CN109388950A - 确保系统配置的安全改变的系统和方法 - Google Patents

确保系统配置的安全改变的系统和方法 Download PDF

Info

Publication number
CN109388950A
CN109388950A CN201710979282.8A CN201710979282A CN109388950A CN 109388950 A CN109388950 A CN 109388950A CN 201710979282 A CN201710979282 A CN 201710979282A CN 109388950 A CN109388950 A CN 109388950A
Authority
CN
China
Prior art keywords
parameter
identification
change
changing
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710979282.8A
Other languages
English (en)
Other versions
CN109388950B (zh
Inventor
德米特里·A·库拉金
帕维尔·V·德亚金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN109388950A publication Critical patent/CN109388950A/zh
Application granted granted Critical
Publication of CN109388950B publication Critical patent/CN109388950B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

本发明涉及确保系统配置的安全改变的系统和方法。提供了用于改变计算机系统的参数值而不改变安全属性的系统和方法。示例性方法包括接收改变计算机系统的系统配置的请求以及基于接收的请求识别关于系统配置的参数。此外,基于识别的参数,该方法包括接收改变识别的至少一个参数的指令以及基于接收的指令发起改变识别的至少一个参数的事务。然后分析发起的事务以确定对参数的改变是否将降低计算机系统的安全级别。如果不降低,则该方法将执行与系统配置有关的识别的参数的改变。

Description

确保系统配置的安全改变的系统和方法
技术领域
本发明涉及计算机系统中的安全领域,以及更特别地,涉及改变计算机系统的参数的值而不改变安全属性的系统和方法。
背景技术
计算机设备中的安全系统的使用和随附的演进以显著速度继续增长。当前,已存在巨大量的安全系统,范围从简单的安全系统到高度复杂的安全系统。简单系统通常旨在保护免受单一威胁(即安全问题)且包含用于解决相应问题的功能。复杂系统可以为用于确保计算机设备的全面保护的整体全面解决方案,范围从保护免受恶意软件到控制计算机设备及其部件。
因此,许多公司致力于创建和开发关于安全系统的改进的各种技术。这些技术可以涉及用于确保设备资源或用户数据的安全而免受各种威胁的解决方案的立即创建以及安全系统的如下方面的改进:安全系统自身和该安全系统操作所处的系统二者的性能、故障电阻、和工效。
例如,美国专利No.7,386,885 B1提出了用于控制计算机系统的程序部件之间的交互的安全系统。该传统安全系统在将程序执行环境与安全策略的实现分离的原理上工作。此外,部件的交互安全的控制基于动态制定的一组描述交互特性的属性以及一组描述安全策略的规则。安全系统利用在每个程序部件的各个生命阶段中指示的限制和属性,其中在各个连续的生命阶段中逐步添加限制。
安全系统考虑的不同方面和标准越多,控制该安全系统变得越繁琐,这意味着用户在之后利用该安全系统工作时将需要附加技能,诸如系统管理员的技能、或管理特定安全系统的更专业的技能。因此,当创建与特定安全系统的交互的机制时,将用户的知识水平考虑在内以及将对应地设计安全系统。换言之,系统开发者考虑用户在利用安全系统工作、设置安全系统或监督安全系统时具有专业知识以及这类知识的深度的需求。
因此,意图用于需要全面的安全、控制、设置和后续调节的设备(诸如网络管理员的服务器和计算机)的安全系统的某些设计通常是繁琐的且需要一系列用于其设置和调节的专业知识。同时,在意图用于消费者设备和系统的安全系统的设计中,这些通常被创建为更有交互性的且允许不太熟练的用户执行安全系统的设置。这类系统要么受限于系统的总体设置,即,这些系统缺少安全系统的所有参数的“微调”,要么这些系统不具有对安全系统自身和受安全系统控制的操作系统二者的至关重要的属性的设置的访问权。因此,在这类现有安全系统中的问题之一是将复杂安全系统与简单控制组合的这类方案的创建。例如,对于不具有专业知识的用户来说,可以控制和改变复杂安全系统的设置参数,同时在改变安全属性时防止可导致安全系统自身及其控制的系统(诸如操作系统)二者的安全性破坏的错误。
对于安全控制的另一技术问题是承担对影响系统的安全级别的参数进行改变的可能性,而不具有系统的安全性破坏。因此,在特定系统中的参数的不真实的或相互不一致的值的设置可以在系统的这类重配置期间缺少适当监督的情况下导致安全属性的破坏。因此,鉴于这类现存系统的限制,需要用于解决上述技术问题的新方法。
发明内容
本发明克服了上文所描述的限制且提供了一种系统和方法,该系统和方法实现一次进行一系列改变以及在任何时刻(例如在改善其性能的特定应用程序工作期间或在相比于其它应用程序更重要的情况下)验证参数的所需次数的改变的正确性。
考虑到现存系统的上述问题以及实现系统(例如操作系统)的配置(参数)的安全改变的目的,实现了所公开的系统和方法。换言之,在对受监控系统的参数进行改变的情况下,所公开的系统和方法提供了通过从安全属性上的破坏的立场确定参数的这类改变对受监控系统的安全性的可能改变的影响来控制所进行的改变,以及揭示了与被改变参数相关的参数的可能改变、以及无安全性破坏的目标。
因此,所公开的系统和方法提供了如下技术优势:通过验证被改变参数和相关参数的一致性及其对系统的安全属性的联合影响、然后进行判定,而在改变系统的配置(具体地,系统的参数)的情况下提供该系统的给定安全级别。本系统和方法的另一技术优势是:通过验证被改变参数与配置的所有参数的一致性以及在发现参数的冲突的情况下采取步骤以确保系统的高效运作,来提供系统对在系统配置中进行的改变的容错性。该系统和方法的另一技术优势是,通过确定和校正影响稳定性缺乏和系统故障的对参数进行的改变的能力来提高系统(诸如操作系统)的工作稳定性。
因此,提供用于改变计算机系统的参数值而不改变安全属性的示例性方法。在该方面中,该方法包括:通过处理器接收改变所述计算机系统的系统配置的请求;基于改变所述系统配置的所述请求,在关于所述计算机系统的系统配置的参数数据库中识别至少一个参数;通过所述处理器接收改变识别的所述至少一个参数的指令;通过所述处理器,基于接收的所述指令发起改变识别的所述至少一个参数的事务;通过所述处理器确定发起的改变识别的所述至少一个参数的所述事务是否将降低所述计算机系统的至少一个安全级别;以及当所述处理器确定发起的所述事务将不降低所述计算机系统的所述至少一个安全级别时,通过所述处理器执行与所述系统配置有关的识别的所述至少一个参数的改变。
在另一方面中,该方法包括:基于改变所述系统配置的所述请求识别至少一个关键字,使得在所述参数数据库中识别所述至少一个参数基于识别的所述关键字。
在另一方面中,该方法包括:在事务窗口上显示界面,所述界面配置成从所述计算机系统的操作者接收改变识别的所述至少一个参数的所述指令。
在该方法的另一方面中,所述指令包括如下项中的至少一者:修改识别的所述至少一个参数的值的请求、去除识别的所述至少一个参数、或添加与识别的所述至少一个参数有关的新参数。
在另一方面中,该方法包括:通过所述处理器确定识别的所述至少一个参数的当前状态;以及基于识别的所述至少一个参数的确定的所述当前状态和所述计算机系统的所述至少一个安全级别分析发起的所述事务,以确定从确定的所述当前状态对识别的所述至少一个参数的改变是否将符合所述计算机系统的所述至少一个安全级别的规则。
在另一方面中,该方法包括:当对识别的所述至少一个参数的所述改变将不符合所述计算机系统的所述至少一个安全级别的所述规则时,取消识别的所述至少一个参数的所述改变。
在另一方面中,该方法包括:当所述处理器确定发起的改变识别的所述至少一个参数的所述事务将降低所述计算机系统的所述至少一个安全级别时,通过所述处理器识别改变识别的所述至少一个参数的所述指令的至少一个变型;以及如果识别的所述至少一个变型被所述处理器执行以改变所述计算机系统的所述系统配置,则通过所述处理器确定改变识别的所述至少一个参数的所述指令的识别的所述至少一个变型是否将降低所述计算机系统的所述至少一个安全级别。
在另一方面中,该方法包括:在用户界面上呈现改变识别的所述至少一个参数的所述指令的识别的所述至少一个变型;以及在借助所述用户界面接收到来自用户指令的确认时,通过所述处理器执行识别的所述至少一个变型以改变所述计算机系统的所述系统配置。
在另一方面中,该方法包括:在发起改变识别的所述至少一个参数的所述事务之前,执行接收的改变识别的所述至少一个参数的所述指令的初步分析,以验证识别的所述至少一个参数和所述参数数据库中的与识别的所述至少一个参数有关的至少一个未改变的参数之间的一致性。
在该方法的另一方面中,在验证所述至少一个未改变的参数和识别的所述至少一个参数之间一致时,执行改变识别的所述至少一个参数的所述事务的发起。
根据又一方面,提供一种用于改变计算机系统的参数值而不改变安全属性的系统。在该方面中,该系统包括:关于所述计算机系统的系统配置的参数数据库;和处理器,所述处理器配置成:接收改变所述计算机系统的系统配置的请求;基于改变所述系统配置的所述请求,在关于所述计算机系统的所述系统配置的所述参数数据库中识别至少一个参数;接收改变识别的所述至少一个参数的指令;基于接收的所述指令发起改变识别的所述至少一个参数的事务;确定发起的改变识别的所述至少一个参数的所述事务是否将降低所述计算机系统的至少一个安全级别;以及当所述处理器确定发起的所述事务将不降低所述计算机系统的所述至少一个安全级别时,执行与所述系统配置有关的识别的所述至少一个参数的改变。
以上对示例性方面的简要概述用于提供对本发明的基本理解。该概述不是对所有预期方面的广泛综述,并且既不旨在标识所有方面的关键的或主要的要素,也不旨在勾画本发明的任何方面或所有方面的范围。该概述的唯一目的是以简化的形式呈现一个或多个方面,作为随后的对本发明的更详细的描述的前奏。为了实现前述内容,本发明的一个或多个方面包括在权利要求中所描述的且示例性指出的特征。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
图1示出根据示例性方面的用于确保计算机系统的配置的安全改变的系统的框图。
图2示出根据示例性方面的示例性系统的框图。
图3A示出根据示例性方面的用于在改变受监控的系统的配置时确保给定安全级别的方法的流程图。
图3B示出根据示例性方面的在改变受监控的系统的配置时确保给定安全级别的方法的另一流程图。
图4示出根据示例性方面的其上可实施所公开的系统和方法的通用计算机系统(其可以为个人计算机或服务器)的示例。
具体实施方式
现在参照附图描述各个方面,其中,贯穿全文,相同附图标记用于指代相同元件。在如下描述中,出于说明目的,提出多种具体细节,以便促进对一个或多个方面的全面理解。然而,在一些或全部情况下,可以很明显,可以实践下文所描述的任何方面而不采用下文所描述的具体设计细节。在其它情况下,以框图形式示出了已知的结构和设备,从而便于一个或多个方面的描述。下文呈现一个或多个方面的简要概述以便提供对这些方面的基础理解。该概述不是对所有预期方面的广泛综述,并且不意图标识所有方面的关键的或主要的要素,也不意图勾画任何方面或所有方面的范围。
所公开的系统和方法在重配置系统时(更具体地在对系统配置的参数进行改变时)确保该系统的建立的安全级别。这类系统的示例为图1中所示的系统100的框图。系统(计算机系统)的配置指的是参数集、指定系统的操作条件的硬件和软件(诸如应用程序、开关、变量值、控制序列)。由发起者(要么为系统的或系统在其上运转的设备的用户、要么为相对于该系统的外部系统(任何其它系统))进行改变。所公开的系统和方法确保给定的安全级别为受监控系统(系统100)。受监控系统的示例为计算设备(诸如具有计算机系统的计算机)和软件二者。
术语“软件”可以被视为系统软件(诸如操作系统)和应用程序,所述应用程序诸如安全系统、学习程序、记帐程序、CAD等、或在移动设备(诸如智能手机)中实施的应用程序。外部系统可以被包含在受监控系统中或在受监控系统的边界外部,还对受监控系统具有影响。例如,该影响以受监控系统的资源利用或对受监控系统的配置参数的改变的形式来体现。此外,外部系统和受监控系统可以以相同硬件(诸如个人计算机或服务器)或不同硬件来实现。
所公开的系统和方法的实现涉及创建受监控系统的配置参数的安全存储器以及执行安全重配置。这类实现的主要特征是将系统(受监控系统和外部系统)的安全策略与商业逻辑策略分离。这使得可以创建特定公共动态存储器,即配置参数的存储器,以及可以单独地制定且然后还确定或指定需要置于该存储器的不同的使用变型上的安全策略,其中该使用变型至少为:1)将策略单独地分配给每个参数,2)分配用于整体上更新配置的策略。该过程实现了在策略中包含的动态规则的帮助下所进行的改变的灵活调整。
为了提供安全存储器,针对配置的修改而对该安全存储器的访问通过交互代理(诸如交互代理110)而发生,在此期间通过安全重配置模块(在后文中,重配置模块)分析对存储器进行的所有改变。这类实现使得可以将用于控制受监控系统的配置参数的功能与系统本身以及与外部系统分离。存储器至少包含影响受监控系统(软件)的安全级别的参数。
在下文中,当描述如图1所示的示例性系统的样本方面时,在示例性方面中涉及三个实体:受监控系统100、重配置模块130、以及受监控系统的配置参数的存储器(在后文中,参数存储器)120。同样地,下文呈现了用于通过识别错误改变以及验证改变的参数的值与其它参数的值的一致性而在改变受监控系统的配置时提供给定安全级别的方法的示例性方面。安全级别表征受监控系统的元件(硬件和软件)及其参数彼此间以及与外部系统的元件的交互的条件和标准的总和,从而向受监控系统提供关于该系统的各种威胁和/或工作效率的保护。可以调节安全级别,例如从开始级(当需要抵抗威胁的一般性保护规则时)到最大级(当提供策略用以严格限制对重要系统元件(诸如硬盘驱动(Hard Disk Drive,HDD)、处理器、数据传输工具等)的访问时)。
应当注意,根据所公开的系统和方法的该方面,在改变受监控系统的配置参数时与用户或与外部系统(例如,任何给定应用程序可以为对于操作系统的外部系统)的交互既可以单独地、也可以整体地来进行。因此,如果发起者(例如用户)希望修改受监控系统的配置参数的值,则该发起者将向交互代理110进行请求,以及该请求可以至少包含关于需要改变的参数的数据。此后,交互代理110提供事务界面(形成事务窗口115),用于后续进行对参数或新参数的值的改变。事务界面为提供用于借助事务窗口执行事务的功能的界面,在该事务窗口中呈现且改变参数。根据示例性方面,界面可以包含所有参数或仅那些可被用户访问以改变的参数的状态的当前副本。
根据示例性方面,可以基于角色或帐户记录提前分析参数的可访问性,用户在该角色或帐户记录下工作在系统中。同样地,事务窗口的形成通过在交互代理110与参数存储器120之间的交互来进行,以便获得关于可被对应的外部系统或用户修改的参数的信息。
此外,最优选的实现方法是交互代理110从用户通过软件接收用于改变参数的请求的时候,该软件包含可调节的参数或控制对参数的改变。在该情况下,交互将随着外部系统发生。外部系统将对参数进行改变的请求发送到交互代理110。外部系统独立地添加对参数的改变的原因可以例如为外部系统在受监控系统中的运行或初始化,在此期间形成或出现用于受监控系统的附加动态参数。接着重配置模块130基于由事务机构接收的对于改变的请求,将通过交互代理110对存储器进行改变,首先针对正确性和一致性核查这些改变。
因此,在一般形式下,如图1所示的用于提供系统100的配置的安全改变的系统包括参数存储器120和重配置模块130。在一个变型方面中,受监控系统100为操作系统,例如,微软Windows的操作系统、Mac OS、卡巴斯基OS、或安卓OS系列中的一者。因此,下文呈现的示例性方面是作为操作系统的特性的配置参数的示例。
参数存储器120至少包含系统100的所有动态配置参数,这些参数可以属于系统100的硬件和软件二者。动态参数为在系统100的操作过程中可改变的参数。由于当改变参数时并不总是可以立刻(在进行改变之前)知道这些参数或与其有关的参数将如何影响系统100的工作,因此这类参数的错误改变可以带来系统100的安全属性的改变以及相应地可能降低给定安全级别。因此需要从所进行改变的正确性的立场监控参数以及验证与有关的或相关的参数的一致性,在该情况下,来自存储器的参数之间的关系甚至可能是未知的。这类参数可以为系统100本身的参数或外部系统的参数。
在参数存储器120的一个变型方面中,其中包含的参数用关键字及其相应类型的参数来标识,诸如有符号的和无符号的整数、字符串、和浮点十进制数。术语“关键字”通常指的是实现参数存储器120中的对应参数的确切识别的标识符,以及根据所公开的系统和方法的示例性方面,该关键字可以具有各种形式。每个参数与“安全标签”的概念相关联。安全标签为描述用户或其它系统对参数的访问和使用的可能性的一组(系列)属性。作为规则,系统中的每个用户对应于如下概念(标识符)中的至少一者:对应系统中的用户帐户记录和/或用户角色,这也将被用在安全标签中。因此,在不同示例性方面中,使用安全标记来实现监控包含在参数存储器120中的参数以及监控作为整体的存储器120的不同方法。
此外,参数存储器120支持更新的事务性质,即,不是一个接一个进行对参数的改变,而是在给定时刻对于需要改变的参数进行一系列改变。换言之,为了在参数存储器120中进行改变,使用事务界面的事务窗口115,用户通过软件或外部系统105使用该事务窗口来对在该事务窗口中表示的参数的值进行必要改变。事务窗口115的创建和包含随着提交所进行改变的事务的后续形成由交互代理110来完成,该交互代理110然后将事务发送到重配置模块130以供验证。
接着重配置模块130通过如下方式确保对包含在参数存储器120中的参数的改变的安全进行:利用安全策略验证在提交的事务中进行且包含的改变的正确性(即,符合满足不降低给定安全级别的需要)以及与其它参数和存储器120中的参数值的一致性。参数的改变被视为指的是在存储器中已包含的参数的值的改变以及在存储器中放置新参数这二者。重配置模块130包括分析模块133、安全策略的数据库135和判定模块137,以及该重配置模块130与交互代理110交互。应当注意,根据所公开的系统和方法的示例性方面,交互代理110可以为受监控系统100的一部分,或交互代理110可以与重配置模块130组合。
交互代理110负责发起者(用户或外部系统)、存储器120和重配置模块130之间的交互,在此期间,交互代理110发起(创建)用于改变系统100的配置的事务并形成存储器120中的参数的状态的当前副本。在一个样本方面中,交互代理110可以为数据库管理系统(Database Management System,DBMS),至少在该部分中,与参数存储器120的交互发生,用以对参数进行改变。在例如软件105与事务界面之间的交互的背景下,将新值分配给参数,此后,交互代理110提交事务并为了验证将其发送到重配置模块130、具体地发送到分析模块133。连同事务一起,交互代理110还发送参数存储器120中的参数的状态的当前副本,该副本在进行改变的时刻被形成。当前副本通过快照技术来创建,例如,这使得可以描绘存储器的一组(所有)参数的静态状态。因此,当前副本构成确定种类的特定数据集。
分析模块133负责借助来自安全策略的数据库135的安全策略、基于参数状态的当前副本评估在事务中进行的改变。安全策略的数据库135包含针对存储器120的参数指定的安全策略。因此,安全策略使得可以验证包含在事务中的参数、或来自存储器120的与该参数有关的其它参数的值的改变将如何影响系统100的给定安全级别。此外,每个安全策略根据对于参数的联合检查的需求来形成,即,该策略可以检查一个参数或多个参数(仅有的限制为技术或软件限制)。这类安全策略的使用的区别特征为,用于检查改变的安全策略不对存储器120或其中包含的参数进行直接行动,而是在评估期间通过在进行改变时使用参数状态的当前副本进行整体分析,包括对于对参数的可允许改变及其对其它参数的影响的检查。
因此,通过如下方式进行评估:将安全策略应用于来自事务的参数和指示的包含关于存储器120中的参数的状态的信息的当前副本,从改变的参数和与其有关的参数的一致性的立场,与其它参数分开地检查每个参数的改变对系统100的影响以及检查改变对其它参数的影响。因此,针对满足和/或符合安全策略中包含的所有条件进行检查,这些条件负责检查事务中包含的改变的参数以及来自指示的当前副本的与这些改变的参数有关的参数。评估的结果是确定所进行的改变至少对如下项的影响:与存储器120中的有关或相关参数的冲突出现,和/或系统100自身的安全性破坏。
特别地,在所公开系统和方法的示例性方面中,评估参数的改变对受监控系统100的安全级别的影响同样地通过已知评估方法之一来实现且取决于受监控系统的复杂度(参数的数量和参数之间的关系类型)和关于评估的准确度(即,第一种错误和第二种错误出现的概率)的需求。因此,例如,评估方法为如下类型的分析之一:二进制的、概率性的、相关性的和矢量的。
在执行分析之后,分析模块133将分析结果呈现给判定模块137。在相关参数不一致的情况下,上述结果包含关于安全级别的可能违反和/或识别的冲突的信息。
在所公开系统和方法的另一变型方面中,在交互代理110提交具有所进行改变的事务之前,将执行所进行改变的初步验证。为此,交互代理110将请求发送到分析模块133,在该分析模块中,该请求将以优选形式来制定以供分析且将至少包含如下数据:应用程序的标识符;由应用程序呈现的关键字;和参数的变化后的值。分析模块133将来自安全策略的数据库135的安全策略应用于对应参数及其改变。根据所应用的策略,将从正确性的立场验证对参数进行这类改变的可能性,即,新值是否落在可允许范围内、新值是否不超出建立的阈值、或新值是否符合指定值。因此,例如,如果规则之一指出,指定网络中的IP地址的参数必须仅对应于特定(给定)子网掩码,则将进行检查以验证改变的参数中的IP地址是否属于与其它IP地址相同的子网。在初步验证期间,来自所应用的安全策略的规则或条件可能不完全被满足,以及在该情况下,那些策略的未被满足的部分将后续由分析模块133检查。
在另一变型方面中,交互代理110在事务(事务窗口)形成期间将形成该事务,从而首先考虑来自安全策略的需求的部分,在该部分中,已经对存储器的参数的值进行了改变。例如,对于用户,将根据该用户的账户记录形成事务窗口115,该事务窗口115将仅包含那些参数且仅在针对相应的账户记录可改变的那些范围中。然后对于分析模块133来说将仅需要检查与相关参数的一致性。
判定模块137基于从分析模块133获得的对评估结果的分析而关于对存储器120中包含的参数进行的改变作出判定。所作出的判定指示三种可能判定之一:(1)以在事务窗口中指定的形式对参数进行改变,因为安全级别未降低;(2)对参数进行改变,但是仅利用初步校正以满足指定的安全级别,其中,该校正可以影响在事务窗口中指定的改变以及与被改变参数有关的参数这二者;或(3)不可能进行相应改变,因为安全级别将降低。
如果需要执行校正,则将确定最优选的校正。根据示例性方面,条件的列表将被确定且用于确定改变的校正。在变型示例性方面中,该列表还包含关于条件的优先级以及在分析所进行改变的可能校正时满足一个条件或另一个条件的需求的信息。例如,该条件的列表可以包含如下条件:
·如果被改变参数或相关参数的任何校正将导致安全级别降低,则将不进行改变;
·对事务窗口中的参数进行的改变优先于相关参数的可能改变,只要不改变安全级别,即,首先进行相关参数的校正;
·当校正相关参数时,如果用户自身进行了改变,则通知用户该校正;和/或
·在校正被改变参数之前,请求用户的同意。
在由模块137作出相应判定之后,重配置模块130通过利用交互代理110进行相应改变(具体地,所有改变,校正的改变或符合给定安全级别的改变的部分)更新存储器120中的参数。
在所公开的系统和方法的实现中的另一重要项为在启动时支持受监控系统的预确定(行为的可预测性)的可能性。假设具有检查针对相应端口进行的校正的安全策略,则该策略指示给定端口应当在特定范围内,以及然后将从存储器120中包含的特定参数确定该范围。因此,当初始化(开启)受监控系统时,应当在启动期间尽可能早地开启重配置模块130。显然,这将发生在存储器120的加载之前。因此,为了预先确定行为,所有安全策略和受监控系统100的其它消耗器(诸如外部系统)将具有特定值,诸如启动值,该其它消耗器使用其包含在参数存储器120中的配置参数。该值将被提前指定且从启动时刻用到参数存储器120准备好工作的时刻。此后,针对具有启动值的参数与参数存储器120中的值的一致性,对具有启动值的参数进行检查。这类方法使得可以分析受监控系统100在其启动时刻以及在任何时刻的状态,以及如果其不符合安全级别则对其进行校正。
下文提供了用于确保配置的安全改变的系统的工作示例。例如,假设在系统100中启动了软件105(为应用程序),以及因此该软件105变为需要执行参数的改变。应用程序105访问交互代理110,其中针对进行改变指示关键字。作为响应,交互代理110创建事务窗口115以输入对参数的必要改变。在形成事务窗口115时,交互代理110将基于接收的关键字和应用程序的标识符而在参数存储器120中确定该应用程序所对应的参数,以及针对一致性检查这些参数的安全标签。接着,交互代理110在事务窗口115中仅显示应用程序105所对应的那些参数。应用程序105指定在事务界面的事务窗口115中呈现的参数的必要改变。然后,交互代理110提交事务且形成存储器120的参数的当前副本(快照),然后其将该当前副本分派到重配置模块130、具体地分派到分析模块133。
重配置模块130借助分析模块133根据安全策略、通过在施加改变时检查来自存储器的参数的一致性对所接收数据执行分析。特别地,重配置模块130检查与其值已被应用程序改变的参数有关的参数将如何符合安全策略以及是否需要改变这些相关参数以便保持安全级别。然后重配置模块130借助模块137作出如下判定。如果所进行改变符合所有必需的安全策略(在执行检查时)且因此安全级别未变差,则重配置模块130决定根据所进行的改变来更新参数存储器120的配置而不进行任何种类的校正,将此通知给交互代理110,该交互代理接着执行参数存储器120的更新。如果不符合甚至一个安全策略,则根据指定的条件列表(如上所述)对所进行的改变或相关参数的可能校正进行搜索。以不使安全级别变差的方式执行对校正变型的搜索。在确定可能的校正变型之后,重配置模块130将此通知给交互代理110,然后该交互代理110进行对应校正并更新存储器120中的配置。
在用于提供配置的安全改变的系统的工作的另一示例中,如果最初由用户进行改变,则交互代理110将可能的校正通知给用户并等待来自用户的回答。在接收对应回答(以选择的校正变型进行回答)之后,交互代理110在存储器120中执行对应更新。
在系统130未找到不降低给定安全级别的单一校正变型的情况下,系统130将安全级别的降低和受监控系统100的工作中的可能失误(威胁)通知给交互代理110。接着交互代理110在与应用程序交互时将撤销所进行改变,以及在与用户交互的情况下,交互代理110将这类结果通知给用户。应当注意,交互代理110在由重配置系统130作出特定判定之后的最终行动可以是完全自动的且不包含发送到用户的任何请求。
实现用于提供受监控系统的配置的安全改变的系统的另一示例为在图2中所示的示例。在呈现的示例中,配置参数的安全存储器220(与存储器120相同)被实现用于操作系统卡巴斯基OS 200(系统100的特定实例),以及重配置模块230类似于重配置模块130。在该情况下,需要解决将处理器时间配额分配给各个应用程序250的问题。在给定问题的背景下,通过应用程序205周期性地对处理器时间的使用的参数进行改变。
例如,假设卡巴斯基OS(在后文中,KOS)200包含三组应用程序:“系统”、“服务”和“应用程序”。每组包含至少一个应用程序205。还假设组“应用程序”包含如下三个应用程序:Voice_Recognition、Face_Recognition和Remote_Connectivity。存储器220包含用于由这些应用程序中的每一者对处理器时间的使用的参数,即,参数值示出由对应应用程序对处理器时间的使用配额。对于示例性方面,假设存储器220中包含用于这些应用程序205的如下成对的关键字/值:
因此,基于关键字,访问存储器220中的对应参数,以及指示值按百分率(出自100%)对应于处理器时间,该处理器时间可由对应应用程序205使用。相应地,存储器允许在KOS 200工作期间改变这些参数。
因此,当改变指示参数时,重配置模块230将对应的安全策略应用于参数值的改变。例如,应用至少如下安全策略,包含两个规则:(1)来自组“应用程序”的应用程序不能使用CPU的多于33%的处理器时间;以及(2)整个组“应用程序”不能使用CPU的多于80%的处理器时间。
因此,在进行改变的情况下呈现的系统的工作将如下。响应于从所指示的应用程序中的至少一者接收改变处理器时间的使用的参数的请求,代理(比如交互代理110)210发起事务窗口215用以改变应用程序的配置。在示例性方面中,事务窗口例如仅包含该应用程序可改变的那些参数。为此,代理210将基于关于该应用程序的信息而从存储器220选择对应参数。在事务过程中,该应用程序将新值分配给参数,此后,代理210提交事务并形成存储器220的配置的当前副本。
此外,在另一示例性方面中,在事务形成期间,代理210向重配置系统230请求初步验证。系统230将通过应用上文指示的安全策略来执行初步评估,该安全策略例如仅声明来自组“应用程序”的应用程序都没有分配大于33%的CPU的处理器使用的参数值的规则。此后,系统230将关于评估的信息发送到代理210以回应其查询。因此,代理210将进行必要改变。
因此,代理210已提交具有所进行的改变的事务且已将其发送到重配置模块230以供验证。重配置模块230将针对参数改变的正确性执行检查,包括其是否与根据安全策略所改变的其它参数一致。为此,重配置模块230基于接收的存储器220的配置的当前副本应用来自安全策略的规则。如果已执行初步验证,则将仅应用该规则,此后,该规则合计来自“应用程序”组的所有应用程序的配额并验证这些配额不超过CPU的80%。此后判定更新存储器的配置中的参数。
因此,例如,在按比例(30%、30%、10%)完成用于应用程序的配额的改变的情况下,重配置模块230将判定所进行改变的正确性和一致性。接着代理210在接收这样的判定之后将执行包含在存储器中的参数的更新。
在按比例(30%、30%、30%)完成用于应用程序的配额的改变的情况下,重配置模块230将提出校正变型使得满足策略且安全级别不变差,或者其将阻止参数值的这类改变。
图3A示出用于在改变受监控系统的配置时确保给定安全级别的方法的流程图。
在接收改变参数存储器中的配置的参数的请求时改变受监控系统的配置时确保给定安全级别的方法将执行多个步骤,至少包括:步骤310,进行对改变参数的请求的分析;步骤320,形成事务窗口,将关于参数存储器中的参数的当前信息考虑在内以及对这些参数进行改变;步骤330,提交具有所进行的改变的事务;步骤340,对于对参数存储器中包含的参数进行改变的可能性进行评估;步骤350,判定更新参数存储器中的参数。
在步骤310中,交互代理110从计算机硬件和/或软件105中的至少一者接收包含关于依次包含在存储器120中的参数的改变的信息的请求。由请求发起者制定该请求,该请求发起者即为硬件和/或软件105(诸如应用程序)或用户(通过与用户的任何通信),该用户也为硬件和/或软件105之一。此后,交互代理110分析关于该请求的信息,在此期间,交互代理110确定呈现的至少一个关键字。该关键字使得可以准确识别参数存储器120中需要改变的参数。在一个变型方面中,关键字为参数的标识符。交互代理110可以从接收的请求发现的其它信息为关于硬件和/或软件105或用户的识别的信息、关于新参数的信息、或关于至少一个参数或其值的修改的信息。
在步骤320中,交互代理110将事务窗口呈现给请求的发起者,用以对参数进行改变,这些参数可被对应发起者访问以修改。修改的参数可以为受监控系统100的参数或外部系统的影响受监控系统100的工作能力的参数。呈现的事务窗口可以具有输入关于改变的信息的对话窗的形式或界面的形式。该界面包含关于参数存储器120中包含的所有参数的当前信息或仅关于与识别的关键字或标识符相符的可修改的那些参数的当前信息。为此,例如,确定用户对参数存储器120的访问级别,其中,访问级别指示参数和作为整体的参数存储器的可能使用的种类。所使用参数的种类至少为读取的可能性、至少一个参数的修改、至少改变参数值的修改的位置、改变参数的调节范围、添加新参数、和去除参数。
应当注意,为了将当前信息放在界面中,交互代理110在步骤320中进行与参数存储器120的交互,在此期间,交互代理110使用关键字形成参数存储器120中包含的参数的状态的当前副本。因此,交互代理110基于关键字且考虑参数的安全标签而确定可以修改哪些参数。例如,交互代理110确定关键字是否满足安全标签的属性。此后,交互代理110借助快照方法创建对应参数的当前副本。该方法使得可以描绘存储器的一组参数的静态状态。因此,当前副本表示优先进行分析种类的数据集。
当针对某些请求形成对话窗和对于其它的请求形成具有所有参数的事务界面以及用于另外其它的请求形成具有一些参数的事务界面时,交互代理110和事务窗口的示例性方面还可以允许中间变型。
在步骤330中,响应于如由硬件和/或软件105输入的或借助对应的硬件和/或软件105从用户获得的关于参数被改变的信息,交互代理110提交具有对参数进行的改变的事务。这类信息的示例为关于参数的新值的数据、参数的去除、或新参数的添加。此后,该事务连同关于参数存储器120中的所有参数的状态的数据的当前副本一起被发送到重配置模块130、具体地发送到分析模块133。在步骤320中未形成当前副本或当前副本仅仅针对一些参数形成的情况下,则在该步骤330中形成用于参数存储器120中包含的所有参数的当前副本。为此,交互代理110执行与上文所描述的行动相类似的行动,但是将形成所有参数的状态的当前副本的需求考虑在内。
在步骤340中,重配置模块130借助分析模块133执行对参数进行对应改变的评估,该评估基于针对参数状态所接收的当前副本且借助来自安全策略的数据库135的对应安全策略来完成。因此,重配置模块130分析所进行的改变对参数存储器120中与该改变有关的其它参数以及对受监控系统100的给定安全级别的违背的影响。该分析预先假定被改变的参数和与其有关的参数的在其符合安全策略中包含的规则(条件)方面的一致性的检查。在执行分析之后,分析模块133将分析结果呈现给判定模块137。在相关参数不一致的情况下,该结果包含关于安全级别的可能违背(降低)和/或识别的冲突的信息,以及在特定情况下还包含关于校正变型以消除识别的冲突的信息。
在步骤350中,判定模块137就参数存储器120中的参数的更新作出判定。基于所获得的结果的分析作出判定。如果未发现冲突,则系统理解安全级别未被降低。否则,如果发现了至少一个冲突,则在对参数进行改变时将降低安全级别。在分析结束时,进行如下判定中的至少一者:(1)对存储器的参数进行改变,因为将不降低安全级别;或(2)取消改变,因为将降低安全级别。
在该方法的特定示例性方面中,步骤350涉及一系列步骤,该系列步骤包括识别的冲突的附加分析以便确定对于被改变参数或对于来自参数存储器120的相关参数的可能校正,使得满足给定安全级别。因此,在步骤355中,分析在步骤340中获得的结果。如果未发现冲突,则如上所述,判定进行改变,该判定被发送到步骤390。否则,如果已识别冲突,则判定模块137向分析模块请求确保至少不降低安全级别的可能校正变型。在步骤360中,分析模块133通过校正变型进行分类,该分析模块133将这些校正变型发送到判定模块137。在步骤365中,模块137关于对于对参数可能进行的改变的校正作出判定,从而满足给定安全级别,同时该校正可以涉及在事务窗口中指定的改变和与被改变参数有关的参数二者。为此,模块137使用一系列条件,该模块37将根据该系列条件确定从接收的变型进行校正的可能性。此后,模块137借助交互代理110将对应变型提供给用户或独立地(通常在由硬件和/或软件105进行改变的情况下)判定校正或阻止改变。因此,在步骤370中,在存在校正变型的情况下,重配置模块130等待且接收用户关于优选变型的响应,关于该优选变型的信息被发送到交互代理110。在步骤380中,如果缺少校正变型或如果这些变型都不对应于该系列条件,则进行阻止改变。因此,如果交互代理110已接收到关于校正的信息,则代理将进行对应改变以及在步骤390中执行参数存储器中的参数的更新。在输入选择的校正变型之后,在步骤355中,附加验证也是可行的。
图3B示出在改变受监控系统的配置时确保给定安全级别的示例性方法的另一流程图。应当领会到,当接收改变参数存储器中的配置的参数的请求时,在改变受监控系统的配置时确保给定安全级别的方法执行与上文相对于图3A所描述的那些步骤相同的步骤310、步骤320、步骤330、步骤340、步骤350、步骤380和步骤390。然而,此外,在示例性方面中,在步骤320中形成仅包含允许改变的参数的事务窗口,以及在步骤325中针对在事务窗口中输入的改变进行初步验证。该验证涉及如下内容。交互代理110向分析模块133进行请求,该请求以优选形式来制定以供分析且至少包含如下数据:应用程序的标识符;由应用程序呈现的关键字;和参数的变化后的值。分析模块133借助来自安全策略的数据库135的安全策略分析所接收的改变。在分析期间,分析模块133从正确性的立场验证对参数进行这类改变的可能性,即,新值是否处于可允许范围内、或新值是否超出建立的阈值、或新值是否符合指定值?在初步验证期间,可以不完全执行来自接收的安全策略的规则或条件,以及在该情况下,后续在步骤340中将由分析模块133检查未执行的策略条件。
此外,在步骤340中,根据在步骤325中使用的安全策略的未满足的条件,仅针对与其它未改变的参数的一致性进行验证。此后,在步骤350中,关于参数存储器的配置中的参数的更新作出判定。基于所作出的判定,交互代理110移动到执行步骤380或步骤390。因此,在步骤380中,如果不存在校正变型或如果这些变型都不对应于该系列条件,则阻止改变。在步骤390中,如果交互代理110接收到关于校正的信息,则交互代理110进行对应改变,以及交互代理110执行参数存储器本身中的参数的更新。
图4示出根据示例性方面的其上可实施所公开的系统和方法的通用计算机系统(其可以为个人计算机或服务器)的示例。如所示,该计算机系统20包括中央处理单元21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23如同从现有技术已知的任何总线结构那样来实现,依次包括总线存储器或总线存储器控制器、外围总线和本地总线,该系统总线23能够与任何其它总线架构交互。系统存储器包括只读存储器(Read Only Memory,ROM)24和随机存取存储器(Random-Access Memory,RAM)25。基本输入/输出系统(Basic Input/Output System,BIOS)26包括保证在计算机系统20的元件之间的信息传递的基本程序,诸如在使用ROM 24加载操作系统时的那些基本程序。
个人计算机20依次包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于在可移动光盘31(诸如CD-ROM、DVD-ROM和其它光学信息媒介)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到系统总线23。驱动器和对应的计算机信息媒介为用于存储个人计算机20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
本发明提供使用硬盘27、可移动磁盘29和可移动光盘31的系统的实现方式,但是应当理解,可以采用能够存储以计算机可读的形式的数据的其它类型的计算机信息媒介56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等等),该计算机信息媒介56借助控制器55连接到系统总线23。
计算机20具有保持记录的操作系统35的文件系统36,以及还具有额外的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入个人计算机20中。可以使用其它输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等。这类输入设备通常通过串行端口46插入到计算机系统20中,该串行端口46转而连接到系统总线,但是这些输入设备可以以其它方式来连接,例如借助并行端口、游戏端口或通用串行总线(Universal Serial Bus,USB)。监控器47或其它类型的显示设备也通过接口(例如视频适配器48)连接到系统总线23。除了监控器47,个人计算机还可以装备有其它的外围输出设备(未示出),例如扬声器、打印机等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接而在网络环境内操作。一个或多个远程计算机49也为具有上文在描述个人计算机20的性质时提及的元件中的大多数元件或全部元件的个人计算机或服务器。其它设备也可以存在于计算机网络中,诸如路由器、网站、对等设备或其它网络节点。
网络连接可以形成局域计算机网络(Local-Area computer Network,LAN)50(诸如有线网络和/或无线网络)、和广域计算机网络(Wide-Area computer Network,WAN)。这些网络用在企业计算机网络和公司内部网络中,并且这些网络通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或其它模块来提供与广域计算机网络(诸如因特网)的通信。调制解调器54是内部设备或外部设备,通过串行端口46连接到系统总线23。应当注意,这些网络连接仅为示例且无需描绘网络的确切配置,即,实际上存在通过技术通信模块(诸如蓝牙)建立一个计算机到另一个计算机的连接的其它方式。
在各个方面中,本文中所描述的系统和方法可以以硬件、软件、固件或它们的任何组合来实施。如果以软件来实施,则上述方法可以作为一个或多个指令或代码而被存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM,ROM,EEPROM,CD-ROM,闪存或其它类型的电存储介质、磁存储介质或光存储介质、或可用来携带或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问的任何其它介质。
为了清楚起见,本文中没有公开各个方面的所有例程特征。将领会到,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。将领会到,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。

Claims (21)

1.一种用于改变计算机系统的参数值而不改变安全属性的方法,所述方法包括:
通过处理器接收改变所述计算机系统的系统配置的请求;
基于改变所述系统配置的所述请求,在关于所述计算机系统的系统配置的参数数据库中识别至少一个参数;
通过所述处理器接收改变识别的所述至少一个参数的指令;
通过所述处理器,基于接收的所述指令发起改变识别的所述至少一个参数的事务;
通过所述处理器确定发起的改变识别的所述至少一个参数的所述事务是否将降低所述计算机系统的至少一个安全级别;以及
当所述处理器确定发起的所述事务将不降低所述计算机系统的所述至少一个安全级别时,通过所述处理器执行与所述系统配置有关的识别的所述至少一个参数的改变。
2.根据权利要求1所述的方法,还包括:基于改变所述系统配置的所述请求识别至少一个关键字,使得在所述参数数据库中对所述至少一个参数的所述识别基于识别的所述关键字。
3.根据权利要求1所述的方法,还包括:在事务窗口上显示界面,所述界面配置成从所述计算机系统的操作者接收改变识别的所述至少一个参数的所述指令。
4.根据权利要求3所述的方法,其中,所述指令包括如下项中的至少一者:修改识别的所述至少一个参数的值的请求、去除识别的所述至少一个参数、或添加与识别的所述至少一个参数有关的新参数。
5.根据权利要求1所述的方法,还包括:
通过所述处理器确定识别的所述至少一个参数的当前状态;以及
基于识别的所述至少一个参数的所确定的所述当前状态和所述计算机系统的所述至少一个安全级别分析发起的所述事务,以确定从确定的所述当前状态对识别的所述至少一个参数的改变是否将符合所述计算机系统的所述至少一个安全级别的规则。
6.根据权利要求5所述的方法,还包括:当对识别的所述至少一个参数的所述改变将不符合所述计算机系统的所述至少一个安全级别的所述规则时,取消识别的所述至少一个参数的所述改变。
7.根据权利要求1所述的方法,还包括:
当所述处理器确定发起的改变识别的所述至少一个参数的所述事务将降低所述计算机系统的所述至少一个安全级别时,通过所述处理器识别改变识别的所述至少一个参数的所述指令的至少一个变型;以及
如果识别的所述至少一个变型被所述处理器执行以改变所述计算机系统的所述系统配置,则通过所述处理器确定改变识别的所述至少一个参数的所述指令的识别的所述至少一个变型是否将降低所述计算机系统的所述至少一个安全级别。
8.根据权利要求7所述的方法,还包括:
在用户界面上呈现改变识别的所述至少一个参数的所述指令的识别的所述至少一个变型;以及
在借助所述用户界面接收到来自用户指令的确认时,通过所述处理器执行识别的所述至少一个变型以改变所述计算机系统的所述系统配置。
9.根据权利要求1所述的方法,还包括:在发起改变识别的所述至少一个参数的所述事务之前,执行接收的改变识别的所述至少一个参数的所述指令的初步分析,以验证识别的所述至少一个参数和所述参数数据库中的与识别的所述至少一个参数有关的至少一个未改变的参数之间的一致性。
10.根据权利要求9所述的方法,其中,在验证所述至少一个未改变的参数和识别的所述至少一个参数之间一致时,执行改变识别的所述至少一个参数的所述事务的发起。
11.一种用于改变计算机系统的参数值而不改变安全属性的系统,所述系统包括:
关于所述计算机系统的系统配置的参数数据库;和
处理器,所述处理器配置成:
接收改变所述计算机系统的系统配置的请求;
基于改变所述系统配置的所述请求,在关于所述计算机系统的所述系统配置的所述参数数据库中识别至少一个参数;
接收改变识别的所述至少一个参数的指令;
基于接收的所述指令发起改变识别的所述至少一个参数的事务;
确定发起的改变识别的所述至少一个参数的所述事务是否将降低所述计算机系统的至少一个安全级别;以及
当所述处理器确定发起的所述事务将不降低所述计算机系统的所述至少一个安全级别时,执行与所述系统配置有关的识别的所述至少一个参数的改变。
12.根据权利要求11所述的系统,其中,所述处理器还配置成基于改变所述系统配置的所述请求识别至少一个关键字,使得在所述参数数据库中识别所述至少一个参数基于识别的所述关键字。
13.根据权利要求11所述的系统,其中,所述处理器还配置成在事务窗口上显示界面,所述界面配置成从所述计算机系统的操作者接收改变识别的所述至少一个参数的所述指令。
14.根据权利要求13所述的系统,其中,所述指令包括如下项中的至少一者:修改识别的所述至少一个参数的值的请求、去除识别的所述至少一个参数、或添加与识别的所述至少一个参数有关的新参数。
15.根据权利要求11所述的系统,其中,所述处理器还配置成:
确定识别的所述至少一个参数的当前状态;以及
基于识别的所述至少一个参数的确定的所述当前状态和所述计算机系统的所述至少一个安全级别分析发起的所述事务,以确定从确定的所述当前状态对识别的所述至少一个参数的改变是否将符合所述计算机系统的所述至少一个安全级别的规则。
16.根据权利要求15所述的系统,其中,所述处理器还配置成:当对识别的所述至少一个参数的所述改变将不符合所述计算机系统的所述至少一个安全级别的所述规则时,取消识别的所述至少一个参数的所述改变。
17.根据权利要求11所述的系统,其中,所述处理器还配置成:
当所述处理器确定发起的改变识别的所述至少一个参数的所述事务将降低所述计算机系统的所述至少一个安全级别时,识别改变识别的所述至少一个参数的所述指令的至少一个变型;以及
如果识别的所述至少一个变型被所述处理器执行以改变所述计算机系统的所述系统配置,则确定改变识别的所述至少一个参数的所述指令的识别的所述至少一个变型是否将降低所述计算机系统的所述至少一个安全级别。
18.根据权利要求17所述的系统,其中,所述处理器还配置成:
在用户界面上呈现改变识别的所述至少一个参数的所述指令的识别的所述至少一个变型;以及
在借助所述用户界面接收到来自用户指令的确认时,执行识别的所述至少一个变型以改变所述计算机系统的所述系统配置。
19.根据权利要求11所述的系统,其中,所述处理器还配置成:在发起改变识别的所述至少一个参数的所述事务之前,执行接收的改变识别的所述至少一个参数的所述指令的初步分析,以验证识别的所述至少一个参数和所述参数数据库中的与识别的所述至少一个参数有关的至少一个未改变的参数之间的一致性。
20.根据权利要求19所述的系统,其中,所述处理器还配置成:在验证所述至少一个未改变的参数和识别的所述至少一个参数之间一致时,执行改变识别的所述至少一个参数的所述事务的发起。
21.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质包括用于改变计算机系统的参数值而不改变安全属性的计算机可执行指令,所述非暂时性计算机可读介质包括用于如下操作的指令:
接收改变所述计算机系统的系统配置的请求;
基于改变所述系统配置的所述请求,在关于所述计算机系统的系统配置的参数数据库中识别至少一个参数;
接收改变识别的所述至少一个参数的指令;
基于接收的所述指令发起改变识别的所述至少一个参数的事务;
确定发起的改变识别的所述至少一个参数的所述事务是否将降低所述计算机系统的至少一个安全级别;以及
当处理器确定发起的所述事务将不降低所述计算机系统的所述至少一个安全级别时,执行与所述系统配置有关的识别的所述至少一个参数的改变。
CN201710979282.8A 2017-08-10 2017-10-19 确保系统配置的安全改变的系统和方法 Active CN109388950B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2017128542 2017-08-10
RU2017128542A RU2666645C1 (ru) 2017-08-10 2017-08-10 Система и способ обеспечения безопасного изменения конфигурации систем
US15/722,009 2017-10-02
US15/722,009 US11126729B2 (en) 2017-08-10 2017-10-02 System and method of ensuring secure changing of system configurations

Publications (2)

Publication Number Publication Date
CN109388950A true CN109388950A (zh) 2019-02-26
CN109388950B CN109388950B (zh) 2022-06-28

Family

ID=63580222

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710979282.8A Active CN109388950B (zh) 2017-08-10 2017-10-19 确保系统配置的安全改变的系统和方法

Country Status (4)

Country Link
US (1) US11126729B2 (zh)
JP (1) JP6798962B2 (zh)
CN (1) CN109388950B (zh)
RU (1) RU2666645C1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3942432A1 (en) * 2019-05-06 2022-01-26 Google LLC Rendering content using a content agent and/or stored content parameter(s)
EP3828748B1 (en) 2019-11-27 2024-06-26 AO Kaspersky Lab System and method for access control in electronic control units of vehicles
RU2750626C2 (ru) 2019-11-27 2021-06-30 Акционерное общество "Лаборатория Касперского" Система и способ управления доступом в электронных блоках управления транспортными средствами
US11683294B2 (en) * 2019-12-30 2023-06-20 Imperva, Inc. Privacy-preserving learning of web traffic
US11475151B2 (en) * 2020-09-01 2022-10-18 International Business Machines Corporation Security policy management for database
EP4137943A1 (en) * 2021-08-16 2023-02-22 Bayerische Motoren Werke Aktiengesellschaft Control unit for improving a software build process, method and computer program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070061125A1 (en) * 2005-08-12 2007-03-15 Bhatt Sandeep N Enterprise environment analysis
CN102932323A (zh) * 2011-08-29 2013-02-13 卡巴斯基实验室封闭式股份公司 对计算机网络中安全相关事故的自动分析
US20140280268A1 (en) * 2013-03-15 2014-09-18 Ca, Inc. System and method for verifying configuration item changes

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6877051B2 (en) * 2001-06-12 2005-04-05 Intel Corporation Consistency checking mechanism for configuration parameters in embedded systems
JP3743336B2 (ja) * 2001-09-14 2006-02-08 日本電気株式会社 構成管理装置
US8621077B2 (en) * 2001-09-21 2013-12-31 Mcafee, Inc. Distribution of security policies for small to medium-sized organizations
US20040059920A1 (en) * 2002-09-19 2004-03-25 International Business Machines Corporation Security health checking tool
JP2005055978A (ja) * 2003-08-06 2005-03-03 Hitachi Ltd 情報処理装置及び情報処理システム
EP1664985A1 (en) 2003-09-16 2006-06-07 Siemens Medical Solutions Health Services Corporation A processing device security setting configuration system and user interface
US7890946B2 (en) * 2004-05-11 2011-02-15 Microsoft Corporation Efficient patching
US8539469B2 (en) 2004-05-11 2013-09-17 Microsoft Corporation Efficient patching
JP2008009830A (ja) 2006-06-30 2008-01-17 Hitachi Electronics Service Co Ltd 作業確認装置
JP4842742B2 (ja) 2006-09-05 2011-12-21 富士通株式会社 ソフトウェア管理プログラム、ソフトウェア管理方法およびソフトウェア管理装置
JP2008234249A (ja) 2007-03-20 2008-10-02 Hitachi Software Eng Co Ltd サーバ管理者による矛盾・不整合のある設定防止セキュリティ管理システム
US7386885B1 (en) * 2007-07-03 2008-06-10 Kaspersky Lab, Zao Constraint-based and attribute-based security system for controlling software component interaction
US8429395B2 (en) * 2009-06-12 2013-04-23 Microsoft Corporation Controlling access to software component state
EP2290900A1 (en) 2009-08-31 2011-03-02 ABB Technology AG Checking a configuration modification for an IED
US8185501B1 (en) * 2010-03-08 2012-05-22 Sprint Communications Company L.P. Conditional fractional data store replication
JP5293659B2 (ja) 2010-03-18 2013-09-18 ブラザー工業株式会社 制御装置とコンピュータプログラム
WO2011119137A1 (en) * 2010-03-22 2011-09-29 Lrdc Systems, Llc A method of identifying and protecting the integrity of a set of source data
JP6403591B2 (ja) * 2014-03-03 2018-10-10 キヤノン株式会社 画像形成装置、画像形成装置の制御方法およびプログラム
US20160162269A1 (en) * 2014-12-03 2016-06-09 Oleg POGORELIK Security evaluation and user interface for application installation
CN106201563B (zh) * 2015-04-29 2020-01-03 新华三信息技术有限公司 启动参数的配置方法和装置、主板启动的方法和装置
US10275282B1 (en) * 2015-11-11 2019-04-30 Amazon Technologies, Inc. Automated rollback
US10642784B2 (en) * 2016-09-15 2020-05-05 International Business Machines Corporation Reducing read operations and branches in file system policy checks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070061125A1 (en) * 2005-08-12 2007-03-15 Bhatt Sandeep N Enterprise environment analysis
CN102932323A (zh) * 2011-08-29 2013-02-13 卡巴斯基实验室封闭式股份公司 对计算机网络中安全相关事故的自动分析
US20140280268A1 (en) * 2013-03-15 2014-09-18 Ca, Inc. System and method for verifying configuration item changes

Also Published As

Publication number Publication date
JP2019036274A (ja) 2019-03-07
US20190050577A1 (en) 2019-02-14
US11126729B2 (en) 2021-09-21
RU2666645C1 (ru) 2018-09-11
JP6798962B2 (ja) 2020-12-09
CN109388950B (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
CN109388950A (zh) 确保系统配置的安全改变的系统和方法
US10735429B2 (en) Controlling user creation of data resources on a data processing platform
EP3067817B1 (en) Dynamic data masking for mainframe application
US10268837B2 (en) Validation of containers
CN103530563B (zh) 用于更新经授权软件的系统和方法
JP2022520005A (ja) ハイブリッド・コンピューティング環境におけるパッチ管理
US10079832B1 (en) Controlling user creation of data resources on a data processing platform
US10116682B2 (en) System and method for evaluating and enhancing the security level of a network system
US20110231552A1 (en) Techniques for intelligent service deployment
JP6788178B2 (ja) 設定支援プログラム、設定支援方法及び設定支援装置
US10296750B1 (en) Robust data tagging
US11507434B2 (en) Recommendation and deployment engine and method for machine learning based processes in hybrid cloud environments
JP2020204898A (ja) 分散台帳システムの運用管理方法、分散台帳システムの運用管理システム、および分散台帳システムの運用管理プログラム
US20240289450A1 (en) Automated threat modeling using application relationships
US11748686B1 (en) Automated onboarding service
US10423398B1 (en) Automated firmware settings management
JP2019021161A (ja) セキュリティ設計支援システムおよびセキュリティ設計支援方法
US20230050048A1 (en) Isolating And Reinstating Nodes In A Distributed Ledger Using Proof Of Innocence
Sen et al. Analysis of a cloud migration framework for offline risk assessment of cloud service providers
US11206284B2 (en) Automated threat analysis of a system design
Trad Enterprise Transformation Projects-Cloud Transformation Concept–Holistic Security Integration (CTC-HSI)
CN105430043A (zh) 一种面向虚拟化实例的启动配置实施方法
US8112370B2 (en) Classification and policy management for software components
EP3441901B1 (en) System and method of ensuring secure changing of system configurations
CN114257397B (zh) 基于复杂网络的策略冲突处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant