件属性参数序列，同时设置软件编号，以软件属性参数序列和编号构建软件-编号映射表，添加到服务器端的应用软件白名单中，设定的所述软件属性参数序列中的属性参数：软件类别、软件名称、软件版本、出厂日期、大小、软件的版权、数字签名、执行路径，软件类别是指软件是安装程序还是执行程序，分别用“0”和“1”标示，执行路径是指软件的具体安装路径，
步骤(1.1.4)：在所述服务器端的一台计算机“裸机”上，安装一套完整无病毒木马的操作系统，获取其上的包括动态链接库DLL文件、可执行程序EXE文件、对象类别扩充组件OCX文件和部分系统SYS文件在内的可移植可执行PE各文件后，设置编号，以PE文件的软件属性参数序列和编号构建软件-编号映射表，拼成系统软件白名单，所述的应用软件白名单和所述的系统软件白名单共同构成总体的软件白名单，
步骤(1.2)：服务器端根据不同部门使用的软件不同，把不同的部门分成不同的组，一个部门对应一个组，依次来创建各部门的软件白名单，并设置一个部门识别码，所述部门识 别码再加上部门内员工的PIN码共同组成部门内每个员工的身份验证码，
步骤(1.3)：服务器端把部门内所有员工的身份验证码和对应的所述部门的软件白名单组成一个映射表供各个部门内各员工的移动安全办公终端使用；
步骤(2)：各移动安全办公终端初始化，在终端创建基于所述WMI的监控程序，所述监控程序的创建依次包含以下步骤，监控程序创建后一直运行，用于在软件安装与运行时进行软件的启动检测，
步骤(2.1)：初始化微软的组件对象模型COM库，
步骤(2.2)：设置WMI服务进程中COM的安全信息，同时设置管理员权限，
步骤(2.3)：创建WMI服务进程中的COM服务器，用于和WMI服务进程通信，以便接发数据，
步骤(2.4)：连接WMI命名空间，
步骤(2.5)：设置WMI连接的安全等级，以便允许访问另一个WMI服务进程的对象，
步骤(2.6)：发起WMI请求，查询Win32-Process进程信息，以便监控软件启动时进程的创建；
步骤(3)：服务器端按部门向其中的员工的移动安全办公终端下发最新的软件白名单；
步骤(4)：各移动安全办公终端接收到步骤(3)中下发的所述最新的软件白名单后，向服务器端发送所需求软件的请求；
步骤(5)：服务器端对发出所需软件请求的移动安全办公终端根据所述的身份验证码对移动安全办公终端进行员工身份验证，
若员工身份验证未通过，则阻断软件请求，
若员工身份验证通过，执行步骤(6)；
步骤(6)：服务器端根据记载在所述发送软件请求中的发送日期和所需软件对应所述的软件编号，判断软件编号是否属于发送软件请求的移动安全办公终端所在部门的软件白名单中，
若所述软件编号不在对应的部门的软件白名单中，则终止软件请求，
若所述软件编号在对应的部门的软件白名单中，则执行步骤(7)；
步骤(7)：在服务器端把步骤(6)中通过所述软件编号校验的软件下载到所述需求软件的移动安全办公终端后，在软件安装时，所述移动安全办公终端的所述监控程序对软件的安装进行启动检测，检测通过后进行正常安装，否则，不能正常安装；
步骤(8)：在步骤(7)中软件正常安装后，在软件运行时，所述移动安全办公终端的所述监控程序对软件的运行进行启动检测，检测通过后进行正常运行，否则，不能正常运行。

说明书一种基于WMI软件白名单机制的移动安全办公方法
技术领域
本发明属于终端设备移动办公安全技术领域，涉及一种基于WMI软件白名单机制的移动安全办公方法。
技术背景
对于一般企事业而言，平常使用的软件与工作性质密切相关。一些特定企事业单位，出于安全性与保密性，只允许员工使用一些特定的软件，便于进行统一的管理。传统控制软件运行的方式是禁止员工安装一些无关工作的软件。但是实际情况，员工会偷偷的下载一些聊天、炒股、下载软件等，对于管理层而言，这些软件是“有害的”，也是不安全的。对于移动安全办公系统而言，对员工使用的软件进行统一管理，只允许员工运行一些特定的软件显得尤为重要，这些，对于软件的控制提出了一个很高的要求。
公开号为CN 103646215A的中国专利公开了一种应用程序的安装控制方法、相关系统及装置。该方法设置一个黑白名单，针对应用程序的安装请求，若在白名单中，允许安装；若在黑名单中，不允许安装。该方法虽然可以控制应用程序的安装，但只是对安装程序进行判断，对无需安装但供直接运行的软件程序未做处理。同时，黑白名单中只包含应用程序名称及版本号，因此，通过修改应用程序名称及版本号的恶意程序可绕过白名单，该方法安全性较差。
