RU2573782C1 - System and method of setting up computer system according to security policy - Google Patents

System and method of setting up computer system according to security policy Download PDF

Info

Publication number
RU2573782C1
RU2573782C1 RU2014130724/08A RU2014130724A RU2573782C1 RU 2573782 C1 RU2573782 C1 RU 2573782C1 RU 2014130724/08 A RU2014130724/08 A RU 2014130724/08A RU 2014130724 A RU2014130724 A RU 2014130724A RU 2573782 C1 RU2573782 C1 RU 2573782C1
Authority
RU
Russia
Prior art keywords
computer system
specific configuration
configuration
instruction
security policy
Prior art date
Application number
RU2014130724/08A
Other languages
Russian (ru)
Inventor
Андрей Александрович Кулага
Андрей Александрович Правдивый
Денис Александрович Минченко
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014130724/08A priority Critical patent/RU2573782C1/en
Application granted granted Critical
Publication of RU2573782C1 publication Critical patent/RU2573782C1/en

Links

Images

Abstract

FIELD: information technology.
SUBSTANCE: system for setting up a computer system according to a security policy comprises policy application means for determining computer system configuration data and subsequent transmission thereof to instruction generating means, setting up the computer system according to a selected security policy, checking the proper operation of the computer system after the setup; a security policy database; instruction generating means for selecting a security policy according to the defined computer system configuration and existing security policies from the security policy database, generating an instruction upon the change of the defined computer system configuration, where at least one executable instruction is generated in the form of a self-launching file; files and distribution packages are added to the generated instruction for the correct execution of the generated executable instruction.
EFFECT: corporate network security.
10 cl, 3 dwg

Description

Область техникиTechnical field

Изобретение относится к системам и способам применения политик безопасности.The invention relates to systems and methods for applying security policies.

Уровень техникиState of the art

В настоящее время персональные компьютерные системы пользователей все чаще используются в рабочих целях в офисе организации. При таком подходе важно, чтобы информационная безопасность компьютерной инфраструктуры организации не подвергалась угрозе.Currently, personal computer systems of users are increasingly used for business purposes in the organization’s office. With this approach, it is important that the information security of the organization’s computer infrastructure is not compromised.

Для того чтобы временно и безопасно ввести компьютерную систему сотрудника в компьютерную инфраструктуру организации, необходимо разграничить доступ к информации. Разграничение доступа обычно реализуется при помощи политик безопасности. Для применения на компьютерной системе политик безопасности необходимо выполнить множество действий. Требованиями политик могут быть, например, установка или удаление программного обеспечения (ПО), отключение или активация конкретного устройства, например Bluetooth-адаптера, настройка параметров соединения или работы программ и устройств и т.д.In order to temporarily and safely enter an employee’s computer system into the organization’s computer infrastructure, it is necessary to differentiate access to information. Access control is usually implemented using security policies. To apply security policies to a computer system, many actions must be performed. The requirements of the policies can be, for example, installing or removing software (software), disabling or activating a specific device, such as a Bluetooth adapter, configuring the connection or operation of programs and devices, etc.

Не все, даже опытные, сотрудники имеют возможность выполнить вышеописанный перечень действий, настроить свою персональную компьютерную систему в соответствии с требованиями политики безопасности инфраструктуры организации и начать работу на персональной компьютерной системе в офисе. Множество производителей устройств и ПО, сложность настроек, ограниченный доступ к информации о настройках - эти и другие причины затрудняют настройку неизвестной компьютерной системы.Not all, even experienced, employees have the ability to perform the above list of actions, configure their personal computer system in accordance with the requirements of the organization’s infrastructure security policy and start working on a personal computer system in the office. Many manufacturers of devices and software, complexity of settings, limited access to information about settings - these and other reasons make it difficult to configure an unknown computer system.

Также следует учитывать текущее состояние компьютерной системы. В случаях, когда компьютерная система имеет ряд программ и настроек, наличие которых является требованием политики безопасности, процесс настройки новой компьютерной системы в соответствии с требованиями политик безопасности может быть существенно упрощен.You should also consider the current state of the computer system. In cases where a computer system has a number of programs and settings, the presence of which is a requirement of a security policy, the process of setting up a new computer system in accordance with the requirements of security policies can be greatly simplified.

В настоящее время существует ряд решений, предназначенных для оптимизации процесса применения политики безопасности.Currently, there are a number of solutions designed to optimize the process of applying security policies.

В публикации US 6799197 B1 описана процедура развертывания политики безопасности на компьютерной системе. Развертывание политики безопасности осуществляется при помощи агента и сервера управления политиками. Для развертывания политики формируется установочный пакет, который впоследствии передается и устанавливается на устройстве. Управление политиками безопасности осуществляется через публичную сеть, Интернет или электронную почту.US Pat. No. 6,799,197 B1 describes the deployment of a security policy on a computer system. Security policies are deployed using the agent and policy management server. To deploy the policy, an installation package is generated, which is subsequently transferred and installed on the device. Security policies are managed through a public network, the Internet, or email.

В публикации US 7665125 B2 представлен алгоритм определения и установки политики безопасности мобильной компьютерной системы на основе данных о пользователе. Сервер (в том числе и веб-сервер) определяет необходимую политику и роль мобильной компьютерной системы для пользователя. Затем агент производит установку и настройку приложений в рамках политики безопасности с использованием пакетов установки для политики безопасности.The publication US 7665125 B2 presents an algorithm for determining and setting a security policy for a mobile computer system based on user data. The server (including the web server) determines the necessary policy and the role of the mobile computer system for the user. The agent then installs and configures the applications as part of the security policy using the installation packages for the security policy.

Указанные решения позволяют лишь частично упростить настройку новой компьютерной системы в соответствии с требованиями политики безопасности. Настоящее изобретение представляет более эффективное решение задачи оптимизации процесса применения политики безопасности.These solutions allow only partially simplifying the configuration of a new computer system in accordance with the requirements of a security policy. The present invention provides a more effective solution to the problem of optimizing the process of applying security policies.

Раскрытие изобретенияDisclosure of invention

Изобретение относится к системам и способам настройки компьютерной системы в соответствии с требованиями политик безопасности. Технический результат настоящего изобретения заключается в обеспечении безопасности корпоративной сети за счет настройки компьютерной системы, с использованием которой осуществлена попытка доступа к корпоративной сети, в соответствии с политикой безопасности.The invention relates to systems and methods for configuring a computer system in accordance with the requirements of security policies. The technical result of the present invention is to ensure the security of the corporate network by setting up a computer system using which an attempt was made to access the corporate network in accordance with the security policy.

Указанный технический результат достигается за счет настройки компьютерной системы путем формирования и выполнения инструкций по изменению конфигурации компьютерной системы.The specified technical result is achieved by setting up a computer system by generating and following instructions for changing the configuration of a computer system.

Система настройки компьютерной системы в соответствии с политикой безопасности, которая содержит: по крайней мере, одну компьютерную систему, с использованием которой осуществлена попытка доступа к корпоративной сети; средство применения политик, предназначенное для определения данных о конфигурации упомянутой компьютерной системы и их последующей передачи средству формирования инструкций, настройки упомянутой компьютерной системы в соответствии с выбранной политикой безопасности путем выполнения, по крайней мере, одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы; базу данных политик безопасности, предназначенную для хранения политик безопасности для компьютерных систем; средство формирования инструкций, предназначенное для выбора политики безопасности, применимой к упомянутой компьютерной системе в соответствии с определенной конфигурацией упомянутой компьютерной системы и существующими политиками безопасности из базы данных политик безопасности, формирования, по крайней мере, одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы для настройки упомянутой компьютерной системы в соответствии с выбранной политикой безопасности и передачи сформированной инструкции средству применения политик.A system for configuring a computer system in accordance with a security policy that contains: at least one computer system using which an attempt was made to access a corporate network; means for applying policies designed to determine configuration data of said computer system and then transmit them to a tool for generating instructions, configure said computer system in accordance with a selected security policy by executing at least one instruction for changing a specific configuration of said computer system; Security policy database for storing security policies for computer systems means for generating instructions for selecting a security policy applicable to said computer system in accordance with a specific configuration of said computer system and existing security policies from a database of security policies, generating at least one instruction for changing a specific configuration of said computer system to configure the said computer system in accordance with the selected security policy and the transmission of the generated instructions and a policy enforcement tool.

В частном случае реализации системы средство применения политик выполняет определение конфигурации упомянутой компьютерной системы путем сбора информации, по крайней мере, о типе компьютерной системы и состоянии программного обеспечения и устройств упомянутой компьютерной системы.In the particular case of the system implementation, the policy enforcement tool determines the configuration of the said computer system by collecting information at least about the type of computer system and the state of the software and devices of the said computer system.

В другом частном случае реализации системы средство применения политик для определения конфигурации упомянутой компьютерной системы пересылает на упомянутую компьютерную систему ссылку.In another particular embodiment of the system, the means of applying policies to determine the configuration of said computer system sends a link to said computer system.

Еще в одном частном случае реализации системы средство применения политик при переходе по ссылке скачивает и запускает на упомянутой компьютерной системе управляющую программу.In another particular case of implementing the system, the policy enforcement tool, when clicking on the link, downloads and runs a control program on the mentioned computer system.

В частном случае реализации системы средство применения политик при помощи запущенной управляющей программы определяет конфигурацию упомянутой компьютерной системы.In the particular case of system implementation, the means of applying policies using the running control program determines the configuration of the computer system.

В другом частном случае реализации системы средство применения политик при переходе по ссылке запускает выполнение сценариев на странице.In another particular case of the system implementation, the policy enforcement tool, when clicking on the link, starts the execution of scripts on the page.

Еще в одном частном случае реализации системы средство применения политик при помощи запущенных сценариев определяет конфигурацию упомянутой компьютерной системы.In another particular case of system implementation, the means of applying policies using running scripts determines the configuration of the said computer system.

В частном случае реализации системы средство применения политик при помощи запущенной управляющей программы выполняет, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.In the particular case of system implementation, the policy enforcement tool, using the running control program, executes at least one instruction for changing a specific configuration of the said computer system.

В другом частном случае реализации системы средство применения политик при помощи запущенных сценариев на странице из ссылки выполняет, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.In another particular case of implementing the system, the means of applying policies using running scripts on a page from a link executes at least one instruction for changing a specific configuration of the said computer system.

Еще в одном частном случае реализации системы средство применения политик после настройки упомянутой компьютерной системы выполняет проверку корректности работы упомянутой компьютерной системы.In another particular case of the system implementation, the policy enforcement tool, after setting up said computer system, checks the correct operation of said computer system.

Способ настройки компьютерной системы в соответствии с политикой безопасности, в котором с использованием компьютерной системы осуществляют доступ к корпоративной сети; при помощи средства применения политик определяют конфигурацию упомянутой компьютерной системы; при помощи средства формирования инструкций выбирают политику безопасности, применимую к упомянутой компьютерной системе в соответствии с определенной конфигурацией упомянутой компьютерной системы и существующими политиками безопасности; при помощи средства формирования инструкций формируют, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы для настройки упомянутой компьютерной системы в соответствии с выбранной политикой безопасности; при помощи средства применения политик настраивают упомянутую компьютерную систему в соответствии с выбранной политикой безопасности, выполняя, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.A method for setting up a computer system in accordance with a security policy, in which using a computer system access to a corporate network; using the policy enforcement tool, the configuration of the computer system is determined; using the tool for generating instructions, select a security policy applicable to said computer system in accordance with a specific configuration of said computer system and existing security policies; using the tool for generating instructions form at least one instruction for changing a specific configuration of said computer system to configure said computer system in accordance with the selected security policy; using the policy enforcement tool, configure the computer system in accordance with the selected security policy by executing at least one instruction for changing a specific configuration of the computer system.

В частном случае реализации способа выполняют определение конфигурации упомянутой компьютерной системы путем сбора информации, по крайней мере, о типе компьютерной системы и состоянии программного обеспечения и устройств упомянутой компьютерной системы.In the particular case of the method, the configuration of said computer system is carried out by collecting information, at least about the type of computer system and the state of the software and devices of said computer system.

Еще в одном частном случае реализации способа для определения конфигурации пересылают на упомянутую компьютерную систему ссылку.In another particular case of the implementation of the method for determining the configuration, a link is sent to the computer system.

В другом частном случае реализации способа при переходе по ссылке скачивают и запускают на упомянутой компьютерной системе управляющую программу.In another particular case of the implementation of the method, when clicking on the link, a control program is downloaded and launched on the said computer system.

В частном случае реализации способа при помощи запущенной управляющей программы определяют конфигурацию упомянутой компьютерной системы.In the particular case of implementing the method using the running control program, the configuration of said computer system is determined.

Еще в одном частном случае реализации способа при переходе по ссылке запускают выполнение сценариев на странице.In another particular case of the implementation of the method, when clicking on the link, scripts are launched on the page.

В другом частном случае реализации способа при помощи запущенных сценариев определяют конфигурацию упомянутой компьютерной системы.In another particular case, the implementation of the method using running scripts determines the configuration of the aforementioned computer system.

В частном случае реализации способа при помощи управляющей программы выполняют, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.In the particular case of implementing the method using the control program, at least one instruction for changing a specific configuration of said computer system is executed.

Еще в одном частном случае реализации способа при помощи исполняемых сценариев на странице из ссылки выполняют, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.In another particular case of implementing the method using executable scripts on a page from a link, at least one instruction for changing a specific configuration of said computer system is executed.

В частном случае реализации способа после настройки упомянутой компьютерной системы выполняют проверку корректности работы упомянутой компьютерной системы.In the particular case of implementing the method, after setting up said computer system, the correct operation of said computer system is checked.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 отображает структурную схему системы настройки компьютерной системы в соответствии с политикой безопасности.FIG. 1 shows a block diagram of a computer system configuration system in accordance with a security policy.

Фиг. 2 иллюстрирует алгоритм работы системы настройки компьютерной системы в соответствии с политикой безопасности.FIG. 2 illustrates the operation algorithm of a computer system configuration system in accordance with a security policy.

Фиг. 3 представляет пример компьютерной системы общего назначения.FIG. 3 represents an example of a general purpose computer system.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may have various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to its specific embodiment. On the contrary, the purpose of the description is to cover all changes, modifications that are included in the scope of this invention, as defined by the attached formula.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details necessary to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

Под компьютерной инфраструктурой организации подразумевают совокупность всех компьютерных систем, используемых организацией для работы.Under the computer infrastructure of the organization means the totality of all the computer systems used by the organization to work.

Компьютерная система - это устройство или группа взаимосвязанных или смежных устройств, одно или более из которых, действуя в соответствии с программой, осуществляет автоматизированную обработку данных.A computer system is a device or a group of interconnected or adjacent devices, one or more of which, acting in accordance with the program, carries out automated data processing.

В организациях, где действует разграничение прав доступа к информации, применяют политики безопасности. Политика безопасности -это совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.Organizations with differentiated access rights to information apply security policies. Security policy is a set of security guidelines, rules, procedures and practices that govern the management, protection and distribution of valuable information.

Компьютерные системы, которые используют сотрудники организации, настроены с учетом политик безопасности. Сотрудник, используя ненастроенную компьютерную систему для работы в организации, не имеет доступа к корпоративной сети в полном объеме. В случае, когда сотрудник организации принимает решение использовать свою собственную персональную компьютерную систему, чтобы получить доступ к закрытой информации, возникает необходимость настроить его персональную компьютерную систему в соответствии с политиками безопасности.The computer systems used by the organization’s employees are configured with security policies in mind. An employee using an unconfigured computer system to work in an organization does not have full access to the corporate network. In the event that an employee of the organization decides to use his own personal computer system to gain access to sensitive information, it becomes necessary to configure his personal computer system in accordance with security policies.

Для того чтобы быстро настроить компьютерную систему в соответствии с требованиями политик безопасности, используют систему настройки компьютерной системы в соответствии с политикой безопасности.In order to quickly configure the computer system in accordance with the requirements of security policies, use the computer system configuration system in accordance with the security policy.

Фиг. 1 отображает структурную схему системы настройки компьютерной системы в соответствии с политикой безопасности. Система настройки компьютерной системы в соответствии с политикой безопасности состоит, по крайней мере, из одной компьютерной системы 110, с использованием которой осуществлена попытка доступа к корпоративной сети, средства применения политик 120, средства формирования инструкций 130, базы данных политик безопасности 140, базы данных ПО 150.FIG. 1 shows a block diagram of a computer system configuration system in accordance with a security policy. The computer system configuration system in accordance with the security policy consists of at least one computer system 110, using which an attempt was made to access the corporate network, tools for applying policies 120, tools for generating instructions 130, security policies database 140, software databases 150.

Пользователь начинает работу с компьютерной системой 110, с использованием которой осуществляет попытку доступа к корпоративной сети. Средство применения политик 120 предназначено для определения конфигурации упомянутой компьютерной системы 110, передачи данных об определенной конфигурации упомянутой компьютерной системы 110 средству формирования инструкций 130. Помимо этого средство применения политик 120 предназначено для настройки упомянутой компьютерной системы 110 в соответствии с выбранной политикой безопасности путем выполнения, по крайней мере, одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы 110.The user begins to work with the computer system 110, using which makes an attempt to access the corporate network. The policy enforcement tool 120 is intended to determine the configuration of said computer system 110, transmitting data about a specific configuration of said computer system 110 to the instruction generating tool 130. In addition, the policy enforcement tool 120 is intended to configure said computer system 110 in accordance with a selected security policy by performing at least one instruction for changing a specific configuration of said computer system 110.

Таким образом, после того как с использованием упомянутой компьютерной системы 110 была осуществлена попытка доступа к корпоративной сети, средство применения политик 120 инициирует определение конфигурации упомянутой компьютерной системы 110.Thus, after using the computer system 110 an attempt was made to access the corporate network, the policy enforcement tool 120 initiates a configuration determination of the computer system 110.

К конфигурации можно отнести информацию о типе компьютерной системы и состоянии ПО и устройств компьютерной системы на момент определения. По типу компьютерная система может быть, например, виртуальная, мобильная, стационарная и др. Под состоянием подразумевают версию ПО, операционной системы, наличие плагинов и т. д., также под состоянием понимают настройки устройств, которые входят в компьютерную систему, например сетевых карт, устройств чтения USB и т. д.The configuration can include information about the type of computer system and the status of the software and devices of the computer system at the time of determination. By type, a computer system can be, for example, virtual, mobile, stationary, etc. By a state is meant a version of software, an operating system, the presence of plug-ins, etc., also by a state are understood the settings of devices that are included in the computer system, for example, network cards USB readers, etc.

В одном из вариантов реализации, для того чтобы определить тип и состояние упомянутой компьютерной системы 110, средство применения политик 120 высылает ей сообщение, которое содержит ссылку. Пользователь, переходя по ссылке, подтверждает желание настроить упомянутую компьютерную систему для работы в корпоративной сети.In one embodiment, in order to determine the type and state of said computer system 110, the policy enforcement tool 120 sends it a message that contains a link. The user, following the link, confirms the desire to configure the mentioned computer system to work on the corporate network.

Ссылкой может быть часть документа (электронного письма, SMS, MMS и т.п.), ссылающаяся на другой элемент (команда, текст, заголовок, примечание, изображение) в самом документе, на другой объект (файл, каталог, приложение), расположенный на локальном диске или на сетевом ресурсе, либо на элементы этого объекта. Также ссылка может содержать команды на вызов сценариев, программ, библиотек или плагинов, встроенных в браузер или используемых в ОС.A link can be a part of a document (email, SMS, MMS, etc.) that refers to another element (command, text, title, note, image) in the document itself, to another object (file, directory, application) located on a local disk or on a network resource, or on elements of this object. A link may also contain commands for invoking scripts, programs, libraries, or plugins built into the browser or used in the OS.

В одном из вариантов реализации определение конфигурации компьютерной системы 110 может быть выполнено с помощью управляющей программы. В этом случае сообщение содержит ссылку, при переходе по которой осуществляется скачивание и запуск управляющей программы на упомянутой компьютерной системе 110.In one embodiment, the configuration of the computer system 110 may be performed using a control program. In this case, the message contains a link, upon clicking on which the control program is downloaded and launched on the said computer system 110.

Под управляющей программой понимают ПО, предназначенное для управления процессом настройки компьютерной системы в соответствии с требованиями политики безопасности. Управляющая программа является частью средства применения политики 120 и может частично выполнять предназначенные функции, например: сбор информации о типе и состоянии упомянутой компьютерной системы 110, передача информации о типе и состоянии упомянутой компьютерной системы 110 средству формирования пакетов 130, выполнять, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы 110.Under the control program understand software designed to control the process of setting up a computer system in accordance with the requirements of security policy. The control program is part of the policy enforcement tool 120 and may partially perform intended functions, for example: collecting information about the type and condition of said computer system 110, transmitting information about the type and condition of said computer system 110 to packet forming 130, at least one instructions for changing a specific configuration of said computer system 110.

В другом варианте реализации определение типа и состояния неизвестной компьютерной системы 110 может быть осуществлено при выполнении сценариев на странице при переходе по ссылке. Сценарии могут быть реализованы с использованием Java или Ajax, JavaScript команд, библиотек ActiveX, Net Framework и т. п. Сценарии формируются средством применения политики 120 и могут частично выполнять предназначенные функции, например: сбор информации о типе и состоянии упомянутой компьютерной системы 110, передача информации о типе и состоянии упомянутой компьютерной системы 110 средству формирования пакетов 130, выполнять, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы 110.In another embodiment, the determination of the type and state of an unknown computer system 110 may be carried out by running scripts on a page by clicking on a link. Scripts can be implemented using Java or Ajax, JavaScript commands, ActiveX libraries, Net Framework, etc. Scripts are generated by means of applying policy 120 and can partially perform intended functions, for example: collecting information about the type and status of the mentioned computer system 110, transmitting information about the type and condition of said computer system 110 to the packet forming means 130, to execute at least one instruction for changing a specific configuration of said computer system 110.

После определения конфигурации упомянутой компьютерной системы 110 средство применения политик 120 передает данные об определенной конфигурации средству формирования инструкций 130.After determining the configuration of said computer system 110, the policy enforcement tool 120 transmits the specific configuration data to the instruction generating tool 130.

Средство формирования инструкций 130 предназначено для выбора политики безопасности, применимой к упомянутой компьютерной системе в соответствии с определенной конфигурацией упомянутой компьютерной системы 110 и существующими политиками безопасности из базы данных политики безопасности 140. Помимо этого средство формирования инструкций 130 предназначено для формирования, по крайней мере, одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы 110 для настройки упомянутой компьютерной системы 110 в соответствии с выбранной политикой безопасности. Также средство формирования пакетов 130 предназначено для передачи, по крайней мере, одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы 110 средству применения политик 120.The tool for generating instructions 130 is intended to select a security policy applicable to said computer system in accordance with a specific configuration of said computer system 110 and existing security policies from the security policy database 140. In addition, the tool for generating instructions 130 is intended to generate at least one instructions for changing a specific configuration of said computer system 110 to configure said computer system 110 to suit with the selected security policy. Also, the packet forming means 130 is intended to transmit at least one instruction for changing a specific configuration of said computer system 110 to the policy enforcement tool 120.

База данных политик безопасности 140 предназначена для хранения политик безопасности для компьютерных систем, которые применяются в инфраструктуре организации.The database of security policies 140 is designed to store security policies for computer systems that are used in the infrastructure of the organization.

Получив данные об определенной конфигурации упомянутой компьютерной системы 110, средство формирования пакетов 130 выбирает политику безопасности. В соответствии с существующими политиками безопасности из базы данных политик безопасности 140 и данными об определенной конфигурации упомянутой компьютерной системы 110 средство формирования инструкций 130 выбирает политику безопасности, применимую к упомянутой компьютерной системе 110.Having received data about a specific configuration of said computer system 110, the packetizer 130 selects a security policy. In accordance with existing security policies from the database of security policies 140 and information about a specific configuration of said computer system 110, the tool for generating instructions 130 selects a security policy applicable to said computer system 110.

Затем, исходя из требований выбранной политики безопасности, средство формирования инструкций 130 создает инструкции, которые содержат исполняемый код, предназначенный для выполнения действий по изменению определенной конфигурации упомянутой компьютерной системы.Then, based on the requirements of the selected security policy, the tool for generating instructions 130 creates instructions that contain executable code designed to perform actions to change a specific configuration of the said computer system.

Одним из примеров действий может быть обновление конкретной программы или операционной системы в целом, в том числе изменение текущих параметров. При определении типа и состояния неизвестной компьютерной системы обнаружена установленная версия Microsoft Outlook 14.0.7109.5000 SP1 Home edition без плагинов. Для принятия политики безопасности необходимо, чтобы пользователь работал в Microsoft Outlook версии 14.0.7109.5000 SP2 Corporate edition с установленным плагином Attachments Processor. Соответственно, необходимо выполнить действие по обновлению более старой версии ПО, вторым действием для выполнения может быть установка плагина Attachments Processor. Действия могут быть связаны, в том числе, и с настройкой устройств, например сетевой карты или VPN соединения.One example of an action might be updating a specific program or operating system as a whole, including changing current settings. When determining the type and status of an unknown computer system, an installed version of Microsoft Outlook 14.0.7109.5000 SP1 Home edition without plugins was detected. To accept the security policy, the user must work in Microsoft Outlook version 14.0.7109.5000 SP2 Corporate edition with the Attachments Processor plugin installed. Accordingly, it is necessary to perform an action to update an older version of the software, the second step to perform may be to install the Attachments Processor plugin. Actions can be connected, including with the configuration of devices, such as a network card or VPN connection.

Например, действие под именем «обновление Microsoft Outlook» может быть представлено в виде алгоритма:For example, an action called “Microsoft Outlook Update” can be represented as an algorithm:

1. Деинсталлировать текущую версию Microsoft Outlook 14.0.7109.5000 SP1 Home edition.1. Uninstall the current version of Microsoft Outlook 14.0.7109.5000 SP1 Home edition.

2. Установить требуемую версию Microsoft Outlook версии 14.0.7109.5000 SP2 Corporate edition.2. Install the required version of Microsoft Outlook version 14.0.7109.5000 SP2 Corporate edition.

На основе алгоритма по выполнению действия формируют инструкцию и определяют файлы и дистрибутивы ПО, например, дистрибутив с нужной версией Outlook.Based on the algorithm for the execution of the action, they form an instruction and determine the files and software distributions, for example, a distribution with the desired version of Outlook.

Действия могут быть описаны в виде различных алгоритмов. Если структура операционной системы позволяет, то алгоритм действия под именем «обновление Microsoft Outlook» может быть следующим:Actions can be described in the form of various algorithms. If the structure of the operating system allows, then the action algorithm under the name "Microsoft Outlook Update" can be as follows:

1. Удалить файлы, которые относится к старой версии Microsoft Outlook.1. Delete files that belong to the old version of Microsoft Outlook.

2. Удалить изменения, вносимые в операционную систему (реестр, службы, библиотек и т. п.), которые относятся к старой версии Microsoft Outlook.2. Delete changes made to the operating system (registry, services, libraries, etc.) that relate to the old version of Microsoft Outlook.

3. Переписать перечень файлов, который относится к новой версии Microsoft Outlook с установленным плагином Attachments Processor.3. Rewrite the list of files related to the new version of Microsoft Outlook with the Attachments Processor plugin installed.

4. Создать изменения, вносимые в операционную систему (реестр, службы, библиотек и т.п.), которые относятся к новой версии Microsoft Outlook с установленным плагином Attachments Processor.4. Create changes to the operating system (registry, services, libraries, etc.) that apply to the new version of Microsoft Outlook with the Attachments Processor plugin installed.

При этом исполняемая инструкция, сформированная исходя из вышеописанного алгоритма, может ссылаться на файлы новой версии Microsoft Outlook с установленным плагином Attachments Processor. Также инструкция может содержать подфункции, которые выполняют изменения в ОС.In this case, an executable instruction formed on the basis of the above algorithm can refer to files of the new version of Microsoft Outlook with the Attachments Processor plugin installed. The instruction may also contain subfunctions that perform changes in the OS.

Файлы или дистрибутивы могут храниться как в открытых источниках, так и в базе данных. База данных ПО 150 предназначена для хранения файлов, скриптов, описаний ПО, которые используются в работе с корпоративной сетью и необходимы для корректного выполнения исполняемых инструкций.Files or distributions can be stored both in open sources and in a database. Database software 150 is designed to store files, scripts, software descriptions that are used in working with the corporate network and are necessary for the correct execution of executable instructions.

Для настройки упомянутой компьютерной системы 110 в соответствии с выбранной политикой безопасности может понадобиться выполнение нескольких инструкций. Исходя из алгоритма действий, инструкции могут быть упакованы и переданы в виде самозапускающегося архива или пакета. Также в пакет могут быть добавлены файлы и дистрибутивы из базы данных ПО 150.To configure the computer system 110 in accordance with the selected security policy, it may be necessary to carry out several instructions. Based on the algorithm of actions, instructions can be packaged and transmitted in the form of a self-starting archive or package. Also, files and distributions from the software database 150 can be added to the package.

После формирования инструкции средство формирования инструкций 130 передает инструкции средству применения политик 120.After generating the instructions, the means for generating instructions 130 passes the instructions to the policy enforcement tool 120.

В свою очередь после получения инструкций средство применения политик 120 выполняет настройку упомянутой компьютерной системы в соответствии с выбранной политикой безопасности. Настройка осуществляется в ходе выполнения полученных инструкций и изменения определенной конфигурации упомянутой компьютерной системы.In turn, after receiving the instructions, the policy enforcement tool 120 configures the computer system in accordance with the selected security policy. The adjustment is carried out in the course of following the instructions received and changing a specific configuration of the computer system.

Управляющая программа также может быть использована для настройки упомянутой компьютерной системы 110. Средство применения политик при помощи запущенной управляющей программы выполняет, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.The control program can also be used to configure said computer system 110. The policy enforcement tool, using the launched control program, executes at least one instruction for changing a specific configuration of said computer system.

В другом случае средство применения политик 120 для настройки упомянутой компьютерной системы 110 использует запуск сценариев на странице. В этом случае инструкции могут быть самораспаковывающимися и самовыполняющимися. Средство применения политик 120 пересылает на упомянутую компьютерную систему 110 самораспаковывающиеся инструкции, с помощью которых выполняет настройку упомянутой компьютерной системы.In another case, the policy enforcement tool 120 for configuring said computer system 110 uses script execution on a page. In this case, the instructions may be self-extracting and self-executing. The policy enforcement tool 120 sends self-extracting instructions to said computer system 110 by which it configures said computer system.

Дополнительно средство применения политик 120 может быть предназначено для проверки работоспособности упомянутой компьютерной системы 110 после применения выбранной политики безопасности.Additionally, the policy enforcement tool 120 may be designed to verify the health of said computer system 110 after applying the selected security policy.

После выполнения всех инструкций средство применения политики 120 дополнительно может выполнить проверку работоспособности упомянутой компьютерной системы 110. После настройки и проверки упомянутая компьютерная система будет удовлетворять всем требованиями и условиям политики безопасности и может использоваться в работе с корпоративной сетью без ограничений.After completing all the instructions, the policy enforcement tool 120 can additionally perform a health check of the said computer system 110. After setting up and checking the said computer system will satisfy all the requirements and conditions of the security policy and can be used in working with the corporate network without restrictions.

Фиг. 2 иллюстрирует алгоритм работы системы настройки компьютерной системы в соответствии с политикой безопасности. На этапе 210 пользователь начинает работу с компьютерной системой 110, с использованием которой осуществляет попытку доступа к корпоративной сети. На этапе 211 средство применения политик 120 определяет конфигурацию упомянутой компьютерной системы 110. Затем средство применения политик пересылает данные об определенной конфигурации упомянутой компьютерной системы 110 средству формирования инструкций 130. На этапе 212 средство формирования инструкций 130 выбирает политику безопасности, применимую к упомянутой компьютерной системе 110 в соответствии с определенной конфигурацией упомянутой компьютерной системы 110 и существующими политиками безопасности. На этапе 213 средство формирования инструкций 130 формирует, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы 110 для настройки упомянутой компьютерной системы 110 в соответствии с выбранной политикой безопасности. Затем средство формирования инструкций 130 передает, по крайней мере, одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы 110 средству применения политик 120. На этапе 214 средство применения политик 120 выполняет настройку упомянутой компьютерной системы 110 в соответствии с выбранной политикой безопасности путем выполнения, по крайней мере, одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы 110.FIG. 2 illustrates the operation algorithm of a computer system configuration system in accordance with a security policy. At step 210, the user begins to work with the computer system 110, using which makes an attempt to access the corporate network. At step 211, the policy enforcement tool 120 determines the configuration of said computer system 110. Then, the policy enforcement tool sends data about the specific configuration of said computer system 110 to the instruction generating engine 130. At step 212, the instruction generating tool 130 selects a security policy applicable to said computer system 110 in according to the specific configuration of said computer system 110 and existing security policies. At step 213, the instruction generation tool 130 generates at least one instruction for changing a specific configuration of said computer system 110 to configure said computer system 110 in accordance with the selected security policy. Then, the tool for generating instructions 130 transmits at least one instruction for changing the specific configuration of the computer system 110 to the policy enforcement tool 120. At step 214, the policy tool 120 configures the computer system 110 in accordance with the selected security policy by executing at least at least one instruction for changing a specific configuration of said computer system 110.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее компьютерная система (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 represents an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains a read-only memory computer system (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating ROM systems 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т. п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т. п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to computer system 20 via serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 3. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним компьютерная системам, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т. е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external computer system, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and do not have to display the exact network configuration, that is, in reality there are other ways to establish a technical connection means of communication of one computer with another.

Claims (10)

1. Система настройки компьютерной системы в соответствии с политикой безопасности, которая содержит:
а) по крайней мере одну компьютерную систему, с использованием которой осуществлена попытка доступа к корпоративной сети;
б) средство применения политик, предназначенное для:
- определения данных о конфигурации упомянутой компьютерной системы и их последующей передачи средству формирования инструкций, где под конфигурацией упомянутой компьютерной системы понимают по крайней мере одно из:
- данные о типе упомянутой компьютерной системы на момент определения,
- данные о состоянии программного обеспечения упомянутой компьютерной системы на момент определения,
- данные об устройствах упомянутой компьютерной системы на момент определения,
- настройки упомянутой компьютерной системы в соответствии с выбранной политикой безопасности путем выполнения по крайней мере одной сформированной инструкции по изменению определенной конфигурации упомянутой компьютерной системы,
- выполнения проверки корректности работы упомянутой компьютерной системы после настройки.
в) базу данных политик безопасности, предназначенную для хранения политик безопасности для компьютерных систем;
г) средство формирования инструкций, предназначенное для:
- выбора политики безопасности, применимой к упомянутой компьютерной системе в соответствии с определенной конфигурацией упомянутой компьютерной системы и существующими политиками безопасности из базы данных политик безопасности,
- формирования по крайней мере одной инструкции по изменению определенной конфигурации упомянутой компьютерной системы для настройки упомянутой компьютерной системы в соответствии с выбранной политикой безопасности, где в ходе формирования выполняют следующие действия:
- исходя из требований выбранной политики безопасности выявляют по крайней мере одно устройство или программное обеспечение из определенной конфигурации упомянутой компьютерной системы, над которым необходимо выполнить по крайней мере одно действие по изменению определенной конфигурации упомянутой компьютерной системы,
- исходя из требований выбранной политики безопасности и на основании определенной конфигурации упомянутой компьютерной системы определяют по крайней мере одно действие по изменению определенной конфигурации упомянутой компьютерной системы,
- создают по крайней мере одну исполняемую инструкцию, в виде самозапускающегося файла, которая содержит исполняемый код для выполнения по крайней мере одного действия по изменению определенной конфигурации упомянутой компьютерной системы,
- в созданную инструкцию добавляют файлы и дистрибутивы для выявленных по крайней мере одного устройства или программного обеспечения, необходимые для корректного выполнения созданной исполняемой инструкции;
- передачи сформированной инструкции средству применения политик. 1. The system configuration of a computer system in accordance with a security policy that contains:
a) at least one computer system using which an attempt was made to access the corporate network;
b) a means of applying policies designed to:
- definition of data on the configuration of the said computer system and their subsequent transmission to the means of forming instructions, where the configuration of the said computer system means at least one of:
- data on the type of said computer system at the time of determination,
- data on the state of the software of the said computer system at the time of determination,
- data about the devices of the said computer system at the time of determination,
- settings of said computer system in accordance with the selected security policy by following at least one generated instruction for changing a specific configuration of said computer system,
- performing checks on the correct operation of said computer system after configuration.
c) a database of security policies designed to store security policies for computer systems;
g) means of forming instructions intended for:
- selecting a security policy applicable to said computer system in accordance with a specific configuration of said computer system and existing security policies from a database of security policies,
- forming at least one instruction for changing a specific configuration of said computer system for setting up said computer system in accordance with the selected security policy, where during formation the following actions are performed:
- based on the requirements of the selected security policy, at least one device or software is identified from a specific configuration of the said computer system, on which it is necessary to perform at least one action to change the specific configuration of the said computer system,
- based on the requirements of the selected security policy and on the basis of a specific configuration of said computer system, at least one action to change a specific configuration of said computer system is determined,
- create at least one executable instruction, in the form of a self-starting file, which contains executable code to perform at least one action to change a specific configuration of the said computer system,
- files and distributions for the identified at least one device or software necessary for the correct execution of the created executable instruction are added to the created instruction;
- transferring the generated instruction to the policy enforcement tool. 2. Система по п. 1, в которой средство применения политик для определения конфигурации упомянутой компьютерной системы пересылает на упомянутую компьютерную систему ссылку.2. The system of claim 1, wherein the policy enforcement tool for determining the configuration of said computer system sends a link to said computer system. 3. Система по п. 2, в которой средство применения политик при переходе по ссылке запускает выполнение сценариев на странице.3. The system according to claim 2, in which the means of applying policies when clicking on the link starts the execution of scripts on the page. 4. Система п. 3, в которой средство применения политик при помощи запущенных сценариев определяет конфигурацию упомянутой компьютерной системы.4. The system of claim 3, in which the means of applying policies using running scripts determines the configuration of the said computer system. 5. Система по п. 4, в которой средство применения политик при помощи запущенных сценариев на странице из ссылки выполняет по крайней мере одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы.5. The system of claim 4, wherein the means of applying policies using running scripts on a page from a link executes at least one instruction for changing a specific configuration of said computer system. 6. Способ настройки компьютерной системы в соответствии с политикой безопасности, в котором:
а) с использованием компьютерной системы осуществляют доступ к корпоративной сети;
б) при помощи средства применения политик определяют конфигурацию упомянутой компьютерной системы, где под конфигурацией упомянутой компьютерной системы понимают по крайней мере одно из:
- данные о типе упомянутой компьютерной системы на момент определения,
- данные о состоянии программного обеспечения упомянутой компьютерной системы на момент определения,
- данные об устройствах упомянутой компьютерной системы на момент определения;
в) при помощи средства формирования инструкций выбирают политику безопасности, применимую к упомянутой компьютерной системе в соответствии с определенной конфигурацией упомянутой компьютерной системы и существующими политиками безопасности;
г) при помощи средства формирования инструкций формируют по крайней мере одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы для настройки упомянутой компьютерной системы в соответствии с выбранной политикой безопасности, где в ходе формирования выполняют следующие действия:
- исходя из требований выбранной политики безопасности выявляют по крайней мере одно устройство или программное обеспечение из определенной конфигурации упомянутой компьютерной системы, над которым необходимо выполнить по крайней мере одно действие по изменению определенной конфигурации упомянутой компьютерной системы,
- исходя из требований выбранной политики безопасности и на основании определенной конфигурации упомянутой компьютерной системы определяют по крайней мере одно действие по изменению определенной конфигурации упомянутой компьютерной системы,
- создают по крайней мере одну исполняемую инструкцию, в виде самозапускающегося файла, которая содержит исполняемый код для выполнения по крайней мере одного действия по изменению определенной конфигурации упомянутой компьютерной системы,
- в созданную инструкцию добавляют файлы и дистрибутивы для выявленных по крайней мере одного устройства или программного обеспечения, необходимые для корректного выполнения созданной исполняемой инструкции;
д) при помощи средства применения политик настраивают упомянутую компьютерную систему в соответствии с выбранной политикой безопасности, выполняя по крайней мере одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы;
е) при помощи средства применения политик выполняют проверку корректности работы упомянутой компьютерной системы после настройки.6. A method for configuring a computer system in accordance with a security policy in which:
a) using a computer system provide access to the corporate network;
b) using the means of applying policies determine the configuration of the said computer system, where the configuration of the said computer system means at least one of:
- data on the type of said computer system at the time of determination,
- data on the state of the software of the said computer system at the time of determination,
- data on the devices of the said computer system at the time of determination;
c) using the tool for generating instructions, select a security policy applicable to the computer system in accordance with the specific configuration of the computer system and existing security policies;
d) using the tool for generating instructions form at least one instruction for changing a specific configuration of the said computer system to configure the computer system in accordance with the selected security policy, where during the formation the following actions are performed:
- based on the requirements of the selected security policy, at least one device or software is identified from a specific configuration of the said computer system, on which it is necessary to perform at least one action to change the specific configuration of the said computer system,
- based on the requirements of the selected security policy and on the basis of a specific configuration of said computer system, at least one action to change a specific configuration of said computer system is determined,
- create at least one executable instruction, in the form of a self-starting file, which contains executable code to perform at least one action to change a specific configuration of the said computer system,
- files and distributions for the identified at least one device or software necessary for the correct execution of the created executable instruction are added to the created instruction;
e) using the policy enforcement tool, configure the computer system in accordance with the selected security policy by following at least one instruction to change the specific configuration of the computer system;
f) using the policy enforcement tool, they verify the correct operation of the said computer system after configuration. 7. Способ по п. 6, в котором на этапе б) для определения конфигурации пересылают на упомянутую компьютерную систему ссылку.7. The method according to claim 6, in which, in step b), a link is sent to the computer system to determine the configuration. 8. Способ по п. 7, в котором на этапе б) при переходе по ссылке запускают выполнение сценариев на странице.8. The method according to p. 7, in which at step b), when clicking on the link, start the execution of scripts on the page. 9. Способ по п. 8, в котором на этапе б) при помощи запущенных сценариев определяют конфигурацию упомянутой компьютерной системы.9. The method of claim 8, wherein in step b) the configuration of said computer system is determined by running scripts. 10. Способ по п. 9, в котором на этапе д) при помощи исполняемых сценариев на странице из ссылки выполняют по крайней мере одну инструкцию по изменению определенной конфигурации упомянутой компьютерной системы. 10. The method according to p. 9, in which at step d) using executable scripts on the page from the link execute at least one instruction for changing a specific configuration of said computer system.
RU2014130724/08A 2014-07-25 2014-07-25 System and method of setting up computer system according to security policy RU2573782C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014130724/08A RU2573782C1 (en) 2014-07-25 2014-07-25 System and method of setting up computer system according to security policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014130724/08A RU2573782C1 (en) 2014-07-25 2014-07-25 System and method of setting up computer system according to security policy

Publications (1)

Publication Number Publication Date
RU2573782C1 true RU2573782C1 (en) 2016-01-27

Family

ID=55236984

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014130724/08A RU2573782C1 (en) 2014-07-25 2014-07-25 System and method of setting up computer system according to security policy

Country Status (1)

Country Link
RU (1) RU2573782C1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10855599B2 (en) 2016-07-21 2020-12-01 Viasat, Inc. Methods and systems for dynamic policy based traffic steering over multiple access networks
RU2773108C1 (en) * 2021-05-27 2022-05-30 Акционерное общество "Лаборатория Касперского" System and method for forming a security monitor

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6799197B1 (en) * 2000-08-29 2004-09-28 Networks Associates Technology, Inc. Secure method and system for using a public network or email to administer to software on a plurality of client computers
RU2446457C1 (en) * 2010-12-30 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for remote administration of personal computers within network
RU2453917C1 (en) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for optimising execution of antivirus tasks in local area network
RU2460132C1 (en) * 2011-06-28 2012-08-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of controlling access to corporate network resources for personal computers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6799197B1 (en) * 2000-08-29 2004-09-28 Networks Associates Technology, Inc. Secure method and system for using a public network or email to administer to software on a plurality of client computers
RU2446457C1 (en) * 2010-12-30 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for remote administration of personal computers within network
RU2453917C1 (en) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for optimising execution of antivirus tasks in local area network
RU2460132C1 (en) * 2011-06-28 2012-08-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of controlling access to corporate network resources for personal computers

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10855599B2 (en) 2016-07-21 2020-12-01 Viasat, Inc. Methods and systems for dynamic policy based traffic steering over multiple access networks
US11722413B2 (en) 2016-07-21 2023-08-08 Viasat, Inc. Steering network traffic over multiple access networks
RU2804501C1 (en) * 2016-07-21 2023-10-02 Виасат, Инк. Methods and systems for dynamic traffic direction control based on policies for several access networks
RU2804501C9 (en) * 2016-07-21 2023-10-26 Виасат, Инк. Methods and systems for dynamic traffic direction control based on policies for several access networks
RU2773108C1 (en) * 2021-05-27 2022-05-30 Акционерное общество "Лаборатория Касперского" System and method for forming a security monitor

Similar Documents

Publication Publication Date Title
US11206304B2 (en) Access services in hybrid cloud computing systems
US10530775B2 (en) Usage tracking in hybrid cloud computing systems
EP2732397B1 (en) Computing device including a port and a guest domain
EP3223159B1 (en) Log information generation device and recording medium, and log information extraction device and recording medium
WO2019173532A1 (en) Pre-deployment security analyzer service for virtual computing resources
RU2618947C2 (en) Method of preventing program operation comprising functional undesirable for user
RU2580030C2 (en) System and method for distribution virus scan tasks between virtual machines in virtual network
JP5106625B2 (en) Method, system, and computer program for configuring a firewall
US8196137B2 (en) Remote auto provisioning and publication of applications
JP2015534690A (en) Mobile application management
JP6050162B2 (en) Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program
US20170329739A1 (en) Methods and systems for loading a boot agent on a router network device
CN108351923A (en) Threshold value related with the script that unified Extensible Firmware Interface system is executable
CN105760787A (en) System and method used for detecting malicious code of random access memory
US11714659B2 (en) Device provisioning with manufacturer boot environment
RU2634182C1 (en) Method of contradiction to unfair applications rates
RU2573782C1 (en) System and method of setting up computer system according to security policy
RU2587424C1 (en) Method of controlling applications
CN107533436B (en) Hardware management
RU2571725C2 (en) System and method of controlling parameters of applications on computer user devices
JP2019008568A (en) Whitelist management system and whitelist management method
US9497223B2 (en) System and method for configuring a computer system according to security policies
Chatterjee Red Hat and IT Security
JP6687844B2 (en) Malware analysis device, malware analysis method, and malware analysis program
Sheikh et al. Baseline and Secure Software Development