本發(fā)明涉及網(wǎng)絡(luò)管理
技術(shù)領(lǐng)域：
，尤其涉及一種軟件白名單管理方法及系統(tǒng)。
背景技術(shù)：
：隨著信息技術(shù)的快速發(fā)展，各個行業(yè)都在大力建設(shè)信息化系統(tǒng)，進(jìn)而使網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)中的設(shè)備數(shù)量也快速增加，隨之而來的安全問題也愈見突出。在系統(tǒng)和網(wǎng)絡(luò)的安全性面臨的問題中，在終端設(shè)備中私自部署與業(yè)務(wù)運(yùn)行無關(guān)的軟件，不僅造成了硬件資源的浪費(fèi)、影響設(shè)備運(yùn)行效率，還會因?yàn)閿?shù)據(jù)竊取導(dǎo)致重要數(shù)據(jù)泄露的問題?，F(xiàn)有技術(shù)中，為實(shí)現(xiàn)目標(biāo)網(wǎng)絡(luò)中終端設(shè)備所安裝軟件的管理，通常在終端設(shè)備上部署客戶端檢測軟件。利用白名單技術(shù)，客戶端檢測軟件將可信、安全的應(yīng)用程序添加到白名單中，并實(shí)時監(jiān)控終端設(shè)備上安裝和運(yùn)行的軟件，只有白名單內(nèi)的應(yīng)用程序才能運(yùn)行，白名單以外的應(yīng)用程序均不能在終端設(shè)備上運(yùn)行。圖1為現(xiàn)有技術(shù)中的軟件白名單管理系統(tǒng)的部署架構(gòu)示意圖。如圖1所示，該管理系統(tǒng)包括服務(wù)器10、通過交換機(jī)20與服務(wù)器10連接的多個終端設(shè)備30，其中，服務(wù)器10的主要功能包括制定軟件白名單策略；部署在終端設(shè)備30上的客戶端檢測軟件從服務(wù)器10同步軟件白名單策略，以及獲取終端設(shè)備30上的安裝軟件列表，并將獲取的軟件列表與軟件白名單策略進(jìn)行對比，如果發(fā)現(xiàn)違規(guī)安裝的軟件，則進(jìn)行相關(guān)安全提示。另外，由于終端設(shè)備30多采用Windows桌面版操作系統(tǒng)，所以，客戶端檢測軟件多是通過WMI(WindowsManagementInstrumentation，Windows管理規(guī)范)與終端設(shè)備30中的操作系統(tǒng)進(jìn)行交互。然而，上述軟件白名單管理系統(tǒng)需要在被管控的終端設(shè)備30上安裝客戶端檢測軟件，該客戶端檢測軟件的運(yùn)行會占用終端設(shè)備30的內(nèi)部硬件資源，因此會對終端設(shè)備30的運(yùn)行性能造成較大影響；另外，上述客戶端檢測軟件運(yùn)行的源代碼對用戶通常是隱藏的，因此，可能存在軟件廠家利用該客戶端檢測軟件竊取數(shù)據(jù)的情況，增加了數(shù)據(jù)泄露的風(fēng)險。技術(shù)實(shí)現(xiàn)要素：為克服相關(guān)技術(shù)中存在的問題，本發(fā)明提供一種軟件白名單管理方法及系統(tǒng)。根據(jù)本發(fā)明實(shí)施例的第一方面，提供一種軟件白名單管理方法，該方法包括：獲取軟件白名單核查任務(wù)中的被檢查設(shè)備以及所述被檢查設(shè)備的登錄信息；根據(jù)所述被檢設(shè)備的設(shè)備類型，為所述被檢設(shè)備分配相應(yīng)的軟件白名單核查執(zhí)行腳本；根據(jù)所述被檢查設(shè)備的登錄信息，登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備；獲取所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果；將所述腳本執(zhí)行結(jié)果中的安裝軟件信息與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果?？蛇x地，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果之后，所述方法還包括：分別從設(shè)備維度和軟件維度，對各所述安裝軟件的策略核查結(jié)果進(jìn)行統(tǒng)計分析?？蛇x地，所述軟件安裝策略庫的建立方法包括：根據(jù)所述被檢設(shè)備的設(shè)備類型，將所述設(shè)備類型對應(yīng)操作系統(tǒng)的多個系統(tǒng)版本進(jìn)行最大化安裝；采集所述多個系統(tǒng)版本進(jìn)行最大化安裝后對應(yīng)的默認(rèn)安裝軟件；將所述默認(rèn)安裝軟件的策略類型設(shè)置為允許安裝；將所述默認(rèn)安裝軟件和所述默認(rèn)安裝軟件的策略類型添加到所述軟件安裝策略庫中；和/或，獲取為所述被檢設(shè)備制定的軟件安裝策略；將制定的所述軟件安裝策略添加到所述軟件安裝策略庫中；和/或，根據(jù)各所述安裝軟件的策略核查結(jié)果，獲取各所述安裝軟件中的未知策略軟件；根據(jù)對所述未知策略軟件的策略類型判定結(jié)果，得到所述未知策略軟件的策略類型；將所述未知策略軟件和所述未知策略軟件的策略類型添加到所述軟件安裝策略庫中?？蛇x地，獲取為所述被檢設(shè)備制定的軟件安裝策略，包括：分別獲取為所述被檢設(shè)備制定的業(yè)務(wù)系統(tǒng)軟件安裝策略和設(shè)備個性軟件安裝策略；將所述業(yè)務(wù)系統(tǒng)軟件安裝策略作為制定的軟件安裝策略；判斷所述設(shè)備個性軟件安裝策略與所述業(yè)務(wù)系統(tǒng)軟件安裝策略是否存在沖突；如果存在沖突，則放棄所述設(shè)備個性軟件安裝策略；否則，將所述設(shè)備個性軟件安裝策略作為制定的軟件安裝策略?？蛇x地，根據(jù)所述被檢查設(shè)備的登錄信息，登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備，包括：獲取所述軟件白名單核查任務(wù)中的核查執(zhí)行時間和核查周期；根據(jù)所述核查執(zhí)行時間、所述核查周期以及所述被檢查設(shè)備的登錄信息，周期性的登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備?？蛇x地，獲取所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果，包括：判斷是否接收到所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果；如果接收到，則生成退出登錄所述被檢查設(shè)備的指令?？蛇x地，將所述腳本執(zhí)行結(jié)果中的安裝軟件信息與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果，包括：對所述腳本執(zhí)行結(jié)果進(jìn)行分析，得到所述被檢設(shè)備中的安裝軟件列表；依次將所述安裝軟件列表中包含的安裝軟件與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果?？蛇x地，依次將所述安裝軟件列表中包含的安裝軟件與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果，包括：依次判斷所述安裝軟件列表中包含的安裝軟件是否能在所述被檢查設(shè)備的軟件安裝策略庫中的業(yè)務(wù)系統(tǒng)子策略庫查找到相同的軟件；如果是，則獲取所述業(yè)務(wù)系統(tǒng)子策略庫中存儲的所述安裝軟件的安裝策略；否則，則判斷所述安裝軟件是否能在所述被檢查設(shè)備的軟件安裝策略庫中的設(shè)備個性子策略庫查找到相同的軟件；如果是，則獲取所述設(shè)備個性子策略庫中存儲的所述安裝軟件的安裝策略；否則，則將所述安裝軟件判定為未知策略軟件。根據(jù)本發(fā)明實(shí)施例的第二方面，還提供了一種軟件白名單管理系統(tǒng)，該系統(tǒng)包括：設(shè)備信息獲取模塊：用于獲取軟件白名單核查任務(wù)中的被檢查設(shè)備以及所述被檢查設(shè)備的登錄信息；執(zhí)行腳本分配模塊：用于根據(jù)所述被檢設(shè)備的設(shè)備類型，為所述被檢設(shè)備分配相應(yīng)的軟件白名單核查執(zhí)行腳本；執(zhí)行腳本發(fā)送模塊：用于根據(jù)所述被檢查設(shè)備的登錄信息，登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備；執(zhí)行結(jié)果獲取模塊：用于獲取所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果；核查結(jié)果獲取模塊：用于將所述腳本執(zhí)行結(jié)果中的安裝軟件信息與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果?？蛇x地，所述系統(tǒng)還包括：核查結(jié)果展現(xiàn)模塊：用于分別從設(shè)備維度和軟件維度，對各所述安裝軟件的策略核查結(jié)果進(jìn)行統(tǒng)計分析。由以上技術(shù)方案可見，本發(fā)明實(shí)施例提供的一種軟件白名單管理方法及系統(tǒng)，該方法根據(jù)軟件白名單核查任務(wù)中的被檢查設(shè)備的設(shè)備類型，為被檢設(shè)備分配軟件白名單核查執(zhí)行腳本，然后，根據(jù)被檢查設(shè)備的登錄信息，登錄被檢查設(shè)備并將上述軟件白名單核查執(zhí)行腳本發(fā)送給被檢查設(shè)備，最后，將被檢查設(shè)備返回的腳本執(zhí)行結(jié)果中的安裝軟件信息與預(yù)先建立好的軟件安裝策略庫進(jìn)行對比分析，得到被檢設(shè)備中各安裝軟件的策略核查結(jié)果。本發(fā)明實(shí)施例提供的管理方法及系統(tǒng)，是面向服務(wù)器端設(shè)備進(jìn)行軟件白名單管理，服務(wù)器端設(shè)備多為承載重要業(yè)務(wù)的核心設(shè)備，因此，不僅保證了網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的安全性，還填補(bǔ)了在服務(wù)器端進(jìn)行操作系統(tǒng)軟件白名單管理的空白；其次，本發(fā)明實(shí)施例采用登錄設(shè)備、執(zhí)行腳本、離線解析采集結(jié)果的方式進(jìn)行檢查，僅在需要檢查時連接設(shè)備即可，不需要在被管設(shè)備上安裝任何客戶端軟件或者啟動任何服務(wù)，并且腳本為開源性文件，所有可保證數(shù)據(jù)的安全性，另外通過對數(shù)據(jù)采集腳本進(jìn)行輕量化處理，執(zhí)行過程中不會占用大量硬件資源，整個采集過程對被檢查設(shè)備的影響很小。最后，本發(fā)明實(shí)施例采用根據(jù)被檢設(shè)備的類型自動匹配相應(yīng)的數(shù)據(jù)采集腳本，彌補(bǔ)了傳統(tǒng)軟件白名單僅支持Windows操作系統(tǒng)的缺點(diǎn)，增加了對Unix類和Linux類操作系統(tǒng)的支持，極大的豐富了軟件白名單產(chǎn)品支持的設(shè)備類型。應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。附圖說明此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本發(fā)明的實(shí)施例，并與說明書一起用于解釋本發(fā)明的原理。為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為現(xiàn)有技術(shù)中的軟件白名單管理系統(tǒng)的部署架構(gòu)示意圖；圖2為本發(fā)明實(shí)施例提供的軟件白名單管理系統(tǒng)的部署架構(gòu)示意圖；圖3為本發(fā)明實(shí)施例提供的一種軟件白名單管理方法的流程示意圖；圖4為本發(fā)明實(shí)施例提供的對被檢設(shè)備中各安裝軟件進(jìn)行安裝策略分析的流程示意圖；圖5為本發(fā)明實(shí)施例提供的軟件安裝策略庫的建立方法的流程示意圖；圖6為本發(fā)明實(shí)施例提供的一種軟件白名單管理系統(tǒng)的基本結(jié)構(gòu)示意圖。具體實(shí)施方式這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。針對現(xiàn)有技術(shù)中的客戶端檢測軟件需要安裝在被檢測設(shè)備上所引發(fā)的問題，本發(fā)明實(shí)施例提供的軟件白名單管理方法，將對終端中安裝軟件的核查功能遷移到網(wǎng)絡(luò)中的服務(wù)器端。圖2為本發(fā)明實(shí)施例提供的軟件白名單管理系統(tǒng)的部署架構(gòu)示意圖，如圖2所示，首先，Sever服務(wù)器10利用預(yù)先存儲的終端設(shè)備30的設(shè)備登錄信息(如用戶名、密碼、訪問端口等)登錄終端設(shè)備30，進(jìn)一步的，由于大多數(shù)企業(yè)網(wǎng)內(nèi)的終端設(shè)備都按照業(yè)務(wù)系統(tǒng)進(jìn)行了網(wǎng)絡(luò)隔離，所以可能存在Server服務(wù)器10不能直接訪問終端設(shè)備的問題，針對此問題，本發(fā)明實(shí)施例在每個業(yè)務(wù)系統(tǒng)中還部署有一臺Probe(采集)服務(wù)器40，即Server服務(wù)器10通過交換機(jī)20與各Probe服務(wù)器40，各Probe服務(wù)器40與其所屬業(yè)務(wù)系統(tǒng)內(nèi)的終端設(shè)備30連接；然后，控制終端設(shè)備30執(zhí)行Sever服務(wù)器10發(fā)送的軟件白名單核查執(zhí)行腳本，以采集控制終端設(shè)備30的安裝軟件信息；最后，Server服務(wù)器10通過對比采集到的安裝軟件信息與預(yù)先指定好的安裝策略，得到終端設(shè)備30上是否存在違規(guī)安裝運(yùn)行的軟件，進(jìn)而解決了需要在終端設(shè)備上安裝客戶端軟件的問題。需要說明的是，在具體實(shí)施時，Server服務(wù)器10還可以通過交換機(jī)20直接與終端設(shè)備30連接。下面將對本發(fā)明實(shí)施例提供的管理方法進(jìn)行詳細(xì)介紹。圖3為本發(fā)明實(shí)施例提供的一種軟件白名單管理方法的流程示意圖，應(yīng)用于圖2的管理系統(tǒng)中的Server服務(wù)器。如圖3所示，該方法具體包括如下步驟：S110：獲取軟件白名單核查任務(wù)中的被檢查設(shè)備以及所述被檢查設(shè)備的登錄信息。具體的，用戶在Server服務(wù)器端選擇軟件白名單管理系統(tǒng)內(nèi)待檢查的設(shè)備、以及設(shè)定核查任務(wù)的開始時間、結(jié)束時間以及執(zhí)行周期等信息后，便完成了軟件白名單核查任務(wù)的建立過程。Server服務(wù)器首先獲取用戶建立好的軟件白名單核查任務(wù)中的被檢查設(shè)備，然后，根據(jù)被檢查設(shè)備的預(yù)設(shè)標(biāo)識(如ID身份標(biāo)識)，在預(yù)先建立好的設(shè)備登錄信息庫中，查找所述被檢查設(shè)備的登錄信息。S120：根據(jù)所述被檢設(shè)備的設(shè)備類型，為所述被檢設(shè)備分配相應(yīng)的軟件白名單核查執(zhí)行腳本。具體的，本發(fā)明實(shí)施例中軟件白名單核查執(zhí)行腳本按照設(shè)備類型(如Windows設(shè)備、Redhat設(shè)備等)分別編寫，Server服務(wù)器根據(jù)核查任務(wù)中所選擇的被檢查設(shè)備的設(shè)備類型，自動匹配相應(yīng)的軟件白名單核查執(zhí)行腳本。S130：根據(jù)所述被檢查設(shè)備的登錄信息，登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備。具體的，Server服務(wù)器將被檢查設(shè)備的登錄信息發(fā)送給相應(yīng)的Probe服務(wù)器，Probe服務(wù)器采用分布式的方式并發(fā)建立到被檢查設(shè)備的網(wǎng)絡(luò)連接，其中，與被檢查設(shè)備的網(wǎng)絡(luò)連接可以支持多種連接協(xié)議(如Telnet遠(yuǎn)程終端協(xié)議、SSH安全殼協(xié)議和RDP遠(yuǎn)程桌面協(xié)議等)，完成被檢查設(shè)備的登錄；然后，Probe服務(wù)器將來自Server服務(wù)器的軟件白名單核查執(zhí)行腳本發(fā)送給被檢查設(shè)備。另外，為了保證檢查的時效性，本發(fā)明實(shí)施例還提供了采用周期性任務(wù)的方式登錄被檢查設(shè)備，具體包括如下步驟：S131：獲取所述軟件白名單核查任務(wù)中的核查執(zhí)行時間和核查周期。其中，檢查周期可根據(jù)被檢設(shè)備所屬的業(yè)務(wù)系統(tǒng)和設(shè)備類型的重要程度等實(shí)際需求進(jìn)行靈活設(shè)定。S132：根據(jù)所述核查執(zhí)行時間、所述核查周期以及所述被檢查設(shè)備的登錄信息，周期性的登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備。通過上述采用周期性任務(wù)登錄被檢查設(shè)備并采集設(shè)備信息的形式可以保證檢查頻次，在不安裝客戶端軟件的前提下，保證了檢查結(jié)果的時效性。S140：獲取所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果。本發(fā)明實(shí)施例采用離線方式對腳本執(zhí)行結(jié)果進(jìn)行分析，即僅在需要采集被檢測設(shè)備信息時連接被檢查設(shè)備。具體的，包括如下步驟：S141：判斷是否接收到所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果。其中，被檢查設(shè)備執(zhí)行軟件白名單核查執(zhí)行腳本中的內(nèi)容，并將腳本執(zhí)行結(jié)果發(fā)送給Probe服務(wù)器，然后再由Probe服務(wù)器發(fā)送給Server服務(wù)器并保存到數(shù)據(jù)庫。S142：如果接收到，則生成退出登錄所述被檢查設(shè)備的指令。當(dāng)Server服務(wù)器接收到腳本執(zhí)行結(jié)果后，便會生成退出登錄所述被檢查設(shè)備的指令，并將該指令發(fā)送給Probe服務(wù)器，以使Probe服務(wù)器斷開與被檢查設(shè)備的網(wǎng)絡(luò)連接。通過上述信息采集方式，不需要在被檢查設(shè)備中上安裝任何客戶端軟件或者啟動任何服務(wù)，進(jìn)而可有效減少對被檢查設(shè)備的資源占用。進(jìn)一步的，上述腳本執(zhí)行結(jié)果包括被檢查設(shè)備中安裝的軟件信息，還可以包括被檢查設(shè)備開啟的端口、啟動的進(jìn)程、運(yùn)行的服務(wù)等信息。S150：將所述腳本執(zhí)行結(jié)果中的安裝軟件信息與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果。具體的，首先，對所述腳本執(zhí)行結(jié)果進(jìn)行分析，得到被檢設(shè)備中的安裝軟件列表；然后，依次將所述安裝軟件列表中包含的安裝軟件與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果。