TWI765690B - 基於觀察模式之應用程式控管方法 - Google Patents
基於觀察模式之應用程式控管方法 Download PDFInfo
- Publication number
- TWI765690B TWI765690B TW110115777A TW110115777A TWI765690B TW I765690 B TWI765690 B TW I765690B TW 110115777 A TW110115777 A TW 110115777A TW 110115777 A TW110115777 A TW 110115777A TW I765690 B TWI765690 B TW I765690B
- Authority
- TW
- Taiwan
- Prior art keywords
- observation mode
- whitelist
- application
- control method
- method based
- Prior art date
Links
Images
Landscapes
- Investigating Or Analysing Biological Materials (AREA)
- Investigating, Analyzing Materials By Fluorescence Or Luminescence (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一種基於觀察模式之應用程式控管方法,包含底下步驟:於一伺服器設定一觀察模式;於觀察模式之一段測試期間依序收集並記錄用戶端的灰名單,該些灰名單於觀察模式係可執行;以及,於該測試期間,依照該些記錄的灰名單以增補新的白名單或黑名單,直到不再有任何灰名單時,關閉該觀察模式,啟用應用程式控管。
Description
本發明涉及一種應用程式控管之技術領域,特別是一種基於觀察模式之應用程式控管方法。
隨著資訊化的發展,出現了大量的應用程式(APP)。同一個廠商可以提供多個應用程式。即使是不同的應用程式,尤其是同一個廠商提供的多個應用程式,可能存在相似的功能。為了適應技術發展或業務需要,常常需要對應用程式進行升級或換代,例如,新版本應用程式的發佈頻率可能大於1次/周。當發佈的新版本應用程式出現了錯誤或者業務出現故障時,需要用戶端的應用程式緊急回到指定版本的應用程式,才能夠滿足用戶的基本使用需求。
現有的應用程式通常會限定可合法使用它的電腦裝置,避免應用程式被複製到其它未經合法授權的電腦裝置上使用。為達到這個目的,目前已有綁定硬體資訊的保護機制。在此機制中,應用程式一旦被啟動就會先讀取並驗證安裝它的電腦裝置中的硬體資訊,例如中央處理器編碼、硬碟序號等等,並只在驗證通過時才允許該電腦裝置正常執行它。這種機制雖可將應用程式與可正常執行它的合法電腦裝置綁定在一起,但因硬體資訊缺乏動態變化,故容易遭到破解。
此外,在網際網路普及的情形之下,在企業內通常都會建構與網際網路的連接,以取得各式各樣的應用程式。然而,從網際網路擷取的各種資訊或應用程式,可能也會有接收到惡意程式的情形發生。一旦惡意程式進入到資訊處理裝置,將會破壞其中的軟體或者是盜取其中的資訊,對於企業內的資
訊安全造成莫大的傷害。
另一方面,對於企業而言,在享受網際網路便利性的同時也應盡可能地將這些可能存在的惡意程式的威脅排除。關連於應用程式所實行的限制,傳統上係使用黑名單的控管方式來實施。因為全球的程式太多,因此以黑名單的控管方式已不符使用。
近來駭客常使用本機上原有的程式,做為攻擊的程式,而不是使用駭客自己寫的程式。這樣會造成一個問題,例如Windows上內建的程式是常會被使用者使用的程式,但也是駭客最愛用的程式;如此,這些內建的程式是否可以設為應用程式控管,也是一大問題所在。
再者,應用程式控管有強大的防護力,但是企業內的使用者常會因為底下三種情況:(1)Windows Update;(2)使用者自己安裝已知且安全的新程式(例如:AutoCAD);(3)每天更新的程式(例如:Teams、Chrome常會背景更新),而造成無法執行程式的窘境。此不但會影響企業員工的工作效率,也會增加資訊技術(IT:Information Technology)人員的工作量。
針對上述應用程式控管方式,本發明提供一種新穎的應用程式控管方法,以增進應用程式控管的功能。
本發明之目的在於提供一種基於觀察模式之應用程式控管方法。
本發明之基於觀察模式之應用程式控管方法,包括:於一伺服器設定一觀察模式;確定該伺服器確定是否進入觀察模式,若進入該觀察模式,則於一段測試期間依序收集並記錄用戶端的灰名單,該些灰名單於觀察模式係可執行;以及,於該測試期間,依照該些記錄的灰名單以增補新的白名單或黑名單,直到不再有任何灰名單時,關閉該觀察模式,啟用應用程式控管。
其中該伺服器執行應用程式控管之白名單比對流程,取得該些灰名單,其中該些灰名單於進入觀察模式之前不可執行。
上述方法更包含上傳該些灰名單之阻擋紀錄至伺服器。上述方法更包含該伺服器設定黑名單和白名單。
執行該應用程式控管之白名單比對流程係依序比對憑證、雜湊和路徑/檔名。憑證包含部分憑證和完整憑證。其中該用戶端為個人電腦、平板電腦或計算機裝置。
102:用戶端
104:指定單元
106:Word白名單
108:Excel黑名單
110:AutoCAD灰名單
202:憑證
204:雜湊(Hash)
206:路徑/檔名
208:部分憑證
210:完整憑證
212、216、220、224:黑名單
214、218、222、226:白名單
302:灰名單
304:觀察模式
306:允許執行並上傳阻擋紀錄
308:員工裁決
310:員工決定灰名單是否變成白名單
312:主管裁決
314:主管決定灰名單是否變成白名單
316:禁止執行
第一圖顯示本發明之應用程式控管方法之示意圖。
第二圖顯示本發明之應用程式控管之白名單的比對流程之示意圖。
第三圖顯示本發明之基於觀察模式之應用程式控管方法之示意圖。
此處本發明將針對發明具體實施例及其觀點加以詳細描述,此類描述為解釋本發明之結構或步驟流程,其係供以說明之用而非用以限制本發明之申請專利範圍。因此,除說明書中之具體實施例與較佳實施例外,本發明亦可廣泛施行於其他不同的實施例中。以下藉由特定的具體實施例說明本發明之實施方式,熟悉此技術之人士可藉由本說明書所揭示之內容輕易地瞭解本發明之功效性與其優點。且本發明亦可藉由其他具體實施例加以運用及實施,本說明書所闡述之各項細節亦可基於不同需求而應用,且在不悖離本發明之精神下進行各種不同的修飾或變更。
本發明提出一種基於觀察模式之應用程式控管方法。其中係以白
名單做為控管方案,以取代傳統的黑名單控管方式。在實際上的操作上而言,應用程式控管的白名單、黑名單、灰名單可以根據底下步驟而定義,首先,用戶端(個人電腦、平板電腦、或各種計算機裝置)安裝一系列列的檔案、程式或軟體,例如Word、Excel、AutoCAD;然後,透過一指定單元以指定某類、某種檔案、程式或軟體為白名單、黑名單,例如指定、定義Word為白名單,Excel為黑名單,而未指定或定義之AutoCAD,因為不是白名單也不是黑名單,自動變成灰名單。其中Word白名單可以在本機中執行,Excel黑名單不可以在本機中執行,但可上傳阻擋紀錄至某一資料夾或某一儲存路徑之中。除非使用者允許,否則AutoCAD灰名單亦不可以在本機中執行,但可上傳阻擋紀錄至某一資料夾或某一儲存路徑之中。在本發明之中,在剛剛佈署應用程式控管功能之後,建議開啟觀察模式。在此觀察模式下,灰名單仍可執行,但會上傳阻擋紀錄供IT端參考。
第一圖描繪了本發明之應用程式控管方法之示意圖。如第一圖所示,首先,提供用戶端102(個人電腦、平板電腦、或各種計算機裝置),透過一伺服器(IT端)的一指定單元104以指定或定義Word為白名單、Excel為黑名單,分別標示為Word白名單106以及Excel黑名單108。而未經由指定單元104指定或定義之AutoCAD,因為不是白名單也不是黑名單,自動變成灰名單,標示為AutoCAD灰名單110。舉一實施例而言,在經過IT端(控制台)掃描之後的檔案,存在於用戶端102中的Word均被標示為Word白名單106,而Excel則被標示為Excel黑名單108。其中Word白名單106可以在用戶端102本機中執行。Excel黑名單108不可以在用戶端102本機中執行,但可上傳阻擋紀錄至某一資料夾或某一儲存路徑之中。另外,AutoCAD灰名單110亦不可以在用戶端102本機中執行,但可上傳阻擋紀錄至某一資料夾或某一儲存路徑之中。亦即,AutoCAD灰名單110是於本次阻擋執行。
在一實施例之中,黑名單係由IT端人員所設定,所以一定會被阻擋;反之,白名單大多由掃描而得到,少量的白名單是IT端針對全公司所設定。
由上述可知,若IT端賦于員工權限,員工就可以將灰名單自行轉成白名單;當然,這個新的白名單只對這個員工有效;如此,就不用每次有新程式都要麻煩IT端去設定白名單。
參考第二圖,其顯示本發明之應用程式控管之白名單的比對流程之示意圖。一伺服器執行一應用程式控管之白名單比對流程,取得一灰名單,其中該灰名單不可於用戶端中執行。應用程式控管的基本特徵包含憑證202、雜湊(Hash)204和路徑/檔名206。應用程式控管經過伺服器(控制台)進行一比對流程,透過上述基本特徵的比對來進行,依序比對憑證202、Hash 204和路徑/檔名206。首先,透過憑證202的比對;憑證202包含部分憑證208和完整憑證210。透過部分憑證208的比對,若比對符合黑名單的部分憑證特徵,則結果為黑名單212;若比對符合白名單的部分憑證特徵,則結果為白名單214。透過完整憑證210的比對,若比對符合黑名單的部分憑證特徵,則結果為黑名單216;若比對符合白名單的部分憑證特徵,則結果為白名單218。接下來,透過Hash 204的比對,若比對符合黑名單的部分憑證特徵,則結果為黑名單220;若比對符合白名單的部分憑證特徵,則結果為白名單222。之後,透過路徑/檔名206的比對,若比對符合黑名單的部分憑證特徵,則結果為黑名單224;若比對符合白名單的部分憑證特徵,則結果為白名單226。透過上述基本特徵憑證202、Hash 204和路徑/檔名206的比對,若比對不到黑名單或白名單,則變成灰名單。應用程式控管的比對流程之後,原則上灰名單是禁止執行的。
參考第三圖,其顯示本發明之基於觀察模式之應用程式控管方法之示意圖。伺服器(IT端)可以設定黑名單、白名單以及一觀察模式,以佈署應用程式控管功能。觀察模式是軟體模式的一種。在觀察模式之中,伺服器(IT端)可以管理所有取得的灰名單。此外,本發明之觀察模式主要用途、特徵及目的包含底下幾項:
(1)於用戶真正啟動應用程式控管之前,包含有一段“測試期”(即觀察模式);
(2)在這段“測試期”的期間,不會進行灰名單阻擋(以免影響使用者);
(3)應用程式控管在不要影響使用者之下,收集使用者的灰名單;
(4)在這段“測試期”的期間,灰名單會被做“記錄”;
(5)IT端人員在“測試期”的期間,回收、觀察這些記錄,並依照這些記錄灰名單,增補新的白名單或黑名單;
(6)一但加入新的白名單,在“測試期”的期間中的灰名單就會變少;
(7)最後,預期在一段時間內,“測試期”不再有任何灰名單時,即可“正式”啟用應用程式控管。
由上述可知,本發明之觀察模式的特色包含:(i)啟動應用程式控管的前期,用來收集漏網的白名單;(ii)在這段“測試期”的期間,不打擾使用者;(iii)使用灰名單的阻擋紀錄(實際上並未阻擋),補充新的白名單,直到無灰名單紀錄為止;(iv)關閉觀察模式,“正式”啟用應用程式控管。
應用程式控管之白名單的比對流程之後,使用者發現程式被阻擋的,基本上就是灰名單302。因為黑名單已上傳阻擋紀錄而不會被執行,而白名單可執行。伺服器確定是否進入該觀察模式,若進入該觀察模式,則該灰名單302可於用戶端中執行。在剛剛佈署應用程式控管功能之後,可以開啟觀察模式304。其中佈署應用程式控管功能包含前述的設定黑名單、白名單以及觀察模式。若確定開啟觀察模式304,則灰名單302允許執行並上傳阻擋紀錄306,以供IT端參考。如上所述,在觀察模式304之中,包含有一段“測試期”。“測試期”的期間可由IT端之應用程式控管來設定。在這段“測試期”的期間,不會進行灰名單302的阻擋,以免影響使用者去執行該灰名單302。灰名單302上傳阻擋紀錄至IT端的某一資料夾或某一儲存路徑之中。一段“測試期”的期間(例如2週),應用程式控管在不要影響使用者之下,依序收集使用者的灰名單,並且記錄該些灰名單。換言之,在不影響使用者的情況之下,IT端可以收集使用者未來會被阻擋的程式紀錄。然後,IT端人員在“測試期”的期間,回收、觀察這些記錄,於IT端判斷灰名單合不合理;若合理,IT端可以將該些紀錄的灰名單變為白名單(反之,可記錄為黑名單)。並依照這些記錄,增補新的白名單或黑名單。一但加入新的白名單,在“測試期”的期間中的灰名單就會變少。最後,在“測試期”不再有任何灰名單時,關閉觀察模式,即可“正式”啟用應用程式控管。亦即,在一段時間的觀察模式304結束之後,IT端人員可以修正白名單,並正式使應用程式控管上線。
另外,通常只有使用者才瞭解因自身工作關係而必須安裝或臨時安裝那些程式或軟體。資訊技術(IT)人員不見得會了解每一位企業內每一位員工的工作需要所需安裝的程式或軟體。並且,通常企業內部的員工人數眾多,因此決定灰名單變成白名單的工作量可能會佔去許多時間。因此,若確定不開啟觀察模式304,則灰名單302進行員工裁決308。在員工裁決308時,用戶端員工可以決定灰名單是否變成白名單310。換言之,對於灰名單302而言,基於用戶端員工裁決308的方案,用戶端員工可以自行決定本次阻擋執行的灰名單302是否於下一次執行時變成白名單。因此,在本實施例之中,基於信任企業底下的員工,而讓員工可以自行裁決灰名單是否變成白名單,來減輕IT端的負擔。
進一步而言,若無法相信員工,或者不希望員工自行決定的情況,可以使用主管裁決312的方案。使用主管裁決的方案,來減輕IT端的負擔。如第三圖所示,用戶端主管可以決定灰名單是否變成白名單314,來減輕IT端的負擔。對於灰名單302而言,基於用戶端主管裁決312的方案,用戶端主管可以決定本次阻擋執行的灰名單302是否於下一次執行時,變成白名單。因此,在主管裁決312之中,不讓用戶端員工有灰名單變成白名單之決定權,而是基於用戶端主管以裁決灰名單是否變成白名單,來減輕IT端的負擔。
若灰名單不進行員工裁決308,也不進行主管裁決312,則灰名單是禁止執行316的。
舉一實施例而言,上面二個方案,不管基於用戶端主管裁決或者基於用戶端員工裁決,一次只能讓單一灰名單程式轉變成白名單。然而,因為不須經過IT端來處理,所以可以減輕IT端的負擔。
在另一實施例之中,在伺服器端(IT端)的允許之下,可以讓用戶端員工自行啟動重新掃描應用程式,來減輕伺服器端(IT端)的負擔。伺服器端(IT端)開放掃描應用程式之功能給特定的用戶端。舉例而言,服器端(IT端)可以授權給某些用戶端員工,使被授權的用戶端具有掃描應用程式之功能,因此可以
自行啟動重新掃描應用程式。亦即,在IT端所允許的用戶端員工重新掃描應用程式之後,會讓本次阻擋執行的灰名單變成白名單。
相較於習知的黑名單控管方式,本發明提出基於觀察模式之應用程式控管方法。在剛剛佈署應用程式控管功能,建議開啟觀察模式。觀察模式在不打擾使用者的情況之下,觀察灰名單。針對已知且安全的新的程式或者新的安裝程式,讓用戶端員工或用戶端主管可以決定本次阻擋執行的灰名單是否變成白名單,或自行更新應用程式控管清單,進而減輕IT端的負擔,對於資訊安全的檢測效率大大地得到提升。
在不脫離本文範疇之情況下,可對上述基於觀察模式之應用程式控管方法做出改變。因此,應當注意,包含在以上描述中並且在附圖中示出之內容應當被解釋為說明性的而非限制性之意義。以下申請專利範圍旨在涵蓋本文中所描述之所有一般特徵及特定特徵,以及本發明基於觀察模式之應用程式控管方法之範疇的所有陳述,其在語言上可被說成落在其間。
302:灰名單
304:觀察模式
306:允許執行並上傳阻擋紀錄
308:員工裁決
310:員工決定灰名單是否變成白名單
312:主管裁決
314:主管決定灰名單是否變成白名單
316:禁止執行
Claims (10)
- 一種基於觀察模式之應用程式控管方法,包括:於一伺服器設定一觀察模式;確定該伺服器是否進入該觀察模式,若進入該觀察模式,則於一段測試期間依序收集並記錄用戶端的灰名單,該些灰名單於該觀察模式係可執行;以及於該測試期間,將該些記錄的灰名單轉為新的白名單,直到無任何灰名單,關閉該觀察模式,啟用應用程式控管。
- 如請求項1所述的基於觀察模式之應用程式控管方法,其中該伺服器執行該應用程式控管之白名單比對流程,取得該些灰名單,其中該些灰名單於進入該觀察模式之前不可執行。
- 如請求項2所述的基於觀察模式之應用程式控管方法,更包含該伺服器設定黑名單和白名單。
- 如請求項3所述的基於觀察模式之應用程式控管方法,其中執行該應用程式控管之白名單比對流程係依序比對憑證、雜湊和路徑/檔名。
- 如請求項4所述的基於觀察模式之應用程式控管方法,其中該憑證包含部分憑證和完整憑證。
- 如請求項5所述的基於觀察模式之應用程式控管方法,其中該用戶端為個人電腦、平板電腦或計算機裝置。
- 如請求項1所述的基於觀察模式之應用程式控管方法,更包含上傳該些灰名單之阻擋紀錄至該伺服器。
- 如請求項7所述的基於觀察模式之應用程式控管方法,其中該用戶端為個人電腦、平板電腦或計算機裝置。
- 如請求項7所述的基於觀察模式之應用程式控管方法,更包含該伺服器設定黑名單和白名單。
- 如請求項9所述的基於觀察模式之應用程式控管方法,其中該用戶端為個人電腦、平板電腦或計算機裝置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110115777A TWI765690B (zh) | 2021-04-30 | 2021-04-30 | 基於觀察模式之應用程式控管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110115777A TWI765690B (zh) | 2021-04-30 | 2021-04-30 | 基於觀察模式之應用程式控管方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI765690B true TWI765690B (zh) | 2022-05-21 |
TW202244720A TW202244720A (zh) | 2022-11-16 |
Family
ID=82594491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110115777A TWI765690B (zh) | 2021-04-30 | 2021-04-30 | 基於觀察模式之應用程式控管方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI765690B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI815715B (zh) * | 2022-10-27 | 2023-09-11 | 英業達股份有限公司 | 利用伺服器日誌資料判斷伺服器狀態之判斷系統與判斷方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140245376A1 (en) * | 2013-02-25 | 2014-08-28 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
TWI515599B (zh) * | 2014-03-17 | 2016-01-01 | Chunghwa Telecom Co Ltd | Computer program products and methods for monitoring and defending security |
US10114950B2 (en) * | 2012-10-19 | 2018-10-30 | McAFEE, LLC. | Mobile application management |
CN110348180A (zh) * | 2019-06-20 | 2019-10-18 | 苏州浪潮智能科技有限公司 | 一种应用程序启动控制方法和装置 |
US20200045018A1 (en) * | 2018-08-03 | 2020-02-06 | Microsoft Technology Licensing, Llc | Listen mode for machine whitelisting mechanisms |
-
2021
- 2021-04-30 TW TW110115777A patent/TWI765690B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10114950B2 (en) * | 2012-10-19 | 2018-10-30 | McAFEE, LLC. | Mobile application management |
US20140245376A1 (en) * | 2013-02-25 | 2014-08-28 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
TWI515599B (zh) * | 2014-03-17 | 2016-01-01 | Chunghwa Telecom Co Ltd | Computer program products and methods for monitoring and defending security |
US20200045018A1 (en) * | 2018-08-03 | 2020-02-06 | Microsoft Technology Licensing, Llc | Listen mode for machine whitelisting mechanisms |
CN110348180A (zh) * | 2019-06-20 | 2019-10-18 | 苏州浪潮智能科技有限公司 | 一种应用程序启动控制方法和装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI815715B (zh) * | 2022-10-27 | 2023-09-11 | 英業達股份有限公司 | 利用伺服器日誌資料判斷伺服器狀態之判斷系統與判斷方法 |
Also Published As
Publication number | Publication date |
---|---|
TW202244720A (zh) | 2022-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8474032B2 (en) | Firewall+ storage apparatus, method and system | |
US10977381B2 (en) | Protection system and method against unauthorized data alteration | |
RU2589852C2 (ru) | Система и способ автоматической регулировки правил контроля приложений | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
US7743260B2 (en) | Firewall+storage apparatus, method and system | |
JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
US7657941B1 (en) | Hardware-based anti-virus system | |
JP2012146317A (ja) | ネットワーク・セキュリティ・システムおよび方法 | |
US20100083366A1 (en) | Blocking Computer System Ports on Per User Basis | |
US10691809B2 (en) | Information processing apparatus and method for controlling the same | |
RU2617923C2 (ru) | Система и способ настройки антивирусной проверки | |
Zhao et al. | TEE-aided write protection against privileged data tampering | |
TWI765690B (zh) | 基於觀察模式之應用程式控管方法 | |
US9319562B2 (en) | Image forming apparatus capable of sychronizing personal setting information | |
JP2006107505A (ja) | アクセス認可のapi | |
CN101414329A (zh) | 删除正在运行中的病毒的方法 | |
CN110750778A (zh) | 一种应用程序管控方法和装置 | |
TWI796683B (zh) | 於用戶端執行之應用程式控管方法 | |
TWI802040B (zh) | 基於檔案屬性特徵之應用程式控管方法 | |
CN115270102A (zh) | 基于观察模式的应用程序控管方法 | |
CN115270101A (zh) | 于用户端执行的应用程序控管方法 | |
TWI789944B (zh) | 基於不同掃描方案之應用程式控管方法 | |
CN115952474A (zh) | 基于文件属性特征的应用程序控管方法 | |
WO2009048158A1 (ja) | ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法 | |
RU2535504C1 (ru) | Система и способ лечения содержимого сайта |