一種基于白名單機制的軟件運行統(tǒng)一控制系統(tǒng)及方法，屬于信息安全技術領域。本發(fā)明包括客戶機白名單初始化及軟件驗證功能啟動；以及用戶申請在客戶機添加新軟件進入本地軟件白名單，客戶機準備要加入白名單的軟件實體，然后將軟件實體及其類型發(fā)送給服務機，服務機根據軟件類型計算得到軟件白名單變化量，客戶機收到并添加進本地軟件白名單，之后新軟件就可以安裝使用；以及用戶申請在客戶機上將某軟件從本地軟件白名單中移除，計算要從本地軟件白名單移除的軟件的特征值發(fā)送給服務機，服務機利用特征值在本機日志中查詢該軟件對應的白名單變化量并發(fā)送給客戶機，客戶機從本地軟件白名單中去除軟件白名單變化量里的元素，軟件就被禁止執(zhí)行使用。

技術領域

本發(fā)明涉及一種基于白名單機制的軟件運行統(tǒng)一控制系統(tǒng)及方法，屬于信息安全技術領域。

背景技術

隨著網絡攻擊技術的發(fā)展，計算機惡意軟件、病毒、木馬的數量和種類呈現(xiàn)逐年上升的態(tài)勢，并逐步蔓延到工業(yè)控制網絡中，對信息安全構成巨大威脅。對于大多數企業(yè)工業(yè)控制計算機設備，由于其與互聯(lián)網相對隔離、軟硬件更新相對滯后且一般僅運行特定若干軟件，采取安裝殺毒軟件、主機防火墻等安全手段不能很好地適應工業(yè)控制計算機設備的性能現(xiàn)狀和業(yè)務需求。

采用軟件白名單機制是一種很好的安全防護方法，軟件白名單機制可以防止不在白名單的任何已知和未知的惡意軟件、病毒、木馬運行，同時可以用于規(guī)范用戶操作行為，未經管理員批準，用戶無法自行安裝任何軟件，大大降低工業(yè)控制計算機設備的系統(tǒng)運行風險。

但是現(xiàn)有針對工業(yè)控制網絡等局域網的軟件白名單機制，缺乏完整的從管理員到用戶的管理方法和流程，且沒有針對軟件安裝包和可直接執(zhí)行軟件兩種不同的軟件形式制定不同的白名單生成和下發(fā)方法。

發(fā)明內容

本發(fā)明解決的技術問題是：克服現(xiàn)有技術的不足，提供了一種基于白名單機制的軟件運行統(tǒng)一控制系統(tǒng)及方法，解決現(xiàn)有軟件白名單機制缺少基于C/S架構的統(tǒng)一軟件運行控制系統(tǒng)和方法的問題。

本發(fā)明的技術解決方案是：一種基于白名單機制的軟件運行統(tǒng)一控制系統(tǒng)，包括客戶機和服務機；所述客戶機和服務機處于同一個局域網中，所述客戶機包括若干個；

所述客戶機向服務機發(fā)送本地軟件清單和指令信息；所述指令信息包括在客戶機添加新軟件進入本地軟件白名單的添加申請指令以及在客戶機上將某軟件從本地軟件白名單中移除的移除申請指令；接收服務機發(fā)送的初始軟件白名單和軟件白名單變化量，根據軟件白名單變化量更新本地軟件白名單，并根據本地軟件白名單控制本機軟件運行；

所述服務機接收客戶機發(fā)送的本地軟件清單和指令信息，根據所述本地軟件清單計算初始軟件白名單，根據所述和指令信息計算軟件白名單變化量，并將初始軟件白名單和軟件白名單變化量通過局域網發(fā)送給對應客戶機。

根據所述的一種基于白名單機制的軟件運行統(tǒng)一控制系統(tǒng)實現(xiàn)的基于白名單機制的軟件運行統(tǒng)一控制方法，包括如下步驟：

客戶機上運行軟件前，生成本機軟件清單，將本機軟件清單發(fā)送至服務機；

服務機根據客戶機的本機軟件清單計算生成初始軟件白名單，將初始軟件白名單發(fā)送至客戶機；

客戶機接收初始軟件白名單，將初始軟件白名單存為本地軟件白名單，對將要執(zhí)行的軟件檢測其是否在本地軟件白名單中；若在，則允許執(zhí)行；否則，不允許執(zhí)行。