CN1739275A - 内容管理系统 - Google Patents
内容管理系统 Download PDFInfo
- Publication number
- CN1739275A CN1739275A CNA2003801059604A CN200380105960A CN1739275A CN 1739275 A CN1739275 A CN 1739275A CN A2003801059604 A CNA2003801059604 A CN A2003801059604A CN 200380105960 A CN200380105960 A CN 200380105960A CN 1739275 A CN1739275 A CN 1739275A
- Authority
- CN
- China
- Prior art keywords
- user
- task
- data
- weakness
- configuration standard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0633—Workflow analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Operations Research (AREA)
- General Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Marketing (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Selective Calling Equipment (AREA)
Abstract
一种用于监视弱点的技术信息的方法,该方法包括自动化工作流处理,该工作流处理用于检测弱点,研究该弱点,以及在弱点数据内对该弱点建档。
Description
相关申请的引用
本公开基于2002年12月13日提交的临时专利申请60/433,264,并要求其权利,在此引入该专利申请的全部内容作为参考。
技术领域
本公开涉及内容,更具体地,涉及内容管理系统。
背景技术
目前,计算机网络安全是极度重要的一个问题。网络可包括提供某一级别的网络安全的广泛安全工具。即使使用这样的安全工具,网络弱点和配置问题可仍然造成潜在高昂代价的安全风险。
弱点是已发现的技术缺陷。配置标准是用于实现和查核特定技术的指导。可用人工来修正弱点和配置标准。策略可用于帮助人们了解该作些什么,并提供对系统的检查,以确定对弱点的处理高效且有效地起作用。
为了更好地管理对弱点和配置标准的处理,可将正确的措施划分为随后可分配给个人的分立任务。用于识别任务、分配任务、确认任务、和捕获任务的完成的详细过程可帮助各公司通过可重复的过程达到可接受的风险水平。
发明内容
一种用于监视弱点的技术信息的方法,该方法包括自动化工作流处理,该工作流处理用于检测弱点,研究该弱点,以及在弱点数据内对该弱点建档。
一种用于监视配置标准的技术信息的方法,该方法包括自动化工作流处理,该自动化工作流处理用于启动配置标准,研究该配置标准,以及在配置标准数据中对该配置标准建档。
一种用于开发用于自动化工作流处理的配置标准的方法,包括启动内容项,研究该内容项,验证该内容项,批准该内容项,以及将该内容项公布到批准配置标准的数据库中。
一种用于使用自动化工作流处理更新内容管理系统内的内容的方法,其中该内容管理系统内的内容由使用拉方法的内容更新系统通过允许系统在请求时获得更新的内容而不是将数据推到所述系统被更新。
一种用于使用自动化工作流处理创建用于内容管理系统内的策略的方法,包括启动内容项,研究该内容项,验证该内容项,批准该内容项,将该内容项公布到已批准策略的数据库中。
一种用于监视弱点的技术信息的自动化工作流系统,包括用于检测弱点的检测器,用于研究该弱点的研究器,以及用于在弱点数据内对该弱点建档的建档器。
一种用于监视配置标准的技术信息的自动化工作流系统,包括用于启动配置标准的启动器,用于研究该配置标准的研究器,以及用于在配置标准数据中对该配置标准建档的建档器。
一种用于开发用于自动化工作流系统的配置标准的系统,包括用于启动内容项的启动器,用于研究该内容项的研究器,用于验证该内容项的验证器,用于批准该内容项的批准器,以及用于将该内容项公布到批准配置标准的数据库中的公布器。
一种用于使用自动化工作流系统更新内容管理系统内的内容的系统,包括用于更新该内容管理系统内的内容的内容更新系统,其中该内容更新系统使用允许系统在请求时获得更新的内容而不是将数据推到该系统上的拉方法。
一种用于使用自动化工作流系统创建用于内容管理系统内的策略的系统,包括用于启动内容项的启动器,用于研究该内容项的研究器,用于验证该内容项的验证器,用于批准该内容项的批准器,用于将该内容项公布到已批准策略的数据库中的公布器。
一种计算机系统,包括处理器,以及体现可由该处理器执行以实现用于监视弱点的技术信息的方法步骤的指令程序的该计算机系统可读的程序存储装置,该方法步骤包括检测弱点,研究该弱点,以及在弱点数据内对该弱点建档。
一种计算机系统,包括处理器,以及体现可由该处理器执行以实现用于监视配置标准的技术信息的方法步骤的指令程序的该计算机系统可读的程序存储装置,该方法步骤包括自动化工作流处理,用于启动配置标准,研究该配置标准,以及在配置标准数据中对该配置标准建档。
一种计算机系统,包括处理器,以及体现该处理器可执行以实现用于开发用于自动化工作流处理的配置标准的方法步骤的指令程序的该计算机系统可读的程序存储装置,该方法步骤包括启动内容项,研究该内容项,验证该内容项,批准该内容项,以及将该内容项公布到批准配置标准的数据库中。
一种计算机系统,包括处理器,以及体现该处理器可执行以实现用于使用自动化工作流处理更新内容管理系统内的内容的方法步骤的指令程序的该计算机系统可读的程序存储装置,其中该内容管理系统内的内容由使用拉方法的内容更新系统通过允许系统在请求时获得更新的内容而不是将数据推到所述系统上而被更新。
一种计算机系统,包括处理器,以及体现该处理器可执行以实现用于使用自动化工作流处理创建用于内容管理系统内的策略的方法步骤的指令程序的该计算机系统可读的程序存储装置,该方法步骤包括启动内容项,研究该内容项,验证该内容项,批准该内容项,将该内容项公布到已批准策略的数据库中。
附图说明
由于参照下面结合附图所作的详细描述可更好地理解本发明,因此将容易获得对本公开及其伴随的许多优点的更完全理解,其中:
图1示出对弱点的质量确保过程高级视图;
图2示出对配置标准的质量确保过程的高级视图;
图3示出向CMS中输入新策略的工作流的高级视图;
图4示出将新弱点引入到CMS中的流程图;
图5示出详述怎样对弱点进行研究和建档的流程图;
图6示出详述怎样验证弱点的流程图;
图7示出详述怎样批准并公布弱点的流程图;
图8示出能够实现本公开的方法和装置的计算机系统的一个例子。
具体实施方式
在对附图中所示出的本公开的优选实施例的描述中,为了清楚起见,使用特定的术语。但是,本公开并非要限于这样选择出的特定术语,应该理解,每一个特定组件包括以相同方式操作的所有技术等同物。
弱点是已发现的技术缺陷。配置标准是用于实现特定技术的指导。未加修正的弱点会通过允许未授权的人或程序访问连接到网络的信息技术系统或资产,而威胁该网络安全。配置标准指示配置怎样的保护网络资产的安全特征。较差配置的安全特征也可严重威胁网络安全。
自动化内容管理系统(CMS)用于更好地管理对可威胁网络安全的弱点和配置标准的处理。根据本公开的一个实施例,CMS是一般运行于例如网络服务器的计算机之上的计算机程序,其组织和管理个人在他们对弱点和配置标准的处理中所进行的动作。使用CMS管理对弱点和配置标准进行的处理的个人称作“用户”。可向每一位用户分派一个或多个角色。角色指示可能分派给各个用户的任务类型。还可向职责组分派角色。职责组是共享特定技术组集的一类用户。分派给一个职责组的任务可由该职责组中的任何一位成员来完成。
本公开涉及自动化CMS。根据本公开的一个实施例,可将用于修正弱点和配置标准的措施划分为分立的任务,这些任务随后可根据用户的相关职责组而分配给各用户。然后,已由一位用户完成的任务可导致随后任务为另一位用户创建,直到弱点或配置得到满意补救。当涉及特定弱点或配置标准的补救的任务由一个用户完成,且作为结果,涉及该相同特定弱点或配置标准的补救的第二个任务被创建并分派给第二个用户时,为了简单起见,在此该情境称作该弱点从一个用户发送或路由到第二个用户。这种从用户到用户的任务传播可称作工作流。根据本公开的一个实施例,CMS提供自动化的工作流,其中新任务被自动创建并分派给用户,且已完成的任务可自动触发随后任务的创建。
根据本公开的一个实施例,CMS包括质量保证(QA)过程。QA过程允许CMS通过工作流来管理任务,以确保弱点和配置标准得到可重复的高质量级别的补救。QA过程将角色与各个用户相关联。
在对任务进行工作的过程期间,用户可生成内容。内容可以是文本、计算机代码或任何其他可用于对弱点或配置标准进行补救的内容,其中的弱点或配置标准是与该用户当前的任务所相关联的。
用户可通过创建新的内容或编辑旧的内容而实现修正。当用户完成了一项任务,且内容已被改变时,CMS为具有批准器角色的用户创建新任务,以检查已改变的内容,并可能批准所作出的改变。根据本公开的实施例,可能存在对应于多层批准级别的多个批准器。对内容所作的改变直到被最终批准器批准时才变为有效。在内容改变被最终批准之后,所改变的内容被添加到内容数据库中。需要访问已更新内容的随后任务将能够从该内容数据库中获得已更新的内容。如果改变未被批准,则这些改变将被清除,或为后面的编辑进行保存,且内容恢复到其先前状态。为了防止多位用户同时改变内容,可在一位用户目前正工作于一个任务且该内容正待批准时锁定该内容。
每一位用户可能被分派了多个任务。每一位用户都具有任务列表,其中列出了所有分派给该用户的任务。CMS向各个用户或向职责组分派任务,这些任务显示于适当用户的任务列表之上。该任务列表还指示所列出的任务的状态。当一个任务可用于由该任务被分派到的组内的用户所执行时,该任务具有开放状态。当一个任务目前正由该任务列于其任务列表之上的用户所工作时,该任务具有个人的状态。当该组内的另一用户目前正工作于一个任务时,该任务具有锁定状态。任务列表还指示所列出的任务的优先级。优先级是任务的重要性级别。例如,任务的优先级可以是高、中、或低。任务列表还可指示任务被提交到CMS的日期。任务列表还可指示任务的名字、任务所影响的技术资产、和/或任务目前所处的QA阶段。QA阶段是弱点或配置标准在质量保证过程中到达什么程度的指示。尽管这里将一个任务称作是分派给诸如检查器、研究器等的用户,但应当理解,该任务可被分派给具有检查器、研究器等特定角色的特定用户或用户组。
用户可查看列于他或她的任务列表上的任务。查看任务允许用户查看与该任务相关的内容。查看任务的用户可能不改变相应的内容。即使当一位用户目前正查看该任务时,其他查看器可照旧访问该任务和其内容。该用户还可能打开该任务。当该任务被打开时,允许该用户对相应内容作出改变,但是,其他用户不能打开已打开的任务。
用户可通过使用过滤器而改变任务显示于任务列表中的顺序。过滤器可依内容类型来显示任务。内容类型指示该任务是否涉及弱点或配置标准。过滤器还可依状态或优先级来显示任务。
根据本公开的一个实施例,可向用户分派经验级别。例如,经验级别可指示用户在处理所分派的任务方面所具有的经验多少。用户的经验级别将有助于CMS确定在最终批准用户已作出的内容改变之前,所需要的检查级别的数目。例如,具有较少经验的用户可能比具有更多经验的用户需要更多级别的检查。
在每一个QA阶段,用户可输入引用名称/编号及新技术名称。技术名称和引用名称/编号标识该弱点或配置标准涉及什么资产。对于资产的名称和引用所作出的改变被呈现给用于批准的批准器,且其直到获得了最终批准之后才会变得有效。在获得最终批准之后,名称和引用将被添加到内容数据库中。
本公开的实施例可使用利用层次结构说明相关资产之间的关系的技术名称。技术名称可包括例如厂商名称、产品名称、版本号、次级版本号、服务程序包号和/或其他起描述作用的名称。弱点和配置标准可涉及特定资产或资产系列。当弱点或配置标准涉及资产系列时,所使用的技术名称可以是包括所有影响到的资产的技术名称。例如,如果弱点涉及给定产品名称的每一个版本号,则可以厂商名称和产品名称来标识该弱点。如果弱点仅涉及特定次级版本号,则技术名称可以是厂商名称、产品名称、版本号和次级版本号。对于资产系列所采取的补救措施可以施加到该系列内的所有资产。
已打开一个任务的用户可添加作为弱点或配置标准的内容的一部分的工作流注释字段。工作流注释可以在任务被用户打开时随内容一起显示。可以最近的添加首先呈现的方式来显示工作流注释。
根据本公开的实施例,每一位用户可具有相关的用户帐户。用户帐户由CMS的管理员来维护。用户帐户可存储诸如用户的公司名称、登录名称和符合设置口令标准的口令的信息。用户为获得对他们任务列表的访问而登录到CMS。
CMS捕获并存储CMS使用数据。涉及用户登录和注销的时间的数据被记录。弱点和配置标准被提交给CMS的日期也被记录。也可记录弱点或配置标准在CMS中所处的时间长度。根据本公开的一个实施例,此时间长度是从发起涉及弱点或配置标准的第一个任务到最终批准的任务完成时所经历的时间。特别为高优先级的弱点和配置标准记录该信息。也可为涉及所有补救的所有分立任务记录时间长度数据。然后,所记录的数据用于生成诸如用户活动报告的度量。
用户的帐户可由CMS管理员撤销。当用户帐户被撤销时,所有与该用户相关的开放任务都将归复到该用户的组或被重新分派。
图1示出了涉及弱点的补救的QA过程的高级视图。该图规定QA阶段以及可向其分派涉及此QA阶段的任务的用户的角色。当向用户分派了一个任务时,此任务将呈现在该用户的任务列表中。当弱点被发送给另一用户时,在该另一用户的任务列表中创建新任务,且初始任务被完成。根据本公开的该实施例,将第一个任务分派给具有弱点发起器角色的用户。弱点发起器可发起新的弱点(步骤S1)。弱点发起器可创建涉及该新弱点的内容。例如,该内容可包括弱点的描述。为了防止自动化CMS中不必要的延迟,用户可仅具有开放任务一规定时间量。例如,根据本公开的一个实施例,弱点内容可仅开放低于48小时的时间周期,或对该弱点解锁且丢失对于该内容所作的修改。在使该弱点开放24小时之后,可向用户警告这一事实。
在弱点发起器发起该新弱点(步骤S1),从而完成所分派的任务之后,具有弱点检查器角色的用户执行初始检查(步骤S2)。要检查的弱点将呈现在将检查该弱点内容的弱点检查器的任务列表中。如果例如该弱点已存在于CMS中或已知不是有效弱点,则初始检查器可拒绝该弱点。例如,如果例如同一所怀疑的弱点过去已被拒绝,则该弱点可能已知不是有效的弱点。如果该弱点被拒绝,则可将该弱点发送到弱点最终批准器的任务列表中,以便最终拒绝(步骤S8)。最终拒绝可结束该弱点的补救。弱点检查器也可能批准该弱点(步骤S2),从而完成所分派的任务。然后,将所批准的弱点分派给具有弱点研究器角色的用户或用户组。如果该任务被分派给弱点研究器组,则该任务可呈现在该组中的每一位用户的任务列表中,直到该组中的一位用户打开该任务而此时该组中的其他用户不再打开该任务为止。如果该任务分派给了特定用户,则仅该用户可打开该任务。首先打开该任务的用户可研究该弱点,并相应地更新内容(步骤S3)。该研究器或者标记该弱点以便拒绝并将其发送给最终批准器(步骤S8)、将该弱点发送给顾问(步骤S4)、将更新的弱点内容发送给弱点验证器(步骤S6)、或如果该研究器认为该弱点是一个主要的弱点则以预警标志标记该弱点。例如当弱点影响主要资产、厂商还未识别出弱点且不存在修正该弱点的补丁、或弱点是严重的且影响多种非主要资产时,这些弱点被认为是主要的。当研究器或验证器将弱点发送给顾问时,该顾问将协助该研究和验证过程(步骤S4)。该顾问可编辑弱点内容并将其发送回给研究器,以便进一步研究(步骤S3)。顾问可以是参与对要管理的信息技术的管理的任何用户,或是未参与要管理的信息技术的个人。当研究器以预警标志标记了弱点,并将该弱点提交回到工作流中,最终批准器将该预警接收到他或她的任务列表中(步骤S5)。最终批准器可批准该预警或拒绝该预警。在每一种情况下,将该弱点发送到该弱点研究器的任务列表中。当弱点研究器确定研究完成时,将该弱点发送给弱点验证器(步骤S6)。弱点验证器将验证该弱点内容。这涉及或者标记该弱点以便拒绝、将该弱点发送给顾问以便请教(步骤S4)、将该弱点返回给研究器(步骤S3)以继续进行研究、或者验证该弱点内容。当弱点验证器验证该弱点内容时(步骤S6),将该弱点转移到该弱点技术编辑器的任务列表中(步骤S7)。技术编辑器为了格式化和清楚对该弱点内容进行编辑。然后,将该弱点发送到弱点最终批准器的任务列表中(步骤S8)。弱点最终批准器将执行最终批准步骤,其中他或她具有这样的能力,即或者拒绝该弱点、将该弱点返回给研究器(步骤S3)以继续进行研究、或者批准该弱点内容。已由弱点最终批准器批准的弱点内容被添加到内容数据库中。