下面將以單臺CentOS被檢查設(shè)備為例，對本發(fā)明實(shí)施例中的軟件白名單核查執(zhí)行腳本和腳本執(zhí)行結(jié)果進(jìn)行舉例說明，如表一所示，為部分軟件白名單核查執(zhí)行腳本以及對應(yīng)的腳本執(zhí)行結(jié)果。表一：通過對表一的分析，可以得出該CentOS設(shè)備上安裝的軟件列表，如下表二所示：表二：序號軟件名稱1telnet2gnome-desktop3openssh本發(fā)明實(shí)施例將軟件安裝策略庫分為兩種：業(yè)務(wù)系統(tǒng)子策略庫和設(shè)備個性子策略庫，其中，業(yè)務(wù)系統(tǒng)子策略庫以業(yè)務(wù)系統(tǒng)為單位進(jìn)行設(shè)定，該業(yè)務(wù)系統(tǒng)內(nèi)的所有設(shè)備均需要滿足該策略；設(shè)備個性子策略庫以單臺設(shè)備為單位進(jìn)行設(shè)定，只需要該設(shè)備滿足策略即可。因此，依次將所述安裝軟件列表中包含的安裝軟件與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果的過程，本發(fā)明實(shí)施例提供了如下步驟，如圖4所示為本發(fā)明實(shí)施例提供的對被檢設(shè)備中各安裝軟件進(jìn)行安裝策略分析的流程示意圖。S151：依次判斷所述安裝軟件列表中包含的安裝軟件是否能在所述被檢查設(shè)備的軟件安裝策略庫中的業(yè)務(wù)系統(tǒng)子策略庫查找到相同的軟件。由于業(yè)務(wù)系統(tǒng)策略具有較高的優(yōu)先級，所以，對比過程中優(yōu)先與業(yè)務(wù)系統(tǒng)子策略庫進(jìn)行比對，判斷是否與業(yè)務(wù)系統(tǒng)子策略庫中保存的軟件相匹配。如果判斷結(jié)果為“是”，則跳轉(zhuǎn)到步驟S152，進(jìn)行策略類型判斷；如果判斷結(jié)果為“否”，則跳轉(zhuǎn)到步驟S153，判斷是否匹配設(shè)備個性策略。S152：如果是，則獲取所述業(yè)務(wù)系統(tǒng)子策略庫中存儲的所述安裝軟件的安裝策略。其中，安裝策略種類分為兩類：禁止安裝策略和允許安裝策略，如果匹配到的策略種類為“禁止安裝”，則得到判斷結(jié)果為“違規(guī)”軟件，相反，匹配到的策略種類為“允許安裝”，則得到判斷結(jié)果為“正常”軟件。S153：否則，則判斷所述安裝軟件是否能在所述被檢查設(shè)備的軟件安裝策略庫中的設(shè)備個性子策略庫查找到相同的軟件。如果業(yè)務(wù)系統(tǒng)策略如果沒有匹配成功，則進(jìn)行本步驟中的匹配設(shè)備個性策略，判斷是否與設(shè)備個性策略匹配。如果判斷結(jié)果為“是”，則跳轉(zhuǎn)到步驟S154，進(jìn)行策略類型判斷；如果判斷結(jié)果為“否”，則得到S155中判斷結(jié)果。S154：如果是，則獲取所述設(shè)備個性子策略庫中存儲的所述安裝軟件的安裝策略。同樣的，設(shè)備個性子策略庫中的安裝策略種類也分為兩類：禁止安裝策略和允許安裝策略，如果匹配到的策略種類為“禁止安裝”，則得到判斷結(jié)果為“違規(guī)”軟件，相反，匹配到的策略種類為“允許安裝”，則得到判斷結(jié)果為“正?！避浖155：否則，則將所述安裝軟件判定為未知策略軟件。在業(yè)務(wù)系統(tǒng)子策略庫和設(shè)備個性子策略庫中均未匹配到的軟件即為未知策略軟件。通過匯總安裝軟件列表中每一個安裝軟件的核查結(jié)果，便可以得到被檢設(shè)備中的安裝軟件的核查結(jié)果。結(jié)合表二中得到的安裝軟件列表，下面將對比對分析過程進(jìn)行舉例說明，假設(shè)該CentOS設(shè)備上的軟件安裝策略為下表三：表三：將表二的軟件安裝列表中的安裝軟件逐條與該策略列表進(jìn)行比對，發(fā)現(xiàn)其中違規(guī)安裝的軟件，對比過程具體如下：1)獲取軟件安裝列表中第一條數(shù)據(jù)telnet，在軟件安裝策略庫中查找逐條查找，發(fā)現(xiàn)第1條策略為業(yè)務(wù)系統(tǒng)-A中所有的CentOS設(shè)備均禁止安裝telnet，得出結(jié)果為該設(shè)備違規(guī)安裝telnet軟件；2)獲取軟件安裝列表中第二條數(shù)據(jù)gnome-desktop，在軟件安裝策略庫中查找逐條查找，發(fā)現(xiàn)第2條策略為業(yè)務(wù)系統(tǒng)-A中所有的CentOS設(shè)備均禁止安裝gnome-desktop，得出結(jié)果為該設(shè)備違規(guī)安裝gnome-desktop軟件；3)獲取軟件安裝列表中第三條數(shù)據(jù)openssh，在軟件安裝策略庫中查找逐條查找，發(fā)現(xiàn)第3條策略為業(yè)務(wù)系統(tǒng)-A中所有的CentOS設(shè)備均允許安裝openssh，得出結(jié)果為該設(shè)備安裝openssh軟件為正常。通過上述比分析，便可以得到該CentOS設(shè)備上的安裝軟件的核查結(jié)果如下表四所示：表四：序號軟件名稱核查結(jié)果1telnet違規(guī)安裝2gnome-desktop違規(guī)安裝3openssh正常安裝進(jìn)一步的，在步驟S150得到被檢設(shè)備中各安裝軟件的策略核查結(jié)果之后，為實(shí)現(xiàn)被檢查設(shè)備上安裝軟件的多維度展示，便于后續(xù)網(wǎng)絡(luò)管理人員可以有針對性的進(jìn)行網(wǎng)絡(luò)整改，本發(fā)明實(shí)施例還提供了如下步驟：S160：分別從設(shè)備維度和軟件維度，對各所述安裝軟件的策略核查結(jié)果進(jìn)行統(tǒng)計分析。具體的，從設(shè)備維度展示該被檢查設(shè)備上所安裝軟件的數(shù)量及詳細(xì)列表、正常安裝的軟件數(shù)量及詳細(xì)列表、違規(guī)安裝軟件數(shù)量及詳細(xì)列表以及、未知軟件數(shù)量及詳細(xì)列表；以及，從軟件維度展示某軟件在該被檢查設(shè)備所處網(wǎng)絡(luò)內(nèi)的所有設(shè)備上的的安裝次數(shù)、被判斷未正常安裝的設(shè)備數(shù)量及詳細(xì)列表、被判斷為違規(guī)安裝的設(shè)備數(shù)量及詳細(xì)列表、以及判斷為未知的設(shè)備數(shù)量及詳細(xì)列表。在本發(fā)明實(shí)施例中，軟件安裝策略庫中的內(nèi)容有三個主要來源：首先，是在產(chǎn)品初始階段，通過最大化安裝各類型純凈的操作系統(tǒng)，采集其中的默認(rèn)軟件，將其內(nèi)置到產(chǎn)品中，作為允許安裝的軟件策略；其次，是系統(tǒng)用戶和管理員根據(jù)實(shí)際情況制定軟件安裝策略，如數(shù)據(jù)庫服務(wù)器中需要建立允許Oracle、DB2、PostreSQL等軟件運(yùn)行的策略，網(wǎng)絡(luò)服務(wù)器中需要建立允許Websphere、Weblogic、Tomcat等軟件運(yùn)行的策略；以上兩種方式都是系統(tǒng)或系統(tǒng)用戶主動添加的軟件白名單策略，最后是根據(jù)步驟S150的核查結(jié)果，發(fā)現(xiàn)允許和禁止安裝的軟件策略以外的未知軟件，并對未知軟件進(jìn)行確認(rèn)，確認(rèn)的過程即為建立策略的過程。下面將以本發(fā)明實(shí)施例中的被檢測設(shè)備為例，對軟件安裝策略庫的建立過程進(jìn)行詳細(xì)介紹。圖5為本發(fā)明實(shí)施例提供的軟件安裝策略庫的建立方法的流程示意圖，如圖5所示，具體包括如下步驟：S211：根據(jù)所述被檢設(shè)備的設(shè)備類型，將所述設(shè)備類型對應(yīng)操作系統(tǒng)的多個系統(tǒng)版本進(jìn)行最大化安裝。以CentOS6.6為例說明該過程，將CentOS6.6操作系統(tǒng)的多個版本在裸機(jī)上進(jìn)行最大化安裝，當(dāng)安裝過程進(jìn)行到選擇安裝應(yīng)用步驟時，將應(yīng)用、基本系統(tǒng)、數(shù)據(jù)庫、桌面、開發(fā)工具、高可用性、語言、負(fù)載均衡、彈性存儲、服務(wù)器、系統(tǒng)管理、虛擬化以及web服務(wù)等節(jié)點(diǎn)下的所有組件，共計4000余個安裝包，進(jìn)行最大化安裝。對于建立軟件白名單核查系統(tǒng)內(nèi)其它設(shè)備類型和操作系統(tǒng)的軟件安裝策略庫也均采用以上方式進(jìn)行安裝，本實(shí)施例在此不再贅述。S212：采集所述多個系統(tǒng)版本進(jìn)行最大化安裝后對應(yīng)的默認(rèn)安裝軟件。在步驟S211完成系統(tǒng)安裝后，啟動操作系統(tǒng)，采集默認(rèn)安裝的軟件列表。S213：將所述默認(rèn)安裝軟件的策略類型設(shè)置為允許安裝。進(jìn)一步的，還可以在軟件白名單核查系統(tǒng)中選擇所有CentOS6.6設(shè)備，為設(shè)備批量添加策略，允許安裝所有默認(rèn)安裝的軟件。同樣的，其它設(shè)備類型和操作系統(tǒng)的也可采用相同方式采集。S214：將所述默認(rèn)安裝軟件和所述默認(rèn)安裝軟件的策略類型添加到所述軟件安裝策略庫中。利用上述操作步驟，便可以完成策略庫中通過最大化安裝各類型純凈的操作系統(tǒng)方式的策略添加，下面將對用戶根據(jù)需要制定軟件安裝策略的過程進(jìn)行介紹，其中，由用戶在軟件白名單核查系統(tǒng)添加軟件安裝策略，可以采用按照業(yè)務(wù)系統(tǒng)添加策略和按照具體設(shè)備添加策略兩種方式，具體如下：S221：獲取為所述被檢設(shè)備制定的業(yè)務(wù)系統(tǒng)軟件安裝策略。獲取用戶添加業(yè)務(wù)系統(tǒng)軟件安裝策略，具體包括添加的軟件以及該軟件的安裝策略，并為該業(yè)務(wù)系統(tǒng)下所有的終端設(shè)備批量添加該策略。S222：將所述業(yè)務(wù)系統(tǒng)軟件安裝策略作為制定的軟件安裝策略。S223：將制定的所述軟件安裝策略添加到所述軟件安裝策略庫中。S224：獲取為所述被檢設(shè)備制定的設(shè)備個性軟件安裝策略。S225：判斷所述設(shè)備個性軟件安裝策略與所述業(yè)務(wù)系統(tǒng)軟件安裝策略是否存在沖突。由于業(yè)務(wù)系統(tǒng)策略具有高優(yōu)先級，添加具體設(shè)備安裝策略時，需要先與業(yè)務(wù)系統(tǒng)策略進(jìn)行比對，如果不存在沖突，則執(zhí)行步驟S226，否則，則放棄該設(shè)備個性軟件安裝策略。S226：將所述設(shè)備個性軟件安裝策略作為制定的軟件安裝策略。并且，繼續(xù)執(zhí)行步驟S223，將制定的所述軟件安裝策略添加到所述軟件安裝策略庫中。利用上述操作步驟，便可以完成策略庫中通過用戶制定軟件安裝策略的策略添加，下面將對根據(jù)軟件核查結(jié)果指定安裝策略的過程進(jìn)行介紹。S231：根據(jù)各所述安裝軟件的策略核查結(jié)果，獲取各所述安裝軟件中的未知策略軟件。S232：根據(jù)對所述未知策略軟件的策略類型判定結(jié)果，得到所述未知策略軟件的策略類型。在步驟S150的軟件白名單的核查結(jié)果中包含了未經(jīng)過策略定義的未知軟件，這部分軟件經(jīng)過管理員的確認(rèn)過程，便可生成允許安裝或者禁止安裝的策略。S233：將所述未知策略軟件和所述未知策略軟件的策略類型添加到所述軟件安裝策略庫中。本發(fā)明實(shí)施例提供的軟件白名單管理方法，首先，面向服務(wù)器端設(shè)備進(jìn)行軟件白名單管理，服務(wù)器端設(shè)備多為承載重要業(yè)務(wù)的核心設(shè)備，其用途固定且專一，通常不會部署與所承載業(yè)務(wù)無關(guān)的軟件，不僅保證了網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的安全性，還填補(bǔ)了在服務(wù)器端進(jìn)行操作系統(tǒng)軟件白名單管理的空白；其次，本發(fā)明實(shí)施例采用向被檢查終端設(shè)備發(fā)送采集腳本的方式，根據(jù)被檢設(shè)備的類型，自動匹配相應(yīng)的數(shù)據(jù)采集腳本，彌補(bǔ)了傳統(tǒng)軟件白名單僅支持Windows操作系統(tǒng)的缺點(diǎn)，增加了對Unix類和Linux類操作系統(tǒng)的支持，極大的豐富了軟件白名單產(chǎn)品支持的設(shè)備類型；最后，本發(fā)明實(shí)施例采用登錄設(shè)備、執(zhí)行采集腳本、離線解析采集結(jié)果的方式進(jìn)行檢查，僅在需要檢查時連接設(shè)備即可，不需要在被管設(shè)備上安裝任何客戶端軟件或者啟動任何服務(wù)，并且通過對數(shù)據(jù)采集腳本進(jìn)行輕量化處理，執(zhí)行過程中不會占用大量硬件資源，整個采集過程對被檢查設(shè)備的影響很小。因此，利用本實(shí)施例提供的軟件白名單管理方法，可以精細(xì)化的管理系統(tǒng)內(nèi)終端設(shè)備上部署的軟件，準(zhǔn)確掌握終端設(shè)備上運(yùn)行的軟件信息，定位違規(guī)安裝的與業(yè)務(wù)運(yùn)行無關(guān)的軟件，保證服務(wù)器運(yùn)行在最高效的狀態(tài)下，其大規(guī)模的推廣使用可以迅速提高信息系統(tǒng)的安全性，為保障信息系統(tǒng)的安全打下堅實(shí)基礎(chǔ)。對應(yīng)于上述軟件白名單管理方法，本發(fā)明實(shí)施例還提供了一種軟件白名單管理系統(tǒng)。圖6為本發(fā)明實(shí)施例提供的一種軟件白名單管理系統(tǒng)的基本結(jié)構(gòu)示意圖，如圖6所示該系統(tǒng)主要包括：設(shè)備信息獲取模塊610：用于獲取軟件白名單核查任務(wù)中的被檢查設(shè)備以及所述被檢查設(shè)備的登錄信息。執(zhí)行腳本分配模塊620：用于根據(jù)所述被檢設(shè)備的設(shè)備類型，為所述被檢設(shè)備分配相應(yīng)的軟件白名單核查執(zhí)行腳本。執(zhí)行腳本發(fā)送模塊630：用于根據(jù)所述被檢查設(shè)備的登錄信息，登錄所述被檢查設(shè)備以及將所述軟件白名單核查執(zhí)行腳本發(fā)送給所述被檢查設(shè)備。執(zhí)行結(jié)果獲取模塊640：用于獲取所述被檢查設(shè)備根據(jù)所述軟件白名單核查執(zhí)行腳本返回的腳本執(zhí)行結(jié)果。核查結(jié)果獲取模塊650：用于將所述腳本執(zhí)行結(jié)果中的安裝軟件信息與所述被檢查設(shè)備的軟件安裝策略庫進(jìn)行對比分析，得到所述被檢設(shè)備中各安裝軟件的策略核查結(jié)果。進(jìn)一步的，所述系統(tǒng)還包括：核查結(jié)果展現(xiàn)模塊660：用于分別從設(shè)備維度和軟件維度，對各所述安裝軟件的策略核查結(jié)果進(jìn)行統(tǒng)計分析。進(jìn)一步的，所述系統(tǒng)還包括軟件安裝策略建立模塊670，用于建立軟件安裝策略庫，其中，該模塊具體包括：系統(tǒng)安裝子模塊671：用于根據(jù)所述被檢設(shè)備的設(shè)備類型，將所述設(shè)備類型對應(yīng)操作系統(tǒng)的多個系統(tǒng)版本進(jìn)行最大化安裝。安裝軟件采集子模塊672：用于采集所述多個系統(tǒng)版本進(jìn)行最大化安裝后對應(yīng)的默認(rèn)安裝軟件。安裝策略設(shè)置子模塊673：用于將所述默認(rèn)安裝軟件的策略類型設(shè)置為允許安裝。第一策略添加子模塊674：用于將所述默認(rèn)安裝軟件和所述默認(rèn)安裝軟件的策略類型添加到所述軟件安裝策略庫中。和/或，指定策略獲取子模塊674：用于獲取為所述被檢設(shè)備制定的軟件安裝策略。具體包括，分別獲取為所述被檢設(shè)備制定的業(yè)務(wù)系統(tǒng)軟件安裝策略和設(shè)備個性軟件安裝策略；將所述業(yè)務(wù)系統(tǒng)軟件安裝策略作為制定的軟件安裝策略；判斷所述設(shè)備個性軟件安裝策略與所述業(yè)務(wù)系統(tǒng)軟件安裝策略是否存在沖突，如果存在沖突，則放棄所述設(shè)備個性軟件安裝策略，否則，將所述設(shè)備個性軟件安裝策略作為制定的軟件安裝策略。第二策略添加子模塊676：用于將制定的所述軟件安裝策略添加到所述軟件安裝策略庫中。和/或，未知軟件獲取子模塊677：用于根據(jù)各所述安裝軟件的策略核查結(jié)果，獲取各所述安裝軟件中的未知策略軟件。策略類型獲取子模塊678：用于根據(jù)對所述未知策略軟件的策略類型判定結(jié)果，得到所述未知策略軟件的策略類型。第三策略添加子模塊679：用于將所述未知策略軟件和所述未知策略軟件的策略類型添加到所述軟件安裝策略庫中。本發(fā)明實(shí)施例提供的軟件白名單管理系統(tǒng)，首先，面向服務(wù)器端設(shè)備進(jìn)行軟件白名單管理，服務(wù)器端設(shè)備多為承載重要業(yè)務(wù)的核心設(shè)備，其用途固定且專一，通常不會部署與所承載業(yè)務(wù)無關(guān)的軟件，不僅保證了網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的安全性，還填補(bǔ)了在服務(wù)器端進(jìn)行操作系統(tǒng)軟件白名單管理的空白；其次，本發(fā)明實(shí)施例采用向被檢查終端設(shè)備發(fā)送采集腳本的方式，根據(jù)被檢設(shè)備的類型，自動匹配相應(yīng)的數(shù)據(jù)采集腳本，彌補(bǔ)了傳統(tǒng)軟件白名單僅支持Windows操作系統(tǒng)的缺點(diǎn)，增加了對Unix類和Linux類操作系統(tǒng)的支持，極大的豐富了軟件白名單產(chǎn)品支持的設(shè)備類型；最后，本發(fā)明實(shí)施例采用登錄設(shè)備、執(zhí)行采集腳本、離線解析采集結(jié)果的方式進(jìn)行檢查，僅在需要檢查時連接設(shè)備即可，不需要在被管設(shè)備上安裝任何客戶端軟件或者啟動任何服務(wù)，并且通過對數(shù)據(jù)采集腳本進(jìn)行輕量化處理，執(zhí)行過程中不會占用大量硬件資源，整個采集過程對被檢查設(shè)備的影響很小。本說明書中的各個實(shí)施例均采用遞進(jìn)的方式描述，各個實(shí)施例之間相同相似的部分互相參見即可，每個實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其，對于系統(tǒng)或系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述得比較簡單，相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的系統(tǒng)及系統(tǒng)實(shí)施例僅僅是示意性的，其中作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實(shí)施。以上僅是本發(fā)明的具體實(shí)施方式，應(yīng)當(dāng)指出，對于本
技術(shù)領(lǐng)域：
的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。當(dāng)前第1頁1 2 3