CN101258506A - 网络连接控制程序、网络连接控制方法以及网络连接控制系统 - Google Patents
网络连接控制程序、网络连接控制方法以及网络连接控制系统 Download PDFInfo
- Publication number
- CN101258506A CN101258506A CNA2006800060078A CN200680006007A CN101258506A CN 101258506 A CN101258506 A CN 101258506A CN A2006800060078 A CNA2006800060078 A CN A2006800060078A CN 200680006007 A CN200680006007 A CN 200680006007A CN 101258506 A CN101258506 A CN 101258506A
- Authority
- CN
- China
- Prior art keywords
- network
- computing machine
- environment
- network connection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
防止在外出地等被病毒或间谍软件等未授权程序入侵的计算机连接到公司内LAN等安全网络。当试图启动用户终端(10)并连接到公司内LAN时,暂停一次网络连接,并进行用户终端(10)与上一次动作环境的对比。在上一动作环境没有变化的情况下,仍然恢复公司内LAN的连接,当判断上一次动作时连接的是公司内LAN以外时,通过存储了最新防病毒软件的USB存储器(20)进行病毒等的检测,并在确认用户终端(10)的安全性后,恢复与公司内LAN的连接。
Description
技术领域
本发明涉及用于防止存储有病毒或间谍软件等未授权的程序的计算机连接到公司内LAN等安全网络的网络连接控制程序、网络连接控制方法以及网络连接控制系统。
背景技术
在公司内LAN等安全网络中,防止来自网络外部的病毒或间谍软件等未授权程序的入侵或防止通过从外部带入的计算机等连接到未授权网络是重要的课题。这种对安全网络的未授权攻击的状态不断地复杂化·多样化,因此也就需要组合用于保护安全网络内的重要信息的方法、各种系统并维持牢固的网络。
作为对付病毒等未授权程序的方法,除了在与外部网络的门电路设置防火墙从而防止来自外部的入侵的方法以外,在安全网络中使用的计算机终端还包括防病毒软件(例如参见非专利文献1),在接收到未授权程序的情况下进行迅速地驱除。
为了防止通过从外部带入的计算机未经授权连接到安全网络,通过例如在安全网络内设置监视用服务器,在正常的计算机终端安装专用程序,并与监视用服务器进行通信,提供迅速检测未授权终端连接的监视系统(例如,参见非专利文献2)。作为进行未授权计算机终端的控制技术,还公开了使用计算机终端的地址信息识别正常终端的技术(例如,参见专利文献1)。
非专利文献1:“病毒跟踪器”产品信息、[在线]、申请人主页、[平成18年2月5日检索]、互联网<URL:http://www.viruschaser.jp/products/product_vc.html>
非专利文献2:内部信息泄漏解决系统“CWAT系统的概要”、[在线]、申请人主页、[平成18年2月5日检索]、互联网<URL:http://www.iwi.co.Jp/product/cwat/cwat_system.html>
专利文献1:特开2004-185498号公报
发明概述
如果使用上述的安全网络内的监视系统,可以防止正常的计算机终端以外的未授权的计算机终端连接到安全网络,且防止在网络内部进行未授权行为。然而,在使用该系统的情况下,如果正常的计算机终端是固定在企业内等的,虽然不容易在安全性方面产生问题,但是在使用可携带的笔记本个人电脑作为正常计算机终端的情况下,产生如下所述的问题。
特别是近年来,为了在营业客户方做演示或在出差时进行操作,多使用可携带的笔记本个人电脑作为业务用计算机。在公司外使用笔记本个人电脑的情况下,如果不连接到网络只单机使用,不会有问题,但是当在外出时连接到网络等时,由于不能构筑公司内的安全网络这样的安全性高的环境,所以不能否定具有许可病毒等未授权程序入侵的可能性。
由此,如果试图将在外出地侵入了未授权程序的笔记本个人电脑连接到公司内的安全网络,该笔记本个人电脑由于被定义成正常的计算机终端将被许可连接,将会许可未授权的程序侵入安全网络内。特别是,未授权的程序不仅在笔记本个人电脑内动作,在对网络进行未授权动作的情况下,将产生深刻的影响。
本发明就是针对这样的课题提出的,目的在于提供防止在外出地等侵入了病毒或间谍软件等的未授权程序的计算机连接到公司内LAN等安全网络的网络连接控制程序、网络连接控制方法以及网络连接控制系统。
为了解决这种课题,本发明是用于防止存储有未授权程序的计算机连接到安全网络的网络连接控制程序,其特征在于,在启动了网络连接处理的计算机中执行:使由存储在上述计算机中的网络连接程序进行的上述网络连接处理停止的步骤;读取与存储在上述计算机中的上述安全网络的连接环境有关的第一环境信息的步骤;读取与存储在上述计算机中的上述计算机上一次动作时的网络连接环境有关的第二环境信息的步骤;对比上述第一环境信息和上述第二环境信息,在第一环境信息与第二环境信息不一致的情况下,判断上述计算机上一次动作的环境是上述安全网络以外的连接环境的步骤;当判断上述计算机上一次动作的环境是上述安全网络以外的连接环境时,启动检测程序的步骤,该检测程序检测从上述计算机或连接到上述计算机的外部存储装置读取的未授权程序是否存储在上述计算机中;在通过上述检测程序没有在上述计算机中检测出未授权程序的情况下,启动由上述网络连接程序进行的上述网络的连接处理的步骤。
此外,本发明也可以是特征在于:在所述计算机中执行:进行下述处理中的至少一个处理的步骤:在通过所述检测程序在所述计算机中检测出未授权程序的情况下,进行修复所述未授权程序的修复程序的启动处理,或确立与连接到所述安全网络的监视终端的通信并向所述监视终端发出警告信息的处理。
在本发明中,通过预先在计算机中定义公司内LAN等的安全网络的环境信息,并在启动计算机时与上一次动作时存储在计算机中的环境信息进行对比,在判断上一次动作是连接到安全网络以外的情况下,通过防病毒软件等检测程序检测在计算机中是否有病毒等未授权的程序侵入。通过确认检测的结果没有检测出病毒则许可连接到网络,在连接于安全网络以外的网络的计算机中,可以保障仅确认了没有侵入病毒等的计算机连接到安全网络。
此外,在检测结果检测出病毒等的情况下,通过进行病毒的驱除等的修复处理或向监视安全网络的监视终端发送警告的处理,可以防止连接于安全网络以外的网络且侵入了病毒等的计算机以原来的状态连接于安全网络。
本发明也可以具有以下特征:在上述计算机中执行:在进行仅可能与连接于所述安全网络的监视终端通信的所述网络的连接但没有与所述监视终端通信的情况下,判断所述网络不是所述安全网络的步骤;当判断所述网络不是所述安全网络时,启动由所述网络连接程序进行的所述网络的连接处理的步骤。
由此,在启动计算机时,通过在网络之间仅许可与连接于安全网络的监视终端的通信,如果可以确立与监视终端的通信、不能确立与安全网络的连接,则可以判断是与其他网络的连接。在判断连接于其他网络的情况下,由于不是安全网络所以不进行病毒检测等,就可以迅速地许可连接。
还有,本发明也可以具有以下特征:在上述计算机中执行:进行为了收集与上述网络连接环境有关的第三环境信息的上述网络的连接并获取上述第三环境信息的步骤;将上述第二环境信息与第三环境信息对比,在上述第二环境信息与上述第三环境信息一致的情况下,判断可以将上述计算机与上述网络连接的步骤;当判断可以将上述计算机与上述网络连接时,启动由上述网络连接程序进行的上述网络的连接处理的步骤。
由此,在启动计算机时,通过仅许可为了在网络之间收集网络连接环境的必要的通信,如果连接环境与上一次动作时的环境相同,至少可以确认上一次不是连接于外部网络的计算机连接到公司内安全网络的情况。在判断网络连接环境没有变化的情况下,由于不是上一次连接于外部网络的计算机连接到安全网络的状态,所以可以不进行病毒检查等而迅速地许可连接。还有,在该模式中,两者不一致的情况下执行的动作并不是特别限定的,例如也可以设定成如果第三连接环境不是公司内的安全网络,迅速地许可连接。
还有,本发明可以具有以下特征:在启动上述检测程序的步骤中,不执行如下步骤:获取从上述计算机或连接于上述计算机的外部存储装置读取的与上述检测程序的更新时间或版本有关的信息,在与上述更新时间或版本有关的信息不符合认定上述检测程序为最新程序的规定条件的情况下,执行与上述网络的连接处理。
为了使本发明中使用的防病毒软件等的检测程序有效地动作,需要含有与最新的病毒等对应的定义。可以通过检测程序是否是最新的、是否是在规定的时间内进行的更新以及是否是最新的版本等进行判断,在无论通过何种方法没有更新为最新版本的情况下不进行网络的连接处理。
还有,根据本发明的网络连接控制程序进行的网络连接控制方法,其用于防止存储有未授权程序的计算机连接到安全网络,其特征在于,包括如下步骤:启动了网络连接处理的计算机使通过存储在上述计算机的网络连接程序进行的上述网络连接处理停止的步骤;上述计算机读取与存储在上述计算机中的上述安全网络的连接环境有关的第一环境信息的步骤;上述计算机读取存储在上述计算机的与上述计算机上一次动作时的网络连接环境有关的第二环境信息的步骤;上述计算机将上述第一环境信息与上述第二环境信息对比,在第一环境信息与上述第二环境不一致的情况下,判断上述计算机上一次动作的环境是上述安全网络以外的连接环境的步骤;当判断上述计算机上一次的动作环境是上述安全网络以外的连接环境时,上述计算机启动在从上述计算机或连接于上述计算机的外部存储装置读取的、检测上述计算机中是否存储了未授权程序的检测程序的步骤;在通过上述检测程序在上述计算机中未检测出未授权程序的情况下,上述计算机启动由上述网络连接程序进行的上述网络的连接处理的步骤。
此外,根据本发明的网络连接控制方法,可以具有以下特征,具有如下步骤:在通过上述检测程序在上述计算机中检测出未授权程序的情况下,上述计算机进行修复上述未授权程序的修复程序的启动处理或确立与连接于上述安全网络的监视终端之间的通信,并向上述监视终端发送警告网页的处理中的至少一个处理。
还有,根据本发明的网络连接控制方法,也可以具有以下特征,具有如下步骤:在进行仅可以与连接于上述安全网络的监视终端通信的上述网络的连接,但没有与上述监视终端进行通信的情况下,上述计算机判断上述网络不是上述安全网络的步骤;当判断上述网络不是上述安全网络时,上述计算机启动由上述网络连接程序进行的上述网络的连接处理的步骤。
还有,根据本发明的网络连接的控制方法,可以具有以下特征,具有如下步骤:上述计算机进行为了收集与上述网络连接环境有关的第三环境信息的上述网络的连接并获取上述第三环境信息的步骤;上述计算机将上述第二环境信息与第三环境信息对比,在上述第二环境信息与上述第三环境信息一致的情况下,判断可以将上述计算机与上述网络连接的步骤;当判断可以将上述计算机与上述网络连接时,上述计算机启动通过上述网络连接程序进行连接于上述网络的处理的步骤。
还有,根据本发明的网络连接控制方法,可以具有以下特征,在启动上述检测程序的步骤的过程中,没有如下步骤:获取从上述计算机或连接于上述计算机的外部存储装置读取的与上述检测程序的更新时间或版本有关的信息,在与上述更新时间或版本有关的信息不符合认定上述检测程序为最新程序的规定条件的情况下,上述计算机执行连接到上述网络的处理。
还有,存储有根据本发明的网络连接控制程序的网络连接控制系统,其用于防止存储有未授权程序的计算机连接到安全网络,其特征在于,包括:网络连接装置,其执行连接到上述计算机的网络的处理;连接处理停止装置,当启动上述计算机时,其使通过上述网络连接装置进行的上述网络连接处理停止;第一环境信息存储装置,其存储与上述安全网络的连接环境有关的第一环境信息;第二环境信息存储装置,其存储与上述计算机上一次动作时的网络连接环境有关的第二环境信息;环境信息对比装置,其从上述第一环境信息存储装置读取第一环境信息,从上述第二环境信息存储装置读取第二环境信息,对比上述第一环境信息和上述第二环境信息;连接环境判断装置,在上述环境信息对比装置中,当上述第一环境信息与上述第二环境不一致的情况下,其判断上述计算机上一次动作的环境是上述安全网络以外的连接环境;检测程序启动装置,在上述连接环境判断装置中,当判断上述计算机上一次动作的环境是上述安全网络以外的连接环境时,其启动从上述计算机或连接于上述计算机的外部存储装置读取的、检测在上述计算机中是否存储有未授权程序的检测程序;在通过上述检测程序启动装置启动的检测程序没有在上述计算机中检测出未授权程序的情况下,启动通过上述网络连接装置进行的上述网络的连接处理。
此外,根据本发明的网络连接控制系统,也可以具有以下特征:在通过上述检测程序启动装置启动的检测程序在上述计算机中检测出未授权程序的情况下,执行修复上述未授权程序的修复程序的启动处理或确立与连接于上述安全网络的监视终端之间的通信,向上述监视终端发送警告信息的处理中的至少一个处理。
还有,根据本发明的网络连接控制系统,也可以具有以下特征,包括:安全网络判断装置,在进行仅可以与连接于上述安全网络连接的监视终端通信的上述网络的连接,但没有与上述监视终端通信的情况下,上述计算机判断上述网络不是上述安全网络;当通过上述安全网络判断装置判断上述网络不是上述安全网络时,启动由上述网络连接程序进行的上述网络的连接处理。
还有,根据本发明的网络连接控制系统,也可以特征在于,包括:环境信息获取装置,其进行用于收集与上述网络连接环境有关的第三环境信息的上述网络的连接,并获取上述第三环境信息;第二连接环境判断装置,其对比上述第二环境信息与上述第三环境信息,在上述第二环境信息与上述第三环境信息一致的情况下,判断可以将上述计算机连接到上述网络;当通过上述第二连接环境判断装置判断可以将上述计算机连接到上述网络时,启动由上述网络连接装置进行的上述网络的连接处理。
还有,根据本发明的网络连接控制系统,也可以具有以下特征:在上述检测程序启动装置中,获取从上述计算机或连接于上述计算机的外部存储装置读取的上述检测程序的更新时间或版本有关的信息,在与上述更新时间或版本有关的信息与用于认定上述检测程序是最新的程序的规定条件不一致的情况下,不执行由上述网络连接装置进行的上述网络的连接处理。
根据本发明,可以防止在外出地等连接于网络侵入了病毒或间谍软件等未授权程序的计算机连接到公司内LAN等安全网络。结果,在连接到安全网络的计算机中,仅限制于接受了病毒等的检测的计算机,就可以确保安全性。
附图说明
图1是表示本发明涉及的网络连接控制程序的实施例的概要的图。
图2是表示存储有本发明涉及的网络连接控制程序的计算机结构的方框图。
图3是表示在根据本发明的网络连接控制程序中,判断网络连接环境的第一方法的流程的流程图。
图4是表示在根据本发明的网络连接控制程序中,判断网络连接环境的第二方法的流程的流程图。
图5是在表示根据本发明的网络连接控制程序中,判断网络连接环境的第三方法的流程的流程图。
图6是表示在根据本发明的网络连接控制程序中,判断是否连接网络的流程的流程图。
符号说明
10用户终端
11 CPU
12 RAM
13 ROM
14 HDD
141检测控制程序
142防病毒程序
143公司内环境定义文件
144环境信息存储文件
15网卡
16 USB口
20 USB存储器
21防病毒程序
30监视终端
40门电路服务器
具体实施方式
下面,使用附图详细地说明用于实施本发明的最佳实施方式。还有,在以下的说明中的网络的连接停止和恢复方法、与监视终端通信的方法等具体处理顺序仅是本发明实施方式的一个例子,本发明并不仅限定于所涉及的实施方式。
图1是表示本发明所涉及的网络连接控制程序的实施方式的概要的图。图2是表示存储有本发明所涉及的网络连接控制程序的计算机结构的方框图。图3~图5是表示在本发明所涉及的网络连接控制程序中,判断网络连接环境的第一~第三方法的流程的流程图。图6是表示在本发明所涉及的网络连接控制程序中,判断是否连接网络的流程的流程图。
本发明所涉及的网络连接控制程序以如图1的例子所示的形态使用。本发明所涉及的网络连接控制程序存储在许可连接到安全网络即公司内LAN的、笔记本个人电脑等可携带的计算机,即用户终端10中。用户终端10通常被连接到公司内LAN使用。
可携带的用户终端10在营业客户方的演示和出差时的操作中使用,具有在公司外连接到互联网等开放网络的可能性。在公司外连接到网络的情况下,与构筑成安全性高的环境的公司内LAN相比,许可病毒或间谍软件等未授权程序入侵的危险性更高。
当在公司外使用的用户终端10带回到公司时,由于用户终端10本身在公司内LAN中定义为正常的终端,所以当然被许可连接到公司内LAN。然而,在用户终端10感染了病毒等情况下,特别是在被感染的病毒在网络中动作产生不正常影响的情况下,例如即使在门电路服务器30中防止了来自外部网络的未授权的程序的入侵,也可能会侵害内部网络的安全性。
所以,本发明所涉及的网络连接控制程序,在启动了用户终端10的情况下,一旦停止与公司内LAN的连接动作,进行用户终端10的病毒等检测确认没有感染病毒后,再执行与公司内LAN的连接处理。但是,由于对没有带出公司的计算机逐个执行病毒检测等导致效率低且不便,所以可以设定成在连接到网络时确认上一次的连接环境,当确认上一次连接环境是公司内LAN以外的情况下,进行病毒检测。这样,通过对连接到公司内LAN的计算机执行必要的检测作业,可以确保公司内LAN的安全性。
还有,考虑到目的在于确保公司内LAN安全性的情况下,与上一次连接环境如何无关,当用户终端10连接到公司外网络的时候,不必非要进行病毒检测。因此,例如在病毒检测之前到停止网络连接之间设定成仅在进行公司内LAN监视的监视终端30之间进行与公司内LAN沟通的通信,在用户终端10启动时,通过试图与监视终端30通信,判断是否连接到公司内LAN,在判断没有连接到公司内LAN的情况下,也可以设定成不进行病毒检测而许可网络连接。
此外,即使是上一次连接环境是公司外网,在连续连接到公司外网并使用用户终端10的情况下,考虑到目的在于确保公司内LAN安全性的情况下,不是非要进行病毒检测。因此,例如在病毒检测前到停止网络连接之间,设定成仅进行用于收集与网络连接环境有关的信息的必要的通信,在用户终端10启动时,收集连接的网络环境信息,在确认与上一次连接环境不同的情况下,也可以设定成不进行病毒检测而许可网络连接。
在上述任意一种模式中,在病毒等检测时虽然可以使用固定在用户终端10中的防病毒软件,但是为了将固定在计算机中的防病毒软件更新为最新状态,由于需要与网络连接,优选使用存储有升级为最新定义的防病毒软件的外部存储介质。外部存储介质的种类虽然没有特别限定,但是优选使用可以自动启动防病毒软件的USB存储器20。
在图2中,在存储有本发明所涉及的网络连接控制程序的笔记本个人电脑等用户终端10包括CPU11、RAM12、ROM13、HDD14、网卡15以及USB口16。在USB口16可以连接存储有防病毒程序21的USB存储器20。在HDD14中存储有检测控制程序141、公司内环境定义文件143以及环境信息存储文件144,在没有使用USB存储器20的实施例中也可以在HDD14中存储防病毒程序142。
为了通过存储在HDD14中的检测控制程序141等应用程序执行规定的处理,启动存储在ROM13中的用于输入控制和输出控制等硬件控制的各种基本程序,并使RAM12具有应用程序的工作区域的功能,通过CPU11进行演算处理。
当启动用户终端10时,读取操作系统,对于通常的处理,通过网络驱动器进行网卡15的初始化,并进行与公司内LAN的连接,在本发明中,通过网络驱动器或检测控制程序141的动作,停止网络的连接处理。还有,网络连接的停止处理除了通过驱动级进行的方法外,也可以在网卡15的BIOS等中安装执行停止处理的程序,并通过硬件级进行。
当停止与网络的连接处理时,进行用户终端10上一次动作时的网络连接环境的确认。与许可用户终端10连接的公司内LAN的连接环境相关的信息作为公司内环境定义文件143存储在HDD14中。另一方面,与用户终端10上一次动作时的网络连接环境相关的信息作为环境信息存储文件144存储在操作系统的登记或HDD14中。
通过检测控制程序141执行的与网络连接环境的确认如下进行。从登记值或环境信息存储文件144读取上一次动作时与网络连接环境相关的信息,从公司内环境定义文件143读取与公司内LAN连接环境相关的信息,通过将两者对比判断用户终端10上一次动作时的连接环境是否是公司内LAN。在两者一致的情况下,判断上次动作时连接的环境是公司内LAN。
如果上一次动作时连接环境是公司内LAN,由于确认了是在安全性高的环境中使用的,进行网络连接的恢复处理。网络连接的恢复处理的方法虽然没有特别的限定,例如可以模拟地传送对操作系统追加新的网卡,也可以通过标记和运行功能对网卡15进行通常的初始化处理,也可以通过滤波驱动阻碍向网卡15的信息传送,通过解除该阻碍来执行网络连接。
还有,判断网络是否连接的方法并不局限于上述方法,与上一次连接环境如何无关,如果可以确认用户终端10连接到公司外网络时,可以许可网络连接。对于此种情况,也可以设定成仅在停止网络连接期间,通过公司内LAN根据检测控制程序141进行公司内LAN监视的监视终端30之间的通信,也可以设定成在用户终端10启动时通过试着与监视终端30通信判断是否连接到公司内LAN,在判断没有连接到公司内LAN的情况下,许可网络连接。
此外,如果确认是与用户终端10上一次动作时相同的连接环境,由于知道不是在连接到外部网络后又连接到公司内LAN的情况,所以也可以许可网络连接。在该情况下,可以设定成仅在停止网络连接期间进行用于通过检测控制程序141收集与网络连接环境相关的信息的必要的通信,也可以设定成在用户终端10启动时收集连接的网络环境信息,在判断从登记值或环境信息存储文件144读取的上一次动作时的与网络连接环境有关的信息是相同环境的情况下,许可网络连接。
在上述任何一种情况下,在判断不符合可以迅速地许可网络连接的情况下,为了检测在用户终端10是否有侵入病毒或间谍软件等未授权程序,通过防病毒软件等进行检测。
例如,通过检测控制程序141的动作,显示要求存储有更新为最新状态的防病毒程序21的USB存储器20的画面,且用户将USB存储器20插入到USB口16。通过USB存储器20的动作,防病毒程序21自动启动,进行用户终端10的病毒检测。
存储有防病毒程序21的存储介质并不局限于USB存储器20,也可以使用软盘或CD-ROM等。但是在不能通过USB存储器自动启动的情况下,需要要求用户本人点击执行文件等的操作。
此外,病毒等的检测也可以通过读取存储在HDD14中的防病毒程序142进行。但是,为了事先将防病毒程序142更新为最新状态,由于需要连接网络并访问更新用的服务器,所以需要想办法进行反映最新定义的检测。为此,例如,在从记录在防病毒程序142的上一次更新时刻开始经过的时间为规定时间内的情况下,可以判断最新定义,也可以判断来自记录在防病毒程序142的网页信息是否是最新的。在没有更新为最新状态的情况下,不进行网络连接的恢复处理或仅许可与用于进行更新的服务器之间的通信,并进行更新,将最新的定义反映在防病毒程序142中。防病毒程序142的更新也可以不经过网络连接而通过连接软盘等外部存储介质来进行。
在读取防病毒程序21或142并进行用户终端10的检测的结果,没有发现病毒等情况下,通过检测控制程序141迅速启动网络连接的恢复处理。虽然网络连接的恢复方法与在先说明的方法相同,但是也可以在结束了病毒等检测后,由检测控制程序141直接检测,也可以是防病毒程序21或142在登记中写入检测结束时刻等,检测控制程序141实时监视登记检测出检测结束。进行网络连接的恢复也可以通过检测控制程序141的动作将警告发送到监视终端30。
另一方面,在防病毒程序21或142的检测结果中发现病毒的情况下,迅速地对被发现病毒等进行修复。但是,在判断为不能修复的病毒等情况下,为了确保公司内LAN的安全性,不能进行网络连接的恢复处理。
在进行病毒等修复的情况下,通过检测控制程序141进行与公司内LAN的连接的恢复处理。网络连接的恢复方法虽然与在先说明的方法相同,但是也可以在病毒等修复结束后通过检测控制程序141直接检测出来,也可以是防病毒程序21或142将病毒修复时刻等写入登记中,检测控制程序141实时监视登记并检测出病毒等的修复。在修复病毒等后进行网络连接的恢复的情况下,优选发出用于通知通过检测控制程序141的动作在监视终端30中发现病毒和所发现的病毒种类等的警告。
使用图3的流程图,说明在本发明所涉及的网络连接控制程序中判断网络连接环境的第一实施例的流程。还有,在以下的流程中,存储有连接环境信息的区域等并不是特别限定的,通过驱动级进行用于网络连接的停止或恢复的具体处理,或通过硬件进行等,也并没有特别限定。
启动计算机(S01),读取操作系统(S02),在操作系统的动作中,用于网络连接的动作直接进行停止处理(S03)。接下来,从操作系统的登记中获取与计算机上一次动作时的网络连接环境有关的信息,即环境信息(A)。而且,从定义了公司内网络环境的文件获取与公司内LAN等通常连接环境有关的信息,即环境信息(B)(S05)。
这里,对比环境信息(A)和环境信息(B)是否一致(S06),在两者一致的情况下,判断是在连接到公司内LAN环境下继续使用的计算机,进行网络连接的恢复处理(S07),结束网络连接控制涉及的处理。在两者不一致的情况下,进行病毒等的检测并转移到判断是否连接到网络的处理。
使用图4的流程图,说明在本发明所涉及的网络连接控制程序中判断网络连接环境的第二实施例的流程。在以下的流程中,存储有连接环境信息的区域和用于网络连接停止和恢复的具体处理同样没有特别的限定。
启动计算机(S11),读取操作系统(S12),在操作系统的动作中,除了与监视终端通信,进行直接停止用于连接网络的动作的处理(S13)。对于监视终端,尝试与公司内网络通信的连接,通过连接与否判断计算机的连接环境是否是公司内网络(S14)。
在不进行与监视终端的通信且判断不是公司内网络的情况下,由于如果是公司外网的连接不必进行检测,进行网络连接的恢复处理(S18),结束网络连接控制涉及的处理。另一方面,在判断是公司内网络的情况下,从操作系统的登记获取与计算机上一次动作时的网络连接环境有关的信息,即环境信息(A)(S15)。而且,从定义了公司内网络环境的文件获取与公司内LAN等通常连接环境有关的信息,即环境信息(B)(S16)。
接下来,对比环境信息(A)和环境信息(B)是否一致(S17),在两者一致的情况下,判断是在连接到公司内LAN环境下继续使用的计算机,进行网络连接的恢复处理(S18),结束网络连接控制涉及的处理。在两者不一致的情况下,进行病毒等的检测并转移到判断是否连接到网络的处理。
使用图5的流程图,说明在本发明所涉及的网络连接控制程序中判断网络连接环境的第三实施例的流程。在以下的流程中,存储有连接环境信息的区域和用于网络连接停止和恢复的具体处理同样没有特别的限定。
启动计算机(S21),读取操作系统(S22),在操作系统的动作中,除了为了收集网络连接环境信息的动作,进行直接停止用于连接网络的动作的处理(S23)。接下来,从操作系统的登记获取与计算机上一次动作时的网络连接环境有关的信息,即环境信息(A)(S24)。并且获取从当时连接中的网络收集的与连接环境有关的信息,即环境信息(C)(S25)。
这里,对比环境信息(A)和环境信息(C)是否一致(S26),在两者一致的情况下,判断是在与上次动作时相同的环境下继续使用的计算机,进行网络连接的恢复处理(S27),并结束网络连接控制涉及的处理。在两者不一致的情况下,判断由于与上次动作时的环境相比发生变化,具有从公司外带回公司内的可能性,所以进行病毒等的检测并转移到判断是否连接到网络的处理。还有,不一致情况下的动作,并不局限于这里的例子,也可以对比环境信息(B)与环境信息(C),在连接环境不是公司内LAN的情况下,进行网络连接的恢复处理。
使用图6的流程图,针对第一~第三实施例中产生判断是否连接到网络的必要性的、通过本发明所涉及的网络连接控制程序对判断流程进行说明。还有,在以下的流程中,是从USB存储器检测出防病毒软件,但存储有防病毒软件的介质并不局限于USB存储器,也可以使用存储在其它外部存储介质或计算机本体中的防病毒软件。此外,检测的对象并不局限于病毒,也可以以间谍软件等其它未授权程序为对象。
当判断由于连接环境信息不一致,需要确认计算机内部中有无病毒等时,为了进行更新到最新状态的防病毒软件的启动,要求插入专用的USB存储器(S31)。在没有检测出USB存储器的情况下(S32),由于没有进行病毒检测,显示警告信息(S38),不进行网络连接的恢复处理。
当检测到USB存储器时(S32),启动从USB存储器读取的防病毒软件(S33),进行病毒检测。在通过检测没有检测出病毒等的情况下(S34),进行网络连接的恢复处理(S37),并结束网络连接控制涉及的处理。
在通过检测检测出病毒等情况下(S34),在检测出的病毒是可修复的情况下(S35),修复病毒(S36),进行网络连接的恢复处理(S37),并根结束网络连接控制涉及的处理。在检测出的病毒是不能修复的情况下(S35),由于没有进行病毒修复,所以显示警告信息(S38),不进行网络连接的恢复处理。
Claims (15)
1. 一种网络连接控制程序,其用于防止存储有未授权程序的计算机连接到安全网络,其特征在于,在启动了网络连接处理的计算机中执行:
使由存储在所述计算机中的网络连接程序进行的所述网络连接处理停止的步骤;
读取与存储在所述计算机中的所述安全网络的连接环境有关的第一环境信息的步骤;
读取与存储在所述计算机中的所述计算机上一次动作时的网络连接环境有关的第二环境信息的步骤;
对比所述第一环境信息和所述第二环境信息,在第一环境信息与第二环境信息不一致的情况下,判断所述计算机上一次动作的环境是所述安全网络以外的连接环境的步骤;
当判断所述计算机上一次动作的环境是所述安全网络以外的连接环境时,启动检测程序的步骤,该检测程序检测从所述计算机或连接到所述计算机的外部存储装置读取的未授权程序是否存储在所述计算机中;
在通过所述检测程序没有在所述计算机中检测出未授权程序的情况下,启动由所述网络连接程序进行的所述网络的连接处理的步骤。
2. 根据权利要求1记载的网络连接控制程序,其特征在于:在所述计算机中执行:进行下述处理中的至少一个处理的步骤:在通过所述检测程序在所述计算机中检测出未授权程序的情况下,进行修复所述未授权程序的修复程序的启动处理,或确立与连接到所述安全网络的监视终端的通信并向所述监视终端发出警告信息的处理。
3. 根据权利要求1或2记载的网络连接控制程序,其特征在于:在所述计算机中执行:
在进行仅可能与连接于所述安全网络的监视终端通信的所述网络的连接但没有与所述监视终端通信的情况下,判断所述网络不是所述安全网络的步骤;
当判断所述网络不是所述安全网络时,启动由所述网络连接程序进行的所述网络的连接处理的步骤。
4. 根据权利要求1或2记载的网络连接控制程序,其特征在于:在上述计算机中执行:
进行为了收集与所述网络连接环境有关的第三环境信息的所述网络的连接并获取所述第三环境信息的步骤;
将所述第二环境信息与第三环境信息对比,在所述第二环境信息与所述第三环境信息一致的情况下,判断可以将所述计算机与所述网络连接的步骤;
当判断可以将所述计算机与所述网络连接时,启动由所述网络连接程序进行的所述网络的连接处理的步骤。
5. 根据权利要求1至4任意一项记载的网络连接控制程序,其特征在于:在启动所述检测程序的步骤中,不执行如下步骤:获取从所述计算机或连接于所述计算机的外部存储装置读取的与所述检测程序的更新时间或版本有关的信息,在与所述更新时间或版本有关的信息不符合认定所述检测程序为最新程序的规定条件的情况下,执行与所述网络的连接处理。
6. 一种网络连接控制方法,其用于防止存储有未授权程序的计算机连接到安全网络,其特征在于,包括如下步骤:
启动了网络连接处理的计算机使通过存储在所述计算机的网络连接程序进行的所述网络连接处理停止的步骤,
所述计算机读取与存储在所述计算机中的所述安全网络的连接环境有关的第一环境信息的步骤,
所述计算机读取存储在所述计算机的与所述计算机上一次动作时的网络连接环境有关的第二环境信息的步骤,
所述计算机将所述第一环境信息与所述第二环境信息对比,在第一环境信息与所述第二环境不一致的情况下,判断所述计算机上一次动作的环境是所述安全网络以外的连接环境的步骤,
当判断所述计算机上一次的动作环境是所述安全网络以外的连接环境时,所述计算机启动从所述计算机或连接于所述计算机的外部存储装置读取的、检测所述计算机中是否存储了未授权程序的检测程序的步骤,
在通过所述检测程序在所述计算机中未检测出未授权程序的情况下,所述计算机启动通过所述网络连接程序进行的所述网络的连接处理的步骤。
7. 根据权利要求6记载的网络连接控制方法,其特征在于,具有如下步骤:
在通过所述检测程序在所述计算机中检测出未授权程序的情况下,所述计算机进行修复所述未授权程序的修复程序的启动处理或确立与连接于所述安全网络的监视终端之间的通信,并向所述监视终端发送警告信息的处理中的至少一个处理。
8. 根据权利要求6或7记载的网络连接控制方法,其特征在于,具有如下步骤:
在进行仅可以与连接于所述安全网络的监视终端通信的所述网络的连接,但没有与所述监视终端进行通信的情况下,所述计算机判断所述网络不是所述安全网络的步骤,
当判断所述网络不是所述安全网络时,所述计算机启动通过所述网络连接程序进行的所述网络的连接处理的步骤。
9. 根据权利要求6或7记载的网络连接的控制方法,其特征在于,具有如下步骤:
所述计算机进行为了收集与所述网络连接环境有关的第三环境信息的所述网络的连接并获取所述第三环境信息的步骤;
所述计算机将所述第二环境信息与第三环境信息对比,在所述第二环境信息与所述第三环境信息一致的情况下,判断可以将所述计算机与所述网络连接的步骤;
当判断可以将所述计算机与所述网络连接时,所述计算机启动通过所述网络连接程序进行连接于所述网络的处理的步骤。
10. 根据权利要求6至9任意一项记载的网络连接控制方法,其特征在于,在启动所述检测程序的步骤中,没有如下步骤:获取从所述计算机或连接于所述计算机的外部存储装置读取的与所述检测程序的更新时间或版本有关的信息,在与所述更新时间或版本有关的信息不符合认定所述检测程序为最新程序的规定条件的情况下,所述计算机执行连接到所述网络的处理。
11. 一种网络连接控制系统,其用于防止存储有未授权程序的计算机连接到安全网络,其特征在于,包括:
网络连接装置,其执行连接到所述计算机的网络的处理,
连接处理停止装置,当启动所述计算机时,其使通过所述网络连接装置进行的所述网络连接处理停止,
第一环境信息存储装置,其存储与所述安全网络的连接环境有关的第一环境信息,
第二环境信息存储装置,其存储与所述计算机上一次动作时的网络连接环境有关的第二环境信息,
环境信息对比装置,其从所述第一环境信息存储装置读取第一环境信息,从所述第二环境信息存储装置读取第二环境信息,对比所述第一环境信息和所述第二环境信息,
连接环境判断装置,在所述环境信息对比装置中,当所述第一环境信息与所述第二环境不一致的情况下,其判断所述计算机上一次动作的环境是所述安全网络以外的连接环境,
检测程序启动装置,在所述连接环境判断装置中,当判断所述计算机上一次动作的环境是所述安全网络以外的连接环境时,其启动从所述计算机或连接于所述计算机的外部存储装置读取的、检测在所述计算机中是否存储有未授权程序的检测程序,
在通过所述检测程序启动装置启动的检测程序没有在所述计算机中检测出未授权程序的情况下,启动通过所述网络连接装置进行的所述网络的连接处理。
12. 根据权利要求11记载的网络连接控制系统,其特征在于:在通过所述检测程序启动装置启动的检测程序在所述计算机中检测出未授权程序的情况下,执行修复所述未授权程序的修复程序的启动处理或确立与连接于所述安全网络的监视终端之间的通信,向所述监视终端发送警告信息的处理中的至少一个处理。
13. 根据权利要求11或12记载的网络连接控制系统,其特征在于,包括
安全网络判断装置,在进行仅可以与连接于所述安全网络连接的监视终端通信的所述网络的连接,但没有与所述监视终端通信的情况下,判断所述网络不是所述安全网络,
当通过所述安全网络判断装置判断所述网络不是所述安全网络时,启动由所述网络连接装置进行的所述网络的连接处理。
14. 根据权利要求11或12记载的网络连接控制程序,其特征在于,包括:
环境信息获取装置,其进行用于收集与所述网络连接环境有关的第三环境信息的所述网络的连接,并获取所述第三环境信息;
第二连接环境判断装置,其对比所述第二环境信息与所述第三环境信息,在所述第二环境信息与所述第三环境信息一致的情况下,判断可以将所述计算机连接到所述网络;
当通过所述第二连接环境判断装置判断可以将所述计算机连接到所述网络时,启动由所述网络连接装置进行的所述网络的连接处理。
15. 根据权利要求11至14任意一项记载的网络连接控制系统,其特征在于:在所述检测程序启动装置中,获取从所述计算机或连接于所述计算机的外部存储装置读取的所述检测程序的更新时间或版本有关的信息,在与所述更新时间或版本有关的信息与用于认定所述检测程序是最新的程序的规定条件不一致的情况下,不执行由所述网络连接装置进行的所述网络的连接处理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP059653/2005 | 2005-03-03 | ||
| JP2005059653 | 2005-03-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101258506A true CN101258506A (zh) | 2008-09-03 |
Family
ID=36940972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800060078A Pending CN101258506A (zh) | 2005-03-03 | 2006-02-06 | 网络连接控制程序、网络连接控制方法以及网络连接控制系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20090055896A1 (zh) |
| EP (1) | EP1862935A1 (zh) |
| JP (1) | JP3900501B2 (zh) |
| CN (1) | CN101258506A (zh) |
| WO (1) | WO2006092931A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104272318A (zh) * | 2012-05-10 | 2015-01-07 | 丰田自动车株式会社 | 软件分发系统、软件分发方法 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8437729B2 (en) * | 2005-05-10 | 2013-05-07 | Mobile Communication Technologies, Llc | Apparatus for and system for enabling a mobile communicator |
| US8312547B1 (en) * | 2008-03-31 | 2012-11-13 | Symantec Corporation | Anti-malware scanning in a portable application virtualized environment |
| JP5305999B2 (ja) * | 2009-03-16 | 2013-10-02 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
| US8826435B1 (en) | 2009-05-28 | 2014-09-02 | Trend Micro Incorporated | Apparatus and methods for protecting removable storage devices from malware infection |
| US8910288B2 (en) | 2010-02-05 | 2014-12-09 | Leidos, Inc | Network managed antivirus appliance |
| JP5573216B2 (ja) * | 2010-02-17 | 2014-08-20 | 富士通株式会社 | ファイル検疫装置およびファイル検疫方法 |
| US20110270952A1 (en) * | 2010-04-30 | 2011-11-03 | Guy Ray | Computer in a dongle |
| US8776219B2 (en) * | 2010-08-27 | 2014-07-08 | Microsoft Corporation | Application selection using current detection intelligence |
| US9026779B2 (en) | 2011-04-12 | 2015-05-05 | Mobile Communication Technologies, Llc | Mobile communicator device including user attentiveness detector |
| US10139900B2 (en) | 2011-04-12 | 2018-11-27 | Mobile Communication Technologies, Llc | Mobile communicator device including user attentiveness detector |
| US9026780B2 (en) | 2011-04-12 | 2015-05-05 | Mobile Communication Technologies, Llc | Mobile communicator device including user attentiveness detector |
| US8995945B2 (en) | 2011-08-30 | 2015-03-31 | Mobile Communication Technologies, Llc | Mobile communicator and system |
| RU2527738C1 (ru) * | 2013-04-24 | 2014-09-10 | Общество с ограниченной ответственностью "НАНО Секьюрити" | Способ обезвреживания вредоносных программ, блокирующих работу пк, с использованием отдельного устройства для активации пользователем процедуры противодействия вредоносному программному обеспечению |
| WO2021250740A1 (en) * | 2020-06-08 | 2021-12-16 | Nec Corporation | Communication device, computing method and computer readable medium |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020199116A1 (en) * | 2001-06-25 | 2002-12-26 | Keith Hoene | System and method for computer network virus exclusion |
| US6892241B2 (en) * | 2001-09-28 | 2005-05-10 | Networks Associates Technology, Inc. | Anti-virus policy enforcement system and method |
| JP3654280B2 (ja) * | 2002-09-27 | 2005-06-02 | ブラザー工業株式会社 | 電子機器、及びプログラム |
| US7461404B2 (en) * | 2002-11-04 | 2008-12-02 | Mazu Networks, Inc. | Detection of unauthorized access in a network |
| JP2004234378A (ja) * | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法 |
| JP2005044021A (ja) * | 2003-07-24 | 2005-02-17 | Hiroto Inoue | ネットワークセキュリティー方法、ネットワークセキュリティープログラム、ネットワークセキュリティーシステム、及び情報管理装置 |
| US7752320B2 (en) * | 2003-11-25 | 2010-07-06 | Avaya Inc. | Method and apparatus for content based authentication for network access |
| US8154987B2 (en) * | 2004-06-09 | 2012-04-10 | Intel Corporation | Self-isolating and self-healing networked devices |
-
2006
- 2006-02-06 WO PCT/JP2006/302011 patent/WO2006092931A1/ja active Application Filing
- 2006-02-06 JP JP2006525968A patent/JP3900501B2/ja active Active
- 2006-02-06 CN CNA2006800060078A patent/CN101258506A/zh active Pending
- 2006-02-06 US US11/817,699 patent/US20090055896A1/en not_active Abandoned
- 2006-02-06 EP EP06713154A patent/EP1862935A1/en not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104272318A (zh) * | 2012-05-10 | 2015-01-07 | 丰田自动车株式会社 | 软件分发系统、软件分发方法 |
| CN104272318B (zh) * | 2012-05-10 | 2016-11-02 | 丰田自动车株式会社 | 软件分发系统、软件分发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2006092931A1 (ja) | 2008-08-07 |
| WO2006092931A1 (ja) | 2006-09-08 |
| JP3900501B2 (ja) | 2007-04-04 |
| US20090055896A1 (en) | 2009-02-26 |
| EP1862935A1 (en) | 2007-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101258506A (zh) | 网络连接控制程序、网络连接控制方法以及网络连接控制系统 | |
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| CN1740945B (zh) | 用于识别出潜在的不需要的软件的方法和系统 | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| US8931100B2 (en) | Disinfection of a file system | |
| WO2017061134A1 (ja) | ログ情報生成装置及び記録媒体並びにログ情報抽出装置及び記録媒体 | |
| US8474040B2 (en) | Environmental imaging | |
| CN107103238A (zh) | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 | |
| US9450980B2 (en) | Automatic malignant code collecting system | |
| EP2573675A1 (en) | External boot device, external boot method, information processing device and network communication system | |
| JP2010267128A (ja) | 解析システム、解析装置、検知方法、解析方法及びプログラム | |
| JP2008257577A (ja) | セキュリティ診断システム、方法およびプログラム | |
| US7660412B1 (en) | Generation of debug information for debugging a network security appliance | |
| US8151073B2 (en) | Security system for computers | |
| JP5478390B2 (ja) | ログ抽出システムおよびプログラム | |
| CN108090352A (zh) | 检测系统及检测方法 | |
| JP4792352B2 (ja) | ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム | |
| JP2012234540A (ja) | 悪性コード検出システム及び悪性コード検出方法 | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| JP2003303114A (ja) | セキュリティ保全システム及びusbキー | |
| CN102110204A (zh) | 用以检验一计算装置的一可执行文件的可移除装置及方法 | |
| JP2010182020A (ja) | 不正検知装置およびプログラム | |
| Weise et al. | Using computer forensics when investigating system attacks | |
| Grammatikakis et al. | System threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1122371 Country of ref document: HK |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080903 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1122371 Country of ref document: HK |