JP2001525585A - 通信に関するセキュリティ・ポリシーを順守させる方法およびシステム - Google Patents

通信に関するセキュリティ・ポリシーを順守させる方法およびシステム

Info

Publication number
JP2001525585A
JP2001525585A JP2000523788A JP2000523788A JP2001525585A JP 2001525585 A JP2001525585 A JP 2001525585A JP 2000523788 A JP2000523788 A JP 2000523788A JP 2000523788 A JP2000523788 A JP 2000523788A JP 2001525585 A JP2001525585 A JP 2001525585A
Authority
JP
Japan
Prior art keywords
workstation
data packets
security agent
gateway
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000523788A
Other languages
English (en)
Inventor
エルグレッシー,ドロン
ジョスペ,アッシャー
Original Assignee
セキュリティー‐7(ソフトウェア)リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by セキュリティー‐7(ソフトウェア)リミテッド filed Critical セキュリティー‐7(ソフトウェア)リミテッド
Publication of JP2001525585A publication Critical patent/JP2001525585A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】 個々のワークステーションへの不要な実行可能オブジェクトのダウンロードと実行を選択的に防止するセキュリティ・ポリシーを順守させる方法であって、(1)個々のワークステーションにインストールするのに適したセキュリティ・エージェントであって、ワークステーションがゲートウェイを経由してサーバーに送出する1つ以上のデータ・パケットに、セキュリティ・エージェントが送信ワークステーションにインストールされていることを示す、少なくとも1つのマーカーを付与する手段が設けられた、セキュリティ・エージェントを設けるステップと、(2)最初の1つ以上のデータ・パケットが、適切なセキュリティ・エージェントが送信ワークステーションにインストールされていることを示す、マーカーを少なくとも1つ含むかどうかを判断するために、遠隔のサーバーと通信を開始する送信ワークステーションから受信した最初の1つ以上のデータ・パケットを解析する、ゲートウェイ内、またはゲートウェイに結合された手段を設けるステップと、(3)適切なセキュリティ・エージェントが送信ワークステーションにインストールされていることを示す、少なくとも1つのマーカーが、最初の1つ以上のデータ・パケット内で検出されると、最初の1つ以上のデータ・パケットからマーカーを削除して、データ・パケットを宛先に送出するステップと、(4)適切なセキュリティ・エージェントが送信ワークステーションにインストールされていることを示すマーカーが、最初の1つ以上のデータ・パケットにおいて検出されないと、ワークステーションが接続されているサーバーから受信したデータ・パケットを宛先に送出することを防止するステップとを含む。

Description

【発明の詳細な説明】
【0001】
【発明の分野】
本発明は、コンピュータ・ネットワークのセキュリティ管理に関する。特に、
本発明は、コンピュータ・ネットワークのワークステーションにおいて、不要な
実行可能オブジェクトのダウンロードと実行を防止する方法およびシステムに関
する。
【0002】
【発明の背景】
インターネットの利用が数年前に始まって以来, コンテンツと、使用される技
術の両面において大きく発展してきた。インターネットの利用開始当初には、W
ebサイトはデータとして文字だけであったが、しばらくして、画像の送受信も
可能になった。そしてインターネットが発展するにつれ、画像ファイル、音声フ
ァイル、ビデオ・ファイルなどの多くの圧縮規格が登場してきた。そして、プロ
グラム(プレーヤーと呼ばれる)はそれらを実行する。当初、そのようなファイ
ルは、ユーザーの要求があったときのみ、ユーザーのワークステーションにダウ
ンロードされ、ユーザーからの特定の命令があったとき、適切なプレーヤーによ
ってのみ実行された。
【0003】 WWW(ワールド・ワイド・ウエブ)発展の当然の成り行きとして、より良く
、かつ対話的に動画Webページを閲覧させる方法の追求が始まったとき、サン
・マイクロシステムズ社が、1つの言語Javaを開発した。これはユーザーの
ワークステーションにユーザーが気づかない内にダウンロードされ、ユーザーの
ブラウザによって実行されるネットワーク上で実行可能なコマンドリストである
プログラムを、Webマスターが、Java言語によって作成できるようにする
。ネットワーク上で実行可能なプログラムは、例えば、リアルなアニメーション
および他のグラフィックをWebサーファーの画面に供給するのに使用される。
このようなプログラムは、ユーザーのワークステーションのリソースにアクセス
するいくつかの方法を有しているが、それらの方法には、セキュリティ上重大な
問題がある。Java言語では、いくつかのセキュリティ・レベルが制定された
が、大きなセキュリティ上の欠陥があることが間もなく見つかった。
【0004】 Java言語が開発された後、マイクロソフト社は、別のネットワーク上で実
行可能であって、やはりワークステーションにダウンロードされるActive
Xを開発した。しかし、ActiveXにもまた同じようなセキュリティ上の問
題がある。
【0005】 インターネットは、ユーザーが意図して、または気がつかない間に、各組織内
のワークステーションにダウンロードできる「ネットワーク上で実行可能なオブ
ジェクト」で溢れている。一般に、それらのコード自体は、機能的に害は与えな
い。しかし、機能的には安全ではあるが、組織の必要なセキュリティ・ポリシー
を満たさないことある。
【0006】 コードがいったん実行されると, ネットワークを混乱させるおそれがある、ロ
ーカル・データベース、ワークステーションおよびサーバーに大きな取り返しの
つかない損害が発生したり、サーバー/ワークステーションから情報が許可なく
読み出されることがある。このような問題は、Javaアプレット、Activ
eXコンポーネント、DLL、およびその他のオブジェクト・コードに生じるこ
とがあり、それらのオブジェクト・コードの使用は、前代未聞のペースで増加し
ている。それらの小さいプログラムの大部分は、要求されないにもかかわらず、
無統制に、組織のワークステーションにダウンロードされる。企業は、それらの
プログラムの存在や実行されているかどうかを知る方法はまったくなく、それら
のコードを早期に見つけて、実行を防止するためのシステムは存在しない。
【0007】 セキュリティ上の問題は、部分的には、ブラウザ開発メーカーによって解決さ
れた。これらのメーカーはユーザーがプログラムを使用できなくする方法を採っ
た。もちろん、このソリューションは、納得のいくものではない。なぜならば、
すべての電子商取引と宣伝がこれらのプログラムを使用しているからである。そ
のようなプログラムが企業のサーバー、データベースおよびその他のワークステ
ーションにいったんアクセス可能となると、セキュリティ問題はより深刻である
。しかしながら、十分実用に耐え得るほど安全で, 高速で包括的なソリューショ
は、これまでなかった。インターネット・ユーザーが使用するために配布された
「Fairwall」、または「Finjan」のようなアプリケーションは、
部分的なソリューションしか提供せず、さらに、それらのアプリケーションはイ
ンストールと更新が難しい。
【0008】 本明細書中で援用している、本明細書と同じ出願人による同時係属の1997
年3月10日出願イスラエル国特許出願第120420号、および1997年9
月22日出願イスラエル国特許出願第121815号の2つの特許出願において
、不要な実行可能オブジェクトが、動作中のLAN/WAN、最終的には、ワー
クステーションとサーバーに侵入しないようにする方法と手段が記載されている
。しかしながら、上記の2つのイスラエル国特許出願に記載されているアプリケ
ーションは、安全かつ便利であるが、ワークステーションが、確実に、望ましい
セキュリティ・ポリシーに従って動作するよう、それぞれ個々のユーザー(また は、ワークステーション)が管理されることが要求される、言い換えれば、ユー ザーがワークステーションに適切なセキュリティ・データを確実にインストール
するよう、それぞれ個々のユーザー(または、ワークステーション)が管理される
ことを要求されるため、あるいは、セキュリティ・ポリシーを、ワークステーシ
ョン・レベルよりむしろゲートウェイ・レベルで集中管理することが要求される
ため、非常に大きい組織の場合、アプリケーションは適切ではない。したがって
、新しいユーザーが絶えず加入する大きな組織では、セキュリティ・エージェン
トが個々のワークステーションにインストールされることになっていても、セキ
ュリティ・ポリシーを維持するには、常に管理努力が必要である。特に、動作速
度と主要設備の費用を考慮する場合と、集中管理的にセキュリティ・ポリシーを
順守させる必要がある場合には、後で分かるように、セキュリティ・エージェン
トを個々のワークステーションにインストールした方は良い。
【0009】
【発明の開示】
本発明の目的は、組織のセキュリティ・ポリシーを、組織のメンバー各個人、
およびメンバーすべてに順守させる方法および手段を提供することである。これ
により、コンピュータへの不要な実行可能オブジェクトのダウンロードと実行が
選択的に防止され、組織内の個人の行動を絶えず集中管理し、監視する必要性が
なくなるだけでなく、組織内の個々のワークステーションにセキュリティ・ポリ
シーを順守させる処理の一部を実行させることが可能になる。
【0010】 本発明の他の目的は、インストールが簡単で、更新が迅速かつ容易なシステム
を提供することである。
【0011】 本発明のさらに他の目的は、多くのゲートウェイ、LAN、およびワークステ
ーションとともに使用できる方法を提供することである。
【0012】 本発明の他の目的は、物理的なインフラストラクチャとネットワーク構成から
独立しているセキュリティ管理システムを提供することである。
【0013】 なお、本発明の方法を利用するコンピュータ・システムも本発明に包含される
【0014】 本発明は、個々のワークステーションへの不要な実行可能オブジェクトのダウ
ンロードと実行を選択的に防止するセキュリティ・ポリシーを順守させる方法に
関し、 (1) 個々のワークステーションにインストールするのに適したセキュリ
ティ・エージェントであって、ワークステーションがゲートウェイを経由してサ
ーバーに送出する1つ以上のデータ・パケットに、セキュリティ・エージェント
が送信ワークステーションにインストールされていることを示す、すなくとも1
つのマーカーを付与する手段が設けられた、セキュリティ・エージェントを設け
るステップと、 (2) 最初の1つ以上のデータ・パケットが、適切なセキュリティ・エー
ジェントが送信ワークステーションにインストールされていることを示す、マー
カーを少なくとも1つ含むかどうかを判断するために、遠隔のサーバーと通信を
開始する送信ワークステーションから受信した最初の1つ以上のデータ・パケッ
トを解析する手段を、ゲートウェイ内、またはゲートウェイに結合させて設ける
ステップと、 (3) 適切なセキュリティ・エージェントが送信ワークステーションにイ
ンストールされていることを示す、少なくとも1つのマーカーが、最初の1つ以
上のデータ・パケットで検出されると、最初の1つ以上のデータ・パケットから
マーカーを削除して、データ・パケットを宛先に送出するステップと、 (4) 適切なセキュリティ・エージェントが送信ワークステーションにイ
ンストールされていることを示すマーカーが、最初の1つ以上のデータ・パケッ
トにおいて検出されないと、ワークステーションが接続されているサーバーから
受信したデータ・パケットを宛先に送出することを防止するステップとを含む。
【0015】 セキュリティ・ポリシーの詳細、組織内の各ゲートウェイへのセキュリティ・
ポリシーの配布、および受信されたデータの解析方法については、本明細書と同
じ出願人による同時係属のイスラエル国特許出願に詳細に記載されており、本明
細書中に援用されているので、簡潔にするために、ここでは詳しく説明しない。
【0016】 本発明の好適な実施例によれば、本発明の方法は、適切なセキュリティ・エー
ジェントがワークステーションにインストールされていることを示すマーカーを
含まない1つ以上のデータ・パケットを送信しているワークステーションに、強
制的に適切なセキュリティ・エージェントをインストールさせる処理をさらに含
む。このようにして、セキュリティ・ポリシーがリアルタイムに順守されるよう
にする。さらに、以下で述べるように、インストールされているセキュリティ・
エージェントが古くなり、ゲートウェイで受信したマーキング情報がそのことを
示しているならば、強制的に更新されたセキュリティ・エージェントのインスト
ール、またはセキュリティ・ポリシー情報の更新をユーザーに実行させることも
できる。インストール(また、本明細書において行われたように、古くなったセ キュリティ・ポリシー・データの更新も含む)は、システムが自動的に実行した り、またはワークステーションのユーザーと協力して対話的に実行することもで
きる。
【0017】 本発明の好適な実施例によれば、セキュリティ・エージェントをインストール
する必要があるとき、セキュリティ・エージェントをインストールするための情
報が記載されたHTMLページを含むパケットを、ゲートウェイを経由して、あ
るいは、ファイルをアタッチ(添付)した電子メールのようなゲートウェイに結
合された手段によってワークステーションに戻す。
【0018】 さらに、本発明の好適な実施例によれば、ワークステーションおよび/または
ユーザーの本人確認と、ワークステーション/ユーザーに割り当てられるセキュ
リティ・レベルとを比較し、ワークステーションにインストールされるべき適切
なセキュリティ・エージェントおよび/またはセキュリティ・ポリシー・データ
を選択する。
【0019】 また、本発明は、個々のワークステーションへの不要な実行可能オブジェクト
のダウンロードと実行を選択的に防止するセキュリティ・ポリシーを順守させる
システムも包含し、 A. 個々のワークステーションにインストールするのに適したセキュリテ
ィ・エージェントであって、ワークステーションがゲートウェイを経由してサー
バーに送出する1つ以上のデータ・パケットに、セキュリティ・エージェントが
送信ワークステーションにインストールされていることを示す、少なくとも1つ
のマーカーを付与する手段が設けられた、セキュリティ・エージェントと、 B. 複数のワークステーションとインターネットまたはイントラネットと
の通信トラフィックを制御するゲートウェイ手段と、 C. 適切なセキュリティ・エージェントが送信ワークステーションにイン
ストールされていることを示す、少なくとも1つのマーカーを、最初の1つ以上
のデータ・パケットが含まれているかどうかを判断するために、遠隔のサーバー
への通信を開始する送信ワークステーションから受信した最初の1つ以上のデー
タ・パケットを解析する手段を、ゲートウェイ内、またはゲートウェイに結合さ
せて設けられた検出手段と、 D. 最初の1つ以上のデータ・パケットに、適切なセキュリティ・エージ
ェントが送信ワークステーションにインストールされていることを示す、少なく
とも1つのマーカーを、検出手段によって検出すると、最初の1つ以上のデータ
・パケットから1つ以上のマーカーを削除し、1つ以上のデータ・パケットを宛
先に送出する手段と、 E. 最初の1つ以上のデータ・パケットに、適切なセキュリティ・エージ
ェントが送信ワークステーションにインストールされていることを示す、マーカ
ーが、検出手段によって検出されないと、ワークステーションが接続されている
サーバーから受信した1つ以上のデータ・パケットをワークステーションに送出
ことを防止する手段とを備える。
【0020】 本発明の好適な実施例によれば、システムは、適切なセキュリティ・エージェ
ントをワークステーションにインストールすることを可能にする、または強制す
る手段をさらに備える。そのような手段は、適切なセキュリティ・エージェント
がワークステーションにインストールされていることを示すマーカーを含まない
1つ以上のデータ・パケットを送出しているワークステーションに、適切なセキ
ュリティ・エージェントを強制的にインストールする手段を備えることができ、
そのような手段は、自動的にセキュリティ・エージェントをワークステーション
にインストールする手段、または、ワークステーションのユーザーと協力して対
話的にセキュリティ・エージェントをインストールする手段であってもよい。
【0021】 本発明の好適な実施例によれば、セキュリティ・エージェントをインストール
するための情報が記載されたHTMLページを含むパケットをワークステーショ
ンに戻す手段を備えている。したがって、本発明の特定の実施例によれば、ワー
クステーションは、ゲートウェイによりワークステーションに接続されているリ
ンクを経由して、インストール手順にしたがい、ワークステーションを管理し、
必要な情報とソフトウェアを供給する遠隔のサーバーに接続される。本発明の好
適な実施例では、ワークステーションおよび/またはユーザーの本人の確認と、
ワークステーションおよび/またはユーザーに割り当てられるセキュリティ・レ
ベルとを比較して、ワークステーションにインストールすべき適切なセキュリテ
ィ・エージェントとセキュリティ・ポリシー・データとを選択した後に、インス
トールが実施される。
【0022】 本発明の他の利点および目的は、以下の説明で明らかになるであろう。
【0023】
【本発明の好適な実施形態】
本発明の方法は、動作中のコンピュータへの不要な実行可能オブジェクトのダ
ウンロードと実行を選択的に防止するイスラエル国特許出願第120420号の
システムとともに動作するものであり、以下に簡単にその動作を説明する。
【0024】 (a) LANと外部のコンピュータ通信ネットワークとの間にある1つ以上
のゲートウェイにそれぞれ結合された1つ以上の制御センターを設けるステップ
と、 (b) ゲートウェイに到着する実行可能オブジェクトを検出し、各実行可能
オブジェクトのヘッダーを解析して、実行可能オブジェクトが利用するコンピュ
ータのリソースを決定する、ゲートウェイそれぞれに結合された手段を設けるス
テップと、 (c) 実行可能オブジェクトをLAN内で利用、または利用できないリソー
ス、 あるいはリソースの組合わせを示し、1つ以上の制御センターから受信、 または格納されるユーザーのセキュリティ・ポリシーを格納する、各ゲートウェ
イそれぞれに結合された手段を設けるステップと、 (d) 実行可能オブジェクトがゲートウェイにおいて検出されると、 1. 実行可能オブジェクトのヘッダーを解析する手段と、 2. 実行可能オブジェクトが利用するコンピュータのリソースを決定す
る手段と、 3. 実行可能オブジェクトが利用するコンピューターのリソースと、セ
キュリティ・ポリシーとを比較する手段と、 (i) 実行可能オブジェクトが利用するコンピュータのリソースが、セ
キュリティ・ポリシーにより使用が許可されているリソースのリストの中に入っ
ていれば、実行可能オブジェクトをゲートウェイを通過させて、オブジェクトの
ダウンロードを開始したコンピュータまで到達させる手段と、 (ii) 実行可能オブジェクトが利用するコンピュータのリソースが、
セキュリティ・ポリシーにより利用が禁止されているリソースのリストの中に入
っていれば、実行可能オブジェクトをゲートウェイを通過させず、オブジェクト
のダウンロードを開始したコンピュータまで到達させない処理とを含む。
【0025】 制御センター(CC)は、複数のゲートウェイに結合され、関連するデータ、
例えば、セキュリティ・ポリシーを含むメモリー手段を更新する中央制御装置、
例えば、パソコンまたは他のコンピューターであってよい。以下の説明から分か
るように、例えば、セキュリティ・ポリシーに新たな制限を追加して、CCをい
ったん更新すると、すべてのゲートウェイが同時に更新される。ゲートウェイの
セキュリティ要素の動作を制御するCCを使用すると、ポリシーの変更が行われ
るたびに、各ゲートウェイを更新する必要がなくなる(従来のシステムでは必要
であった)。
【0026】 LAN(ローカル・エリア・ネットワーク)は、例えば、オフィス、またはビル
にあるコンピュータ・ネットワーク(これに限定されない)であってよい。LA
Nは、通常、1つ以上のゲートウェイを経由して、WWWなどの外部の通信ネッ
トワーク、またはより小規模のLAN、例えばクライアントまたはサプライアー
のLANに接続される。適切な通信速度を維持するために、組織が大きければ大
きくなるほど、使用されるゲートウェイの数は増える。
【0027】 一般的には、LANを、地理的に近いまたは遠く離れた、複数のより小規模の
LANで構成することも可能であるが、しかし, 複数の小規模のLANが、同じ
組織の中にあっても、セキュリティの要求条件が、部門ごとに異なったり、同じ
組織の中であっても、オブジェクトが部門から部門へ拡がらないようにすること
を含めて、それぞれ高いセキュリティ・レベルを保つ必要があることがある。
【0028】 ゲートウェイに到達する実行可能オブジェクトを検出し、各実行可能オブジェ
クトのヘッダーを解析して、実行可能オブジェクトが利用するコンピュータのリ
ソースを決定する、各ゲートウェイに結合された手段は、多くの異なる種類があ
る。通常、オブジェクトは、ゲートウェイにおいて、「捕捉」され、通信回線上
で、通信プロトコルがTCP/IP、NETBUI、IPX/SPXなどか、オ
ブジェクト転送プロトコルがSMTP、HTTP、FTP、NMTP、IMAP
などかどうか解析される。通信回線に接続して、実行可能オブジェクトのヘッダ
ーの内容を抽出することは、当業者が理解している処理内容であり、従来のプロ
グラミングによって実行可能なので、簡潔にするために、ここでは詳しく説明し
ない。
【0029】 実行可能オブジェクト(EO)のヘッダーがいったん解析されると、オブジェ
クトが利用するコンピュータのリソースとセキュリティ・ポリシーとの比較は、
例えば、CCによってゲートウェイに設けられ、セキュリティ・ポリシーを示す
ルックアップテーブルと、リソースを比較することによって容易にできる。また
、CCに記憶したデータを用いて比較することもでき、そのような場合、ゲート
ウェイにおいて特定のメモリ手段と比較手段を設ける必要がない場合もある。し
かしながら、速度と性能を考慮すれば、そのような動作をゲートウェイ自身が行
うよう要求される場合が多い。
【0030】 ゲートウェイは、組織内のインターネット・サーバー各々にインストールしな
ければならない。ゲートウェイは、自分自身に関するすべての動作情報を含む小
規模のリアルタイム・データベースを備えている。ゲートウェイは、企業とイン
ターネットの間で転送されるデータをチェックして、いつオブジェクトがLAN
に入ってくるかを知る。さらに、ゲートウェイは、オブジェクトを解析し、セキ
ュリティ・ポリシーと比較して、次にとるべき動作を決定する。
【0031】 イスラエル国特許出願第120420号の好適な実施例によれば、既に述べた
ように、実行可能オブジェクトが利用するコンピュータのリソースが、セキュリ
ティ・ポリシーが利用を許可したリソースのリストの中に入っていれば、システ
ムは、実行可能オブジェクトをゲートウェイを通過させて、ダウンロードを開始
したコンピュータに到達することを防止する処理を実行しない。しかしながら、
実行可能オブジェクトが利用するコンピュータのリソースが、セキュリティ・ポ
リシーが利用を禁止したリソースのリストの中に入っていれば、実行可能オブジ
ェクトがゲートウェイを通過することを防止する処理を実行する。このような処
理には、例えば、オブジェクトを、ゲートウェイの外部の宛先にルートを変更し
て転送したり、オブジェクトの一部を削除または変更してそのオブジェクトを無
効にするなどの処理も含まれる。
【0032】 本発明の方法は、いかなる特定のEOにも限定されることはない。EOの具体
的な例としては、inter alia、Javaアプレット、Active−
X、OCX、Win32オブジェクト、DLLsなどがある。しかしながら、当
業者に明らかなように、EOは常に進化を遂げているので、EOの現時点での特
性は、必ずしも重要なものではない。
【0033】 本発明のシステムのその他の多くの特徴と利点は、既に述べたように、本明細
書中で援用しているイスラエル国特許出願第120420号の明細書に詳細に記
載されている。
【0034】 本発明によれば、ユーザーがゲートウェイを経由してサーバーに接続しようと
するときには、いつでも、組織のセキュリティ・ポリシーに従ったセキュリティ
・エージェントをインストールしなければならない。ゲートウェイは、組織内に
ある複数のゲートウェイのいずれでもよい。
【0035】 本発明のシステムは、以下のように動作する。ユーザーが、インターネット、
またはイントラネット上のターゲットサーバーにアクセス・接続しようとすると
きは、常にデータを含まない最初のパケットを、ワークステーションからターゲ
ットサーバーに送る「接続処理」が実行される。本発明によれば、以降、「マー
キング情報」と呼ばれる、個人的な情報が最初のパケットに付与される。そのマ
ーキング情報によって、接続しようとしているワークステーションには、エージ
ェントが存在していることが示される。つまり、ユーザーが通信処理を開始する
ときに、セキュリティ・エージェントがワークステーションに存在していれば、
セキュリティ・エージェントは、最初のパケットを変更して、エージェントがワ
ークステーションにインストールされていることを示すマーキング情報を付与す
る。セキュリティ・エージェントがワークステーションにインストールされてい
なければ、接続処理中にワークステーションが送る最初のパケットは、空である
か、または、少なくとも、ワークステーションに適切なセキュリティ・エージェ
ントが存在することを示すいかなるマーキング情報も含まない。マーキング情報
によって、組織のセキュリティ・ポリシーを実行しなければならないゲートウェ
イに、セキュリティ・エージェントがインストールされていないワークステーシ
ョンが、組織の外部、または、セキュリティ・ポリシーを順守する必要がある組
織の区画の外側にあるサーバーに接続を試みている旨の警告が出される。
【0036】 この処理を、図1を参照してさらに説明する。図1は、ゲートウェイの動作を
概略的に示すフローチャートである。発信・着信データ・パケットのすべてを受
信するゲートウェイは、所定のワークステーションが送信した最初のパケットを
受信して、受信したパケットを解析する。ゲートウェイは、その最初のパケット
が、上述したように、マーキングデータを含むかどうかをチェックする。ゲート
ウェイが適切なマーキングデータを見つけると、ゲートウェイは、パケットがゲ
ートウェイを通過して宛先に向かう前に、パケットからそのマーキングデータを
除去して、受信端で行われるパケットに関する解析の邪魔にならないようにする
。次に、ワークステーションは、ゲートウェイによって宛先に接続される。
【0037】 ゲートウェイが、最初のパケットにおいてマーキングデータを検出できないと
きは、ワークステーションを宛先に接続することはせず、目的の宛先にワークス
テーションを接続する代わりに、ゲートウェイは、ワークステーションに、特定
のワークステーションにセキュリティ・エージェントを強制的にインストールす
るのに必要なソフトウェアを内蔵する遠隔のサーバーへリンクを戻す。セキュリ
ティ・エージェントなどのソフトウェアを強制的にインストールする方法は様々
であるが、それらの方法は、当業者には明らかであり、簡潔にするために、ここ
では詳しく説明しない。ユーザーが、目的のセキュリティ・エージェントをワー
クステーションにインストールする特定の必要な動作を実行しなければ、ゲート
ウェイを経由した接続はできない旨ユーザーに通知し、Java言語で書かれた
プログラムを使用して、または、他のなんらかの適切な方法で、あるいはユーザ
ーとの対話によってでも、前述のように強制的にインストールできる。
【0038】 本発明の好適な実施例によれば、ユーザーがゲートウェイに送出した空のパケ
ット(すなわち、マーキング情報を含まない最初のパケット)を宛先サーバーに
送出することによって、ユーザーのワークステーションにセキュリティ・エージ
ェントをインストールするサーバー、または、ユーザーが上記インストールを実
行するときに従う指示を与えるサーバーにユーザーが接続される。宛先サーバー
から、ユーザーへの応答パケットを受信すると、ゲートウェイは、応答パケット
を、セキュリティ・エージェントのインストール情報が記載されたHTTPペー
ジを含むパケットと置き替える。
【0039】 もちろん、同じ結果を得るのに別の方法も使用できる。例えば、それほど便利
でなく、旧式ではあるが、今なお有効な方法では、既に説明したように、ゲート
ウェイで最初のパケットを解析した後、セキュリティ・エージェントがワークス
テーションにインストールされていないので、ユーザーのワークステーションは
ゲートウェイを経由しての接続は許可されない旨の通知だけを、ユーザー、また
は、セキュリティ管理者に戻す。そのような通知には、セキュリティ・エージェ
ントのインストールに必要なソフトウェアの入手場所、または誰から入手できる
のかに関する情報を含むことができる。当業者には明らかになるであろうが、そ
の方法は、それほど便利でなく、長く、多くの時間を必要とするが、それにもか
かわらず、セキュリティを維持して、組織のセキュリティ・ポリシーを順守する
目的のその他のより高度なインストール方法と同じように効果的である。
【0040】 本発明の他の好適な実施例によれば、ワークステーションおよび/またはユー
ザーの本人確認の解析を、ゲートウェイによって、および/または遠隔のサーバ
ーによって実行して、ユーザーに適用するセキュリティ・ポリシーを決定する。
このことは、異なるセキュリティ・ポリシーを適用する組織、例えば、異なるセ
キュリティ・ポリシーが、別々の部門、または1つの部門の中の別の個人または
レベルに割り当てられる組織では重要である。もちろん、組織全体で同じセキュ
リティ・ポリシーを使用する場合には、そのようなステップを必ずしも必要とし
ない。
【0041】 次に、図2を参照すると、本発明の好適な実施例による、あるシステムの3つ
のセキュリティ・レベルが示されている。ボックス「A」は、システムのすべて のセキュリティ動作を制御する制御センターを有する管理用アプリケーション・
ブロックである。制御センターは、様々なゲートウェイ、ユーザー等のためのシ
ステムのセキュリティ・ポリシーに関するデータを含むポリシー・マネージャー
、または、オペレーターがリアルタイムでシステムの動作を監視することができ
る監視ビューアー、または、制御センター・レベルで動作することが望ましい他
のユーティリティ(図では、「・・・」ボックスで示されている)などの管理用
モジュールに接続される。
【0042】 制御センターは、一方では、分配サーバーに接続され、他方では、1つ以上の
ゲートウェイ(図では、簡単にするため1つのゲートウェイのみが示されている
。)に接続される。管理用アプリケーション・ブロックに属する分配サーバーは
、TCP/IP(または、パケットレベル)接続を経由して制御センターに接続
され、ワークステーション・レベルで操作されるセキュリティ・エージェントの
ための動作情報、およびデータを提供する機能を有する。エージェント(ボック
スC)は、既に述べたように、一方では、分配サーバーに論理的に接続され、他
方では、前述のように、ゲートウェイ自体で実行されるセキュリティ動作を処理
するゲートウェイ・レベルのセキュリティ用アプリケーションが内蔵されている
ゲートウェイ(ボックスB)に接続される。
【0043】 上記の好適な実施例の記載はすべて説明のためになされたもので、各請求項に
おいて規定される場合を除いて、いずれの場合においても本発明を限定すること
を意図したものではない。本発明において、多くの変更が可能である。例えば、
多くの異なるマーキングを付与して、所定のワークステーション内にセキュリテ
ィ・エージェントがインストールされていることを示すことも可能であり、また
、ゲートウェイによって、またはゲートウェイにおいて、あるいはゲートウェイ
に結合された異なるエージェントによって、さまざまな種類の解析が可能であり
、さらに、本発明の精神を逸脱することなく、ワークステーションにセキュリテ
ィ・エージェントをインストールする多くの異なる手段および方法を備えること
が可能である。
【図面の簡単な説明】
【図1】 図1は、セキュリティ・ポリシーを順守させる、本発明の好適な実施例による
概要的な動作を示すフローチャートである。
【図2】 図2は、さらに、本発明の好適な一実施例によるシステムの各種構成要素と、
それらの構成要素間の関係を示す図である。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 29/06 (81)指定国 EP(AT,BE,CH,DE, DK,ES,FI,FR,GB,GR,IE,IT,L U,MC,NL,PT,SE),OA(BF,BJ,CF ,CG,CI,CM,GA,GN,ML,MR,NE, SN,TD,TG),AP(GH,GM,KE,LS,M W,SD,SZ,UG,ZW),EA(AM,AZ,BY ,KG,KZ,MD,RU,TJ,TM),AL,AM ,AT,AU,AZ,BA,BB,BG,BR,BY, CA,CH,CN,CU,CZ,DE,DK,EE,E S,FI,GB,GE,GH,GM,GW,HU,ID ,IL,IS,JP,KE,KG,KP,KR,KZ, LC,LK,LR,LS,LT,LU,LV,MD,M G,MK,MN,MW,MX,NO,NZ,PL,PT ,RO,RU,SD,SE,SG,SI,SK,SL, TJ,TM,TR,TT,UA,UG,US,UZ,V N,YU,ZW Fターム(参考) 5B045 BB42 BB44 GG06 JJ32 JJ35 5B076 FB02 5K030 GA15 HA08 HB18 HC01 HC14 HD03 HD05 HD06 5K033 AA08 CB08 CC01 DA05 DB18 5K034 EE11 HH01 HH02 HH63 NN26 【要約の続き】 されていることを示す、少なくとも1つのマーカーが、 最初の1つ以上のデータ・パケット内で検出されると、 最初の1つ以上のデータ・パケットからマーカーを削除 して、データ・パケットを宛先に送出するステップと、 (4)適切なセキュリティ・エージェントが送信ワーク ステーションにインストールされていることを示すマー カーが、最初の1つ以上のデータ・パケットにおいて検 出されないと、ワークステーションが接続されているサ ーバーから受信したデータ・パケットを宛先に送出する ことを防止するステップとを含む。

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】 個々のワークステーションに不要な実行可能オブジェクトの
    ダウンロードと実行を選択的に防止するセキュリティ・ポリシーを順守させる方
    法であって、 (1) 前記個々のワークステーションにインストールするのに適したセキ
    ュリティ・エージェントであって、前記ワークステーションがゲートウェイを経
    由してサーバーに送出する1つ以上のデータ・パケットに、前記セキュリティ・
    エージェントが送信ワークステーションにインストールされていることを示す、
    少なくとも1つのマーカーを付与する手段が設けられた、セキュリティ・エージ
    ェントを設けるステップと、 (2) 最初の1つ以上の前記データ・パケットが、適切なセキュリティ・
    エージェントが送信ワークステーションにインストールされていることを示す、
    前記マーカーを少なくとも1つ含むかどうかを判断するために、遠隔のサーバー
    と通信を開始する送信ワークステーションから受信した最初の1つ以上の前記デ
    ータ・パケットを解析する、前記ゲートウェイ内の、または前記ゲートウェイに
    結合された手段を設けるステップと、 (3) 適切な前記セキュリティ・エージェントが前記送信ワークステーシ
    ョンにインストールされていることを示す、少なくとも1つの前記マーカーが、
    最初の1つ以上の前記データ・パケットで検出されると、最初の1つ以上の前記
    データ・パケットから前記マーカーを削除して、前記データ・パケットを宛先に
    送出するステップと、 (4) 適切な前記セキュリティ・エージェントが前記送信ワークステーシ
    ョンにインストールされていることを示すマーカーが、最初の1つ以上の前記デ
    ータ・パケットにおいて検出されないと、前記ワークステーションが接続されて
    いる前記サーバーから受信した前記データ・パケットを宛先に送出することを防
    止するステップとを含む方法。
  2. 【請求項2】 適切な前記セキュリティ・エージェントが前記ワークステー
    ションにインストールされていることを示す、前記マーカーを含まない前記デー
    タ・パケットを送信している前記ワークステーションに、適切な前記セキュリテ
    ィ・エージェントを強制的にインストールするステップをさらに含む請求項1に
    記載の方法。
  3. 【請求項3】 前記インストールがシステムによって自動的に実行される請
    求項2に記載の方法。
  4. 【請求項4】 前記インストールが前記ワークステーションのユーザーと協
    力して対話的に実行される請求項2に記載の方法。
  5. 【請求項5】 前記ゲートウェイによって、または前記ゲートウェイに結合
    された手段によって、前記セキュリティ・エージェントのインストール情報が記
    載されたHTMLページを含むパケットを前記ワークステーションに戻す請求項
    2、または3に記載の方法。
  6. 【請求項6】 前記ワークステーションおよび/または前記ユーザーの本人
    の確認と、前記ワークステーションおよび/または前記ユーザーに割り当てられ
    ている前記セキュリティ・レベルとを比較するステップと、前記ワークステーシ
    ョンにインストールされるべき適切な前記セキュリティ・エージェントと前記セ
    キュリティ・ポリシー・データを選択するステップをさらに含む請求項2ないし
    5のいずれか1項に記載の方法。
  7. 【請求項7】 個々のワークステーションへの不要な実行可能オブジェクト
    のダウンロードと実行を選択的に防止するセキュリティ・ポリシーを順守させる
    システムであって、 A. 個々の前記ワークステーションにインストールするのに適したセキュ
    リティ・エージェントであって、前記ワークステーションがゲートウェイを経由
    してサーバーに送出する1つ以上のデータ・パケットに、前記セキュリティ・エ
    ージェントが送信ワークステーション内にインストールされていることを示す、
    少なくとも1つのマーカーを付与する方法が設けられた、セキュリティ・エージ
    ェントと、 B. 複数の前記ワークステーションとインターネットまたはイントラネッ
    トとの通信トラフィックを制御するゲートウェイ手段と、 C. 適切な前記セキュリティ・エージェントが送信ワークステーションに
    インストールされていることを示す、少なくとも1つのマーカーを、最初の1つ
    以上の前記データ・パケットが含むかどうかを判断するために、遠隔のサーバー
    への通信を開始する送信ワークステーションから受信した最初の1つ以上の前記
    データ・パケットを解析する、前記ゲートウェイ内、または前記ゲートウェイに
    結合された検出手段と、 D. 最初の1つ以上の前記データ・パケットに、適切な前記セキュリティ
    ・エージェントが送信ワークステーションにインストールされていることを示す
    、少なくとも1つのマーカーが、前記検出手段によって検出されると、最初の1
    つ以上の前記データ・パケットから1つ以上の前記マーカーを削除し、1つ以上
    の前記データ・パケットを宛先に送出する手段と、 E. 最初の1つ以上の前記データ・パケットに、適切な前記セキュリティ
    ・エージェントが送信ワークステーションにインストールされていることを示す
    、前記マーカーが、前記検出手段によって検出されないと、前記ワークステーシ
    ョンが接続されている前記サーバーから受信した1つ以上の前記データ・パケッ
    トを前記ワークステーションに送出することを防止する手段と、 を備えるシステム。
  8. 【請求項8】 前記適切なセキュリティ・エージェントを前記ワークステー
    ションにインストールすることを可能にする、または強制する手段をさらに備え
    る請求項7に記載のシステム。
  9. 【請求項9】 前記適切なセキュリティ・エージェントが前記ワークステー
    ションにインストールされていることを示す、前記マーカーを含まない1つ以上
    の前記データ・パケットを送出している前記ワークステーションに、適切な前記
    セキュリティ・エージェントを強制的にインストールする手段をさらに備える請
    求項8に記載のシステム。
  10. 【請求項10】 前記セキュリティ・エージェントを前記ワークステーショ
    ンに自動的にインストールする手段を備える請求項8に記載のシステム。
  11. 【請求項11】 前記ワークステーションの前記ユーザーと協力して対話的
    に前記インストールを実行する手段を備える請求項8に記載のシステム。
  12. 【請求項12】 前記セキュリティ・エージェントのインストール情報が記
    載されたHTMLページを含むパケットを前記ワークステーションに戻す手段を
    備える請求項7または8に記載のシステム。
  13. 【請求項13】 前記ワークステーションおよび/または前記ユーザーの本
    人の確認と、前記ワークステーションおよび/または前記ユーザーのセキュリテ
    ィレベルとを比較して、前記ワークステーションにインストールされるべき適切
    な前記セキュリティ・エージェントと、前記セキュリティ・ポリシー・データを
    選択する手段をさらに備える請求項8ないし12のいずれか1項に記載のシステ
    ム。
  14. 【請求項14】 個々のワークステーションへの不要な実行可能オブジェク
    トのダウンロードと実行を選択的に防止するセキュリティ・ポリシーを順守させ
    るシステムであって、実質的に前記のように記載され、図示されている方法。
JP2000523788A 1997-11-27 1998-02-23 通信に関するセキュリティ・ポリシーを順守させる方法およびシステム Pending JP2001525585A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IL12231497A IL122314A (en) 1997-11-27 1997-11-27 Method and system for enforcing a communication security policy
IL122314 1997-11-27
PCT/IL1998/000084 WO1999029082A1 (en) 1997-11-27 1998-02-23 Method and system for enforcing a communication security policy

Publications (1)

Publication Number Publication Date
JP2001525585A true JP2001525585A (ja) 2001-12-11

Family

ID=11070898

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000523788A Pending JP2001525585A (ja) 1997-11-27 1998-02-23 通信に関するセキュリティ・ポリシーを順守させる方法およびシステム

Country Status (13)

Country Link
US (3) US6098173A (ja)
EP (1) EP1034646B1 (ja)
JP (1) JP2001525585A (ja)
KR (1) KR20010024658A (ja)
CN (1) CN1119003C (ja)
AT (1) ATE268967T1 (ja)
AU (1) AU757668B2 (ja)
BR (1) BR9815066A (ja)
CA (1) CA2312061A1 (ja)
DE (1) DE69824444T2 (ja)
ES (1) ES2223121T3 (ja)
IL (2) IL122314A (ja)
WO (1) WO1999029082A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008512958A (ja) * 2004-09-13 2008-04-24 ユーティースターコム,インコーポレイテッド 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能
JP2009009601A (ja) * 2001-01-17 2009-01-15 Contentguard Holdings Inc コンテンツを確実に頒布するためのシステム

Families Citing this family (103)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US6317868B1 (en) * 1997-10-24 2001-11-13 University Of Washington Process for transparently enforcing protection domains and access control as well as auditing operations in software components
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7673323B1 (en) * 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US7181486B1 (en) 1998-12-07 2007-02-20 Network Ice Corporation Method and apparatus for remote installation of network drivers and software
JP4501280B2 (ja) 1998-12-09 2010-07-14 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
JP2000347866A (ja) * 1999-06-04 2000-12-15 Nec Corp 分散システムとアクセス制御装置及び方法、並びにアクセス制御用プログラムを記録した記録媒体
US7346929B1 (en) 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US8006243B2 (en) 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
US6405319B1 (en) * 2000-01-27 2002-06-11 Buildpoint Corporation Verification system for information transfers over a computer network
US7921459B2 (en) 2000-04-28 2011-04-05 International Business Machines Corporation System and method for managing security events on a network
AU2001262958A1 (en) 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
US6907531B1 (en) 2000-06-30 2005-06-14 Internet Security Systems, Inc. Method and system for identifying, fixing, and updating security vulnerabilities
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7051069B2 (en) * 2000-09-28 2006-05-23 Bea Systems, Inc. System for managing logical process flow in an online environment
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
AU2002243763A1 (en) 2001-01-31 2002-08-12 Internet Security Systems, Inc. Method and system for configuring and scheduling security audits of a computer network
EP1233333A1 (en) * 2001-02-19 2002-08-21 Hewlett-Packard Company Process for executing a downloadable service receiving restrictive access rights to al least one profile file
US7499948B2 (en) 2001-04-16 2009-03-03 Bea Systems, Inc. System and method for web-based personalization and ecommerce management
US20030041050A1 (en) * 2001-04-16 2003-02-27 Greg Smith System and method for web-based marketing and campaign management
US7562388B2 (en) * 2001-05-31 2009-07-14 International Business Machines Corporation Method and system for implementing security devices in a network
US7392546B2 (en) 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
KR100430611B1 (ko) * 2001-08-21 2004-05-10 와이더덴닷컴 주식회사 통신 프로토콜 보안 방법
KR20030016733A (ko) * 2001-08-21 2003-03-03 아르파(주) 통신 시스템에서의 동적 서비스 보호 방법
JP4173447B2 (ja) * 2001-10-24 2008-10-29 ビーイーエイ システムズ, インコーポレイテッド データ同期
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
AU2003202876A1 (en) 2002-01-04 2003-07-24 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
KR100432236B1 (ko) * 2002-01-28 2004-05-22 김미희주 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호시스템
US7496687B2 (en) * 2002-05-01 2009-02-24 Bea Systems, Inc. Enterprise application platform
US20040010598A1 (en) * 2002-05-01 2004-01-15 Bea Systems, Inc. Portal setup wizard
US7725560B2 (en) 2002-05-01 2010-05-25 Bea Systems Inc. Web service-enabled portlet wizard
JP4786116B2 (ja) * 2002-09-06 2011-10-05 ソニー株式会社 情報処理装置および方法、並びにプログラム
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
KR20040038168A (ko) * 2002-10-31 2004-05-08 한국전자통신연구원 패킷 마킹을 이용한 인터넷 보안서비스 방법 및 시스템
KR100484488B1 (ko) * 2002-10-31 2005-04-20 한국전자통신연구원 분산된 보안자원을 포함하는 인터넷 서비스 사업자망의보안서비스 방법 및 시스템
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US7653930B2 (en) 2003-02-14 2010-01-26 Bea Systems, Inc. Method for role and resource policy management optimization
US7591000B2 (en) 2003-02-14 2009-09-15 Oracle International Corporation System and method for hierarchical role-based entitlements
US6917975B2 (en) * 2003-02-14 2005-07-12 Bea Systems, Inc. Method for role and resource policy management
US7483904B2 (en) * 2003-02-20 2009-01-27 Bea Systems, Inc. Virtual repository content model
US7293286B2 (en) 2003-02-20 2007-11-06 Bea Systems, Inc. Federated management of content repositories
US7415478B2 (en) 2003-02-20 2008-08-19 Bea Systems, Inc. Virtual repository complex content model
US20040167880A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. System and method for searching a virtual repository content
US7840614B2 (en) 2003-02-20 2010-11-23 Bea Systems, Inc. Virtual content repository application program interface
US7562298B2 (en) 2003-02-20 2009-07-14 Bea Systems, Inc. Virtual content repository browser
US20040167871A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. Content mining for virtual content repositories
US7810036B2 (en) 2003-02-28 2010-10-05 Bea Systems, Inc. Systems and methods for personalizing a portal
US20040230557A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for context-sensitive editing
US20040230917A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for navigating a graphical hierarchy
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
KR100479345B1 (ko) * 2003-05-06 2005-03-31 한국전자통신연구원 네트워크 보안과 관리장치 및 방법
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US20050097353A1 (en) * 2003-10-10 2005-05-05 Bea Systems, Inc. Policy analysis tool
US20050262362A1 (en) * 2003-10-10 2005-11-24 Bea Systems, Inc. Distributed security system policies
US20050081055A1 (en) * 2003-10-10 2005-04-14 Bea Systems, Inc. Dynamically configurable distributed security system
US7644432B2 (en) 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US20050097352A1 (en) * 2003-10-10 2005-05-05 Bea Systems, Inc. Embeddable security service module
US7657938B2 (en) 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
US20050188295A1 (en) * 2004-02-25 2005-08-25 Loren Konkus Systems and methods for an extensible administration tool
US7774601B2 (en) 2004-04-06 2010-08-10 Bea Systems, Inc. Method for delegated administration
US7475091B2 (en) * 2004-04-13 2009-01-06 Bea Systems, Inc. System and method for viewing a virtual content repository
US7236989B2 (en) 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for providing lifecycles for custom content in a virtual content repository
US20050228784A1 (en) * 2004-04-13 2005-10-13 Bea Systems, Inc. System and method for batch operations in a virtual content repository
US7236990B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for information lifecycle workflow integration
US7580953B2 (en) * 2004-04-13 2009-08-25 Bea Systems, Inc. System and method for schema lifecycles in a virtual content repository that integrates a plurality of content repositories
US20050228816A1 (en) * 2004-04-13 2005-10-13 Bea Systems, Inc. System and method for content type versions
US7246138B2 (en) * 2004-04-13 2007-07-17 Bea Systems, Inc. System and method for content lifecycles in a virtual content repository that integrates a plurality of content repositories
US7240076B2 (en) * 2004-04-13 2007-07-03 Bea Systems, Inc. System and method for providing a lifecycle for information in a virtual content repository
US7236975B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for controlling access to anode in a virtual content repository that integrates a plurality of content repositories
US20050240714A1 (en) * 2004-04-13 2005-10-27 Bea Systems, Inc. System and method for virtual content repository deployment
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US20060203815A1 (en) * 2005-03-10 2006-09-14 Alain Couillard Compliance verification and OSI layer 2 connection of device using said compliance verification
US7953734B2 (en) 2005-09-26 2011-05-31 Oracle International Corporation System and method for providing SPI extensions for content management system
US7818344B2 (en) 2005-09-26 2010-10-19 Bea Systems, Inc. System and method for providing nested types for content management
US7483893B2 (en) 2005-09-26 2009-01-27 Bae Systems, Inc. System and method for lightweight loading for managing content
US7917537B2 (en) 2005-09-26 2011-03-29 Oracle International Corporation System and method for providing link property types for content management
US7752205B2 (en) * 2005-09-26 2010-07-06 Bea Systems, Inc. Method and system for interacting with a virtual content repository
US7581004B2 (en) * 2006-02-15 2009-08-25 Gabriel Jakobson System and method for alerting on open file-share sessions on a user's electronic device
US7725922B2 (en) * 2006-03-21 2010-05-25 Novell, Inc. System and method for using sandboxes in a managed shell
US7743414B2 (en) * 2006-05-26 2010-06-22 Novell, Inc. System and method for executing a permissions recorder analyzer
US7805707B2 (en) * 2006-07-21 2010-09-28 Novell, Inc. System and method for preparing runtime checks
US7739735B2 (en) * 2006-07-26 2010-06-15 Novell, Inc. System and method for dynamic optimizations using security assertions
US7856654B2 (en) * 2006-08-11 2010-12-21 Novell, Inc. System and method for network permissions evaluation
US7823186B2 (en) * 2006-08-24 2010-10-26 Novell, Inc. System and method for applying security policies on multiple assembly caches
US8601530B2 (en) * 2006-09-19 2013-12-03 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8607336B2 (en) * 2006-09-19 2013-12-10 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8627402B2 (en) * 2006-09-19 2014-01-07 The Invention Science Fund I, Llc Evaluation systems and methods for coordinating software agents
US8984579B2 (en) * 2006-09-19 2015-03-17 The Innovation Science Fund I, LLC Evaluation systems and methods for coordinating software agents
US7730478B2 (en) * 2006-10-04 2010-06-01 Salesforce.Com, Inc. Method and system for allowing access to developed applications via a multi-tenant on-demand database service
US8463852B2 (en) 2006-10-06 2013-06-11 Oracle International Corporation Groupware portlets for integrating a portal with groupware systems
US8195939B2 (en) 2007-01-12 2012-06-05 Sap Ag Systems and methods for protecting sensitive data
US8887249B1 (en) * 2008-05-28 2014-11-11 Zscaler, Inc. Protecting against denial of service attacks using guard tables
US8302189B2 (en) * 2009-11-30 2012-10-30 At&T Intellectual Property I, L.P. Methods, devices, systems, and computer program products for edge driven communications network security monitoring
US9667483B2 (en) * 2010-12-23 2017-05-30 Koninklijke Kpn N.V. Method, gateway device and network system for configuring a device in a local area network
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
WO2020139461A2 (en) 2018-10-30 2020-07-02 Advanced Drainage Systems, Inc. Systems, apparatus, and methods useful for enhanced maintenance of stormwater management systems

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699513A (en) * 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5757914A (en) * 1995-10-26 1998-05-26 Sun Microsystems, Inc. System and method for protecting use of dynamically linked executable modules
US5680461A (en) * 1995-10-26 1997-10-21 Sun Microsystems, Inc. Secure network protocol system and method
US5692047A (en) * 1995-12-08 1997-11-25 Sun Microsystems, Inc. System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources
US5928323A (en) * 1996-05-30 1999-07-27 Sun Microsystems, Inc. Apparatus and method for dynamically generating information with server-side software objects
US5903732A (en) * 1996-07-03 1999-05-11 Hewlett-Packard Company Trusted gateway agent for web server programs
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6282581B1 (en) * 1997-03-27 2001-08-28 Hewlett-Packard Company Mechanism for resource allocation and for dispatching incoming calls in a distributed object environment
US5940590A (en) * 1997-05-31 1999-08-17 International Business Machines Corporation System and method for securing computer-executable program code using task gates
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6317868B1 (en) * 1997-10-24 2001-11-13 University Of Washington Process for transparently enforcing protection domains and access control as well as auditing operations in software components
IL122314A (en) * 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
EP1119813A1 (en) * 1998-09-28 2001-08-01 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6405319B1 (en) * 2000-01-27 2002-06-11 Buildpoint Corporation Verification system for information transfers over a computer network
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009009601A (ja) * 2001-01-17 2009-01-15 Contentguard Holdings Inc コンテンツを確実に頒布するためのシステム
JP4512153B2 (ja) * 2001-01-17 2010-07-28 コンテントガード ホールディングズ インコーポレイテッド コンテンツを確実に頒布するためのシステム
JP2008512958A (ja) * 2004-09-13 2008-04-24 ユーティースターコム,インコーポレイテッド 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能

Also Published As

Publication number Publication date
US7305703B2 (en) 2007-12-04
CA2312061A1 (en) 1999-06-10
KR20010024658A (ko) 2001-03-26
ES2223121T3 (es) 2005-02-16
WO1999029082A1 (en) 1999-06-10
IL122314A (en) 2001-03-19
AU757668B2 (en) 2003-02-27
CN1119003C (zh) 2003-08-20
ATE268967T1 (de) 2004-06-15
DE69824444T2 (de) 2005-06-23
BR9815066A (pt) 2000-10-03
CN1280733A (zh) 2001-01-17
EP1034646A1 (en) 2000-09-13
AU6227798A (en) 1999-06-16
US6098173A (en) 2000-08-01
IL140161A0 (en) 2002-02-10
EP1034646B1 (en) 2004-06-09
US20030177355A1 (en) 2003-09-18
US6553498B1 (en) 2003-04-22
DE69824444D1 (de) 2004-07-15

Similar Documents

Publication Publication Date Title
JP2001525585A (ja) 通信に関するセキュリティ・ポリシーを順守させる方法およびシステム
US6131163A (en) Network gateway mechanism having a protocol stack proxy
US10749871B2 (en) Intelligent management of application connectivity
US7296292B2 (en) Method and apparatus in an application framework system for providing a port and network hardware resource firewall for distributed applications
JP3819295B2 (ja) ユーザによって構成可能なファイアウォールを有する公衆網アクセス・サーバ
JP3980596B2 (ja) サーバを遠隔かつ動的に構成する方法およびシステム
AU2008100859A4 (en) Method and apparatus for restricting access to network accessible digital information
US7277915B2 (en) Application-based protocol and proxy selection by a mobile device in a multi-protocol network environment
US8166547B2 (en) Method, apparatus, signals, and medium for managing a transfer of data in a data network
US20020078213A1 (en) Method and system for management of resource leases in an application framework system
EP0986229A2 (en) Method and system for monitoring and controlling network access
US20030126230A1 (en) Method and system for transmitting information across a firewall
JP2001517899A (ja) エグゼキュータブル・オブジェクトを識別および抑制するための方法およびシステム
US20030101284A1 (en) Virtual network with adaptive dispatcher
JP2001523865A (ja) コンピュータネットワークにおけるアプリケーションプログラムの制御された配信
US6678726B1 (en) Method and apparatus for automatically determining topology information for a computer within a message queuing network
US20020120694A1 (en) Distributed intelligent information technology operations automation
US9176719B2 (en) Resolving prerequisites for a client device in an open service gateway initiative (OSGI) framework
US6799215B1 (en) Method and apparatus for providing logical unit definitions for telenet servers
CN112671914A (zh) 一种基于actor模型的物联网设备通讯方法和系统
Ghosh et al. An infrastructure for application level active networking
US20080115202A1 (en) Method for bidirectional communication in a firewalled environment
JPH11120148A (ja) 非同期通信装置およびシステム
CN116708574A (zh) 一种对数据分组进行多层级染色的方法及系统
IL140161A (en) Method and system for enforcing a communication security policy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041201

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20041202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20041202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070703