WMI—Windows Management Instrumentation是一项核心的Windows管理技术，通过WMI，可以获取关于硬件/软件的数据，也可以提供关于硬件或软件服务的数据给WMI。本发明一种基于WMI软件白名单机制的移动安全办公方法，在移动安全办公服务器端对下载软件进行预处理，创建软件白名单；在移动安全办公终端基于WMI创建监控进程，监控软件安装程序与运行程序的启动，在软件白名单中的允许启动，反之，禁止启动；保证终端用户可以安装与运行的软件，都只能从服务器端下载，都是经过服务器端管理员认证过的，都在软件白名单中。
本发明与现有的方法相比优点有：服务器端对下载软件进行了预处理，可以阻止大量附带在下载软件内的无关程序的安装，只保留用户所需的核心程序—安装程序和执行程序，可 以极大提高效率；对安装程序、执行程序都放在虚拟执行环境沙箱中预先运行，可以观察该软件的实际效果，避免直接安装在系统中对系统造成威胁。终端用户从服务器端下载软件，安装和运行，可使得用户使用的软件都在软件白名单中，便于服务器端管理员进行统一管理和保证安全性。基于WMI创建监控程序，对软件安装与运行进行检测，可以同时保证安装与运行的安全性，也具有较好的稳定性与兼容性。采用软件多个属性，软件类型、软件版本、软件名称、出厂日期、大小、版权、数字签名、执行路径综合，设为软件属性参数序列，与设置的软件编号构建软件-编号映射表，可以避免因修改软件名称、执行路径等避过软件白名单的检测，保证检测的准确性。本发明适合在企事业中进行大规模部署，便于使用和维护，在移动办公领域有着良好的应用。
发明内容
为有效控制软件的运行，保证安全性，本发明提供了一种基于WMI软件白名单机制的移动安全办公方法，控制软件的安装与运行。保证移动安全办公终端用户能够安装的软件只能从移动安全办公服务器端下载，经过服务器端管理员认证过的，都在软件白名单中，非法下载或移植的安装程序不能安装。保证终端用户可以运行的软件程序都在软件白名单中，非法下载或移植的可执行程序都不能运行。
本发明的特征在于：是一种基于简称为WMI的Windows Management Instrumentation管理工具的一种移动安全办公方法，是在由一个供移动安全办公用的服务器端和多个移动安全办公终端共同组成的移动安全办公系统中依次按以下步骤实现的：
步骤(1)：服务器端依次按以下步骤初始化，添加软件并创建软件白名单，下发至所述的移动安全办公终端，以下简称终端，
步骤(1.1)：服务器端管理员下载所需软件并按以下步骤进行下载软件的预处理后再添加到服务器端，
步骤(1.1.1)：判断下载的软件是软件安装包还是供直接运行的执行程序，并执行以下步骤，
若是软件安装包，执行步骤(1.1.1.1)，
若是供直接运行的执行程序，执行步骤(1.1.1.2)，
步骤(1.1.1.1)：把所述软件安装包在虚拟执行环境沙箱中预先安装，安装完成后运行，待运行正常后，抽取安装程序和执行程序，执行步骤(1.1.2)，
步骤(1.1.1.2)：把所述供直接运行的执行程序在所述的沙箱中预先运行，待运行正常 后抽取执行程序，执行步骤(1.1.2)，
步骤(1.1.2)：把从步骤(1.1.1)中得到的软件安装程序与执行程序添加到服务器端软件库，
步骤(1.1.3)：把从步骤(1.1.1)中得到的软件安装程序与执行程序对应的软件属性综合，设为软件属性参数序列，同时设置软件编号，以软件属性参数序列和编号构建软件-编号映射表，添加到服务器端的应用软件白名单中，设定的所述软件属性参数序列中的属性参数：软件类别、软件名称、软件版本、出厂日期、大小、软件的版权、数字签名、执行路径，软件类别是指软件是安装程序还是执行程序，分别用“0”和“1”标示，执行路径是指软件的具体安装路径，
步骤(1.1.4)：在所述服务器端的一台计算机“裸机”上，安装一套完整无病毒木马的操作系统，获取其上的包括动态链接库DLL文件、可执行程序EXE文件、对象类别扩充组件OCX文件和部分系统SYS文件在内的可移植可执行PE各文件后，设置编号，以PE文件的软件属性参数序列和编号构建软件-编号映射表，拼成系统软件白名单，所述的应用软件白名单和所述的系统软件白名单共同构成总体的软件白名单，
