TWI394059B - 用於使關於一資料處理系統中之一組計算資源的操作安全之方法、裝置及電腦程式產品 - Google Patents
用於使關於一資料處理系統中之一組計算資源的操作安全之方法、裝置及電腦程式產品 Download PDFInfo
- Publication number
- TWI394059B TWI394059B TW095138442A TW95138442A TWI394059B TW I394059 B TWI394059 B TW I394059B TW 095138442 A TW095138442 A TW 095138442A TW 95138442 A TW95138442 A TW 95138442A TW I394059 B TWI394059 B TW I394059B
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- computing
- security level
- computing device
- security
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Description
本發明係關於一種改良的資料處理系統,且特定言之係關於一種用於電腦安全之方法及裝置。
電腦安全工具提供用於限制對電腦系統造成危害之惡意使用者之能力的防禦機制。基於軟體之侵入偵測應用程式可向電腦管理者警告可疑的活動,使得管理者可採取行動以追蹤可疑的電腦活動並修改電腦系統及網路以防止安全破壞。
然而,對電腦系統之許多安全破壞經由致使電腦系統實體上易損壞的人類之忽視或遺忘而發生,因為電腦系統實體上可用於未授權的使用。舉例而言,當使用者出去吃午餐時,其可保持登錄至一電腦工作站上,且該使用者之辦公室中之無人照看的電腦對由未授權之人之使用係開放的。即便使用者之帳戶或設備在某一段時間之不活動後可自動登出,亦留有其間未授權之人可存取使用者之帳戶以用於惡意活動的一段時間。相似的情形需要對易損壞設備之更大的實體控制。
除了確定對無人照看之設備之更佳的安全實務之外,存在其中可對無人照看之設備改良安全實務(亦即,仍需防止現正由某人使用之計算資源受到未授權的使用或查看)之許多情形。舉例而言,一些組織(尤其政府機關及軍事部門)對人員實施各種類型的安全程序。單個組織內之不同個人具有不同職責,且根據此等個人之職責將各種等級之安全許可(security clearance)或者各種類型之劃分之安全存取給予至同一組織內之個人。在許多狀況下,可能不授權同一組織單位內之兩個人查看相互間處理的資訊。此等組織可對反映應用至不同人員之安全程序的電腦系統實施不同安全程序;舉例而言,僅授權每一人存取對其特定工作必須的計算資源。
雖然對電腦系統之許多安全破壞經由致使電腦系統實體上易損壞的人類之忽視或遺忘而發生,但當人類經由危險的計算活動致使此等電腦系統計算上易損壞時,許多安全破壞發生。此等危險的計算活動增加了電腦將經受惡意攻擊或電腦病毒感染之機會。許多危險的計算活動係故意執行的。在一些狀況下,危險的計算活動係以經授權的方式而經故意執行的,然而不幸地,在許多其他狀況下,危險的計算活動係以未授權的、疏忽的或粗心的方式而故意執行的。
舉例而言,一人可在不具有活動防火牆之情況下頻繁操作電腦。即便可自動實施某些安全程序以阻止此等情形,但一人可需要不受某些計算安全防禦之阻礙之特定組態的電腦。在一些情形下,為了使雇員執行特定工作任務,該雇員可需要特定電腦組態,諸如不活動或經去能的防火牆。因此,此人可以一經授權的方式在不具有活動防火牆之情況下操作電腦。但在其他情形下,一人可頻繁去能防火牆以便非法下載音樂或視訊內容,非法下載音樂或視訊內容可為將受到該防火牆阻止之活動中的一些。因此,此人可以一未授權的方式在不具有活動防火牆之情況下操作電腦。此外,無法檢驗所下載之檔案之病毒亦可致使該電腦易損壞。
即便一人可以未授權的方式有效地通過電腦安全防禦機制,但可存在容許關於一些人的計算活動之某些電腦易損壞性之正當理由。在此等類型之情形下,如上所述,組織可對反映應用至不同人員之安全程序的電腦系統實施不同安全程序。然而,一人之計算活動可致使另一人之計算活動易損壞,因為多數電腦在網路資料處理系統中操作,且許多惡意的易損壞性(例如,病毒)可在電腦之間經由網路連接擴散。
因此,存在確保一網路計算環境中之一使用者之活動不危害另一使用者之活動的需要。更具體言之,存在確保第一使用者(不管授權抑或未授權)所容許的計算易損壞性不對網路計算環境引起問題之需要,在計算易損壞性可擴散至正積極設法使自身抵禦計算易損壞性之第二使用者之電腦的彼等狀況下尤其如此。
因此,藉由允許電腦安全程序關於不同使用者以可撓性方式連續得以實施但仍確保關於一使用者實施或啟動的電腦安全程序不造成另一使用者之計算易損壞性,而對資料處理系統改良計算安全將係有利的。
本發明提供一種用於使資料處理系統中之計算資源安全之方法、系統、裝置或電腦程式產品。第一使用者使用第一計算設備,且使用者安全等級與該第一使用者相關聯。同樣地,第二使用者使用第二計算設備,且使用者安全等級與該第二使用者相關聯。第一計算設備上之計算資源基於該第二使用者之第二使用者安全等級而自動地重組態。可將計算安全等級指派至該第一計算設備上之計算資源,且回應於正由該第二使用者使用之第二計算設備進行的經偵測之網路活動而動態地調整該計算安全等級。用於重組態該第一計算設備上之計算資源之經修改的與安全相關之參數基於經調整之計算安全等級而重組態。
通常,可包含或與本發明相關之設備包括各種資料處理技術。因此,作為背景,在更詳細地描述本發明之前,描述一分散式資料處理系統中之硬體及軟體組件之典型組織。
現參看圖式,圖1A描繪資料處理系統之一典型網路,資料處理系統中之每一者可實施本發明之一部分。分散式資料處理系統100含有網路101,其為一可用以提供在分散式資料處理系統100內連接在一起之各種設備與電腦之間的通信鏈路之媒體。網路101可包括永久連接(諸如,金屬線或光纖電纜)或經由電話或無線通信而建立的暫時連接。在所描繪之實例中,伺服器102及伺服器103與儲存單元104一起連接至網路101。此外,用戶端105至107亦連接至網路101。用戶端105至107及伺服器102至103可由各種計算設備表示,諸如,大型電腦、個人電腦、個人數位助理(PDA)等。分散式資料處理系統100可包括額外的伺服器、用戶端、路由器、其他設備及未圖示之點對點架構。
在所描繪之實例中,分散式資料處理系統100可包括具有網路101之網際網路,網路101表示使用各種協定(諸如,輕型目錄存取協定(LDAP)、傳輸控制協定/網際網路協定(TCP/IP)、檔案傳送協定(FTP)、超文字傳輸協定(HTTP)、無線應用協定(WAP)等)相互通信之網路及閘道之全球集合。當然,分散式資料處理系統100可亦包括許多不同類型的網路,諸如,內部網路、區域網路(LAN)或廣域網路(WAN)。舉例而言,伺服器102直接支援用戶端109及網路110,網路110併入無線通信鏈路。網路允用電話111經由無線鏈路112連接至網路110,且PDA 113經由無線鏈路114連接至網路110。使用適當的技術(諸如,BluetoothT M
無線技術),電話111及PDA 113可亦直接在其之間跨越無線鏈路115而傳送資料以建立所謂的個人區域網路(PAN)或個人特用網路。以一類似方式,經由無線通信鏈路116,PDA 113可將資料傳輸至PDA 107。
本發明可實施於各種硬體平臺上;意欲圖1A作為異質計算環境之實例且不作為對本發明之架構性限制。
現參看圖1B,圖式描繪其中可實施本發明之資料處理系統(諸如圖1A中所示之資料處理器系統)的典型電腦架構。資料處理系統120含有連接至內部系統匯流排123之一或多個中央處理單元(CPU)122,內部系統匯流排123互連隨機存取記憶體(RAM)124、唯讀記憶體126及輸入/輸出配接器128,輸入/輸出配接器128支援各種I/O設備,諸如,印表機130、磁碟機132或其他未圖示之設備,諸如,音訊輸出系統等。系統匯流排123亦連接提供至通信鏈路136之存取的通信配接器134。使用者介面配接器148連接各種使用者設備,諸如,鍵盤140及滑鼠142或其他未圖示之設備,諸如,觸碰螢幕、尖筆、麥克風等。顯示配接器144將系統匯流排123連接至顯示設備146。
一般熟習此項技術者將瞭解,圖1B中之硬體可視系統實施而變化。舉例而言,系統可具有一或多個處理器,諸如,基於IntelPentium之處理器及數位信號處理器(DSP),及一或多個類型之揮發性及非揮發性記憶體。除了圖1B中描繪之硬體之外或替代圖1B中描繪之硬體,可使用其他周邊設備。所描繪之實例並不意謂暗示關於本發明之架構性限制。
除了能夠實施於各種硬體平臺上之外,本發明可實施於各種軟體環境中。典型的操作系統可用以控制每一資料處理系統內之程式執行。舉例而言,一設備可執行Unix操作系統,而另一設備含有簡單的Java執行環境。代表性的電腦平臺可包括瀏覽器,其為用於存取按各種格式之超文字文件(諸如圖形檔案、字處理檔案、可延伸性標示語言(XML)、超文字標示語言(HTML)、手持式設備標示語言(HDML)、無線標示語言(WML)以及各種其他格式及類型的檔案)之熟知的軟體應用。
如上文關於圖1A及圖1B所述,本發明可實施於各種硬體及軟體平臺上。但更具體言之,本發明係針對資料處理環境內之改良的安全處理。在更詳細地描述本發明之前,描述支援安全操作之一典型之資料處理環境的一些態樣。
現參看圖2,方塊圖描繪一典型的企業資料處理系統。而圖1A描繪一具有用戶端及伺服器之典型的資料處理系統,相反,圖2展示一網路內相對於可用以支援存取資源之用戶端請求之伺服器側實體中的一些的用戶端。如在一典型的計算環境中,企業域200代管使用者202(例如)可藉由在用戶端206上經由網路208而使用瀏覽器應用程式204來存取之資源202;電腦網路可為網際網路、內部網路或其他網路,如圖1A中所示。
企業域200支援多個伺服器。應用伺服器210經由基於網路之應用程式或其他類型之後端應用程式(包括舊式應用程式)而支援受控的及/或未受控的計算資源。反向代理伺服器212(或更簡單地,代理伺服器212)執行企業域200之廣泛範圍的功能。舉例而言,代理伺服器212可快取網頁以便自應用伺服器鏡射內容。傳入及傳出的資料流可由輸入資料流過濾器及輸出資料流過濾器處理,以便根據各種原則內指定的目標及條件或者根據佈署之軟體模組之組態對用於計算資源之傳入之請求及自計算資源之傳出之回應執行各種處理任務。
代理伺服器212可含有管理對話識別碼、快取之身份碼或者關於由代理伺服器212辨識之對話之其他資訊的對話管理單元。基於網路之應用程式通常利用各種手段促使使用者輸入驗證資訊,通常作為以HTML形式之使用者名稱/密碼組合。在圖2中所示之實例中,在用戶端206可存取資源前,可要求對使用者202加以驗證,其後,為用戶端206建立一對話。在一替代實施例中,在為使用者提供對域200上之資源之存取前,不執行驗證及授權操作;可在無需伴隨之驗證操作的情況下建立使用者對話。
企業域200內之上述實體表示許多計算環境中之典型的實體。然而,許多企業域具有控制對受保護之計算資源之存取的安全特徵。計算資源可為電子資料處理設備/子系統/系統、應用程式、物件、可執行碼模組、文件、網頁、檔案、資料庫、資料庫記錄、各種其他類型之功能單元、各種其他類型之資訊單元,或各種其他類型之通信單元。受保護的或受控的計算資源為僅當請求之用戶端或請求之使用者經驗證及/或經授權時可存取或可擷取之計算資源;在一些狀況下,藉由預設,經驗證之使用者為經授權之使用者。
驗證伺服器214可支援各種驗證機制,諸如,使用者名稱/密碼、X.509證書或安全符記;多個驗證伺服器可專用於專門的驗證方法。授權伺服器216可使用授權資料庫218,授權資料庫218含有諸如存取控制清單220、授權原則222、關於使用者登記224內之使用者之資訊及關於使用者群組或角色226之資訊的資訊。使用此資訊,授權伺服器216將是否允許存取計算資源之特定請求發生(亦即,回應於自用戶端206之請求是否准許對受控之計算資源之存取)之指示提供至代理伺服器212。安全符合伺服器228加強IT安全及與使用者及其系統相關聯之其他管理活動。
如上所述,當人類經由危險之計算活動致使電腦系統計算上易損壞時,發生許多安全破壞。此等危險之計算活動增加了電腦將經受惡意攻擊或電腦病毒感染之機會。儘管組織可對反映施應用至不同人員之安全程序的不同電腦系統實施不同安全程序,但可存在容許關於一些人之計算活動之某些電腦易損壞性的正當理由。然而,一人之計算活動可使另一人之計算活動的安全變弱,因為多數電腦在網路資料處理系統內操作,且許多惡意的易損壞性(例如,病毒)可經由網路連接在電腦之間擴散。因此,存在確保一網路計算環境中之一使用者之活動不危害另一使用者之活動的需要。更具體言之,存在確保第一使用者(不管授權抑或未授權)所容許的計算易損壞性不對網路計算環境引起問題之需要,在計算易損壞性可擴散至正積極設法使自身抵禦計算易損壞性之第二使用者之電腦的彼等狀況下尤其如此。本發明提供用於基於一使用者之網路計算活動動態調整另一使用者之計算活動之安全的解決方法,如下文參看剩餘圖式更詳細地描述。
現參看圖3,方塊圖描繪併入本發明之動態安全調整特徵之資料處理系統的簡述。資料處理系統含有網路300,網路300可類似於圖1中之網路101或110抑或圖2中之網路208,或者網路300可表示一企業域內含有之一完全私人網路。使用者"A"302存取連接至網路300之計算設備304,且使用者"B"306存取亦連接至網路300之計算設備308;計算設備304及308可表示各種計算設備,諸如桌上型電腦、PDA、行動電話等。
該資料處理系統亦含有安全符合伺服器310,其支援動態安全調整單元312。安全符合伺服器310表示含有與安全相關之加強功能性之任一適當的伺服器,其替代地可整合於授權伺服器、網路管理伺服器或有助於行政管理資料處理系統之一些其他類型之伺服器或應用程式內。
動態安全調整單元312表示用於執行本發明之功能性。以類似於可應用至安全符合伺服器310之方式的方式,可將動態安全調整單元312整合於含有與安全相關之加強功能性之任一適當的伺服器內或整合於一授權伺服器、一網路管理伺服器或有助於行政管理資料處理系統之一些其他類型之伺服器或應用程式內。如上所述,本發明係針對用於基於一使用者之網路計算活動來動態調整另一使用者之計算活動的安全之方法或系統;動態安全調整單元312視需要執行此等操作。
舉例而言,使用者"A"302經由計算設備304存取計算資源。維護關於計算設備304之軟體及硬體計算資源的與安全相關之資訊,其反映應用於由計算設備304支援之計算資源之當前操作活動之安全操作或參數的限制性或(自相反觀點而言)寬大性,該資訊可特定地被稱作計算設備304之計算安全等級。同樣地,維護關於資料處理系統內之其他活動計算設備的與安全相關之資訊。亦可將該計算安全等級看作與錯誤計算操作對計算設備304上之計算資源的易損壞性相關的度量,該等錯誤計算操作可由計算設備304外的但在該資料處理系統內之活動於計算設備304上造成。此等錯誤計算操作可由具有惡意意圖的使用者造成,或者此等錯誤計算操作可經由疏忽的或粗心之使用者之未授權的活動而無意地造成;或者,此等錯誤計算操作可經由使用者之授權之活動而無意地造成。如下文更詳細地解釋,可使用在自各種來源之資訊而計算計算安全等級,且計算計算安全等級可由可組態之原則內指定之條件及/或規則來引導。
亦維護關於資料處理系統之使用者使用軟體及硬體計算資源的與安全相關之資訊,其可特定被稱作特定使用者之使用者安全等級。舉例而言,使用者"A"302與自關於使用者"A"302之活動之資訊評估的使用者安全等級相關聯;同樣地,維護關於資料處理系統內之其他使用者的與安全相關之資訊。使用者安全等級反映關於對支援於資料處理系統內之計算資源之操作活動的使用者之請求的使用者之可信賴性或(自相反觀點而言)行為危險。亦可將使用者安全等級看作與使用者藉由資料處理系統內之活動對計算設備引起錯誤計算操作之能力相關的度量。此等錯誤計算操作可由具有惡意意圖的使用者造成,或此等錯誤計算操作可經由疏忽的或粗心的使用者之未授權的活動而無意地造成;或者,此等錯誤計算操作可經由使用者之授權之活動而無意地造成。如下文更詳細地解釋,可使用來自各種來源之資訊而計算使用者安全等級,且計算使用者安全等級可由可組態之原則內指定之條件及/或規則來引導。
動態安全調整單元312負責動態管理與資料處理系統之使用者相關聯的使用者安全等級及負責動態管理與資料處理系統內之計算資源相關聯的計算安全等級。再參看圖3中所示之實例,當使用者"A"302使用計算設備304時,使用者"B"306可經由計算設備308登錄至網路300上且接著開始經由網路300存取資源。使用者"A"302可擁有反映比使用者"B"306之使用者安全等級更大的可信賴性之使用者安全等級,且使用者"B"306之在網路300上之計算活動的存在可造成對使用者"A"302之在網路300上之計算活動的易損壞性。回應於此,動態安全調整單元312可動態調整應用至計算設備304之計算安全等級,藉此保護使用者"A"302之計算操作及活動,如下文更詳細地解釋。
現參看圖4A至圖4B,一對時刻表展示根據本發明之設備之計算安全等級的動態調整。參看圖4A,使用者"A"先前已經由驗證操作(例如,藉由將智慧卡設備呈現為確定使用者之身份的安全符記)登錄至資料處理系統及/或其網路上。使用者"A"在某一時段402(其間,資料處理系統已將一計算安全等級指派至計算設備及/或由該計算設備支援的計算資源)內繼續使用計算設備及相關聯之計算資源。
在某一時點404,使用者"B"登錄至同一資料處理系統及/或網路上。自定性觀點而言,檢查使用者"B"之使用者安全等級,且作出使用者"B"造成對使用者"A"之活動之潛在易損壞性的判定。因此,作出判定以增強應用至正由使用者"A"使用之計算設備之安全預防措施,藉此有希望防止使用者"B"執行危害使用者"A"之活動的活動。
自計算或定量觀點而言,可將使用者"B"描述為已被指派一相對低之使用者安全等級,例如,低於使用者"A"之使用者安全等級。回應於此,該資料處理系統基於使用者"B"之使用者安全等級而動態調整正由使用者"A"使用的計算設備之計算安全等級。新近指派之計算安全等級在某一時段406內保持有效,直至其再吹改變抑或直至使用者"A"登出該網路或該資料處理系統。
在圖4A中所示之實例中,自時段404至時段406而增強正由使用者"A"使用之計算設備之計算安全等級。以此方式,可將正由使用者"A"使用之計算設備之計算安全等級描述為與使用者"B"之使用者安全等級成相反關係(但不必成反比)。因此,如圖4A中所示,據稱使用者"B"具有較低使用者安全等級之事實造成自時段404至時段406增強正由使用者"A"使用之計算設備之計算安全等級的回應。
參看圖4B,展示一不同的時刻表。在時段412之前,使用者"B"先前已經由驗證操作(例如,藉由將智慧卡設備用作安全符記或藉由完成驗證質詢,諸如輸入使用者名稱及相關聯之密碼)登錄至資料處理系統及/或其網路上。在某一時段412內,使用者"B"繼續使用一計算設備及相關聯之計算資源。
在某一時點414,使用者"A"登錄至同一資料處理系統及/或網路上。回應於此,作出關於應還是不應增強應用至使用者"A"之計算設備之計算安全等級的判定。檢查使用者"B"之使用者安全等級,且作出使用者"B"造成對使用者"A"之活動之潛在安全易損壞性的判定。
在當使用者"A"登錄至網路上時使用者"B"未使用該網路之情況下(例如,如圖4A中所示),資料處理系統將一初始計算安全等級指派至使用者"A"之計算設備及/或由該計算設備支援之計算資源;該初始計算安全等級將反映缺乏安全易損壞性,因為使用者"B"未登錄至該網路或該資料處理系統上。
然而,假設在使用者"A"登錄至網路上之時間414,使用者"B"已登錄至網路上,則該資料處理系統基於使用者"B"之使用者安全等級而動態地將一相對增強之計算安全等級指派至正由使用者"A"使用的計算設備。新近指派之相對較高的計算安全等級在某一時段416內保持有效,直至其再吹改變或直至使用者"A"登出該網路或該資料處理系統。
換言之,在圖4B中所示之實例中,基於使用者"B"之使用者安全等級,而在時段416期間最初指派正由使用者"A"使用之計算設備之計算安全等級。以此方式,可將正由使用者"A"使用之計算設備之計算安全等級描述為與使用者"B"之使用者安全等級成相反關係(但不必成反比)。因此,如圖4B中所示,據稱使用者"B"具有較低使用者安全等級之事實造成在時段416期間增強正由使用者"A"使用之計算設備之計算安全等級的回應。
現參看圖4C至圖4D,一對圖式描繪一給定使用者之使用者安全等級與一給定計算資源之計算安全等級之間的相反關係。圖式將一給定使用者之使用者安全等級展示為一沿著水平軸的變數且將一給定計算資源之計算安全等級展示為一沿著垂直軸的變數。關於水平軸,當將給定使用者定性地評估為安全危險或易損壞性時,給該給定使用者定量地指派一更低數值之使用者安全等級。關於垂直軸,當將給定資源評估為對給定使用者之活動易損壞時,將該給定資源定性地評估為需要提高之安全等級且給該給定資源定量地指派一更高數值之計算安全等級。
相反關係之圖式中的表示展示呈現更高安全危險或(同等地)更低等級之安全可信賴性之使用者需要對給定計算資源之更高或更徹底之安全回應或防禦的確定。隨著給定使用者之使用者安全等級增加,給定計算資源之計算安全等級減少。
因此,在本發明之一實施例中,給定計算資源之計算安全等級與給定使用者之使用者安全等級成相反關係;以不同之方式在圖式中說明該相反關係。參看圖4C,將此相反關係展示為一單調函數;在本發明之一實施例中,可將該相反關係實施為與變數成相反關係的可組態函數。參看圖4D,將此相反關係展示為一系列離散點;在本發明之一實施例中,可將該相反關係實施為經由查找表而定義之函數。亦可實施用於將使用者安全等級映射至計算安全等級之其他方法。
現參看圖5,流程圖描繪根據本發明之一實施例的用於收集影響使用者安全等級之判定之資訊的過程。在資料處理系統之使用者已登錄至該資料處理系統內之計算設備上之後,開始該過程,且當使用者存取計算資源時,該資料處理系統開始監視使用者之網路操作或其他活動(步驟502)。可對計算設備執行監視操作,在該計算設備上,使用者與電腦-人介面互動,或者該監視操作可執行於網路內其他處的可監視使用者之活動之任一點處。
在使用者之對話期間繼續監視操作,且局部地(例如,在局部快取記憶體內)記入經判定為存在危險的與安全相關之活動的任何與網路相關之操作或其他活動(步驟504)。自安全觀點看潛在地存在問題的操作之判定可為預定的及/或可經由原則資料庫而組態,因而藉此允許標記某些存在問題指操作,同時根據原則中指定之可組態規則或條件過濾所有潛在地存在問題之操作或可疑活動,如下文更詳細地描述。當使用者之對話終止時,且將對話期間記入的活動儲存於適當的資料儲存體中(步驟506)。
在某一時刻,將在一對話期間或許多對話上記入的活動報告至中央資料庫以便儲存並處理(步驟508),且結束此過程。可以各種方式(例如,立即、週期性地、根據排程或回應於如此實施之提示)報告記入的資訊。或者,可以即時方式執行該過程,使得當潛在地存在問題之操作或可疑活動經偵測且接著記入於一中央資料儲存體中時,將其偵測報告至中心位置。
現參看圖6,流程圖描繪根據本發明之一實施例的其中先前記入之使用者活動經分析影響特定使用者之使用者安全等級之判定的過程。藉由擷取一特定使用者之使用者安全等級之當前值(步驟602),開始該過程。圖6中所示之過程描繪一特定使用者之使用者安全等級之更新操作;然而,將執行一類似過程以便產生特定使用者之使用者安全等級之初始值,例如,當新的使用者已藉由使空對話日誌與使用者相關聯且接著表現為如同使用者之網路活動已在導致一空集之存在問題之活動的至少一對話內被監視而登記於資料處理系統內時。
接著彙編並分析特定使用者之潛在地存在問題之操作或可疑活動的該或該等記錄之對話日誌(步驟604),且計算該特定使用者之新的或修改的使用者安全等級(步驟606)且接著將其與關於使用者之其他資訊相關聯而儲存,藉此結束該過程。可根據使用控制輸入參數之預定及/或可組態之演算法抑或根據各種可組態之條件及/或規則執行存在問題之與安全相關之操作的分析;可自原則資料庫中之一原則擷取用於分析之可組態資訊,如下文更詳細地描述。
現參看圖7A至圖7G,一組方塊圖描繪根據本發明之一實施例的用於支援安全等級之動態調整之一資料處理系統中的組件。現參看圖7A,網路700支援多個計算設備及軟體應用程式。安全管理應用程式702提供用於支援關於實體安全操作及計算安全操作之行政管理動作的中央控制。安全管理應用程式702駐留於一更大的資料處理系統內,其中之一些未展示於該圖式中。舉例而言,驗證伺服器驗證資料處理系統之使用者的身份。應用伺服器提供對執行由此等使用者使用之應用程式之支援。授權伺服器判定是否授權一使用者存取計算資源,諸如,應用伺服器。
安全管理應用程式702整合來自各種類型之安全子系統的操作。安全管理應用程式702含有用於支援其操作之特定態樣的各種類型之組件或模組。操作者介面模組704支援用於一行政管理使用者之使用者介面。網路安全控制模組706支援關於網路安全之特定操作。實體警報控制模組708提供用於報告及取消實體警報之支援。安全管理應用程式702可需要可儲存於下列任一適當之資料儲存體中之各種類型的資料之輸入:使用者登記710;原則資料庫712;及計算資源資料庫714,在下文中更詳細地描述其中之每一者。
以類似於圖3之方式,網路700支援經組態以與一安全符合伺服器互動之兩個計算設備。用戶端716含有網路安全監視代理718,其含有過濾原則720及快取之活動日誌722之一複本。用戶端716亦含有一典型防火牆724,其具有可組態之防火牆參數設定726。以一類似方式,用戶端728含有網路安全監視代理730,其含有過濾原則732及快取的活動日誌734之一複本。用戶端728亦含有一典型防火牆736,其具有可組態的防火牆參數設定738。網路安全監視代理與安全符合伺服器740互動,安全符合伺服器740支援動態安全等級調整模組742,安全符合伺服器740維護使用者日誌資料庫744。應注意,可自資料處理系統內之額外來源收集關於與網路相關之活動的資訊。舉例而言,代理伺服器746亦含有網路安全監視代理748。
如上文關於圖5及圖6描述,資料處理系統內之用戶端716、用戶端728及其他類似組態之計算設備與安全符合伺服器740互動以藉由此等計算設備之使用者來收集關於與網路相關之活動的資訊。舉例而言,藉由發送網路安全監視代理718過濾原則720之一複本,安全符合伺服器740組態用戶端716,該複本含有在一特定使用者(例如,使用者"A")正操作用戶端716之同時檢驗與用戶端716之與網路相關之活動的規則及/或條件。潛在地存在問題之活動記錄於快取之活動日誌722內,將快取之活動日誌722不定期地發送至動態安全等級調整模組742以便彙編為使用者日誌資料庫744。網路安全監視代理718可直接監視網路操作,或者網路安全監視代理718可藉由收集來自直接監視網路操作之其他來源(諸如,防火牆應用程式724)之記入的資訊而間接監視網路操作。
雖然圖5及圖6描述收集用以計算使用者安全等級之資訊的過程,但本發明可亦自其他處(包括外部來源750)獲取或擷取安全等級。外部來源可為含有用於許多人之使用者安全等級之資料庫或類似的資料儲存體。外部來源可由一政府機構操作,例如,維護關於有罪之罪犯(尤其為已發現犯了與電腦相關之罪行之罪犯)之資訊的執法機構。在其他情況下,外部來源可為提供基於付費之電子資訊服務的商業公司。在任一狀況下,使用者安全等級可係自外部來源(除了在資料處理系統中收集的資訊之外,可使用該外部來源)而獲取,或可能依外部來源而定且藉此取消資料處理系統藉由過濾與網路相關之活動來判定使用者安全等級之需求。
現參看圖7B,原則資料庫712含有可用以導引關於安全等級之操作的原則中之一些之額外細節。可由安全符合伺服器740以及其他伺服器(諸如,授權伺服器)存取之原則資料庫712含有可組態以控制整個資料處理系統之各種態樣之操作的各種類型之原則。通常,一原則指定待檢驗一組輸入參數之規則或條件以便判定當發生給定之事件時或當出現保證之情況時是否應採取指定的動作。所說明的原則僅為例示性的,且可將其他原則儲存於原則資料庫712中。
一般授權原則751(例如,屬於工作進度表之各種企業範圍內之原則)可應用至所有使用者。使用者授權原則752可含有用於人們之唯一原則,例如,特定的原則將僅應用至給定的人,藉此使系統管理應用程式能夠基於個人而處理雇員或其他人之需求。資源安全原則753為屬於關於設備之各種態樣及其資源之條件以及可基於計算安全等級而准許或否認存取設備上之某些資源之方式的原則。應用程式安全原則754為屬於關於各種軟體應用程式之條件及可准許或否認對應用程式之存取之方式的原則。
與網路相關之活動過濾原則755係用以過濾與網路相關之操作,以便判定與網路相關之操作是否造成對資料處理系統之安全易損壞性;若如此,則記入且報告活動。舉例而言,用於未授權之應用程式756之原則偵測:一未授權之應用程式是否正執行於計算設備上及/或正自該計算設備存取網路;經安裝於設備上之一未授權之應用程式是否尚未經徹底檢查或測試,以判定其行為是否可造成設備特定或網路範圍內之安全問題。用於非法下載757之原則偵測計算資源是否正用以自網路非法下載內容,例如,特定自網際網路下載音樂或視訊內容。用於不安全之埠使用758之原則偵測計算設備上之各種埠是否已開啟及/或用於通信,已知此情況發生於各種惡意攻擊中且可指示設備上存在惡意軟體。用於標旗之網站759之原則偵測一設備是否正用以存取已特定地標旗為使用者禁止進入的網際網路上之網站。用於過量通信資源使用760之原則偵測一設備是否正以一過量方式而用於網路上,此情況可指示設備或資源用於未授權之活動。
使用者安全等級判定原則761係用以基於關於使用者之與網路相關之活動的記入之資訊而計算使用者之使用者安全等級,如下文更詳細地描述。
計算安全等級判定原則762用以基於當前正使用資料處理系統內之網路的使用者之使用者安全等級而計算一計算資源之計算安全等級。將如圖式中所示之本發明之實施例的實例描述為當計算一計算資源之計算安全等級時考慮了單個使用者之使用者安全等級。然而,應注意,計算資源之計算安全等級可基於多個使用者之使用者安全等級,藉此聚合由多個使用者造成的安全危險之評估。
現參看圖7C,提供可儲存於使用者登記資料庫710內之資訊中之一些的額外細節。可假定使用資料處理系統內之計算資源的每一人具有使用者登記資料庫710中之一個人登錄;個人登錄770含有關於特定使用者之資訊。使用者ID 771為一人用以執行驗證操作之唯一的識別碼。群組隸屬772指示此人所屬的群組,諸如,工程、公司部門等。角色隸屬773指示此人可執行之角色之類型,諸如,監督員或被監督之雇員。使用者安全等級774為此人之當前使用者安全等級的指示;使用者安全等級774可由一數值或其他類型之資料來表現以提供已藉由檢查使用者之與網路相關之活動而評估之使用者安全危險的指示。當建立個人登錄770時,可將一初始使用者安全等級指派至使用者;可將該初始使用者安全等級永久儲存於個人登錄770中或其他處以便在某些情況下使用,諸如,系統重設或需要一用於給定使用者之使用者安全等級的預設值之其他情形。
現參看圖7D,提供可儲存於計算資源資料庫714中之一些資訊的額外細節,計算資源資料庫714提供關於資料處理系統內之計算資源(諸如,膝上型電腦、桌上型電腦、印表機、防火牆以及其他硬體及軟體資源)的資訊。計算資源資料庫714可含有每一計算資源之登錄;資源登錄775可含有資源ID 776、資源類型指示器777,及(若適用)資源位置778。計算安全等級779為資源之當前計算安全等級之指示;計算安全等級779可由一數值或其他類型的資料來表示以提供正應用於資源以保護該資源免於可經由網路而引入之易損壞性的安全保護的指示。當判定需要修改資源之計算安全等級時,既而資源之安全參數設定780需要加以修改以便增加或降低資源之安全等級;計算資源資料庫714中之資訊可提供選擇適當原則(其指示待決定之適當動作)以便判定是否需要修改資源之計算安全等級所需的資訊。當建立資源登錄775時,可將初始計算安全等級指派至一資源;可將該初始計算安全等級永久地儲存於資源登錄775或其他處以便在某些情況下使用,諸如,系統重設或需要一用於給定資源之計算安全等級之預設值的其他情形。
現參看圖7E,使用者安全等級判定原則782為圖7B中所示之使用者安全等級判定原則761中之一者的一實例。原則782含有單個規則,其用於在某一時段內之使用者活動之日誌指示不安全的通信埠已開啟(其可潛在地允許惡意軟體或病毒感染設備及藉此擴散遍及整個網路)之時將使用者之使用者安全等級指示器設定至最大值。
現參看圖7F,計算安全等級判定原則784為圖7B中所示之計算安全等級判定原則762中之一者的一實例。原則784含有單個規則,其用於設定特定設備之計算安全等級指示器;在此實例中,該規則獲取關於下列內容之資訊:正觸發規則之評定的事件、由觸發該事件之使用者造成的危險之等級及正使用該設備的使用者之類型(正修改計算安全等級以用於該使用者之類型)。原則之規則檢驗使用者正登錄至網路上及此使用者擁有較高使用者安全等級;此外,該規則檢驗已將特定設備之使用者標旗為屬於一組新的使用者。若此等條件係真實的,則將設備之計算安全等級設定至特別預設最大等級。
現參看圖7G,資源安全原則786為圖7B中所示之資源安全原則753中之一者的一實例。原則786含有單個規則,其用於基於當前指派至設備之計算安全等級而設定特定設備之各種可組態之與安全相關的參數,在此實例中,將其設定至一特別預設最大等級。該規則指定在當前指派至設備之計算安全等級等於特別預設最大等級時,既而應對該設備執行各種動作以增加其抵抗試圖通過其安全防禦的能力。舉例而言,執行於該設備上之防火牆之參數應使其參數設定至該等參數之最大限制值,藉此確保該防火牆正標旗及/或停止可為稍不規則的任一活動。此外,致使某一通信協定不可存取或不可操作,藉此防止惡意碼之傳送或防止在當前情況下不可接受之一些其他活動。此外,在當前情況下,阻塞所有的郵件擷取,藉此防止使用者(特定言之,新手使用者)無意地接受具有惡意附件之電子郵件訊息。
現參看圖8,流程圖描繪根據本發明之一實施例的其中網路上之使用者活動可觸發該網路內之有效資源的計算安全等級數值之動態調整的過程。圖8中所示之過程描繪用於網路資料處理系統內之資源之計算安全等級數值的更新操作。然而,將執行一類似的過程,用於產生特定計算資源之計算安全等級的初始值,例如,當初始化計算資源時,藉由指派一預設計算安全等級數值或藉由檢查網路之當前使用者之使用者安全等級。
藉由偵測一特定使用者之網路活動中之觸發事件,開始該過程(步驟802)。可假定僅將相對少的事件(例如,登錄及登出操作)預定為觸發事件,藉此大大地降低執行圖8中所示之過程的頻率。回應於此,執行重評定以用於現正由資料處理系統內之其他使用者積極使用的一些計算資源之計算安全等級數值。動態地計算及/或調整且接著指派及/或儲存此等資源之計算安全等級數值(步驟804)。接著,基於新近調整之計算安全等級數值,判定受影響之資源之新的及/或經修改之安全參數之集合(步驟806)。
受影響之資源接著根據新的或經修改的安全參數而組態及/或重組態(步驟808),此後,將以此方式操作受影響之資源,直至其安全參數經再吹修改。可通知正使用具有經動態調整之計算安全等級數值的此等受影響之資源之使用者(步驟810),因為該使用者可注意到該資源開始以不同行為而起作用,藉此結束該過程。
鑒於上文提供之實施方式,本發明之優點應係顯而易見的,而藉由實例可使圖5、圖6及圖8中所示之過程與圖7A至圖7C中所示之組件相關。第一使用者(使用者"A")可正使用資料處理系統內之各種計算資源;詳言之,使用者"A"可正使用電腦以及該電腦上支援的各種資源,諸如,防火牆應用程式、郵件應用程式、線上聊天應用程式及其他應用程式。一使用者安全等級與使用者"A"相關聯,且一計算安全等級與使用者"A"正使用之計算資源中之一些相關聯。當使用者"A"正使用此等計算資源時,使用者"A"之任一潛在地存在問題之網路活動經記入以用於使用者"A"之使用者安全等級的隨後判定,如關於圖5所描述。各種網路活動過濾原則可用以判定應分類為潛在地存在問題之網路活動的網路操作。中央使用者日誌資料庫內之資訊用以計算資料處理系統內之計算資源之使用者的使用者安全等級,如關於圖6所描述。各種使用者安全等級判定原則可用以使一適當使用者安全等級數值與使用者"A"相關聯。
在某一時刻,使用者"B"可登錄至網路上,且由於登錄操作發出網路上之使用者之新的存在的信號,所以既而在使用者登錄至網路上時在當前時段內第一次檢查使用者"B"之使用者安全等級。換言之,基於某一使用者之某些觸發事件(諸如,使用者"B"之登錄操作),使用者安全等級用以判定正由使用者(諸如,使用者"A")使用之計算設備之適當的計算安全等級,如關於圖8所描述;其他觸發事件(諸如,網路登出事件)可具有相反效應。在此實例中,使用者"B"可具有指示使用者"B"先前已與一些存在問題之網路活動相關聯之升高的使用者安全等級。將使用者"B"之登錄操作用作觸發事件以重評定現正由使用者"A"積極使用之資源的計算安全等級,各種計算安全等級判定原則可用以使一適當的計算安全等級數值與正由使用者"A"使用之任一資源相關聯。
此外,各種資源安全原則可用以判定對修改一資源之安全的適當回應以根據其新近指派的計算安全等級而起作用。舉例而言,用戶端716(或更具體言之,防火牆應用程式)之計算安全等級可藉由用一組經修改之防火牆參數設定726來動態重組態防火牆724而動態地調整。當經判定為必要時(例如,如可重組態之原則中所指定),動態安全等級調整模組742可將新的防火牆參數設定726發送至用戶端716,例如,經由網路安全監視代理718、經由防火牆應用程式中之機制或者經由支援用戶端716之操作系統中之機制。
可將使用者"B"之與網路相關之活動視為潛在地存在問題的。回應於此,為了保護使用者"A"之計算環境,可升高正由使用者"A"使用之計算資源的某些計算防禦以便保護使用者"A"之工作環境。雖然可能藉由直接修改使用者"B"之計算活動而可能以一些方式暫停使用者"B"之行為(其將藉此保護使用者"A"之工作環境),但本發明提供唯一的解決方法。
注意到以下情況係重要的:雖然已在充分發揮作用之資料處理系統之情形下描述本發明,但一般熟習此項技術者應瞭解,與本發明相關聯之過程中之一些能夠以電腦可讀媒體中之指令的形式或各種其他形式來分配,而無關於實際用以進行該分配之特定類型的信號承載媒體。電腦可讀媒體之實例包括諸如可擦可程式唯讀記憶體(EPROM)、唯讀記憶體(ROM)、磁帶、紙、軟碟、硬碟驅動機、RAM及緊密光碟-唯讀記憶體(CD-ROM)之媒體以及傳輸型媒體(諸如,數位及類比通信鏈路)。
可將某些計算任務描述為由功能單元來執行。功能單元可由常式、子常式、過程、子過程、程序、功能、方法、物件導向式物件、軟體模組、小程式、外掛程式、ActiveXT M
控制、指令碼或用於執行計算任務之韌體或軟體之一些其他組件來表示。
圖式中之元件之描述可涉及用戶端設備或用戶端設備之使用者的某些動作。一般熟習此項技術者應理解,自用戶端設備之請求及/或至用戶端設備之回應有時由使用者啟動且在其他時候由用戶端(通常代表該用戶端之使用者)自動啟動。因此,當在圖式之描述中提及用戶端或用戶端之使用者時,應理解,在不顯著影響所描述之過程之意義的情況下可經常可交換地使用術語"用戶端"及"使用者"。
本文中圖式之描述可涉及各種組件之間的資訊之交換,且可將資訊之交換描述為經由訊息(例如,後面有回應訊息之請求訊息)之交換而實施。應注意,在適當時,計算組件之間的資訊之交換(其可包括同步或非同步的請求/回應交換)可經由各種資料交換機制(諸如,訊息、方法呼叫、遠程程序呼叫、事件發信或其他機制)而同等地實施。
本發明之描述已為說明起見而呈現,但並不意欲為詳盡的或限制於所揭示之實施例。一般熟習此項技術者將清楚許多修改及變化。該等實施例經選擇以解釋本發明之原理及其實際應用且使其他一般熟習此項技術者能夠理解本發明以便藉由適於其他預期使用之各種修改來實施各種實施例。
100...分散式資料處理系統
101...網路
102...伺服器
103...伺服器
104...儲存單元
105...用戶端
106...用戶端
107...用戶端/個人數位助理
109...用戶端
110...網路
111...電話
112...無線鏈路
113...個人數位助理
114...無線鏈路
115...無線鏈路
116...無線通信鏈路
120...資料處理系統
122...中央處理單元
123...匯流排
124...隨機存取記憶體
126...唯讀記憶體
128...輸入/輸出配接器
130...印表機
132...磁碟機
134...通信配接器
136...通信鏈路
140...鍵盤
142...滑鼠
144...顯示配接器
146...顯示設備
148...使用者介面配接器
200...企業域
202...使用者
204...瀏覽器應用程式
206...用戶端
208...網路
210...應用伺服器
212...代理伺服器
214...驗證伺服器
216...授權伺服器
218...授權資料庫
220...存取控制清單
222...授權原則
224...使用者登記
226...使用者群組或角色
228...安全符合伺服器
300...網路
302...使用者
304...計算設備
306...使用者
308...計算設備
310...安全符合伺服器
312...動態安全調整單元
402...時段
404...時點
406...時段
412...時段
414...時點
416...時段
700...網路
702...安全管理應用程式
704...操作者介面模組
706...網路安全控制模組
708...實體警報控制模組
710...使用者登記資料庫
712...原則資料庫
714...計算資源資料庫
716...用戶端
718...網路安全監視代理
720...過濾原則
722...快取之活動日誌
724...防火牆
726...防火牆參數設定
728...用戶端
730...網路安全監視代理
732...過濾原則
734...快取之活動日誌
736...防火牆
738...防火牆參數設定
740...安全符合伺服器
742...動態安全等級調整模組
744...使用者日誌資料庫
746...代理伺服器
748...網路安全監視代理
750...外部來源
751...一般授權原則
752...使用者授權原則
753...資源安全原則
754...應用程式安全原則
755...與網路相關之活動過濾原則
756...未授權之應用程式
757...非法下載
758...不安全之埠使用
759...標旗之網站
760...過量通信資源使用
761...使用者安全等級判定原則
762...計算安全等級判定原則
770...個人登錄
771...使用者ID
772...群組隸屬
773...角色隸屬
774...使用者安全等級
775...資源登錄
776...資源ID
777...資源類型指示器
778...資源位置
779...計算安全等級
780...安全參數設定
782...使用者安全等級判定原則
784...計算安全等級判定原則
786...資源安全原則
圖1A描繪其中可實施本發明之一典型分散式資料處理系統;圖1B描繪可用於其中可實施本發明之一資料處理系統內的一典型電腦架構;圖2描繪展示典型的企業資料處理系統之方塊圖;圖3描繪展示併入本發明之動態安全調整特徵的資料處理系統之簡述之方塊圖;圖4A至圖4B描繪展示根據本發明之一設備之計算安全等級的動態調整之一對時刻表;圖4C至圖4D描繪展示一給定使用者之使用者安全等級與一給定計算資源之計算安全等級之間的相反關係之圖式;圖5描繪展示根據本發明之一實施例的用於收集影響使用者安全等級之判定之資訊的過程之流程圖;圖6描繪展示根據本發明之一實施例的其中先前記入之使用者活動經分析影響特定使用者之使用者安全等級之判定的過程之流程圖;圖7A至圖7G描繪展示用於支援安全等級之動態調整之一資料處理系統中的組件之一組方塊圖;及圖8描繪展示根據本發明之實施例的其中網路上之使用者活動可觸發該網路內之有效資源的計算安全等級數值之動態調整的過程之流程圖。
Claims (20)
- .一種用於使關於一資料處理系統中之一組計算資源的操作安全之電腦實施方法,該方法包含:使用正由一第一使用者使用之一第一計算設備上之計算資源,其中一第一使用者安全等級指示值與該第一使用者相關聯;使用正由一第二使用者使用之一第二計算設備上之計算資源,其中一第二使用者安全等級指示值與該第二使用者相關聯;監視關於由該第二使用者使用之計算資源之網路活動;及基於該第二使用者之該第二使用者安全等級指示值而自動重組態該第一計算設備上之該等計算資源,其中該第二使用者之該第二使用者安全等級指示值係基於與該第二使用者所使用之該等計算資源相關之受監視之該網路活動而判定。
- 如請求項1之方法,其進一步包含:過濾關於由該第二使用者使用之計算資源之該網路活動以識別與該第二使用者所使用之該等計算資源相關之存在問題之網路活動;及記入關於由該第二使用者使用之計算資源的該存在問題之網路活動。
- 如請求項2之方法,其進一步包含:使用一第一可組態之原則,其指示用於該網路活動之 該過濾之規則及/或條件。
- 如請求項2之方法,其進一步包含:檢查該第二使用者之該記入之存在問題的網路活動;及基於來自該經檢查的記入之存在問題之網路活動的資訊而判定該第二使用者安全等級指示值。
- 如請求項4之方法,其進一步包含:使用一第二可組態之原則,其指示用於判定該第二使用者安全等級指示值之規則及/或條件。
- 如請求項1之方法,其進一步包含:將一計算安全等級指示值指派至該第一計算設備上之一計算資源;及回應於正由該第二使用者使用之該第二計算設備進行的經偵測之網路活動,調整該第一計算設備上之該計算資源的該計算安全等級指示值。
- 如請求項6之方法,其進一步包含:使用一第三可組態之原則,其指示用於調整該第一計算設備上之該計算資源的該計算安全等級指示值之規則及/或條件。
- 如請求項6之方法,其進一步包含:基於該經調整之計算安全等級指示值,判定用於重組態該第一計算設備上之該等計算資源之經修改的與安全相關之參數。
- 如請求項8之方法,其進一步包含: 使用一第四可組態之原則,其指示用於判定重組態該第一計算設備上之該等計算資源之經修改的與安全相關之參數之規則及/或條件。
- 如請求項6之方法,其進一步包含:自一中央安全管理應用程式將經修改的與安全相關之參數發送至該第一計算設備上之一網路安全代理。
- 如請求項1之方法,其進一步包含:通知該第一使用者關於該第一計算設備之該重組態。
- 如請求項1之方法,其進一步包含:自該資料處理系統外部的一來源擷取該第二使用者安全等級指示值。
- 一種電腦程式產品,其在一電腦可讀儲存媒體上,該電腦程式產品用於使關於一資料處理系統中之一組計算資源的操作安全,該電腦程式產品包含:用以使用正由一第一使用者使用之一第一計算設備上之計算資源的指令,其中一第一使用者安全等級指示值與該第一使用者相關聯;用以使用正由一第二使用者使用之一第二計算設備上之計算資源的指令,其中一第二使用者安全等級指示值與該第二使用者相關聯;用以監視關於由該第二使用者使用之計算資源之網路活動的指令;用以基於該第二使用者之該第二使用者安全等級指示值而自動重組態該第一計算設備上之該等計算資源的指 令,其中該第二使用者之該第二使用者安全等級指示值係基於與該第二使用者所使用之該等計算資源相關之受監視之該網路活動而判定。
- 如請求項13之電腦程式產品,其進一步包含:用以過濾關於由該第二使用者使用之計算資源之該網路活動以識別與該第二使用者所使用之該等計算資源相關之存在問題之網路活動的指令;及用以記入關於由該第二使用者使用之計算資源的該存在問題之網路活動的指令。
- 如請求項14之電腦程式產品,其進一步包含:用以檢查該第二使用者之該記入之存在問題的網路活動的指令;及用以基於來自該經檢查的記入之存在問題之網路活動的資訊而判定該第二使用者安全等級指示值的指令。
- 如請求項13之電腦程式產品,其進一步包含:用以將一計算安全等級指示值指派至該第一計算設備上之一計算資源的指令;及用以回應於正由該第二使用者使用之該第二計算設備進行的經偵測之網路活動而調整該第一計算設備上之該計算資源之該計算安全等級指示值的指令。
- 如請求項16之電腦程式產品,其進一步包含:用以基於該經調整之計算安全等級指示值而判定用於重組態該第一計算設備上之該等計算資源之經修改的與安全相關之參數的指令。
- 一種用於使關於一資料處理系統中之一組計算資源的操作安全之裝置,該裝置包含:一資料處理器,其耦合至一記憶體且可操作以執行該記憶體中之指令以實施以下步驟:使用正由一第一使用者使用之一第一計算設備上之計算資源,其中一第一使用者安全等級指示值與該第一使用者相關聯;使用正由一第二使用者使用之一第二計算設備上之計算資源,其中一第二使用者安全等級指示值與該第二使用者相關聯;基於該第二使用者之該第二使用者安全等級指示值而自動重組態該第一計算設備上之該等計算資源;將一計算安全等級指示值指派至該第一計算設備上之一計算資源;及回應於正由該第二使用者使用之該第二計算設備進行的經偵測之網路活動而調整該第一計算設備上之該計算資源的該計算安全等級指示值。
- 如請求項18之裝置,其中該資料處理器可進一步操作以執行該記憶體中之指令以實施以下步驟:使用至少一網路活動過濾原則來過濾關於由該第二使用者使用之計算資源之該網路活動以識別與該第二使用者所使用之該等計算資源相關之存在問題之網路活動。
- 如請求項18之裝置,其中該資料處理器可進一步操作以執行該記憶體中之指令以實施以下步驟: 基於該經調整之計算安全等級指示值而判定用於重組態該第一計算設備上之該等計算資源之經修改的與安全相關之參數。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/255,153 US7627893B2 (en) | 2005-10-20 | 2005-10-20 | Method and system for dynamic adjustment of computer security based on network activity of users |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200736953A TW200736953A (en) | 2007-10-01 |
| TWI394059B true TWI394059B (zh) | 2013-04-21 |
Family
ID=37667681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW095138442A TWI394059B (zh) | 2005-10-20 | 2006-10-18 | 用於使關於一資料處理系統中之一組計算資源的操作安全之方法、裝置及電腦程式產品 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US7627893B2 (zh) |
| EP (1) | EP1949291A2 (zh) |
| JP (1) | JP5078898B2 (zh) |
| KR (1) | KR101019988B1 (zh) |
| CN (1) | CN101375285B (zh) |
| CA (1) | CA2625718C (zh) |
| TW (1) | TWI394059B (zh) |
| WO (1) | WO2007045554A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9264669B2 (en) | 2008-02-26 | 2016-02-16 | Microsoft Technology Licensing, Llc | Content management that addresses levels of functionality |
Families Citing this family (101)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007022454A2 (en) * | 2005-08-18 | 2007-02-22 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
| US7761914B2 (en) * | 2005-10-21 | 2010-07-20 | Oracle International Corporation | Method and apparatus for facilitating adjustment of an audit state in a computing environment |
| US8108923B1 (en) * | 2005-12-29 | 2012-01-31 | Symantec Corporation | Assessing risk based on offline activity history |
| US8862551B2 (en) | 2005-12-29 | 2014-10-14 | Nextlabs, Inc. | Detecting behavioral patterns and anomalies using activity data |
| US8744885B2 (en) * | 2006-03-28 | 2014-06-03 | Snowflake Itm, Inc. | Task based organizational management system and method |
| US8555403B1 (en) * | 2006-03-30 | 2013-10-08 | Emc Corporation | Privileged access to managed content |
| US8079075B2 (en) * | 2006-08-25 | 2011-12-13 | Oracle International Corporation | Active reverse proxy system |
| US8522304B2 (en) * | 2006-09-08 | 2013-08-27 | Ibahn General Holdings Corporation | Monitoring and reporting policy compliance of home networks |
| JP4276672B2 (ja) * | 2006-10-03 | 2009-06-10 | シャープ株式会社 | 画像処理装置 |
| US8069408B2 (en) * | 2006-11-16 | 2011-11-29 | Novell, Inc. | Representing extensible markup language (XML) as an executable having conditional authentication or policy logic |
| WO2008099402A2 (en) * | 2007-02-16 | 2008-08-21 | Forescout Technologies | A method and system for dynamic security using authentication server |
| EP2009865A1 (en) * | 2007-06-25 | 2008-12-31 | Alcatel Lucent | Method of providing an access control system |
| US20090044249A1 (en) * | 2007-08-10 | 2009-02-12 | International Business Machines Corporation | Systems, methods and computer products for a security framework to reduce on-line computer exposure |
| US8347359B2 (en) * | 2007-12-28 | 2013-01-01 | Bruce Backa | Encryption sentinel system and method |
| EP2107518A1 (en) * | 2008-03-31 | 2009-10-07 | British Telecommunications Public Limited Company | Scheduling usage of resources |
| US20090276839A1 (en) * | 2008-05-02 | 2009-11-05 | Fortknock Protection Llc | Identity collection, verification and security access control system |
| CN101981575B (zh) * | 2008-06-03 | 2012-11-28 | 图形科技公司 | 利用多事务技术复制面向对象环境中的对象的方法和装置 |
| US20100005181A1 (en) * | 2008-07-07 | 2010-01-07 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for controlling a terminal access and terminal for controlling an access |
| US20100011432A1 (en) * | 2008-07-08 | 2010-01-14 | Microsoft Corporation | Automatically distributed network protection |
| JP5148442B2 (ja) * | 2008-09-30 | 2013-02-20 | 株式会社東芝 | 脆弱性対応優先度表示装置及びプログラム |
| US8275899B2 (en) * | 2008-12-29 | 2012-09-25 | At&T Intellectual Property I, L.P. | Methods, devices and computer program products for regulating network activity using a subscriber scoring system |
| EP2211523B1 (de) * | 2009-01-23 | 2016-05-04 | Siemens Aktiengesellschaft | Kommunikationsnetzwerk und Umsetzermodul |
| US8392972B2 (en) * | 2009-02-11 | 2013-03-05 | Sophos Plc | Protected access control method for shared computer resources |
| US8024482B2 (en) * | 2009-02-16 | 2011-09-20 | Microsoft Corporation | Dynamic firewall configuration |
| US9275231B1 (en) * | 2009-03-10 | 2016-03-01 | Symantec Corporation | Method and apparatus for securing a computer using an optimal configuration for security software based on user behavior |
| US9426179B2 (en) | 2009-03-17 | 2016-08-23 | Sophos Limited | Protecting sensitive information from a secure data store |
| US20100251375A1 (en) * | 2009-03-24 | 2010-09-30 | G2, Inc. | Method and apparatus for minimizing network vulnerability |
| US7685629B1 (en) | 2009-08-05 | 2010-03-23 | Daon Holdings Limited | Methods and systems for authenticating users |
| US8443202B2 (en) | 2009-08-05 | 2013-05-14 | Daon Holdings Limited | Methods and systems for authenticating users |
| US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
| CA2675664A1 (en) * | 2009-08-28 | 2009-11-05 | Ibm Canada Limited - Ibm Canada Limitee | Escalation of user identity and validation requirements to counter a threat |
| US9742778B2 (en) * | 2009-09-09 | 2017-08-22 | International Business Machines Corporation | Differential security policies in email systems |
| JP5503276B2 (ja) * | 2009-11-18 | 2014-05-28 | キヤノン株式会社 | 情報処理装置及びそのセキュリティ設定方法 |
| WO2011063269A1 (en) * | 2009-11-20 | 2011-05-26 | Alert Enterprise, Inc. | Method and apparatus for risk visualization and remediation |
| US10027711B2 (en) | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
| US10019677B2 (en) | 2009-11-20 | 2018-07-10 | Alert Enterprise, Inc. | Active policy enforcement |
| US20110185166A1 (en) * | 2010-01-28 | 2011-07-28 | Microsoft Corporation | Slider Control for Security Grouping and Enforcement |
| US8424072B2 (en) * | 2010-03-09 | 2013-04-16 | Microsoft Corporation | Behavior-based security system |
| US8826030B2 (en) | 2010-03-22 | 2014-09-02 | Daon Holdings Limited | Methods and systems for authenticating users |
| US9246932B2 (en) * | 2010-07-19 | 2016-01-26 | Sitelock, Llc | Selective website vulnerability and infection testing |
| US8869307B2 (en) * | 2010-11-19 | 2014-10-21 | Mobile Iron, Inc. | Mobile posture-based policy, remediation and access control for enterprise resources |
| US9621585B1 (en) * | 2011-07-25 | 2017-04-11 | Symantec Corporation | Applying functional classification to tune security policies and posture according to role and likely activity |
| US9055053B2 (en) * | 2011-08-15 | 2015-06-09 | Bank Of America Corporation | Method and apparatus for token-based combining of risk ratings |
| US9253197B2 (en) | 2011-08-15 | 2016-02-02 | Bank Of America Corporation | Method and apparatus for token-based real-time risk updating |
| US8726361B2 (en) | 2011-08-15 | 2014-05-13 | Bank Of America Corporation | Method and apparatus for token-based attribute abstraction |
| WO2013035203A1 (ja) * | 2011-09-09 | 2013-03-14 | 三菱電機株式会社 | プログラマブル表示器 |
| JP2014526751A (ja) | 2011-09-15 | 2014-10-06 | ザ・トラスティーズ・オブ・コロンビア・ユニバーシティ・イン・ザ・シティ・オブ・ニューヨーク | リターン指向プログラミングのペイロードを検出するためのシステム、方法、および、非一時的コンピュータ可読媒体 |
| US9787655B2 (en) * | 2011-12-09 | 2017-10-10 | Airwatch Llc | Controlling access to resources on a network |
| US10719537B2 (en) | 2012-02-09 | 2020-07-21 | Hexagon Technology Center Gmbh | Method and apparatus for performing a geometric transformation on objects in an object-oriented environment using a multiple-transaction technique |
| US9177129B2 (en) * | 2012-06-27 | 2015-11-03 | Intel Corporation | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log |
| US9514407B1 (en) * | 2012-09-27 | 2016-12-06 | EMC IP Holding Company LLC | Question generation in knowledge-based authentication from activity logs |
| WO2014075704A1 (de) * | 2012-11-13 | 2014-05-22 | Siemens Aktiengesellschaft | Verfahren und automatisierungsanordnung zur kontrolle des datenverkehrs zwischen datenverarbeitungsgeräten |
| JP6318698B2 (ja) * | 2013-04-10 | 2018-05-09 | 株式会社リコー | セキュリティ管理システム、セキュリティ管理方法およびプログラム |
| US9319221B1 (en) * | 2013-05-20 | 2016-04-19 | Amazon Technologies, Inc. | Controlling access based on recognition of a user |
| US9408073B2 (en) * | 2013-09-11 | 2016-08-02 | Oracle International Corporation | Proximity and behavior-based enterprise security using a mobile device |
| US9055057B1 (en) | 2013-09-23 | 2015-06-09 | Emc Corporation | Automatic elevation of system security |
| US9246935B2 (en) | 2013-10-14 | 2016-01-26 | Intuit Inc. | Method and system for dynamic and comprehensive vulnerability management |
| CN103581186B (zh) * | 2013-11-05 | 2016-09-07 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
| US9313281B1 (en) | 2013-11-13 | 2016-04-12 | Intuit Inc. | Method and system for creating and dynamically deploying resource specific discovery agents for determining the state of a cloud computing environment |
| US9336119B2 (en) * | 2013-11-25 | 2016-05-10 | Globalfoundries Inc. | Management of performance levels of information technology systems |
| US9501345B1 (en) | 2013-12-23 | 2016-11-22 | Intuit Inc. | Method and system for creating enriched log data |
| US9323926B2 (en) | 2013-12-30 | 2016-04-26 | Intuit Inc. | Method and system for intrusion and extrusion detection |
| US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| US9325726B2 (en) | 2014-02-03 | 2016-04-26 | Intuit Inc. | Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment |
| US9866581B2 (en) | 2014-06-30 | 2018-01-09 | Intuit Inc. | Method and system for secure delivery of information to computing environments |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| KR102137089B1 (ko) * | 2014-02-25 | 2020-07-23 | (주)나루씨큐리티 | 명령제어채널 탐지장치 및 방법 |
| US9450820B2 (en) * | 2014-02-26 | 2016-09-20 | International Business Machines Corporation | Dynamic extensible application server management |
| US9276945B2 (en) | 2014-04-07 | 2016-03-01 | Intuit Inc. | Method and system for providing security aware applications |
| US9245117B2 (en) | 2014-03-31 | 2016-01-26 | Intuit Inc. | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US9374389B2 (en) | 2014-04-25 | 2016-06-21 | Intuit Inc. | Method and system for ensuring an application conforms with security and regulatory controls prior to deployment |
| US20150310213A1 (en) * | 2014-04-29 | 2015-10-29 | Microsoft Corporation | Adjustment of protection based on prediction and warning of malware-prone activity |
| US9319415B2 (en) | 2014-04-30 | 2016-04-19 | Intuit Inc. | Method and system for providing reference architecture pattern-based permissions management |
| US9900322B2 (en) | 2014-04-30 | 2018-02-20 | Intuit Inc. | Method and system for providing permissions management |
| US9330263B2 (en) | 2014-05-27 | 2016-05-03 | Intuit Inc. | Method and apparatus for automating the building of threat models for the public cloud |
| EP2955899A1 (en) * | 2014-06-13 | 2015-12-16 | Orange | Method and apparatus to regulate a digital security system that controls access to a resource |
| US9697385B2 (en) | 2014-06-20 | 2017-07-04 | Google Inc. | Security adjustments in mobile devices |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| US9473481B2 (en) | 2014-07-31 | 2016-10-18 | Intuit Inc. | Method and system for providing a virtual asset perimeter |
| US9716692B2 (en) * | 2015-01-01 | 2017-07-25 | Bank Of America Corporation | Technology-agnostic application for high confidence exchange of data between an enterprise and third parties |
| CN104732160B (zh) * | 2015-02-03 | 2018-04-13 | 武汉风奥软件技术有限公司 | 一种防止数据库信息内部泄密的控制方法 |
| US10754931B2 (en) | 2015-06-05 | 2020-08-25 | Apple Inc. | Methods for configuring security restrictions of a data processing system |
| US9942237B2 (en) * | 2015-08-28 | 2018-04-10 | Bank Of America Corporation | Determining access requirements for online accounts based on characteristics of user devices |
| US9930070B2 (en) | 2015-11-11 | 2018-03-27 | International Business Machines Corporation | Modifying security policies of related resources |
| US20170149828A1 (en) | 2015-11-24 | 2017-05-25 | International Business Machines Corporation | Trust level modifier |
| US10360525B1 (en) * | 2016-02-16 | 2019-07-23 | Wells Fargo Bank, N.A. | Timely quality improvement of an inventory of elements |
| US20170346837A1 (en) * | 2016-05-31 | 2017-11-30 | Micro Focus Software Inc. | Real-time security modification and control |
| US11005852B2 (en) | 2016-10-25 | 2021-05-11 | Michael Ratiner | System and method for securing electronic devices |
| US10395016B2 (en) * | 2017-01-24 | 2019-08-27 | International Business Machines Corporation | Communication pattern recognition |
| JP6960309B2 (ja) * | 2017-11-10 | 2021-11-05 | 株式会社オービック | 情報処理装置、情報処理方法及び情報処理プログラム |
| US10839084B2 (en) * | 2017-12-14 | 2020-11-17 | Forescout Technologies, Inc. | Contextual risk monitoring |
| CN110677250B (zh) | 2018-07-02 | 2022-09-02 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
| CN110795742B (zh) | 2018-08-02 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 高速密码运算的度量处理方法、装置、存储介质及处理器 |
| CN110795774B (zh) | 2018-08-02 | 2023-04-11 | 阿里巴巴集团控股有限公司 | 基于可信高速加密卡的度量方法、设备和系统 |
| CN110875819B (zh) * | 2018-08-29 | 2022-09-06 | 阿里巴巴集团控股有限公司 | 密码运算处理方法、装置及系统 |
| CN110874478B (zh) | 2018-08-29 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 密钥处理方法及装置、存储介质和处理器 |
| US20210136059A1 (en) * | 2019-11-05 | 2021-05-06 | Salesforce.Com, Inc. | Monitoring resource utilization of an online system based on browser attributes collected for a session |
| CN112417379B (zh) * | 2020-11-10 | 2022-02-22 | 迈普通信技术股份有限公司 | 一种集群许可证管理方法、装置、授权服务器及存储介质 |
| US11716340B2 (en) * | 2021-05-28 | 2023-08-01 | Microsoft Technology Licensing, Llc | Threat detection using cloud resource management logs |
| US11709611B2 (en) | 2021-10-26 | 2023-07-25 | SambaNova Systems, Inc. | Determining and using memory unit partitioning solutions for reconfigurable dataflow computing systems |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110397A1 (en) * | 2001-12-12 | 2003-06-12 | Pervasive Security Systems, Inc. | Guaranteed delivery of changes to security policies in a distributed system |
| WO2003060800A2 (en) * | 2002-01-09 | 2003-07-24 | Innerpresence Networks, Inc. | Systems and methods for monitoring the availability of assets within a system and enforcing policies governing assets |
| TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6047262A (en) * | 1998-03-02 | 2000-04-04 | Ncr Corporation | Method for providing security and enhancing efficiency during operation of a self-service checkout terminal |
| US7673323B1 (en) * | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| US7284267B1 (en) * | 2001-03-08 | 2007-10-16 | Mcafee, Inc. | Automatically configuring a computer firewall based on network connection |
| US8776230B1 (en) | 2001-10-02 | 2014-07-08 | Mcafee, Inc. | Master security policy server |
| US20040039594A1 (en) * | 2002-01-09 | 2004-02-26 | Innerpresence Networks, Inc. | Systems and methods for dynamically generating licenses in a rights management system |
| US20030130953A1 (en) * | 2002-01-09 | 2003-07-10 | Innerpresence Networks, Inc. | Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets |
| CA2479789A1 (en) | 2002-03-28 | 2003-10-09 | British Telecommunications Public Limited Company | Method and apparatus for network security |
| US7308703B2 (en) * | 2002-12-18 | 2007-12-11 | Novell, Inc. | Protection of data accessible by a mobile device |
| US7134015B2 (en) * | 2003-01-16 | 2006-11-07 | International Business Machines Corporation | Security enhancements for pervasive devices |
| US7653930B2 (en) * | 2003-02-14 | 2010-01-26 | Bea Systems, Inc. | Method for role and resource policy management optimization |
| JP4517578B2 (ja) * | 2003-03-11 | 2010-08-04 | 株式会社日立製作所 | ピアツーピア通信装置および通信方法 |
| US20050015592A1 (en) * | 2003-07-15 | 2005-01-20 | Jeou-Kai Lin | System and method for application and user-based class of security |
| KR20050026624A (ko) * | 2003-09-09 | 2005-03-15 | 이상준 | 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법 |
| US7565430B2 (en) * | 2003-10-01 | 2009-07-21 | At&T Intellectual Property I, L.P. | Firewall switching system for communication system applications |
| JP2005208822A (ja) * | 2004-01-21 | 2005-08-04 | Seiko Epson Corp | 認証装置、携帯端末、電子決済システムおよび認証プログラム |
-
2005
- 2005-10-20 US US11/255,153 patent/US7627893B2/en not_active Expired - Fee Related
-
2006
- 2006-10-03 CN CN2006800385370A patent/CN101375285B/zh not_active Expired - Fee Related
- 2006-10-03 CA CA2625718A patent/CA2625718C/en active Active
- 2006-10-03 JP JP2008536009A patent/JP5078898B2/ja not_active Expired - Fee Related
- 2006-10-03 WO PCT/EP2006/066996 patent/WO2007045554A2/en active Application Filing
- 2006-10-03 EP EP06806941A patent/EP1949291A2/en not_active Ceased
- 2006-10-03 KR KR1020087009474A patent/KR101019988B1/ko not_active IP Right Cessation
- 2006-10-18 TW TW095138442A patent/TWI394059B/zh not_active IP Right Cessation
-
2008
- 2008-06-03 US US12/132,260 patent/US7865726B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
| US20030110397A1 (en) * | 2001-12-12 | 2003-06-12 | Pervasive Security Systems, Inc. | Guaranteed delivery of changes to security policies in a distributed system |
| WO2003060800A2 (en) * | 2002-01-09 | 2003-07-24 | Innerpresence Networks, Inc. | Systems and methods for monitoring the availability of assets within a system and enforcing policies governing assets |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9264669B2 (en) | 2008-02-26 | 2016-02-16 | Microsoft Technology Licensing, Llc | Content management that addresses levels of functionality |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007045554A3 (en) | 2008-08-28 |
| CN101375285B (zh) | 2011-09-07 |
| KR20080056734A (ko) | 2008-06-23 |
| CA2625718A1 (en) | 2007-04-26 |
| KR101019988B1 (ko) | 2011-03-09 |
| TW200736953A (en) | 2007-10-01 |
| US20070094711A1 (en) | 2007-04-26 |
| US20080235771A1 (en) | 2008-09-25 |
| EP1949291A2 (en) | 2008-07-30 |
| US7627893B2 (en) | 2009-12-01 |
| JP5078898B2 (ja) | 2012-11-21 |
| JP2009512922A (ja) | 2009-03-26 |
| CN101375285A (zh) | 2009-02-25 |
| CA2625718C (en) | 2015-04-21 |
| US7865726B2 (en) | 2011-01-04 |
| WO2007045554A2 (en) | 2007-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI394059B (zh) | 用於使關於一資料處理系統中之一組計算資源的操作安全之方法、裝置及電腦程式產品 | |
| EP3183666B1 (en) | Application programming interface wall | |
| RU2622870C2 (ru) | Система и способ оценки опасности веб-сайтов | |
| US7478420B2 (en) | Administration of protection of data accessible by a mobile device | |
| US8020192B2 (en) | Administration of protection of data accessible by a mobile device | |
| US7962960B2 (en) | Systems and methods for performing risk analysis | |
| US20070083915A1 (en) | Method and system for dynamic adjustment of computer security based on personal proximity | |
| KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
| CN107624238A (zh) | 对基于云的应用的安全访问控制 | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| US20090307360A1 (en) | Detection of uncategorized web-based proxy sites | |
| US20220217169A1 (en) | Malware detection at endpoint devices | |
| US20180131702A1 (en) | Secondary Asynchronous Background Authorization (SABA) | |
| US20230300153A1 (en) | Data Surveillance In a Zero-Trust Network | |
| Anand et al. | Data security and privacy functions in fog computing for healthcare 4.0 | |
| KR20230072648A (ko) | 다중 신뢰도 기반 접근통제 시스템 | |
| Badea et al. | Computer networks security based on the detection of user's behavior | |
| Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
| Camp et al. | Data for Cybersecurity Research: Process and ‘Wish List’ | |
| Penwell | Security Is Not Built in a Day | |
| US20230336573A1 (en) | Security threat remediation for network-accessible devices | |
| Chaturvedi et al. | Proposing host-based intruder detector and alert system (HIDAS) for cloud computing | |
| Perez | Towards an Agent-based Approach to Simulating Humans Falling for Phishing Attacks | |
| JP2024046098A (ja) | 情報管理装置および情報管理プログラム | |
| Feiertag et al. | Using security mechanisms in Cougaar |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |