技术领域
[0001] 本
申请涉及安全领域,尤其涉及一种进程识别控制系统。
背景技术
[0002] 当今时代,计算机已经成为政府、企业办公的必需品。工作机中包含大量的机密信息。一旦被
软件非法窃取或主动
泄漏,后果将不堪设想。所以如何管理控制本地
应用软件的使用成为关键。
[0003] 从现实情况来看,Windows的本地安全策略里的应用程序控制策略技术与本
专利比较接近,图1给出了Windows的本地安全策略里的应用程序控制策略技术的实现流程,但其存在以下缺点:Windows的应用程序控制策略属于用户自定义策略,用户自己添加需要禁止或允许的进程,在实际的使用中比较麻烦,不仅需要手工配置需要控制的进程,进程快速更新变化也无法做出及时调整,而且也无法控制未知的进程,还不具有强制性,用户可以通过停止应用程序控制策略的服务或
修改进程属性来绕开管理员的管理。
发明内容
[0004] 本发明解决的技术问题:从实际需求和应用的
角度出发,构建一个智能的进程识别控制系统,客户端用户实行身份认证,根据
服务器端管理员下发的控制策略对对应的进程进行控制,对未知的进程可以自动生成已安装软件的进程配置,上传并添加到服务器的应用程序配置库中,还可以智能的放过windows的所有进程;服务器端管理员通过身份认证登录Web控制台,根据应用程序配置给客户端用户下发策略,便可实现对客户端的严格控制,无需因进程更新变化而需重新获取进程配置信息,重新下发策略等繁琐操作。
[0005] 本发明技术方案:
[0006] 本发明提供一种智能的进程识别控制系统,包括服务器和客户端,服务器中包括用户管理模
块、应用程序配置管理模块、进程控制策略管理模块,用户管理模块进行用户组和用户帐号的创建,应用程序配置管理模块支持编辑、导入和导出应用程序配置库的功能,进程控制策略管理模块进行策略的下发,并根据客户端不断上传的新的应用程序配置,对服务器中的应用程序配置库进行不断的更新,并同步更新客户端的应用程序配置库;客户端包括功能模块、策略配置模块、客户端交互模块,客户端交互模块实现用户身份认证功能,功能模块完成对进程启动的监测、进程属性的解析、以及依据用户身份认证结果以及本地策略对进程进行控制,策略配置模块实现本地策略和应用程序配置库与服务器端策略和应用程序配置库的同步,以保证本地策略和应用程序配置库的实时性。
[0007] 优选的,服务器中包括Web控制台,所述用户管理模块、应用程序配置管理模块、进程控制策略管理模块置于Web控制台中。
[0008] 本发明还提供一种智能的进程识别控制方法,适用于包括服务器和客户端的系统,其特征在于,包括以下步骤:1)对服务器的部署:创建用户帐号和用户所在的组,然后导入默认的应用程序配置库,并根据需要为不同的组或用户下发不同的进程识别控制策略;2)对客户端的部署:客户端安装完成后,进行初始化工作,后台注册WMI实例用于监控新创建进程,同时启动单独线程枚举当前所有执行进程并存储;3)客户端根据服务器端管理员提供的帐号密码进行认证,如果未认证或认证失败,启用默认的禁用所有进程的策略,如果认证成功,则运行应用软件,后台监测新进程的创建,解析获取新创建进程的
属性信息,并与应用程序配置库进行匹配,如果匹配命中就取出该进程所属软件的唯一ID,在用户策略中检测此ID的控制方法,并根据控制方法对该进程进行相应的控制;如果没有匹配命中,则禁止该进程运行并给相应提示,并智能生成应用程序配置,添加入应用程序配置库中并上传至服务器,服务器将客户端生成的应用程序配置信息添加入应用程序配置库中。
[0009] 优选的,步骤1)中服务器自动从LDAP同步用户组织结构和用户信息。步骤3)中客户端采用USBKEY认证方式。
[0010] 优选的,客户端通过进程属性信息中的颁发者签名、
版权和原始文件名,对微软的所有进程实行放过,并通过核心态的方式终止不允许运行的进程。
[0011] 优选的,步骤3)中“智能生成应用程序配置,添加入应用程序配置库中”通过以下方式实现:通过进程属性反向获取所属软件的安装路径,然后解析获取该软件的所有进程属性,添加到应用程序配置库中。
[0012] 本发明技术效果:
[0013] 1)实施简单,方便于大范围的部署使用。
[0014] 2)具有强制性,无法通过伪造绕过管理。
[0015] 3)自动生成应用程序配置,无需管理员手动添加。
[0016] 4)管理员维护简单,管理方便。
附图说明
[0017] 图1是Windows本地安全策略里应用程序控制策略技术的实现流程。
[0018] 图2是本申请技术方案的总体架构图。
[0020] 图4是实例1中服务器流程图。
[0021] 图5是实例1中客户端流程图。
[0022] 图6是实例2中服务器流程图。
[0023] 图7是实例2中客户端流程图。
具体实施方式
[0024] 本发明涉及的技术术语:
[0025] 应用程序配置库:存放所有已配置软件的所有进程属性信息,进程属性包括进程名、颁发者签名、版权、原始文件名、大小、版本和MD5。
[0026] WMI:Windows Management Instrumentation,Windows管理规范,是一项核心的Windows管理技术;用户可以使用WMI管理本地和远程计算机。
[0027] 核心态:在处理器的存储保护中,主要有两种权限状态,一种是核心态(管态),也被称为特权态;一种是用户态(目态)。核心态是
操作系统内核所运行的模式,运行在该模式的代码,可以无限制地对系统存储、外部设备进行
访问。
[0028] USBKEY:USB Key是一种USB
接口的
硬件设备。它内置
单片机或
智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥
算法实现对用户身份的认证。由于用户私钥保存在密码
锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
[0029] LDAP:LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。
[0030] 以下对图2所示本申请总体架构进行具体说明:
[0031] 1)整个进程识别控制系统分为服务器和客户端。
[0032] 2)服务器主要由三部分组成:用户管理模块可进行用户组和用户帐号的新建;进程控制策略管理模块主要进行策略的下发,应用程序配置模块支持编辑、导入和导出应用程序配置库功能,根据客户端不断上传的新的应用程序配置,对应用程序配置库进行不断的更新,并同步更新客户端的应用程序配置库,也可对应用程序配置库进行导出备份和服务器的部署进行导入。
[0033] 用户库用于存储用户组织结构和用户帐号等信息;策略库用于存储策略相关的信息;应用程序配置库用于存储应用程序信息和进程属性等信息。
[0034] 3)客户端主要包括以下部分:功能模块完成对进程启动的监测、进程属性的解析和进程的控制;策略配置模块实现本地策略和应用程序配置库与服务器保持同步,以保证控制策略和应用程序配置库的实时性;客户端交互模块实现用户身份认证功能。
[0035] 以下对图3所示本申请客户端关键技术进行说明:
[0036] 1)监测进程启动:
[0037] 注册WMI实例用于监控新创建进程和启动单独线程枚举当前所有执行进程并存储,从而达到能够快速的获取新创建的进程,并杜绝了可能绕过WMI启动的漏洞。
[0038] 2)解析获取进程属性:
[0039] 为了节省系统资源,并能快速的获取进程属性信息,通过创建文件映射,将已启动的进程映射到自己的进程空间中,从而解析获取进程的属性信息,包括进程名、颁发者签名、版权、原始文件名、大小和版本,除这些基本属性外,并对该进程进行MD5,对大于5M的进程,只对前5M进行MD5;并以MD5作为对比标准,以达到对进程的绝对匹配,无法通过其他手段伪造绕过控制。
[0040] 3)智能生成配置:
[0041] 根据进程所在路径反向获取软件的安装目录,获取安装目录下的所有EXE进程,并以软件产品名作为应用程序配置的软件名;对于单个进程或非正常安装的直接获取该进程的属性信息,并解析生成应用程序配置,最后上传添加到服务器的应用程序配置库中。
[0042] 4)智能控制进程:
[0043] 通过进程属性的颁发者签名、版权和文件原始名等信息,对微软的所有进程和本系统进程实行智能的放过,并通过核心态的方式终止不允许运行的进程。
[0045] 此方案中,服务器流程图如图4所示,客户端流程图如图5所示。从流程图4和5中可以看到客户端和服务器在实际的部署和使用中是非常方便简单的,且很好的达到了管理公司员工的办公环境;
[0046] 对于服务器的部署,只需要为公司人员创建好用户帐号和用户所在的组,然后导入由公司提供的默认的应用程序配置库,接着为不同的组或用户下发不同的进程识别控制策略。
[0047] 对于客户端的部署,客户端安装完成后,便进行一系列的初始化工作,后台注册WMI实例用于监控新创建进程,为了防止可能出现的绕过WMI启动的进程,启动单独线程枚举当前所有执行进程并存储。
[0048] 客户端根据管理员提供的帐号密码进行认证,如果未认证或认证失败,便会启用默认禁用所有进程策略;如果认证成功,运行应用软件,后台监测到新进程的创建,解析获取新创建进程的属性信息,并与应用程序配置库进行匹配,如果匹配命中就取出该进程所属软件的唯一ID,在用户策略中检测此ID的控制方法,并根据控制方法对该进程进行相应的控制;如果没有匹配命中,禁止该进程运行并给相应提示,并智能生成应用程序配置,添加入应用程序配置库中,上传至服务器;服务器将配置信息添加入应用程序配置库中,并由管理员选择其所属软件类;如:猎豹安全浏览器属于浏览器类,Foxmail属于邮件客户端类。
[0050] 审计署的主要业务形态为现场审计(移动审计),现场审计需要通过互联网与总署的核心业务服务器进行数据传输。由于其职业特殊性,要求网络有更好的安全性。移动网络,对于大家来说是一个开放的环境,任何人都可以截获其他人的信息。因此,大家都着重于链路和接入安全,往往忽视本地的应用安全,一旦被
恶意软件窃取或主动泄密就会造成重大后果。
[0051] 在整套方案中,解决了链路、接入安全、外设管控和本地数据的安全,并结合本专利实现的智能进程识别控制系统,实现除了被允许使用的软件外,强制禁止任何进程的运行,助
力移动审计安全。
[0052] 此方案中,服务器流程图如图6所示,包括以下步骤:
[0053] 1、服务器后台自动从LDAP同步用户组织结构和用户信息至用户库。
[0054] 2、导入默认应用程序配置库。
[0055] 3、为用户下发控制策略。
[0056] 客户端流程图如图7所示,包括以下步骤:
[0057] 1、判断是否插入USBKEY;若是,进入步骤2;若否,结束;
[0058] 2、启动windows系统;
[0059] 3、进行身份认证,若认证成功,进入步骤4;若否,进入步骤6;
[0060] 4、更新策略和应用程序配置库;
[0061] 5、启动软件,若为非审计软件,进入步骤6;若为审计软件,进入步骤7;
[0062] 6、禁用软件;结束;
[0063] 7、运行软件,结束。