步骤(1.2)：服务器端根据不同部门使用的软件不同，把不同的部门分成不同的组，一个部门对应一个组，依次来创建各部门的软件白名单，并设置一个部门识别码，所述部门识别码再加上部门内员工的PIN码共同组成部门内每个员工的身份验证码，
步骤(1.3)：服务器端把部门内所有员工的身份验证码和对应的所述部门的软件白名单组成一个映射表供各个部门内各员工的移动安全办公终端使用；
步骤(2)：各移动安全办公终端初始化，在终端创建基于所述WMI的监控程序，所述监控程序的创建依次包含以下步骤，监控程序创建后一直运行，用于在软件安装与运行时进行软件的启动检测，
步骤(2.1)：初始化微软的组件对象模型COM库，
步骤(2.2)：设置WMI服务进程中COM的安全信息，同时设置管理员权限，
步骤(2.3)：创建WMI服务进程中的COM服务器，用于和WMI服务进程通信，以便接发数据，
步骤(2.4)：连接WMI命名空间，
步骤(2.5)：设置WMI连接的安全等级，以便允许访问另一个WMI服务进程的对象，
步骤(2.6)：发起WMI请求，查询Win32-Process进程信息，以便监控软件启动时进程的创建；
步骤(3)：服务器端按部门向其中的员工的移动安全办公终端下发最新的软件白名单；
步骤(4)：各移动安全办公终端接收到步骤(3)中下发的所述最新的软件白名单后，向服务器端发送所需求软件的请求；
步骤(5)：服务器端对发出所需软件请求的移动安全办公终端根据所述的身份验证码对移动安全办公终端进行员工身份验证，
若员工身份验证未通过，则阻断软件请求，
若员工身份验证通过，执行步骤(6)；
步骤(6)：服务器端根据记载在所述发送软件请求中的发送日期和所需软件对应所述的软件编号，判断软件编号是否属于发送软件请求的移动安全办公终端所在部门的软件白名单中，
若所述软件编号不在对应的部门的软件白名单中，则终止软件请求，
若所述软件编号在对应的部门的软件白名单中，则执行步骤(7)；
步骤(7)：在服务器端把步骤(6)中通过所述软件编号校验的软件下载到所述需求软件的移动安全办公终端后，在软件安装时，所述移动安全办公终端的所述监控程序对软件的安装进行启动检测，检测通过后进行正常安装，否则，不能正常安装；
步骤(8)：在步骤(7)中软件正常安装后，在软件运行时，所述移动安全办公终端的所述监控程序对软件的运行进行启动检测，检测通过后进行正常运行，否则，不能正常运行。
基于WMI软件白名单机制的移动安全办公方法，具有较好的稳定性、安全性与兼容性。
附图说明
图1为本发明主系统流程图；
图2为本发明的下载软件预处理流程图；
图3为本发明的软件下载与安装流程图；
图4为本发明的软件安装程序启动检测流程图；
图5为本发明的软件执行程序启动检测流程图；
图6为本发明的基于WMI创建监控程序流程图。
具体实施方式
为使本发明的上述目的、特征和优点能更加明显易懂，下面将结合本发明的附图，对本发明实施例中的技术方案进行完整、详细的描述。以下描述的实施例只是本发明的部分实施 例，并不是全部的实施例。基于本发明的实施例，本领域中的普通技术人员在没有做出创造性劳动的前提下获得的所有其他实施例，均在本发明的保护范围中。
基于WMI软件白名单机制的移动安全办公方法，主要是对软件的安装与运行进行监控，保证用户能够安装与运行的软件都是从服务器端下载的，都在软件白名单中。对安装程序、执行程序进行启动检测的监控程序基于WMI来创建。
本发明的总体步骤如图1所示：
步骤M1：构建基于WMI的移动安全办公系统，一个移动办公服务器端与多个移动安全办公终端；
步骤M2：初始化服务器端，服务器端管理员添加软件并创建软件白名单；
步骤M3：服务器端下发最新的软件白名单至终端；
步骤M4：终端用户提出请求(需求的软件)至服务器端；
步骤M5：服务器端对终端用户进行身份验证，根据身份验证码提供可下载的软件或软件列表；
步骤M6：在终端创建监控程序，对从服务器端下载的软件进行启动检测；
步骤M7：判断软件启动检测是否通过；
步骤M8：若软件启动检测未通过，禁止启动，软件运行失败；
步骤M9：若软件启动检测通过，允许启动，软件正常运行；
本发明中步骤M2中创建软件白名单，软件白名单的创建具体包含应用软件白名单的创建与系统软件白名单的创建。系统软件白名单是为了保证系统的正常运行，该系统软件，是装好无病毒木马的系统之后，第一次运行时计算机上已存在所有的PE文件，包括DLL、EXE、OCX和部分SYS文件。获取系统软件后，以PE文件的软件属性参数序列和设置的软件编号，构建软件-编号映射表，添加到系统软件白名单中。软件属性参数序列中的软件属性：具体为软件类型、软件版本、软件名称、出厂日期、大小、版权、数字签名、执行路径。
应用软件白名单的创建就是下载软件的预处理方法，参见图2，方法实现步骤如下：
步骤S1：服务器端管理员下载所需软件；
步骤S2：判断该下载的软件是否是软件安装包，若是，转到步骤S3，若不是，转到步骤S4；
步骤S3：若步骤S2中是软件安装包，在虚拟执行环境沙箱中预先安装，安装完成后运行，运行正常后，将安装程序与执行程序抽取出来；
步骤S4：若步骤S2中不是软件安装包，是供直接运行的执行程序，在虚拟执行环境沙箱中运行该程序，运行正常后，将执行程序抽取出来；
步骤S5：将步骤S3与步骤S4中抽取出的软件安装程序与执行程序添加到服务器端软件库；
步骤S6：以软件属性参数序列，与设置的软件编号构成软件-编号映射表，添加到应用软件白名单中。
在沙箱中预先安装、运行下载的软件，是为了观察该下载软件在运行时的安全性与稳定性，避免直接安装到系统中对系统造成威胁。将软件的属性综合，设为软件属性参数序列，同时设置软件编号，以软件属性参数序列和编号构建软件-编号映射表，添加到应用软件白名单中。软件属性参数序列中的软件属性：具体为软件类型、软件版本、软件名称、出厂日期、大小、版权、数字签名、执行路径。
软件白名单的创建，可以根据企事业的实际情况，例如某企事业单位中不同部门使用的软件不同，可以将不同的部门分成不同的组，同一部门对应同一个组。服务器端管理员按照组的实际情况来创建每个部门的软件白名单，每个部门的员工共用该组中的软件。这样便于服务器端管理员对员工使用软件进行统一管理，同时，也可以使每个部门保持一定的独立性。
本发明步骤M3中，服务器端对终端用户下发最新软件白名单，是为了在终端进行软件启动检测时，主要是安装程序与执行程序的启动检测，保证使用到的软件白名单是最新版本，具体实施方式有两种：
方式一，在对软件启动(安装程序和执行程序的启动)进行检测前，终端向服务器端发出验证请求，验证此时已获得的软件白名单(上一次服务器端下发给终端的软件白名单)是否是最新的。若服务器端的软件白名单已经更新，就重新下发新的软件白名单到终端。
方式二，服务器端每次软件白名单更新后，直接向终端下发最新的软件白名单，覆盖旧的软件白名单。
本发明中步骤M4-M6中软件的下载与安装，参见图3，具体方法为：
步骤S01：服务器端管理员将软件添加到服务器端；
步骤S02：服务器端对终端用户下发最新的软件白名单；
步骤S03：终端用户向服务器端发起软件请求；
步骤S04：服务器端根据终端用户的身份验证码对用户进行身份验证；
步骤S05：判断终端用户的身份验证是否通过；
步骤S06：若步骤S04中用户的身份验证未通过，阻断软件请求；
步骤S07：若步骤S04中用户的身份验证通过，服务器端根据用户的身份验证码提供可下载的软件或软件列表；
步骤S08：从服务器端下载所需软件至终端，然后启动软件安装；
步骤S09：终端在软件安装时进行软件的启动检测；
步骤S10：检测通过后软件正常安装，未通过禁止软件安装。
对于步骤S01，服务器端管理员将软件添加到服务器端，在添加之前，将软件放在虚拟执行环境沙箱中进行安装与运行，运行正常后才添加。
对于步骤S07，服务器端根据用户的身份验证码提供可下载的软件或软件列表，具体是指，服务器端根据不同部门使用的软件不同，把不同的部门分成不同的组，使用一部门对应一个组，依次来创建部门的软件白名单，并设置一个部门识别码，所述部门识别码再加上部门内员工的PIN码共同组成部门内每个员工的身份验证码，服务器端把部门内所有的员工的身份验证码和对应的所述部门的软件白名单组成一个映射表供各个部门内对应员工的移动办公终端使用。因此，可以根据用户的身份验证码获得服务器端对应的可供下载的软件或软件列表。
对于步骤S08，软件在安装时进行启动检测，是依据图4中步骤S11-S15进行安装程序的启动检测，检测通过后软件才能正常安装，检测未通过软件不能正常安装。
本发明步骤M6中，终端对软件启动进行启动检测，主要是对安装程序与执行程序的启动检测。
安装程序的启动检测参见图4，方法的实现如下：
步骤S11：在终端创建监控程序，监控安装程序的启动；
步骤S12：拦截安装程序启动进程；
步骤S13:判断启动进程对应的软件的安装程序是否在软件白名单中，若在，进入步骤S14,若不在，进入步骤S15；
步骤S14：允许启动进程运行，安装程序启动成功，软件正常安装；
步骤S15：关闭启动进程，安装程序启动失败，软件不能正常安装。
对于步骤S11，在终端创建监控程序，是基于WMI创建的。参见图6，创建的步骤如下：
步骤S001:初始化微软组件对象模型COM库；
步骤S002:设置WMI服务进程COM安全信息，同时设置管理员权限；
步骤S003:创建WMI服务进程中的COM服务器，用于与WMI服务进程通信，便于接发数据；
步骤S004:连接WMI命名空间；
步骤S005:设置WMI连接的安全等级，允许访问另一个WMI服务进程的对象；
步骤S006:发起WMI请求，查询Win32_Process进程信息，监控软件启动时进程的创建。
对于步骤S001，WMI是基于COM技术的，调用WMI，首先要初始化COM库。COM-Component Object Model,组件对象模型。
对于步骤S002，调用WMI，至少需要RPC_C_IMP_LEVEL_IMPERSONATE等级，在管理员权限下运行程序，可以满足权限要求。
对于步骤S003，应用中使用WMI完成相关功能时，实际执行操作是在WMI服务中执行的。这样要求应用和WMI服务进程有通信，创建一个进程内COM服务器用于接发数据。
对于步骤S006，从Windows提供的WMI Provider中查询想要的信息，查询WMI类中的Win32_Process，即进程的相关信息，就可以捕获到软件启动时进程的创建。这样，就实现了软件启动时进程的监控。
对于步骤S12，拦截安装程序启动进程。步骤S11中创建的监控程序,监控安装程序启动。当程序启动时，启动进程创建这个事件触发后，被监控程序所捕获到，拦截启动进程之后，暂停启动进程。防止在对启动进程进行处理时，启动进程已经执行完了这种特殊情况。
对于步骤S13，判断启动进程对应的软件的安装程序是否在软件白名单中，就是对暂停后的启动进程进行处理。是将捕获到的启动进程对应的软件的相关信息，包括软件类型、软件版本、软件名称、出厂日期、大小、版权、数字签名、执行路径作为软件属性参数序列，比对软件白名单中的软件-编号映射表。若在软件白名单中，则说明该软件的安装程序在软件白名单中。软件类型是指软件程序是安装程序还是执行程序，分别使用“0”和“1”来标示，在比对软件白名单时，可以根据标示提高比对效率。
对于步骤S14，若步骤S13中启动进程对应的软件的安装程序在软件白名单中，允许启动进程运行，软件正常安装。
对于步骤S15，若步骤S13中启动进程对应的软件的安装程序不在软件白名单中，关闭启动进程，软件安装失败。
对软件安装程序的检测，是为了保证用户能够安装的软件都是从服务器端下载的，都是经过服务器端管理员认证过的，在软件白名单中，安全性可靠。
软件安装完成后，在运行时进行执行程序的启动检测。执行程序的启动检测参见图5，方法的实现如下：
步骤S21：在终端创建监控程序，监控执行程序的启动；
步骤S22：拦截执行程序启动进程；
步骤S23:判断启动进程对应的软件的执行程序是否在软件白名单中，若在，进入步骤S24,若不在，进入步骤S25；
步骤S24：允许启动进程运行，执行程序启动成功，软件正常运行；
步骤S25：关闭启动进程，执行程序启动失败，软件不能正常运行。
对于步骤S21，监控程序的创建详细步骤参见图6步骤S001-S006。
对于步骤S22、S23功能类似图4中步骤S12、S13。
对于步骤S24，若步骤S23中启动进程对应的软件的执行程序在软件中，允许启动进程运行，软件正常运行。
对于步骤S25，若步骤S23中启动进程对应的软件的执行程序不在软件白名单中，关闭启动进程，软件运行失败。
对软件执行程序的检测，是为了保证用户能够运行的软件都是从服务器端下载的，都是经过服务器端管理员认证过的，同时进一步在软件成功安装后，运行时进行启动检测，多重检测，保证安全性。