图2示出了用于配置标准的补救的QA过程的高级视图。当一位用户向另一位用户发送配置标准从而完成任务时,在该另一用户的任务列表中创建新任务。配置标准发起器发起新的配置标准(步骤S11)。在该配置标准正被创建时,锁定该配置标准,没有其他用户可打开该配置标准内容。在发起了该配置标准之后,将其发送给配置标准检查器(步骤S12)。配置标准检查器执行对该配置标准的初始检查。配置标准检查器可以或者将该配置标准研究组或者单个研究器(步骤S13)。如果例如该配置标准已存在于CMS中或已知不是有效的配置标准中,则初始检查器也可拒绝它。配置标准研究器执行对该配置标准的研究(步骤S13)。配置标准研究器具有这样的能力,即或者标记该配置标准以便拒绝并使该配置标准呈现给最终批准器以便拒绝(步骤S17)、将该配置标准内容发送给顾问(步骤S14)、或者更新该配置标准内容并将其发送给配置标准验证器(步骤S15)。顾问可在该任务输入到他或她的任务列表时接收电子邮件。配置标准顾问可协助对该配置标准的研究和验证(步骤S14)。顾问可编辑该配置标准内容,且然后,根据发送该配置标准内容的人将其发送回给研究器(步骤S13)或验证器(步骤S14)。如果顾问未在五天之内打开该任务,则该任务将被返回给发送它的研究器或验证器。在步骤S15,配置标准验证器可以或者标记该配置标准以便拒绝并使该配置标准发送给配置标准最终批准器以便最终批准(步骤S17)、将该配置标准发送给顾问(步骤S14)、将配置标准返回给研究器(步骤S13)以便继续研究、或者验证该配置标准内容并使其发送给配置标准技术编辑器(步骤S16)。在步骤S16,配置标准技术编辑器为了格式化和清楚对该配置标准内容进行编辑,然后,将其发送给配置标准最终批准器。在步骤S17,配置标准最终批准器或者拒绝该配置标准、将其返回给研究器(步骤S13)或验证器(步骤S15)、或者批准该配置标准内容。已批准的配置标准内容被添加到内容数据库中。
策略是可用于管制用户行为的文本文档。图3示出了用于向CMS中输入新策略的工作流的高级视图。在初始化(步骤S21)期间,用户使用图形用户接口发起新内容输入,并将该内容分派给被证明处理该内容类型的用户。该用户将研究该内容(步骤S22),并可能或者拒绝它、将其发送给最终批准器(步骤S27)、或者发送它以进行验证(步骤S23)。在验证步骤S23,验证器可接受该内容,并将其转发给技术编辑器以便进行编辑(步骤S24)。验证器还可以拒绝该内容,并通知最终批准器(步骤S28)。如果信息丢失,则验证器可将该内容返回给研究器,以便进一步研究(步骤S22)。在编辑(步骤S24)期间,技术编辑器为了格式化和清楚而对该内容进行编辑,并将其发送到批准队列(步骤S25)。批准队列可以例如是批准器的任务列表。在批准步骤S25,批准器可接受、拒绝或将该提交路由回给验证器,以要求其他信息。如果拒绝,则将该提交保存为未批准(步骤S29)。如果批准器有疑问,则可将该提交返回给验证器,以便进一步验证(步骤S23)。如果批准器接受该提交,则发送该内容以便公布(步骤S26)。在公布期间,研究组可在公布之前执行最终检查,然后可将该内容公布到内容数据库(步骤S30)。
图4示出了将新弱点引入到CMS中的流程图。在web监视和研究(步骤S31)期间,研究组监视互联网新闻组、邮件列表及报警服务,以获得关于新弱点的信息。在识别出潜在弱点时,研究器将弱点内容提交到内容开发发起队列(步骤S32)。内容开发发起队列可以是例如弱点内容管理器的任务列表的一部分。如果弱点内容管理器认为潜在弱点是主要的,则立即发出预警通知。例如在弱点影响主要资产、弱点还未被厂商识别出且不存在修正该弱点的补丁、或该弱点是严重的且影响多种非主要资产时,这些弱点可被认为是主要的。内容管理器将每一个新弱点分派给适当研究器,以进行研究。研究器可对潜在弱点进行分析、测试和/或建档,以验证弱点存在(步骤S33)。如果弱点被认为是真实的,则研究器可将该弱点的唯一描述添加到弱点内容中。研究器还可分派值,以指示该弱点可能对资产所造成的影响、弱点的普及性和/或开发该弱点所需的技术的复杂性。然后,研究器可对弱点的任何厂商补丁和/或用于减轻弱点内容中的风险的任何其他对策建档。然后,将弱点发送给验证器,验证器检查该弱点内容的准确性和完整性(步骤S34)。然后,技术编辑器可检查该弱点内容,以确保语言清楚且类型符合规定标准(步骤S35)。然后,弱点内容管理器可检查该弱点内容,以确保信息是准确和完整的(步骤S36)。然后,批准器可执行质量保证检查,并然后将该弱点内容路由回给弱点内容管理器,以便公布到内容数据库(步骤S37)。
图5示出了提供在图4的步骤S33中执行怎样对弱点进行研究和建档的更多细节的流程图。在弱点内容管理器向研究器的任务列表或队列分派了一个弱点(步骤41)之后,该研究器检查弱点数据库,以查看该弱点是否已被报告过(步骤S42)。研究器可检查该弱点,并试图找到建立该相同弱点的其他源(步骤S43)。如果可找到该弱点的第二源(是,步骤S43),则研究器对该弱点进行研究和建档(步骤S44)。然后,研究器提交该弱点,以便检查(步骤S45),且该弱点前进到验证(步骤S60)。如果未发现第二源(否,步骤S43),研究器将试图以该弱点的厂商或测试验证该弱点(步骤S46)。如果该弱点可被验证(是,步骤S47),则在弱点内容对该弱点进行建档(步骤S48),提交该弱点以便检查(步骤S49),并发送该弱点以便验证(步骤S60)。如果该弱点不能被验证(否,步骤S47),则将研究结果记录在内容中,并将弱点发送给弱点内容管理器(步骤S50)。如果内容管理器认为未经验证的弱点可被验证(是,步骤S54),则他可检查该弱点内容(步骤S51),并返回它以便进一步研究(步骤S52)。或者,如果内容管理器认为未经验证的弱点不能以其他研究进行验证(否,步骤S54),则他可将该弱点内容发送到随后研究的未验证弱点的文件(步骤S53)。
图6示出了提供对图4的步骤S34和S35中执行的怎样可验证和编辑弱点的更多细节的流程图。验证器接收为进行检查已发送到他或她的任务列表中的弱点(步骤S62)。验证器评定该弱点的性质,以确定该弱点的影响、普及性和开发的简易性,并可检查由研究器发现的任何外部引用(步骤S63)。如果验证器确定弱点无效(否,步骤S64),验证器可在弱点内容中输入注释,并将该弱点路由回给弱点管理器(步骤S65)。如果验证器确定该弱点有效(是,步骤S64),则验证器可确定涉及该弱点的信息是否完整(步骤S66)。如果它被确定不完整(否,步骤S66),则可向弱点内容中输入注释,并将该弱点路由回给研究器(步骤S67)。如果弱点被确定为是完整的(是,步骤S66),则可将该弱点路由回(步骤S68)给弱点内容管理器,以进行检查(步骤S69)。如果弱点内容管理器确定该弱点无效(否,步骤S70),则可将其发送给未验证弱点文件,以进行随后的研究(步骤S71)。如果确定该弱点有效(是,步骤S70),则弱点内容管理器可确定涉及该弱点的信息是否完整(步骤S72)。如果其不完整(否,步骤S72),则可向该弱点内容中添加注释,并将该弱点路由给研究器(步骤S73)。如果其是完整的(是,步骤S74),则可将该弱点路由(步骤S74)给技术编辑器,以进行检查(步骤S75)。技术编辑器可为了语言及与规定标准的一致性对该弱点内容进行编辑,然后将该弱点路由(步骤S76)给弱点管理器,以进行批准和公布。
图7示出了提供图4的步骤S36和S37中执行的怎样检查、批准并公布弱点的更多细节的流程图。弱点内容管理器从技术编辑器接收弱点,并对其进行检查(步骤S82)。如果基于任何原因,该弱点是不可接受的(否,步骤S83),则弱点内容管理器将其路由回给研究器、验证器或技术编辑器,以进行进一步研究、验证和/或技术检查(步骤S85)。如果弱点是可接受的(是,步骤S83),则将其路由(步骤S84)给批准器,以进行检查(步骤S86)。如果批准器发现该弱点是不可接受的(否,步骤S87),则将该弱点路由回给弱点管理器(步骤S88)。如果批准器发现该弱点是可接受的(是,步骤S87),则批准器批准该弱点,以进行公布(步骤S89),并将该弱点发送给弱点内容管理器,以进行公布(步骤S90)。然后,弱点内容管理器将该弱点公布到弱点数据库(步骤S91)。
图8示出了可实现本公开的方法和系统的计算机系统的一个例子。本公开的系统和方法可以运行于计算机系统上的软件应用程序的形式来实现,其中的计算机系统例如是大型机、个人计算机(PC)、手持计算机、服务器等。该软件应用程序可存储于可由该计算机系统本地访问并可通过到例如局域网或互联网的网络的硬连线或无线连接访问的记录介质上。
统称作系统100的计算机系统可包括例如中央处理单元(CPU)102、随机存储器(RAM)104、打印机接口106、显示单元108、局域网(LAN)数据传输控制器110、LAN接口112、网络控制器114、内部总线116和一个或多个输入设备118,例如键盘、鼠标等。如图所示,系统100可通过链路122连接到例如硬盘120的数据存储设备。
Claims (95)
1.一种用于监视弱点的技术信息的方法,该方法包括自动化工作流处理,该工作流处理用于:
检测弱点;
研究该弱点;以及
在弱点数据内对该弱点建档。
2.权利要求1的方法,其中上述自动化工作流处理进一步包括:
检查该弱点和弱点数据;
编辑该弱点数据;
批准该弱点和弱点数据;以及
将该弱点和弱点数据公布到数据库。
3.权利要求1的方法,其中在该工作流处理中的每一个步骤处,可将包括引用名称、引用编号和技术名称的引用数据添加到弱点数据中,且该引用数据将呈现给批准器,以便批准。
4.权利要求1的方法,其中在该工作流处理中的每一个步骤处,可向弱点数据中添加工作流注释,且该工作流注释可在该工作流处理的步骤期间显示,最近的添加最先显示。
5.权利要求1的方法,其中将技术信息以分层结构添加到弱点数据中,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
6.权利要求1的方法,其中自动化工作流处理步骤由一个或多个用户执行,每一个用户被分派了一个或多个用户角色,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,每一个任务是在该自动化工作流处理内的单个处理步骤处的单个弱点。
7.权利要求6的方法,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流处理使用以确定所述一个或多个用户所需的检查级别。
8.权利要求6的方法,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给所述一个或多个用户组的某一用户组,在该用户组中所述一个或多个用户中的任何一个都可打开该任务,其中所述组内的用户必须在该用户可执行与该任务相关的处理步骤之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该弱点数据。
9.权利要求6的方法,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
10.权利要求6的方法,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流处理,所述自动化工作流处理捕获指示所述用户保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
11.一种用于监视配置标准的技术信息的方法,该方法包括自动化工作流处理,该自动化工作流处理用于:
启动配置标准;
研究该配置标准;以及
在配置标准数据中对该配置标准建档。
12.权利要求11的方法,其中上述自动化工作流处理进一步包括:
检查该配置标准和配置标准数据;
编辑该配置标准数据;
批准该配置标准和配置标准数据;以及
将该配置标准和配置标准数据公布到数据库。
13.权利要求11的方法,其中在该工作流处理中的每一个步骤处,可将包括引用名称、引用编号和技术名称的引用数据添加到配置标准数据中,且该引用数据将呈现给批准器,以便批准。
14.权利要求11的方法,其中在该工作流处理中的每一个步骤处,可向配置标准数据中添加工作流注释,且该工作流注释可在该工作流处理的步骤期间显示,最近的添加最先显示。
15.权利要求11的方法,其中将技术信息以分层结构添加到配置标准数据中,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
16.权利要求11的方法,其中自动化工作流处理步骤由一个或多个用户执行,每一个用户被分派了一个或多个用户角色,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,所述任务列表中的每一个任务是在该自动化工作流处理内的单个处理步骤处的单个配置标准。
17.权利要求16的方法,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流处理使用以确定用户所需的检查级别。
18.权利要求16的方法,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给其任何一个用户都可打开该任务的用户组,其中所述组内的用户在该用户可执行与该任务相关的处理步骤之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该配置标准数据。
19.权利要求16的方法,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户内的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
20.权利要求16的方法,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流处理,所述自动化工作流处理捕获指示所述用户的每一个保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
21.一种用于开发用于自动化工作流处理的配置标准的方法,包括:
启动内容项;
研究该内容项;
验证该内容项;
批准该内容项;以及
将该内容项公布到批准配置标准的数据库中。
22.一种用于使用自动化工作流处理更新内容管理系统内的内容的方法,其中该内容管理系统内的内容由使用拉方法的内容更新系统通过允许系统在请求时获得更新的内容而不是将数据推到所述系统被更新。
23.一种用于使用自动化工作流处理创建用于内容管理系统内的策略的方法,包括:
启动内容项;
研究该内容项;
验证该内容项;
批准该内容项;及
将该内容项公布到已批准策略的数据库中。
24.一种用于监视弱点的技术信息的自动化工作流系统,包括:
用于检测弱点的检测器;
用于研究该弱点的研究器;以及
用于在弱点数据内对该弱点建档的建档器。
25.权利要求24的系统,其中上述自动化工作流系统进一步包括:
用于检查该弱点和弱点数据的检查器;
用于编辑该弱点数据的编辑器;
用于批准该弱点和弱点数据的批准器;以及
用于将该弱点和弱点数据公布到数据库的公布器。
26.权利要求24的系统,其中该工作流系统中的每一个设备可将包括引用名称、引用编号和技术名称的引用数据添加到弱点数据中,且该设备将引用数据呈现给批准器,以便批准。
27.权利要求24的系统,其中该工作流系统中的每一个设备可向弱点数据中添加工作流注释,且该工作流注释可由该工作流系统的设备显示,最近的添加最先显示。
28.权利要求24的系统,进一步包括以分层结构添加到弱点数据中的技术信息,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
29.权利要求24的系统,进一步包括每一个都被分派了一个或多个用户角色的一个或多个用户,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,每一个任务是在该自动化工作流系统内的单个设备处的单个弱点。
30.权利要求29的系统,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流系统使用以确定所述一个或多个用户所需的检查级别。
31.权利要求29的系统,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给所述一个或多个用户组的某一用户组,在该用户组中所述一个或多个用户中的任何一个都可打开该任务,其中所述组内的用户在该用户可激活与该任务相关的设备之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该弱点数据。
32.权利要求29的系统,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
33.权利要求29的系统,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流系统,所述自动化工作流系统捕获指示所述用户保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
34.一种用于监视配置标准的技术信息的自动化工作流系统,包括:
用于启动配置标准的启动器;
用于研究该配置标准的研究器;以及
用于在配置标准数据中对该配置标准建档的建档器。
35.权利要求34的系统,其中上述自动化工作流系统进一步包括:
用于检查该配置标准和配置标准数据的检查器;
用于编辑该配置标准数据的编辑器;
用于批准该配置标准和配置标准数据的批准器;以及
用于将该配置标准和配置标准数据公布到数据库的公布器。
36.权利要求34的系统,其中该工作流系统的每一个设备可将包括引用名称、引用编号和技术名称的引用数据添加到配置标准数据中,且该设备将引用数据呈现给批准器,以便批准。
37.权利要求34的系统,其中该工作流系统中的每一个设备可向配置标准数据中添加工作流注释,且该工作流注释可由该工作流系统的设备显示,最近的添加最先显示。
38.权利要求34的系统,进一步包括以分层结构添加到配置标准数据中的技术信息,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
39.权利要求34的系统,进一步包括每一个都被分派了一个或多个用户角色的一个或多个用户,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,所述任务列表中的每一个任务是在该自动化工作流系统内的单个设备处的单个配置标准。
40.权利要求39的系统,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流系统使用以确定用户所需的检查级别。
41.权利要求39的系统,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给其任何一个用户都可打开该任务的用户组,其中所述组内的用户在该用户可激活与该任务相关的设备之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该配置标准数据。
42.权利要求39的系统,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户内的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
43.权利要求39的系统,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流系统,所述自动化工作流系统捕获指示所述用户的每一个保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
44.一种用于开发用于自动化工作流系统的配置标准的系统,包括:
用于启动内容项的启动器;
用于研究该内容项的研究器;
用于验证该内容项的验证器;
用于批准该内容项的批准器;以及
用于将该内容项公布到批准配置标准的数据库中的公布器。
45.一种用于使用自动化工作流系统更新内容管理系统内的内容的系统,包括用于更新该内容管理系统内的内容的内容更新系统,其中所述内容更新系统使用允许系统在请求时获得更新的内容而不是将数据推到所述系统的拉方法。
46.一种用于使用自动化工作流系统创建用于内容管理系统内的策略的系统,包括:
用于启动内容项的启动器;
用于研究该内容项的研究器;
用于验证该内容项的验证器;
用于批准该内容项的批准器;及
用于将该内容项公布到已批准策略的数据库中的公布器。
47.一种计算机系统,包括:
处理器;以及
该计算机系统可读的程序存储装置,体现可由该处理器执行以实现用于监视弱点的技术信息的方法步骤的指令程序,该方法步骤包括:
检测弱点;
研究该弱点;以及
在弱点数据内对该弱点建档。
48.权利要求47的计算机系统,其中上述自动化工作流处理进一步包括:
检查该弱点和弱点数据;
编辑该弱点数据;
批准该弱点和弱点数据;以及
将该弱点和弱点数据公布到数据库。
49.权利要求47的计算机系统,其中在该工作流处理中的每一个步骤处,可将包括引用名称、引用编号和技术名称的引用数据添加到弱点数据中,且该引用数据将呈现给批准器,以便批准。
50.权利要求47的计算机系统,其中在该工作流处理中的每一个步骤处,可向弱点数据中添加工作流注释,且该工作流注释可在该工作流处理的步骤期间显示,最近的添加最先显示。
51.权利要求47的计算机系统,其中将技术信息以分层结构添加到弱点数据中,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
52.权利要求47的计算机系统,其中自动化工作流处理步骤由一个或多个用户执行,每一个用户被分派了一个或多个用户角色,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,每一个任务是在该自动化工作流处理内的单个处理步骤处的单个弱点。
53.权利要求52的计算机系统,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流处理使用以确定所述一个或多个用户所需的检查级别。
54.权利要求52的计算机系统,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给所述一个或多个用户组的某一用户组,在该用户组中所述一个或多个用户中的任何一个都可打开该任务,其中所述组内的用户必须在该用户可执行与该任务相关的处理步骤之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该弱点数据。
55.权利要求52的计算机系统,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
56.权利要求52的计算机系统,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流处理,所述自动化工作流处理捕获指示所述用户保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
57.一种计算机系统,包括:
处理器;以及
该计算机系统可读的程序存储装置,体现可由该处理器执行以实现用于监视配置标准的技术信息的方法步骤的指令程序,该方法步骤包括自动化工作流处理,用于:
启动配置标准;
研究该配置标准;以及
在配置标准数据中对该配置标准建档。
58.权利要求57的计算机系统,其中上述自动化工作流处理进一步包括:
检查该配置标准和配置标准数据;
编辑该配置标准数据;
批准该配置标准和配置标准数据;以及
将该配置标准和配置标准数据公布到数据库。
59.权利要求57的计算机系统,其中在该工作流处理中的每一个步骤处,可将包括引用名称、引用编号和技术名称的引用数据添加到配置标准数据中,且该引用数据将呈现给批准器,以便批准。
60.权利要求57的计算机系统,其中在该工作流处理中的每一个步骤处,可向配置标准数据中添加工作流注释,且该工作流注释可在该工作流处理的步骤期间显示,最近的添加最先显示。
61.权利要求57的计算机系统,其中将技术信息以分层结构添加到配置标准数据中,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
62.权利要求57的计算机系统,其中自动化工作流处理步骤由一个或多个用户执行,每一个用户被分派了一个或多个用户角色,其中一个或多个用户的每一个被分派了要执行的任务的列表,在所述任务列表中,每一个任务是在该自动化工作流处理内的单个处理步骤处的单个配置标准。
63.权利要求62的计算机系统,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流处理使用以确定用户所需的检查级别。
64.权利要求62的计算机系统,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给其任何一个用户都可打开该任务的用户组,其中所述组内的用户在该用户可执行与该任务相关的处理步骤之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该配置标准数据。
65.权利要求62的计算机系统,其中所述分派的要执行的任务列表包括显示给用户的任务列表,其中所述用户可改变该任务列表显示的方式。
66.权利要求62的计算机系统,其中所述用户使用登录名称和口令登录到该自动化工作流处理,所述自动化工作流处理捕获指示所述用户的每一个保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
67.一种计算机系统,包括:
处理器;以及
该计算机系统可读的程序存储装置,体现该处理器可执行以实现用于开发用于自动化工作流处理的配置标准的方法步骤的指令程序,该方法步骤包括:
启动内容项;
研究该内容项;
验证该内容项;
批准该内容项;以及
将该内容项公布到批准配置标准的数据库中。
68.一种计算机系统,包括:
处理器;以及
该计算机系统可读的程序存储装置,体现该处理器可执行以实现用于使用自动化工作流处理更新内容管理系统内的内容的方法步骤的指令程序,其中该内容管理系统内的内容由使用拉方法的内容更新系统通过允许系统在请求时获得更新的内容而不是将数据推到所述系统而被更新。
69.一种计算机系统,包括:
处理器;以及
该计算机系统可读的程序存储装置,体现该处理器可执行以实现用于使用自动化工作流处理创建用于内容管理系统内的策略的方法步骤的指令程序,该方法步骤包括:
启动内容项;
研究该内容项;
验证该内容项;
批准该内容项;及
将该内容项公布到已批准策略的数据库中。
70.一种计算机记录介质,包括用于监视至少一个弱点和配置标准的技术信息的计算机可执行代码,该计算机可执行代码包括:
用于实现自动化工作流处理的代码,该自动化工作流处理用于:
检测弱点和启动配置标准中的至少一个;
对该弱点和该配置标准中的至少一个进行研究;以及
在弱点数据内对该弱点建档和在配置标准内对该配置标准建档中的至少一个。
71.权利要求70的计算机记录介质,其中上述用于实现自动化工作流处理的代码进一步执行:
检查该弱点和弱点数据;
编辑该弱点数据;
批准该弱点和弱点数据;以及
将该弱点和弱点数据公布到数据库。
72.权利要求70的计算机记录介质,进一步包括这样的代码,使得在该工作流处理中的每一个步骤处,可将包括引用名称、引用编号和技术名称的引用数据添加到弱点数据中,且该引用数据将呈现给批准器,以便批准。
73.权利要求70的计算机记录介质,进一步这样的代码,使得包括在该工作流处理中的每一个步骤处,可向弱点数据中添加工作流注释,且该工作流注释可在该工作流处理的步骤期间显示,最近的添加最先显示。
74.权利要求70的计算机记录介质,进一步包括用于将技术信息以分层结构添加到弱点数据中的代码,所述技术信息包括以下中的至少一个:
厂商信息;
产品信息;以及
版本信息。
75.权利要求70的计算机记录介质,其中自动化工作流处理步骤由一个或多个用户执行,每一个用户被分派了一个或多个用户角色,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,每一个任务是在该自动化工作流处理内的单个处理步骤处的单个弱点。
76.权利要求75的计算机记录介质,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流处理使用以确定所述一个或多个用户所需的检查级别。
77.权利要求75的计算机记录介质,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给所述一个或多个用户组的某一用户组,在该用户组内所述一个或多个用户中的任何一个都可打开该任务,其中所述组内的用户在该用户可执行与该任务相关的处理步骤之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该弱点数据。
78.权利要求75的计算机记录介质,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
79.权利要求75的计算机记录介质,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流处理,所述自动化工作流处理捕获指示所述用户保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
80.权利要求70的计算机记录介质,其中上述自动化工作流处理进一步包括用于实现以下的代码:
检查该配置标准和配置标准数据;
编辑该配置标准数据;
批准该配置标准和配置标准数据;以及
将该配置标准和配置标准数据公布到数据库。
81.权利要求70的计算机记录介质,进一步包括这样的代码,使得在该工作流处理中的每一个步骤处,可将包括引用名称、引用编号和技术名称的引用数据添加到配置标准数据中,且该引用数据将呈现给批准器,以便批准。
82.权利要求70的计算机记录介质,进一步包括这样的代码,使得在该工作流处理中的每一个步骤处,可向配置标准数据中添加工作流注释,且该工作流注释可在该工作流处理的步骤期间显示,最近的添加最先显示。
83.权利要求70的计算机记录介质,进一步包括用于将技术信息以分层结构添加到配置标准数据中的代码,所述技术信息至少包括:
厂商信息;
产品信息;以及
版本信息。
84.权利要求70的计算机记录介质,其中自动化工作流处理步骤由一个或多个用户执行,每一个用户被分派了一个或多个用户角色,其中一个或多个用户的每一个被分派了要执行的任务的列表,其中,所述任务列表中的每一个任务是在该自动化工作流处理内的单个处理步骤处的单个配置标准。
85.权利要求84的计算机记录介质,其中所述一个或多个用户被分派了经验级别,该经验级别可由该自动化工作流处理使用以确定用户所需的检查级别。
86.权利要求84的计算机记录介质,其中所述一个或多个用户被分派给一个或多个用户组,其中可将任务分派给其任何一个用户都可打开该任务的用户组,其中所述组内的用户在该用户可执行与该任务相关的处理步骤之前打开该任务,且在所述任务被打开期间,该任务处于锁定状态,所述组内的另一用户不能打开该任务,且所述另一用户不能修改该配置标准数据。
87.权利要求84的计算机记录介质,其中所述分派的要执行的任务列表包括显示给所述一个或多个用户内的某一个用户的任务列表,其中所述用户可改变该任务列表显示的方式。
88.权利要求84的计算机记录介质,其中所述一个或多个用户使用登录名称和口令登录到该自动化工作流处理,所述自动化工作流处理捕获指示所述用户的每一个保持登录多长时间的数据,其中所述捕获的数据用于生成报告。
89.一种计算机记录介质,包括用于开发自动化工作流处理中的配置标准的计算机可执行代码,该计算机可执行代码包括实现以下的代码:
启动内容项;
研究该内容项;
验证该内容项;
批准该内容项;以及
将该内容项公布到批准配置标准的数据库中。
90.权利要求6的方法,其中所述自动化工作流处理捕获指示该自动化工作流处理步骤执行的时间长度的数据。
91.权利要求16的方法,其中所述自动化工作流处理捕获指示该自动化工作流处理步骤执行的时间长度的数据。
92.权利要求29的系统,其中所述自动化工作流处理捕获指示该自动化工作流处理步骤执行的时间长度的数据。
93.权利要求39的系统,其中所述自动化工作流处理捕获指示该自动化工作流处理步骤执行的时间长度的数据。
94.权利要求52的计算机系统,其中所述自动化工作流处理捕获指示该自动化工作流处理步骤执行的时间长度的数据。
95.权利要求62的计算机系统,其中所述自动化工作流处理捕获指示该自动化工作流处理步骤执行的时间长度的数据。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US43326402P | 2002-12-13 | 2002-12-13 | |
US60/433,264 | 2002-12-13 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1739275A true CN1739275A (zh) | 2006-02-22 |
Family
ID=32595144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2003801059604A Pending CN1739275A (zh) | 2002-12-13 | 2003-12-12 | 内容管理系统 |
Country Status (11)
Country | Link |
---|---|
US (1) | US20060004614A1 (zh) |
EP (1) | EP1574013B1 (zh) |
JP (1) | JP2006511855A (zh) |
KR (1) | KR20050085534A (zh) |
CN (1) | CN1739275A (zh) |
AT (1) | ATE434329T1 (zh) |
AU (1) | AU2003297047A1 (zh) |
BR (1) | BR0317286A (zh) |
CA (1) | CA2509152A1 (zh) |
DE (1) | DE60328037D1 (zh) |
WO (1) | WO2004056069A2 (zh) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118710B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | System, method, and computer program product for reporting an occurrence in different manners |
US9350752B2 (en) | 2003-07-01 | 2016-05-24 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118711B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US7774742B2 (en) * | 2003-11-04 | 2010-08-10 | Realization Technologies, Inc. | Facilitation of multi-project management using task hierarchy |
US20070043835A1 (en) * | 2005-08-18 | 2007-02-22 | Oak Adaptive, Inc. | State-based workpath system and method |
US8407712B2 (en) * | 2007-08-31 | 2013-03-26 | International Business Machines Corporation | Updating workflow nodes in a workflow |
US8381181B2 (en) | 2007-08-31 | 2013-02-19 | International Business Machines Corporation | Updating a workflow when a user reaches an impasse in the workflow |
DE102010026758A1 (de) | 2010-07-09 | 2012-01-12 | Getit Online Internet Service Agentur ( Isa ) Gmbh | Content-Management-System |
US8832188B1 (en) * | 2010-12-23 | 2014-09-09 | Google Inc. | Determining language of text fragments |
US8590047B2 (en) * | 2011-01-04 | 2013-11-19 | Bank Of America Corporation | System and method for management of vulnerability assessment |
US8682753B2 (en) | 2012-03-24 | 2014-03-25 | Murali S. Kulathungam | System and method to consolidate and update a user's financial account information |
US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9413780B1 (en) * | 2014-05-06 | 2016-08-09 | Synack, Inc. | Security assessment incentive method for promoting discovery of computer software vulnerabilities |
US9015847B1 (en) * | 2014-05-06 | 2015-04-21 | Synack, Inc. | Computer system for distributed discovery of vulnerabilities in applications |
US9559918B2 (en) * | 2014-05-15 | 2017-01-31 | Cisco Technology, Inc. | Ground truth evaluation for voting optimization |
US10581807B2 (en) * | 2016-08-29 | 2020-03-03 | International Business Machines Corporation | Using dispersal techniques to securely store cryptographic resources and respond to attacks |
US11206279B2 (en) * | 2019-10-28 | 2021-12-21 | Olawale Oluwadamilere Omotayo Dada | Systems and methods for detecting and validating cyber threats |
US11206280B2 (en) * | 2019-11-04 | 2021-12-21 | Olawale Oluwadamilere Omotayo Dada | Cyber security threat management |
US11140193B2 (en) * | 2020-01-04 | 2021-10-05 | Jigar N. Patel | Device cybersecurity risk management |
US11509677B2 (en) * | 2020-05-05 | 2022-11-22 | Uber Technologies, Inc. | Automatically detecting vulnerability remediations and regressions |
US20230049789A1 (en) * | 2021-07-30 | 2023-02-16 | Cloud Linux Software Inc. | Systems and methods for preventing zero-day attacks |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998001807A1 (en) * | 1996-07-03 | 1998-01-15 | Polydoc N.V. | Document producing support system |
US5892903A (en) * | 1996-09-12 | 1999-04-06 | Internet Security Systems, Inc. | Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system |
US6484261B1 (en) * | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6298445B1 (en) * | 1998-04-30 | 2001-10-02 | Netect, Ltd. | Computer security |
US6282546B1 (en) * | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
US6324656B1 (en) * | 1998-06-30 | 2001-11-27 | Cisco Technology, Inc. | System and method for rules-driven multi-phase network vulnerability assessment |
WO2000033238A2 (en) * | 1998-11-30 | 2000-06-08 | Siebel Systems, Inc. | Assignment manager |
US6477651B1 (en) * | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
AU6363699A (en) * | 1999-10-18 | 2001-04-30 | Cadco Developments Limited | A management system for controlling the workflow of electronic documents |
US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
WO2001055888A2 (en) * | 2000-01-27 | 2001-08-02 | American Express Travel Related Services Company, Inc. | Content management application for an interactive environment |
US20020065885A1 (en) * | 2000-11-30 | 2002-05-30 | Mark Buonanno | Multimedia B2B opportunity and error detection and resolution engine |
WO2002067171A1 (en) * | 2001-02-23 | 2002-08-29 | Compudigm International Limited | Helpdesk system |
MXPA04006473A (es) * | 2001-12-31 | 2004-10-04 | Citadel Security Software Inc | Sistema de resolucion automatizado para vulnerabilidad de computadora. |
US7152105B2 (en) * | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
-
2003
- 2003-12-12 EP EP03813434A patent/EP1574013B1/en not_active Expired - Lifetime
- 2003-12-12 WO PCT/US2003/039731 patent/WO2004056069A2/en active Application Filing
- 2003-12-12 BR BR0317286-4A patent/BR0317286A/pt not_active Application Discontinuation
- 2003-12-12 JP JP2004560856A patent/JP2006511855A/ja active Pending
- 2003-12-12 CN CNA2003801059604A patent/CN1739275A/zh active Pending
- 2003-12-12 AU AU2003297047A patent/AU2003297047A1/en not_active Abandoned
- 2003-12-12 KR KR1020057010583A patent/KR20050085534A/ko not_active Application Discontinuation
- 2003-12-12 AT AT03813434T patent/ATE434329T1/de not_active IP Right Cessation
- 2003-12-12 DE DE60328037T patent/DE60328037D1/de not_active Expired - Lifetime
- 2003-12-12 CA CA002509152A patent/CA2509152A1/en not_active Abandoned
-
2004
- 2004-11-01 US US10/978,776 patent/US20060004614A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
EP1574013B1 (en) | 2009-06-17 |
ATE434329T1 (de) | 2009-07-15 |
BR0317286A (pt) | 2005-11-08 |
EP1574013A2 (en) | 2005-09-14 |
WO2004056069A3 (en) | 2004-10-07 |
CA2509152A1 (en) | 2004-07-01 |
US20060004614A1 (en) | 2006-01-05 |
JP2006511855A (ja) | 2006-04-06 |
AU2003297047A1 (en) | 2004-07-09 |
KR20050085534A (ko) | 2005-08-29 |
DE60328037D1 (de) | 2009-07-30 |
WO2004056069A2 (en) | 2004-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1739275A (zh) | 内容管理系统 | |
US7065515B2 (en) | System and method for electronically managing composite documents | |
EP1309906B1 (en) | Evidence-based security policy manager | |
US8146083B2 (en) | Method and apparatus to modify a task within a set of tasks | |
US7870075B1 (en) | System and method for managing software development | |
US20070294766A1 (en) | Enterprise threat modeling | |
US8589306B1 (en) | Open source license management | |
CN1875344A (zh) | 综合业务软件的导入运用支援系统 | |
CN102103667B (zh) | 文档使用管理系统、文档处理装置和方法及文档管理装置 | |
Betancort Cabrera et al. | White Paper on implementing the FAIR principles for data in the Social, Behavioural, and Economic Sciences | |
Washizaki et al. | Taxonomy and literature survey of security pattern research | |
WO2002069141A1 (en) | Method and apparatus creation and performance of service engagement modeling | |
Hahner et al. | A classification of software-architectural uncertainty regarding confidentiality | |
Benkler | Architecture-based uncertainty impact analysis for confidentiality | |
JP2011232874A (ja) | 情報セキュリティ管理支援方法及び装置 | |
AU2008355717A1 (en) | Evidentiary information items relating to multiple proceedings | |
JP5516480B2 (ja) | 電子データ共有システム | |
de Barros Paes et al. | RUP extension for the development of secure systems | |
Moghaddasi | A Simulation Framework for Identity and Access Management Based on Internet of Things Architecture | |
Mourão et al. | Dynamics AX | |
Social | RatSWD | |
Jasser et al. | Reusing security solutions: a repository for architectural decision support | |
Van Wormer | Document management for design engineering, construction, and owner operators | |
de Moor et al. | Community dynamics in an online law journal | |
Bižić-Omčikus et al. | Museum information system–design methodology, implementation and perspectives |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |