CN105659248A - 通过合规性测试进行自动化的风险跟踪 - Google Patents
通过合规性测试进行自动化的风险跟踪 Download PDFInfo
- Publication number
- CN105659248A CN105659248A CN201480053419.1A CN201480053419A CN105659248A CN 105659248 A CN105659248 A CN 105659248A CN 201480053419 A CN201480053419 A CN 201480053419A CN 105659248 A CN105659248 A CN 105659248A
- Authority
- CN
- China
- Prior art keywords
- compliance
- high value
- test
- script
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Testing Of Devices, Machine Parts, Or Other Structures Thereof (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
合规性测试应用通过合规性测试自动跟踪服务的高价值组件的风险。通过执行一个或多个合规性测试来确定与服务的高价值组件相关联的与安全等级相关联的合规性问题来监视所述高价值组件。安全等级包括认证机构提供的指令集,该认证机构设置与认证服务的安全参数相关联的标准。自我治疗脚本响应于检测到与该一个或多个合规性测试相关联的失败结果来执行。而且,存储与该一个或多个合规性测试和自我治疗脚本相关联的记录。
Description
背景
在生活、数据存储和处理的每个方面中的计算机化的自动化处理的增长已成为处理财务和其它业务的联网系统的主要组件。在这些系统中,数据被从多个源输入、修改或删除。相同数据被以相同或不同格式维护在多个数据存储中,且数据存储必须基于不同存储中的改变来拾取或同步对数据的改变。从简单表格到复杂数据库的各种数据存储在由不同源做出新输入或修改时被维护和同步。所述改变按规则间隔被同步。此外,提供各种服务来实现与数据存储所托管的数据的内部方和外部方的交互性。数据的消费方以及提供方通常需要服务符合安全等级来确保持续的被授权的操作。
维护服务的安全等级对与消费方相关联的持续操作而言是关键的。维护安全等级的失败必须被尽可能快地标识为包含与该失败相关联的任何风险。对失败进行鉴别分类(triage)和向消费方报告失败的速度也对于与所提供的服务相关联的持续可靠性是关键的。
用于标识维护安全等级的失败的传统解决方案涉及从生产组件手动拉取数据并搜索失败。缩放这类解决方案将问题引入到生产环境中。大规模解决方案仅被启用以对服务集采样。如此,与大规模服务集的安全等级相关联的各种失败易于逃脱检测。
概述
提供本发明内容以便以简化的形式介绍将在以下的具体实施方式中进一步描述的一些概念。该概述不意图专门标识所要求保护的主题的关键特征或基本特征,也不意图帮助确定所要求保护的主题的范围。
各实施例涉及通过合规性测试来进行的自动化风险跟踪。合规性测试应用可通过执行一个或多个合规性测试来监视服务的高价值组件。合规性测试可确定与安全等级相关联的高价值组件的合规性问题。可响应于检测到与合规性测试相关联的失败结果而执行自我治疗脚本。此外,可响应于检测与自我治疗脚本相关联的成功结果来存储与自我治疗脚本相关联的事件的记录。
从阅读以下详细描述及查看相关附图后,这些及其他特征和优点将显而易见。应当理解,以上一般描述及以下详细描述两者均是说明性的,而不限制所要求保护的各方面。
附图简述
图1是解说根据各实施例的通过合规性测试来对服务的高价值组件进行自动化风险跟踪的概念图;
图2是根据各实施例的用于通过合规性测试来对服务的高价值组件的自动化风险跟踪的组件图;
图3是根据各实施例的通过合规性测试来对高价值组件自动进行风险跟踪的示例;
图4是其中可以实现根据各实施例的系统的简要联网环境;
图5是其中可以实现各实施例的示例计算操作环境的框图;以及
图6解说了用于根据各实施例的通过合规性测试来自动化风险跟踪的过程的逻辑流程图。
详细描述
如以上简要描述的,服务的高价值组件的风险可被自动跟踪。可通过执行合规性测试来监视高价值组件。可响应于检测到与合规性测试相关联的失败结果而执行一个或多个自我治疗脚本。而且,可响应于检测与自我治疗脚本相关联的成功结果来存储与自我治疗脚本相关联的事件的一个或多个记录。
在下面的详细描述中,参考构成其一部分的附图,在附图中,通过例图,示出了具体的实施例或示例。可以将这些方面组合起来,也可以理由其他方面,并且可以作出结构上的改变而在不背离本公开的精神或范围。因此,下面的详细描述并不旨在进行限制,并且本发明的范围由所附权利要求书以及其等效方案来限定。
尽管各实施例将在结合一应用程序执行的程序模块的一般上下文中描述,其中所述应用程序在计算设备上的操作系统上运行,但是本领域的技术人员将认识到,各方面也可以与其他程序模块组合实现。
一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构及其他类型的结构。此外,本领域的技术人员将理解,各实施例可以用其他计算机系统配置来实现,包括手持设备、多处理器系统、基于微处理器的或可编程的消费者电子设备、小型计算机、大型计算机及类似的计算设备。各实施例也可以在分布式计算环境中实现,在分布式计算环境中,多个任务由通过通信网络链接的远程处理设备来执行。在分布式计算环境中,程序模块可位于本地和远程的存储器存储设备两者中。
各实施例可以被实现为计算机实现的进程(方法)、计算系统、或者作为制品,诸如计算机程序产品或计算机可读介质。计算机程序产品可以是可由计算机系统读取的计算机存储介质,所述计算机存储介质对包括指令的计算机程序进行编码,所述指令用于使计算机或计算系统执行(多个)示例进程。计算机可读存储介质是计算机可读存储器设备。例如,计算机可读存储介质可经由易失性计算机存储器、非易失性存储器、硬盘驱动器、和闪存驱动器中的一个或多个来实现。
贯穿本说明书,术语“平台”可以是用于通过合规性测试(compliancetesting)来自动化风险跟踪的软件和硬件组件的组合。平台的示例包括、但不限于:在多个服务器上执行的托管服务、在单个计算设备上执行的应用、及类似的系统。术语服务器摂一般是指一般在联网环境中执行一个或多个软件程序的计算设备。然而,服务器也可以被实现为在一个或多个计算设备上执行的虚拟服务器(软件程序),所述虚拟服务器被视为网络上的服务器。关于这些技术和示例实施例的详情可在以下描述中找到。
图1包括解说根据各实施例的通过合规性测试对服务的高价值组件的自动化风险跟踪的图示100。
在服务器104上执行的合规性测试应用可跟踪与服务器102上执行的服务的高价值组件相关联的风险。高价值组件可包括包括数据以及各网络连接之间的数据流的硬件和/或软件组件。服务器104可以是执行与对本地和/或外部硬件的组件的安全性的监视和修改相关联的应用和服务的安全服务器。服务器102可以是外部硬件的示例。服务器102可执行提供服务的应用。服务可通过网络提供。服务可包括web应用、数据存储应用、以及类似应用。
服务的高价值组件可以是整合到服务的操作的组件。示例可包括与认证用户或设备以允许对该服务的访问相关联的认证组件。高价值组件的另一示例可包括暴露于外部实体的组件,诸如服务的监听端口。高价值组件的又一示例可包括具有高商业或任务价值的组件(诸如顾客数据)。服务的监听端口可能易受外方的攻击以上传恶意软件或通过分布式拒绝服务攻击来阻挡。高价值组件的示例不是作为限制来提供的。基于系统或用户设置,服务的任何组件可被定义为高价值组件。
服务器104可对在服务器102上执行的服务的高价值组件执行合规性测试。合规性问题可基于与合规性测试相关联的失败结果来确定。合规性问题可通过设备106被传送到风险团队108。设备106可执行与合规性测试应用相关联的客户端应用来使得风险团队108能够与合规性测试应用交互。此外,利用高价值组件的顾客110可被允许通过设备106访问合规性测试应用。各设备可包括台式计算机、平板计算机、笔记本计算机、智能电话、以及类似设备。
对合规性测试应用的特征的访问可基于与客户端应用的用户相关联的角色和特权而被限制。在示例场景中,风险团队108可被允许修改合规性测试应用的参数。顾客110可被允许访问合规性测试应用所生成的报告。此外,客户端应用可以是显示由合规性测试应用生成的界面的web浏览器。替换地,客户端应用可以是通用应用,诸如显示合规性测试应用所生成的报告的文档阅读器或电子邮件应用。
虽然图1中的示例系统已被描述为具有包括提供服务的服务器102和执行监视服务器102的服务的合规性测试应用的服务器104的特定组件,但各实施例不限于这些组件或系统配置并且能够用采用更少或更多组件的其他系统配置来实现。在替换示例中,合规性测试应用可连同服务器102提供的服务在服务器102内执行。替换地,合规性测试应用可作为本地提供合规性监视特征的独立解决方案在设备106中执行。此处讨论的方法可使用本文讨论的原理被应用于应用和/或服务所提供的任何服务的任何合规性测试过程。
图2是用于通过合规性测试来自动化对服务的高价值组件的风险跟踪的组件图。图示200示出执行合规性测试206和自我治疗脚本208并存储记录210的示例合规性测试应用204。
合规性测试应用204可监视在服务器202上执行的服务的高价值组件。监视高价值组件可通过执行合规性测试206来实现。替换地,可执行多个合规性测试来监视高价值组件。合规性测试206可由认证机构来提供,认证机构可以是设置确认与应用或服务的安全参数相关联的标准的授权机构。替换地,合规性测试206可以在合规性测试应用204的安装和配置期间作为合规性测试应用204的一部分被预先加载。此外,合规性测试206可基于与高价值组件相关联的属性和与高价值组件相关联的安全等级按需生成。安全等级可包括定义与高价值组件相关联的行为的规则集。安全等级可由与高价值组件相关联的外部实体(诸如认证机构)或本地实体(安全授权机构)来定义。
合规性测试206可基于预定时间周期被反复执行以评估与高价值组件相关联的风险。风险可包括与合规性测试206的执行相关联的数据。可将风险收集到风险知识中以分析一时间段上与高价值组件相关联的风险。
响应于检测到与合规性测试206相关联的失败结果,自我治疗脚本208可被执行以解决与失败结果相关联的合规性问题。自我治疗脚本208可包括用于解决所检测到的合规性问题的一组预定指令。可基于预定设置和/或规则来自动执行自我治疗脚本208。替换地,可响应于用户输入(诸如风险团队212的输入)来执行自我治疗脚本208。在一示例场景中,与经认证用户相关联的合规性问题可通过执行自我治疗脚本来解决,该自我治疗脚本指示该高价值组件停止与认证用户相关联的进程。自我治疗脚本可包括重启所述组件以实现足以合规与高价值组件相关联的安全等级的用户认证的指令。
与合规性测试206或自我治疗脚本208的执行相关联的数据可被存储在记录210中。与合规性测试206的执行相关联的数据可被称为鉴别分类数据(triagedata)。鉴别分类数据可包括与合规性测试206的执行相关联的智能分析以启用与和高价值组件相关联的风险相对应的决策。该决策可由风险团队212和/或自动化组件来实现。
与自我治疗脚本208的执行相关联的数据可被称为持久性数据(persistencedata)。记录210可被使用来为风险团队212生成报告和/或会议。可使得风险团队212能够管理高价值组件。风险团队可响应于来自自我治疗脚本208的执行的失败结果来生成并实现对合规性问题的解决方案。
图3是根据各实施例的通过合规性测试来对高价值组件自动进行风险跟踪的示例。
如在图300中所示,合规性测试应用可执行合规性测试304来确定在服务器302上执行的服务的高价值组件是否合规安全等级。合规性测试可包括单独的测试或测试序列以确定高价值组件的合规性。合规性问题可响应于检测到来自合规性测试304的失败结果而被生成。自我治疗脚本306也可响应于检测到该失败而被执行。与合规性问题的解决相关联的数据可被存储在记录314中。该记录可存储与合规性测试304和自我治疗脚本306的执行相关联的数据。此外,与合规性测试304的成功结果相关联的数据也可被存储在记录314中。
响应于检测到自我治疗脚本的失败结果,鉴别分类数据可被添加到合规性问题308。鉴别分类数据可包括在自我治疗脚本306执行之前和之后的与高价值组件相关联的信息。鉴别分类数据可包括在自我治疗脚本306执行之前和之后的与高价值组件相关联的输入和输出值。
合规性问题可作为顾客报告312被传送至利用该高价值组件的顾客。合规性测试304的后续执行可被暂停,直到检测到合规性问题308的解决为止。
而且,响应于检测到自我治疗脚本的失败结果,合规性问题308可作为警告被传送至风险团队。合规性问题308可包括鉴别分类数据。风险团队可被警告关于合规性问题308,以提示风险团队寻找对合规性问题308的解决方案。与警告相关联的数据也可被存储在记录314中。此外,响应于对合规性问题的解决或者与合规性测试相关联的成功结果,解决报告316可被生成并传送至顾客或风险团队。
根据一些实施例,记录314可被分析来提炼与高风险组件相关联的风险知识。风险知识可以是在一时间段上与合规性测试和自我治疗脚本相关联的数据集合。此外,合规性问题308可响应于检测到与自我治疗脚本306相关联的另一失败结果而被确定。与该另一失败结果相关联的鉴别分类数据可被包括在合规性问题308中。鉴别分类数据可包括与自我治疗脚本306的执行相关联的数据。
合规性问题308也可被包括在警告310中。警告310可被传送以提示风险团队的一个或多个成员解决合规性问题308。此外,顾客报告312可与合规性问题一起被生成。顾客报告312可被传送至利用该高价值组件的顾客。而且,合规性测试304的后续执行可被暂停,直到检测到合规性问题308的解决为止。响应于检测到合规性问题308的解决,合规性问题308的后续执行可被恢复。
根据其它实施例,合规性测试304可响应于无法检测到合规性问题308而在预定时间段内被重新执行。该预定时间段可基于安全等级来调整。在一示例场景中,响应于检测到具有复杂规则的安全等级,合规性测试应用可增加该预定时间段。替换地,响应于检测到具有简单规则的安全等级,合规性测试应用可减小该预定时间段。而且,可使得利用该高价值组件的顾客和与该高价值组件相关联的风险团队的一个或多个成员能够调整该预定时间段。此外,可基于安全等级的规则来分析高价值组件的属性来确定合规性问题。
根据一些实施例,合规性测试304可响应于检测到高威胁情形和/或环境而在预定时间段内被重新执行。该预定时间段可基于检测到高威胁情形和/或环境而被减小。减小该预定时间段可允许对高价值组件的可作为高威胁情形和/或环境的结果而出现的合规性问题308的更快恢复或解决。该预定时间段可基于检测到高威胁情形和/或环境的除去而被增大。在示例场景中,该预定时间段可响应于检测到高价值组件上的攻击、即将到来的攻击、以及类似情形而被减小。在检测到高风险情形的除去之际,该预定时间可被增大到缺省值。
根据又一实施例,指令可被传送给服务以使得高价值组件离线。此外,响应于检测到合规性问题持续而超出预定时间段,与合规性测试相关联的持久性数据可被收集。合规性测试应用可生成与团队成员的一个或多个成员的包括该持久性数据的会议来审视该合规性问题。
该预定时间段可基于由认证机构定义的与安全等级相关联的值或与在该预定时间段期间使该高价值组件离线相关联的风险来确定。此外,该会议中可包括用用于继续操作该高价值组件的时间限制的例外或用于解决该合规性问题的基于里程碑的计划来总结该会议的指令。而且,持久性数据可被传送以由风险团队审视。许可也可被由风险团队请求以基于与顾客和认证体相关联的协议来与顾客和认证机构共享该持久性数据。持久性数据可响应于接收到来自风险团队的许可而被传送至顾客或认证机构。解决方案以及与解决相关联的度量也可响应于检测到合规性问题的解决而被报告给顾客和认证机构。
图2到3中的示例场景和模式被示为带有特定的组件、数据类型,以及配置。各实施例不仅限于根据这些示例配置的系统。通过服务的高价值组件的合规性测试的自动化风险跟踪可在应用和用户界面中采用更少或附加组件的配置中实现。此外,图2和图3中所示的示例方案和组件及其子组件可以使用本文中所述的原理通过类似方式以其他值来实现。
图4是其中可实现各实施例的示例联网环境。可经由在一个或多个服务器414上执行的软件(诸如托管服务)实现通过合规性测试来自动跟踪与服务的高价值组件相关联的风险的系统。平台可以通过(诸)网络410与个别计算设备上的客户应用通信,所述个别计算设备诸如智能电话413、膝上计算机412或台式计算机411(“客户端设备”)。
在任一客户端设备411-413上执行的客户端应用可便于通过由各服务器414执行的或在个体服务器416上执行的(诸)应用进行的通信。合规性测试应用可通过合规性测试自动跟踪服务的高价值组件的风险。合规性测试应用可通过执行一个或多个合规性测试来确定与和安全等级相关联的高价值组件相关联的合规性问题来监视高价值组件。自我治疗脚本可响应于检测到与该一个或多个合规性测试相关联的失败结果来执行。合规性测试应用可直接地或通过数据库服务器418将与该一个或多个合规性测试和自我治疗脚本相关联的记录存储在数据存储419中。
(诸)网络410可以包括任何拓扑结构的服务器、客户端、因特网服务提供者以及通信介质。根据各实施例的系统可以具有静态或动态的拓扑结构。(诸)网络410可以包括诸如企业网络这样的安全网络、诸如无线开放网络这样的不安全网络、或者因特网。(诸)网络410也可以通过诸如公共交换电话网(PSTN)或蜂窝网络这样的其他网络来协调通信。而且,(诸)网络410可以包括诸如蓝牙或类似网络等短距无线网络。(诸)网络410在此处描述的多个节点之间提供通信。通过示例但非限制,(诸)网络410可以包括诸如声音、RF、红外这样的无线介质以及其他无线介质。
可以使用计算设备、应用程序、数据源、以及数据分发系统的许多其他配置来通过合规性测试自动化风险跟踪。而且,图4中讨论的联网环境仅出于说明目的。各实施例不限于示例的应用、模块或进程。
图5以及相关联的讨论意图提供其中可实现各实施例的合适的计算环境的简要、一般描述。参照图5,解说了根据各实施例的用于应用的示例计算操作系统的框图,诸如计算设备500。在基本配置中,计算设备500可以是根据各实施例来执行合规性测试应用的任何计算设备,并包括至少一个处理单元502和系统存储器504。计算设备500也可以包括在执行程序时协作的多个处理单元。取决于计算设备的实际配置和类型,系统存储器504可以是易失性的(诸如RAM)、非易失性的(诸如ROM、闪存、等)或者两者的某一组合。系统存储器504通常包括适于控制平台操作的操作系统505,诸如来自美国华盛顿州雷德蒙市的微软公司的操作系统。系统存储器504还可以包括一个或多个软件应用,诸如程序模块506、合规性测试应用522、以及治疗模块524。
合规性测试应用522可通过合规性测试自动跟踪服务的高价值组件的风险。合规性测试应用522可通过执行一个或多个合规性测试来确定与和安全等级相关联的高价值组件相关联的合规性问题来监视高价值组件。自我治疗脚本可响应于检测到与该一个或多个合规性测试相关联的失败结果来被治疗模块524执行。合规性测试应用522还可存储与该一个或多个合规性测试和自我治疗脚本相关联的记录。该基本配置在图5中用虚线508内的那些组件示出。
计算设备500可具有附加的特征或功能。例如,计算设备500也可以包括附加的数据存储设备(可移动和/或不可移动),诸如磁盘、光盘或带。这种附加存储器在图5中用可移动存储509和不可移动存储510示出。计算机可读存储介质可以包括以用于存储信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质,该信息诸如计算机可读指令、数据结构、程序模块或其他数据。系统存储器504、可移动存储509和不可移动存储510全是计算机可读存储介质的示例。计算机可读存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光学存储器、磁带盒、磁带、磁盘存储器或其他磁性存储设备,或可以用来存储所需信息并可以被计算设备500访问的任何其他介质。任何这样的计算机可读存储介质可以是计算设备500的一部分。计算设备500还可以具有诸如键盘、鼠标、笔、声音输入设备、触摸输入设备、用于检测姿势的光学捕捉设备之类的(诸)输入设备512,以及类似的输入设备。也可以包括(诸)输出设备514,诸如显示器、扬声器、打印机以及其他类型的输出设备。这些设备全是本领域公知的并且不需要在此过多讨论。
计算设备500也可以包含通信连接516,所述通信连接允许设备诸如通过分布式计算环境中的有线或无线网络、卫星链路、蜂窝链路、短距网络以及相当的机制与其他设备518通信。其他设备518可以包括执行通信应用的(诸)计算机设备、web服务器以及相当的设备。(诸)通信连接516是通信介质的一个示例。通信介质中可以包括计算机可读指令、数据结构、程序模块或其他数据。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。
各示例实施例还包括各方法。这些方法可以以任何数量的方式来实现,包括此文档中描述的结构。一种这样的方式是通过具有此文档中描述的类型的设备的机器操作来实现。
另一任选的方式是使各方法的个别操作中的一个或多个连同执行一些操作的一个或多个人工操作员被执行。这些人工操作员不需要彼此位在同处,但每个人工操作员可以仅操作执行程序一部分的一台机器。
图6解说了用于根据各实施例的通过合规性测试来自动化风险跟踪的过程的逻辑流程图。过程600可以在合规性测试应用上实现。
过程600开始于操作610,通过执行一个或多个合规性测试来确定与和安全等级相关联的高价值组件相关联的合规性问题来监视服务的高价值组件。安全等级可包括认证体提供的指令集,该认证体设置与认证服务的安全参数相关联的标准。在操作620,自我治疗脚本可响应于检测到与该一个或多个合规性测试相关联的失败结果来执行。自我治疗脚本可包括用于解决检测到的合规性问题的预定指令集。接下来,在操作630,可存储与该一个或多个合规性测试和自我治疗脚本相关联的记录。该记录可被用来在一时间段上提炼与高价值组件相关联的风险知识。
过程600中包括的操作用于说明目的。合规性测试应用可以使用在此讨论的各原理通过具有更少或更多步骤的相似过程、以及不同的操作次序来实现。
以上说明、示例和数据提供了各实施例的组成的制造和用途的完整描述。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上述具体特征和动作是作为实现权利要求和实施例的示例形式公开的。
Claims (15)
1.一种在计算设备上执行的用于通过合规性测试来自动化风险跟踪的方法,所述方法包括:
通过执行至少一个合规性测试来确定与服务的高价值组件相关联的与安全等级相关联的合规性问题来监视所述高价值组件;
响应于检测到与所述至少一个合规性测试相关联的失败结果而执行自我治疗脚本;以及
存储与所述至少一个合规性测试和所述自我治疗脚本相关联的记录。
2.如权利要求1所述的方法,其特征在于,进一步包括:
分析所述记录来提炼与所述高价值组件相关联的风险知识。
3.如权利要求1所述的方法,其特征在于,进一步包括:
响应于检测到与所述自我治疗脚本相关联的另一失败结果来确定所述合规性问题;以及
在所述合规性问题中包括与所述另一失败结果相关联的鉴别分类数据。
4.如权利要求3所述的方法,其特征在于,进一步包括:
传送包括所述合规性问题的警告以提示风险团队的成员解决所述合规性问题。
5.如权利要求1所述的方法,其特征在于,进一步包括:
响应于无法检测到所述合规性问题在预定时间段内重新执行所述至少一个合规性测试。
6.如权利要求5所述的方法,其特征在于,进一步包括:
基于所述安全等级调整所述预定时间段。
7.如权利要求1所述的方法,其特征在于,进一步包括:
基于所述安全等级的规则来分析所述高价值组件的属性以确定所述合规性问题。
8.一种用于通过合规性测试来自动化风险跟踪的计算设备,所述计算设备包括:
存储器;
耦合至所述存储器的处理器,所述处理器结合所述存储器中存储的指令来执行合规性测试应用,其中所述合规性测试应用被配置成:
通过执行至少一个合规性测试来确定与服务的高价值组件相关联的与安全等级相关联的合规性问题来监视所述高价值组件;
响应于检测到与所述至少一个合规性测试相关联的失败结果而执行自我治疗脚本;
响应于检测到与所述自我治疗脚本相关联的另一失败结果来确定所述合规性问题;
在所述合规性问题中包括与所述另一失败结果相关联的鉴别分类数据;以及
存储与所述至少一个合规性测试和所述自我治疗脚本相关联的记录。
9.如权利要求8所述的计算设备,其特征在于,所述合规性测试应用还被配置成:
响应于检测到所述合规性问题持续超出预定义时间段而收集与合规性问题相关联的持久性数据;以及
生成与风险团队的至少一个成员的会议以审视所述合规性问题,所述会议包括所述持久性数据。
10.如权利要求9所述的计算设备,其特征在于,所述合规性测试应用还被配置成:
基于以下的一个或多个确定所述预定义时间段:由与所述安全等级相关联的认证机构定义的至少一个值以及与使所述高价值组件在所述预定义时间段期间离线相关联的风险。
11.如权利要求9所述的计算设备,其特征在于,所述合规性测试应用还被配置成:
在所述会议中包括用于用以下的一者或多者来总结所述会议的指令:用于继续操作所述至少一个高价值组件的时间限制的例外以及用于解决所述合规性问题的基于里程碑的计划。
12.如权利要求9所述的计算设备,其特征在于,所述合规性测试应用还被配置成:
传送所述持久性数据以供所述风险团队审视;以及
请求来自所述风险团队的许可,以基于与利用所述高价值组件的顾客和与所述安全等级相关联的认证机构相关联的至少一个协议与所述顾客和所述认证机构中的一者或多者共享所述持久性数据:
响应于接收到来自所述风险团队的许可而向所述顾客和所述认证机构中的一者或多者传送所述持久性数据。
13.如权利要求8所述的计算设备,其特征在于,所述合规性测试应用还被配置成:
检测对所述合规性问题的解决;以及
向利用所述高价值组件的顾客和与所述安全等级相关联的认证机构中的一者或多者报告所述解决和与所述解决相关联的度量。
14.一种计算机可读存储器设备,所述计算机可读存储器设备上存储有用于通过合规性测试来自动化风险跟踪的指令,所述指令包括:
通过执行至少一个合规性测试来确定与服务的和安全等级相关联的高价值组件相关联的合规性问题来监视所述高价值组件;
响应于检测到与所述至少一个测试相关联的失败结果而执行自我治疗脚本;
响应于检测到与所述自我治疗脚本相关联的另一失败结果来确定所述合规性问题;
在所述合规性问题中包括与所述另一失败结果相关联的鉴别分类数据;
响应于检测到所述合规性问题持续超出预定时间段而收集与合规性问题相关联的持久性数据;以及
存储与所述至少一个合规性测试和所述自我治疗脚本相关联的记录。
15.如权利要求14所述的计算机可读存储器设备,其特征在于,所述指令还包括:
生成与风险团队的至少一个成员的会议以审视所述合规性问题,所述会议包括所述持久性数据;
基于以下的一个或多个确定所述预定时间段:由与所述安全等级相关联的认证机构定义的至少一个值以及与使所述高价值组件在所述预定时间段期间离线相关联的风险;
在所述会议中包括用于用以下的一者或多者来总结所述会议的指令:用于继续操作所述至少一个高价值组件的时间限制的例外以及用于解决所述合规性问题的基于里程碑的计划。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/037,368 US20150089300A1 (en) | 2013-09-26 | 2013-09-26 | Automated risk tracking through compliance testing |
| US14/037,368 | 2013-09-26 | ||
| PCT/US2014/056706 WO2015047922A1 (en) | 2013-09-26 | 2014-09-22 | Automated risk tracking through compliance testing |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105659248A true CN105659248A (zh) | 2016-06-08 |
Family
ID=51663505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480053419.1A Pending CN105659248A (zh) | 2013-09-26 | 2014-09-22 | 通过合规性测试进行自动化的风险跟踪 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20150089300A1 (zh) |
| EP (1) | EP3049987A1 (zh) |
| CN (1) | CN105659248A (zh) |
| BR (1) | BR112016004969A8 (zh) |
| WO (1) | WO2015047922A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120323717A1 (en) * | 2011-06-16 | 2012-12-20 | OneID, Inc. | Method and system for determining authentication levels in transactions |
| US10091222B1 (en) * | 2015-03-31 | 2018-10-02 | Juniper Networks, Inc. | Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs |
| US10439892B2 (en) * | 2016-08-12 | 2019-10-08 | Microsoft Technology Licensing, Llc | Optimizing performance based on behavioral and situational signals |
| US10360408B1 (en) * | 2016-08-29 | 2019-07-23 | SecureStrux, LLC | Method and system for computer self-determination of security protocol compliance |
| US10592837B2 (en) * | 2017-04-21 | 2020-03-17 | Accenture Global Solutions Limited | Identifying security risks via analysis of multi-level analytical records |
| US10803177B2 (en) | 2017-07-19 | 2020-10-13 | International Business Machines Corporation | Compliance-aware runtime generation based on application patterns and risk assessment |
| WO2020086969A1 (en) * | 2018-10-26 | 2020-04-30 | Smartbear Software Inc. | Methods and systems for performance testing |
| US20220245060A1 (en) * | 2021-02-04 | 2022-08-04 | The Toronto-Dominion Bank | System and Method for Automated Testing |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060233114A1 (en) * | 2005-04-15 | 2006-10-19 | Microsoft Corporation | Method and apparatus for performing wireless diagnsotics and troubleshooting |
| US7437764B1 (en) * | 2003-11-14 | 2008-10-14 | Symantec Corporation | Vulnerability assessment of disk images |
| CN101300566A (zh) * | 2005-10-28 | 2008-11-05 | 微软公司 | 风险驱动的遵从管理 |
| US20130055394A1 (en) * | 2011-08-24 | 2013-02-28 | Yolanta Beresnevichiene | Network security risk assessment |
| US20130073704A1 (en) * | 2011-09-16 | 2013-03-21 | Tripwire, Inc. | Methods and apparatus for remediating policy test failures, including promoting changes for compliance review |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6980927B2 (en) * | 2002-11-27 | 2005-12-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment |
| US20060090206A1 (en) * | 2004-10-15 | 2006-04-27 | Ladner Michael V | Method, system and apparatus for assessing vulnerability in Web services |
| US20060101517A1 (en) * | 2004-10-28 | 2006-05-11 | Banzhof Carl E | Inventory management-based computer vulnerability resolution system |
| US7962960B2 (en) * | 2005-02-25 | 2011-06-14 | Verizon Business Global Llc | Systems and methods for performing risk analysis |
| US7941809B1 (en) * | 2005-09-27 | 2011-05-10 | Morgan Stanley | Systems and methods for managing events |
| US7908660B2 (en) * | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
| US8661534B2 (en) * | 2007-06-26 | 2014-02-25 | Microsoft Corporation | Security system with compliance checking and remediation |
| US8707385B2 (en) * | 2008-02-11 | 2014-04-22 | Oracle International Corporation | Automated compliance policy enforcement in software systems |
| US9177154B2 (en) * | 2010-10-18 | 2015-11-03 | Todd Wolff | Remediation of computer security vulnerabilities |
| US8572749B2 (en) * | 2011-09-09 | 2013-10-29 | Bank Of America Corporation | Information security control self assessment |
| US20140195445A1 (en) * | 2013-01-04 | 2014-07-10 | International Business Machines Corporation | System and method for compliance risk mitigation |
| US9264444B2 (en) * | 2013-05-21 | 2016-02-16 | Rapid7, Llc | Systems and methods for determining an objective security assessment for a network of assets |
-
2013
- 2013-09-26 US US14/037,368 patent/US20150089300A1/en not_active Abandoned
-
2014
- 2014-09-22 EP EP14781778.7A patent/EP3049987A1/en not_active Withdrawn
- 2014-09-22 WO PCT/US2014/056706 patent/WO2015047922A1/en active Application Filing
- 2014-09-22 CN CN201480053419.1A patent/CN105659248A/zh active Pending
- 2014-09-22 BR BR112016004969A patent/BR112016004969A8/pt not_active Application Discontinuation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7437764B1 (en) * | 2003-11-14 | 2008-10-14 | Symantec Corporation | Vulnerability assessment of disk images |
| US20060233114A1 (en) * | 2005-04-15 | 2006-10-19 | Microsoft Corporation | Method and apparatus for performing wireless diagnsotics and troubleshooting |
| CN101300566A (zh) * | 2005-10-28 | 2008-11-05 | 微软公司 | 风险驱动的遵从管理 |
| US20130055394A1 (en) * | 2011-08-24 | 2013-02-28 | Yolanta Beresnevichiene | Network security risk assessment |
| US20130073704A1 (en) * | 2011-09-16 | 2013-03-21 | Tripwire, Inc. | Methods and apparatus for remediating policy test failures, including promoting changes for compliance review |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015047922A1 (en) | 2015-04-02 |
| EP3049987A1 (en) | 2016-08-03 |
| US20150089300A1 (en) | 2015-03-26 |
| BR112016004969A8 (pt) | 2020-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105659248A (zh) | 通过合规性测试进行自动化的风险跟踪 | |
| US10681060B2 (en) | Computer-implemented method for determining computer system security threats, security operations center system and computer program product | |
| US10158670B1 (en) | Automatic privilege determination | |
| US10503914B2 (en) | Techniques for security auditing of cloud resources | |
| US11665183B2 (en) | Secure incident investigation event capture | |
| US9916442B2 (en) | Real-time recording and monitoring of mobile applications | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| US10747657B2 (en) | Methods, systems, apparatuses and devices for facilitating execution of test cases | |
| Alexakos et al. | Enabling digital forensics readiness for internet of vehicles | |
| US11153321B2 (en) | Secure investigations platform | |
| Jacob et al. | Detecting Cyber Security Attacks against a Microservices Application using Distributed Tracing. | |
| Babun et al. | The Truth Shall Set Thee Free: Enabling Practical Forensic Capabilities in Smart Environments. | |
| Dai et al. | Homeguardian: Detecting anomaly events in smart home systems | |
| O'Shea et al. | A Wavelet-inspired Anomaly Detection Framework for Cloud Platforms. | |
| Prowell et al. | Position Papers for the ASCR Workshop on Cybersecurity and Privacy for Scientific Computing Ecosystems | |
| US10089261B2 (en) | Discriminating dynamic connection of disconnectable peripherals | |
| De Marco et al. | Digital evidence management, presentation, and court preparation in the cloud: a forensic readiness approach | |
| Spirito et al. | Attack surface analysis of the digital twins interface with advanced sensor and instrumentation interfaces: Cyber threat assessment and attack demonstration for digital twins in advanced reactor architectures-m3ct-23in1105033 | |
| Magomedov et al. | Used User Reactions for Improve Security and Control Access To Web Services | |
| US20240106866A1 (en) | Machine learning for computer security policy modification | |
| Taylor et al. | A Framework Addressing Challenges in Cybersecurity Testing of IoT Ecosystems and Components | |
| Coutinho | Healthcare Systems Protection: All-in-one cybersecurity approach | |
| van Sloun et al. | Poster: Vulcan--Repurposing Accessibility Features for Behavior-based Intrusion Detection Dataset Generation | |
| Wee et al. | A novel database exploitation detection and privilege control system using data mining | |
| CN117971623A (zh) | 数据运维方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160608 |