RU2017118321A - Система и способ для обнаружения и предотвращения в реальном времени нарушений разграничения выполняемых задач в критически важных для бизнеса приложениях - Google Patents
Система и способ для обнаружения и предотвращения в реальном времени нарушений разграничения выполняемых задач в критически важных для бизнеса приложениях Download PDFInfo
- Publication number
- RU2017118321A RU2017118321A RU2017118321A RU2017118321A RU2017118321A RU 2017118321 A RU2017118321 A RU 2017118321A RU 2017118321 A RU2017118321 A RU 2017118321A RU 2017118321 A RU2017118321 A RU 2017118321A RU 2017118321 A RU2017118321 A RU 2017118321A
- Authority
- RU
- Russia
- Prior art keywords
- packet
- action
- software application
- sod
- alarm
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Claims (42)
1. Система, сконфигурированная для обнаружения и предотвращения в реальном времени нарушений разграничения выполняемых задач (SoD) в программном приложении, содержащая:
монитор программного приложения, выполненный с возможностью контролировать действие, выполняемое пользователем программного приложения, в режиме реального времени; и
подсистему обнаружения конфликтов SoD, содержащую процессор, выполненный с возможностью исполнения инструкций, хранящихся в запоминающем устройстве на долговременной основе, которыми при их исполнении выполняются этапы:
приема подсистемой обнаружения конфликтов SoD от монитора программного приложения уведомления о действии, содержащего действие и связанного с ним пользователя; и
определение того, является ли это действие конфликтующим действием, связанным с конфликтным правилом в базе данных конфликтных правил.
2. Система по п. 1, в которой монитор программного приложения дополнительно содержит инспектор пакетов, выполненный с возможностью осуществления этапов:
приема пакета протокола приложения из сети связи, сообщающейся с программным приложением;
определения того, находится ли порт назначения для этого пакета в пределах заданного диапазона;
формирования уведомления о действии, содержащего упомянутое действие; и
пересылки уведомления о действии в подсистему обнаружения конфликтов SoD.
3. Система по п. 2, в которой инспектор пакетов дополнительно содержит сборщик пакетов, выполненный с возможностью определять семейство протоколов упомянутого пакета в соответствии с портом назначения и/или структурой пакета этого пакета.
4. Система по п. 2, в которой сборщик пакетов дополнительно выполняет этап, на котором извлекают имя пользователя из упомянутого пакета и обновляют каталог соединений с использованием этой информации.
5. Система по п. 4, в которой сборщик пакетов дополнительно выполняет этапы:
определения того, сжат ли упомянутый пакет; и
распаковки данного пакета.
6. Система по п. 5, в которой сборщик пакетов дополнительно выполнен с возможностью осуществлять доступ к контекстной базе данных для определения семейства протоколов упомянутого пакета в соответствии с портом назначения для этого пакета.
7. Система по п. 5, в которой сборщик пакетов дополнительно выполнен с возможностью направлять упомянутый пакет в процессор протокола, связанный с упомянутым определенным семейством протоколов.
8. Система по п. 5, в которой сборщик пакетов дополнительно выполнен с возможностью обновления каталога соединений с использованием IP-адреса и порта источника и назначения упомянутого пакета.
9. Система по п. 1, в которой подсистема обнаружения SoD дополнительно выполняет этапы, на которых:
осуществляют запрос к организационно-экономической таблице и/или системной таблице в программном приложении;
проверяют, находятся ли два конфликтующих действия в общем производственном потоке; и
если два конфликтующих действия находятся в общем производственном потоке, выводят критический основанный на обнаружении сигнал тревоги.
10. Система по п. 1, в которой подсистема обнаружения SoD дополнительно выполнена с возможностью выполнения этапа обновления хронологической базы данных действий.
11. Система по п. 10, в которой процессор дополнительно выполняет этап определения действия пользователя в отношении периода времени.
12. Система по п. 11, в которой процессор дополнительно выполняет этап определения того, существовал ли пользователь в течение упомянутого периода времени.
13. Система по п. 12, в которой процессор дополнительно выполняет этап определения того, был ли пользователь разблокирован в течение упомянутого периода времени.
14. Система по п. 13, в которой процессор дополнительно выполняет этап определения того, выполнял ли пользователь конфликтующее действие в течение упомянутого периода времени.
15. Система по п. 14, в которой процессор дополнительно выполняет этап вывода сигнала тревоги.
16. Система по п. 15, в которой сигнал тревоги содержит одно из группы, состоящей из основанного на обнаружении сигнала тревоги и упреждающего сигнала тревоги.
17. Система по п. 2, в которой подсистема обнаружения SoD выполнена с возможностью выполнения этапа, на котором отыскивают пользователя и действие в таблице и устанавливают, имеет ли пользователь разрешение на выполнение действия и/или выполнял ли пользователь ранее действие, после приема уведомления о действии от монитора программного приложения.
18. Система по п. 2, в которой инспектор пакетов выполнен с возможностью осуществления этапа создания или обновления записи соединения в каталоге соединений, используя информацию, выбранную из группы, состоящей из источника IP, адресата и порта.
19. Система по п. 2, в которой инспектор пакетов выполнен с возможностью выполнения этапа извлечения из упомянутого пакета действие из группы, состоящей из транзакции, отчета, события исполнения программы и назначения разрешений.
20. Система по п. 16, в которой упреждающий сигнал тревоги указывает на нарушение разграничения выполняемых задач.
21. Система по п. 16, в которой основанный на обнаружении сигнал тревоги указывает на выполнение действий, составляющих нарушение распределения выполняемых задач.
22. Система по п. 20, дополнительно содержащая экран устройства отображения, выполненный с возможностью показа визуального представления сигнала тревоги.
23. Система по п. 21, в которой сигнал тревоги пересылается другому приложению, связанному с системой через интерфейс программных приложений.
24. Система по п. 1, в которой программное приложение содержит критически важное для бизнеса приложение от SAP и/или Oracle.
25. Система по п. 24, в которой процессор дополнительно выполнен с возможностью выполнения этапов, на которых:
считывают стороннюю матрицу SoD; и
заполняют базу данных конфликтных правил в соответствии с содержимым матрицы SoD,
при этом матрица SoD дополнительно содержит множество записей, каждая из которых выражает несовместимое разрешение и/или роль в пределах критически важного для бизнеса приложения.
26. Система по п. 7, в которой процессор протокола содержит процессор, выполненный с возможностью обработки протокола, выбранного из группы, состоящей из SAP Dispatcher, SAPDIAG, протоколов SAP RFC/CPIC, протокола SAP ICM, HTTP, IIOP, SAP P4, протокола SAP HANA SQL/MDX, протокола JDENet, протоколов JD Edwards Agent, JMX и SOAP.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462068992P | 2014-10-27 | 2014-10-27 | |
| US62/068,992 | 2014-10-27 | ||
| PCT/US2015/057592 WO2016069608A1 (en) | 2014-10-27 | 2015-10-27 | Real-time segregation of duties for business-critical applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2017118321A true RU2017118321A (ru) | 2018-11-30 |
| RU2017118321A3 RU2017118321A3 (ru) | 2018-11-30 |
Family
ID=55792942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2017118321A RU2017118321A (ru) | 2014-10-27 | 2015-10-27 | Система и способ для обнаружения и предотвращения в реальном времени нарушений разграничения выполняемых задач в критически важных для бизнеса приложениях |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10257228B2 (ru) |
| EP (1) | EP3213208A4 (ru) |
| AU (1) | AU2015339448A1 (ru) |
| CA (1) | CA2965543A1 (ru) |
| RU (1) | RU2017118321A (ru) |
| WO (1) | WO2016069608A1 (ru) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9189644B2 (en) | 2012-12-20 | 2015-11-17 | Bank Of America Corporation | Access requests at IAM system implementing IAM data model |
| US9529629B2 (en) | 2012-12-20 | 2016-12-27 | Bank Of America Corporation | Computing resource inventory system |
| US9537892B2 (en) * | 2012-12-20 | 2017-01-03 | Bank Of America Corporation | Facilitating separation-of-duties when provisioning access rights in a computing system |
| US10298682B2 (en) | 2016-08-05 | 2019-05-21 | Bank Of America Corporation | Controlling device data collectors using omni-collection techniques |
| US11222133B1 (en) | 2017-11-13 | 2022-01-11 | Veeva Systems Inc. | User programmatic interface for supporting data access control in a database system |
| US10796013B2 (en) | 2017-11-13 | 2020-10-06 | Veeva Systems Inc. | User programmatic interface for supporting data access control in a database system |
| US11256661B1 (en) | 2017-11-13 | 2022-02-22 | Veeva Systems Inc. | User programmatic interface for supporting data access control in a database system |
| CN108462718A (zh) * | 2018-03-27 | 2018-08-28 | 南京红松信息技术有限公司 | 数据调度平台及其实现方法 |
| US20200097872A1 (en) * | 2018-09-25 | 2020-03-26 | Terry Hirsch | Systems and methods for automated role redesign |
| US20210326322A1 (en) * | 2020-04-17 | 2021-10-21 | Unisys Corporation | Change history |
| US11763014B2 (en) | 2020-06-30 | 2023-09-19 | Bank Of America Corporation | Production protection correlation engine |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7031267B2 (en) | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
| US7290256B2 (en) | 2001-02-26 | 2007-10-30 | International Business Machines Corporation | Separations-of-duties analysis tool for object-oriented integrated enterprise wide computing applications |
| AU2005223867A1 (en) | 2004-03-19 | 2005-09-29 | Stayton D. Addison | Methods and systems for transaction compliance monitoring |
| US7340469B1 (en) * | 2004-04-16 | 2008-03-04 | George Mason Intellectual Properties, Inc. | Implementing security policies in software development tools |
| US20060155738A1 (en) * | 2004-12-16 | 2006-07-13 | Adrian Baldwin | Monitoring method and system |
| EP1891524A4 (en) | 2005-05-23 | 2010-06-30 | Sap Governance Risk And Compli | ACCESS DEVICE ENFORCEMENT |
| US7962616B2 (en) | 2005-08-11 | 2011-06-14 | Micro Focus (Us), Inc. | Real-time activity monitoring and reporting |
| US8931057B2 (en) * | 2006-10-24 | 2015-01-06 | Avatier Corporation | Apparatus and method for access validation |
| DE602008001506D1 (de) * | 2008-06-12 | 2010-07-22 | Sap Ag | Sicherheitsaspekte von SOA |
| US8955115B2 (en) | 2012-07-06 | 2015-02-10 | Sap Se | Automatic generation of security checks |
-
2015
- 2015-10-27 US US14/923,491 patent/US10257228B2/en active Active
- 2015-10-27 WO PCT/US2015/057592 patent/WO2016069608A1/en active Application Filing
- 2015-10-27 AU AU2015339448A patent/AU2015339448A1/en not_active Abandoned
- 2015-10-27 EP EP15855681.1A patent/EP3213208A4/en not_active Withdrawn
- 2015-10-27 CA CA2965543A patent/CA2965543A1/en not_active Abandoned
- 2015-10-27 RU RU2017118321A patent/RU2017118321A/ru not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| CA2965543A1 (en) | 2016-05-06 |
| US10257228B2 (en) | 2019-04-09 |
| AU2015339448A1 (en) | 2017-05-18 |
| RU2017118321A3 (ru) | 2018-11-30 |
| EP3213208A1 (en) | 2017-09-06 |
| EP3213208A4 (en) | 2018-05-30 |
| WO2016069608A1 (en) | 2016-05-06 |
| US20160119380A1 (en) | 2016-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2017118321A (ru) | Система и способ для обнаружения и предотвращения в реальном времени нарушений разграничения выполняемых задач в критически важных для бизнеса приложениях | |
| US9069984B2 (en) | On-demand authorization management | |
| CA3000176C (en) | Policy enforcement system | |
| US8768963B2 (en) | Methods and systems for detecting skewed data in a multitenant database environment | |
| RU2019112875A (ru) | Улучшения эффективности в приложениях администрирования задач | |
| ES2544465T3 (es) | Supervisión de la actividad del usuario en dispositivos móviles inteligentes | |
| JP2012230667A5 (ru) | ||
| JP2014512039A5 (ru) | ||
| TW201731313A (zh) | 通訊過程中的關係及任務提示方法、裝置 | |
| WO2020125265A1 (zh) | 容器的业务监控方法、系统和计算机可读存储介质 | |
| US9779174B2 (en) | Framework for anonymous reporting of social incidents | |
| CN106156126B (zh) | 处理数据任务中的数据冲突检测方法及服务器 | |
| US20210374759A1 (en) | Physical proximity graphing | |
| WO2015085456A1 (zh) | 服务器集群下的日志提取方法和服务器集群 | |
| US20160065436A1 (en) | Identifying a cloud service using machine learning and online data | |
| WO2017035540A4 (en) | Notification system for providing a network service | |
| US20150242063A1 (en) | Contextually relevant digital collaboration | |
| CN106992975B (zh) | 恶意网址识别方法及装置 | |
| CN110784377A (zh) | 一种多云环境下的云监控数据统一管理的方法 | |
| GB201211270D0 (en) | An apparatus for processing one or more events | |
| TW201544986A (zh) | 資料的唯一性控制方法、資訊儲存方法及裝置 | |
| US10678612B2 (en) | Event messaging system for multi-cloud computing environments | |
| CN106415684A (zh) | 威胁检测信息分配系统及方法 | |
| US20230105901A1 (en) | Techniques for providing cloud services on demand | |
| US20180166068A1 (en) | Cloud And Name Optimized Speech Recognition |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FA92 | Acknowledgement of application withdrawn (lack of supplementary materials submitted) |
Effective date: 20181203 |