服務器操作系統軟件白名單管理

引言：服務器操作系統軟件白名單管理可以協助管理員全面、詳實的了解現網設備上的信息，以最小化安裝為原則，保證服務器設備安裝軟件的最小化，發現違規安裝的與業務運行無關的軟件，對設備上安裝的軟件做到“心中有數”，幫助提高信息系統的安全性。

伴隨著國家信息化浪潮，各個行業也在大力建設信息化系統，這使得網絡規模不斷擴大，設備數量迅猛增加，隨之而來的安全問題也愈加突出。

傳統的軟件白名單產品主要功能集中在Client端，僅針對終端設備防護，僅支持Windows操作系統，需要在被管設備上部署客戶端軟件，有潛在的數據泄露風險。

相比于傳統軟件白名單管理系統的實現，本發明將功能更多遷移到Server端，且支持各種操作系統類型的被管設備進行核查，具備諸多優勢：面向服務器端設備進行軟件白名單管理；支持的設備類型廣泛；無需在被管設備上安裝客戶端軟件；核查過程對被管設備影響極??；完善的各類設備默認系統軟件知識庫。

服務器操作系統軟件白名單管理實現

1.軟件白名單策略庫的建立

軟件白名單策略庫有三個主要來源：產品初始階段通過最大化安裝各類型純凈的操作系統，采集其中的默認軟件，將其內置到產品中，作為允許安裝的軟件策略；系統用戶和管理員根據實際情況制定軟件安裝策略；第三種是根據核查結果發現允許和禁止安裝的軟件策略以外的未知軟件，并對其進行確認，確認過程即為建立策略的過程。

最大化安裝各類型操作系統。

采集系統軟件，添加允許安裝的策略。安裝完成后，啟動操作系統，采集默認安裝的軟件列表。

將建立的策略添加到軟件白名單核查產品的策略庫中。

由設備管理員在系統中添加軟件安裝策略，可以采用按照業務系統添加策略和按照具體設備添加策略這兩種方式。

選擇業務系統，新建允許安裝策略，為該業務系統下所有的設備批量添加該策略。并且，業務系統策略具有高優先級，優先匹配業務系統策略，然后再匹配具體設備策略。

選擇具體設備，新建針對該設備生效的策略。

判斷是否與業務系統策略沖突。添加具體設備安裝策略時，需要和業務系統策略進行比對，發現與業務系統策略沖突的策略是，提示策略沖突，禁止添加。

軟件白名單的核查結果中包含了未經過策略定義的未知軟件。這部分軟件經過管理員的確認過程，可以生成允許安裝或者禁止安裝的策略，添加到策略庫中。

2.設備信息采集

新建漏洞掃描任務，選擇需要進行軟件白名單核查的設備，并發連接登錄設備，采集設備信息。如安裝的軟件、開啟的端口、啟動的進程、運行的服務等信息。設備信息采集的流程如下：

選擇被檢查設備。建立軟件白名單核查任務，選擇被檢查設備，確定核查任務的檢查范圍，并獲取被檢查設備登錄信息（設備類型、IP地址、帳號名、密碼）等。

分布式并發連接被查設備。使用獲取到的設備登錄信息，多臺采集服務器采用分布式的方式并發建立到被檢查設備的網絡連接，登錄被檢查設備。

執行采集腳本。采集腳本按照設備類型分別編寫，根據核查任務中所選擇的設備類型，自動匹配執行腳本。

返回腳本執行回顯。將采集結果返回到服務器。把分析結果保存到數據庫，發送消息給采集服務器，告知采集完畢。

關閉網絡連接。完成數據采集任務后，斷開與被檢查設備的網絡連接。

3.軟件白名單核查

匯總建立的策略庫和采集的設備信息，根據采集到的設備上安裝的軟件信息逐條與策略庫中的策略進行匹配，最終得到設備上軟件安裝是否正確的核查結果。軟件白名單核查流程如下：

解析腳本回顯，獲取安裝軟件列表。獲取腳本執行結果，解析腳本回顯信息，得到其中獲取到的安裝軟件列表信息。

與策略庫對比。將解析得到的安裝軟件列表逐條與建立的策略庫中的策略對比，判斷該設備上是否可以安裝這些軟件。

判斷是否匹配業務系統策略。業務系統策略具有較高的優先級，所以對比過程中需要優先與業務系統策略進行比對，判斷是否與業務系統策略匹配。

判斷是否匹配設備個性策略。業務系統策略如果沒有匹配成功，進一步匹配設備個性策略（設備個性策略針對具體設備指定安裝策略），判斷是否與設備個性策略匹配。

判斷匹配策略的類型。匹配到業務系統策略或者設備個性策略后，進一步判斷所匹配到策略的種類。策略種類分為兩類：禁止安裝策略和允許安裝策略。

判斷結果為違規。匹配到的策略種類為“禁止安裝”，則得到判斷結果為“違規”軟件。

判斷結果為正常。匹配到的策略種類為“允許安裝”，則得到判斷結果為“正?！避浖?。

判斷結果為未知。業務系統策略和設備個性策略均未匹配到的軟件為“未知”軟件。

返回核查結果。匯總核查結果，得到該設備的核查結果。

4.核查結果展現

根據得到的檢查結果，從設備維度和軟件維度對核查結果進行多方位的全面展現。從設備維度展示某設備上安裝軟件數量及詳細列表、正常軟件數量及詳細列表、違規軟件數量及詳細列表、未知軟件數量及詳細列表；從軟件維度展示某軟件在所有設備上的安裝次數，判斷正常安裝的設備數量及詳細列表、判斷為違規安裝的設備數量及詳細列表、判斷為未知的設備數量及詳細列表。詳盡的報表便于后期有重點的進行整改。