知名百科  > 所属分类  >  商业百科    科技百科   

白名单

白名单(white list)是一种计算机网络安全机制,用于限制允许访问或授权成员资格的实体列表,同时拒绝所有其他实体 访问请求。它在计算机保护中起着重要的作用,有助于防止潜在的威胁和不良内容,提高网络和计算机系统的安全性。根据白名单中实体的类型,白名单可以分为资产白名单、防火墙白名单、应用程序白名单、用户白名单、行为白名单、电子邮件白名单等。和与白名单相对的黑名单(blacklist),除了黑名单中的实体没有访问权限,其他实体都允许访问。

白名单白名单

在更广泛的语义中,白名单可以代表一个授权、被认可或信任并被认为具有某种条件或品质的人的名单、组织、产品或服务。这样的列表允许或推荐特定的实体或事物来执行特定的活动、参与特定领域或接受特定待遇,适用于各种场景,比如政府机关、政府政策、商业合作等。

目录

分类划分 编辑本段

根据不同的应用场景,白名单技术可以应用在不同的领域。在网络安全应用场景中,可以分为资产白名单、防火墙白名单和邮件白名单,其中防火墙白名单又分为IP地址白名单、域名白名单、URL白名单等;在软件应用场景中,白名单可以用来指定允许访问的程序、文件、文件夹等;在数据库应用场景中,白名单可以用来指定允许访问数据库的用户或IP地址。

资产

工业控制领域,资产白名单是一种重要的安全措施,用于识别和管理工业控制系统(ICS)网络中的设备和资产。在ICS网络中,许多攻击或意外伤害都是由非法访问其他设备引起的。为了解决这一问题,我们可以使用自动网络扫描工具或手动方式快速获取ICS中已知设备的列表,还可以使用工业安全检测设备检测设备中已知和未知的漏洞和后门,从而全面掌握设备的安全性。

防火墙

防火墙白名单是一种基于白名单技术的过滤机制,用于控制网络流量和数据包的访问权限,以确保只有授权的应用和IP地址才能访问网络或系统资源,从而提高安全性,降低潜在的攻击风险。

防火墙白名单的规则表是为特定的应用程序或协议定义的。例如,例如,工业控制网络中使用的Modbus TCP协议,这些规则可能包括多个数据特征,例如源IP地址、目标IP地址、源MAC地址、目标MAC地址、协议标识符、端口号、线圈或寄存器的功能代码和地址范围等。

通过防火墙白名单,管理员可以确保只有授权的应用程序和IP地址才能访问网络或系统资源,从而提高安全性并降低潜在的攻击风险。

域名

域名白名单用于限制对特定域名的访问。管理员将白名单文件放在网站的根目录中,并使用特定的名称(White domain)命名,以确保只有包含在白名单中的域名或IP地址才能访问网站的指定路径。

IP地址

IP地址白名单用于限制对特定IP地址或IP地址范围的访问。管理员可以设置白名单规则,只允许列表中或范围内的IP地址进行通信,而拒绝其他IP地址的访问。

URL

URL白名单用于限制对特定URL地址或URL地址模式的访问。管理员可以配置URL白名单规则,确保只有符合规则的URL才能访问网络或系统资源,其他URL禁止访问。

例如,假设一家公司只允许员工访问www.exle.您需要在URL过滤配置文件中配置以下两项。

电子邮件

电子邮件白名单是一种过滤算法,通常用于处理新到的邮件该算法首先查看发送者 邮件头中的s地址,并且会完整接收地址在白名单中的邮件,而直接拒绝地址在黑名单中的邮件。

在电子邮件过滤技术中,基于样本检测和规则匹配的原理,过滤技术可以分为规则过滤、协同过滤和地址列表过滤。规则过滤技术通过设置匹配规则实现过滤虽然能有效阻止垃圾邮件,但误判率高,容易受干扰信息影响。统计过滤是规则过滤技术的升级通过使用统计规律计算垃圾邮件附加特征的可能性来判别邮件的合法性,该方法误判率低。通讯录过滤技术是根据建立的黑名单和白名单来判断是否接收邮件黑名单包含已知垃圾邮件发送者的IP地址或电子邮件地址,而白名单包含可信发送者的IP地址或电子邮件地址。

白名单算法的优点是简单明了,但是有两个缺点:第一,设置黑白名单时要准确,否则可能导致误判;二是需要不断更新维护,通常无法覆盖所有情况,所以白名单算法的过滤效率不高,只能过滤掉50个以内%的垃圾邮件。

应用场景 编辑本段

程序

应用程序白名单(Application   Whitelist,  AWL)是防止未经授权的应用程序运行的安全措施,它包含一个应用程序列表,其中允许应用程序在系统中不受控制地运行。

传统杀毒软件的病毒库通常是黑名单,即隔离或清除已知的恶意软件。然而,这种方法只能抵御已知的威胁和病毒,但它可以 不能为新的未知威胁提供足够的保护,所谓的“零日”漏洞攻击。另外,随着已知病毒和木马的增加,这将导致黑名单的无限扩大,然后电脑在安装杀毒软件后会变得相对缓慢。应用程序白名单仅允许预授权的应用程序执行和运行,这有效地防止了“零日”漏洞攻击从系统应用的层面保证了系统的安全性。

在特定的应用场景下,为了保证业务系统的正常运行,需要对所有需要的软件和应用进行统计,并进行详细的代码审计、安全测试和分析。此外,还可以应用完整性检查方法,常见的方法是使用hash值进行验证,以确保应用已经过认证,是安全的。

行为

行为白名单是一种重要的安全措施,类似于资产白名单它记录了应用程序的每一个行为,并通过清晰的定义将正常的商业行为与恶意或无关的行为区分开来。

行为白名单比基于应用程序或基于设备的资产白名单粒度更细、更适合商业的定义。行为白名单系统可以基于网络行为进行区分,并将它与预定义的授权命令行为白名单进行比较,以便这些恶意操作和行为可以很容易地被发现并通知给管理者或直接阻止,或基于工业操作信息、检测工业控制操作流程信息,其中工业控制操作信息包括工业控制协议应用层的网络数据包,通常包括操作码、访问地址和 数据信息,而工控操作流程信息主要体现在工控流量数据包的时间和顺序上。

用户

用户白名单是一种重要的安全措施,用于识别和管理系统中用户的身份和权限。它在发现潜在威胁方面发挥作用,特别是对于一般用户和管理员的活动。很多渗透攻击都是在获取了具有一定权限的用户或管理员账号后的恶意行为例如,攻击者可能直接滥用管理员帐户,或者利用管理员帐户提升其他恶意帐户的权限,使其拥有与管理员相同的权力。

使用用户白名单管理意味着在系统中引入额外的权限管理措施因为用户白名单具有独立于系统的技术实现 的用户管理措施,其规则强度相当于甚至高于系统 自己的用户权限,相当于在系统之外加了一道防线,可以自动实现一些审计控制功能。结合黑名单规则,可以实现对 IP 的非授权访问、合法用户对密钥服务器的非法访问、对服务器非法互联等异常业务流程违规行为进行监控和报警,确保系统安全。

比如使用开源数据库防火墙DBProxy进行IP地址过滤就是一个功能,允许用户限制连接DBProxy的用户的IP地址。DBProxy系统提供了白名单功能,也就是说,在'用户'在下配置的主机的白名单。此外,每个用户还可以在其用户名下配置一个私有白名单。

SQL命令

SQL命令白名单是授权的SQL命令的列表只有这个列表中列出的命令可以在数据库中执行,其他未列出的命令将被阻止或拒绝执行。它可以有效地防止未经授权的命令对数据库造成意外或恶意的影响。

比如在阿里云原生数据库的PolarDB控制台中,添加、启用或禁用白名单规则。因为实际业务中可能会用到很多SQL语句,所以输入一条SQL语句会相当耗时Proxy提供了三种白名单模式来提高工作效率和体验,即培训模式、检查模式和保护模式。其中,在训练模式下,Proxy只收集SQL语句,不拦截和告警SQL语句;在检查模式下,当检测到不包括在白名单中的SQL语句时,只记录SQL拦截;在保护模式下,当检测到不包括在白名单中的SQL语句时,该SQL将被拦截并记录。

工作原理 编辑本段

白名单的工作原理是基于一种筛选机制,通过验证某个实体是否在预定义的白名单中,来决定是否允许该实体执行特定的操作或访问资源。

具体来说,白名单是基于定义外部可信主机的IP地址和应用协议的列表来实现的。白名单通常存储在两个部分中:第一部分是不允许协议分析的可信主机,同时可以附加TCP/UDP端口号作为约束。第二部分是允许某些应用程序协议的可信主机。

当数据包的状态检测处理完成时,系统首先检查数据包是否在白名单的第一部分。如果是,系统会直接让其通过。否则,系统将继续协议分析操作。

进入协议分析阶段后,系统会将双方的地址和应用协议与白名单的第二部分进行比对。通常需要检查会话的前几个数据包,以确定所使用的应用协议。因此,前一个数据包将根据未知协议进行处理。对于一个已知的协议,系统只匹配与该协议相关的特征库;对于未知协议,系统将匹配所有特征库。

白名单的匹配过程没有包过滤规则处理中的顺序要求那么严格。因此,可以采用类似于在状态检测中使用的散列算法来提高处理速度。该方法可以加快白名单的匹配过程,提高系统对访问请求的响应效率。

局限优势 编辑本段

技术优势

更高的安全性

白名单技术只限制授权软件、工具和流程可以在系统上运行,提供更高的安全性。默认情况下,任何未经批准的应用程序都将被拒绝运行,这有助于抵御各种攻击,包括“零日”漏洞攻击和目标攻击。

提供实时警示

白名单可以检测到用户在终端上意外安装恶意程序或文件的非法行为,并及时报警,使安全人员能够立即采取行动,防止潜在的安全风险。

提高工作效率和系统性能

通过防止未经授权的应用程序和恶意软件在系统中运行,白名单技术可以保持系统以最佳性能运行。例如,当支持人员收到用户 对系统运行缓慢的投诉,他们可以调查并发现恶意软件正在占用内存和处理器资源,以便他们可以立即采取行动解决问题。在工业企业的生产业务中,白名单保证了工业生产网络的可用性和实时性,系统资源开销低,不会影响工控软件的正常运行。

提供全面的系统可见性

白名单技术可以提供关于正在运行的应用程序的信息、工具和流程的全面可见性如果同一个未经授权的程序试图在多个端点上运行,这些数据可以用来跟踪攻击者 并帮助识别和处理潜在的威胁。

抵御高级内存注入攻击

白名单技术可以验证所有在内存中运行的授权进程,并确保它们在运行时不被修改,这有助于防止高级内存注入攻击,保护系统不被利用内存漏洞。

局限性

很难防止内部威胁

虽然白名单技术可以限制仅授权应用的执行,但仍然存在安全风险。即使一些IP地址、端口和功能代码是授权的,并且仍然可能被恶意用户用来发送非法交易、转换非法协议的数据或传播病毒等,这些风险是白名单技术本身无法解决的。

维护更新困难

保持白名单的有效性需要经常维护和更新。准备初始白名单需要详细了解用户任务和所需的应用程序,这可能需要大量的工作。然而,当系统中频繁替换或添加应用程序时,维护白名单可能变得复杂且耗时。此外,无法完全排除未知或白名单中的对象,这可能会导致误判,阻止合法应用程序运行。

限制性较高

白名单技术对应用的执行有很高的限制,只有明确授权的应用才允许运行,这可能在一定程度上限制了用户的灵活性和自由度。在某些情况下,合法但未经授权的应用程序可能会被错误地视为不可信,从而导致它们受到限制。

技术难点

安全问题

由于白名单是基于已知可信主机和应用协议的列表,如果黑客或恶意用户能够篡改或伪造白名单数据,就有可能绕过安全软件的检测,进而访问系统或网络资源。因此,保证白名单的完整性和可信性对于保护系统安全是非常重要的。

隐私保护

维护白名单需要及时收集、验证并添加新的可信主机和应用程序协议信息,并删除不再可信或有安全风险的项目。这一过程需要确保数据的可靠来源,并遵循适当的数据保护和隐私政策,以确保用户信息的安全和保密。

维护和更新

白名单技术的关键是建立完整的、准确的白名单软件数据库。然而,全球软件数以亿计,列入白名单的软件数量远少于此,导致用户在安装白名单之外的软件时,遭受安全软件的误报。高的误报率给用户带来了不便和麻烦。此外,由于互联网上每周都有大量新的软件版本和全新的应用和游戏发布,因此及时更新白名单非常重要。传统的人工样本采集方式难以处理海量的软件样本,因此需要搜索引擎软件开放平台等现代互联网技术来提高样本采集的效率和全面性。

与黑名单比较

与白名单的概念相反,黑名单是指禁止使用某些软件或文件类型的列表。它限制了可用的选项,并允许使用除黑名单以外的所有内容。黑名单的作用是排除不安全或不可信的元素,比如禁止安装、运行或访问特定的软件或文件。

相比之下,白名单意味着只允许使用列出的软件或文件类型,这限制了可接受的选项,并禁止它们,除非明确列在白名单上。白名单的作用是明确指定哪些软件或文件是可信的和允许的,而拒绝所有其他的,以确保安全和控制。应用案例

网络安全

在网络安全应用场景中,白名单可以用在高级安全的  windows  defender  防火墙中。白名单的目的是只允许经过授权的流量通过防火墙,防止未经授权的流量进出本地设备。

例如,通过配置防火墙的白名单规则,您可以限制只有特定的IP地址或域名可以建立到本地设备的入站连接。这可以有效地防止未经授权的连接尝试,并提高设备的安全性。此外,白名单可用于限制与外部服务器建立连接的本地设备的流量。只有白名单中列出的目标地址才能连接成功,这样可以防止设备与有潜在危险的服务器建立联系,降低被恶意软件攻击的风险。

又如,电子邮件白名单是一种确保特定电子邮件收件人或域名永远不会被视为垃圾邮件的机制。一般用在邮件客户端,比如 微软 365 专属 Outlook、Prospect  2021、Outlook , etc。通过将特定的电子邮件地址或域名添加到“安全发件人列表”,您可以确保您的收件箱总是收到来自这些地址的邮件,并防止它们被错误地标记为垃圾邮件。无论邮件内容如何,这些来自安全发件人列表的邮件都被认为是可信的,不会被移到垃圾邮件文件夹。

软件应用

在软件应用场景中,白名单用于排除被误判为恶意的文件、文件类型、文件夹或进程,以确保程序正常运行,同时减少误报和误报。

例如,在 系统中,如果用户对一个文件感兴趣、文件类型、一个文件夹或进程是完全可信的,你不 我不想让 Windows 安全中心提醒它或阻止该程序运行您可以将其添加到排除列表中。这样告诉 Windows 安全中心,认为它是安全的,不会被进一步检测和干扰。

数据库场景

在数据库应用场景中,白名单用于限制对数据库的访问和连接。通过设置白名单,只允许列入白名单的IP地址或网络范围与数据库建立连接和操作,其他未列入白名单的IP地址被拒绝。

比如用户使用的数据源来自阿里云RDS数据库,为了保证安全访问,可以在RDS数据库配置中添加白名单。

附件列表


1

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。

如果您认为本词条还有待完善,请 编辑

上一篇 腾讯动漫    下一篇 依宿山

标签

同义词

暂无同义词