白名單(whitelist)是一種計算機網(wǎng)絡安全機制,用于限定允許訪問或授權(quán)成員資格的實體列表,而拒絕所有其他實體的訪問請求。它在計算機領(lǐng)域起到了重要的保護作用,有助于防范潛在的威脅和不良內(nèi)容,并提高網(wǎng)絡和計算機系統(tǒng)的安全性。根據(jù)白名單中實體的類型,白名單可分為資產(chǎn)白名單、防火墻白名單、應用程序白名單、用戶白名單、行為白名單、電子郵件白名單等。而與白名單相反的黑名單(blacklist),除了在黑名單中的實體沒有訪問權(quán)限,其它實體均允許訪問。
在更廣泛的語義中,白名單可以表示一份授權(quán)、認可或信任的列表,列出被認為具備特定條件或特質(zhì)的人、組織、產(chǎn)品或服務。這樣的列表允許或推薦特定實體或事物進行特定活動、參與特定領(lǐng)域或受到特定待遇,適用于各種場景,如政府機構(gòu)、政府政策、商業(yè)合作等。
定義
白名單是一個計算機網(wǎng)絡安全相關(guān)術(shù)語,用于描述一種訪問控制機制或安全策略。
白名單通常是一個實體的列表,這些實體被賦予了特別的操作權(quán)限、移動性、接入和認可,使得被納入白名單的實體擁有允許訪問的權(quán)限,能夠進入計算機中某些特定的區(qū)域。這些實體可能是電子郵件地址、IP地址、域名或是應用程序等。
分類
根據(jù)不同的應用場景,白名單技術(shù)可以應用于不同的領(lǐng)域中。在網(wǎng)絡安全應用場景中,可以分為資產(chǎn)白名單、防火墻白名單以及電子郵件白名單,其中防火墻白名單中又分為IP地址白名單、域名白名單、URL白名單等;在軟件應用場景中,白名單可以用于指定允許訪問的程序、文件、文件夾等;在數(shù)據(jù)庫應用場景中,白名單可以用于指定允許訪問數(shù)據(jù)庫的用戶或IP地址等。
網(wǎng)絡安全場景
資產(chǎn)白名單
在工業(yè)控制領(lǐng)域中,資產(chǎn)白名單是一種重要的安全措施,用于識別和管理工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡中的設備和資產(chǎn)。在ICS網(wǎng)絡中,很多攻擊或誤傷行為都是因為非法接入其他設備而導致的。為了應對這個問題,可利用自動化網(wǎng)絡掃描工具或手工方法快速獲取ICS中已知的設備清單,還可利用工控安全檢測裝備檢測設備中存在的已知及未知漏洞和后門,以全面掌握設備的安全性。
防火墻白名單
防火墻白名單是一種基于白名單技術(shù)的過濾機制,用于控制網(wǎng)絡流量和數(shù)據(jù)包的訪問權(quán)限,以確保只有經(jīng)過授權(quán)的應用和IP地址能夠訪問網(wǎng)絡或系統(tǒng)資源,從而提高安全性并減少潛在的攻擊風險。
防火墻白名單的規(guī)則表針對特定的應用或協(xié)議進行定義。例如,例如在工控網(wǎng)絡中使用的Modbus TCP協(xié)議,這些規(guī)則可以包括多個數(shù)據(jù)特征,例如源IP地址、目標IP地址、源MAC地址、目標MAC地址、協(xié)議標識符、端口號、功能代碼以及線圈或寄存器地址范圍等。
通過防火墻白名單,管理員可確保只有經(jīng)過授權(quán)的應用和IP地址能夠訪問網(wǎng)絡或系統(tǒng)資源,從而提高安全性并減少潛在的攻擊風險。
域名白名單
域名白名單用于限制對特定域名的訪問。管理員將白名單文件放置在網(wǎng)站的根目錄中,并以特定的名稱(WhiteDomain)命名,以確保只有包含在白名單中的域名或IP地址可以訪問網(wǎng)站的指定路徑。
IP地址白名單
IP地址白名單用于限制對特定IP地址或IP地址范圍的訪問。管理員可以設定白名單規(guī)則,僅允許列出的IP地址或范圍內(nèi)的IP地址進行通信,而拒絕其他IP地址的訪問。
URL白名單
URL白名單用于限制對特定URL地址或URL地址模式的訪問。管理員可以配置URL白名單規(guī)則,以確保只有符合規(guī)則的URL能夠訪問網(wǎng)絡或系統(tǒng)資源,其他URL則被禁止訪問。
例如,假設某公司僅允許員工訪問及其下層網(wǎng)頁,則需要在URL過濾配置文件中配置如下兩項。
電子郵件白名單
電子郵件白名單是一種常用于處理新到達郵件的過濾算法,該算法首先查看郵件頭部的發(fā)送方地址,對于地址在白名單中的郵件將完全接收,而對于處于黑名單中的郵件則直接拒收。
在電子郵件過濾技術(shù)中,基于樣本檢測和規(guī)則匹配的原理,可以將過濾技術(shù)分為規(guī)則過濾、合作式過濾和地址列表過濾三類。規(guī)則過濾技術(shù)通過設定匹配規(guī)則來實現(xiàn)過濾,盡管能有效阻止垃圾郵件,但誤判率較高,容易受到干擾信息的影響。統(tǒng)計過濾是規(guī)則過濾技術(shù)的升級,通過使用統(tǒng)計規(guī)律計算垃圾郵件附加特征出現(xiàn)的可能性來區(qū)分郵件的合法性,這種方法誤判率較低。地址列表過濾技術(shù)則是根據(jù)建立的黑名單和白名單來判斷是否接收電子郵件,黑名單包含已知的垃圾郵件發(fā)送者的IP地址或郵件地址,而白名單包含可信任的發(fā)送者IP地址或郵件地址。
白名單算法的優(yōu)點在于簡單明確,但存在兩個缺點:一是在設定黑白名單時需要準確無誤,否則可能導致誤判;二是需要不斷更新和維護,并且通常無法涵蓋所有情況,因此白名單算法的過濾效率并不高,只能過濾掉不超過50%的垃圾郵件。
軟件應用場景
應用程序白名單
應用程序白名單(Application Whitelisting, AWL)是一種用于防止未經(jīng)認證的應用程序運行的安全措施,包含了一組應用程序列表,在其中的應用程序允許在系統(tǒng)中運行而不受控制。
傳統(tǒng)的病毒查殺軟件的病毒庫通常是一個黑名單,即將已知的惡意軟件隔離或清除。然而,這種方式只能防御已知的威脅和病毒,對于新型的未知威脅則無法提供充分保護,即所謂的“零日”漏洞攻擊。另外,隨著已知病毒和木馬的增多,這將會導致黑名單的無限擴大,進而產(chǎn)生計算機安裝殺毒軟件后變得相對緩慢。而應用程序白名單只允許預先授權(quán)的應用程序被執(zhí)行和運行,有效防止了“零日”漏洞攻擊,從系統(tǒng)應用的層次保證了系統(tǒng)的安全性。
在特定的應用場景中,為了確保業(yè)務系統(tǒng)的正常運行,需要對所需的所有軟件和應用程序進行統(tǒng)計,并進行詳盡的代碼審計、安全測試和分析。此外,還可以應用完整性檢查方法,常用的方法是使用散列值進行驗證,以確保應用程序已通過認證并是安全的。
行為白名單
行為白名單是一項重要的安全措施,類似于資產(chǎn)白名單,它記錄了應用程序的每個行為,并通過明確定義來區(qū)分正常業(yè)務行為和惡意或無關(guān)的行為。
相較于基于應用程序或設備的資產(chǎn)白名單,行為白名單提供了更細粒度、更貼合業(yè)務的定義方式。行為白名單系統(tǒng)可以基于網(wǎng)絡行為進行區(qū)分,它會與預定義的授權(quán)命令行為白名單進行比較,從而輕松發(fā)現(xiàn)這些惡意操作和行為,并將其通知給管理人員或直接進行阻斷,還可以基于工控操作信息、工控操作流程信息進行檢測,其中工控操作信息包含工控協(xié)議應用層的網(wǎng)絡數(shù)據(jù)包,通常包含有操作碼、訪問地址以及 數(shù)據(jù)信息,而工控操作流程信息主要體現(xiàn)在工控流量數(shù)據(jù)包出現(xiàn)的時間與次序上。
數(shù)據(jù)庫場景
用戶白名單
用戶白名單是一種重要的安全措施,用于識別和管理系統(tǒng)中用戶的身份和權(quán)限。它起到了發(fā)現(xiàn)潛在威脅的作用,特別是針對一般用戶和管理員的活動。許多滲透攻擊都是通過獲取一定權(quán)限的用戶或管理員賬號后進行惡意行為的,例如攻擊者可能直接濫用管理員賬戶,或者利用管理員賬戶提升其他惡意賬戶的權(quán)限,使其具有與管理員相同的權(quán)力。
使用用戶白名單管理即在系統(tǒng)中引入額外的權(quán)限管理措施,由于用戶白名單具有獨立于系統(tǒng)自身用戶管理措施的技術(shù)實現(xiàn),它的規(guī)則強度與系統(tǒng)自身的用戶權(quán)限相當甚至更高,相當于在系統(tǒng)之外添加了一道防線,可以自動化實現(xiàn)部分審計控制功能。而結(jié)合黑名單規(guī)則一同使用能夠?qū)崿F(xiàn)未授權(quán) IP 違規(guī)訪問、合法用戶對關(guān)鍵服務器的非法訪問、服務器違規(guī)互聯(lián)等業(yè)務流異常違規(guī)行為的監(jiān)控和報警,保證系統(tǒng)的安全。
例如,使用開源數(shù)據(jù)庫防火墻DBProxy進行IP地址過濾是一種功能,它允許用戶對連接DBProxy的用戶的IP地址進行限制。DBProxy系統(tǒng)提供了一個白名單功能,即在"%用戶"下配置的主機白名單。此外,每個用戶還可以在其用戶名下配置私有的白名單。
SQL命令白名單
SQL命令白名單是一個包含授權(quán)的SQL命令列表,只有該列表中列出的命令才能在數(shù)據(jù)庫中執(zhí)行,其他未列出的命令將被阻止或拒絕執(zhí)行。它能有效防止未授權(quán)的命令對數(shù)據(jù)庫造成意外或惡意的影響。
例如,在阿里云原生數(shù)據(jù)庫PolarDB控制臺中新增、啟用或禁用白名單規(guī)則。由于實際業(yè)務中使用的SQL語句可能會很多,單個SQL語句錄入會相當耗時,Proxy提供了三種白名單模式以提升工作效率和使用體驗,分別是訓練模式、檢驗模式和防護模式。其中,訓練模式下Proxy只收集SQL,而不進行SQL語句攔截和報警;檢驗模式下,當檢測到不包含在白名單中的SQL語句時,只記錄不進行SQL攔截;而防護模式下,當檢測到不包含在白名單中的SQL語句時,進行SQL攔截并記錄。
工作原理
白名單的工作原理是基于一種篩選機制,它通過驗證實體是否在預定義的白名單中,來決定是否允許其進行特定操作或訪問資源。
具體來說,白名單基于一個定義了外部可信主機的IP地址和應用協(xié)議的列表來實現(xiàn)。白名單通常分為兩部分存放:第一部分是允許不進行協(xié)議分析的可信主機,可同時附加TCP/UDP端口號作為約束條件。第二部分是允許部分應用協(xié)議的可信主機。
當進行數(shù)據(jù)包的狀態(tài)檢測處理完成后,系統(tǒng)首先檢查該數(shù)據(jù)包是否處于白名單的第一部分中。如果是,系統(tǒng)會直接允許通過。否則,系統(tǒng)將繼續(xù)進行協(xié)議分析操作。
在進入?yún)f(xié)議分析階段后,系統(tǒng)會將通信雙方的地址和應用協(xié)議與白名單的第二部分進行對比。通常需要檢查一個會話的前幾個數(shù)據(jù)包才能確定所使用的應用協(xié)議。因此,之前的數(shù)據(jù)包會被按未知協(xié)議進行處理。對于已知協(xié)議,系統(tǒng)只匹配與該協(xié)議相關(guān)的特征庫;對于未知協(xié)議,系統(tǒng)會匹配所有的特征庫。
白名單的匹配過程并沒有像包過濾規(guī)則處理中那樣嚴格的順序要求。因此,可以采用類似狀態(tài)檢測時使用的散列算法來提高處理速度。這種方式能夠加快白名單的匹配過程,提高系統(tǒng)對訪問請求的響應效率。
技術(shù)優(yōu)勢與局限性
技術(shù)優(yōu)勢
更高的安全性
白名單技術(shù)通過限制只有經(jīng)過授權(quán)的軟件、工具和進程可以在系統(tǒng)上運行,提供了更高的安全性。默認情況下,任何未經(jīng)批準的應用程序都會被拒絕運行,這有助于抵御各種攻擊,包括“零日”漏洞攻擊和有針對性的攻擊。
提供實時警示
白名單可以檢測到用戶在終端上意外安裝惡意程序或文件的非法行為,并及時給出警報,這使得安全人員能夠立即采取行動,阻止?jié)撛诘陌踩L險。
提高工作效率和系統(tǒng)性能
通過阻止未經(jīng)授權(quán)的應用程序和惡意軟件在系統(tǒng)中運行,白名單技術(shù)可以保持系統(tǒng)以最佳性能運作。例如,當支持人員接收到用戶對系統(tǒng)運行緩慢的投訴時,他們可以調(diào)查并發(fā)現(xiàn)惡意軟件正在占用內(nèi)存和處理器資源,從而能夠立即采取行動解決問題。而在工業(yè)企業(yè)生產(chǎn)業(yè)務中,白名單保障了工業(yè)生產(chǎn)網(wǎng)的可用性和實時性,且系統(tǒng)資源開銷低,不會影響正常工控軟件的運行。
提供全面的系統(tǒng)可視性
白名單技術(shù)可以提供對正在運行的應用程序、工具和進程的全面可視性,如果相同的未經(jīng)授權(quán)的程序試圖在多個端點上運行,這些數(shù)據(jù)可用于追蹤攻擊者的路徑,幫助識別和應對潛在的威脅。
抵御高級內(nèi)存注入攻擊
白名單技術(shù)可以驗證內(nèi)存中運行的所有經(jīng)過授權(quán)的進程,并確保在運行時沒有被修改,這有助于防止高級內(nèi)存注入攻擊,保護系統(tǒng)免受針對內(nèi)存漏洞的利用。
局限性
難以防止內(nèi)部威脅
白名單技術(shù)雖然能夠限制僅允許授權(quán)的應用程序執(zhí)行,但仍存在安全風險。即使某些IP地址、端口和功能代碼被授權(quán),仍有可能被惡意用戶用于發(fā)送非法交易、轉(zhuǎn)換非法協(xié)議的數(shù)據(jù)或傳播病毒等,這些風險是白名單技術(shù)本身無法解決的。
維護更新困難
保持白名單的有效性需要進行頻繁的維護和更新工作。編制初始白名單需要詳細了解用戶任務及所需應用程序,這可能需要大量的工作量。而當系統(tǒng)中應用程序經(jīng)常更替或新增時,維護白名單列表可能會變得復雜和耗時。此外,無法完全排除未知或未列入白名單的對象,這可能導致誤判和阻止合法的應用程序運行。
限制性較高
白名單技術(shù)對應用程序的執(zhí)行具有較高的限制性,只允許經(jīng)過明確授權(quán)的應用程序運行,這可能對用戶的靈活性和自由性造成一定程度的限制。在某些情況下,合法但未經(jīng)授權(quán)的應用程序可能會被錯誤地視為不可信,導致其受限制。
技術(shù)難點
白名單的安全性問題
由于白名單是基于已知的可信主機和應用協(xié)議列表,如果黑客或惡意用戶能夠篡改或偽造白名單數(shù)據(jù),就有可能繞過安全軟件的檢測,進而訪問系統(tǒng)或網(wǎng)絡資源。因此,確保白名單的完整性和可信性對于保護系統(tǒng)安全非常重要。
白名單的隱私保護問題
維護白名單需要及時收集、驗證和添加新的可信主機和應用協(xié)議信息,同時刪除不再可信或有安全風險的條目。這個過程需要確保數(shù)據(jù)的來源可靠,并遵循適當?shù)臄?shù)據(jù)保護和隱私政策,以確保用戶信息的安全和保密。
白名單的維護更新問題
白名單技術(shù)的關(guān)鍵是建立一個完整、準確的白名單軟件數(shù)據(jù)庫。然而,全球有上億計的軟件數(shù)量,白名單中收錄的軟件數(shù)量遠遠不及此,這導致用戶在安裝白名單之外的軟件時,可能會遭受安全軟件的誤報。高誤報率給用戶帶來不便和困擾。此外,由于互聯(lián)網(wǎng)上每周都會發(fā)布大量新的軟件版本和全新的應用和游戲,及時更新白名單變得至關(guān)重要。傳統(tǒng)的人工樣本采集方法很難應對海量的軟件樣本,因此需要借助現(xiàn)代互聯(lián)網(wǎng)技術(shù)如搜索引擎和軟件開放平臺,來提高樣本收集的效率和全面性。
與黑名單比較
與白名單的概念相反,黑名單是指禁止使用特定軟件或文件類型的列表。它限制了可使用的選項,除了被列入黑名單的內(nèi)容,其他均允許使用。黑名單的功能在于排除不安全或不受信任的元素,如禁止安裝、運行或訪問特定軟件或文件。
相比之下,白名單是指只允許使用列入列表中的軟件或文件類型,它限制了可接受的選項,除非明確列入白名單,否則一律禁止。白名單的功能在于明確規(guī)定哪些軟件或文件是被信任和允許的,其他一律被拒絕,以確保安全性和控制性。
應用案例
網(wǎng)絡安全場景
在網(wǎng)絡安全應用場景中,白名單可以在高級安全 Windows Defender 防火墻中使用。白名單的目的是允許僅經(jīng)過授權(quán)的流量通過防火墻,阻止未經(jīng)授權(quán)的流量進入和離開本地設備。
例如,通過配置防火墻的白名單規(guī)則,可以限制只有特定的IP地址或域名可以建立入站連接到本地設備。這樣可以有效地阻止未經(jīng)授權(quán)的連接嘗試,提高設備的安全性。此外,白名單可以用于限制本地設備向外部服務器建立連接的流量。只有列入白名單中的目標地址才能連接成功,這可以避免設備與潛在危險的服務器建立聯(lián)系,減少受到惡意軟件或攻擊的風險。
又如,電子郵件白名單是一種用于確保特定電子郵件收件人或域名永遠不會被視為垃圾郵件的機制。它通常在電子郵件客戶端中使用,如 Microsoft 365 專屬 Outlook、Outlook 2021、Outlook 2019 等。通過將特定電子郵件地址或域名添加到“安全發(fā)件人列表”中,可以確保收件箱始終接收來自這些地址的郵件,并避免它們被錯誤地標記為垃圾郵件。無論郵件內(nèi)容如何,這些來自安全發(fā)件人列表的郵件都會被視為可信任的,并不會移動到垃圾郵件文件夾。
軟件應用場景
在軟件應用場景中,白名單用于排除被誤判為惡意的文件、文件類型、文件夾或進程,以確保正常的程序運行,同時減少誤報和虛警。
例如,在 Windows 系統(tǒng)中,如果用戶對某個文件、文件類型、文件夾或進程完全信任,并且不希望 Windows 安全中心對其發(fā)出警報或阻止程序運行,可以將其添加到排除項列表中。通過這種方式告知 Windows 安全中心將其視為安全的,不會對其進行進一步的檢測和干預。
數(shù)據(jù)庫場景
在數(shù)據(jù)庫應用場景中,白名單用于限制對數(shù)據(jù)庫的訪問和連接。通過設置白名單,只有列入白名單的IP地址或網(wǎng)絡范圍才被允許與數(shù)據(jù)庫建立連接和進行操作,其他未列入白名單的IP地址則被拒絕。
例如,如果用戶使用的數(shù)據(jù)源來自阿里云RDS數(shù)據(jù)庫,為了確保安全訪問,可以在RDS數(shù)據(jù)庫配置中添加白名單。
引申含義
在更廣泛的語義中,白名單可以表示一份授權(quán)、認可或信任的列表,列出被認為具備特定條件或特質(zhì)的人、組織、產(chǎn)品或服務。
如對于商業(yè)機構(gòu)而言,白名單是一份被認為合格或適合就業(yè)的人員的列表。又如對于個人、組織等而言,白名單是一份擁有政府官員安全審批的人員、組織等的列表。
參考資料 >
whitelist (allowlist).TechTarget.2023-08-02
Whitelist.TechTerm.com.2023-08-02
設置白名單規(guī)則.阿里云.2023-08-28
Blacklist.TechTerms.com.2023-08-05
whitelist.Cambridge Dictionary.2023-08-06
White list definition and meaning.Collins Online Dictionary.2023-08-05
證監(jiān)會公布首批證券公司“白名單”.中國政府網(wǎng).2023-08-05
新聞1+1 | 疫情下的“白名單”,如何保產(chǎn)業(yè)、保供應?.央視網(wǎng).2023-08-05
河南省商貿(mào)流通業(yè) 第二批“四保”企業(yè)白名單.河南省人民政府.2023-08-06
Whitelist.techopedia.2023-08-02
配置 Windows Defender 防火墻的最佳做法.Microsoft.2023-08-12
將我的電子郵件收件人添加到“安全發(fā)件人列表”中.Microsoft支持.2023-08-12
將排除項添加到Windows 安全中心.Microsoft支持.2023-08-11