CN115270101A - 于用户端执行的应用程序控管方法 - Google Patents
于用户端执行的应用程序控管方法 Download PDFInfo
- Publication number
- CN115270101A CN115270101A CN202110477333.3A CN202110477333A CN115270101A CN 115270101 A CN115270101 A CN 115270101A CN 202110477333 A CN202110477333 A CN 202110477333A CN 115270101 A CN115270101 A CN 115270101A
- Authority
- CN
- China
- Prior art keywords
- list
- executed
- user
- user terminal
- gray
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供一种于用户端执行的应用程序控管方法,包含以下步骤:利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于用户端中执行,每一黑名单不可于用户端中执行;提供未经由指定单元以指定的灰名单,其中该灰名单不可于用户端中执行;以及,基于用户端以自行决定灰名单是否于下一次执行时变成白名单。
Description
技术领域
本发明是一种应用程序控管的技术领域,特别是关于于用户端执行的应用程序控管方法。
背景技术
随着信息化的发展,出现了大量的应用程序(APP)。同一个厂商可以提供多个应用程序。即使是不同的应用程序,尤其是同一个厂商提供的多个应用程序,可能存在相似的功能。为了适应技术发展或业务需要,常常需要对应用程序进行升级或换代,例如,新版本应用程序的发布频率可能大于1次/周。当发布的新版本应用程序出现了错误或者业务出现故障时,需要用户端的应用程序紧急回到指定版本的应用程序,才能够满足用户的基本使用需求。
现有的应用程序通常会限定可合法使用它的电脑装置,避免应用程序被复制到其它未经合法授权的电脑装置上使用。为达到这个目的,目前已有绑定硬件信息的保护机制。在此机制中,应用程序一旦被启动就会先读取并验证安装它的电脑装置中的硬件信息,例如中央处理器编码、硬盘序号等等,并只在验证通过时才允许该电脑装置正常执行它。这种机制虽可将应用程序与可正常执行它的合法电脑装置绑定在一起,但因硬件信息缺乏动态变化,故容易遭到破解。
此外,在网际网络普及的情形之下,在企业内通常都会建构与网际网络的连接,以取得各式各样的应用程序。然而,从网际网络撷取的各种信息或应用程序,可能也会有接收到恶意程序的情形发生。一旦恶意程序进入到信息处理装置,将会破坏其中的软件或者是盗取其中的信息,对于企业内的信息安全造成莫大的伤害。
另一方面,对于企业而言,在享受网际网络便利性的同时也应尽可能地将这些可能存在的恶意程序的威胁排除。关联于应用程序所实行的限制,传统上系使用黑名单的控管方式来实施。因为全球的程序太多,因此以黑名单的控管方式已不符使用。
近来黑客常使用本机上原有的程序,作为攻击的程序,而不是使用黑客自己写的程序。这样会造成一个问题,例如Windows上内建的程序是常会被使用者使用的程序,但也是黑客最爱用的程序;如此,这些内建的程序是否可以设为应用程序控管,也是一大问题所在。
再者,应用程序控管有强大的防护力,但是企业内的使用者常会因为底下三种情况:(1)Windows Update;(2)使用者自己安装已知且安全的新程序(例如:AutoCAD);(3)每天更新的程序(例如:Teams、Chrome常会背景更新),而造成无法执行程序的窘境。此不但会影响企业员工的工作效率,也会增加信息技术(IT:Information Technology)人员的工作量。
针对上述缺点,为了减轻IT人员的负担,本发明提供一新颖的应用程序控管方法,以解决上述缺点。
发明内容
本发明的目的在于提供一种于用户端执行的应用程序控管方法。
本发明的于用户端执行的应用程序控管方法,包括:利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于用户端中执行,每一黑名单不可于用户端中执行;提供未经由该指定单元以指定的灰名单,其中该灰名单不可于用户端中执行;以及,基于用户端以自行决定禁止执行的灰名单是否于下一次执行时变成白名单。
其中灰名单与每一黑名单上传阻挡记录至某一资料夹或某一储存路径之中。
