[发明专利]基于自动白名单的Windows终端安全保障方法与系统

权利要求书

1.一种基于自动白名单的Windows终端安全保障系统，其特征在于，包括白名单模块以及与所述白名单模块相连的检测模块；

所述白名单模块，用于自动创建和人工维护白名单数据信息；

所述检测模块，用于检测待执行程序是否合法。

2.如权利要求1所述一种基于自动白名单的Windows终端安全保障系统，其特征在于，还包括动态连接库模块和应用层模块；

所述动态连接库模块，用于直接与所述白名单模块和检测模块通信；

所述应用层模块，用于与所述动态连接库模块通信，间接控制所述白名单模块以及处理所述检测模块提交的告警信息。

3.如权利要求1所述一种基于自动白名单的Windows终端安全保障系统，其特征在于，所述检测模块，封装为驱动程序，其钩住了Windows的内核函数，基于白名单内容检测每个待启动进程，允许或禁止启动进程；

所述白名单模块，包括白名单自动生成模块和白名单维护模块：其中，所述白名单自动生成模块，用于自动创建合法软件白名单；所述白名单维护模块，用于保护所述系统中所使用的白名单文件不会被用户直接访问、处理所述检测模块的白名单信息查询请求以及维护白名单内容更新。

4.如权利要求1所述一种基于自动白名单的Windows终端安全保障系统，其特征在于，所述应用层模块，包括管理端模块和客户端模块，所述管理端模块提供特权用户更改白名单内容支持，并强制已注册的所述客户端模块更新其本地的白名单信息；所述客户端模块，部署在受控个人终端上，用于接收所述管理端模块的控制，并上报本地告警到所述管理端模块。

5.如权利要求1所述一种基于自动白名单的Windows终端安全保障系统，其特征在于，系统只能在安全模式下卸载，且需要输入正确的PIN码后才启动卸载；所述PIN码，是所述系统的身份号码。

6.一种基于自动白名单的Windows终端安全方法，其特征在于，包括如下步骤：

第一步：个人终端上Windows操作系统与所有必须的应用软件安装完毕后，连接到网络前，安装白名单终端安全保障系统，包括安装白名单监护程序和检测驱动程序，并自动加载所述检测驱动程序；

第二步：通过扫描方法自动采集本地所有可执行文件信息，在此基础上构建可执行文件白名单，并将白名单文件加密保存到预设目录；

第三步：重启机器，白名单终端安全保障系统自动启动，个人终端开始受控。

7.如权利要求6所述一种基于自动白名单的Windows终端安全方法，其特征在于，在上述步骤执行完后，还包括：所述白名单终端安全保障系统启动后，主动注册到预设的管理端系统，接受所述管理端系统的控制，并上报本地告警信息。

8.如权利要求6所述一种基于自动白名单的Windows终端安全方法，其特征在于，所述扫描，由所述白名单终端安全保障系统的安装程序调用内嵌的采集工具自动完成；所述可执行文件，至少包括扩展名为.exe文件、.dll文件、.sys文件、.bat文件、.com文件、.cmd文件、.scr文件、.ocx文件以及.acm文件；所述可执行文件信息，至少包括绝对路径的文件名、基于文件大小、创建日期、修改日期和属性内容的MD5计算值、以及基于文件内容的MD5计算值属性；所述终端受控，是指终端上，仅允许启动其执行文件的信息是与白名单中完全一致的程序。

9.如权利要求6所述一种基于自动白名单的Windows终端安全方法，其特征在于，所述白名单终端安全保障系统的安装程序还会自动安装文件系统过滤驱动，用以保护所述白名单文件免受操作用户变更。

10.如权利要求6所述一种基于自动白名单的Windows终端安全方法，其特征在于，还包括：

所述驱动程序，终端用户只有通过本发明所述白名单终端安全保障系统才能进行卸载和删除；

所述白名单终端安全保障系统，无论是否能与所述管理端系统通信，均能正常工作，终端用户无法停止该系统服务，且只能在安全模式下输入正确的PIN码后方可卸载，但保存在本地的未上传的告警信息会一直保留，且能被再次安装的所述白名单终端安全保障系统所处理。