CN107431715A - 用于使用基础设施监视软件来收集网络安全风险数据的技术 - Google Patents

Abstract

本公开提供了用于使用基础设施监视软件来收集网络安全风险数据的技术。一种方法包括从风险管理器系统（154）向多个代理（242）发送（310）第一信息，每一个代理（242）与计算系统（200）中的相应设备（220、240）相关联。第一信息与一个或多个风险监视配置相关联。所述方法包括由风险管理器系统（154）从代理（242）接收（315）第二信息。第二信息标识与相应设备（220、240）相关联的所标识的脆弱性和事件。所述方法包括存储和向用户（250）显示（320）第二信息和第二信息的分析中的至少一个。

Description

用于使用基础设施监视软件来收集网络安全风险数据的技术

对相关申请的交叉引用

本申请要求享有2015年2月6日提交的美国临时专利申请62/113,100的提交日的权益，所述美国临时专利申请通过引用并入于此。

技术领域

本公开一般地涉及网络安全。更具体地，本公开涉及用于使用基础设施监视软件来收集网络安全风险数据的技术。

背景技术

通常使用工业过程控制和自动化系统来管理处理设施。常规的控制和自动化系统例行地包括各种联网设备，诸如服务器、工作站、交换机、路由器、防火墙、安全系统、专有实时控制器和工业现场设备。通常，该装备来自数个不同的厂商。在工业环境中，网络安全具有日益增加的关注，并且这些组件中的任何一个中的未被解决的安全脆弱性可以被攻击者利用以扰乱操作或导致工业设施中的不安全的条件。

发明内容

本公开提供了用于使用基础设施监视软件来收集网络安全风险数据的技术，包括方法和对应的系统和机器可读介质。一种方法包括从风险管理器系统向多个代理发送第一信息，每一个代理与计算系统中的相应设备相关联。第一信息与一个或多个风险监视配置相关联。所述方法包括由风险管理器系统从代理接收第二信息。第二信息标识与相应设备相关联的所标识的脆弱性和事件。所述方法包括存储和向用户显示第二信息和第二信息的分析中的至少一个。

其它技术特征可以从以下各图、描述和权利要求而对本领域技术人员是容易明显的。

附图说明

为了本公开的更加完整的理解，现在参照结合随附各图理解的以下描述，其中：

图1图示了根据本公开的示例工业过程控制和自动化系统；

图2图示了根据本公开的支持用于使用基础设施监视软件来收集网络安全风险数据的技术的示例架构；以及

图3图示了依照所公开的实施例的过程的流程图。

具体实施方式

以下讨论的各图和用于描述本专利文档中的本发明的原理的各种实施例仅仅作为说明，并且不应当以任何方式解释成限制本发明的范围。本领域技术人员将理解到，本发明的原理可以实现在任何类型的经适当布置的设备或系统中。

图1图示了根据本公开的示例工业过程控制和自动化系统100。如图1中所示，系统100包括促进至少一个产品或其它材料的生产或处理的各种组件。例如，系统100在此用于促进对一个或多个工厂101a-101n中的组件的控制。每一个工厂101a-101n表示一个或多个处理设施（或其一个或多个部分），诸如用于生产至少一个产品或其它材料的一个或多个制造设施。一般而言，每一个工厂101a-101n可以实现一个或多个过程，并且可以单独或集体地称为过程系统。过程系统一般表示被配置成以某种方式处理一个或多个产品或其它材料的任何系统或其部分。

在图1中，系统100使用过程控制的Purdue模型来实现。在Purdue模型中，“0级”可以包括一个或多个传感器102a和一个或多个致动器102b。传感器102a和致动器102b表示可以执行多种多样的功能中的任何一个的过程系统中的组件。例如，传感器102a可以测量过程系统中的多种多样的特性，诸如温度、压力或流速。而且，致动器102b可以更改过程系统中的多种多样的特性。传感器102a和致动器102b可以表示任何合适的过程系统中的任何其它或附加的组件。传感器102a中的每一个包括用于测量过程系统中的一个或多个特性的任何合适的结构。致动器102b中的每一个包括用于影响过程系统中的一个或多个条件或在其上进行操作的任何合适的结构。

至少一个网络104耦合到传感器102a和致动器102b。网络104促进与传感器102a和致动器102b的交互。例如，网络104可以从传感器102a输送测量数据并且向致动器102b提供控制信号。网络104可以表示任何合适的网络或网络的组合。作为特定示例，网络104可以表示以太网网络、电气信号网络（诸如HART或基金会现场总线网络）、气动控制信号网络或（一个或多个）任何其它或附加类型的（一个或多个）网络。

在Purdue模型中，“1级”可以包括耦合到网络104的一个或多个控制器106。除其它之外，每一个控制器106可以使用来自一个或多个传感器102a的测量来控制一个或多个致动器102b的操作。例如，控制器106可以从一个或多个传感器102a接收测量数据，并且使用测量数据来生成用于一个或多个致动器102b的控制信号。每一个控制器106包括用于与一个或多个传感器102a交互并且控制一个或多个致动器102b的任何合适的结构。每一个控制器106可以例如表示比例积分微分（PID）控制器或多变量控制器，诸如鲁棒多变量预测控制技术（RMPCT）控制器或实现模型预测控制（MPC）或其它高级预测控制（APC）的其它类型的控制器。作为特定示例，每一个控制器106可以表示运行实时操作系统的计算设备。

两个网络108耦合到控制器106。网络108促进与控制器106的交互，诸如通过向控制器106和从控制器106输送数据。网络108可以表示任何合适的网络或网络的组合。作为特定示例，网络108可以表示以太网的冗余对，诸如来自霍尼韦尔国际公司的故障容忍以太网（FTE）网络。

至少一个交换机/防火墙110将网络108耦合到两个网络112。交换机/防火墙110可以从一个网络向另一个输送业务。交换机/防火墙110还可以阻止一个网络上的业务到达另一网络。交换机/防火墙110包括用于提供网络之间的通信的任何合适的结构，诸如霍尼韦尔控制防火墙（CF9）设备。网络112可以表示任何合适的网络，诸如FTE网络。

在Purdue模型中，“2级”可以包括耦合到网络112的一个或多个机器级控制器114。机器级控制器114执行各种功能以支持控制器106、传感器102a和致动器102b的操作和控制，所述操作和控制可以与特定件工业装备（诸如锅炉或其它机器）相关联。例如，机器级控制器114可以记录由控制器106收集或生成的信息，诸如来自传感器102a的测量数据或用于致动器102b的控制信号。机器级控制器114还可以执行对控制器106的操作进行控制的应用，从而控制致动器102b的操作。此外，机器级控制器114可以提供对控制器106的安全访问。机器级控制器114中的每一个包括用于提供对机器或其它单独件装备的访问、其控制或涉及其的操作的任何合适的结构。机器级控制器114中的每一个可以例如表示运行微软WINDOWS操作系统的服务器计算设备。尽管未示出，不同的机器级控制器114可以用于控制过程系统中的不同件装备（其中每一件装备与一个或多个控制器106、传感器102a和致动器102b相关联）。

一个或多个操作者站116耦合到网络112。操作者站116表示提供对机器级控制器114的用户访问的计算或通信设备，其可以然后提供对控制器106（和可能地，传感器102a和致动器102b）的用户访问。作为特定示例，操作者站116可以允许用户使用由控制器106和/或机器级控制器114收集的信息来回顾传感器102a和致动器102b的操作历史。操作者站116还可以允许用户调整传感器102a、致动器102b、控制器106或机器级控制器114的操作。此外，操作者站116可以接收和显示警告、警报或者由控制器106或机器级控制器114生成的其它消息或显示。操作者站116中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何合适的结构。操作者站116中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。

至少一个路由器/防火墙118将网络112耦合到两个网络120。路由器/防火墙118包括用于提供网络之间的通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络120可以表示任何合适的网络，诸如FTE网络。

在Purdue模型中，“3级”可以包括耦合到网络120的一个或多个单元级控制器122。每一个单元级控制器122典型地与过程系统中的单元相关联，所述单元表示一起操作以实现过程的至少部分的不同机器的集合。单元级控制器122执行各种功能以支持较低级中的组件的操作和控制。例如，单元级控制器122可以记录由较低级中的组件收集或生成的信息，执行控制较低级中的组件的应用，并且提供对较低级中的组件的安全访问。单元级控制器122中的每一个包括用于提供对一个或多个机器或过程单元中的其它件装备的访问、其控制或涉及其的操作的任何合适的结构。单元级控制器122中的每一个可以例如表示运行微软WINDOWS操作系统的服务器计算设备。尽管未示出，但是不同的单元级控制器122可以用于控制过程系统中的不同单元（其中每一个单元与一个或多个机器级控制器114、控制器106、传感器102a和致动器102b相关联）。

对单元级控制器122的访问可以由一个或多个操作者站124提供。操作者站124中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何合适的结构。操作者站124中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。

至少一个路由器/防火墙126将网络120耦合到两个网络128。路由器/防火墙126包括用于提供网络之间的通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络128可以表示任何合适的网络，诸如FTE网络。

在Purdue模型中，“4级”可以包括耦合到网络128的一个或多个工厂级控制器130。每一个工厂级控制器130典型地与工厂101a-101n中的一个相关联，所述工厂101a-101n可以包括实现相同、类似或不同过程的一个或多个过程单元。工厂级控制器130执行各种功能以支持较低级中的组件的操作和控制。作为特定示例，工厂级控制器130可以执行一个或多个制造执行系统（MES）应用、调度应用或其它或附加的工厂或过程控制应用。工厂级控制器130中的每一个包括用于提供对过程工厂中的一个或多个过程单元的访问、其控制或涉及其的操作的任何合适的结构。工厂级控制器130中的每一个可以例如表示运行微软WINDOWS操作系统的服务器计算设备。

对工厂级控制器130的访问可以由一个或多个操作者站132提供。操作者站132中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何合适的结构。操作者站132中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。

至少一个路由器/防火墙134将网络128耦合到一个或多个网络136。路由器/防火墙134包括用于提供网络之间的通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络136可以表示任何合适的网络，诸如企业范围以太网或其它网络或更大网络（诸如因特网）的全部或部分。

在Purdue模型中，“5级”可以包括耦合到网络136的一个或多个企业级控制器138。每一个企业级控制器138典型地能够执行针对多个工厂101a-101n的计划操作并且控制工厂101a-101n的各种方面。企业级控制器138还可以执行各种功能以支持工厂101a-101n中的组件的操作和控制。作为特定示例，企业级控制器138可以执行一个或多个订单处理应用、企业资源计划（ERP）应用、高级计划和调度（APS）应用或任何其它或附加的企业控制应用。企业级控制器138中的每一个包括用于提供对一个或多个工厂的访问、其控制或涉及其控制的操作的任何合适的结构。企业级控制器138中的每一个可以例如表示运行微软WINDOWS操作系统的服务器计算设备。在本文档中，术语“企业”是指具有要被管理的一个或多个工厂或其它处理设施的组织。要指出的是，如果单个工厂101a要被管理，企业级控制器138的功能可以合并到工厂级控制器130中。

对企业级控制器138的访问可以由一个或多个操作者站140提供。操作者站140中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何合适的结构。操作者站140中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。

Purdue模型的各种层级可以包括其它组件，诸如一个或多个数据库。与每一个层级相关联的（一个或多个）数据库可以存储与该层级或系统100的一个或多个其它层级相关联的任何合适的信息。例如，历史设备（historian）141可以耦合到网络136。历史设备141可以表示存储关于系统100的各种信息的组件。历史设备141可以例如存储在生产调度和优化期间使用的信息。历史设备141表示用于存储和促进信息的检索的任何合适的结构。尽管被示出为耦合到网络136的单个集中式组件，但是历史设备141可以位于系统100中的其它地方，或者多个历史设备可以分布在系统100中的不同位置中。

在特定实施例中，图1中的各种控制器和操作者站可以表示计算设备。例如，控制器106、114、122、130、138中的每一个可以包括一个或多个处理设备142以及用于存储由（一个或多个）处理设备142使用、生成或收集的指令和数据的一个或多个存储器144。控制器106、114、122、130、138中的每一个还可以包括至少一个网络接口146，诸如一个或多个以太网接口或无线收发器。而且，操作者站116、124、132、140中的每一个可以包括一个或多个处理设备148以及用于存储由（一个或多个）处理设备148使用、生成或收集的指令和数据的一个或多个存储器150。操作者站116、124、132、140中的每一个还可以包括至少一个网络接口152，诸如一个或多个以太网接口或无线收发器。

在联网世界中，安全性是首要的关注，并且众多解决方案可用于保护网络上的服务器、工作站、交换机、路由器和防火墙。例如，存在支持诸如以下功能的各种解决方案：

·威胁、恶意软件和病毒检测

·应用白名单化

·防火墙（硬件和软件）

·网络设备监视（诸如用于交换机和路由器）

·最新软件打补丁。

诸如这些之类的解决方案可以用于帮助保护全世界的系统和设备。然而，当前不存在从这些各种软件工具收集数据以便提供整个网络的高级视图的机制。而是，管理员不得不监视不同系统上的这些多个软件工具以保护网络。可以从各种系统收集数据、监视整个网络以及提供指示整个网络的健康的数据的软件工具将是非常有用的。本公开提供支持这样的软件工具的风险管理器154。

风险管理器154包括支持用于使用基础设施监视软件来收集网络安全风险数据的技术的任何合适的结构。在此，风险管理器154包括一个或多个处理设备156；用于存储由（一个或多个）处理设备156使用、生成或收集的指令和数据的一个或多个存储器158；以及至少一个网络接口160。每一个处理设备156可以表示微处理器、微控制器、数字信号过程、现场可编程门阵列、专用集成电路或分立逻辑。每一个存储器158可以表示易失性或非易失性存储和取回设备，诸如随机存取存储器或闪速存储器。每一个网络接口160可以表示以太网接口、无线收发器或促进外部通信的其它设备。可以使用任何合适的硬件或硬件和软件/固件指令的组合来实现风险管理器154的功能。

尽管图1图示了工业过程控制和自动化系统100的一个示例，但是可以对图1做出各种改变。例如，控制和自动化系统可以包括任何数目的传感器、致动器、控制器、服务器、操作者站、网络、风险管理器和其它组件。而且，图1中的系统100的构成和布置仅仅用于说明。组件可以根据特定需要而被添加、省略、组合或以任何其它合适的配置放置。另外，特定功能已经被描述为由系统100的特定组件执行。这仅仅是为了说明。一般而言，控制和自动化系统是高度可配置的并且可以根据特定需要以任何合适的方式配置。此外，图1图示了其中可以使用风险管理器154的功能的示例环境。该功能可以使用在任何其它合适的设备或系统中。

图2图示了根据本公开的支持用于使用基础设施监视软件来收集网络安全风险数据的技术的示例架构200。可以使用风险管理器154来支持或实现架构200。该架构200支持用于使用基础设施监视软件来收集网络安全风险数据的技术。

架构200在该示例中包括服务器210、网络节点220、规则引擎230、监视节点240和用户系统250。服务器210可以实现为风险管理器154或实现为另一服务器数据处理系统，其具有诸如（一个或多个）处理设备、存储器和网络接口之类的硬件组件。用户系统250，类似地，可以是被配置成与如本文所描述的服务器210通信的任何数据处理系统，并且特别地用于配置本文所描述的过程，并且还可以实现为风险管理器154。要指出的是，用户系统250在一些实施例中可以实现在与服务器210相同的物理系统上。

例如如由风险管理器154所执行的那样，服务器210从监视节点240收集各种数据，诸如来自防病毒工具或应用白名单化工具的数据、Windows安全事件、网络安全数据（包括交换机、路由器、防火墙和入侵检测/防护系统的状态）、备用状态、打补丁状态和资产策略。其它示例被示出为监视节点240，其包括工作站、白名单化服务器、防病毒系统、备用服务器和其它安全软件。类似地，还可以监视网络节点220。网络节点220可以包括交换机、路由器、包括防火墙的入侵防护系统（IPSes）以及其它网络设备，无论是以硬件还是软件来实现。

为了开始对监视节点240进行监视，配置可以被加载到服务器210中并且由服务器210接收，诸如通过从用户系统250接收它、从储存器加载它、从另一设备或过程接收它、或者以其它方式。该配置可以被服务器210推送到监视节点240或网络节点220上的相应代理242（在图2中标注为“A”，并未针对每一个代理示出标签242）。代理242和服务器210二者知晓关于配置类别，并且数据集合的每一个类型和子类型可以具有其自身的类别标识符。代理242针对每一个设备或软件应用上的已知脆弱性（诸如过期的Windows补丁）而扫描设备并且针对具有安全含义的事件（诸如病毒检测或Windows验证失败）而连续监视设备。监视的区域可以包括但不限于，防病毒、应用白名单化、Windows安全事件、网络安全（包括交换机、路由器、防火墙和入侵检测/防护系统的状态）、备用状态、打补丁状态和资产策略。每一个代理242将在其设备上生成的事件翻译成警报并且分配其配置标识符。

服务器210可以从每一个代理242收集或接收该信息，分析信息，并且向操作者（诸如管理员）呈现信息和分析结果，存储信息和结果，或者将它们传输到用户系统250。

在各种实施例中，在必要时，规则引擎230使用数据适配器232来翻译去到和来自每一个代理242的数据，使得适当的数据可以发送到每一个代理242，并且使得从每一个代理242接收的数据可以转换成供服务器210使用的一致格式。通过将数据转换成一致格式，规则引擎154可以呈现“仪表盘”用户接口，可以通过所述“仪表盘”用户接口容易地比较来自每一个被监视节点的相对风险。

所公开的实施例可以在一些实施例中实现在诸如来自微软公司的系统中心操作管理器（SCOM）基础设施监视软件工具之类的基础设施监视工具之上。所公开的实施例可以提供用于从代理收集风险数据并且用于以管理包的形式推送定制配置的基础设施。如本文所公开的那样修改或使用的，由SCOM收集的数据可以存储在称为操作管理器数据库的SCOM数据库中。操作管理器数据库中的数据可以使用SQL或MOM（微软操作管理器）应用程序接口（API）来读取。

尽管图2图示了支持用于使用基础设施监视软件来收集网络安全风险数据的技术的架构200的一个示例，但是可以对图2做出各种改变。例如，图2中的组件和子组件的功能划分仅仅为了说明。各种组件或子组件可以组合、进一步细分、重布置或省略，并且根据特定需要，可以添加附加的组件或子组件。

图3图示了依照所公开的实施例的过程300的流程图，所述过程300可以例如由风险管理器154、架构200或被配置成如所描述的那样执行的其它设备（以下一般地称为“风险管理器系统”）来执行。

风险管理器系统接收一个或多个风险监视配置（305）。

风险管理器系统向与计算系统中的多个设备相关联的代理发送第一信息，其中第一信息与风险监视配置中的一个或多个相关联（310）。作为该过程的部分，风险管理器系统可以根据相应设备的要求而将所述一个或多个风险监视配置翻译成第一信息。

风险管理器系统从相应代理接收第二信息（315），其中第二信息标识与设备相关联的所标识的脆弱性和事件。作为该过程的部分，系统可以将第二信息从相应设备的格式翻译成一致格式。

风险管理器系统存储和向用户显示第二信息和第二信息的分析中的至少一个（320）。

要指出的是，在此示出的风险管理器154和/或架构200可以使用在以下之前提交和同时提交的专利申请（其全部通过引用并入于此）中描述的各种特征的任何组合或全部或者结合其进行操作：

•题为“DYNAMIC QUANTIFICATION OF CYBER-SECURITY RISKS IN A CONTROL SYSTEM”的美国专利申请号14/482,888；

•题为“ANALYZING CYBER-SECURITY RISKS IN AN INDUSTRIAL CONTROLENVIRONMENT”的美国临时专利申请号62/036,920；

•题为“RULES ENGINE FOR CONVERTING SYSTEM-RELATED CHARACTERISTICS ANDEVENTS INTO CYBER-SECURITY RISK ASSESSMENT VALUES”的美国临时专利申请号62/113,075和与本案同时提交的相同题目的对应非临时美国专利申请14/871,695（案卷号H0048932-0115）；

•题为“NOTIFICATION SUBSYSTEM FOR GENERATING CONSOLIDATED, FILTERED, ANDRELEVANT SECURITY RISK-BASED NOTIFICATIONS”的美国临时专利申请号62/113,221和与本案同时提交的相同题目的对应非临时美国专利申请14/871,521（案卷号H0048937-0115）；

•题为“INFRASTRUCTURE MONITORING TOOL FOR COLLECTING INDUSTRIAL PROCESSCONTROL AND AUTOMATION SYSTEM RISK DATA”的美国临时专利申请号62/113,186和与本案同时提交的相同题目的对应非临时美国专利申请14/871,732（案卷号H0048945-0115）；

•题为“PATCH MONITORING AND ANALYSIS”的美国临时专利申请号62/113,165和与本案同时提交的相同题目的对应非临时美国专利申请14/871,921（案卷号H0048973-0115）；

•题为“APPARATUS AND METHOD FOR AUTOMATIC HANDLING OF CYBER-SECURITY RISKEVENTS”的美国临时专利申请号62/113,152和与本案同时提交的相同题目的对应非临时美国专利申请14/871,503（案卷号H0049067-0115）；

•题为“APPARATUS AND METHOD FOR DYNAMIC CUSTOMIZATION OF CYBER-SECURITYRISK ITEM RULES”的美国临时专利申请号62/114,928和与本案同时提交的相同题目的对应非临时美国专利申请14/871,605（案卷号H0049099-0115）；

•题为“APPARATUS AND METHOD FOR PROVIDING POSSIBLE CAUSES, RECOMMENDEDACTIONS, AND POTENTIAL IMPACTS RELATED TO IDENTIFIED CYBER-SECURITY RISKITEMS”的美国临时专利申请号62/114,865和与本案同时提交的相同题目的对应非临时美国专利申请14/871,814（案卷号H0049103-0115）；

•题为“APPARATUS AND METHOD FOR TYING CYBER-SECURITY RISK ANALYSIS TOCOMMON RISK METHODOLOGIES AND RISK LEVELS”的美国临时专利申请号62/114,937和与本案同时提交的相同题目的对应非临时美国专利申请14/871,136（案卷号H0049104-0115）；以及

•题为“RISK MANAGEMENT IN AN AIR-GAPPED ENVIRONMENT”的美国临时专利申请号62/116,245和与本案同时提交的相同题目的对应非临时美国专利申请14/871,547（案卷号H0049081-0115）。

在一些实施例中，在本专利文档中描述的各种功能通过由计算机可读程序代码形成并且体现在计算机可读介质中的计算机程序实现或支持。短语“计算机可读程序代码”包括任何类型的计算机代码，其包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够由计算机访问的任何类型的介质，诸如只读存储器（ROM）、随机存取存储器（RAM）、硬盘驱动器、压缩盘（CD）、数字视频盘（DVD）或任何其它类型的存储器。“非暂时性”计算机可读介质排除输送暂时性电气或其它信号的有线、无线、光学或其它通信链路。非暂时性计算机可读介质包括其中数据可以被永久存储的介质和其中数据可以被存储并且稍后被盖写的介质，诸如可重写光盘或可擦除存储器设备。

阐述遍及本专利文档所使用的某些词语和短语的定义可以是有利的。术语“应用”和“程序”是指一个或多个计算机程序、软件组件、指令集、过程、函数、对象、类、实例、相关数据或适配用于以合适的计算机代码（包括源代码、目标代码或可执行代码）实现的其部分。术语“通信”以及其派生物涵盖直接和间接通信二者。术语“包含”和“包括”以及其派生物意指包括而没有限制。术语“或”是包括性的，意味着和/或。短语“与……相关联”以及其派生物可以意指包括、被包括在……内、与……互连、包含、被包含在……内、连接到或与……连接、耦合到或与……耦合、可与……通信、与……协作、交错、并置、接近于……、绑定（bind）到或与……绑定、具有、具有……的性质、具有到……的关系或具有与……的关系等。短语“……中的至少一个”当与项目列表一起使用时，意指可以使用所列出的项目中的一个或多个的不同组合，并且可能仅需要列表中的一个项目。例如，“A、B和C中的至少一个”包括以下组合中的任何一个：A、B、C、A和B、A和C、B和C以及A和B和C。

虽然本公开已经描述了某些实施例和一般相关联的方法，但是这些实施例和方法的更改和置换将对本领域技术人员是明显的。相应地，示例实施例的以上描述不限定或约束本公开。在不脱离如由以下权利要求限定的本公开的精神和范围的情况下，其它改变、替换和更改也是可能的。

Claims (15)

1.一种方法，包括：

从风险管理器系统（154）向多个代理（242）发送（310）第一信息，每一个代理（242）与计算系统（200）中的相应设备（220、240）相关联，第一信息与一个或多个风险监视配置相关联；

由风险管理器系统（154）从代理（242）接收（315）第二信息，第二信息标识与相应设备（220、240）相关联的脆弱性和事件；以及

存储和向用户（250）显示（320）第二信息和第二信息的分析中的至少一个。

2.根据权利要求1所述的方法，还包括接收（305）风险监视配置。

3.根据权利要求1所述的方法，还包括根据相应设备（220、240）的要求而将所述一个或多个风险监视配置翻译（310）成第一信息。

4.根据权利要求1所述的方法，还包括将第二信息从与相应设备相关联的多个格式翻译（315）成一致格式。

5.根据权利要求1所述的方法，其中所述设备是网络节点（220），其包括交换机、路由器和入侵防护系统。

6.根据权利要求1所述的方法，其中所述设备是监视节点（240），其包括工作站、白名单化服务器、防病毒系统、备用服务器和其它安全软件中的一个或多个。

7.根据权利要求1所述的方法，其中风险管理器系统（154）包括规则引擎（230），其使用数据适配器（232）翻译去往和来自代理（242）中的每一个的数据。

8.一种风险管理器系统（154），包括：

控制器（156）；以及

显示器，风险管理器系统（154）被配置成

向多个代理（242）发送（310）第一信息，每一个代理（242）与计算系统（200）中的相应设备（220、240）相关联，第一信息与一个或多个风险监视配置相关联；

从代理（242）接收（315）第二信息，第二信息标识与相应设备（220、240）相关联的脆弱性和事件；以及

存储和向用户（250）显示（320）第二信息和第二信息的分析中的至少一个。

9.根据权利要求8所述的风险管理器系统，其中风险管理器系统（154）还接收（305）风险监视配置。

10.根据权利要求8所述的风险管理器系统，其中风险管理器系统（154）根据相应设备（220、240）的要求而将所述一个或多个风险监视配置翻译（310）成第一信息。

11.根据权利要求8所述的风险管理器系统，其中风险管理器系统（154）将第二信息从与相应设备相关联的多个格式翻译（315）成一致格式。

12.根据权利要求8所述的风险管理器系统，其中所述设备是网络节点（220），其包括交换机、路由器和入侵防护系统。

13.根据权利要求8所述的风险管理器系统，其中所述设备是监视节点（240），其包括工作站、白名单化服务器、防病毒系统、备用服务器和其它安全软件中的一个或多个。

14.根据权利要求8所述的风险管理器系统，其中风险管理器系统（154）包括规则引擎（230），其使用数据适配器（232）翻译去往和来自代理（242）中的每一个的数据。

15.一种编码有可执行指令的非暂时性机器可读介质（158），所述可执行指令在被执行时使得风险管理器系统（154）的一个或多个处理器（156）：

向多个代理（242）发送（310）第一信息，每一个代理（242）与计算系统（200）中的相应设备（220、240）相关联，第一信息与一个或多个风险监视配置相关联；

从代理（242）接收（315）第二信息，第二信息标识与相应设备（220、240）相关联的脆弱性和事件；以及

存储和向用户（250）显示（320）第二信息和第二信息的分析中的至少一个。