白名单

白名单的概念与“黑名单”相对应。例如：在电脑系统里，有很多软件都应用到了黑白名单规则，操作系统、防火墙、杀毒软件、邮件系统、应用软件等，凡是涉及到控制方面几乎都应用了黑白名单规则。

黑名单启用后，被列入到黑名单的用户（或IP地址、IP包、邮件、病毒等）不能通过。如果设立了白名单，则在白名单中的用户（或IP地址、IP包、邮件等）会优先通过，不会被当成垃圾邮件拒收，安全性和快捷性都大大提高。将其含义扩展一步，那么凡有黑名单功能的应用，就会有白名单功能与其对应。

如果设立了白名单，则在白名单中的用户（或IP地址、IP包、邮件等）会优先通过，不会被当成垃圾邮件拒收，安全性和快捷性都大大提高。在运营体系中，如果某一用户的号码被列入黑名单，那么它可能不能享用某项业务或全部业务，而白名单内的用户则可不受系统中对普通用户的规则限制。

通过识别系统中的进程或文件是否具有经批准的属性、常见进程名称、文件名称、发行商名称、数字签名，白名单技术能够让企业批准哪些进程被允许在特定系统运行。有些供应商产品只包括可执行文件，而其他产品还包括脚本和宏，并可以阻止更广泛的文件。其中，一种越来越受欢迎的白名单方法被称为“应用控制”，这种方法专门侧重于管理端点应用的行为。

众所周知，白名单曾经是一个备受指责的技术。白名单历来被认为难以部署、管理耗时，并且，这种技术让企业很难应付想要部署自己选择的应用的员工。然而，在最近几年，白名单产品已经取得了很大进展，它更好地与现有端点安全技术整合来消除部署和管理障碍，为希望快速安装应用的用户提供了快速的自动批准。此外，现在的大部分产品还提供这种功能，即将一个系统作为基准模型，生成自己的内部白名单数据库，或者提供模板用来设置可接受基准，这还可以支持PCI DSS或SOX等标准合规性。

该技术可以抵御零日恶意软件和有针对性的攻击，因为在默认情况下，任何未经批准的软件、工具和进程都不能在端点上运行。如果恶意软件试图在启用了白名单的端点安装，白名单技术会确定这不是可信进程，并否定其运行权限。

白名单可以提高用户工作效率，并保持系统以最佳性能运作。例如，帮助台支持人员可能会收到用户对系统运行缓慢或不可预知行为的投诉，在经过调查后，工作人员会发现间谍软件已经悄悄进入端点，正在吞噬内存和处理器功耗。这是使用白名单检测未经授权程序并警告工作人员另一个用例，而不是在默认情况下完全阻止。

对于正在运行的应用、工具和进程方面，白名单可以提供对系统的全面可视性。如果相同的未经授权的程序试图在多个端点运行，该数据可用于追踪攻击者的路径。白名单可以帮助抵御高级内存注入攻击；该技术提供了功能来验证内存中运行的所有经批准的进程，并确保这些进程在运行时没有被修改，从而抵御高级内存漏洞利用。高级攻击通常涉及操纵合法应用。当这种高级攻击涉及内存违规、可疑进程行为、配置更改或操作系统篡改时，白名单产品可以识别并发出警报。