ES2223121T3 - Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones. - Google Patents

Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones.

Info

Publication number
ES2223121T3
ES2223121T3 ES98904352T ES98904352T ES2223121T3 ES 2223121 T3 ES2223121 T3 ES 2223121T3 ES 98904352 T ES98904352 T ES 98904352T ES 98904352 T ES98904352 T ES 98904352T ES 2223121 T3 ES2223121 T3 ES 2223121T3
Authority
ES
Spain
Prior art keywords
workstation
security
agent
security agent
marker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES98904352T
Other languages
English (en)
Inventor
Doron Elgressy
Asher Jospe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CA Inc
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Application granted granted Critical
Publication of ES2223121T3 publication Critical patent/ES2223121T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Small-Scale Networks (AREA)
  • Multi Processors (AREA)
  • Storage Device Security (AREA)

Abstract

Un procedimiento para imponer una política de seguridad para evitar selectivamente la descarga y ejecución de Objetos Ejecutables indeseados en una estación de trabajo individual, que comprende las etapas de: (1) proporcionar un agente de seguridad adecuado para ser instalado en una estación de trabajo individual, estando dicho agente de seguridad dotado de medios para introducir al menos un marcador en uno o más paquetes de datos transmitidos por una estación de trabajo hasta un servidor, a través de un acceso de entrada, indicando al menos dicho marcador que se ha instalado un agente de seguridad en la estación de trabajo transmisora; (2) proporcionar medios en el, o acoplados al, acceso de entrada, para analizar el primer, o más, paquete(s) de datos recibido(s) desde una estación de trabajo transmisora que inicia la comunicación con un servidor remoto, para determinar si el citado primer, o más, paquete(s) de datos comprende(n) al menos un marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora; (3) si se detecta en dicho primer, o más paquete(s), al menos un marcador que indique que se ha instalado en la estación de trabajo transmisora un agente de seguridad adecuado, borrar el (los) citado(s) marcador(es) de dicho(s) primer, o más, paquete(s) de datos, y permitir que dicho(s) paquete(s) de datos sea(n) transmitido(s) hasta su destino, y (4) si no se detecta ningún marcador en el (los) citado(s) primer, o más, paquete(s) de datos, que indique se ha instalado algún agente de seguridad adecuado en la estación de trabajo transmisora, impedir que el (o los) paquete(s) de datos recibido(s) desde el servidor al que se encuentra conectada la estación de trabajo, sea(n) transmitido(s) a la estación de trabajo.

Description

Procedimiento y sistema para hacer cumplir una política de seguridad en comunicaciones.
Campo de la invención
La presente invención se refiere a la gestión con seguridad de redes de ordenador. Más en particular, la invención se refiere a procedimientos y sistemas para evitar la descarga y ejecución de Objetos Ejecutables en una estación de trabajo de una red de ordenadores.
Antecedentes de la invención
Internet se ha desarrollado mucho, tanto con respecto a su contenido como a la tecnología empleada, desde que comenzó hace unos pocos años. En los primeros días de Internet, los sitios webs incluían solamente texto, y al poco tiempo se introdujeron gráficos. Según se desarrollaba Internet, fueron desarrollados muchos estándares comprimidos, tales como archivos de imágenes, de voz y de vídeo, y con ellos, los programas utilizados para reproducirlos (llamados "players", o "reproductores"). Inicialmente, tales archivos se descargaban en la estación de trabajo del usuario solamente tras su petición, y se extraían solamente mediante el reproductor apropiado, y tras una orden específica del usuario.
Cuando en el transcurso natural del desarrollo de la World Wide Web, empezaba la búsqueda de una forma de mostrar Páginas Webs más atractivas, interactivas y animadas, Sun Microsystems Inc. desarrolló Java, un lenguaje que permite que la webmaster (Web maestro) escriba un programa, una lista de comandos (Ejecutables de Red) que podían ser descargados en la estación de trabajo del usuario sin su conocimiento, y ejecutados por su paginador en su estación de trabajo. Los ejecutables se utilizan, por ejemplo, para proporcionar animación fotográfica y otros gráficos en la pantalla del surfeador de la Web. Tales ejecutables poseen formas de aproximarse a los recursos de la estación de trabajo del usuario, lo que conduce a un gran problema de seguridad. Aunque se definieron algunos niveles de seguridad en el lenguaje Java, se encontró muy pronto un enorme agujero de seguridad en el lenguaje.
Tras el desarrollo de Java, Microsoft desarrolló ActiveX, que es otro formato de Ejecutable de Red, también descargado en la estación de trabajo. ActiveX tiene también problemas de seguridad de la misma clase.
Internet ha sido inundado con "Ejecutables de Red" que pueden ser descargados, deliberadamente o sin el conocimiento de los usuarios, en las estaciones de trabajo dentro de las organizaciones. Estos códigos contienen por lo general funciones inofensivas. Aunque habitualmente seguros, no pueden cumplir con la política de seguridad requerida por la organización.
Una vez ejecutados, los códigos pueden atascar la red, causar daños considerables irreversibles a la base de datos local, a las estaciones de trabajo y a los servidores, o dar como resultado una recuperación no autorizada de información desde los servidores/ estaciones de trabajo. Tales elementos pueden aparecer en Applets Java, componentes ActiveX, DLLs y otros códigos objeto, y su uso se incrementa a un ritmo sin precedentes. La mayoría de estos pequeños programas son descargados en la organización de forma no solicitada ni controlada. La empresa no tiene forma de saber de su existencia o ejecución, y no existe ningún sistema en el lugar para la pronta detección y evitación de que se ejecuten los códigos. Algunos de estos problemas se discuten en el artículo "Screening for applets", de Sharon Machlis,
COMPUTERWORD, vol. 31, núm. 6, 10 de Febrero de 1997, USA, pp. 51-52.
El problema de la seguridad ha sido resuelto parcialmente por los fabricantes de paginadores, que permiten al usuario inhabilitar el uso de ejecutables. Por supuesto, ésta no es una solución razonable, puesto que todo el comercio y la publicidad electrónicos se basan en el uso de ejecutables. El problema de seguridad es mucho más serio cuando el ejecutable puede acceder a los servidores de la empresa, a las bases de datos y a otras estaciones de trabajo. Sin embargo, la técnica ha fallado en cuanto a la provisión de soluciones globales que sean los suficientemente seguras y rápidas como para ser útiles prácticamente. Los sistemas tales como "Firewall" o "Finjan", distribuidos para su uso por los usuarios de Internet, proporcionan solamente soluciones parciales, y además, son difíciles de instalar y de actualizar.
Otra solución que ha sido sugerida en el documento EP 776 112, incluye la provisión de un verificador de procedencia y destino, asociado a un objeto de paquete de entrada, para verificar su procedencia y su destino.
En dos solicitudes de patente de los mismos solicitantes que la presente, la IL 120420, depositada el 10 de Marzo de 1997, y la IL 121815, depositada el 22 de Septiembre de 1997, se describen procedimientos y medios para evitar que Objetos Ejecutables indeseados se infiltren en la LAN/ WAN en la que estamos trabajando, y finalmente, en nuestra estación de trabajo y en nuestro servidor. Sin embargo, mientras que los sistemas descritos en las dos solicitudes de Patentes israelíes mencionadas en lo que antecede, son seguros y convenientes en cuanto a su uso, presentan un inconveniente cuando se refieren a organizaciones muy grandes, ya que requieren que se controle a cada usuario individual (o estación de trabajo) para asegurar que opera de acuerdo con la política de seguridad deseada o, en otras palabras, que se ha instalado en la estación de trabajo datos de seguridad apropiados, o que requieren que el control de la política de seguridad sea llevado a cabo de forma centralizada a nivel de acceso de entrada, en vez de a nivel de la estación de trabajo. De este modo, en grandes organizaciones en las que se están añadiendo constantemente nuevos usuarios, planificar el mantenimiento de la política de seguridad requiere constantes esfuerzos de gestión, si el agente de seguridad ha de ser instalado en las estaciones de trabajo individuales. Como se apreciará, la instalación del agente de seguridad en las estaciones de trabajo individuales proporciona muchas ventajas, en particular en lo que se refiere a la velocidad operativa y a los costes del equipo central, y donde se necesita el cumplimiento de una seguridad centralizada.
Sumario de la invención
Un objeto de la presente invención consiste en proporcionar un procedimiento y medios para hacer que se cumpla la política de seguridad de una organización en todos y cada uno de los miembros de la organización, evitando con ello selectivamente la descarga y la ejecución de Objetos Ejecutables indeseados en un ordenador, lo que elimina la necesidad de una gestión y monitorización central continua de las actividades de los individuos dentro de la organización, y lo que permite efectuar una parte del proceso de cumplimiento de la política de seguridad en las estaciones de trabajo individuales de la organización.
Otro objeto de la invención consiste en proporcionar un sistema de este tipo que sea fácil de instalar y que pueda ser actualizado de forma rápida y fácil.
Otro objeto más de la invención consiste en proporcionar un procedimiento de este tipo que puede ser utilizado con un amplio número de accesos de entrada, LANs y estaciones de trabajo.
Aún otro objeto de la invención consiste en proporcionar un sistema de gestión de seguridad de este tipo, que sea independiente de la infraestructura física y de la distribución de la red.
La invención también abarca un sistema de ordenador que utiliza el procedimiento de la invención.
La invención está dirigida a un procedimiento para el cumplimiento de una política de seguridad para evitar selectivamente la descarga y ejecución de Objetos Ejecutables indeseados en una estación de trabajo individual, que comprende las etapas de:
(1) proporcionar un agente de seguridad adecuado para ser instalado en una estación de trabajo individual, estando dicho agente de seguridad dotado de medios para introducir al menos un marcador en uno o más paquetes de datos transmitidos por una estación de trabajo hasta un servidor por medio de un acceso de entrada, indicando al menos ese marcador que se ha instalado un agente de seguridad en la estación de trabajo transmisora;
(2) proporcionar medios en el, o acoplados al, acceso de entrada para analizar un primer, o más, paquete(s) de datos recibido(s) desde una estación de trabajo transmisora que inicia la comunicación hasta un servidor remoto, para determinar si dicho primer, o más, paquete(s) comprende(n) al menos un marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora;
(3) Si se detecta, en dicho primer o más 
\hbox{paquete(s)}
de datos, al menos un marcador indicativo de que se ha instalado un agente de seguridad adecuado en dicha estación de trabajo transmisora, borrar dicho(s) marcador(es) de dicho(s) primer, o más, paquete(s) de datos, y permitir que dicho(s) paquete(s) de datos 
\hbox{sea(n)}
transmitido(s) hasta su destino, y
(4) Si se detecta, en dicho primer, o más, paque-
te(s) de datos, que en la estación de trabajo transmisora no se ha instalado ningún marcador indicativo de agente de seguridad, evitar que el (los) paquete(s) de datos que se reciba(n) desde el servidor al que está conectada la estación de trabajo, sea(n) transmitido(s) hasta la estación de trabajo.
Los detalles de las políticas de seguridad, su distribución a diversos accesos de entrada dentro de la organización, y el análisis de los datos recibidos, se encuentran descritos con detalle en las citadas solicitudes de Patentes israelíes copendientes de la misma solicitante que ésta, cuya descripción se incorpora aquí como referencia, y por lo tanto no se discuten aquí con mayor detalle, por razones de
brevedad.
De acuerdo con una realización preferida de la invención, el procedimiento comprende además la etapa de obligar a la estación de trabajo que ha transmitido el (los) paquete(s) de datos que no contiene(n) marcador que indique que se ha instalado un agente de seguridad adecuado, a instalar un agente de seguridad adecuado. De este modo, la política de seguridad se impone en tiempo real. Además, según se discutirá mejor en lo que sigue, si el agente de seguridad instalado está anticuado, y la información de marcación recibida a la entrada muestra este hecho, se puede obligar también al usuario a la instalación de un agente de seguridad actualizado, o a una actualización de la política de seguridad. Dicha instalación (que según se utiliza aquí, incluye también la actualización de los datos de política de seguridad anticuada), puede ser llevada a cabo ya sea por el sistema, o ya sea interactivamente, en cooperación con el usuario de la estación de trabajo.
De acuerdo con una realización preferida de la invención, cuando se necesita la instalación de un agente de seguridad, un paquete que contiene una PÁGINA HTML que comprende información de instalación para el agente de seguridad, se devuelve a la estación de trabajo por medio de la entrada o a través de los medios acoplados a la misma, tal como en forma de un E-MAIL y la anexión de un fichero.
Además, de acuerdo con una realización preferida de la invención, la identidad de la estación de trabajo y/o del usuario, se compara con el nivel de seguridad que les ha de ser asignado, y se elige el agente de seguridad adecuado y/o los datos de política de seguridad que han de ser instalados en la estación de trabajo.
La invención también abarca un sistema para hacer cumplir una política de seguridad que evite selectivamente la descarga y ejecución de Objetos Ejecutables indeseados en una estación de trabajo individual, que comprende:
A. Un agente de seguridad adecuado que ha de ser instalado en una estación de trabajo individual, estando dicho agente de seguridad dotado de medios para introducir al menos un marcador en uno o más paquetes de datos transmitidos por una estación de trabajo hasta un servidor a través de un acceso de entrada, indicando al menos ese marcador que se ha instalado un agente de seguridad en la estación de trabajo transmisora;
B. Medios de acceso de entrada para controlar el tráfico de comunicaciones de una pluralidad de estaciones de trabajo con Internet o una Intranet;
C. Medios de detección previstos en, o acoplados a, dicha entrada para analizar el primero, o más, paquete(s) de datos recibido(s) desde una estación de trabajo transmisora que inicia la comunicación con un servidor remoto, para determinar si dicho(s) primer, o más, paquete(s) comprende(n) al menos un marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora;
D. Medios para borrar dicho(s) marcador(es) de dicho(s) primer, o más, paquete(s) de datos, y para permitir que dicho(s) paquete(s) de datos sea(n) transmitido(s) a su destino, si se detecta al menos un marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora, a través de los citados medios detección, en dicho(s) primer, o más, paquete(s) de datos, y
E. Medios para evitar que el (los) paquete(s) de datos recibido(s) desde el servidor al que se encuentra conectada la estación de trabajo, sea(n) 
\hbox{transmitido(s)}
hasta la estación de trabajo si no se detecta ningún marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo de transmisión, a través de los citados medios de detección, en dicho(s) primer, o más, paquete(s) de datos.
De acuerdo con una realización preferida de la invención, el sistema comprende además medios para permitir, u obligar a, la instalación de un agente de seguridad adecuado en una estación de trabajo. Tales medios pueden comprender medios para obligar a la estación de trabajo que ha transmitido el (los) paquete(s) de datos que no contienen marcador indicativo de que se ha instalado en el (los) mismo(s) un agente de seguridad adecuado, a instalar un agente de seguridad adecuado, que puede consistir en medios para instalar automáticamente el agente de seguridad en la estación de trabajo, o en medios para llevar a cabo la instalación de forma interactiva, en cooperación con la estación de trabajo del usuario.
De acuerdo con una realización preferida de la invención, se proporcionan medios para devolver a la estación de trabajo un paquete que contenga una
PÁGINA HTML que comprenda información de instalación para el agente de seguridad. De este modo, de acuerdo con esta realización particular de la invención, la estación de trabajo se conecta a través de un enlace que proporciona a la misma el acceso de entrada, con un servidor alejado que la conduce en el procedimiento de instalación, y que proporciona la información y el software requeridos. En una realización preferida de la invención, la instalación se efectúa tras comparar la identidad de la estación de trabajo y/o la del usuario, con el nivel de seguridad que les ha de ser asignado, y la selección del agente de seguridad adecuado y los datos de política de seguridad que han de ser instalados en la estación de trabajo.
Otras ventajas y objetos de la invención, se pondrán de manifiesto según avanza la descripción.
Breve descripción de los dibujos
La Figura 1 es una representación esquemática de un proceso de cumplimiento de política de seguridad, de acuerdo con una realización preferida de la invención, y
La Figura 2 ilustra mejor los diversos elementos de un sistema de acuerdo con una realización preferida de la invención, y la relación entre los mismos.
Descripción detallada de realizaciones preferidas
El procedimiento de la invención opera junto con el sistema del documento IL 120420 para impedir selectivamente la descarga y ejecución de Objetos Ejecutables indeseados en un ordenador que, en resumen opera de acuerdo con las siguientes etapas:
(a) provisión de uno o más Centros de Control, cada uno de ellos conectado a uno o más accesos de entrada situados entre una LAN y una red externa de comunicación por ordenador;
(b) provisión de medios acoplados a cada uno de los citados accesos de entrada, para detectar Objetos Ejecutables que alcanzan dicho acceso de entrada, para analizar la cabecera de cada uno de los citados Objetos Ejecutables, y para determinar los recursos del ordenador que el Objeto Ejecutable necesita
utilizar;
(c) provisión de medios acoplados a cada uno de dichos accesos de entrada, para almacenar la Política de Seguridad del usuario que representa los recursos, o combinación de recursos que el usuario permite, o no permite, que el Objeto Ejecutable utilice dentro de su LAN, en la que se recibe la Política de Seguridad desde, y/o se almacena en cada uno de, dichos uno o más Centros de Control;
(d) cuando se detecta un Objeto Ejecutable en el acceso de entrada:
1.
analizar la cabecera del Objeto Ejecutable;
2.
determinar los recursos del ordenador que el Objeto Ejecutable necesita utilizar;
3.
comparar los recursos del ordenador que el Objeto Ejecutable necesita utilizar, con la Política de Seguridad, y
(i)
si los recursos del ordenador que el Objeto Ejecutable necesita utilizar están incluidos en la lista de los recursos permitidos para su uso por parte de la Política de Seguridad, permitir que el Objeto Ejecutable pase a través del acceso de entrada, y alcance el ordenador que ha iniciado su descarga, y
(ii)
si los recursos del ordenador que el Objeto Ejecutable necesita utilizar están incluidos en la lista de los recursos de uso prohibido por la Política de Seguridad, evitar que el Objeto Ejecutable pase a través del acceso de entrada, impidiendo con ello que alcance al ordenador que ha iniciado su descarga.
Un Centro de Control (CC) puede consistir en una unidad central de control, por ejemplo, un PC u otro ordenador, que se conecta a una pluralidad de accesos de entrada, y que actualiza los medios de memoria que contienen datos relevantes, por ejemplo, la Política de Seguridad. Como se comprenderá por la descripción que sigue, una vez que el CC ha sido actualizado, por ejemplo con la adición de una limitación adicional a la Política de Seguridad, todos los accesos de entrada se actualizan a la vez. El uso del CC para controlar la actuación de los elementos de seguridad de los accesos de entrada, elimina la necesidad (existente en los sistemas de la técnica anterior), de actualizar cada acceso de entrada cada vez que se realiza un cambio de política.
Una LAN (Red de Área Local) puede ser (aunque sin limitarse a ello), por ejemplo, una red de ordenadores situada en una oficina o un edificio. La LAN está conectada típicamente a redes de comunicaciones externas, tales como la World Wide Web, o a otras LANSs, por ejemplo de un cliente o proveedor, a través de uno o más accesos de entrada. Cuanto mayor es la organización, mayor es el número de accesos de entrada empleados, con el fin de mantener las comunicaciones a una velocidad razonable.
Generalmente hablando, una LAN puede estar formada también por una pluralidad de LANs más pequeñas, situadas geográficamente en las cercanías o alejadas, pero incluso aunque se encuentren LANs pequeñas dentro de la misma organización, los requisitos de seguridad pueden variar de un departamento a otro, y puede hacerse necesario mantener altos niveles de seguridad, incluyendo evitar que los Ejecutables migren desde un departamento a otro, incluso dentro de la misma organización.
Los medios acoplados a cada uno de los accesos de entrada, para detectar los Objetos Ejecutables que alcanzan a dicho acceso de entrada, para analizar la cabecera de cada uno de los citados Objetos Ejecutables, y para determinar los recursos del ordenador que necesita utilizar el Objeto Ejecutable, pueden ser de muchos tipos diferentes. Típicamente, el objeto ejecutable se "atrapa" y se analiza en el acceso de entrada escuchando en la línea de comunicaciones a los protocolos de comunicación, tales como TCP/IP, NETBUI, IPX/SPX, u otros, así como también a los protocolos de transferencia del objeto, tales como SMTP, HTTP, FTP, NMTP, IMAP, etc. Mantener la línea de comunicación y extraer el contenido de la cabecera del objeto ejecutable, son etapas que entienden los expertos en la materia, y que pueden efectuarse mediante programación convencional, y que por lo tanto no se describen aquí en detalle, por motivos de brevedad.
Una vez que la cabecera del Objeto Ejecutable (EO) ha sido analizada, la comparación de los recursos del ordenador que necesita utilizar el EO con la Política de Seguridad, puede hacerse fácilmente, por ejemplo comparándolos con una tabla de búsqueda, proporcionada al acceso de entrada por el CC, que representa la Política de Seguridad. La comparación puede llevarse también a cabo frente a los datos almacenados en el CC, y en ese caso, puede que no se necesiten en el acceso de entrada medios de memoria y medios de comparación específicos. Sin embargo, las consideraciones de velocidad y comportamiento impondrán con frecuencia que tales operaciones sean llevadas a cabo en el propio acceso de entrada.
El acceso de entrada debe ser instalado en cada servidor de Internet de dentro de la organización. Comprende una pequeña base de datos en tiempo real que contiene toda la información operativa relevante para el acceso de entrada. El acceso de entrada "escucha" los datos transferidos entre la empresa e Internet. Aquél sabe cuándo está llegando un objeto a la LAN, lo analiza y lo compara con la Política de Seguridad para decidir qué acción debe ser tomada.
De acuerdo con una realización preferida del documento IL 120420, según se ha expuesto, si los recursos del ordenador que necesita utilizar el Objeto Ejecutable están incluidos en la lista de recursos de uso permitidos por la Política de Seguridad, no se toma ninguna acción por parte del sistema para evitar que el Objeto Ejecutable pase a través del acceso de entrada y alcance el ordenador que ha iniciado su descarga. Sin embargo, si los recursos del ordenador que necesita utilizar el Objeto Ejecutable están incluidos en la lista de recursos de uso prohibido por la Política de Seguridad, se tomarán acciones para evitar que el Objeto Ejecutable pase a través del acceso de entrada. Tales acciones pueden incluir, por ejemplo, el re-enrutamiento del ejecutable hasta un destino fuera del acceso de entrada, la cancelación o la mutilación de parte del mismo, con el fin de hacerlo inoperante, etc.
El procedimiento no se limita a ningún EO específico. Ejemplos ilustrativos de EOs incluyen, entre otros, Java Applets, Active-X, OCX, Win32 Executables, DLLs, o los objetos ejecutables similares. Sin embargo, como resultará evidente para un experto en la materia, los EOs se están desarrollando constantemente, y la naturaleza real del EO no tiene una importancia crítica.
Otras muchas características y ventajas del sistema se encuentran descritas con detalle en la descripción del documento IL 120420 el cual, como se ha indicado, se incorpora aquí como referencia.
De acuerdo con la presente invención, se proporciona un proceso de acuerdo con el cual se obliga al usuario a instalar un agente de seguridad de acuerdo con la política de seguridad de la organización, siempre que intente conectar con un servidor a través del acceso de entrada. El acceso de entrada puede ser cualquiera de una pluralidad de los accesos de entrada existentes en la organización.
El sistema opera como sigue: siempre que un usuario intenta conectar con un servidor, con el fin de acceder a un servidor objetivo en Internet o en una Intranet, se efectúa un "proceso de conexión" en el que se envía un primer paquete desde la estación hasta el servidor objetivo, cuyo paquete no contiene datos. De acuerdo con la presente invención, se introduce información privada en dicho primer paquete, cuya información privada se denominará en lo que sigue como "Información de Marcador", cuya información de marcador indica que se encuentra presente un agente en la estación de trabajo que está intentando conectar. En otras palabras, siempre que se inicia el proceso de comunicación por parte del usuario, si se encuentra presente un agente de seguridad en la estación de trabajo, dicho agente de seguridad modificará el primer paquete de modo que introduce información de marcador indicativa del hecho de que se encuentra instalado el agente en la estación de trabajo. Si no existe agente de seguridad instalado en la estación de trabajo, el primer paquete enviado por la estación de trabajo durante el proceso de conexión estará vacío, o al menos no comprenderá ninguna información de marcador indicativa de la presencia de un agente de seguridad adecuado en la estación de trabajo. Por medio de la información de marcador, el acceso de entrada, que es responsable de llevar a cabo la política de seguridad de la organización, alertará sobre el hecho de que, una estación de trabajo en la que no se encuentra instalado ningún agente de seguridad, está intentando conectar con un servidor fuera de la Organización, o fuera de un segmento de la Organización para el que se requiere la imposición de la política de seguridad.
Este proceso se ha ilustrado mejor en la Figura 1. En la Figura, se ha ilustrado esquemáticamente el funcionamiento del acceso de entrada. El acceso de entrada, que recibe todos los paquetes de datos de entrada y de salida, recibe un primer paquete enviado por una estación de trabajo dada, y lo analiza. El acceso de entrada comprueba si el paquete contiene datos de marcador, según se ha definido en lo que antecede. Si se encuentra, mediante el acceso de entrada, que los datos de marcador son adecuados, el acceso de entrada separa los datos de marcador del paquete antes de permitirle pasar a su destino, de modo que no interfiera con ningún análisis hecho sobre el paquete en el extremo de recepción. El acceso de entrada permite que la estación de trabajo conecte con su destino.
Si un acceso de entrada no puede detectar datos de marcador en el primer paquete, no permite que la estación de trabajo conecte con su destino y, en lugar de conectarlo con su destino deseado, devuelve a la estación de trabajo un enlace con un servidor distante, cuyo servidor contiene el software requerido para llevar a cabo la instalación forzosa de un agente de seguridad en la estación de trabajo específica. La instalación forzosa de un software, tal como el agente de seguridad, puede efectuarse según una amplia diversidad de modos, los cuales son evidentes para el experto en la materia, y por lo tanto no serán descritos aquí con detalle, por motivos de brevedad. Tales instalaciones pueden ser llevadas a cabo utilizando programas escritos en lenguaje Java, de cualquier otro modo adecuado, o incluso interactivamente con el usuario, avisándole de que no le será permitido conectar a través del acceso de entrada a menos que realice las operaciones específicas requeridas que conduzcan a la instalación del agente de seguridad deseado en su estación de trabajo.
De acuerdo con una realización preferida de la invención, la conexión del usuario con un servidor que realizará la instalación del agente de seguridad en la estación de trabajo del usuario, o desde la que el usuario llevará a cabo la instalación siguiendo las instrucciones que se le den, se efectúa permitiendo que el paquete vacío enviado por el usuario hasta el acceso de entrada (es decir, el primer paquete que no contiene información de marcador), llegue al servidor de destino, y, cuando se recibe un paquete de respuesta desde el servidor de destino, dirigido al usuario, el acceso de entrada lo sustituye por un paquete que contiene una PÁGINA HTTP, que contiene la información para la instalación del agente de seguridad.
Por supuesto, se pueden utilizar procedimientos adicionales con el fin de obtener el mismo resultado. Por ejemplo, un procedimiento menos conveniente, más primitivo, pero también efectivo, comprende realizar el análisis del primer paquete en el acceso de entrada, según se ha explicado en lo que antecede, y devolver después al usuario o al administrador de seguridad, una notificación de que no se ha permitido a su estación de trabajo conectar a través del acceso de entrada, debido a que no se encuentra instalado ningún agente de seguridad en la misma. Dicha notificación puede incluir información acerca de desde donde, o desde quién, se puede obtener el software necesario para la instalación del agente de seguridad. Aunque todo esto resulta ser un proceso menos conveniente, más largo y que necesita más tiempo, como resultará evidente para un experto en la materia, resulta no obstante tan efectivo como cualquier otro procedimiento de instalación más avanzado, a los efectos de mantener la seguridad, y observar la política de seguridad de la organización.
De acuerdo con otra realización preferida de la invención, se efectúa también un análisis de la identidad de la estación de trabajo y/o del usuario, mediante el acceso de entrada y/o por el servidor distante, para determinar la política de seguridad que se les debe aplicar. Esto es importante en organizaciones en las que la aplicación de políticas de seguridad diferenciadas, por ejemplo, las de diferentes departamentos, o diferentes personas o niveles dentro de un departamento, se asignan a políticas de seguridad diferentes. Dicha etapa no es, por supuesto, necesaria cuando la organización completa emplea una política de seguridad uniforme.
Observando ahora la Figura 2, se han ilustrado tres niveles de seguridad de un sistema de acuerdo con una realización preferida de la invención. La casilla "A" es el bloque de aplicaciones de gestión, que contiene el Centro de Control que controla todas las operaciones de seguridad del sistema. El Centro de Control se encuentra conectado a módulos de gestión, tales como el Gestor de Políticas, que contiene datos sobre la política de seguridad del sistema para los diversos accesos de entrada, usuarios, etc., o el Visualizador Audit, que permite a un operador visualizar la actuación del sistema en tiempo real, o cualquier otra utilidad que pueda desearse para operar al nivel del Centro de Control (indicado esquemáticamente en la Figura como la casilla "...".
El Centro de Control está conectado, por una parte, al Servidor de Distribución, y por otra parte, a uno o más accesos de entrada (habiéndose representado en la Figura solamente un acceso de entrada, por motivos de simplicidad). El Servidor de Distribución, que pertenece al bloque de aplicación de gestión, se ha conectado al Centro de Control vía conexiones TCP/IP (o nivel de paquete), y tiene como función la de proporcionar datos e información operativa para el agente de seguridad que opera a nivel de la estación de trabajo. El Agente (casilla C), se ha conectado lógicamente, como se ha dicho, por una parte al Servidor de Distribución, y por otra parte al acceso de entrada, al que se dota de aplicaciones de seguridad (bloque B) de Nivel de Acceso de Entrada, que tienen en consideración las operaciones de seguridad que se llevan a cabo en el propio acceso de entrada, como se ha explicado en lo que antecede.
La totalidad de la descripción anterior de realizaciones preferidas, ha sido proporcionada a efectos de ilustración, y no se pretende limitar la invención en ningún sentido, salvo en lo que se define en las reivindicaciones. Se pueden efectuar muchas modificaciones en la invención. Por ejemplo, se pueden proporcionar muchos marcadores diferentes para indicar que se ha instalado un agente de seguridad en una estación de trabajo dada, se pueden llevar a cabo diferentes tipos de análisis por medio de, o en, un acceso de entrada, o mediante diferentes agentes acoplados al acceso de entrada, y se pueden proporcionar muchos medios y procedimientos diferentes para efectuar la instalación del agente de seguridad en una estación de trabajo, todo ello sin exceder el alcance de la invención.

Claims (13)

1. Un procedimiento para imponer una política de seguridad para evitar selectivamente la descarga y ejecución de Objetos Ejecutables indeseados en una estación de trabajo individual, que comprende las etapas de:
(1) proporcionar un agente de seguridad adecuado para ser instalado en una estación de trabajo individual, estando dicho agente de seguridad dotado de medios para introducir al menos un marcador en uno o más paquetes de datos transmitidos por una estación de trabajo hasta un servidor, a través de un acceso de entrada, indicando al menos dicho marcador que se ha instalado un agente de seguridad en la estación de trabajo transmisora;
(2) proporcionar medios en el, o acoplados al, acceso de entrada, para analizar el primer, o más, paquete(s) de datos recibido(s) desde una estación de trabajo transmisora que inicia la comunicación con un servidor remoto, para determinar si el citado primer, o más, paquete(s) de datos comprende(n) al menos un marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora;
(3) si se detecta en dicho primer, o más paquete(s), al menos un marcador que indique que se ha instalado en la estación de trabajo transmisora un agente de seguridad adecuado, borrar el (los) citado(s) marca-
dor(es) de dicho(s) primer, o más, paquete(s) de datos, y permitir que dicho(s) paquete(s) de datos sea(n) transmitido(s) hasta su destino, y
(4) si no se detecta ningún marcador en el (los) citado(s) primer, o más, paquete(s) de datos, que indique se ha instalado algún agente de seguridad adecuado en la estación de trabajo transmisora, impedir que el (o los) paquete(s) de datos recibido(s) desde el servidor al que se encuentra conectada la estación de trabajo, sea(n) transmitido(s) a la estación de trabajo.
2. Un procedimiento de acuerdo con la reivindicación 1, que comprende además la etapa de obligar a la estación de trabajo que ha transmitido el (los) paquete(s) de datos que no contiene(n) algún marcador que indique se ha instalado un agente de seguridad adecuado, a instalar un agente de seguridad adecuado.
3. Un procedimiento de acuerdo con la reivindicación 2, en el que la instalación se lleva a cabo automáticamente por el sistema.
4. Un procedimiento de acuerdo con la reivindicación 2, en el que la instalación se lleva a cabo de forma interactiva en cooperación con el usuario de la estación de trabajo.
5. Un procedimiento de acuerdo con la reivindicación 2 ó 3, en el que se devuelve un paquete a la estación de trabajo por medio del acceso de entrada o a través de medios acoplados al mismo, que contiene una PÁGINA HTML que comprende información de instalación para el agente de seguridad.
6. Un procedimiento de acuerdo con una cualquiera de las reivindicaciones 2 a 5, que comprende además comparar la identidad de la estación de trabajo y/o del usuario, con el nivel de seguridad que les ha de ser asignado, y seleccionar el agente de seguridad adecuado y los datos de política de seguridad que han de ser instalados en la estación de trabajo.
7. Un sistema para imponer una política de seguridad para impedir selectivamente la descarga y ejecución de Objetos Ejecutables indeseados en una estación de trabajo individual, que comprende:
A. Un agente de seguridad adecuado para ser instalado en una estación de trabajo individual, estando dicho agente de seguridad dotado de medios para introducir al menos un marcador en uno o más paquetes de datos transmitidos por una estación de trabajo hasta un servidor a través de un acceso de entrada, indicando al menos dicho marcador que se ha instalado un agente de seguridad en la estación de trabajo transmisora;
B. Medios de acceso de entrada para controlar el tráfico de comunicaciones de una pluralidad de estaciones de trabajo con Internet o con una Intranet;
C. Medios de detección previstos en, o acoplados a, dicho acceso de entrada, para analizar el primer, o más, paquete(s) de datos recibido(s) desde una estación de trabajo transmisora que inicia la comunicación con un servidor remoto, para determinar si dicho primer, o más, paquete(s) de datos comprende(n) al menos un marcador que indique que un agente de seguridad adecuado se ha instalado en la estación de trabajo transmisora;
D. Medios para borrar el (los) citado(s) marca-
dor(es) de dicho(s) primer, o más, paquete(s) de datos, y para permitir que dicho(s) paquete(s) de datos sea(n) transmitido(s) hasta su destino, si se detecta, mediante dichos medios de detección, en dicho(s) primer, o más, paquete(s) de datos, al menos un marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora; y
E. Medios para evitar que el (los) paquete(s) de datos recibido(s) desde el servidor al que se encuentra conectada la estación de trabajo, sea(n) transmitido(s) hasta la estación de trabajo si no se detecta, mediante los citados medios de detección, en dicho(s) primer, o más, paquete(s) de datos, ningún marcador que indique que se ha instalado un agente de seguridad adecuado en la estación de trabajo transmisora.
8. Un sistema de acuerdo con la reivindicación 7, que comprende además medios para permitir o forzar la instalación de un agente de seguridad adecuado en una estación de trabajo.
9. Un sistema de acuerdo con la reivindicación 8, que comprende además medios para obligar a la estación de trabajo que ha transmitido el (los) paquete(s) de datos que no contienen marcador indicativo de que se haya instalado un agente de seguridad instalado en la misma, a instalar un agente de seguridad adecuado.
10. Un sistema de acuerdo con la reivindicación 8, que comprende medios para instalar automáticamente el agente de seguridad en la estación de trabajo.
11. Un sistema de acuerdo con la reivindicación 8, que comprende medios para llevar a cabo la instalación de forma interactiva, en cooperación con el usuario de la estación de trabajo.
12. Un sistema de acuerdo con la reivindicación 7 u 8, que comprende medios para devolver a la estación de trabajo un paquete que contiene una PÁGINA HTML que comprende información de instalación para el agente de seguridad.
13. Un sistema de acuerdo con una cualquiera de las reivindicaciones 8 a 12, que comprende además medios para comparar la identidad de la estación de trabajo y/o del usuario con el nivel de seguridad que se les ha asignado, y para seleccionar el agente de seguridad adecuado y los datos de política de seguridad que han de ser instalados en la estación de trabajo.
ES98904352T 1997-11-27 1998-02-23 Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones. Expired - Lifetime ES2223121T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IL12231497A IL122314A (en) 1997-11-27 1997-11-27 Method and system for enforcing a communication security policy
IL12231497 1997-11-27

Publications (1)

Publication Number Publication Date
ES2223121T3 true ES2223121T3 (es) 2005-02-16

Family

ID=11070898

Family Applications (1)

Application Number Title Priority Date Filing Date
ES98904352T Expired - Lifetime ES2223121T3 (es) 1997-11-27 1998-02-23 Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones.

Country Status (13)

Country Link
US (3) US6098173A (es)
EP (1) EP1034646B1 (es)
JP (1) JP2001525585A (es)
KR (1) KR20010024658A (es)
CN (1) CN1119003C (es)
AT (1) ATE268967T1 (es)
AU (1) AU757668B2 (es)
BR (1) BR9815066A (es)
CA (1) CA2312061A1 (es)
DE (1) DE69824444T2 (es)
ES (1) ES2223121T3 (es)
IL (2) IL122314A (es)
WO (1) WO1999029082A1 (es)

Families Citing this family (104)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL120420A (en) 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US6317868B1 (en) * 1997-10-24 2001-11-13 University Of Washington Process for transparently enforcing protection domains and access control as well as auditing operations in software components
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
IL143592A0 (en) 1998-12-07 2002-04-21 Network Ice Corp A method and apparatus for remote installation of network drivers and software
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
JP2000347866A (ja) * 1999-06-04 2000-12-15 Nec Corp 分散システムとアクセス制御装置及び方法、並びにアクセス制御用プログラムを記録した記録媒体
US7346929B1 (en) 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US8006243B2 (en) 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
US6405319B1 (en) * 2000-01-27 2002-06-11 Buildpoint Corporation Verification system for information transfers over a computer network
AU2001257400A1 (en) 2000-04-28 2001-11-12 Internet Security Systems, Inc. System and method for managing security events on a network
WO2001084285A2 (en) 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for managing computer security information
US6907531B1 (en) 2000-06-30 2005-06-14 Internet Security Systems, Inc. Method and system for identifying, fixing, and updating security vulnerabilities
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7051069B2 (en) * 2000-09-28 2006-05-23 Bea Systems, Inc. System for managing logical process flow in an online environment
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
EP2607981A1 (en) * 2001-01-17 2013-06-26 ContentGuard Holdings, Inc. System and method for digital rights management using a standard rendering engine
WO2002061544A2 (en) 2001-01-31 2002-08-08 Internet Security Systems, Inc. Method and system for configuring and scheduling security audits of a computer network
EP1233333A1 (en) * 2001-02-19 2002-08-21 Hewlett-Packard Company Process for executing a downloadable service receiving restrictive access rights to al least one profile file
US20030041050A1 (en) * 2001-04-16 2003-02-27 Greg Smith System and method for web-based marketing and campaign management
US7499948B2 (en) 2001-04-16 2009-03-03 Bea Systems, Inc. System and method for web-based personalization and ecommerce management
WO2002097587A2 (en) * 2001-05-31 2002-12-05 Internet Security Systems, Inc. Method and system for implementing security devices in a network
US7392546B2 (en) 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
KR100430611B1 (ko) * 2001-08-21 2004-05-10 와이더덴닷컴 주식회사 통신 프로토콜 보안 방법
KR20030016733A (ko) * 2001-08-21 2003-03-03 아르파(주) 통신 시스템에서의 동적 서비스 보호 방법
WO2003036609A1 (en) 2001-10-24 2003-05-01 Bea Systems, Inc. Portal administration tool
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
WO2003058451A1 (en) 2002-01-04 2003-07-17 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
KR100432236B1 (ko) * 2002-01-28 2004-05-22 김미희주 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호시스템
US20040010598A1 (en) * 2002-05-01 2004-01-15 Bea Systems, Inc. Portal setup wizard
US7725560B2 (en) 2002-05-01 2010-05-25 Bea Systems Inc. Web service-enabled portlet wizard
US7496687B2 (en) * 2002-05-01 2009-02-24 Bea Systems, Inc. Enterprise application platform
JP4786116B2 (ja) 2002-09-06 2011-10-05 ソニー株式会社 情報処理装置および方法、並びにプログラム
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
KR100484488B1 (ko) * 2002-10-31 2005-04-20 한국전자통신연구원 분산된 보안자원을 포함하는 인터넷 서비스 사업자망의보안서비스 방법 및 시스템
KR20040038168A (ko) * 2002-10-31 2004-05-08 한국전자통신연구원 패킷 마킹을 이용한 인터넷 보안서비스 방법 및 시스템
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US7653930B2 (en) 2003-02-14 2010-01-26 Bea Systems, Inc. Method for role and resource policy management optimization
US6917975B2 (en) * 2003-02-14 2005-07-12 Bea Systems, Inc. Method for role and resource policy management
US7591000B2 (en) 2003-02-14 2009-09-15 Oracle International Corporation System and method for hierarchical role-based entitlements
US7840614B2 (en) 2003-02-20 2010-11-23 Bea Systems, Inc. Virtual content repository application program interface
US7483904B2 (en) * 2003-02-20 2009-01-27 Bea Systems, Inc. Virtual repository content model
US20040167880A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. System and method for searching a virtual repository content
US7562298B2 (en) 2003-02-20 2009-07-14 Bea Systems, Inc. Virtual content repository browser
US20040167871A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. Content mining for virtual content repositories
US7293286B2 (en) 2003-02-20 2007-11-06 Bea Systems, Inc. Federated management of content repositories
US7415478B2 (en) 2003-02-20 2008-08-19 Bea Systems, Inc. Virtual repository complex content model
US20040230557A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for context-sensitive editing
US20040230917A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for navigating a graphical hierarchy
US7810036B2 (en) 2003-02-28 2010-10-05 Bea Systems, Inc. Systems and methods for personalizing a portal
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
KR100479345B1 (ko) * 2003-05-06 2005-03-31 한국전자통신연구원 네트워크 보안과 관리장치 및 방법
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US20050097353A1 (en) * 2003-10-10 2005-05-05 Bea Systems, Inc. Policy analysis tool
US7644432B2 (en) 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US20050097352A1 (en) * 2003-10-10 2005-05-05 Bea Systems, Inc. Embeddable security service module
US20050262362A1 (en) * 2003-10-10 2005-11-24 Bea Systems, Inc. Distributed security system policies
US20050102535A1 (en) * 2003-10-10 2005-05-12 Bea Systems, Inc. Distributed security system with security service providers
US7657938B2 (en) 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
US20050188295A1 (en) * 2004-02-25 2005-08-25 Loren Konkus Systems and methods for an extensible administration tool
US7774601B2 (en) 2004-04-06 2010-08-10 Bea Systems, Inc. Method for delegated administration
US7236989B2 (en) 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for providing lifecycles for custom content in a virtual content repository
US7246138B2 (en) * 2004-04-13 2007-07-17 Bea Systems, Inc. System and method for content lifecycles in a virtual content repository that integrates a plurality of content repositories
US20050240714A1 (en) * 2004-04-13 2005-10-27 Bea Systems, Inc. System and method for virtual content repository deployment
US7236975B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for controlling access to anode in a virtual content repository that integrates a plurality of content repositories
US7580953B2 (en) * 2004-04-13 2009-08-25 Bea Systems, Inc. System and method for schema lifecycles in a virtual content repository that integrates a plurality of content repositories
US20050228816A1 (en) * 2004-04-13 2005-10-13 Bea Systems, Inc. System and method for content type versions
US7475091B2 (en) * 2004-04-13 2009-01-06 Bea Systems, Inc. System and method for viewing a virtual content repository
US7236990B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for information lifecycle workflow integration
US7240076B2 (en) * 2004-04-13 2007-07-03 Bea Systems, Inc. System and method for providing a lifecycle for information in a virtual content repository
US20050228784A1 (en) * 2004-04-13 2005-10-13 Bea Systems, Inc. System and method for batch operations in a virtual content repository
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US20060059551A1 (en) * 2004-09-13 2006-03-16 Utstarcom Inc. Dynamic firewall capabilities for wireless access gateways
US20060203815A1 (en) * 2005-03-10 2006-09-14 Alain Couillard Compliance verification and OSI layer 2 connection of device using said compliance verification
US7818344B2 (en) 2005-09-26 2010-10-19 Bea Systems, Inc. System and method for providing nested types for content management
US7953734B2 (en) * 2005-09-26 2011-05-31 Oracle International Corporation System and method for providing SPI extensions for content management system
US7483893B2 (en) 2005-09-26 2009-01-27 Bae Systems, Inc. System and method for lightweight loading for managing content
US7752205B2 (en) * 2005-09-26 2010-07-06 Bea Systems, Inc. Method and system for interacting with a virtual content repository
US7917537B2 (en) 2005-09-26 2011-03-29 Oracle International Corporation System and method for providing link property types for content management
US7581004B2 (en) * 2006-02-15 2009-08-25 Gabriel Jakobson System and method for alerting on open file-share sessions on a user's electronic device
US7725922B2 (en) * 2006-03-21 2010-05-25 Novell, Inc. System and method for using sandboxes in a managed shell
US7743414B2 (en) * 2006-05-26 2010-06-22 Novell, Inc. System and method for executing a permissions recorder analyzer
US7805707B2 (en) * 2006-07-21 2010-09-28 Novell, Inc. System and method for preparing runtime checks
US7739735B2 (en) * 2006-07-26 2010-06-15 Novell, Inc. System and method for dynamic optimizations using security assertions
US7856654B2 (en) * 2006-08-11 2010-12-21 Novell, Inc. System and method for network permissions evaluation
US7823186B2 (en) * 2006-08-24 2010-10-26 Novell, Inc. System and method for applying security policies on multiple assembly caches
US8601530B2 (en) * 2006-09-19 2013-12-03 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8607336B2 (en) * 2006-09-19 2013-12-10 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8984579B2 (en) * 2006-09-19 2015-03-17 The Innovation Science Fund I, LLC Evaluation systems and methods for coordinating software agents
US8627402B2 (en) * 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US7730478B2 (en) 2006-10-04 2010-06-01 Salesforce.Com, Inc. Method and system for allowing access to developed applications via a multi-tenant on-demand database service
US8463852B2 (en) 2006-10-06 2013-06-11 Oracle International Corporation Groupware portlets for integrating a portal with groupware systems
US8195939B2 (en) 2007-01-12 2012-06-05 Sap Ag Systems and methods for protecting sensitive data
US8887249B1 (en) * 2008-05-28 2014-11-11 Zscaler, Inc. Protecting against denial of service attacks using guard tables
US8302189B2 (en) * 2009-11-30 2012-10-30 At&T Intellectual Property I, L.P. Methods, devices, systems, and computer program products for edge driven communications network security monitoring
WO2012085232A1 (en) * 2010-12-23 2012-06-28 Koninklijke Kpn N.V. Method, gateway device and network system for configuring a device in a local area network
US9560078B2 (en) 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699513A (en) * 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5757914A (en) * 1995-10-26 1998-05-26 Sun Microsystems, Inc. System and method for protecting use of dynamically linked executable modules
US5680461A (en) * 1995-10-26 1997-10-21 Sun Microsystems, Inc. Secure network protocol system and method
US5692047A (en) * 1995-12-08 1997-11-25 Sun Microsystems, Inc. System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources
US5928323A (en) * 1996-05-30 1999-07-27 Sun Microsystems, Inc. Apparatus and method for dynamically generating information with server-side software objects
US5903732A (en) * 1996-07-03 1999-05-11 Hewlett-Packard Company Trusted gateway agent for web server programs
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6282581B1 (en) * 1997-03-27 2001-08-28 Hewlett-Packard Company Mechanism for resource allocation and for dispatching incoming calls in a distributed object environment
US5940590A (en) * 1997-05-31 1999-08-17 International Business Machines Corporation System and method for securing computer-executable program code using task gates
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6317868B1 (en) * 1997-10-24 2001-11-13 University Of Washington Process for transparently enforcing protection domains and access control as well as auditing operations in software components
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
WO2000019324A1 (en) * 1998-09-28 2000-04-06 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6405319B1 (en) * 2000-01-27 2002-06-11 Buildpoint Corporation Verification system for information transfers over a computer network
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session

Also Published As

Publication number Publication date
US7305703B2 (en) 2007-12-04
WO1999029082A1 (en) 1999-06-10
EP1034646A1 (en) 2000-09-13
AU6227798A (en) 1999-06-16
JP2001525585A (ja) 2001-12-11
IL140161A0 (en) 2002-02-10
KR20010024658A (ko) 2001-03-26
CN1280733A (zh) 2001-01-17
BR9815066A (pt) 2000-10-03
DE69824444D1 (de) 2004-07-15
US6553498B1 (en) 2003-04-22
DE69824444T2 (de) 2005-06-23
US20030177355A1 (en) 2003-09-18
CN1119003C (zh) 2003-08-20
IL122314A (en) 2001-03-19
CA2312061A1 (en) 1999-06-10
US6098173A (en) 2000-08-01
ATE268967T1 (de) 2004-06-15
AU757668B2 (en) 2003-02-27
EP1034646B1 (en) 2004-06-09

Similar Documents

Publication Publication Date Title
ES2223121T3 (es) Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones.
ES2205448T3 (es) Metodo y sistema para impedir la descarga y la ejecucion de objetos ejecutables.
ES2217537T3 (es) Metodo y sistema para la identificacion y supresion de objetos ejecutables.
US9591004B2 (en) Geographical intrusion response prioritization mapping through authentication and flight data correlation
US8631493B2 (en) Geographical intrusion mapping system using telecommunication billing and inventory systems
US8990696B2 (en) Geographical vulnerability mitgation response mapping system
US6832321B1 (en) Public network access server having a user-configurable firewall
CN101496025B (zh) 用于向移动设备提供网络安全的系统和方法
US8359343B2 (en) System and method for identifying threat locations
CN1531284B (zh) 网络基础结构的保护及控制信息的安全通信
CN108234653A (zh) 一种处理业务请求的方法及装置
CN105516091B (zh) 一种基于sdn控制器的安全流过滤器及过滤方法
CN101843046A (zh) 控制网络访问
US20120159626A1 (en) Geographical intrusion response prioritization mapping system
ES2228112T3 (es) Metodos y sistemas para prevenir actividades de objetos ejecutables indeseables.
US20070112512A1 (en) Methods and systems for locating source of computer-originated attack based on GPS equipped computing device
CN112350939A (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
CN109560950A (zh) 物理设备的配置方法及装置
CN106789627A (zh) 一种线性保护组的维护方法及装置
JP2002288051A (ja) ネットワークシステム、不正アクセス防御装置及び方法並びに不正アクセス防御プログラム