本发明的于用户端执行的应用程序控管方法,包括:利用一第一用户端的一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于第一用户端中执行,每一黑名单不可于第一用户端中执行;提供未经由该指定单元以指定的灰名单,其中该灰名单不可于第一用户端中执行;以及,基于第二用户端以自行决定禁止执行的灰名单是否于下一次执行时变成白名单。
本发明的于用户端执行的应用程序控管方法,包括:利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于用户端中执行,每一黑名单不可于用户端中执行;提供未经由该指定单元以指定的灰名单,其中该灰名单不可于用户端中执行;以及,在服务器端的允许之下,基于该用户端扫描应用程序,以让禁止执行的灰名单变成白名单。
本发明的于用户端执行的应用程序控管方法,包括:利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于用户端中执行,每一黑名单不可于用户端中执行;提供未经由指定单元以指定的灰名单,其中该灰名单不可于用户端中执行;以及,在服务器端的允许之下,该用户端关闭目前的应用程序控管,以让禁止执行的灰名单与黑名单清单可于该用户端中执行。
上述方法更包含于用户端安装一套装软件,于用户端重新扫描所有的应用程序,以及于启动应用程序控管方式之后定义新的应用程序控管。
本发明的于用户端执行的应用程序控管方法可以大大地减轻IT端人员的负担,并且提高企业员工的工作效率。
附图说明
图1显示本发明的第一实施例,于用户端执行的应用程序控管方法的示意图;
图2显示本发明的第二实施例,于用户端执行的应用程序控管方法的示意图;
图3显示本发明的第三实施例,于用户端执行的应用程序控管方法的示意图;
图4显示本发明的第四实施例,于用户端执行的应用程序控管方法的示意图;
图5显示本发明的用户端员工定义新的应用程序控管的流程。
主要部件附图标记:
用户端102
指定单元104
Word白名单106
Excel黑名单108
AutoCAD灰名单110
用户端员工112
AutoCAD白名单114
第二用户端主管120
用户端员工140
应用程序150
步骤202、204、206、208、210
具体实施方式
此处本发明将针对发明具体实施例及其观点加以详细描述,此类描述为解释本发明的结构或步骤流程,其系供以说明之用而非用以限制本发明的权利要求。因此,除说明书中的具体实施例与较佳实施例外,本发明亦可广泛施行于其他不同的实施例中。以下借由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可借由本说明书所揭示的内容轻易地了解本发明的功效性与其优点。且本发明亦可借由其他具体实施例加以运用及实施,本说明书所阐述的各项细节亦可基于不同需求而应用,且在不悖离本发明的精神下进行各种不同的修饰或变更。
本发明提出一种于用户端执行的应用程序控管方法。其中以白名单作为控管方案,以取代传统的黑名单控管方式。在实际上的操作上而言,应用程序控管的白名单、黑名单、灰名单可以根据以下步骤而定义,首先,用户端(个人电脑、平板电脑、或各种计算机装置)安装一系列的档案、程序或软件,例如Word、Excel、AutoCAD;然后,通过本机的一指定单元以指定某类、某种档案、程序或软件为白名单、黑名单,例如指定、定义Word为白名单,Excel为黑名单,而未指定或定义的AutoCAD,因为不是白名单也不是黑名单,自动变成灰名单。其中Word白名单可以在本机中执行,Excel黑名单不可以在本机中执行,但可上传阻挡记录至某一资料夹或某一储存路径之中。除非使用者允许,否则AutoCAD灰名单亦不可以在本机中执行,但可上传阻挡记录至某一资料夹或某一储存路径之中。在本发明之中,新下载或安装的应用程序未成为白名单而无法执行时,不用麻烦IT端,而是使用用户端员工或主管来裁决该应用程序是否变为白名单而可执行。
本发明提供三种方法,可以将灰名单变成白名单,如下所述:(A)使用者裁决新的白名单;(B)重新扫描白名单;(C)关闭/开启应用程序控管。举例而言,遇到单一灰名单,包含二种情况,(1.1)永久将此单一灰名单变成白名单:可以采用上述(A)方法或(B)方法;(1.2)暂时性执行此单一灰名单:可采以用(C)方法(关闭/开启应用程序控管)。在另一例子中,若遇到多个灰名单(例如:安装Microsoft Office,其中有数百个新的程序都是灰名单),也包含二种情况,(2.1)永久将多个灰名单变成白名单:可以采用(C)方法(关闭应用程序控管)、(B)方法、(C)方法(开启应用程序控管);(2.2)暂时性执行此多个灰名单:可采用(C)方法(关闭应用程序控管)。以下将详细叙述本发明的于用户端执行的应用程序控管方法,可以达到上述所提供的三种方法的结果。
图1描绘了本发明的第一实施例,于用户端执行的应用程序控管方法的示意图。通常只有使用者才了解,因自身工作关系而必须安装或临时安装那些程序或软件。信息技术(IT)人员不见得会了解每一位企业内每一位员工的工作需要所需安装的程序或软件。并且,通常企业内部的员工人数众多,因此决定灰名单变成白名单的工作量可能会占去许多时间。因此,在本实施例之中,使用用户端员工裁决的方案,来减轻IT端的负担。如图1所示,首先,提供用户端102(个人电脑、平板电脑、或各种计算机装置,通过IT端的一指定单元104以指定或定义Word为白名单、Excel为黑名单,分别标示为Word白名单106以及Excel黑名单108。而未经由指定单元104指定或定义的AutoCAD,因为不是白名单也不是黑名单,自动变成灰名单,标示为AutoCAD灰名单110。举一实施例而言,在经过控制台扫描之后的档案,存在于用户端102中的Word均被标示为Word白名单106,而Excel则被标示为Excel黑名单108。其中Word白名单106可以在用户端102本机中执行。Excel黑名单108不可以在用户端102本机中执行,但可上传阻挡记录至某一资料夹或某一储存路径之中。另外,AutoCAD灰名单110亦不可以在用户端102本机中执行,但可上传阻挡记录至某一资料夹或某一储存路径之中。亦即,AutoCAD灰名单110是于本次阻挡执行。然后,对于AutoCAD灰名单110而言,基于用户端员工112自行裁决的方案,用户端员工112可以自行决定本次阻挡执行的AutoCAD灰名单110是否于下一次执行时,变成AutoCAD白名单114。因此,在本实施例之中,基于信任企业底下的员工,而让员工可以自行裁决AutoCAD灰名单是否变成AutoCAD白名单,来减轻IT端的负担。本实施例可以永久将单一灰名单变成白名单。
参考图2,其显示本发明的第二实施例,于用户端执行的应用程序控管方法的示意图。在本实施例之中,使用主管裁决的方案,来减轻IT端的负担。若无法相信员工,或者不希望员工自行决定的情况,可以使用主管裁决的方案。如图2所示,其中与图1不同之处在于决定白名单的一方为用户端主管120。亦即,第二用户端主管120裁决AutoCAD灰名单110是于本次禁止(阻挡)执行。然后,对于AutoCAD灰名单110而言,基于第二用户端主管120裁决的方案,第二用户端主管120可以决定本次阻挡执行的AutoCAD灰名单110是否于下一次执行时,变成AutoCAD白名单114。因此,在本实施例之中,不让第一用户端员工112有AutoCAD灰名单变成AutoCAD白名单的决定权,而是基于第二用户端主管120以裁决AutoCAD灰名单是否变成AutoCAD白名单,来减轻IT端的负担。本实施例可以永久将单一灰名单变成白名单。
举一实施例而言,上面二个方案,不管基于第二用户端主管120以裁决或者基于第一用户端员工112以裁决,一次只能让单一灰名单程序转变成白名单。然而,因为不须经过IT端来处理,所以可以减轻IT端的负担。
图3显示本发明的第三实施例,于用户端执行的应用程序控管方法的示意图。本实施例之中,在服务器端(IT端)的允许之下,可以让用户端员工112自行启动重新扫描应用程序,来减轻服务器端(IT端)的负担。服务器端(IT端)开放扫描应用程序的功能给特定的用户端。举例而言,服器端(IT端)可以授权给某些用户端员工112,使被授权的用户端具有扫描应用程序的功能,因此可以自行启动重新扫描应用程序。亦即,在IT端所允许的用户端员工112重新扫描应用程序之后,会让本次阻挡执行的AutoCAD灰名单110变成AutoCAD白名单114。因此,所有的用户端102之中的应用程序(Word、Excel、AutoCAD)全部变成白名单。当然,本实施例也可以永久将单一灰名单变成白名单。
参考图4,其显示本发明的第四实施例,于用户端执行的应用程序控管方法的示意图。本实施例之中,在服务器端(IT端)的允许之下,可以让用户端员工140关闭应用程序控管,来减轻服务器端(IT端)的负担。服务器端(IT端)开放关闭应用程序控管的功能给特定的用户端。举例而言,服务器端(IT端)可以授权给某些用户端员工140,使被授权的用户端具有关闭应用程序控管的功能,因此使其可以先关闭目前的应用程序控管,之后再定义新的应用程序控管。如图4所示,被授权的用户端员工140可以关闭当前的应用程序控管。关闭应用程序控管之后,应用程序150包含记录为黑名单的Excel与灰名单的AutoCAD全部可以使用,于本机中执行。关闭/开启应用程序控管可以暂时性执行单一灰名单。关闭应用程序控管可以暂时性执行多个灰名单。
如图5所示,其显示上述用户端员工140定义新的应用程序控管的流程。首先,于步骤202之中,用户端员工关闭应用程序控管。举例而言,用户端员工可以于被服务器端(IT端)授权之后,启动一关闭单元将执行中的应用程序控管在电脑执行程序中进行关闭动作。关闭单元是信息连结应用程序控管单元。然后,于步骤204之中,于用户端安装一套装软件。举例而言,套装软件包含但不限定于Microsoft Office(例如包含Word、Excel和PowerPoint)、AutoCad、Line…等软件。接下来,于步骤206之中,于用户端电脑重新扫描本机中所有的应用程序。之后,于步骤208之中,启动应用程序控管方式。于步骤210之中,于启动应用程序控管方式之后,定义新的应用程序控管。此新的应用程序控管可以执行本机中所有的应用程序,亦即,经定义之后,本机中所有的应用程序均为可执行的白名单。本实施例可以永久将多个灰名单变成白名单。
相较于习知的黑名单控管方式,本发明提出于用户端执行的应用程序控管方法。上述4种方案均为针对已知且安全的新的程序,让用户端员工或用户端主管可以自行更新应用程序控管清单,进而减轻IT端的负担,对于信息安全的检测效率大大地得到提升。
在不脱离本文范畴的情况下,可对上述于用户端执行的应用程序控管方法做出改变。因此,应当注意,包含在以上描述中并且在附图中示出的内容应当被解释为说明性的而非限制性的意义。以上权利要求旨在涵盖本文中所描述的所有一般特征及特定特征,以及本发明于用户端执行的应用程序控管方法的范畴的所有陈述,其在语言上可被说成落在其间。
Claims (10)
1.一种于用户端执行的应用程序控管方法,其特征在于,包括:
利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于该用户端中执行,每一黑名单不可于该用户端中执行;
提供未经由该指定单元以指定的灰名单,其中该灰名单不可于该用户端中执行;以及
基于该用户端以自行决定禁止执行的该灰名单是否于下一次执行时变成白名单。
2.如权利要求1所述的于用户端执行的应用程序控管方法,其特征在于,该每一黑名单上传阻挡记录至某一资料夹或某一储存路径之中。
3.如权利要求1所述的于用户端执行的应用程序控管方法,其特征在于,该灰名单上传阻挡记录至某一资料夹或某一储存路径之中。
4.一种于用户端执行的应用程序控管方法,其特征在于,包括:
利用一第一用户端的一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于该第一用户端中执行,每一黑名单不可于该第一用户端中执行;
提供未经由该指定单元以指定的灰名单,其中该灰名单不可于该第一用户端中执行;以及
基于该第二用户端以自行决定禁止执行的该灰名单是否于下一次执行时变成白名单。
5.如权利要求4所述的于用户端执行的应用程序控管方法,其特征在于,该灰名单上传阻挡记录至某一资料夹或某一储存路径之中。
6.如权利要求4所述的于用户端执行的应用程序控管方法,其特征在于,其中该每一黑名单上传阻挡记录至某一资料夹或某一储存路径之中。
7.一种于用户端执行的应用程序控管方法,其特征在于,包括:
利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于该用户端中执行,每一黑名单不可于该用户端中执行;
提供未经由该指定单元以指定的灰名单,其中该灰名单不可于该用户端中执行;以及
在服务器端的允许之下,基于该用户端扫描应用程序,以让禁止执行的该灰名单变成白名单。
8.如权利要求7所述的于用户端执行的应用程序控管方法,其特征在于,该灰名单与该每一黑名单上传阻挡记录至某一资料夹或某一储存路径之中。
9.一种于用户端执行的应用程序控管方法,其特征在于,包括:
利用一指定单元以指定白名单清单与黑名单清单,其中每一白名单可于该用户端中执行,每一黑名单不可于该用户端中执行;
提供未经由该指定单元以指定的灰名单,其中该灰名单不可于该用户端中执行;以及
在服务器端的允许之下,该用户端关闭目前的应用程序控管,以让禁止执行的该灰名单与该黑名单清单可于该用户端中执行。
10.如权利要求9所述的于用户端执行的应用程序控管方法,其特征在于,还包含于该用户端安装一套装软件,于该用户端重新扫描所有的应用程序,以及于启动应用程序控管方式之后定义新的应用程序控管。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110477333.3A CN115270101A (zh) | 2021-04-30 | 2021-04-30 | 于用户端执行的应用程序控管方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110477333.3A CN115270101A (zh) | 2021-04-30 | 2021-04-30 | 于用户端执行的应用程序控管方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115270101A true CN115270101A (zh) | 2022-11-01 |
Family
ID=83745672
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110477333.3A Pending CN115270101A (zh) | 2021-04-30 | 2021-04-30 | 于用户端执行的应用程序控管方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115270101A (zh) |
-
2021
- 2021-04-30 CN CN202110477333.3A patent/CN115270101A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9665708B2 (en) | Secure system for allowing the execution of authorized computer program code | |
| US8775369B2 (en) | Computer system architecture and method having isolated file system management for secure and reliable data processing | |
| US20110087899A1 (en) | Firewall plus storage apparatus, method and system | |
| TWI720313B (zh) | 基本輸入輸出系統活動之本地監督及供應 | |
| US7890756B2 (en) | Verification system and method for accessing resources in a computing environment | |
| CN101414329A (zh) | 删除正在运行中的病毒的方法 | |
| CN110750778A (zh) | 一种应用程序管控方法和装置 | |
| TWI765690B (zh) | 基於觀察模式之應用程式控管方法 | |
| CN115270101A (zh) | 于用户端执行的应用程序控管方法 | |
| TWI796683B (zh) | 於用戶端執行之應用程式控管方法 | |
| GB2555569A (en) | Enhanced computer objects security | |
| CN115270102A (zh) | 基于观察模式的应用程序控管方法 | |
| TWI802040B (zh) | 基於檔案屬性特徵之應用程式控管方法 | |
| US20150302221A1 (en) | Secure access to programming data | |
| CN115952474A (zh) | 基于文件属性特征的应用程序控管方法 | |
| CN115964698A (zh) | 基于不同扫描方案的应用程序控管方法 | |
| TWI299448B (en) | Method for preventing computer from virus attacks | |
| CN115270117A (zh) | 依于子程序执行的应用程序控管方法 | |
| Hassell et al. | Best Practices: A Six-Step Guide to Better Security | |
| JP2006120013A (ja) | アクセス制御装置およびアクセス制御方法ならびにそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |