KR100831483B1 - 보안 정책을 관리하는 방법 및 시스템 - Google Patents

보안 정책을 관리하는 방법 및 시스템 Download PDF

Info

Publication number
KR100831483B1
KR100831483B1 KR1020057018600A KR20057018600A KR100831483B1 KR 100831483 B1 KR100831483 B1 KR 100831483B1 KR 1020057018600 A KR1020057018600 A KR 1020057018600A KR 20057018600 A KR20057018600 A KR 20057018600A KR 100831483 B1 KR100831483 B1 KR 100831483B1
Authority
KR
South Korea
Prior art keywords
security
policy
policies
network
information
Prior art date
Application number
KR1020057018600A
Other languages
English (en)
Other versions
KR20050118223A (ko
Inventor
홍 리
라비 사히타
사티엔드라 야다브
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20050118223A publication Critical patent/KR20050118223A/ko
Application granted granted Critical
Publication of KR100831483B1 publication Critical patent/KR100831483B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • H04L41/0856Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information by backing up or archiving configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management

Abstract

네트워크의 이질적인 인프라스트럭쳐 및 컴퓨팅 장치들의 보안 정책들을 관리하는 방법, 머신 및 시스템이 개시되었다. 보안 정책 저장소는 정책 판정 포인트 PDP에 의해 네트워크 상에서 집행용의 적합한 보안-인에이블된 장치들(정책 집행 포인트들(PEPs)로 푸싱되는 보안 정책들을 보관한다. 폐쇄형 피드백 루프를 사용하면, 정책 피드백 포인트(PFP)는 다양한 PEP로부터의 침입, 경보 위반, 및 그외의 비정상 행동과 또는 PEP에 의해 발생되는 로그들로부터의 데이터를 수집하고 처리한다. 이 데이터는 정책 저장소로 피드백으로서 보내진다. PDP는 데이터를 검출하고 이를 분석하여 (동적이고 자동적일 수 있는) 정책 갱신이 PEP들에게 적응적으로 이뤄지고 동적으로 푸싱되는 것이 필요한지를 판정한다. PDP는 또한 콘솔 또는 관리자에게 콘솔 메시지들 또는 경보들을 보낼 수 있다.
네트워크, 보안 정책, 보안-인에이블된 장치, 정책 저장소

