[发明专利]在集中环境中安全管理桌面应用的方法及系统

说明书

技术领域

本发明涉及计算机领域，特别是涉及一种在集中环境中安全管理桌面应用的方法及系统。

背景技术

在集中的信息系统中(包括生产型信息系统和办公型信息系统)，信息系统本身的安全问题一直是系统的建设、使用过程中需要考虑的的关键因素之一。而系统的安全性遭到破坏很大因素上是因为信息系统中存在不安全的桌面应用程序，或是病毒、木马，或是被恶意代码感染了的应用程序。信息系统的安全性遭到破坏，产生的影响包括重则信息泄漏，轻则信息系统遭到破坏进而影响生产效率等。因此为了保障信息系统中的安全，对系统中的桌面应用进行行之有效的安全管理，是重中之重。

在传统的方式中，为了避免恶意代码的攻击，使用杀毒软件是一个常见的技术手段。在集中信息环境中的每台计算终端上部署杀毒软件，定期对终端进行扫描，可以及时发现并清除终端中存在的恶意代码，确保终端环境的安全，从而达到整个集中信息系统的安全。另一种用于保证桌面应用安全的方式是对可信计算技术的应用。使用可信计算中信任传递的概念，在终端上从一个物理可信芯片(TPM)出发，构造一条从可信芯片到OSLoader，到OS，最后到桌面应用的完整的信任链，这一信任链能够确保终端系统中运行的桌面应用都是可信的，从根本上杜绝了恶意代码的加载。

但是这两种方式都存在天然的缺陷：在采用杀毒软件的方式中，一是杀毒软件具有滞后性，对于新出现的恶意代码无能为力，尽管可以在杀毒软件的病 毒库升级后“亡羊补牢”，但是可能恶意代码已经对信息系统造成了破坏，带来了损失；二是杀毒软件需要进行定时的维护更新，例如病毒库的升级，杀毒软件引擎的更新等，同时需要定期使用杀毒软件对终端进行全盘扫描，以确保终端环境的安全，然而这些维护工作在集中的信息系统中会为运维工作带来很大的额外开销，降低了使用杀毒软件的灵活性。在应用可信计算技术的方式中，这一技术方法依赖于可信芯片，而当信息系统中的终端不具有可信芯片时，就无法构造出完整的信任链，因此无法完成对需要启动的桌面应用的认证；同时，由于每台终端都需要构造独立的信任链，因此难以适用于集中的信息系统。

发明内容

鉴于现有技术的缺陷，本发明目的在于提供一种在集中环境中安全管理桌面应用的方法及系统。

本发明目的主要是通过以下技术方案实现的：

根据本发明的一个方面，本发明提供一种在集中环境中安全管理桌面应用的方法，应用于管理中心，其特征在于，包括：

生成信任桌面应用列表；

将所述信任桌面应用列表发送给终端。

根据本发明的另一个方面，本发明还提供一种在集中环境中安全管理桌面应用的方法，应用于终端侧，其特征在于，包括：

从管理中心获取信任桌面应用列表；

在加载一桌面应用时，根据所述信任桌面应用列表，判断加载的所述桌面应用是否属于可信任的桌面应用；

若判定为属于时，加载并运行所述桌面应用；

若判定为不属于时，拒绝加载所述桌面应用。

根据本发明的另一个方面，本发明还提供一种在集中环境中安全管理桌面应用的主系统，其特征在于，包括：

列表生成模块，用于生成信任桌面应用列表；

列表发送模块，用于将所述信任桌面应用列表发送给终端。

根据本发明的另一个方面，本发明还提供一种列表接收模块，用于从管理中心获取的信任桌面应用列表；

判断模块，用于在加载一桌面应用时，根据所述信任桌面应用列表，判断加载的所述桌面应用是否属于可信任的桌面应用；

执行模块，用于若判定为属于时，加载并运行所述桌面应用；若判定为不属于时，拒绝加载所述桌面应用。

本发明有益效果如下：

本发明的方法和系统能够弥补杀毒软件滞后性的缺陷，对未知和新出现的恶意代码也具有防御能力；同时采用运行时验证的方法，毋须进行定期的全盘扫描，也毋须定期逐个终端更新病毒库，降低了维护的工作量；与可信计算技术相比，本发明所述的方法不要求所有的终端都拥有物理可信芯片，不用增加额外的成本，并且能够采用统一管理维护的方法，更能适应集中的信息环境。

附图说明

图1是本发明实施例中集中信息系统的总体架构示意图；

图2是本发明实施例中一种在集中环境中应用于终端侧的安全管理桌面应用的方法流程图。

具体实施方式

本发明提供了一种在集中环境中安全管理桌面应用的方法及系统，以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不限定本发明。

实施例一