DE69818232T2 - Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten - Google Patents

Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten Download PDF

Info

Publication number
DE69818232T2
DE69818232T2 DE69818232T DE69818232T DE69818232T2 DE 69818232 T2 DE69818232 T2 DE 69818232T2 DE 69818232 T DE69818232 T DE 69818232T DE 69818232 T DE69818232 T DE 69818232T DE 69818232 T2 DE69818232 T2 DE 69818232T2
Authority
DE
Germany
Prior art keywords
resources
executable
computer
gateway
security strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69818232T
Other languages
English (en)
Other versions
DE69818232D1 (de
Inventor
Doron Elgressy
Asher Jospe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Application granted granted Critical
Publication of DE69818232D1 publication Critical patent/DE69818232D1/de
Publication of DE69818232T2 publication Critical patent/DE69818232T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)
  • Communication Control (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft das Sicherheitsmanagement von Computernetzen. Insbesondere betrifft die Erfindung Verfahren und Systeme zum Verhindern der Herunterladung und Ausführung von unerwünschten ausführbaren Objekten in einer Arbeitsstation eines Computernetzes.
  • HINTERGRUND DER ERFINDUNG
  • Das Internet hat sich sehr stark im Hinblick auf seine Inhalte als auch hinsichtlich der verwendeten Technologie entwickelt, seitdem es vor einigen Jahren angefangen hat. In dem frühen Stadium des Internets enthielten Web-Sites (Web-Seiten) nur Text und nach einer Weile wurde Grafik eingeführt. So wie sich das Internet entwickelte, wurden viele komprimierte Standards, wie Bilder, Sprache und Videofilme entwickelt und mit ihnen Programme, die zum Abspielen von diesen verwendet werden (und als "Abspielgeräte" ("Players") bezeichnet werden). Zu Anfang wurden derartige Dateien an die Arbeitsstation des Benutzers nur auf seine Anforderung hin heruntergeladen und nur durch das geeignete Abspielgerät extrahiert, und nach einem spezifischen Befehl von dem Benutzer.
  • In dem normalen Verlauf der Entwicklung des World Wide Web begann die Suche nach einer Vorgehensweise, um schönere, interaktive und animierte Web-Seiten zu zeigen. Sun Microsystems Inc. entwickelte Java, eine Sprache, die dem Webmaster erlaubt, ein Programm, eine Liste von Befehlen – Netz-Ausführungseinheiten (Network Executables)-, zu schreiben, die an die Benutzer-Arbeitsstation ohne seine Kenntnis heruntergeladen werden wird und durch den Browser an seiner Arbeitsstation ausgeführt wird. Die Ausführungseinheiten werden z. B. verwendet, um eine fotografische Animation und andere Grafiken auf dem Bildschirm des Web-Servers bereitzustellen. Derartige Ausführungseinheiten haben einige Vorgehensweisen, die die Ressourcen der Arbeitsstation des Benutzers angehen, was zu einem großen Sicherheitsproblem führt. Obwohl einige Sicherheitsgrade in der Java Sprache definiert wurden, wurde schon sehr bald ein Sicherheitsloch in der Sprache gefunden.
  • Da Java entwickelt wurde, entwickelte Microsoft ActiveX, was ein anderes Netz-ausführbares Format (Network Executable Format) ist, welches ebenfalls in die Arbeitsstation heruntergeladen wird. ActiveX hat ebenfalls Sicherheitsprobleme der gleichen Art.
  • Das Internet ist mit "Netz-Ausführungseinheiten" überschwemmt worden, die in die Arbeitsstationen innerhalb von Organisationen – freiwillig oder ohne Kenntnis der Benutzer – heruntergeladen werden können. Diese Codes enthalten im Allgemeinen harmlose Funktionen. Obwohl sie normalerweise sicher sind, können sie die erforderliche Sicherheitsstrategie der Organisation unter Umständen nicht erfüllen.
  • Sobald sie ausgeführt werden, können Codes das Netz blockieren, eine beträchtliche irreversible Beschädigung an der lokalen Datenbank, den Arbeitsstationen und Servern verursachen, oder zu einer nicht autorisierten Auslesung von Information von den Servern/Arbeitsstationen führen. Derartige Elemente können in Java Applets, ActiveX Komponenten, DLLs und anderen Objektcodes auftreten und ihre Verwendung nimmt bei einer noch nicht da gewesenen Geschwindigkeit zu. Die Mehrzahl von diesen kleinen Programmen wird in die Organisation unkoordiniert und unkontrolliert heruntergeladen. Das Unternehmen hat keinerlei Möglichkeit, deren Existenz oder Ausführung zu kennen und es gibt kein System, um die Codes früh zu erfassen und zu verhindern, dass sie ausgeführt werden. Einige von diesen Problemen werden in dem Artikel "Screening for applets", von Sharon Machlis, COMPUTERWORD, Vol. 31, No. 6, 10. Februar 1997, USA, Seiten 51–52 diskutiert.
  • Das Sicherheitsproblem wurde teilweise durch die Browser-Hersteller gelöst, die dem Benutzer erlauben, die Verwendung von Ausführungseinheiten zu deaktivieren (natürlich ist dies nicht eine vernünftige Lösung, da der gesamte elektronische Geschäftsverkehr und Werbungen auf die Verwendung von Ausführungseinheiten (Executables) gestützt sind. Das Sicherheitsproblem ist weitaus schwer wiegender, sobald sich eine derartige Ausführungseinheit den Servern, Datenbanken und anderen Arbeitsstationen eines Unternehmens nähert.
  • Es ist deshalb klar, dass ein hoher Bedarf besteht in der Lage zu sein, zu verhindern, dass unerwünschte ausführbare Objekte (Executable Objects) das LAN/WAN, in dem man arbeitet, und letztlich eine Arbeitsstation und einen Server infiltrieren. Der Stand der Technik hat jedoch bislang keine umfassenden Lösungen bereitgestellt, die sicher und schnell genug sind, um praktisch nützlich zu sein. Systeme wie "Firewall" oder "Finjan", die zur Verwendung von Internet-Benutzern verteilt werden, stellen nur Teillösungen bereit und sind ferner schwierig zu installieren und zu aktualisieren.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein umfassendes Verfahren zum selektiven Verhindern der Herunterladung und Ausführung von unerwünschten ausführbaren Objekten in einem Computer bereitzustellen, das die voranstehend erwähnten Nachteile von herkömmlichen Systemen beseitigt.
  • Es ist eine andere Aufgabe der Erfindung, ein derartiges System bereitzustellen, welches leicht zu installieren ist und welches schnell und leicht aktualisiert werden kann.
  • Es ist eine weitere Aufgabe der Erfindung, ein derartiges Verfahren bereitzustellen, welches mit einer großen Anzahl von Gateways (Netzübergangsschnittstellen), LANs und Arbeitsstationen verwendet werden kann.
  • Es ist noch eine andere Aufgabe der Erfindung, ein derartiges Sicherheitsmanagementsystem (Sicherheitsverwaltungssystem) bereitzustellen, welches unabhängig von der physikalischen Infrastruktur und dem Netz-Layout ist.
  • Es ist eine weitere Aufgabe der Erfindung, ein System bereitzustellen, welches die Ausführungseinheiten "im Durchlauf' ("on the fly") analysiert und die Herunterladung und den Betrieb von harmlosen Ausführungseinheiten nicht behindert.
  • Es ist noch eine weitere Aufgabe der Erfindung, ein System der voranstehend angegebenen Art bereitzustellen, das als ein zentrales Sicherheitssystem arbeitet, zu dem Peripherie-Gateways nach Bedarf hinzugefügt werden können, um ein einfaches dynamisch wachsendes Sicherheitssystem bereitzustellen.
  • Es ist ferner eine Aufgabe der Endung, ein zentrales System bereitzustellen, welches die Definition von Untergruppen von Benutzern erlaubt, wobei jede Gruppe einer anderen Sicherheitsstrategie unterzogen wird. Die Erfindung schließt auch ein Computersystem ein, welches das Verfahren der Erfindung verwendet.
  • Andere Vorteile und Aufgaben der Erfindung ergeben sich mit Fortschreitung der Beschreibung.
  • Verschiedene Aspekte der Erfindung sind in den nebengeordneten Ansprüchen definiert. Einige bevorzugte Merkmale sind in den abhängigen Ansprüchen definiert.
  • Insbesondere ist in Übereinstimmung mit der Erfindung ein Verfahren zum selektiven Verhindern der Herunterladung und Ausführung von unerwünschten ausführbaren Objekten (Executable Objects, EO) in einem Computer, in einem System, bei dem die Inhalte von ausführbaren Objekten an einem Gateway (GW1 ... GWS) analysiert werden und die Objekte herausgefiltert werden, wenn festgestellt wird, dass sie Sicherheitsstrategien (SP) verletzen, vorgesehen, wobei das System ein oder mehrere Kontrollzentren (CC1, CC2) aufweist, die jeweils mit ein oder mehreren Gateways (GW1 ... GWS) verbunden sind, die zwischen einem LAN und einem externen Computerkommunikationsnetz angeordnet sind, wobei eine Sicherheitsstrategie (SP) eines Benutzers die Ressourcen oder eine Kombination von Ressourcen darstellt, deren Verwendung innerhalb seines LAN der Benutzer einem ausführbaren Objekt (EO) erlaubt oder nicht erlaubt, wobei die Sicherheitsstrategie (SP) in jedem der einen oder mehreren Kontrollzentren (CC) empfangen und/oder darin gespeichert wird, wobei das Verfahren dadurch gekennzeichnet ist, dass dann, wenn ein ausführbares Objekt (EO) an dem Gateway des Verfahrens erfasst wird, das Verfahren die folgenden Schritte umfasst: Analysieren des Anfangsblocks des ausführbaren Objekts (EO); Bestimmen der Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss; Vergleichen der Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, mit der Sicherheitsstrategie (SP); und
    • (i) wenn die Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, in der Liste von Ressourcen enthalten sind, die zur Verwendung durch die Sicherheitsstrategie (SP) zugelassen sind, Zulassen, dass das ausführbare Objekt (EO) durch das Gateway (GW1 ... GWS) geht und den Computer, der dessen Herunterladung initiiert hat, erreicht; und
    • (ii) wenn die Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, in der Liste von Ressourcen enthalten sind, die zur Verwendung durch die Sicherheitsstrategie (SP) verboten sind, Verhindern, dass das ausführbare Objekt (EO) durch das Gateway (GW1 ... GWS) tritt, wodurch verhindert wird, dass es den Computer erreicht, der dessen Herunterladung initiiert hat.
  • Ein Kontrollzentrum (CC) kann eine zentrale Steuereinheit sein, z. B. ein PC oder ein anderer Computer, der mit einer Vielzahl von Gateways verbunden ist und der die Speichereinrichtung aktualisiert, die relevante Daten enthält, z. B. die Sicherheitsstrategie. Wie sich aus der folgenden Beschreibung ersehen lässt, werden sämtliche Gateways einmal aktualisiert, sobald das CC aktualisiert ist, z. B. durch die Hinzufügung einer zusätzlichen Beschränkungen zu der Sicherheitsstrategie. Die Verwendung des CC zum Steuern bzw. Kontrollieren des Betriebs der Sicherheitselemente des Gateways vermeidet die Notwendigkeit (die in herkömmlichen Systemen existiert) jedes Gateway jedes Mal zu aktualisieren, wenn eine Änderung in der Strategie durchgeführt wird.
  • Ein LAN (lokales Netz; Local Area Network) kann z. B. ein Netz von Computern sein, die in einem Büro oder Gebäude angeordnet sind (ist aber nicht darauf beschränkt). Das LAN ist typischerweise mit äußeren Kommunikationsnetzen, beispielsweise dem World Wide Web, oder mit begrenzteren LANs, z. B. einem Client oder Zulieferer (Supplier), über ein oder mehrere Gateways verbunden. Je größer die Organisation ist, desto größer ist die Anzahl von verwendeten Gateways, um Kommunikationen bei einer vernünftigen Geschwindigkeit zu halten.
  • Allgemein gesagt kann ein LAN auch aus einer Vielzahl von kleineren LANs gebildet sein, die geografisch näher oder weiter entfernt sind, aber sogar dann, wenn kleine LANs innerhalb der gleichen Organisation angetroffen werden, können sich die Sicherheitsanforderungen von einer Abteilung zu der anderen verändern, und es kann erforderlich sein, hohe Sicherheitsgrade einzuhalten, einschließlich zu verhindern, dass sich Ausführungseinheiten (Executables) von einer Abteilung an die andere bewegen, sogar innerhalb der gleichen Organisation.
  • Die Einrichtungen, die mit jedem der Gateways gekoppelt sind, um ausführbare Objekte zu erfassen, die das Gateway erreichen, um den Anfangsblock von jedem der ausführbaren Objekte zu analysieren, und um die Ressourcen des Computers zu bestimmen, die das ausführbare Objekt verwenden muss, können von vielen unterschiedlichen Typen sein. Typischerweise wird das ausführbare Objekt "eingefangen" und an dem Gateway analysiert, indem auf der Kommunikationsleitung das TCP/IP Protokoll sowie die Objekttransferprotokolle wie SMTP, HTTP, FTP etc. abgehört wird. Ein Einklinken in die Kommunikationsleitung und eine Extraktion der Inhalte des Anfangsblocks (Headers) des ausführbaren Objekts sind Schritte, die dem Durchschnittsfachmann bekannt sind und die mit Hilfe einer herkömmlichen Programmierung durchgeführt werden können und die deshalb hier nicht ausführlich zur Abkürzung beschrieben sind.
  • Sobald der Header (Anfangsblock) des ausführbaren Objekts (EO) analysiert worden ist, kann ein Vergleich der Ressourcen des Computers, die das EO verwenden muss, mit der Sicherheitsstrategie leicht durchgeführt werden, z. B. indem sie mit einer Nachschlagtabelle verglichen werden, die von dem CC an dem Gateway bereitgestellt wird und die die Sicherheitsstrategie darstellt. Es kann auch ein Vergleich mit den Daten, die in dem CC gespeichert sind, durchgeführt werden und in einem derartigen Fall kann eine spezifische Speichereinrichtung und eine Vergleichseinrichtung unter Umständen in dem Gateway nicht erforderlich sein. Jedoch werden Erwägungen hinsichtlich der Geschwindigkeit und des Betriebsverhaltens oft vorgeben, dass derartige Operationen an dem Gateway selbst ausgeführt werden.
  • Das Gateway muss in jedem Internet-Server innerhalb der Organisation installiert werden. Es umfasst eine kleine Echtzeit-Datenbank, die sämtliche relevante Betriebsinformationen für das Gateway enthält. Das Gateway "hört" die Daten ab, die zwischen dem Unternehmen und dem Internet gerade transferiert werden. Es weiß, wann ein Objekt in das LAN hereinkommt, es analysiert dieses und vergleicht dieses mit der Sicherheitsstrategie, um zu entscheiden, welche Aktion vorgenommen werden soll.
  • In Übereinstimmung mit einer bevorzugten Ausführungsform der Erfindung, wie angegeben, werden dann, wenn die Ressourcen des Computers, die das ausführbare Objekt verwenden muss, in der Liste der Ressourcen enthalten sind, die zur Verwendung von der Sicherheitsstrategie zugelassen sind, von dem System keine Schritte vorgenommen, um zu verhindern, dass das ausführbare Objekt durch das Gateway läuft und den Computer erreicht, der dessen Herunterladung initiiert hat. Wenn jedoch die Ressourcen des Computers, die das ausführbare Objekt verwenden muss, in der Liste der Ressourcen enthalten sind, die zur Verwendung durch die Sicherheitsstrategie gesperrt sind, werden Schritte vorgenommen werden, um zu verhindern, dass das ausführbare Objekt durch das Gateway tritt. Derartige Schritte können z. B. eine Umleitung der Ausführungseinheiten an eine Zielstelle außerhalb des Gateways, eine Löschung oder eine Verwürfelung eines Teils davon, um es betriebsunfähig zu machen, etc. einschließen.
  • Die Erfindung ist nicht auf irgendein spezifisches EO beschränkt. Jedoch analysiert das System in Übereinstimmung mit einer bevorzugten Ausführungsform der Erfindung EOs, die unter anderem (inter alia) Java Applets, AcitveX, OCX, Win32 Ausführungseinheiten, DLLs, oder die ähnlichen ausführbaren Objekte einschließen. Ein Durchschnittsfachmann wird jedoch erkennen, dass EOs fortwährend entwickelt werden und es ist nicht beabsichtigt, dass die Erfindung auf die Verwendung mit spezifischen EOs beschränkt ist und die tatsächliche Art des EOs ist nicht von einer kritischen Wichtigkeit.
  • In Übereinstimmung mit einer bevorzugten Ausführungsform der Erfindung umfasst das Verfahren ferner die folgenden Schritte:
    • (1) Wenn ein unerwünschtes ausführbares Objekt an einem Gateway erfasst wird, Bereitstellen eines Identifizierungswerts davon, und Benachrichtigen von sämtlichen anderen Gateways darüber; und
    • (2) Bereitstellen einer Speichereinrichtung und einer geeigneten Identitätsverifizierungseinrichtung, die mit dem Gateway gekoppelt ist/sind, um unerwünschte ausführbare Objekte zu identifizieren, die bereits von einem anderen Gateway analysiert werden, und um zu verhindern, dass sie an das Gateway gehen.
  • Eine Benachrichtigung der anderen Gateways über die Existenz von unerwünschten EOs ist dahingehend wichtig, da diese Prozedur eine beträchtliche Zeit einsparen kann, wenn das EO ein anderes Gateway erreicht, welches dann dieses nicht ausführlich analysieren muss, um die Inhalte seines Anfangsblocks (Headers) zu bestimmen, sondern entscheiden kann, dessen Durchgang durch eine einfachere und schnellere Prozedur, beispielsweise eine Prüfsumme, zuzulassen.
  • Wenn mehr als ein Kontrollzentrum vorgesehen ist, können Sicherheitsstrategien von einem Haupt-Kontrollzentrum an die übrigen Kontrollzentren weitergeleitet werden und jedes Kontrollzentrum steuert bzw. kontrolliert wiederum den Betrieb der Gateways, die damit verbunden sind.
  • In Übereinstimmung mit einer bevorzugten Ausführungsform der Erfindung ist jedes Kontrollzentrum und jede Gruppe von Gateways mit seiner/ihrer eigenen individuellen Sicherheitsstrategie versehen, die die gleiche oder eine andere wie die Sicherheitsstrategie sein kann, die von dem Haupt-Kontrollzentrum empfangen wird. Natürlich kann jedes untergeordnete Kontrollzentrum zusätzliche Beschränkungen zu der Sicherheitsstrategie, die von dem Haupt-Kontrollzentrum empfangen wird, durch die Hinzufügung von Ressourcen zu der Liste von denjenigen, deren Verwendung nicht zugelassen wird, hinzufügen, aber in Übereinstimmung mit einer bevorzugten Ausführungsform der Erfindung kann dies Beschränkungen von der Liste von begrenzten Ressourcen, die in der Sicherheitsstrategie enthalten sind, die von dem Haupt-Kontrollzentrum verteilt wird, nicht entfernen.
  • In Übereinstimmung mit einer bevorzugten Ausführungsform der Erfindung definiert dann, wenn das System zum ersten Mal auf dem Netz installiert wird, die Person, die für die Sicherheit verantwortlich ist (nachstehend als der "CSO"-Hauptsicherheitsbeamte bezeichnet), die Identität von anderen Sicherheitsbeamten (SO), die in das Kontrollzentrum einloggen können und Sicherheitsstrategien verändern können. Der CSO kann unterschiedliche Autorisierungsgrade definieren, bei denen die verschiedenen SOs arbeiten können und an Sicherheitsstrategien Änderungen vornehmen können. Andere SOs können Änderungen in dem Kontrollzentrum nur dann vornehmen, wenn dies von dem CSO zur Durchführung zugelassen wird, und diese Änderungen können nur auf Clients einwirken, die sich hierarchisch unter deren eigener Verantwortung befinden. Derartige Änderungen können die Sicherheitsstrategie von ihren Clients, in Bezug auf die grundlegende Sicherheitsstategie, nur einschränken, können diese aber nicht lockern.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • In den Zeichnungen zeigen:
  • 1 eine schematische Darstellung eines Systems in Übereinstimmung mir der Erfindung;
  • 2 schematisch ein ausführbares Objekt; und
  • 3 die Durchleuchtungsfunktion (Überwachungsfunktion) des Gateways, das in Übereinstimmung mit der Erfindung betrieben wird.
  • AUSFÜHRLICHE BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Wenn man nun 1 betrachtet, ist ein mögliches System schematisch dargestellt, welches aus einem Haupt-Kontrollzentrum (CC1) und einem untergeordneten Kontrollzentrum (CC2) besteht. Jedes CC ist mit einer Vielzahl von Gateways verbunden. Das Haupt-Kontrollzentrum (CC1) empfängt Daten über die Sicherheitsstrategie (SP) von dem Betreiber und schreitet sofort fort, um die Information in den Gateways GW1 bis GW3 und dem Kontrollzentrum CC2 zu aktualisieren, das wiederum GW4 und GWS aktualisiert, einschließlich von irgendwelchen zusätzlichen Beschränkungen, die in CC2 gesetzt werden. Jedes Gateway bedient eine Vielzahl von Arbeitsstationen, typischerweise Personalcomputern. Zwei von derartigen Arbeitsstationen, die mit PC angedeutet sind, sind in 1 so dargestellt, dass sie mit GW3 verbunden sind, wobei die übrigen Arbeitsstationen zur Übersichtlichkeit nicht gezeigt sind.
  • 2 zeigt schematisch ein EO (EO1), das einen Anfangsblock aufweist, aus dessen Analyse ersehen werden kann, dass es, um zu arbeiten, Ressourcen x, y, z und w benötigt. EO1 ist in 3 zusammen mit einem zusätzlichen EO (EO2) und einem Gateway GW gezeigt, wie in der Figur ersichtlich. Das Gateway erfasst, dass EO1 Ressourcen x und z verwenden muss, die in Übereinstimmung mit der Sicherheitsstrategie gesperrt bzw. verboten sind. Dementsprechend wird EO1 nicht erlaubt, an das Gateway zu gehen. Im Gegensatz dazu wird EO2, welches nur Ressourcen y und w verwenden muss, die von der Sicherheitsstrategie zugelassen werden, erlaubt, weiterzugehen und das Gateway zu passieren, in Richtung auf dessen Zielstelle hin (d. h. auf die Arbeitsstation hin, die nach ihm gefragt hat).
  • Wenn ein Applet das LAN betritt, muss es erklären, welche Arbeitsstation innerhalb der Organisation es erreichen muss. Die Zulässigkeit des Zielorts muss überprüft werden, da es möglich ist, dass ein gegebenes Applet eine Arbeitsstation, mit einem hohen Sicherheitsgrad, nicht erreichen kann, aber eine andere Arbeitsstation, mit einem niedrigeren Sicherheitsgrad, erreichen kann. Ferner kann das System die Grade der Sicherheit auf Grundlage von anderen Erwägungen verändern, beispielsweise auf Grundlage der Tageszeit, der Wochenzeit, etc.
  • Sämtliche voranstehenden Beschreibungen der bevorzugten Ausführungsformen sind nur für den Zweck einer Illustration vorgesehen und es ist nicht beabsichtigt, die Erfindung in irgendeiner Weise zu beschränken, außer wie in den Ansprüchen definiert. Viele Modifikationen können in der Erfindung durchgeführt werden. Z. B. kann irgendeine Anzahl und irgendeine Verteilung von Kontrollzentren, Gateways und PCs vorgesehen werden, und unterschiedliche Sicherheitsstrategien können von den Benutzern bereitgestellt werden. Zusätzlich kann eine Vielzahl von ausführbaren Objekten überwacht werden, auf unterschiedlichen Infranets und Intranets, und zwar alle ohne den Umfang der Erfindung zu überschreiten.

Claims (10)

  1. Verfahren zum selektiven Verhindern der Herunterladung und Ausführung von unerwünschten ausführbaren Objekten (EO) in einem Computer, in einem System, bei dem die Inhalte von ausführbaren Objekten an einem Gateway (GW1 ... GWS) analysiert werden und die Objekte heraus gefiltert werden, wenn festgestellt wird, dass sie Sicherheitsstrategien (SP) verletzen, wobei das System ein oder mehrere Kontrollzentren (CC1, CC2) aufweist, die jeweils mit ein oder mehreren Gateways (GW1 ... GWS) verbunden sind, die zwischen einem LAN und einem externen Computerkommunikationsnetz angeordnet sind; wobei eine Sicherheitsstrategie (SP) eines Benutzers von jedem der einen oder mehreren Kontrollzentren (CC) empfangen und/oder darin gespeichert wird, wobei die Sicherheitsstrategie (SP) die Ressourcen oder eine Kombination von Ressourcen darstellt, deren Verwendung innerhalb seines LAN der Benutzer einem ausführbaren Objekt (EO) erlaubt oder nicht erlaubt, wobei das Verfahren dadurch gekennzeichnet ist, dass dann, wenn ein ausführbares Objekt (EO) an dem Gateway erfasst wird, das Verfahren die folgenden Schritte umfasst: Analysieren des Anfangsblocks des ausführbaren Objekts (EO); Bestimmen der Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss; Vergleichen der Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, mit der Sicherheitsstrategie (SP); und (i) wenn die Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, in der Liste von Ressourcen enthalten sind, die zur Verwendung durch die Sicherheitsstrategie (SP) zugelassen sind, Zulassen, dass das ausführbare Objekt (EO) durch das Gateway (GW1 ... GWS) geht und den Computer, der dessen Herunterladung initiiert wird, erreicht; und (ii) wenn die Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, in der Liste von Ressourcen enthalten sind, die zur Verwendung durch die Sicherheitsstrategie (SP) verboten sind, Verhindern, dass das ausführbare Objekt (EO) durch das Gateway (GW1 ... GWS) tritt, wodurch verhindert wird, dass es den Computer, der dessen Herunterladung initiiert hat, erreicht.
  2. Verfahren nach Anspruch 1, ferner umfassend die folgenden Schritte: (iii) Alarmieren von Sicherheitsbeamten, dass ein gegebener Typ von ausführbarem Objekt (EO) in das Gateway eingetreten ist; und (iv) Speichern von Information, die sich auf ein gegebenes ausführbares Objekt (EO) bezieht, in Übereinstimmung mit der Sicherheitsstrategie (SP).
  3. Verfahren nach Anspruch 1, wobei das ausführbare Objekt (EO) aus Java-Applets, Active-X, OCX, Win32 Ausführungseinheiten, DLLs, gewählt ist.
  4. Verfahren nach irgendeinem der Ansprüche 1 bis 3, ferner umfassend die Schritte, wenn ein unerwünschtes ausführbares Objekt (EO) an einem Gateway (GW1 ... GWS) erfasst wird, zum Bereitstellen eines Identifizierungswerts davon; Benachrichtigen von sämtlichen anderen Gateways darüber; Identifizieren eines unerwünschten ausführbaren Objekts (EO), welches bereits von einem anderen Gateway analysiert wurde, und Verhindern, dass es an dem Gateway vorübergeht.
  5. Verfahren nach Anspruch 4, umfassend das Ausführen einer Prüfsummen-Prozedur für das ausführbare Objekt (EO), um eine im wesentlichen einzigartige Identifikation davon zu erzeugen.
  6. Verfahren nach Anspruch 1, ferner umfassend das Verbreiten von Sicherheitsstrategien (SP) von einem Hauptkontrollzentrum (CC) an eine Vielzahl von anderen Kontrollzentren, wobei jedes Kontrollzentrum den Betrieb der Gateways, die damit verbunden sind, steuert.
  7. Verfahren nach Anspruch 1 oder 6, umfassend das Versehen jedes Kontrollzentrums (CC) und jeder Gruppe von Gateways mit seiner/ihrer eigenen individuellen Sicherheitsstrategie (SP), die die gleiche wie die oder unterschiedlich zu der Sicherheitsstrategie (SP), die von dem Hauptkontrollzentrum (CC) empfangen wird, sein kann.
  8. Verfahren nach Anspruch 7, umfassend das Hinzufügen von zusätzlichen Beschränkungen zu der Sicherheitsstrategie (SP), die von dem Hauptkontrollzentrum (CC) empfangen wird, unter Verwendung der untergeordneten Kontrollzentren (CC), durch die Hinzufügung von Ressourcen zu der Liste von denjenigen, die nicht zugelassen sind, wobei die untergeordneten Kontrollzentren Beschränkungen von der Liste von begrenzten Ressourcen, die in der Sicherheitsstrategie (SP) enthalten sind, die von dem Hauptkontrollzentrum (CC) verteilt werden, nicht entfernen können.
  9. Computersystem, umfassend ein oder mehrere LANs, wobei jedes LAN mit einem äußeren Computer oder einem Computernetz durch ein oder mehrere Gateways (GW1 ... GWS) verbunden ist, wobei die Inhalte von ausführbaren Objekten (EO) an einem Gateway analysiert werden und die Objekte heraus gefiltert werden, wenn festgestellt wird, dass sie Sicherheitsstrategien verletzen, wobei das System ein oder mehrere Kontrollzentren (CC) umfasst, wobei jedes Kontrollzentrum mit einem oder mehreren Gateways verbunden ist, das/die zwischen einem LAN und einem externen Computerkommunikationsnetz angeordnet ist/sind, umfasst, wobei das System gekennzeichnet ist durch: eine Einrichtung, die mit jedem der Gateways gekoppelt ist, zum Erfassen von ausführbaren Objekten (EO), die die Gateways erreichen, Analysieren des Anfangsblocks von jedem der ausführbaren Objekte und Bestimmen der Ressourcen des Computers, die das ausführbare Objekt verwenden muss; und eine Einrichtung, die mit jedem der Gateways gekoppelt ist, zum Speichern einer Sicherheitsstrategie (SP) eines Benutzers, die die Ressourcen oder eine Kombination von Ressourcen darstellt, deren Verwendung innerhalb seines LAN der Benutzer einem ausführbaren Objekt (EO) erlaubt oder nicht erlaubt, wobei die Sicherheitsstrategie (SP) von jedem der einen oder mehreren Kontrollzentren (CC) empfangen und/oder darin gespeichert wird; und eine Einrichtung, die an jedem Gateway bereitgestellt oder damit gekoppelt ist, zum Vergleichen der Ressourcen des Computers, die die ausführbaren Objekte (EO) verwenden müssen, mit der Sicherheitsstrategie (SP); und eine Einrichtung, um dem ausführbaren Objekt (EO) zu erlauben, durch das Gateway (GW 1 ... GWS) zu gehen und den Computer, der dessen Herunterladung initiiert hat, zu erreichen, wenn die Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, in der Liste von Ressourcen enthalten sind, die zur Verwendung von der Sicherheitsstrategie (SP) erlaubt sind; und eine Einrichtung, um zu verhindern, dass das ausführbare Objekt (EO) durch das Gateway (GW1 ... GWS) geht, wodurch verhindert wird, dass es den Computer, der dessen Herunterladung initiiert hat, erreicht, wenn die Ressourcen des Computers, die das ausführbare Objekt (EO) verwenden muss, in der Liste der Ressourcen enthalten sind, die zur Verwendung von der Sicherheitsstrategie (SP) gesperrt sind.
  10. Computersystem nach Anspruch 9, ferner umfassend: eine Einrichtung zum Alarmieren von Sicherheitsbeamten, dass ein gegebener Typ von ausführbarem Objekt (EO) in das Gateway eingetreten ist; und eine Einrichtung zum Speichern von Information, die sich auf ein gegebenes ausführbares Objekt (EO) bezieht, in Übereinstimmung mit der Sicherheitsstrategie (SP):
DE69818232T 1997-03-10 1998-02-23 Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten Expired - Lifetime DE69818232T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IL12042097A IL120420A (en) 1997-03-10 1997-03-10 Method and system for preventing the downloading and execution of executable objects
IL12042097 1997-03-10
PCT/IL1998/000083 WO1998040993A1 (en) 1997-03-10 1998-02-23 Method and system for preventing the downloading and execution of executable objects

Publications (2)

Publication Number Publication Date
DE69818232D1 DE69818232D1 (de) 2003-10-23
DE69818232T2 true DE69818232T2 (de) 2004-07-01

Family

ID=11069911

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69818232T Expired - Lifetime DE69818232T2 (de) 1997-03-10 1998-02-23 Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten

Country Status (10)

Country Link
US (2) US6449723B1 (de)
EP (1) EP0966821B1 (de)
AT (1) ATE250306T1 (de)
AU (1) AU6227698A (de)
CA (1) CA2284126A1 (de)
DE (1) DE69818232T2 (de)
ES (1) ES2205448T3 (de)
HK (1) HK1024363A1 (de)
IL (1) IL120420A (de)
WO (1) WO1998040993A1 (de)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US6453334B1 (en) 1997-06-16 2002-09-17 Streamtheory, Inc. Method and apparatus to allow remotely located computer programs and/or data to be accessed on a local computer in a secure, time-limited manner, with persistent caching
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
IL123512A0 (en) * 1998-03-02 1999-03-12 Security 7 Software Ltd Method and agent for the protection against hostile resource use access
IL126587A (en) 1998-10-15 2004-12-15 Computer Ass Think Inc A method and system for preventing unwanted actions of activatable objects
US6138239A (en) * 1998-11-13 2000-10-24 N★Able Technologies, Inc. Method and system for authenticating and utilizing secure resources in a computer system
US7028298B1 (en) * 1999-09-10 2006-04-11 Sun Microsystems, Inc. Apparatus and methods for managing resource usage
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process
GB2408368B (en) * 2000-08-18 2005-07-06 Smart Media Ltd Apparatus, system and method for enhancing data security
US8831995B2 (en) 2000-11-06 2014-09-09 Numecent Holdings, Inc. Optimized server for streamed applications
US7062567B2 (en) 2000-11-06 2006-06-13 Endeavors Technology, Inc. Intelligent network streaming and execution system for conventionally coded applications
GB2376093A (en) * 2001-03-21 2002-12-04 Appsense Ltd A security system relating to networks
US20040015958A1 (en) * 2001-05-15 2004-01-22 Veil Leonard Scott Method and system for conditional installation and execution of services in a secure computing environment
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
DE10215747B4 (de) * 2002-04-10 2004-11-18 Siemens Ag Verfahren, Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zu einem geschützten Herunterladen eines elektronischen Objekts in ein Personal Area Network (PAN) sowie Personal Area Network (PAN)
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US7310815B2 (en) * 2003-10-29 2007-12-18 Sonicwall, Inc. Method and apparatus for datastream analysis and blocking
JP4164036B2 (ja) * 2004-02-05 2008-10-08 トレンドマイクロ株式会社 ネットワークを介して提供されるプログラムに対する受信装置上でのセキュリティの確保
JP4379223B2 (ja) * 2004-06-18 2009-12-09 日本電気株式会社 動作モデル作成システム、動作モデル作成方法および動作モデル作成プログラム
WO2006015182A2 (en) * 2004-07-29 2006-02-09 Infoassure, Inc. Object access level
DE102004049706A1 (de) * 2004-10-12 2006-04-20 Siemens Ag Verfahren und Vorrichtung für eingebettete Systeme, insbesondere rekonfigurierbare Mobilfunkendgeräte, mit ladbaren Softwaremodulen
US7835361B1 (en) 2004-10-13 2010-11-16 Sonicwall, Inc. Method and apparatus for identifying data patterns in a file
US7600257B2 (en) 2004-10-13 2009-10-06 Sonicwall, Inc. Method and an apparatus to perform multiple packet payloads analysis
EP1825390A2 (de) 2004-11-13 2007-08-29 Stream Theory, Inc. Hybrides lokal-/fernstreaming
US8024523B2 (en) 2007-11-07 2011-09-20 Endeavors Technologies, Inc. Opportunistic block transmission with time constraints
US11824723B2 (en) 2005-03-23 2023-11-21 Numecent Holdings, Inc. Opportunistic block transmission with time constraints
WO2006102621A2 (en) 2005-03-23 2006-09-28 Stream Theory, Inc. System and method for tracking changes to files in streaming applications
US8060860B2 (en) * 2005-04-22 2011-11-15 Apple Inc. Security methods and systems
KR100821614B1 (ko) 2006-03-10 2008-04-16 한국전자통신연구원 ActiveX Control 취약점 검사 및 검증방법과 ActiveX Control 식별 장치 및 방법
EP1892620B1 (de) * 2006-08-21 2017-04-19 BlackBerry Limited Aktivitäten einer Anwendung prüfen
US8990929B2 (en) * 2006-08-21 2015-03-24 Blackberry Limited Auditing application activities
US7730478B2 (en) 2006-10-04 2010-06-01 Salesforce.Com, Inc. Method and system for allowing access to developed applications via a multi-tenant on-demand database service
US8261345B2 (en) 2006-10-23 2012-09-04 Endeavors Technologies, Inc. Rule-based application access management
US8863286B1 (en) 2007-06-05 2014-10-14 Sonicwall, Inc. Notification for reassembly-free file scanning
US7991723B1 (en) 2007-07-16 2011-08-02 Sonicwall, Inc. Data pattern analysis using optimized deterministic finite automaton
US8892738B2 (en) 2007-11-07 2014-11-18 Numecent Holdings, Inc. Deriving component statistics for a stream enabled application
KR100942795B1 (ko) * 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
US20090222292A1 (en) * 2008-02-28 2009-09-03 Maor Goldberg Method and system for multiple sub-systems meta security policy
US8230499B1 (en) 2008-05-29 2012-07-24 Symantec Corporation Detecting and blocking unauthorized downloads
US8353033B1 (en) * 2008-07-02 2013-01-08 Symantec Corporation Collecting malware samples via unauthorized download protection
US8813221B1 (en) 2008-09-25 2014-08-19 Sonicwall, Inc. Reassembly-free deep packet inspection on multi-core hardware
JP5387584B2 (ja) * 2008-12-08 2014-01-15 日本電気株式会社 データ依存関係解析装置、情報処理装置、データ依存関係解析方法、及びプログラム
GB0822619D0 (en) 2008-12-11 2009-01-21 Scansafe Ltd Malware detection
US9769149B1 (en) 2009-07-02 2017-09-19 Sonicwall Inc. Proxy-less secure sockets layer (SSL) data inspection
US10432587B2 (en) 2012-02-21 2019-10-01 Aventail Llc VPN deep packet inspection
RU2477520C1 (ru) 2012-03-14 2013-03-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства
US10545989B1 (en) * 2015-11-30 2020-01-28 Amazon Technologies, Inc. Selective data replication
US11343305B2 (en) 2020-09-01 2022-05-24 UiPath Inc. Systems and methods of automating a file download activity

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
WO1995027249A1 (en) * 1994-04-05 1995-10-12 Intel Corporation Method and appartus for monitoring and controlling programs in a network
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US6154844A (en) * 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
IL121815A (en) * 1997-09-22 2000-09-28 Security 7 Software Ltd Method and system for the identification and the suppression of executable objects
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6345361B1 (en) * 1998-04-06 2002-02-05 Microsoft Corporation Directional set operations for permission based security in a computer system
US6321334B1 (en) * 1998-07-15 2001-11-20 Microsoft Corporation Administering permissions associated with a security zone in a computer system security model

Also Published As

Publication number Publication date
US6449723B1 (en) 2002-09-10
IL120420A (en) 1999-12-31
ES2205448T3 (es) 2004-05-01
EP0966821A1 (de) 1999-12-29
CA2284126A1 (en) 1998-09-17
WO1998040993A1 (en) 1998-09-17
AU6227698A (en) 1998-09-29
US20030056117A1 (en) 2003-03-20
DE69818232D1 (de) 2003-10-23
ATE250306T1 (de) 2003-10-15
US6918043B2 (en) 2005-07-12
HK1024363A1 (en) 2000-10-05
IL120420A0 (en) 1997-07-13
EP0966821B1 (de) 2003-09-17

Similar Documents

Publication Publication Date Title
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE69824444T2 (de) Verfahren und system zur durchsetzung eines kommunikationsicherheitsverfahrens
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE69823368T2 (de) Verfahren und system zur identifizierung und unterdrückung von ausführbaren objekten
DE69728182T2 (de) Verfahren und gerät zum entfernten netzwerkzugriffseintrag und netzwerkzugriffsbericht
DE60006578T2 (de) Verfahren und vorrichtung zur bereitstellung von mehreren gleichzeitigen desktops und arbeitsflächen in einer gemeinsamen rechnerumgebung
DE69801449T2 (de) Verfahren und system zur konfiguration von rechnern zur verbindung mit netzwerken durch netzwerksverbindungsobjekte
DE69230778T2 (de) Dynamische Programmverknüpfung zwischen Programmadressbereichen im Nicht-Überwachungsmodus
DE60220214T2 (de) Methode und System zum Entdecken von Eindringlingen
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE69229755T2 (de) Anordnung und Verfahren zur Freigabe von geschützten Prozessen in einem verteilten Mehrprozessdatensystem
WO2005050437A2 (de) Verfahren zur installation und konfiguration von softwarekomponenten
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE10297269T5 (de) Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache
EP1494401B1 (de) Router and Verfahren zur Aktivierung eines deaktivierten Computers
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
DE69709788T2 (de) Isolierter ausführungsort
DE10241974B4 (de) Überwachung von Datenübertragungen
DE60017438T2 (de) System zur betriebsmittelzugriffsteuerung
DE69525470T2 (de) Datenbankzugriffsverfahren, eine datenbank und ein dieses verfahren verwendendes rechnernetz
DE69328654T2 (de) Netzsystem
EP1374041A2 (de) Serverüberwachung
EP4107640B1 (de) Verfahren und systeme zum übertragen von software-artefakten aus einem quellnetzwerk zu einem zielnetzwerk
DE602004012922T2 (de) Zugriff überwachunggssystem für ein Automatisierungsgerät
DE69520689T2 (de) Verbesserungen an zugangsrechten für oder zu dateien

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R081 Change of applicant/patentee

Ref document number: 966821

Country of ref document: EP

Owner name: GOOGLE, INC., US

Free format text: FORMER OWNER: COMPUTER ASSOCIATES THINK, INC., ISLANDIA, US

Effective date: 20121106