Description

보안 정책을 관리하는 방법 및 시스템{METHODS AND SYSTEMS FOR MANAGING SECURITY POLICIES}
본 발명의 실시예들은 일반적으로 자동화된 보안 관리(automated security management)에 관한 것인데, 더 특정하게는 보안 정책을 위한 자동화된 관리를 제공하는 것에 관한 것이다.
관리되는 네트워크들의 규모가 커짐에 따라, 보안 정책 관리가 점점 더 관심사로 떠오르고 있다. 일반적으로, 한 조직체의 네트워크는, 라우터들, 스위치들, 방화벽들, 게이트웨이들, 허브들, 네트워크 브리지들, 클라이언트들, 주변부 장치들, 서버들과 같은 다수의 보안-인에이블된(security-enabled) 장치들을 포함한다. 여러 애플리케이션들이, 쓸 수 있는 네트워크 장치들의 각각에 대해 또한 보안-인에이블될 수 있다. 네트워크 관리 기술들은, 네트워크를 효율적으로 안전하게 관리하기 위해 이런 장치들 또는 애플리케이션들에 대한 보안 정책(security policy)들을 사용한다.
예를 들어, 오퍼레이팅 시스템(OS) 애플리케이션은 사용자 패스워드의 길이가 적어도 6개의 캐릭터가 되도록 요구하는 보안 정책을 포함할 수 있다. OS 내에서 또는 네트워크의 또 다른 장치상에서 실행될 수 있는 또 다른 애플리케이션은 적어도 8개의 캐릭터를 갖는 패스워드를 요구하는 사용자 패스워드 보안 정책을 포함할 수 있다. 물론 보안 정책들은, 특정 네트워크 트래픽을 규정된 장치들 상에서의 규정된 포트들에 소속시키는(relegate) 정책들, 암호화(예를 들어 공개 키 인프라스트럭쳐(PKI) 기술들 및 그 외의 기술들)를 요구하는 정책들, 액세스를 규정된 애플리케이션들/최종 사용자들에게 제한시키는 정책들, 및 그 외의 정책들과 같이, 네트워크 상에서 더 일반적으로 및 포괄적으로 적용될 수 있다.
요즘의 전형적인 기업 환경 하에서, 네트워크 인프라스트럭쳐 및 컴퓨팅 리소스들을 위한 보안 제어는 주로 많은 수작업 태스크들로 구성되며, 네트워크 보안 제어 및 컨피규레이션을 위한 각각의 태스크는, 보통은, 여러 벤더들의 독점적인 메커니즘들과 네트워크 관리자들에 의한 정책 언어들을 이해하는 것과 전형적으로 관계되는 지루한 프로세스가 되는데, 이후 기업의 보안 정책들을 이런 독점적인 메커니즘들에게 수작업으로 매핑한다. 더 나아가, 정책들은 기업 네트워크가 직면하는 침입, 공격, 및 위협들에 조직적으로 링크되어 있지 않다. 이 기술은, 응답 시간을 결정적으로 증가시키고, 살포되는 공격들 및 위협 환경들에 지속적으로 대처하는 기업 네트워크의 효율성을 감소시키고, 또한 전체 기업 네트워크를 공격하는 것에 대한 최적의 대응 수단을 설계하는 것과 잠재적으로 상관될 수 있는 시간 민감 데이터(time-sensitive data)의 손실을 가져온다.
요즘의 표준적인 정책 기반 네트워크 관리 아키텍쳐는 네트워크가 환경 변화에 보다 잘 적응하게 할 수 있는 피드백 메커니즘들을 포함하지 않는다. 그에 따라, 앞서 논의한 정책 기반 네트워크 관리에 주로 기초하고 있는 현존의 보안 정책 관리 아키텍쳐들은, 동적인(dynamic) 보안 정책 피드백을 제공하고 임의의 포착된 기밀 침입 및/또는 위협 정보에 기초하여 적응적인(adaptive) 정책 갱신들을 이루는 능력을 구비하지 않고 있다. 더 나아가, 동일한 또는 관련된 보안 정책들이 적용되고 있는 네트워크 장치들 간의 정보 공유는 없거나 매우 제한적으로 이루어진다. 또한, 상응하는 지능 정책 전개를 촉진시키기 위해 이질적인 소스(heterogeneous source)들로부터의 (입력 및 피드백 모두의) 데이터의 상관(correlation)을 제공하는, 중앙 집중화된 관점 및 정책 엔진을 제공하는 관리 아키텍쳐가 부족하다.
따라서, 네트워크들 내에서의 향상된 보안 정책 관리에 대한 필요가 존재한다. 이런 구현들 및 기술들은 이질적인 기업 네트워크들에 걸쳐서 공통 보안 정책 명세(specification)를 이루어내야 하며 네트워크 보안 정책들을 동적으로 및 적응적으로 관리하는 데에 사용될 수 있는 피드백을 동적으로 제공할 수 있어야 한다.
도1은 본 발명의 일 실시예에 따른 보안 관리 시스템의 도면이다.
도2는 본 발명의 일 실시예에 따라, 보안 정책들을 관리하는 방법의 흐름도이다.
도3은 본 발명의 일 실시예에 따라, 보안 정책들을 관리하는 또 다른 방법의 흐름도이다.
보안 정책들을 관리하기 위한 새로운 방법들, 기계들, 및 시스템들이 설명된다. 이하의 본 실시예들의 상세한 설명에서, 명세서의 부분을 이루고, 실시될 수 있는 본 발명의 특정 실시예들이 제한적이 아니라 예시를 위한 목적으로 도시된 첨부 도면들에 대한 참조가 이뤄진다. 이런 실시예들은 본 분야의 당업자가 본 발명을 이해하고 구현할 수 있도록 충분히 상세하게 설명된다. 그 외의 실시예들이 활용될 수 있고, 구조적, 논리적, 및 전기적 변화들이 본 개시의 사상 및 범위를 벗어나지 않고서 이뤄질 수 있다. 이하의 상세한 설명은 따라서 한정적인 목적으로 취해진 것이 아니며, 여기 개시된 본 발명의 실시예들의 범위는 오로지 청구범위에 의해서만 정해진다.
보안-인에이블된 장치는 네트워크와 통신하는 임의의 처리 장치 또는 주변 장치이다. 또한, 보안-인에이블된 장치는, 일부 경우에 보안-인에이블된 장치가 논리적 장치를 나타내는 소프트웨어 애플리케이션일 수 있기 때문에 꼭 물리적 장치일 필요는 없다. 따라서, 본 발명의 여러 실시예들에서, 보안-인에이블된 장치는 물리적 네트워크 장치들 및 논리적(예를 들어 애플리케이션) 네트워크 장치들을 포함한다.
보안 정책들은, 네트워크의 하나 이상의 보안-인에이블된 장치들 상에서 집행(enforce)되는 보안 처리들, 제한들 및/또는 로직들을 규정한다. 이 보안 정책들은 다양한 데이터 포맷들로 나타내어질 수 있다; 이런 데이터 포맷들의 일부는 많은 보안-인에이블된 장치들에 의해 직접 소비(consume)되거나 실행될 수 있다. 일부 실시예에서, 보안 정책은, 보안-인에이블된 장치 상에서의 보안 제한들을 집행하기 위해 보안 인에이블된 장치에 의해 실행되는, 해석 프로그래밍 언어(예를 들어, 컴파일링 및 정적 링크(static link) 없이 실행될 수 있는 것)로 쓰여진 스크립트이다. 그 외의 실시예에서는, 보안 정책들은 보안-인에이블된 장치 상에서의 애플리케이션 프로세싱을 위한 현존의 보안 로직을 구동하는 입력 파일들로서 구문 분석(parsing)될 수 있다. 또 다른 실시예에서, 보안 정책들은 보안 인에이블된 장치 상에서의 보안 애플리케이션 프로세싱을 위한 입력 파라미터 값들이다. 더 나아가, 보안 정책들의 데이터 포맷은 각각의 보안-인에이블된 장치에 의해 요구되는 포맷으로 각각의 보안-인에이블된 장치에게 제공될 수 있다.
보안 정책들은 정책 저장소(policy repository)에 중앙 집중식으로 저장되고 정책 판정 포인트(policy decision position)에서 관리되고 분배된다. 저장소는 단일 데이터베이스, 데이터 웨어하우스를 포함하는 데이터베이스 집합, 전자적 파일, 컴퓨터 액세스 가능한 매체에 있는 임의의 그 외의 저장 로케이션이 될 수 있다. 저장소는 저장소의 보안 정책들이 문의(query)되고 갱신되도록 허용하는 하나 이상의 기존의 또는 주문 계발된(custom-developed) 인터페이스 언어들(예를 들어, 구조화된 문의 언어(SQL), 경 디렉토리 액세스 프로토콜(LDAP) 및 그외의 것들)을 포함한다. 추가적으로, 하나 이상의 인터페이스 애플리케이션들은 인터페이스 언어들로 계발되어 정책 저장소에 대한 수작업 문의 및 갱신의 자동화를 제공할 수 있다.
본 발명의 일 실시예에서, 보안 정책들은 원시 확장가능 마크업 언어(XML) 포맷으로 된 관계형 데이터베이스 내에 저장된다. 정책 저장소에 액세스하는 인터페이스 언어는 SQL이고, SQL 로 쓰여진 하나 이상의 주문형 검색 및 편집 애플리케이션들은 바라는 보안 정책들이 정책 저장소 내에서 검색되고 변경되는 것을 허용해 준다. 이런 주문형 검색 및 편집 애플리케이션들은 보안 정책들을 관리하고 모니터링하는 최종 사용자와 인터페이싱하는 자체 실행 애플리케이션들 또는 애플리케이션들일 수 있다.
초기에, 정책 저장소는 조직체의 문서화된 보안 정책들을 정책 저장소 내의 정책들을 나타내고 고유하게 식별하는 포멀한 전자적 표현으로 변환하는 것에 의해 포퓰레이팅(populate)될 수 있다. 일부 실시예에서, 이 변환은 조직체의 네트워크의 네트워크 보안 관리자의 지원을 받으며 데이터베이스 또는 저장소 관리자에 의해 실행된다. 단일의 문서 정책은 정책 저장소 내의 포멀한 표현으로 변환되었을 때 다양한 별개의 서브 정책들로 트랜슬레이트(translate)될 수 있다.
일 실시예에서, 정책 저장소 내의 보안 정책들의 초기의 포멀한 표현들의 데이터 포맷은 중간(intermediate) 데이터 언어 포맷(예를 들어 XML 또는 그외의 것들)으로 구현된다. 더 나아가, 다양한 정책 트랜슬레이터들이 개별적으로 계발되어 특정 보안 정책의 중간 데이터 언어 포맷이 특정 보안-인에이블된 장치에 의해 소비될 수 있는 데이터 포맷으로 렌더링할 수 있다.
따라서, 일부 실시예에서, 보안 정책들은 정책 저장소 내에서 단일로(singular) 저장되고 대표되기도 하지만, 다양한 보안-인에이블된 장치들에 의해 필요한 다양한 데이터 포맷들로 렌더링될 수도 있다. 일 실시예에서, 정책 트랜슬레이터들은 확장 가능 스타일 시트 언어 변환(Extensible Style Sheet Language Sheets, XSLT) 애플리케이션들로서 구현되고, 이 애플리케이션들은 정책 저장소 내의 XML로서 나타내어지는 보안 정책들을 개별 보안-인에이블된 장치들에 의해 요구되는 특정 데이터 포맷들로 렌더링하기 위해 하나 또는 그 이상의 확장 가능 스타일 시트들(Extensible Style Sheets, XSL)을 사용한다. 다양한 프로그래밍 언어들 및 기술들이, 보안 정책들의 중간 데이터 포맷들로부터 특정 보안 인에이블된 장치들에 의해 요구되는 특정 데이터 포맷들로의 트랜슬레이션들을 제공하는 데에 사용될 수 있다. 모든 이런 구현들은 본 발명의 실시예들 내에 포함되도록 의도하였다.
도1은 본 발명의 일 실시예에 따른 보안 관리 시스템(100)의 도면을 예시하였다. 보안 관리 시스템(100)은 네트워크화된 환경 내의 컴퓨터 판독 가능한 매체 내에 구현된다. 보안 관리 시스템(100)은 정책 저장소(110), 정책 판정 포인트(PDP)(112), 정책 집행 포인트들(PEP)(113), 및 정책 피드백 포인트(PFP)(120)을 포함한다.
정책 저장소(110)는 보안 정책들을 저장한다. 더 나아가, 정책 저장소(110)는 정책 데이터 인터페이스를 통해서 정책 콘솔들(111) 및 PDP(112)와 인터페이싱한다. 이는 관리자들이 정책 저장소(110)의 정책들을 문의하고 보고 변경하는 것을 허용해 준다.
PDP(112)는 보안 정책들을 하나 또는 그 이상의 PEP들(13)로 푸싱(push)한다. 따라서, PEP(113)는 서버, 방화벽, 라우터, 또는 네트워크 상의 액세스 가능한 임의의 다른 컴퓨팅 장치와 같은 애플리케이션 또는 장치일 수 있다. PDP(112)는 전송 프로토콜 인터페이스 및 데이터 포맷(예를 들어 COPS(Common Open Policy Service Protocol), SNMP, SSH(Secure Socket Shell)/Telnet, 그 외의 CLI들)을 사용하여 PEP(113)와 인터페이싱하여 PEP(113) 상에서 인에이블되고 집행되게 되어 있는 보안 정책들과 통신할 수 있다.
PFP(120)는, 관리되는 네트워크를 적응적으로 만들고 원상 회복을 더 쉽게(resilient) 하기 위해서 네트워크 보안 정책들을 위협 환경과 동적으로 링크시키도록 설계된 피드백 포인트이다. PFP(120)는, 모두 PEP 자체들일 수 있는, 침입 검출 시스템들(ID), 취약성 스캐너들 등으로부터 획득된 통합 피드백 정보를 포함한다. PFP는 네트워크 내에서 사용되고 있는 특정의 보안-인에이블된 장치들과 인터페이싱하도록 설계된 모듈들을 포함할 수 있다. 따라서, PFP의 피스(piece)들은 네트워크 내의 보안-인에이블된 장치에 의해 요구되는 IDMEF, SNMP, 또는 임의의 다른 CLI 또는 프로토콜로 통신할 수 있다.
PFP(120)는 획득된 보안 위협 정보를 정규화(normalize)하고 이 정보를 PDP(112)로 통신해 주고, PDP(112)는 이후 정책 저장소 내의 보안 정책 기록들에 대해 사용되는 정책 스키마(schema)에 의해 지령된 요구들에 따라서 정규화된 정보를 트랜슬레이트하고, 정책 데이터 인터페이스를 통해서 정책 저장소(112)를 갱신하고, 이 갱신이 정책 콘솔(111)에서 쓰일 수 있도록 한다. 일부 실시예에서, 정책 저장소(110)로의 갱신된 변화들은 이후 PDP(112)에게 자동적으로 통신되거나 그에 의해 발견되고, 소정 조건들 및 문턱값들에 기초해 분석이 실행된다. 그외의 실시예에서, 갱신된 정책들을 PEP들로 푸싱하기 전에 인간의 개입이 불필요하다면, 이 분석은 정책 저장소(110) 내에 포함된 다수의 보안 정책들에 대한 동적이고 적응적인 변화들로 귀결되고, PDP(112)에 의해 하나 또는 그 이상의 PEP(113)들로 자동적으로 푸싱된다. 그외의 실시예에서, 경보 또는 통지가 PDP(112)에 의해 검출되는 시사적 정책 변화들 또는 이벤트들에 관하여 적합한 당사자에게 보내진다.
보안 관리 시스템(100) 내의 PFP(120) 피드백 루프는 동적이고 적응적인 보안 정책 관리를 허용한다. 종래의 보안 관리 시스템들은 동적이고 적응적인 피드백 루프를 결여하였고, 따라서 네트워크가 공격받고 있거나 또는 침입자 또는 공격에 취약하고 그것에 당할 수 있다는 것을 표시하는 이벤트들 및 데이터에 기초하여 정책들을 갱신함으로써 네트워크를 제때에 보호하는 것을 할 수 없다.
예를 들어, SQL 슬래머(slammer)와 같은 네트워크 침입이 (PEP들 중의 하나인) IDS에 의해 검출되었을 때, 이런 침입은 PFP에 의해 수집되고 PDP로 전달되고, PDP는 이런 피드백을 수신하였을 때 모든 영향받은 보안-인에이블된 장치들에게 개정된 정책을 발행하여 문제 있는 애플리케이션 또는 리소스들에 대한 포트 액세스를 일시적으로 거부하도록 한다. 따라서, 본 발명의 실시예들의 정책 관리 기술들은 적응적이고, 네트워크 내의 변화하는 상황들에 기초하여 동적으로 조정될 수 있다.
이제, 이상 제시된 설명을 통해서, 개선된 방법(100)이 보안 아키텍쳐들에서 사용되어 어떻게 보안 정책들을 더 잘 관리할 수 있는지를 알 것이다. 보안 정책들은 다수의 개별 보안-인에이블된 장치들 상에서 적응적으로 및 동적으로 변화되고 트랜슬레이트되고 모니터링되고 집행된다. 반면에, 전통적인 접근법들은 발생할 수 있는 다른 문제들에 대처하기 위해 다양한 독점적 도구 및 특수화된 기술진들을 활용하여 보안 정책 변경을 위한 수작업적인 개입에 의존한다. 전통적인 접근법들은, 또한, 네트워크가 직면하는 위협 또는 취약성을 제때에 검출하기 위해 시간에 민감한 방식으로 보안-인에이블된 장치에 의해 제기되고 있는 과도 데이터 또는 이벤트들을 포착할 수 있는 동적 피드백이 결여되어 있다. 보다 동적이고 적응적인 보안 관리 기술을 생성하고 자동화함으로써 본 발명의 실시예들은 조직체의 보안-인에이블된 장치들 및 보안 정책들을 적절한 때에 따라 효율적으로 교정하고 관리할 수 있다.
도2는 본 발명의 일 실시예에 따라서 보안 정책들을 관리하는 또 다른 방법(200)의 흐름도이다. 방법(200)은, 컴퓨터 액세스 가능한 매체를 통해서 액세스 가능하고, 다수의 처리 장치들에 걸쳐서 분포되거나 네트워크를 통해서 액세스가능한 단일 처리 장치상에 집중될 수 있다. 방법(200)은 소프트웨어 및/또는 펌웨어를 사용하여 구현될 수 있다. 보안-인에이블된 장치들은 보안 정책들을 집행할 수 있는 임의의 처리 장치들, 예를 들어, 라우터들, 네트워크 허브들, 네트워크 브리지들, 스위치들, 게이트웨이들, 클라이언트들, 서버들, 독립적인 지능형 어플라이언스들, 컴퓨팅 주변장치 등과 같은 것이 될 수 있다. 보안-인에이블된 장치들은 네트워크상에서 인터페이스되는데, 이 네트워크는 결선(hardwired)될 수 있거나, 무선일 수 있거나, 또는 결선 및 무선의 양자의 결합일 수 있다.
보안 정책들은 정책 저장소 내에 중앙 집중식으로 저장될 수 있다. 보안 정책들의 데이터 포맷은 네트워크의 각각의 보안-인에이블된 장치들 상에서 소비되고 집행될 수 있는 포맷들로 트랜슬레이트되는 중간 포맷이다. 일 실시예에서, 중간 포맷은 XML이고 정책 저장소는 SQL 또는 LDAP로 쓰여진 애플리케이션들을 사용하여 액세스가 획득된 데이터베이스 또는 디렉토리이다. 보안 정책들은 보안-인에이블된 장치들에 소재하는 애플리케이션들을 보안 집행함으로써 소비되는 스크립트들, 파라미터들, 또는 파일들이다.
하나 또는 그 이상의 정책 판정 트랜슬레이터들이 정책 저장소와 인터액트하여 보안 정책들을 획득하고, 네트워크 상의 적합한 보안-인에이블된 장치들로 보안 정책들을 분포시키거나 푸싱한다. 정책 판정 트랜슬레이터들은 보안 정책들의 중간 데이터 포맷을 각각의 보안-인에이블된 장치들에 의해 사용될 수 있는 필요한 데이터 포맷들로 변환하는 로직을 포함한다. 따라서, (210)에서, 보안 정책들은 정책 저장소로부터 집행용의 위한 보안-인에이블된 장치들로 분포되거나 푸싱된다.
일단 보안-엔이이블된 장치들이 사용가능 데이터 포맷의 보안 정책들을 갖는다면, 이후 (220)에서 보안 정책들은 보안-인에이블된 장치들 상에서 동적으로 인스톨되고 집행된다. 일부 PEP들은 보안 감사(audit) 정보 및 리포트들을 모니터링하고 포착하거나 네트워크 내에서 일어나는 다양한 보안 이벤트들과 관련된 이벤트들을 제기하는 로직을 포함한다. 더 나아가, 이런 PEP들은, 다른 유형의 보안 로그 정보 또는 보고되는 보안 이벤트들이 요구 시에 포착되고 제공되는 것을 허용하는, CLI들, 애플리케이션 프로그래밍 인터페이스들(APIs), 또는 특수 프로토콜들을 포함할 수 있다. 예를 들어, 일부 보안-인에이블된 장치 애플리케이션들은 IDMEF를 지원할 수 있고, 그외의 것들은 SNMP를 지원할 수 있다. 물론 다양한 그 밖의 커맨드들 및 인터페이스들이 또한 보안-인에이블된 장치 애플리케이션에 의해 사용될 수 있다. 모든 이런 변형 커맨드들, 인터페이스들 및 프로토콜들은 본 발명의 실시예 내에 포함되도록 의도되었다.
중앙 집중식 정책 피드백 애플리케이션 또는 정책 피드백 포인트(PFP) 모듈은 (230)에서 보안 위협 정보 또는 이벤트 정보를 모니터링하고 추적한다. PFP의 다른 컴포넌트들이 특정 보안-인에이블된 장치 애플리케이션들에 의해 인식되는 CLIs, APIs 및/또는 프로토콜들과 통신하도록 설계된다. PFP는 또한 여러 보안-인에이블된 장치들로부터 획득된 이벤트 정보 또는 보안 로그 정보를 주합하고(aggregate) 처리할 수 있다. 보안 로그 정보 또는 이벤트 정보는 이후 (240)에서 PFP에 의해 정규화되거나 트랜슬레이트되어 PDP에 의해 인식가능하거나 필요한 데이터 포맷으로 된다. 일단 보안 로그 정보 또는 이벤트 정보가 정규화되고 처리되면, 이는 (250)에서 정책 저장소에게 갱신된다.
정규화된 피드백 정보는 정책 저장소들 내의 적합하게 영향받은 보안 정책들에 링크되거나 관련된다. 이는 어느 보안 정책들이 어느 보안-인에이블된 장치들 상에서 처리되고 있는지에 대한 지식을 갖는 정책 피드백 애플리케이션에 의해 획득될 수 있다. 대안으로는, 보안 정책들은 보안-인에이블된 장치 식별들을 써서 정책 저장소에게 문의함으로써 PFP에 의해 식별될 수 있다. 다른 경우에는, 보안 로그 정보는 보안 정책 식별자들을 포함할 수 있다. PFP가 획득된 보안 로그 정보 또는 이벤트 정보의 부분들을 정책 저장소 내의 적합하게 영향받은 보안 정책들과 적합하게 링크시키는 다양한 기술들이 존재한다.
PDP는, 보안 정책 기록이 보안 로그 정보 또는 이벤트 정보로서 갱신되었을 때 다수의 특별화된 정책 판정 트랜슬레이터들이 자동적으로 실행되는 식으로 트리거들 또는 이벤트 애플리케이션들을 구비할 수 있다. 그외의 실시예에서, 다수의 정책 판정 트랜슬레이터들이 컨피규어링되어 계속적으로 처리하거나 컨피규어링 가능한 시간 구간들에서 처리하여 정책 저장소 내의 보안 정책 기록들로 갱신되고 있는 보안 로그 정보 또는 이벤트 정보를 검사하게 된다.
특별화된 정책 판정 트랜슬레이터들은, 보안 피드백 정보를 평가하고 규정된 문턱값 또는 검출된 이벤트들에 기초하여 액션을 취하기 위해 설계되고 컨피규어링된다. 몇몇 경우에, 정책 판정 트랜슬레이터는 정책 저장소 내의 보안 정책을 변경하거나 일시적으로 변화시킬 수 있고 이 변화를 영향받은 보안-인에이블된 장치들에게 동적으로 푸싱할 수 있다. 따라서, 정책 판정 트랜슬레이터들은 (252)에서 묘사된 대로 적응적이고 동적인 보안 정책 변화들을 달성할 수 있다. 그 외의 실시예에서, 정책 판정 트랜슬레이터는, (254)에서 묘사된 대로, 동적으로 및 자동적으로 경보를 보내거나 다수의 그외의 애플리케이션들을 트리거링하여 정책 저장소로부터 실행하도록 한다. 경보들은 정책 변화들이 이뤄졌을 때 및/또는 어떤 정책 변화도 이뤄지지 않았을 때 보내질 수 있으나 네트워크 보안 관리자와 같은 적합한 최종 사용자에게 알려주는 것이 필요하다고 생각된다. 그 외의 실시예에서, 특별화된 정책 판정 트랜슬레이터들은, 경보가 적합한 최종 사용자에게 보내지는 때에, 알려주는 정보 또는 시사적 정책 변화 정보를 포함할 수 있다.
따라서, 정책 판정 트랜슬레이터들은 보안 정책들을 정책 저장소로부터 보안-인에이블된 장치에 특정적인 데이터 포맷들로 렌더링하는 데에 쓰일 수 있고, 정책 저장소 내의 특정 보안 정책과 관련된 이벤트 정보 또는 갱신된 보안 로그 정보를 평가하는 데에 쓰일 수 있다. 이 평가는, 동적 보안 정책 변화 및/또는 경보가 경보 내에 포함된 알려주는 또는 시사적인 정보로 보내질 때 정책 판정 트랜슬레이터에 의한 어떤 액션도 없는 데로 인도할 수 있다. 더 나아가, 몇몇 경우에, 추가의 특별화된 애플리케이션들이, 보안 로그 정보 또는 이벤트 정보의 평가에 기초하여 정책 판정 트랜슬레이터에 의해 트리거링되고 자동적으로 처리될 수 있다.
평가는, 보안 위반, 침입, 보안 위협, 보안 취약성, 보안-인에이블된 장치 상에서 일어나는 비정상 조건 또는 트래픽, 또는 평가하기에 바람직한 임의의 다른 이벤트 또는 상황들의 검출을 포함할 수 있다. 평가는 보안 로그 정보에 포함된 쓸 수 있는 정보 또는 보안-인에이블된 장치들에서 보고되고 포착된 이벤트들에 의해서만 제한된다. 따라서, 특별화된 정책 판정 트랜슬레이터들은 소절 레벨의 보안 관리를 성취하기 위해서 조직체의 지식, 경험 및 요구들에 따라서 설계되고 구현될 수 있다.
더 나아가, 몇몇 실시예에서, 정책 저장소는 정책 판정 트랜슬레이터에 의해 자동적으로 처리될 수 있는 또는 네트워크 보안 관리자와 같은 최종 사용자에 의해 수작업으로 사용될 수 있는 다수의 정책 저작 및 편집 애플리케이션들을 포함한다. 따라서, 네트워크의 보안 정책들은 본 발명의 실시예들의 여러 교시에 따라서 중앙 집중식으로 관리되고 분포되고 변경되고 모니터링될 수 있다. 이런 교시들은 종래에 네트워크 보안 정책들을 관리하기 위해 사용되는 수작업적으로 힘이 들고 임시변통인 기술을 극복할 수 있다. 따라서, 본 발명의 실시예들에 따라서 더 적응적이고 동적이고 효율적인 네트워크 보안 관리가 성취될 수 있다. 더 나아가, 보안 정책들 및 트랜잭션 정보가 사용되어 네트워크의 보안성을 기하기 위해서 수작업적인 개입 없이 적응적인 변화들로 인도할 수 있는 동적인 피드백을 제공하게 된다.
도3은 본 발명의 일 실시예에 따라서 보안 정책들을 관리하기 위한 또 다른 방법(300)의 도면이다. 방법(300)은 컴퓨터 네트워크 환경에서 다양한 컴퓨터 액세스 가능한 매체로서 구현된다. 이 네트워크는 정책 집행 포인트(PEP)들로 지칭되는 다수의 물리적 또는 논리적 장치를 포함한다. PEP는, 주변 장치들, 처리 장치들, 및 그외의 것과 같은, 보안 트랜잭션들을 집행하고 추적할 수 있는 임의의 장치이면 된다. 더 나아가, 정책 저장소는 네트워크 PEP들 상에서 일어나는 보안 트랜잭션들과 다양한 PEP들 상에서 네트워크에 걸쳐서 관리되고 있는 보안 정책들에 관한 정보를 포함한다.
정책 판정 포인트(PDP) 애플리케이션 또는 모듈은, (310)에서, 보안 정책들이 정책 저장소에서 변화되거나 동적으로 변경될 때 네트워크의 초기화 때에 또는 네트워크의 관리 및 동작 동안에, 정책 저장소로부터 영향받은 PEP로 보안 정책들을 푸싱한다.
네트워크의 동작 동안에 보안 정책들은 PEP들 상에서 일어나는 보안 트랜잭션들을 보고하고 추적하기 위해 동적으로 집행되고 동작된다. 그에 따라, (320)에서, 몇몇 실시예에서, 침입 검출 시스템(IDS)은 PEP들 중의 하나에서의 인증되지 않은 침입 또는 그 외의 네트워크 취약성을 검출한다. (330)에서, 정책 피드백 포인트(PFP)는 IDS로부터 보안 트랜잭션 데이터를 수신하고 수신된 데이터에 대해 우선 순위를 설정한다. 다음으로, (340)에서, PDP는 정책 데이터 인터페이스를 통해서 또는 신규의 보안 트랜잭션 데이터로 정책 저장소의 갱신을 통해 간접적으로 PFP로부터 피드백 데이터를 수신한다.
(350)에서, 정책 엔진은 보안 트랜잭션 데이터 및 그 설정된 우선순위에 기초하여 정책 저장소에 대한 임의의 필요한 정책 갱신들을 생성한다. 정책 변화들은 네트워크 및/또는 PEP 상에서의 침입 또는 그외의 공격들을 동적으로 대항하기 위해서 네트워크 내에서 적응적으로 및 동적으로 만들어질 수 있다. 그에 따라, 정책 변화들이 (352)에서 적응적으로 만들어졌을 때, 정책 저장소는 자동적으로 갱신된다.
(360)에서, 정책 변화가 PDP의 부분에 대한 자동 액션을 요구하는지의 여부를 또는 동적 정책 변화가 이뤄졌고 자동 액션이 요구되는지의 여부를 판정하기 위한 체크가 이뤄지고, 이후 (362)에서, 신규의 정책 변화들이 적합한 PEP들로 푸싱되고 적합한 PEP들에 동적으로 로드되고 실행된다. 만일 어떤 동적 정책 변화도 소망되지 않는다면, 이후 (364)에서 정책 콘솔 내에서의 적절한 로그/디스플레이 경보가 나타나고 자동 경보들이 선택적으로 정책 관리자들에게 보내질 수 있다.
이상의 설명은 예시적인 것일 뿐이고 한정적인 것은 아니다. 많은 다른 실시예들이 이상의 설명을 고려할 때 당업자에게 명백할 것이다. 본 발명의 실시예들의 범위는 따라서 첨부된 청구범위를 참조하여 이런 청구범위에 부여되는 균등물의 전체 범위를 고려하여 결정되어야 한다.
열람자가 본 기술적 개시의 핵심을 쉽게 알 수 있도록 허용해 주는 요약서를 요구하는 규정에 부응하여 요약서가 제공되었다. 이 요약서는 청구범위의 범위 또는 의미를 해석하거나 제한하기 위해서 주어진 것이 아님을 알아야 한다.
앞서의 실시예들에 대한 설명에서, 본 개시를 질서 정연하게 제시하고자 하는 의도에 따라서 여러 특징들이 단일 실시예에서 함께 제시되었다. 본 개시 방법에 있어서, 본 발명의 청구된 실시예들이 각각의 청구범위에 명시적으로 기재된 것보다 더 많은 특징을 요구하는 의도를 반영한 것으로 해석해서는 안 된다. 오히려, 이하의 청구범위를 보면 알 수 있듯이, 본 발명의 특징적인 청구 대상은 단일 개시된 실시예의 모든 특징들보다 더 작은 특징을 갖고 있다. 따라서, 각각의 청구범위는 실시예들의 기술에 포함되어 그 자신이 별개의 예시적 실시예로서 본 명세서에서 그 위치를 점하고 있다.

Claims (24)

  1. 하나 또는 그 이상의 보안-인에이블된(security-enabled) 장치들로부터 보안 정보를 검출하는 단계와,
    상기 보안 정보를 정규화하는 단계와,
    데이터 저장소에 상기 정규화된 보안 정보를 기록하는 단계
    를 포함하는 보안 정책 관리 방법.
  2. 제1항에 있어서, 상기 정규화되어 기록된 보안 정보의 적어도 일부분에 기초하여 보안 정책(security policy)과 관련된 보안 정책 변화를 트리거링(triggering)하는 단계를 더 포함하는 보안 정책 관리 방법.
  3. 제1항에 있어서, 상기 정규화되어 기록된 보안 정보의 적어도 일부분에 기초하여 보안 정책을 평가하는 단계를 더 포함하는 보안 정책 관리 방법.
  4. 제1항에 있어서, 검출 시에, 상기 보안 정보는 보안 트랜잭션 프로토콜과 보안 트랜잭션 커맨드 라인 인터페이스 중의 적어도 하나를 사용하여 검출되는 보안 정책 관리 방법.
  5. 제1항에 있어서, 검출 시에, 상기 보안 정보는 상기 보안-인에이블된 장치들 중의 적어도 하나 상에서 일어나는, 보안 침입들, 보안 경보들, 보안 위반들, 및 비정상 행동들 중의 적어도 하나와 관련되는 보안 정책 관리 방법.
  6. 제1항에 있어서, 기록 시에, 상기 정규화된 보안 정보는 하나 또는 그 이상의 보안 정책들에게 동적인(dynamic) 정책 피드백을 제공하는 보안 정책 관리 방법.
  7. 정책 저장소로부터의 보안 정책들을 하나 또는 그 이상의 보안-인에이블된 장치들로 분포(distribute)시키는 단계와,
    상기 보안-인에이블된 장치들 중의 하나 또는 그 이상의 것에서 다수의 상기 보안 정책들을 집행(enforce)하는 단계와,
    상기 하나 또는 그 이상의 보안-인에이블된 장치들 각각에서의 보안 트랜잭션들을 추적하는 단계와,
    상기 추적된 보안 트랜잭션들에 기초하여 상기 정책 저장소를 갱신하는 단계
    를 포함하는 보안 정책 관리 방법.
  8. 제7항에 있어서, 분포 시에, 상기 정책 저장소는 데이터 웨어하우스, 데이터베이스, 및 전자 파일 중의 적어도 하나인 보안 정책 관리 방법.
  9. 제7항에 있어서, 분포 시에, 상기 하나 또는 그 이상의 보안-인에이블된 장치들은 방화벽, 라우터, 스위치, 네트워크 브리지, 게이트웨이, 네트워크 허브, 클라이언트, 주변 장치, 보안 리소스, 침입 검출 시스템, 및 서버 중의 적어도 하나를 포함하는 보안 정책 관리 방법.
  10. 제7항에 있어서, 추적 시에, 하나 또는 그 이상의 자동화된 애플리케이션들이, 언제 보안 위반이 상기 보안-인에이블된 장치들 중의 하나 또는 그 이상의 것에서 일어나고 상기 보안 위반의 보안 정보를 트랩(trap)하는지를 검출하는 보안 정책 관리 방법.
  11. 제7항에 있어서, 갱신 시에, 상기 기록된 보안 트랜잭션들은 상기 정책 저장소에 갱신되기 전에 정규화된 데이터 포맷으로 트랜슬레이트(translate)되는 보안 정책 관리 방법.
  12. 네트워크에 대한 하나 또는 그 이상의 보안 정책들을 갖는 정책 저장소와,
    상기 정책 저장소로부터 제공된 상기 보안 정책들 중의 하나 또는 그 이상의 것을 집행하는 보안-인에이블된 장치와,
    상기 보안-인에이블된 장치 상의 보안 트랜잭션들을 모니터링하고 상기 보안 트랜잭션들에 기초한 보안 정보로 상기 정책 저장소를 갱신하는 피드백 애플리케이션
    을 포함하는 보안 관리 시스템.
  13. 제12항에 있어서, 상기 정책 저장소로부터 집행용의 상기 보안-인에이블된 장치로 상기 하나 또는 그 이상의 보안 정책들을 푸싱(push)하는 하나 또는 그 이상의 정책 판정 포인트(policy decision point) 트랜슬레이터들을 더 포함하는 보안 관리 시스템.
  14. 제13항에 있어서, 상기 하나 또는 그 이상의 정책 판정 포인트 트랜슬레이터들은 중간 데이터 포맷으로 상기 정책 저장소로부터 상기 하나 또는 그 이상의 보안 정책들을 검색하고 트랜슬레이터 애플리케이션을 사용하여 상기 하나 또는 그 이상의 보안 정책들을 집행용의 상기 보안-인에이블된 장치에 의해 사용되는 소망 데이터 포맷으로 트랜슬레이트하는 보안 관리 시스템.
  15. 제12항에 있어서, 상기 정책 저장소는 특정 스키마(schema)에 기초하여 상기 정책 저장소로서 논리적으로 조립된 데이터 기억부들의 집합인 보안 관리 시스템.
  16. 제12항에 있어서, 상기 정책 저장소는 상기 정책 저장소로부터 원격에 있는 보안 관리 시스템.
  17. 제12항에 있어서, 피드백 애플리케이션은 상기 네트워크 상의 보안 이벤트들을 모니터링하기 위해 상기 보안-인에이블된 장치의 보안 프로토콜들을 활용하는 보안 관리 시스템.
  18. 제12항에 있어서, 상기 피드백 애플리케이션은 상기 정책 저장소를 상기 보안 정보로 갱신하기 전에 상기 보안 정보를 상기 정책 저장소에 의해 사용되는 데이터 포맷이 되도록 정규화하는 보안 관리 시스템.
  19. 관련 명령들을 갖는 머신 액세스 가능 매체로서, 상기 명령들은 실행되었을 때 네트워크 내의 보안 정책들에 대한 관리를 제공하고, 상기 명령들은,
    네트워크에 걸쳐서, 정책 저장소로부터 하나 또는 그 이상의 보안-인에이블된 장치들로 보안 정책들을 푸싱하는 단계와,
    상기 하나 또는 그 이상의 보안-인에이블된 장치들에 의해 상기 보안 정책들을 집행하는 단계와,
    상기 관리되는 네트워크 상에서 일어나는 보안 이벤트들을 모니터링하는 단계와,
    상기 보안 이벤트들과 관련된 보안 정보를 정규화하는 단계와,
    상기 정책 저장소를 상기 정규화된 보안 정보로 갱신하는 단계
    를 수행하는
    머신 액세스 가능 매체.
  20. 제19항에 있어서, 다수의 상기 보안 정책들을 조정하기 위해 상기 정규화되고 갱신된 보안 정보의 적어도 일부분을 동적으로 이용하는 명령들을 더 포함하는 머신 액세스 가능 매체.
  21. 제20항에 있어서, 상기 정규화되고 갱신된 보안 정보의 적어도 일부분에 기초해 상기 정책 저장소로부터 실행용의 다수의 보안-인에이블된 애플리케이션들을 동적으로 트리거링하는 명령들을 더 포함하는 머신 액세스 가능 매체.
  22. 제19항에 있어서, 푸싱 시에, 상기 정책 저장소는 보안 저작 및 편집 애플리케이션들과 인터페이싱하는, 머신 액세스 가능 매체.
  23. 제19항에 있어서, 모니터링 시에, 상기 보안-인에이블된 장치들에 의해 사용되는 원시(native) 보안 프로토콜들 및 커맨드들이 사용되어 상기 관리되는 네트워크 상에서 일어나는 보안 이벤트들과 관련된 상기 보안 정보를 획득하는, 머신 액세스 가능 매체.
  24. 제19항에 있어서, 정규화 시에, 상기 보안 정보는 원시 데이터 포맷에서 상기 정책 저장소에 의해 사용되는 중간 데이터 포맷으로 트랜슬레이트되는, 머신 액세스 가능 매체.
KR1020057018600A 2003-03-31 2004-02-09 보안 정책을 관리하는 방법 및 시스템 KR100831483B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/404,978 US10110632B2 (en) 2003-03-31 2003-03-31 Methods and systems for managing security policies
US10/404,978 2003-03-31

Publications (2)

Publication Number Publication Date
KR20050118223A KR20050118223A (ko) 2005-12-15
KR100831483B1 true KR100831483B1 (ko) 2008-05-22

Family

ID=32990231

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057018600A KR100831483B1 (ko) 2003-03-31 2004-02-09 보안 정책을 관리하는 방법 및 시스템

Country Status (8)

Country Link
US (1) US10110632B2 (ko)
JP (2) JP2006521598A (ko)
KR (1) KR100831483B1 (ko)
CN (1) CN1768518A (ko)
DE (1) DE112004000428B4 (ko)
GB (1) GB2412540B (ko)
TW (1) TWI253571B (ko)
WO (1) WO2004095801A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101315340B1 (ko) 2011-10-19 2013-10-08 주식회사 이노그리드 보안 크레디트 정보 처리 방법
KR20130138542A (ko) * 2012-06-11 2013-12-19 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
KR102090757B1 (ko) * 2019-01-15 2020-03-19 주식회사 이글루시큐리티 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법
US11882125B2 (en) 2021-05-26 2024-01-23 Netskope, Inc. Selection of session protocol based on policies

Families Citing this family (156)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7783765B2 (en) 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US8910241B2 (en) 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7472422B1 (en) * 2003-09-10 2008-12-30 Symantec Corporation Security management system including feedback and control
US7383534B1 (en) 2003-09-10 2008-06-03 Symantec Corporation Configuration system and methods including configuration inheritance and revisioning
WO2005032042A1 (en) 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
US8452881B2 (en) * 2004-09-28 2013-05-28 Toufic Boubez System and method for bridging identities in a service oriented architecture
US8127366B2 (en) * 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US20050091068A1 (en) * 2003-10-23 2005-04-28 Sundaresan Ramamoorthy Smart translation of generic configurations
US8146160B2 (en) * 2004-03-24 2012-03-27 Arbor Networks, Inc. Method and system for authentication event security policy generation
ATE338418T1 (de) * 2004-06-07 2006-09-15 Cit Alcatel Verfahren und vorrichtung zur verhinderung von angriffen auf einen call-server
US7698403B2 (en) * 2004-06-30 2010-04-13 Intel Corporation Automated management system generating network policies based on correlated knowledge to modify operation of a computer network
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
US8463819B2 (en) * 2004-09-01 2013-06-11 Oracle International Corporation Centralized enterprise security policy framework
KR100611741B1 (ko) 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
CN100346610C (zh) * 2004-11-01 2007-10-31 沈明峰 基于安全策略的网络安全管理系统和方法
US7895650B1 (en) * 2004-12-15 2011-02-22 Symantec Corporation File system based risk profile transfer
US7734649B2 (en) * 2004-12-28 2010-06-08 Intel Corporation Deriving and using data access control information to determine whether to permit derivations of data elements
US20060167818A1 (en) * 2005-01-21 2006-07-27 David Wentker Methods and system for performing data exchanges related to financial transactions over a public network
US20060184490A1 (en) * 2005-02-11 2006-08-17 Itamar Heim System and method for enterprise policy management
US20060191007A1 (en) * 2005-02-24 2006-08-24 Sanjiva Thielamay Security force automation
JP2006252109A (ja) * 2005-03-10 2006-09-21 Oki Electric Ind Co Ltd ネットワークアクセス制御装置、遠隔操作用装置及びシステム
JP4648100B2 (ja) * 2005-06-08 2011-03-09 大日本印刷株式会社 Pkiの環境設定方法、クライアントサーバシステムおよびコンピュータプログラム
US7827593B2 (en) * 2005-06-29 2010-11-02 Intel Corporation Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control
US7590733B2 (en) * 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
WO2007092401A2 (en) * 2006-02-06 2007-08-16 William Loesch Utilizing a token for authentication with multiple secure online sites
US20070192823A1 (en) * 2006-02-09 2007-08-16 Novell, Inc. Policy administration and provisioning
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070192858A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
EP1826979A1 (en) * 2006-02-27 2007-08-29 BRITISH TELECOMMUNICATIONS public limited company A system and method for establishing a secure group of entities in a computer network
US8856862B2 (en) * 2006-03-02 2014-10-07 British Telecommunications Public Limited Company Message processing methods and systems
US7703126B2 (en) * 2006-03-31 2010-04-20 Intel Corporation Hierarchical trust based posture reporting and policy enforcement
GB2468799B (en) * 2006-03-31 2011-04-06 Intel Corp Hierarchical trust based posture reporting and policy enforcement
CN1863093A (zh) * 2006-04-06 2006-11-15 华为技术有限公司 一种策略执行点及其与入侵检测系统联动的方法
US8554536B2 (en) * 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
US20070288989A1 (en) * 2006-06-09 2007-12-13 Nokia Corporation Method, electronic device, apparatus, system and computer program product for updating an electronic device security policy
US20080068183A1 (en) * 2006-09-15 2008-03-20 Diamant John R Methods and apparatus for accessing, or providing access to, user-configurable or different response policies for different duress codes
EP2108147B1 (en) * 2006-10-20 2017-03-08 Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada Method and apparatus for software policy management
WO2008046218A1 (en) * 2006-10-20 2008-04-24 Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada Method and apparatus for creating a configurable browser-based forms application
US7954143B2 (en) * 2006-11-13 2011-05-31 At&T Intellectual Property I, Lp Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
US8190661B2 (en) * 2007-01-24 2012-05-29 Microsoft Corporation Using virtual repository items for customized display
US7908660B2 (en) * 2007-02-06 2011-03-15 Microsoft Corporation Dynamic risk management
US20080201330A1 (en) * 2007-02-16 2008-08-21 Microsoft Corporation Software repositories
US8145673B2 (en) 2007-02-16 2012-03-27 Microsoft Corporation Easily queriable software repositories
EP1975830A1 (en) * 2007-03-30 2008-10-01 British Telecommunications Public Limited Company Distributed computer system
EP1976220A1 (en) * 2007-03-30 2008-10-01 British Telecommunications Public Limited Company Computer network
US7770203B2 (en) * 2007-04-17 2010-08-03 International Business Machines Corporation Method of integrating a security operations policy into a threat management vector
US7831625B2 (en) 2007-05-16 2010-11-09 Microsoft Corporation Data model for a common language
US8341739B2 (en) * 2007-05-24 2012-12-25 Foundry Networks, Llc Managing network security
US8661534B2 (en) * 2007-06-26 2014-02-25 Microsoft Corporation Security system with compliance checking and remediation
US8935805B2 (en) * 2007-07-11 2015-01-13 International Business Machines Corporation Method and system for enforcing password policy in a distributed directory
WO2009030172A1 (fr) * 2007-09-06 2009-03-12 Huawei Technologies Co., Ltd. Procédé et système pour contrôler un service de réseau
CN101861578B (zh) * 2007-09-28 2012-11-28 埃克斯里昂股份公司 网络操作系统
US8793781B2 (en) * 2007-10-12 2014-07-29 International Business Machines Corporation Method and system for analyzing policies for compliance with a specified policy using a policy template
CN101350054B (zh) * 2007-10-15 2011-05-25 北京瑞星信息技术有限公司 计算机有害程序自动防护方法及装置
CN101350052B (zh) * 2007-10-15 2010-11-03 北京瑞星信息技术有限公司 发现计算机程序的恶意行为的方法和装置
US8516539B2 (en) * 2007-11-09 2013-08-20 Citrix Systems, Inc System and method for inferring access policies from access event records
US8990910B2 (en) 2007-11-13 2015-03-24 Citrix Systems, Inc. System and method using globally unique identities
US9240945B2 (en) 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
US20090254970A1 (en) * 2008-04-04 2009-10-08 Avaya Inc. Multi-tier security event correlation and mitigation
US8095963B2 (en) * 2008-04-30 2012-01-10 Microsoft Corporation Securing resource stores with claims-based security
US8943575B2 (en) * 2008-04-30 2015-01-27 Citrix Systems, Inc. Method and system for policy simulation
EP2136530B1 (en) * 2008-05-28 2019-04-03 ABB Research Ltd. Collaborative defense of energy distribution protection and control devices
CN101651537B (zh) * 2008-08-15 2013-07-10 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
WO2010048977A1 (de) * 2008-10-29 2010-05-06 Siemens Aktiengesellschaft Verfahren zum schutz eines versorgungsnetzwerkes
US8990573B2 (en) 2008-11-10 2015-03-24 Citrix Systems, Inc. System and method for using variable security tag location in network communications
US8745361B2 (en) 2008-12-02 2014-06-03 Microsoft Corporation Sandboxed execution of plug-ins
JP5191376B2 (ja) * 2008-12-25 2013-05-08 株式会社野村総合研究所 リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法
US8434126B1 (en) * 2009-02-02 2013-04-30 Symantec Corporation Methods and systems for aiding parental control policy decisions
US20100205014A1 (en) * 2009-02-06 2010-08-12 Cary Sholer Method and system for providing response services
TWI479354B (zh) * 2009-06-17 2015-04-01 Fineart Technology Co Ltd 資訊安全管理系統
US8095571B2 (en) * 2009-06-22 2012-01-10 Microsoft Corporation Partitioning modeling platform data
US8966607B2 (en) * 2009-07-15 2015-02-24 Rockstar Consortium Us Lp Device programmable network based packet filter
US8601573B2 (en) * 2009-09-17 2013-12-03 International Business Machines Corporation Facial recognition for document and application data access control
US8635705B2 (en) * 2009-09-25 2014-01-21 Intel Corporation Computer system and method with anti-malware
US8489534B2 (en) * 2009-12-15 2013-07-16 Paul D. Dlugosch Adaptive content inspection
US8806620B2 (en) * 2009-12-26 2014-08-12 Intel Corporation Method and device for managing security events
US8868728B2 (en) * 2010-03-11 2014-10-21 Accenture Global Services Limited Systems and methods for detecting and investigating insider fraud
CN102075347B (zh) * 2010-11-18 2013-11-20 北京神州绿盟信息安全科技股份有限公司 一种安全配置核查设备和方法以及采用该设备的网络系统
US20120216281A1 (en) * 2011-02-22 2012-08-23 PCTEL Secure LLC Systems and Methods for Providing a Computing Device Having a Secure Operating System Kernel
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
EP2551803A1 (en) * 2011-07-29 2013-01-30 British Telecommunications Public Limited Company Distributed computer system
US9026632B2 (en) 2012-03-15 2015-05-05 Adva Optical Networking Se Network with a network wide extended policy framework
EP2640003B1 (en) * 2012-03-15 2014-05-14 ADVA Optical Networking SE Network with a network wide extended policy framework
US8539548B1 (en) 2012-04-27 2013-09-17 International Business Machines Corporation Tiered network policy configuration with policy customization control
US8984582B2 (en) * 2012-08-14 2015-03-17 Confidela Ltd. System and method for secure synchronization of data across multiple computing devices
US9124619B2 (en) * 2012-12-08 2015-09-01 International Business Machines Corporation Directing audited data traffic to specific repositories
US9369431B1 (en) * 2013-02-07 2016-06-14 Infoblox Inc. Security device controller
CN103634156A (zh) * 2013-12-17 2014-03-12 中国联合网络通信集团有限公司 一种集中式管控网络安全的方法、设备和系统
US9432405B2 (en) 2014-03-03 2016-08-30 Microsoft Technology Licensing, Llc Communicating status regarding application of compliance policy updates
US9860281B2 (en) 2014-06-28 2018-01-02 Mcafee, Llc Social-graph aware policy suggestion engine
US9990505B2 (en) 2014-08-12 2018-06-05 Redwall Technologies, Llc Temporally isolating data accessed by a computing device
US9712382B2 (en) * 2014-10-27 2017-07-18 Quanta Computer Inc. Retrieving console messages after device failure
WO2016094472A1 (en) * 2014-12-09 2016-06-16 Trustlayers, Inc. System and method for enabling tracking of data usage
US10129156B2 (en) * 2015-03-31 2018-11-13 At&T Intellectual Property I, L.P. Dynamic creation and management of ephemeral coordinated feedback instances
WO2016159964A1 (en) * 2015-03-31 2016-10-06 Hewlett Packard Enterprise Development Lp Network policy distribution
US10277666B2 (en) * 2015-03-31 2019-04-30 At&T Intellectual Property I, L.P. Escalation of feedback instances
US10129157B2 (en) * 2015-03-31 2018-11-13 At&T Intellectual Property I, L.P. Multiple feedback instance inter-coordination to determine optimal actions
TWI514178B (zh) * 2015-04-14 2015-12-21 Prophetstor Data Services Inc 用於軟體定義網路中資料庫、應用程式,與儲存安全的系統
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US9641540B2 (en) 2015-05-19 2017-05-02 Cisco Technology, Inc. User interface driven translation, comparison, unification, and deployment of device neutral network security policies
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection
CN105258952B (zh) * 2015-10-26 2018-01-16 北京汽车股份有限公司 汽车peps自动测试系统
EP3384390A4 (en) * 2015-12-02 2019-07-31 Power Fingerprinting Inc. METHOD AND DEVICES FOR VALIDATING A SUPPLY CHAIN FOR ELECTRONIC DEVICES WITH SIDE CHANNEL INFORMATION IN A SIGNATURE ANALYSIS
CN105357056A (zh) * 2015-12-07 2016-02-24 成都广达新网科技股份有限公司 一种基于策略的eoc局端设备升级方法
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10505990B1 (en) 2016-01-20 2019-12-10 F5 Networks, Inc. Methods for deterministic enforcement of compliance policies and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10601872B1 (en) * 2016-01-20 2020-03-24 F5 Networks, Inc. Methods for enhancing enforcement of compliance policies based on security violations and devices thereof
US10200409B2 (en) * 2016-04-07 2019-02-05 Korea Electric Power Corporation Apparatus and method for security policy management
US10313396B2 (en) 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data
KR101969203B1 (ko) * 2016-12-23 2019-04-15 전자부품연구원 IoT 기반의 공장 통합 관리 시스템에 의한 공장 데이터 보안 관리 방법
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US10146964B1 (en) * 2017-06-06 2018-12-04 Intel Corporation Security policy management for a plurality of dies in a system-on-chip
US10560487B2 (en) * 2017-07-26 2020-02-11 International Business Machines Corporation Intrusion detection and mitigation in data processing
US10599668B2 (en) * 2017-10-31 2020-03-24 Secureworks Corp. Adaptive parsing and normalizing of logs at MSSP
EP3509004A1 (en) * 2018-01-03 2019-07-10 Siemens Aktiengesellschaft Adaption of mac policies in industrial devices
US11888606B2 (en) 2018-02-02 2024-01-30 British Telecommunications Public Limited Company Monitoring of distributed systems
US11044271B1 (en) * 2018-03-15 2021-06-22 NortonLifeLock Inc. Automatic adaptive policy based security
US10855702B2 (en) 2018-06-06 2020-12-01 Reliaquest Holdings, Llc Threat mitigation system and method
US11709946B2 (en) 2018-06-06 2023-07-25 Reliaquest Holdings, Llc Threat mitigation system and method
US11036198B2 (en) 2018-08-30 2021-06-15 British Telecommunications Public Limited Company Monitoring of distributed systems with measuring effectiveness of a first policy to derive a satisfaction measure
US11212322B2 (en) * 2018-10-10 2021-12-28 Rockwelll Automation Technologies, Inc. Automated discovery of security policy from design data
USD926809S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926810S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926782S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926811S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926200S1 (en) 2019-06-06 2021-07-27 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
US11218500B2 (en) 2019-07-31 2022-01-04 Secureworks Corp. Methods and systems for automated parsing and identification of textual data
US11233742B2 (en) 2019-11-05 2022-01-25 Cisco Technology, Inc. Network policy architecture
CN111327601B (zh) * 2020-01-21 2022-08-30 广东电网有限责任公司广州供电局 异常数据响应方法、系统、装置、计算机设备和存储介质
CN111800408B (zh) * 2020-06-30 2022-09-30 深信服科技股份有限公司 策略配置装置、终端的安全策略配置方法和可读存储介质
US11968215B2 (en) 2021-12-16 2024-04-23 Bank Of America Corporation Distributed sensor grid for intelligent proximity-based clustering and authentication

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1143660A2 (en) * 1999-06-10 2001-10-10 Alcatel Internetworking, Inc. State transition protocol for high availability units
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07141296A (ja) * 1993-11-15 1995-06-02 Hitachi Ltd オープンな分散環境におけるセキュリティ管理装置
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US5978917A (en) * 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US6073089A (en) 1997-10-22 2000-06-06 Baker; Michelle Systems and methods for adaptive profiling, fault detection, and alert generation in a changing environment which is measurable by at least two different measures of state
US6484261B1 (en) * 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
US6457129B2 (en) 1998-03-31 2002-09-24 Intel Corporation Geographic location receiver based computer system security
US6735701B1 (en) * 1998-06-25 2004-05-11 Macarthur Investments, Llc Network policy management and effectiveness system
US6282546B1 (en) * 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
US6324656B1 (en) * 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6415321B1 (en) * 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
JP2000227855A (ja) 1999-02-05 2000-08-15 Nippon Telegr & Teleph Corp <Ntt> スクリプト記述生成方法及び装置及びスクリプト記述生成プログラムを格納した記憶媒体
US6380851B1 (en) * 1999-05-12 2002-04-30 Schlumberger Resource Management Services, Inc. Processing and presenting information received from a plurality of remote sensors
JP2001273388A (ja) 2000-01-20 2001-10-05 Hitachi Ltd セキュリティ管理システムおよび方法
US6604100B1 (en) * 2000-02-09 2003-08-05 At&T Corp. Method for converting relational data into a structured document
AU2001294083A1 (en) 2000-08-18 2002-02-25 Camelot Information Technologies Ltd. An adaptive system and architecture for access control
JP4574085B2 (ja) 2000-09-07 2010-11-04 富士通株式会社 仮想通信路および仮想通信路を制御するエージェント連携システムおよびエージェント連携方法
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US6766165B2 (en) * 2000-12-05 2004-07-20 Nortel Networks Limited Method and system for remote and local mobile network management
JP2002251374A (ja) 2000-12-20 2002-09-06 Fujitsu Ltd 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体
US7412721B2 (en) 2000-12-20 2008-08-12 Fujitsu Limited Method of and system for managing information, and computer product
JP3744361B2 (ja) 2001-02-16 2006-02-08 株式会社日立製作所 セキュリティ管理システム
US20020184525A1 (en) * 2001-03-29 2002-12-05 Lebin Cheng Style sheet transformation driven firewall access list generation
JP2003085139A (ja) 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
US8776230B1 (en) * 2001-10-02 2014-07-08 Mcafee, Inc. Master security policy server
US7836503B2 (en) * 2001-10-31 2010-11-16 Hewlett-Packard Development Company, L.P. Node, method and computer readable medium for optimizing performance of signature rule matching in a network
US7444679B2 (en) * 2001-10-31 2008-10-28 Hewlett-Packard Development Company, L.P. Network, method and computer readable medium for distributing security updates to select nodes on a network
US7047564B2 (en) * 2001-10-31 2006-05-16 Computing Services Support Solutions, Inc. Reverse firewall packet transmission control system
US20030084326A1 (en) * 2001-10-31 2003-05-01 Richard Paul Tarquini Method, node and computer readable medium for identifying data in a network exploit
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
IL149583A0 (en) * 2002-05-09 2003-07-06 Kavado Israel Ltd Method for automatic setting and updating of a security policy
US20070022155A1 (en) * 2002-08-22 2007-01-25 Owens David H Method and system for integrating enterprise software applications with desktop software applications
US8091117B2 (en) * 2003-02-14 2012-01-03 Preventsys, Inc. System and method for interfacing with heterogeneous network data gathering tools

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
EP1143660A2 (en) * 1999-06-10 2001-10-10 Alcatel Internetworking, Inc. State transition protocol for high availability units

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101315340B1 (ko) 2011-10-19 2013-10-08 주식회사 이노그리드 보안 크레디트 정보 처리 방법
KR20130138542A (ko) * 2012-06-11 2013-12-19 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
KR101928525B1 (ko) 2012-06-11 2018-12-13 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
KR102090757B1 (ko) * 2019-01-15 2020-03-19 주식회사 이글루시큐리티 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법
US11882125B2 (en) 2021-05-26 2024-01-23 Netskope, Inc. Selection of session protocol based on policies

Also Published As

Publication number Publication date
DE112004000428B4 (de) 2009-11-26
TWI253571B (en) 2006-04-21
GB2412540B (en) 2006-12-13
CN1768518A (zh) 2006-05-03
WO2004095801A1 (en) 2004-11-04
DE112004000428T5 (de) 2006-02-09
TW200500893A (en) 2005-01-01
GB2412540A (en) 2005-09-28
US10110632B2 (en) 2018-10-23
JP2006521598A (ja) 2006-09-21
GB0513404D0 (en) 2005-08-03
KR20050118223A (ko) 2005-12-15
US20040193912A1 (en) 2004-09-30
JP2009187587A (ja) 2009-08-20

Similar Documents

Publication Publication Date Title
KR100831483B1 (ko) 보안 정책을 관리하는 방법 및 시스템
US8185955B2 (en) Intrusion detection method and system, related network and computer program product therefor
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
US7779119B2 (en) Event monitoring and management
US20030135749A1 (en) System and method of defining the security vulnerabilities of a computer system
US7870598B2 (en) Policy specification framework for insider intrusions
US20090271504A1 (en) Techniques for agent configuration
US7926113B1 (en) System and method for managing network vulnerability analysis systems
US20030159060A1 (en) System and method of defining the security condition of a computer system
US20050216956A1 (en) Method and system for authentication event security policy generation
KR102033169B1 (ko) 지능형 보안로그 분석방법
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US20050203921A1 (en) System for protecting database applications from unauthorized activity
US20050120054A1 (en) Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications
US10567417B1 (en) Systems and methods for adaptive security protocols in a managed system
JP6933320B2 (ja) サイバーセキュリティフレームワークボックス
US20090249483A1 (en) Command and Control Systems for Cyber Warfare
KR102250147B1 (ko) 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역
Yurcik et al. UCLog+: a security data management system for correlating alerts, incidents, and raw data from remote logs
GB2381721A (en) system and method of defining unauthorised intrusions on a computer system by specifying data signatures and policies for attacks
Agbariah Automated policy compliance and change detection managed service in data networks
Joubert et al. Collection and Aggregation of Security Events
Gerhards et al. Remotely monitoring IIS log files

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130503

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140502

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150430

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160427

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170504

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180427

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee