CN104604197B - 确保公共网络上的监控设备的安全的系统和方法 - Google Patents
确保公共网络上的监控设备的安全的系统和方法 Download PDFInfo
- Publication number
- CN104604197B CN104604197B CN201280070338.3A CN201280070338A CN104604197B CN 104604197 B CN104604197 B CN 104604197B CN 201280070338 A CN201280070338 A CN 201280070338A CN 104604197 B CN104604197 B CN 104604197B
- Authority
- CN
- China
- Prior art keywords
- monitor
- safety service
- equipment
- owner
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/18—Delegation of network management function, e.g. customer network management [CNM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5061—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
- H04L41/5064—Customer relationship management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
一种用于确定监控器((140),(150),(160),(180))是否在安全业务(120)中注册的方法。所述方法包括:使用设备搜索引擎执行搜索并找到监控器((140),(150),(160),(180))。随后确定找到的监控器((140),(150),(160),(180))是否在所述安全业务(120)中注册。当所述找到的监控器((140),(150),(160),(180))未在所述安全业务(120)中注册时,自动地联系该未注册的监控器的所有者。
Description
相关申请
本申请要求2011年12月30日递交的美国专利申请No.13/341,486的优先权,针对每个PCT成员国和地区,将其全文通过引用方式并入本文,所述每个PCT成员国和地区允许或者不禁止这种通过引用的方式的并入。
技术领域
本公开涉及一种用于检测并注册附接到公共网络(例如,因特网)的不安全监控设备的系统和方法,并且在某些实施方式中更具体的涉及一种安全业务,所述安全业务周期性地检查注册的监控设备的预定义的安全首选项,如果安全首选项指示其应当进行安全扫描则执行所述安全扫描,以及执行安全首选项所指示的操作。
背景技术
最好的做法可以规定不应该通过因特网直接访问监控设备,但是当网络配置发生错误或者被更改时,便可自由地访问这种设备。当将监控设备有意地直接连接到因特网时,最初可以通过采取措施来保证访问数据和设备操作的安全,但是随着时间的推移,未经训练的用户可能更改设备的配置并且取消这种安全访问。
发明内容
本发明的实施例可以包括相对于最接近的已知技术的一个或更多个下述改进和差别:
·当请求监控器支持的IP业务时,可以在监控器提供的响应中使用制造商和监控器标识符(参见图2A和支持文本);
·安全业务可以使用设备搜索引擎来找到感兴趣的设备(可能通过搜索索引的设备响应中的特定字符串来找到感兴趣的设备),并随后探测每个设备以找到可用于联系拥有所述设备的用户的信息;
·安全业务可以发现可通过公共网络(例如,因特网)公开访问的监控设备,识别这些监控设备的所有者,以及给予所有者具有将他们的监控设备注册到安全业务的能力并指定每个设备的安全首选项;
·安全业务可以对在安全业务中注册的监控设备执行安全扫描,检查如在首选项中定义的特定的安全要素,其中,所述监控设备的所有者定义并保持所述首选项;以及
·监控设备连接到公共网络(例如,因特网)和内部网,其可用作公共网络(例如,因特网)上的客户端和只连接到内部网的其他监控设备之间进行通信的网关(参见图1和讨论监控器160和监控器180的支持文本)。
一个实施例包括一种用于确定监控器是否在安全业务中注册的方法。所述方法包括:使用设备搜索引擎执行搜索并找到监控器。随后确定所述找到的监控器是否在所述安全业务中注册。当找到的监控器当前在所述安全业务中未注册时,自动地联系所述未注册的监控器的所有者。
另一个实施例包括一种用于确定监控器是否在安全业务中注册的方法。所述方法包括:自动地确定是否启用所述监控器的通信端口来与公共网络进行通信。随后,当确定所述通信端口被启用以与所述公共网络通信时,自动地确定是否能够经由所述通信端口实际地访问所述公共网络。当确定能够经由所述通信端口实际地访问所述公共网络时,自动地联系所述安全业务,并向所述安全业务提供足以确定所述监控设备是否在所述安全业务中注册的信息。
另一个实施例包括一种用于确定监控器是否在安全业务中注册的方法。所述方法包括:从监控器接收用于确定所述监控器是否在所述安全业务中注册的请求。随后确定所述监控器是否在所述安全业务设备中注册。当确定所述监控器当前未在所述安全业务中注册时,自动地联系未注册的监控器的所有者。
在另一个实施例中,提供了一种用于对监控器执行安全扫描的方法。所述方法包括:取回在安全业务中注册的监控器的至少一个安全首选项。随后,基于所述安全首选项检查所述注册的监控器。随后基于监控器检查的结果,确定所述注册的监控器是否满足所述安全首选项。
在另一个实施例中,提供了一种安全业务设备,其包括:电子数据存储介质和电子数据处理设备。所述安全业务设备被配置为:使用设备搜索引擎执行搜索并找到监控器。当所述安全业务当前未注册所述找到的监控器时,所述安全业务设备还被配置为自动地联系未注册的监控器的所有者。
另一个实施例包括一种监控设备,包括电子数据存储介质、电子数据处理设备和至少一个通信端口。所述监控设备被配置为:自动地确定是否启用所述通信端口来与公共网络进行通信。当确定所述通信端口能够与所述公共网络通信时,所述监控设备自动地确定是否能够经由所述通信端口实际地访问所述公共网络。另外,当确定能够经由所述通信端口实际地访问所述公共网络时,所述监控设备自动地联系安全业务,并向所述安全业务提供足以确定所述监控设备是否在所述安全业务中注册的信息。
另一个实施例涉及一种安全业务设备,包括电子数据存储介质和电子数据处理设备。所述安全业务设备被配置为:从监控器接收用于确定所述监控器是否在所述安全业务中注册的请求。所述安全业务设备还确定所述监控器是否在所述安全业务设备中注册。当确定所述监控器当前未在所述安全业务设备中注册时,所述安全业务设备自动地联系未注册的监控器的所有者。
另一个实施例涉及一种安全业务设备,包括电子数据存储介质和电子数据处理设备。所述安全业务设备被配置为:取回在安全业务中注册的监控器的至少一个安全首选项。所述安全业务设备还基于所述安全首选项检查所述注册的监控器。所述安全业务设备随后基于监控器检查的结果,确定所述注册的监控器是否满足所述安全首选项。
在整个说明书和权利要求书中,除非上下文另有规定,以下术语采用至少与本文明确相关的含义。以下所标识的含义并不是一定限制术语,只是提供术语的示例性的例子。本文使用的术语“实施例”不是必须指同一个实施例,尽管可能是同一个实施例。另外,“一”、“一个”和“该”的含义包括复数的引用;因此,例如,“实施例”并不限于单个实施例,而是指一个或更多个实施例。类似的,短语“一个实施例”并不一定指同一个实施例,并且不限于单个实施例。如本文所使用的,术语“或”是包括性的“或”操作符,并且除非上下文有明确的规定,术语“或”等同于术语“和/或”。术语“基于”不是排他性的,并且除非上下文有明确的规定,术语“基于”允许基于未描述的其他因素。
本领域技术人员将会理解,前述的简要描述和以下的详细描述是示例性的(即,举例说明)并且是对本发明的解释,但是并不旨在对其限制或者将本发明可获得的优点限制到各种实现方式。另外,应当理解,前述的概述和后面的详细说明都是本发明的某些典型实施例,并且其并不代表也不包含本发明的范围内的所有主题和实施例。因此,本文所提到并且构成本文的一部分的附图示出了本发明的实施例,并且附图与详细说明一起用于解释本发明的实施例的原理。
附图说明
当根据下面结合附图的描述来考虑本发明时,将会理解本发明的某些实施例的方面、特征、优点以及结构和操作,并且所述方面、特征、优点以及结构和操作将会变得更加显而易见,其中,各个附图中相同的参考标记表示相同或者相似的部件,其中:
图1显示了包括本发明的一个实施例的系统的主要部件;
图2A显示了示出安全业务如何可以与设备搜索引擎交互以找到可能直接连接到因特网的监控器的实施例的流程图;
图2B显示了示出监控器为了确定其是否直接连接到因特网,并且如果是,则在安全业务中注册该监控器,而可能采取的步骤的实施例的流程图;
图2C显示了监控器所有者如何可以联系安全业务以在该业务中直接注册监控器的实施例的流程图;以及
图3显示了示出为了检查注册的监控器的当前安全状态,安全业务可以在规则的时间间隔(或者事件驱动的情况下)所采取的步骤的实施例。
具体实施方式
应当理解的是,为了清楚地理解本发明,已经将对本发明的描述简化为示出相关联的元件,同时为了清楚起见,去除了本领域惯用的很多其他要素。本领域技术人员将会认识到其他要素是实现本发明所需要的。然而,因为该要素是本领域公知的,并且因为并不会有助于更好地理解本发明,所以本文未提供对该要素的讨论。
下面将基于示例性的实施例来详细描述本发明。
本发明的一些实施例描述了一种用于检测并注册接入到公共网络(例如,因特网)的不安全的监控设备的系统和方法。尽管下文中的实施例通常指因特网,但是显然所述实施例同等地应用于任何公共网络,并且不仅限于因特网应用。安全业务可以使用设备搜索引擎来搜索用于识别感兴趣的监控设备的特征。可替换的或者另外的,监控设备可以联系安全业务并在该业务中直接注册该监控设备,或者监控设备的所有者可以联系安全业务并注册一个或更多个监控设备。安全业务周期性地(例如,依赖于实施例,以规则的或者不规则的时间间隔)使用设备搜索引擎并试图查找额外的、未注册的监控设备。安全业务还周期性地检查监控设备的预定义的安全首选项,如果安全首选项指示安全业务应当进行安全扫描则执行所述安全扫描,以及执行安全首选项所指示的操作。
图1示出了本发明的一个实施例,其中,系统的主要部件包括接入到同一个公共通信网络(例如,因特网)的监控设备、安全业务、设备搜索引擎。第一监控器140直接连接到广域网(“WAN”)110,其中,连接到WAN 110的其他设备能够使用第一监控器140支持的所有互联网协议(“IP”)端口。另一方面,第一监控器160通过防火墙150连接到WAN 110,所述防火墙150被配置为只允许第二监控器160和连接到WAN110的设备通过指定的IP端口进行通信。第二监控器160还连接到局域网(LAN)170,并且能够与第三监控器180自由地通信。最后,包括安全业务120、监控器代理业务125以及设备搜索业务引擎130的多个业务连接到WAN110。
与设计为对接入到因特网的服务器承载的内容进行索引的内容搜索引擎(例如Google,Http://www.google.com)不同,设备搜索引擎(例如Shodan,http://www.shodanhq.com)被设计为查找接入到因特网的设备以及可用于查找感兴趣的设备的索引元数据。设备搜索引擎130对宽范围的IP地址进行广泛扫描,探测选择的IP端口,并寻找表明已经找到感兴趣的设备的响应中的特定特征。设备搜索引擎130对从通过该广泛扫描行为查找到的设备接收的响应进行存储,并生成允许用户提交对这些存储的响应中的特定要素进行查询的搜索索引。例如,第一监控器140可以是支持用于共享数据和用户交互的HTTP、FTP和Telnet业务的电源监控设备。第一监控器140的IP地址可以不在可能通常由典型的内容搜索引擎索引的网页中公布或者引用,但是当在HTTP、FTP和Telnet端口上探测到该第一监控器140时,设备搜索引擎130的扫描行为会发现第一监控器140的IP地址,并且对来自第一监控器140的响应进行索引。这些响应包括信息(例如,制造商的名称、设备上嵌入的软件的具体版本、存储在设备上的用户输入的字符串(例如,设备的所有者、设备的物理位置、监控器监控的设备或者电路的标识)、设备型号等),所述信息可以包括在为了找到第一监控器140(以及其他类似的设备)而向设备搜索引擎130发出的搜索查询中。
监控系统的最好的做法通常建议不将嵌入式设备直接连接到因特网。然而,如以上所讨论的,组织内的某人将有意地(或者无意地)将嵌入式设备直接连接到因特网是可能的。即使监控设备最初未直接连接到因特网,然而网络配置随着时间的改变将导致设备直接连接到因特网是可能的。为了帮助设备的所有者安全地访问他们的设备,安全业务120应用多种方法来发现并注册可能接入到因特网的监控设备(下面将参考图2和3详细描述)。一旦设备被注册,设备的所有者就指定安全扫描要执行的首选项(如果有的话),以及如果指定的安全扫描确定该设备是可以在因特网上访问的则指定对首选项采取什么行为。在一个实施例中,预定的采取的行为可用于将监控设备配置为禁用特定的业务(例如,HTTP和FTP)并利用监控器代理业务形成加密通信链路。
例如,安全业务120可以发现通过HTTP和FTP可在因特网上访问第一监控器140,并且第一监控器140的所有者首选项可以指定应当仅通过监控器代理业务访问该第一监控器140。在该实施例中,安全业务120随后将第一监控器140配置为禁用它的HTTP和FTP业务,并且指示第一监控器140形成到监控器代理业务125的加密通信链路。希望与第一监控器140通信的用户现在向监控器代理业务125发出他们的请求,监控器代理业务125将所述请求发送给第一监控器140,获得响应并将响应发送给用户。序列号为12/650,640,发明名称为“Power Monitoring System with Proxy Server for Processing and TransformingMessages and Context-Specific Caching”的美国专利申请更加详细地描述了监控器代理的某些方面和优点。
监控系统的最好做法还通常建议将设备设置在防火墙的后面以确保其安全。然而,防火墙被错误的配置并且直接将设备上的特定IP端口连接到因特网是可能的。在这种情况下,如果只能通过因特网访问一部分启用的IP业务,安全业务可以检测到防火墙可能位于因特网和监控设备之间。例如,图1中的第二监控器160可以通过防火墙150连接到WAN110。在该例子中,尽管在第二监控器160上还启用FTP和Telnet业务,但是防火墙150被配置为除了端口80(HTTP业务)之外阻塞所有的IP端口。当安全业务120检测到可以通过HTTP访问WAN 110上的第二监控器160时,安全业务120还探测并确定不能通过FTP和Telnet访问第二监控器160,即使启用了这些业务。在任何情况下,安全业务120都取回第二监控器160的所有者首选项,并执行指定的操作。
继续前面的例子,第二监控器160也通过内部的LAN 170连接到第三监控器180。在该扩展的例子中,尽管防火墙150被配置为允许通过WAN 110对第二监控器160进行HTTP访问,但是防火墙未被配置为允许从WAN 110到第三监控器180的任何通信。一旦安全业务120联系第二监控器160,一个附加特征是将第二监控器160配置为用作第三监控器180的网关,使以受控制的方式连接到WAN 110的授权用户可以使用第三监控器180上的信息的能力。在一个实施例中,第二监控器160的所有者首选项声明其应当被配置为作为接入到LAN 170的其他监控器的网关。安全业务120随后将第二监控器160配置为形成到监控器代理服务器125的加密通信链路,并且通过监控器代理业务125对连接到WAN 110的用户进行验证以访问第二监控器160和第三监控器180上的信息。
图2B-2C中的流程图描述了发现接入到因特网的监控器并在安全业务中注册该监控器的实施例。图2A描述了安全业务如何与设备搜索引擎交互以找到可能直接连接到因特网的监控器的实施例。图2B描述了监控器为了确定其是否直接连接到因特网,并且如果是,则在安全业务中注册该监控器,而可能采取的步骤的实施例。最后,图2C描述了监控器的所有者如何可以联系安全业务以直接在该业务中注册该监控器的实施例。
现在转向图2A,在步骤210,安全业务120使用设备搜索引擎130并执行搜索,以试图找到尚未在安全业务120中注册的监控器。在一个实施例中,监控器有意地在它们为IP业务提供的响应中包括制造商ID和监控器ID,并且安全业务120在由设备搜索引擎130索引的响应中搜索这些制造商ID。在步骤215,如果未找到感兴趣的制造商ID,安全业务120就终止搜索处理;否则,该业务从设备搜索引擎130结果中提取监控器ID(或者对检测到的设备执行单独的查询以得到监控器ID)并继续到步骤220。在步骤220,安全业务120检查与安全业务120相关联的数据库以查看监控器ID是否与已经在所述业务中注册的设备的监控器ID相匹配。该数据库可以存储在安全业务120本身内,或者存储在安全业务120外部并且可以由安全系统120访问该数据库。如果该设备注册,安全业务120则执行后面参考图3描述的步骤。如果该设备没有注册,安全业务120就搜索存储在安全业务120本身内或者存储在安全业务120外部并且可以由安全系统120访问的可用的数据库(例如,销售和客户联系数据库),并且如步骤230所示,试图自动地联系监控器的所有者。例如,安全业务120可以向监控器所有者发送自动电子邮件或者短消息,或者给监控器所有者发出电话呼叫。安全业务120还可以向客户关系管理系统队列增加任务,所述任务指示客户业务代表联系监控器的所有者。安全业务120随后继续执行图2C描述的步骤。
在备选实施例中,安全业务120搜索属于感兴趣的设备的可能性很高的字符串。最为例子,可以由设备搜索引擎130捕获并索引下面的来自监控器的HTTP首部响应的例子:
HTTP:/1.0.401未授权
WWW-认证:基本范围(Basic realm)=“8600ION”
内容类型:文本/html
服务器:Allegro-软件-Romoager/3.10
在该例子中,HTTP首部响应包括设备类型,并且安全业务120能够搜索字符串“8600ION”以查找设备搜索引擎130发现的所有这些设备。设备搜索引擎130的搜索结果将还包括每个发现的设备的IP地址,安全业务120可以使用所述IP地址进一步探测发现的设备。为了确定监控器ID,安全业务120可以向监控器发送请求以检索设备搜索引擎130未捕获的数据。作为例子,一旦安全业务120已经发现监控器,它就通过HTTP向监控器网页发送请求,并解析网页以得到监控器序列号。
在图2B中,在步骤240,监控器开始确定是否可以通过因特网对其进行访问的处理,如果是,则在安全业务120中注册该监控器。在步骤245,监控器首先检查能够进行因特网通信的所有通信端口以查看它们是否可用。在步骤250,如果没有这样的端口可用,则处理结束,但是如果至少一个这种通信端口可用,则处理继续到步骤255。在步骤255,检查器检查其是否能够联系因特网上的业务。可以通过使用常见的IP应用(例如,HTTP或者ping)并试图联系可能会启动并运行的预定的业务(例如,谷歌主页)来完成该检查。可选的,安全业务120可以特别地保持子业务,以便监控器可试图确定它们的因特网连接状态。在步骤260,如果监控器确定它确实访问了因特网业务,监控器就联系安全业务120并提供它的监控器ID。在步骤265,安全业务120检查与安全业务120相关联的数据库以查看监控器ID是否已经注册。如果设备已注册,安全业务120就执行图3描述的步骤。如果设备没有注册,安全业务120就搜索其他可用的数据库(例如,销售和客户联系数据库),并且如步骤270所示,试图联系监控器的所有者。例如,安全业务120可以向监控器飞所有者发送自动电子邮件或者短消息,或者给监控器的所有者发出电话呼叫。安全业务120还可以向客户关系管理系统队列增加任务,所述任务指示客户业务代表联系监控器的所有者。安全业务120随后继续执行图2C描述的步骤。
在可选的实施例中,在执行上述步骤之前,必须使监控器的设置可用。该设置允许监控器的所有者可明确地选择进入到监控器自注册处理-在这种情况下,监控器将成为制造商出厂时的监控器,其中将该设置默认为禁用。
在图2C中,在步骤280,“设备所有者”开始在安全业务120中注册的进程。在步骤285,安全业务120收集用户的联系信息,并且该联系信息可以包括典型的联系信息(地址、电话号码、电子邮件、公司名称、多个监控器的所有者的联系人的名字(包括他们的职称)、监控器的所有者所在位置(特别是那些可能具有监控器的位置)的地址等)以及其他客户ID(销售订单ID、客户关系管理数据库ID等),所述其他客户ID将所有者与正在注册的监控器联系起来。该联系信息使安全业务120更容易地将新检测到的监控器ID与它们的所有者匹配。
术语“设备所有者”、“所有者”以及类似的表述是广义的术语,其包括与设备相关联的各种人以及位于安全系统侧与这些人相对的人。就这方面而言,扮演不同角色的多个不同的用户可以负责对设备的管理。作为例子,工程管理者可以制定将一个或更多个设备安装到现场的顺序,但是独立制造商代表可能被列为制造商的客户关系管理(“CRM”)数据库中的联系人。此外,一旦将设备安装到客户现场,可能会让现场的IT管理者负责管理设备的安全,而工程管理者(使用来自设备的数据的人)可能更喜欢让IT管理者负责管理设备的安全首选项并接收警报。因此,术语“设备所有者”、“所有者”以及类似的表述意在指所有的这些人,以及位于“设备侧”的可能参与管理所述设备的其他人、与这些人相对的“安全系统侧”的人。因此,术语“设备所有者”、“所有者”以及类似的表述并非严格的限于设备的精确合法所有者。
在步骤290,设备所有者在安全业务120中注册一个或更多个监控器。所有者可以通过简单地提供监控器ID来执行该注册操作,其中安全业务120可以可选的与其他可用的信息(例如,销售订单)进行匹配,以有助于保证注册的监控器ID与属于所有者的监控器相关联。另外,设备所有者可以指定,应当主动注册安全业务120检测到属于该所有者的所有新的监控器。
在步骤295,设备所有者确定在安全业务120注册的监控器的安全首选项。举例来说,这些首选项可以包括在安全业务端口上执行的下述操作:
·启用或者禁用安全扫描;
·指定执行哪些安全扫描;
·指定什么时候执行安全扫描(事件驱动和/或特定的时间间隔);
·启用或者禁用监控器的IP地址;
·是否连接到特定的监控器代理业务;
·是否用作同一LAN上的其他监控器的网关;
·当发现监控器未满足它配置的安全首选项时联系谁;以及
·当检测到新的监控器时联系谁。
为了能够轻松地管理安全首选项,可以将一组选择的首选项组合为可选的首选项模板,并且模板可以与监控器相关联。可选的,可以定义应用到与所有者相关联的所有监控器的安全首选项的全局模板。可选的,可以定义应用到安全业务检测到的新监控器的默认模板。
一旦监控器在安全业务120中注册,图3描述了为了检查注册的监控器的当前安全状态,安全业务120以规则的时间间隔(或者事件驱动的情况下)采取的步骤。可以在安全首选项中为每个注册的监控器指定时间间隔和/或事件条件。在一个例子中,可以规定安全业务每周对选择的注册的监控器执行一次安全扫描。在另一个例子中,可以规定当发生特定的事件时(例如,当监控器首次在安全业务中注册时)执行安全扫描。在另一个例子中,可以规定安全业务对与新发现/注册的监控器的IP地址类似的IP地址子集内的另外的设备进行扫描。触发安全扫描的事件的另一个例子可以是来自设备所有者的特别要求。该事件的另一个例子可以是发现设备固件(或者一个或多个设备模型的一系列固件)的特定版本中的漏洞,或者发现采用了所述设备固件的特定版本,该事件激励所述业务对连接到公共网络并且暴露在公共网络上的这种设备进行扫描。
在步骤310,安全业务120为注册的监控器选择监控器ID,并且在步骤315,取回选择的监控器的安全首选项。在步骤320,如果安全首选项表明不应当对选择的监控器执行安全扫描,则结束处理。否则,如果启用了安全扫描,则安全业务120进入到步骤325并执行在安全首选项中定义的扫描。举例来说,定义的安全扫描操作可以包括以下内容:
·试图使用特定的IP业务(例如,HTTP、FTP、HTTPS、SFTP、SMTP、SNMP、SSH、WebDAV、NDP、Modus TCP、Telnet等)来访问监控器;以及
·如果启用了用户认证,则检查是否使用了默认证书。
在步骤330,安全业务120将安全扫描的结果与安全首选项定义的期望的性能进行比较,并执行这些首选项所指定的操作。在一个例子中,安全首选项可以表明应当通过因特网防问监控器140上的HTTP业务,但是不应当激活默认用户证书,并且不应当启用其他IP业务。如果安全业务120对监控器140执行安全扫描,并且发现启用了FTP以及使用了默认用户证书,安全首选项就可以指示该业务(a)禁用FTP;以及(b)与所有者的组织内的IT管理者联系并通知该IT管理者所有者默认用户证书正处于使用之中。“用户证书”的一个例子是登陆与密码的组合。术语“默认用户证书”还包括监控器出厂时的默认访问方式,例如,包括用户名为“guest”,密码为“0”的默认账户,或者未公开提供的隐藏账户(例如,用户名为“factory”,密码为“secret”的账户)。除了传统的用户名和密码的组合之外,“用户证书”还可以是数字密钥(例如,在公共密钥密码学中使用的那些密钥)。
可以在被配置为执行以上所描述的相关步骤的典型的计算机系统中体现以上所描述的安全业务。例如,可以在由安全业务计算机访问的计算机程序中体现所述步骤。安全业务还可以包括控制器、固件、存储器和通信接口。
类似的,也可以在被配置为执行以上所描述的相关步骤的典型的计算机系统中体现以上所描述的监控器。例如,可以在由监控器访问的计算机程序中体现所述步骤。另外,监控器可以是耦合到电力分配系统的电力监控系统,所述电力分配系统感测表示所述电力分配系统的操作特性(例如,电压、电流、波形失真、功率等)的存储数据。用户可以对这些数据进行分析以估计电势性能和与质量相关联的问题。监控器的一个具体的例子是PowerLogic ION 7650(更多细节在http://www.powerlogic.com/product.cfm/c_id/1/sc_id/2/p_id/2)。其他相关联的监控器设备包括断路器跳闸单元、保护继电器以及嵌入式通信网关服务器。一般来说,可以将监控器描述为耦合到公共网和电力分配系统并执行本文所描述的方法的设备。监控设备可以包括控制器、固件、存储器、通信接口以及将监控器连接到电力分配系统的电源线导体的连接器。固件通常包括指示控制器执行监控设备要求的操作的机器指令,以及存储器存储由监控设备测量的电气参数数据。
作为以上所描述的设备和方法的结果,安全业务也为可以被配置为:自动找到未注册的监控器、注册监控器并将监控器配置为符合当前的安全首选项,从而不需要在安全业务侧关于这些任务进行人工交互。类似的,监控器可以被配置为自动地检查其是否在安全业务中注册,从而不需要在监控器侧关于这些任务进行人工交互。
已经示出并描述了本发明的具体实施例,本发明的实施例仅示出了本发明的原理,并不旨在排除或者限制其他实施例。因此,尽管以上对本发明的示例性的实施例的描述以及各种示例性的修改和其中的特征提供了很多特殊性,但是不应当将这些可能的细节解释为对本发明的范围的限制,并且本领域技术人员将会容易地理解,在不背离本发明的范围以及不消除附带的优点的情况下,易于对本发明作出很多修改、修正、变化、省略、增加以及等效地实现。例如,除了处理本身固有的或者必要的范围之外,本公开(当然包括附图)描述的方法或者处理没有特定的顺序、步骤或者阶段。在很多情况下,在不改变描述的方法的目的、效果或者意思的情况下,可以改变处理步骤的顺序,并且可以合并、改变或者省略各种示例性的步骤。需要还指出的是,术语和表述已经被用作描述的术语,而不是对术语的限制。我们无意使用术语或者表述来排除描述和示出的任何等价的特征或者其中的一部分。另外,在无需提供本文描述的一个或更多个优点或者鉴于对本发明的理解的情况下,可以实施本发明,和/或可以在本发明的某些实施例中实施本发明。因此,并不是要将本发明限制到公开的实施例,而是应该根据下述的权利要求书来限定本发明的范围。
Claims (12)
1.一种用于确定监控器是否在安全业务中注册的方法,所述方法包括:
通过设备搜索引擎来扫描一个或更多个因特网协议地址;
通过所述设备搜索引擎来探测与所述一个或更多个因特网协议地址中的因特网协议地址相关联的至少一个端口;
通过所述安全业务向所述设备搜索引擎提供搜索查询;
通过所述设备搜索引擎、基于所述搜索查询来识别与所述至少一个端口相关联的监控器;
通过所述设备搜索引擎提供搜索索引,所述搜索索引具有根据所述搜索查询而搜索的、与所述设备搜索引擎接收的信息相对应的数据元素;
确定所述监控器是否在所述安全业务中注册;以及
当所述监控器未在所述安全业务中注册时,自动地联系所述监控器的所有者。
2.根据权利要求1所述的方法,其中,所述确定步骤包括:将所述监控器的制造商ID与预定的制造商ID列表进行比较。
3.根据权利要求2所述的方法,其中,所述确定步骤还包括:当所述监控器的制造商ID与所述预定的制造商ID列表中的制造商ID相匹配时,将所述监控器的监控器ID与预定的监控器ID列表进行比较;
其中,当所述监控器的监控器ID与预定的监控器ID列表中的监控器ID相匹配时,确定所述监控器在所述安全业务中注册;以及
其中,当所述监控器的监控器ID与预定的监控器ID列表中的任何监控器ID都不匹配时,确定所述监控器未在所述安全业务中注册。
4.根据权利要求1所述的方法,其中,所述安全业务通过下述的至少一种方式自动地联系所述监控器的所有者:
向所述监控器的所有者发送自动电子邮件;
给所述监控器的所有者发出电话呼叫;
向所述监控器的所有者发送文本消息;以及
向客户关系管理系统队列增加任务,所述任务指示客户业务代表联系所述监控器的所有者。
5.根据权利要求1所述的方法,还包括:
当接收到所述监控器的所有者对所述监控器进行注册的指令时,自动地将所述监控器注册在所述安全业务中。
6.根据权利要求1所述的方法,其中,从包括以下的组中选择所述监控器的所有者:工程管理者、独立制造商代表、与所述监控器相关联的客户关系管理数据库中的联系人、以及IT管理者。
7.一种安全业务设备,包括:
电子数据存储介质;以及
电子数据处理设备;
其中,所述安全业务设备被配置为:
生成包括第一设备识别信息的搜索查询;
向设备搜索引擎提供所述搜索查询;
从所述设备搜索引擎提供的设备搜索引擎结果中提取第二设备识别信息;
检查与所述安全业务设备相关联的数据库,以查看第二设备识别信息是否与和在所述安全业务设备中注册的至少一个监控器相关联的信息匹配;以及
响应于识别所述至少一个监控器未在所述安全业务设备中注册,自动地联系所述至少一个监控器的所有者。
8.根据权利要求7所述的安全业务设备,其中,所述第一设备识别信息包括所述至少一个监控器的制造商ID,以及所述搜索查询包括预定的制造商ID列表。
9.根据权利要求8所述的安全业务设备,其中,所述安全业务设备还被配置使得:当所述至少一个监控器的制造商ID与所述预定的制造商ID列表中的制造商ID相匹配时,所述安全业务设备将所述至少一个监控器的监控器ID与预定的监控器ID列表进行比较;
其中,如果所述至少一个监控器的监控器ID与所述预定的监控器ID列表中的监控器ID相匹配,则所述安全业务设备确定所述至少一个监控器在所述安全业务中注册;
其中,如果所述至少一个监控器的监控器ID与所述预定的监控器ID列表中的任何监控器ID都不匹配,则所述安全业务设备确定所述至少一个监控器未在所述安全业务设备中注册;以及
其中,所述第二设备识别信息包括所述至少一个监控器的监控器ID。
10.根据权利要求7所述的安全业务设备,其中,所述安全业务设备通过下述的至少一种方式自动地联系所述至少一个监控器的所有者:
向所述至少一个监控器的所有者发送自动电子邮件;
给所述至少一个监控器的所有者发出电话呼叫;
向所述至少一个监控器的所有者发送文本消息;以及
向客户关系管理系统队列增加任务,所述任务指示客户业务代表联系所述监控器的所有者。
11.根据权利要求7所述的安全业务设备,其中,所述安全业务设备还被配置使得:在接收到所述至少一个监控器的所有者对所述至少一个监控器进行注册的指令时,所述安全业务设备自动地注册所述至少一个监控器。
12.根据权利要求7所述的安全业务设备,其中,从包括以下的组中选择所述至少一个监控器的所有者:工程管理者、独立制造商代表、与所述至少一个监控器相关联的客户关系管理数据库中的联系人、以及IT管理者。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/341,486 US9479536B2 (en) | 2011-12-30 | 2011-12-30 | System and method of securing monitoring devices on a public network |
US13/341,486 | 2011-12-30 | ||
PCT/US2012/072122 WO2013102112A2 (en) | 2011-12-30 | 2012-12-28 | System and method of securing monitoring devices on a public network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104604197A CN104604197A (zh) | 2015-05-06 |
CN104604197B true CN104604197B (zh) | 2018-03-30 |
Family
ID=47553490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280070338.3A Active CN104604197B (zh) | 2011-12-30 | 2012-12-28 | 确保公共网络上的监控设备的安全的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9479536B2 (zh) |
EP (1) | EP2798814B1 (zh) |
CN (1) | CN104604197B (zh) |
WO (1) | WO2013102112A2 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11165624B2 (en) * | 2013-02-05 | 2021-11-02 | International Business Machines Corporation | Sentry for information technology system blueprints |
US9529987B2 (en) * | 2014-05-09 | 2016-12-27 | Behaviometrics Ab | Behavioral authentication system using a behavior server for authentication of multiple users based on their behavior |
US10440019B2 (en) * | 2014-05-09 | 2019-10-08 | Behaviometrics Ag | Method, computer program, and system for identifying multiple users based on their behavior |
DE102015224886A1 (de) * | 2015-12-10 | 2017-06-29 | Siemens Aktiengesellschaft | Vermeidung von Schwachstellen |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101094394A (zh) * | 2007-07-17 | 2007-12-26 | 中国科学院软件研究所 | 一种保证视频数据安全传输的方法及视频监控系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8230480B2 (en) | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
JP4266957B2 (ja) * | 2005-06-03 | 2009-05-27 | キヤノン株式会社 | 集中監視システム及びその制御方法、並びに、ホスト装置及びその制御方法 |
US20070005738A1 (en) | 2005-06-29 | 2007-01-04 | Microsoft Corporation | Automated remote scanning of a network for managed and unmanaged devices |
JP4774929B2 (ja) * | 2005-11-07 | 2011-09-21 | 富士通株式会社 | 監視装置、監視システム |
US20070180109A1 (en) * | 2006-01-27 | 2007-08-02 | Accenture Global Services Gmbh | Cloaked Device Scan |
JP4348558B2 (ja) * | 2006-03-30 | 2009-10-21 | ブラザー工業株式会社 | コードレス電話システム |
WO2008039481A1 (en) * | 2006-09-25 | 2008-04-03 | Yoics | System, method and computer program product for identifying, configuring and accessing a device on a network |
US8447843B2 (en) * | 2006-09-25 | 2013-05-21 | Yoics, Inc. | System, method and computer program product for identifying, configuring and accessing a device on a network |
JP4869050B2 (ja) * | 2006-12-11 | 2012-02-01 | キヤノン株式会社 | 管理装置及び管理方法 |
US20090113481A1 (en) * | 2007-10-24 | 2009-04-30 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products for providing presence based services |
JP5531692B2 (ja) | 2010-03-17 | 2014-06-25 | 株式会社リコー | 機器管理装置、機器管理システム、情報管理方法、情報管理プログラム、及びそのプログラムを記録した記録媒体 |
US8375117B2 (en) | 2010-04-28 | 2013-02-12 | Juniper Networks, Inc. | Using endpoint host checking to classify unmanaged devices in a network and to improve network location awareness |
-
2011
- 2011-12-30 US US13/341,486 patent/US9479536B2/en active Active
-
2012
- 2012-12-28 CN CN201280070338.3A patent/CN104604197B/zh active Active
- 2012-12-28 WO PCT/US2012/072122 patent/WO2013102112A2/en active Application Filing
- 2012-12-28 EP EP12813733.8A patent/EP2798814B1/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101094394A (zh) * | 2007-07-17 | 2007-12-26 | 中国科学院软件研究所 | 一种保证视频数据安全传输的方法及视频监控系统 |
Also Published As
Publication number | Publication date |
---|---|
EP2798814A2 (en) | 2014-11-05 |
US9479536B2 (en) | 2016-10-25 |
US20130174261A1 (en) | 2013-07-04 |
CN104604197A (zh) | 2015-05-06 |
WO2013102112A3 (en) | 2013-08-22 |
WO2013102112A2 (en) | 2013-07-04 |
EP2798814B1 (en) | 2019-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE49089E1 (en) | Security for WAP servers | |
RU2742824C2 (ru) | Системы и способы автоматической детекции устройств | |
US8695027B2 (en) | System and method for application security assessment | |
US9094434B2 (en) | System and method for automated policy audit and remediation management | |
US20110277034A1 (en) | System and method for three-dimensional visualization of vulnerability and asset data | |
EP1352501B1 (en) | Method and apparatus for firewall traversal | |
US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
Siadati et al. | Detecting malicious logins in enterprise networks using visualization | |
US8136029B2 (en) | Method and system for characterising a web site by sampling | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN104604197B (zh) | 确保公共网络上的监控设备的安全的系统和方法 | |
JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
JP2016143320A (ja) | ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム | |
CN113315767A (zh) | 一种电力物联网设备安全检测系统及方法 | |
EP2973192B1 (en) | Online privacy management | |
CN113868669A (zh) | 一种漏洞检测方法及系统 | |
JP2020071637A (ja) | ウェブサイトの脆弱性診断装置、診断システム、診断方法および診断プログラム | |
JP2007179206A (ja) | 情報通信システム、及び、ツールバー提供サーバ、情報提供サーバ、不正サイト検出方法、並びに、ツールバープログラム | |
CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
CN107623916A (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
WO2014059159A2 (en) | Systems and methods for testing and managing defensive network devices | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |