RU2681334C2 - Система и способ идентификации информационных активов - Google Patents
Система и способ идентификации информационных активов Download PDFInfo
- Publication number
- RU2681334C2 RU2681334C2 RU2017117887A RU2017117887A RU2681334C2 RU 2681334 C2 RU2681334 C2 RU 2681334C2 RU 2017117887 A RU2017117887 A RU 2017117887A RU 2017117887 A RU2017117887 A RU 2017117887A RU 2681334 C2 RU2681334 C2 RU 2681334C2
- Authority
- RU
- Russia
- Prior art keywords
- assets
- asset
- criterion
- considered
- incoming
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 123
- 238000012795 verification Methods 0.000 claims abstract description 9
- 238000005192 partition Methods 0.000 claims description 2
- 238000012913 prioritisation Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 30
- 238000013459 approach Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Изобретение относится к области информационной безопасности в части управления информационными активами. Технический результат заключается в минимизации ложных объединений активов. Способ идентификации активов, в котором сопоставляют набор идентификационных данных входящего актива множеству идентификационных данных всех существующих записей об активах; проверяют множество существующих активов на соответствие входящему активу на основании типа актива и как минимум одного способа проверки идентификационных данных для получения непротиворечивого подмножества активов, идентичных входящему; создают новую запись в базе активов, если количество существующих активов, идентичных входящему, равно нулю; обновляют найденную запись в базе активов, если количество существующих активов, идентичных входящему, равно единице; объединяют найденные записи в базе активов и обновляют объединенную запись в соответствии с входящими данными, если количество существующих активов, идентичных входящему, больше единицы. 51 з.п. ф-лы, 2 ил.
Description
Область техники
Изобретение относится к решениям для управления информационными активами в системах управления событиями информационной безопасности, а более конкретно к способам идентификации информационных активов.
Уровень техники
В настоящее время растет разнообразие информационных систем (таких, например, как операционные системы сетевых устройств), технологий и протоколов, используемых для обеспечения информационной безопасности. При этом спектр задач, стоящих перед системами управления событиями информационной безопасности, также весьма широк - к ним относятся агрегация данных из различных источников, корреляция событий и управление инцидентами, аудит конфигурации устройств на предмет соответствия политике безопасности, отслеживание уязвимостей и оценка рисков. Ключевым условием, обеспечивающим эффективное использование совокупности указанных функций в управлении информационной безопасностью, становится поддержание актуальной, точной и непротиворечивой базы информационных активов (далее - «активы») на основе множества разнородных источников, предоставляющих в общем случае неполный и потенциально противоречивый набор данных, идентифицирующих активы. Следует отметить, что в контексте систем управления событиями информационной безопасности под активом понимается совокупность физического или виртуального устройства (такого как сервер, компьютер, сетевое оборудование), подключенного к информационной сети, и установленного на нем программного обеспечения, включая операционную систему.
Актуализация базы данных активов заключается в сопоставлении набора идентифицирующих атрибутов во входящих данных от любого источника (например, событий или сканирования на уязвимости) с существующим состоянием базы активов. При этом компонент системы, обеспечивающий актуализацию базы данных активов, может именоваться по-разному в зависимости от конкретной системы; например, в системе управления уязвимостями QRadar компании IBM (https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.8/com.ibm.qradar.doc/c_qradar_adm_asset_workflow.html) этот компонент называется профилировщиком активов (asset profiler), так как запись в базе данных активов в терминологии данной системы называется профилем актива (asset profile). За отсутствием устоявшейся терминологии мы будем называть компонент системы, обеспечивающий актуализацию базы данных активов, агрегатором активов. В существующих решениях этот же компонент осуществляет и идентификацию активов.
При обновлении базы данных активов в соответствии с результатом идентификации входящего актива в общем случае возможны три сценария. Если не найдено ни одного актива, соответствующего новым данным, как правило, на их основе создается новый актив. Если установлено соответствие новых данных одному и только одному существующему активу, как правило, обновляется информация об этом активе. Если новым данным соответствует более одного существующего актива, поведение системы зависит от конкретной реализации. Одним из частных вариантов решения в последнем случае является объединение всех найденных активов в один и его актуализация на основе пришедших данных.
Можно выделить несколько факторов, осложняющих эту задачу: неполнота источников данных, динамическая природа части идентифицирующих атрибутов и наличие промежуточных устройств, способных изменять атрибуты, идентифицирующие актив. Подавляющее большинство источников предоставляет принципиально неполный набор данных. Наиболее полный набор идентифицирующих атрибутов способен принести только аудит актива в режиме белого ящика, но даже в этом случае полнота данных зависит от сочетания операционной системы актива и используемого при аудите протокола (например, SSH, WMI, SNMP, OPSEC). Часть идентифицирующих атрибутов способна изменяться с течением времени - как автоматически, в рамках нормального функционирования актива (например, IP-адрес), так и в результате вмешательства администратора (например, имя устройства). Наконец, промежуточные устройства способны изменять атрибуты, потенциально идентифицирующие актив, на пути между сканирующим агентом и активом (NAT, балансировщики нагрузки), между источником событий и приемником событий (например, централизованный сервер syslog), между активом и источником событий, от которого поступает информация о данном активе (например, VPN-шлюз между удаленным активом и DHCP-сервером).
Как следствие, неизбежно возникновение ситуаций, когда часть идентифицирующих атрибутов во входных данных соответствует одной или нескольким существующим записям в базе активов, но в действительности входные данные и существующие записи относятся к различным реальным активам. Возможны два принципиальных подхода к таким ситуациям. Первый можно назвать презумпцией идентичности активов: предполагается, что в большинстве случаев активы, для которых найдено соответствие каких-либо идентифицирующих атрибутов, действительно идентичны, если не наблюдается явных признаков обратного. Второй можно назвать презумпцией различия: предполагается, что активы различны, если в результате дополнительных проверок не удается с достаточной достоверностью установить их идентичность. В настоящее время в существующих решениях доминирует первый подход. Мы будем исходить из второго подхода, из которого проистекает как постановка задачи, так и используемая ниже терминология. В рамках данного подхода нормальной считается гипотеза о различии двух активов, а альтернативной - об их идентичности. Соответственно, ошибкой первого рода будем называть принятие решения об идентичности двух в действительности различных активов; ошибкой второго рода - принятие решения о том, что две различные записи соответствуют двум различным активам, тогда как в действительности они соответствуют одному и тому же реальному активу.
Задача, таким образом, заключается в минимизации уровня ошибок первого рода. Второстепенной целью является минимизация уровня ошибок второго рода. Толерантность к ошибкам второго рода связана с тем, что основной причиной их возникновения представляется неполнота входных данных; соответственно, по мере сбора большего количества данных, идентифицирующих активы, автоматически устраняется и большая часть ошибок второго рода. Ошибки первого рода, результирующие в объединении записей о различных активах, напротив, являются деструктивными, так как их результат невозможно исправить без ручного вмешательства. Поэтому введение какой-либо логики с целью минимизации уровня ошибок второго рода допустимо только в том случае, если в результате при этом не возрастает уровень ошибок первого рода.
Существующие способы идентификации активов допускают высокую частоту ошибок первого рода и обладают рудиментарными механизмами проверки на их возникновение, в результате чего в процессе штатного функционирования системы в хранилище активов появляются записи, в которых хаотично и в общем случае непредсказуемо смешиваются данные, соответствующие нескольким реальным активам. Такие записи не могут быть использованы для адекватного выполнения любых задач современной системы управления событиями информационной безопасности, в которых задействуется компонент управления активами, как то: оценка соответствия политике безопасности, отслеживание уязвимостей, оценка рисков, связь событий и инцидентов с активами. Для восстановления непротиворечивого состояния хранилища активов требуется ручное удаление подобных записей, что влечет за собой потерю всех данных, соответствующих затронутым активам; при этом ничто не гарантирует от повторного возникновения подобных записей в процессе дальнейшего функционирования системы. В отдельных случаях, как, например, в способе идентификации активов, реализованном компанией IBM в системе управления уязвимостями QRadar (www.ibm.com/support/knowledgecenter/SS42VS_7.2.8/com.ibm.gradar.doc/c_gradar_ug_assets.html), вводятся дополнительные апостериорные проверки, в которых косвенным признаком наличия уже допущенных ошибок первого рода становится аномальное количество объединений записей об активах. Таким образом, существующие способы не решают задачу минимизации ложных объединений активов. Предлагаемый способ позволяет решить эту задачу.
Сущность изобретения
Технический результат настоящего изобретения заключается в минимизации ошибок первого рода, а именно объединений записей в базе данных активов, соответствующих различным реальным активам, с помощью способа идентификации активов, в котором осуществляется последовательная проверка идентификационных данных, упорядоченных по приоритету в соответствии с типом сравниваемых активов и результатом вспомогательных проверок, для исключения возможности объединения записей об активах, не соответствующих более приоритетному критерию проверки, на основании совпадения идентификационных данных, которым при проверке назначен меньший приоритет.
Согласно одному из вариантов реализации предлагается способ идентификации информационных активов, при этом под реальным информационным активом понимается совокупность физического или виртуального устройства (такого как сервер, компьютер, сетевое оборудование), подключенного к информационной сети, и установленного на нем программного обеспечения, включая операционную систему, при этом далее в целях краткости под словом «актив», в зависимости от контекста, может пониматься как реальный информационный актив, так и соответствующая ему запись в базе данных, при этом сам способ содержит этапы, на которых:
а) сопоставляют набор идентификационных данных входящего актива множеству идентификационных данных всех существующих записей об активах путем попарного сравнения идентификационных данных входящего актива с каждой существующей записью на основании типа актива и по меньшей мере одного способа проверки идентификационных данных для получения множества существующих активов, соответствующих входящему;
б) множество существующих активов, соответствующих входящему, проверяют на непротиворечивость на основании типа актива и по меньшей мере одного способа проверки идентификационных данных для получения непротиворечивого подмножества активов, идентичных входящему;
в) в случае, если количество существующих активов, идентичных входящему, равно нулю, создают новую запись в базе активов в соответствии с входящими данными;
г) в случае, если количество существующих активов, идентичных входящему, равно одному, обновляют найденную запись в базе активов в соответствии с входящими данными;
д) в случае, если количество существующих активов, идентичных входящему, больше одного, объединяют найденные записи в базе активов и обновляют объединенную запись в соответствии с входящими данными.
Согласно одному из частных вариантов реализации предлагается способ, в котором тип актива может определяться в соответствии с типом операционной системы, где различные типы операционных систем организованы в иерархию наследования, при этом более подробные сведения об операционной системе представляют собой дочерний тип по отношению к более общим, таким образом, в корне дерева наследования находится тип устройства, об операционной системе которого ничего не известно, при этом критерием несоответствия двух активов может считаться невыполнение условия нахождения их типов на одной ветви в иерархии наследования, что исключает возможность объединения записей об этих активах на основании совпадения идентификационных данных.
Согласно еще одному частному варианту реализации предлагается способ, в котором проверка идентификационных данных осуществляется путем сравнения ключей идентификации, упорядоченных по приоритету в соответствии с типом обоих сравниваемых активов и результатом вспомогательных проверок.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать идентификатор виртуальной машины.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать множество МАС-адресов всех активных интерфейсов устройства.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать уникальный идентификатор устройства.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве уникального идентификатора устройства может использоваться серийный номер, для операционных систем сетевых устройств.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве уникального идентификатора устройства может использоваться уникальный идентификатор загрузочного раздела диска, для ОС семейств Unix и Windows.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать имя устройства.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать множество уникальных идентификаторов устройств, входящих в отказоустойчивую группу, для обеспечения возможности представления отказоустойчивой группы устройств как единого узла в сети.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать множество адресов IPv4 всех активных интерфейсов устройства.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать множество адресов IPv6 всех активных интерфейсов устройства.
Согласно еще одному частному варианту реализации предлагается способ, в котором в качестве ключа идентификации может выступать полное доменное имя устройства (далее - «FQDN»).
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, для обоих из которых задан идентификатор виртуальной машины, может считаться равенство идентификаторов виртуальной машины сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, для обоих из которых задан идентификатор виртуальной машины, может считаться неравенство идентификаторов виртуальной машины сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан идентификатор виртуальной машины, выбор критерия сравнения может производиться в зависимости от результатов дополнительной проверки, устанавливающей, известно ли про оба актива, что они являются виртуальными устройствами.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, для обоих из которых известно, что они являются виртуальными устройствами, может считаться отсутствие пересечения множеств МАС-адресов сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором для двух активов, для обоих из которых известно, что они являются виртуальными устройствами, в случае пересечения множеств МАС-адресов сравниваемых активов производятся дальнейшие проверки ключей для исключения возможности объединения записей об активах на основании совпадения только МАС-адресов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, для обоих из которых задан уникальный идентификатор устройства, может считаться равенство уникальных идентификаторов устройства сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, для обоих из которых задан уникальный идентификатор устройства, может считаться неравенство уникальных идентификаторов устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан уникальный идентификатор устройства, критерием соответствия может считаться равенство имен устройства сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан уникальный идентификатор устройства, критерием несоответствия может считаться отсутствие имени устройства по меньшей мере у одного из сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан уникальный идентификатор устройства, критерием несоответствия может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, по меньшей мере про один из которых не известно, что он является виртуальным устройством, если для обоих из них задан уникальный идентификатор устройства, может считаться равенство уникальных идентификаторов устройства сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором для двух активов, по меньшей мере про один из которых не известно, что он является виртуальным устройством, если для обоих из них задан уникальный идентификатор устройства и эти идентификаторы неравны, выбор критерия сравнения может производиться в зависимости от результатов дополнительной проверки, устанавливающей, являются ли оба актива устройствами Cisco ASA.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов может считаться отсутствие соотнесенности по меньшей мере одного из них типу устройства Cisco ASA, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, оба из которых являются устройствами Cisco ASA, может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором для двух активов, оба из которых являются устройствами Cisco ASA, в случае совпадения имен устройства сравниваемых активов выбор критерия сравнения может производиться в зависимости от результатов дополнительной проверки, устанавливающей, известно ли про оба актива, что они являются участниками отказоустойчивой группы, для исключения возможности объединения записей об активах, не составляющих одну отказоустойчивую группу, на основании совпадения имени устройства.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, являющихся участниками отказоустойчивой группы, может считаться равенство множеств уникальных идентификаторов устройств, входящих в отказоустойчивую группу, для обоих активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, являющихся участниками отказоустойчивой группы, может считаться неравенство множеств уникальных идентификаторов устройств, входящих в отказоустойчивую группу, для обоих активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, про один из которых известно, что он является участником отказоустойчивой группы, может считаться вхождение уникального идентификатора устройства второго актива во множество уникальных идентификаторов устройств, входящих в отказоустойчивую группу, первого актива.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, про один из которых известно, что он является участником отказоустойчивой группы, может считаться отсутствие вхождения уникального идентификатора устройства второго актива во множество уникальных идентификаторов устройств, входящих в отказоустойчивую группу, первого актива, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, про оба из которых неизвестно, являются ли они участниками отказоустойчивой группы, может считаться полное вхождение множества IP-адресов одного актива во множество IP-адресов другого актива, при этом сравнение может производиться для адресов IPv4 и IPv6.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, про оба из которых неизвестно, являются ли они участниками отказоустойчивой группы, может считаться отсутствие полного вхождения множества IP-адресов одного актива во множество IP-адресов другого актива, при этом сравнение может производиться для адресов IPv4 и IPv6, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором для двух активов, по меньшей мере про один из которых не известно, что он является виртуальным устройством, и по меньшей мере для одного из которых не задан уникальный идентификатор устройства, установление приоритетов ключей идентификации для дальнейшего сравнения может производиться в зависимости от результатов дополнительной проверки типа сравниваемых активов, для исключения возможности объединения записей об активах на основании совпадения ключей идентификации, корректность и уникальность которых для конкретных операционных систем не гарантируется.
Согласно еще одному частному варианту реализации предлагается способ, в котором основанием для выбора в качестве приоритетного ключа FQDN может считаться принадлежность обоих сравниваемых активов к одному и тому же типу на основании определения операционной системы активов как Microsoft Windows, VMware ESXi или Cisco IOS.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что FQDN задано для обоих активов, - может считаться равенство FQDN сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что FQDN задано для обоих активов, - может считаться неравенство FQDN сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что по меньшей мере для одного из них FQDN не задано, при этом операционная система обоих активов определена как Cisco IOS и для обоих активов задано имя устройства, - может считаться равенство имен устройства сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что по меньшей мере для одного из них FQDN не задано, при этом операционная система обоих активов определена как Cisco IOS и для обоих активов задано имя устройства, - может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов - в случае, если FQDN не было выбрано в качестве приоритетного ключа, при условии, что для обоих активов задано имя устройства, - может считаться равенство имен устройства сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов - в случае, если FQDN не было выбрано в качестве приоритетного ключа, при условии, что для обоих активов задано имя устройства, - может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором выбор критерия сравнения может производиться в зависимости от наличия непустого множества МАС-адресов в ключах обоих активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, для обоих из которых задано непустое множество МАС-адресов, может считаться пересечение множеств МАС-адресов сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, для обоих из которых задано непустое множество МАС-адресов, может считаться отсутствие пересечения множеств МАС-адресов сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
Согласно еще одному частному варианту реализации предлагается способ, в котором для двух активов, множество МАС-адресов по меньшей мере одного из которых пусто, выбор критерия сравнения может производиться в зависимости от наличия непустого множества адресов IPv4 в ключах обоих активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, для обоих из которых задано непустое множество адресов IPv4, может считаться пересечение множеств адресов IPv4 сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, для обоих из которых задано непустое множество адресов IPv4, может считаться отсутствие пересечения множеств адресов IPv4 сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием соответствия двух активов, множество адресов IPv4 по меньшей мере одного из которых пусто, может считаться пересечение множеств адресов IPv6 сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором критерием несоответствия двух активов, множество адресов IPv4 по меньшей мере одного из которых пусто, может считаться отсутствие пересечения множеств адресов IPv6 сравниваемых активов.
Согласно еще одному частному варианту реализации предлагается способ, в котором для получения непротиворечивого подмножества активов, идентичных входящему:
а) множество активов, соответствующих входящему, упорядочивают в обратном хронологическом порядке в соответствии со временем последнего обновления записи об активе;
б) создают общий набор идентификационных данных и заносят туда идентификационные данные входящего актива;
в) задают множество активов, идентичных входящему, как пустое множество;
г) каждую запись из упорядоченного множества активов, соответствующих входящему, последовательно проверяют на соответствие общему набору идентификационных данных на основании тех же способов проверки типа актива и идентификационных данных, которые используются для определения соответствия входящего актива существующим записям, в том же логическом порядке;
д) в случае установления соответствия проверяемой записи общему набору идентификационных данных включают проверяемую запись во множество активов, идентичных входящему, а ее набор идентификационных данных добавляют к общему набору идентификационных данных для исключения возможности объединения с записями, соответствующими входящему активу, но не соответствующими уже проверенным записям.
Согласно еще одному частному варианту реализации предлагается способ, в котором получение множества идентификационных данных всех существующих записей об активах может осуществляться не путем запроса к базе данных активов, а путем сохранения идентификационных данных всех входящих активов и принятых решений по обновлению или объединению записей об активах.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 описывает вариант взаимодействия компонентов системы управления событиями информационной безопасности, известный из уровня техники.
Фиг. 2 описывает вариант взаимодействия компонентов системы управления событиями информационной безопасности, в рамках которой возможно осуществление настоящего изобретения.
Фиг. 3 иллюстрирует способ работы настоящего изобретения.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах.
Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Введем несколько терминов для лучшего понимания материала заявки.
Служба управления событиями - центральный компонент системы управления событиями информационной безопасности, обеспечивающий разбор и нормализацию исходных событий, их корреляцию и извлечение из них полезных данных, в том числе относящихся к активам. Именование данного компонента, как и его внутренняя архитектура, может различаться в зависимости от конкретной системы конкретного производителя; например, в системе управления уязвимостями QRadar компании IBM для его обозначения используется название Sense Analytics Engine (https://public.dhe.ibm.com/common/ssi/ecm/wg/en/wgd03097usen/qradar-siem-digital-data-sheet-june-29-2016_WGD03097USEN.pdf). В контексте данной заявки данный компонент системы управления событиями информационной безопасности рассматривается исключительно с точки зрения его интерфейса с компонентами, непосредственно относящимися к сущности изобретения, то есть с компонентами системы управления событиями информационной безопасности, осуществляющими управление активами.
Служба управления сканированием - компонент системы управления событиями информационной безопасности, поставляющий в систему информацию об активах от встроенных или внешних сканеров аудита и отслеживания уязвимостей, если в системе реализована такая возможность. Именование данного компонента и его доступность в системе зависят от конкретной системы конкретного производителя; например, в системе управления уязвимостями QRadar компании IBM (https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.8/com.ibm.gradar.doc/c_qvm_vm_ov.html) он называется менеджером уязвимостей (Vulnerability Manager).
Скан - формат, в котором информация об активах поступает в систему от службы управления сканированием.
Хранилище сканов - компонент системы, который может использоваться для промежуточной консолидации сканов с дальнейшей их передачей на обработку агрегатору активов.
Фиг. 1 описывает вариант взаимодействия компонентов системы управления событиями информационной безопасности. Поскольку областью применения настоящего изобретения является управление активами, на схеме показаны только компоненты системы, непосредственно относящиеся к задаче поддержания и обновления базы данных активов, и компоненты, взаимодействующие с ними, при этом в целях упрощения все компоненты, относящиеся к управлению событиями, представлены в виде единого компонента, а именно службы управления событиями 110, без учета внутренней архитектуры конкретного решения данного компонента, не оказывающей влияния на его интерфейс с компонентами, осуществляющими управление активами.
Служба управления сканированием 210 поставляет сканы, собранные модулями сканирования (на схеме не показаны), в хранилище сканов 220. Данные об активах, поступающие от службы управления событиями 110, также поступают в хранилище сканов 220 в виде сканов активов. Агрегатор активов 240 получает из хранилища сканов 220 новые сканы, ищет в базе данных активов 250 записи, соответствующие входящему скану по критерию равенства хотя бы одного из ключевых полей, и в зависимости от результатов поиска создает новую запись, обновляет уже существующую или объединяет несколько существующих записей в базе данных активов 250.
Однако, как было отмечено в уровне техники, недостатком такого решения является высокая частота ошибок первого рода, выражающихся в объединении записей, соответствующих различным реальным активам.
Фиг. 2 описывает вариант взаимодействия компонентов системы управления событиями информационной безопасности, в рамках которой возможно осуществление настоящего изобретения. В отличие от Фиг. 1, на данном чертеже добавлена служба идентификации активов 230, которая получает тип и набор ключей идентификации каждого входящего актива из хранилища сканов 220, определяет множество существующих активов, идентичных входящему, и в зависимости от мощности этого множества принимает решение о создании нового актива, обновлении существующего или объединении нескольких существующих активов. Агрегатор активов 240 получает от службы идентификации активов 230 команду, соответствующую принятому решению, получает из хранилища сканов 220 скан входящего актива, выполняет полученную команду над записями в базе активов 250 и данными скана и записывает результат в базу активов 250.
Поскольку идентификационные данные всех активов перед записью в базу активов 250 в обязательном порядке проходят через службу идентификации активов 230, в частном варианте реализации получение множества идентификационных данных всех существующих записей об активах может осуществляться без непосредственного запроса со стороны службы идентификации активов 230 к базе данных активов 250, путем сохранения идентификационных данных всех входящих активов и принятых решений по обновлению или объединению записей об активах.
В одном из вариантов реализации служба идентификации активов 230 также отвечает на запросы службы управления событиями 110 для установления связи между активами и событиями (привязки событий к активам). Данная дополнительная функция не влияет на состояние базы активов 250.
Также отметим, что служба идентификации активов может быть реализована как в виде отдельного сервиса в операционной системе, так и в виде программного компонента в составе агрегатора активов.
Фиг. 3 иллюстрирует способ работы настоящего изобретения. Тип и ключи идентификации входящего актива 310 поступают на вход службы идентификации активов 230. На этапе 320 сопоставляют набор идентификационных данных входящего актива 310 множеству идентификационных данных всех существующих записей об активах путем попарного сравнения идентификационных данных входящего актива с идентификационными данными каждой существующей записи на основании типа актива и по меньшей мере одного способа проверки идентификационных данных. В случае, если на этапе проверки 321 было установлено соответствие существующего актива входящему, на этапе 322 существующий актив добавляют в коллекцию активов, соответствующих входящему, при этом здесь и далее под коллекцией активов понимается множество идентификационных данных с указанием типа активов. Сопоставление входящего актива 310 и существующих записей об активах выполняется до исчерпания множества идентификационных данных всех существующих активов. На этапе 330 полученную коллекцию активов, соответствующих входящему, сортируют в обратном хронологическом порядке в соответствии со временем последнего обновления записи об активе. На этапе 340 создают общий набор идентификационных данных и заносят туда идентификационные данные входящего актива. На этапе 350 каждый актив из упорядоченной коллекции активов, соответствующих входящему, последовательно проверяют на соответствие общему набору на основании тех же способов проверки типа актива и идентификационных данных, которые используются для определения соответствия входящего актива существующим записям, в том же логическом порядке. В случае, если на этапе проверки 351 было установлено соответствие проверяемого актива общему набору, на этапе 352 актив добавляют в коллекцию активов, идентичных входящему, а на этапе 353 идентификационные данные этого актива добавляют в общий набор.
На этапе 360 осуществляется принятие решения на основании количества активов, идентичных входящему. Если это количество равно нулю, на этапе 370 создают новый актив. Если это количество равно единице, на этапе 380 обновляют существующий актив. Если это количество больше одного, на этапе 390 объединяют существующие активы и обновляют объединенный актив на основании данных входящего актива.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (62)
1. Способ идентификации информационных активов, при этом под реальным информационным активом понимается совокупность физического или виртуального устройства, такого как сервер, компьютер, сетевое оборудование, подключенного к информационной сети, и установленного на нем программного обеспечения, включая операционную систему, при этом далее в целях краткости под словом «актив», в зависимости от контекста, может пониматься как реальный информационный актив, так и соответствующая ему запись в базе данных, при этом сам способ содержит этапы, на которых:
а) сопоставляют набор идентификационных данных входящего актива множеству идентификационных данных всех существующих записей об активах путем попарного сравнения идентификационных данных входящего актива с каждой существующей записью на основании типа актива и по меньшей мере одного способа проверки идентификационных данных для получения множества существующих активов, соответствующих входящему;
б) множество существующих активов, соответствующих входящему, проверяют на непротиворечивость на основании типа актива и по меньшей мере одного способа проверки идентификационных данных для получения непротиворечивого подмножества активов, идентичных входящему;
в) в случае, если количество существующих активов, идентичных входящему, равно нулю, создают новую запись в базе активов в соответствии с входящими данными;
г) в случае, если количество существующих активов, идентичных входящему, равно одному, обновляют найденную запись в базе активов в соответствии с входящими данными;
д) в случае, если количество существующих активов, идентичных входящему, больше одного, объединяют найденные записи в базе активов и обновляют объединенную запись в соответствии с входящими данными.
2. Способ по п. 1, в котором тип актива может определяться в соответствии с типом операционной системы, где различные типы операционных систем организованы в иерархию наследования, при этом более подробные сведения об операционной системе представляют собой дочерний тип по отношению к более общим, таким образом, в корне дерева наследования находится тип устройства, об операционной системе которого ничего не известно, при этом критерием несоответствия двух активов может считаться невыполнение условия нахождения их типов на одной ветви в иерархии наследования, что исключает возможность объединения записей об этих активах на основании совпадения идентификационных данных.
3. Способ по п. 1, в котором проверка идентификационных данных осуществляется путем сравнения ключей идентификации, упорядоченных по приоритету в соответствии с типом обоих сравниваемых активов и результатом вспомогательных проверок.
4. Способ по п. 3, в котором в качестве ключа идентификации может выступать идентификатор виртуальной машины.
5. Способ по п. 3, в котором в качестве ключа идентификации может выступать множество МАС-адресов всех активных интерфейсов устройства.
6. Способ по п. 3, в котором в качестве ключа идентификации может выступать уникальный идентификатор устройства.
7. Способ по п. 6, в котором в качестве уникального идентификатора устройства может использоваться серийный номер для операционных систем сетевых устройств.
8. Способ по п. 6, в котором в качестве уникального идентификатора устройства может использоваться уникальный идентификатор загрузочного раздела диска для ОС семейств Unix и Microsoft Windows.
9. Способ по п. 3, в котором в качестве ключа идентификации может выступать имя устройства.
10. Способ по п. 3, в котором в качестве ключа идентификации может выступать множество уникальных идентификаторов устройств, входящих в отказоустойчивую группу, для обеспечения возможности представления отказоустойчивой группы устройств как единого узла в сети.
11. Способ по п. 3, в котором в качестве ключа идентификации может выступать множество адресов IPv4 всех активных интерфейсов устройства.
12. Способ по п. 3, в котором в качестве ключа идентификации может выступать множество адресов IPv6 всех активных интерфейсов устройства.
13. Способ по п. 3, в котором в качестве ключа идентификации может выступать полное доменное имя устройства (далее - «FQDN»).
14. Способ по п. 3, в котором критерием соответствия двух активов, для обоих из которых задан идентификатор виртуальной машины, может считаться равенство идентификаторов виртуальной машины сравниваемых активов.
15. Способ по п. 3, в котором критерием несоответствия двух активов, для обоих из которых задан идентификатор виртуальной машины, может считаться неравенство идентификаторов виртуальной машины сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
16. Способ по п. 3, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан идентификатор виртуальной машины, выбор критерия сравнения может производиться в зависимости от результатов дополнительной проверки, устанавливающей, известно ли про оба актива, что они являются виртуальными устройствами.
17. Способ по п. 16, в котором критерием несоответствия двух активов, для обоих из которых известно, что они являются виртуальными устройствами, может считаться отсутствие пересечения множеств МАС-адресов сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
18. Способ по п. 16, в котором для двух активов, для обоих из которых известно, что они являются виртуальными устройствами, в случае пересечения множеств МАС-адресов сравниваемых активов производятся дальнейшие проверки ключей для исключения возможности объединения записей об активах на основании совпадения только МАС-адресов.
19. Способ по п. 18, в котором критерием соответствия двух активов, для обоих из которых задан уникальный идентификатор устройства, может считаться равенство уникальных идентификаторов устройства сравниваемых активов.
20. Способ по п. 18, в котором критерием несоответствия двух активов, для обоих из которых задан уникальный идентификатор устройства, может считаться неравенство уникальных идентификаторов устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
21. Способ по п. 18, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан уникальный идентификатор устройства, критерием соответствия может считаться равенство имен устройства сравниваемых активов.
22. Способ по п. 18, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан уникальный идентификатор устройства, критерием несоответствия может считаться отсутствие имени устройства по меньшей мере у одного из сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
23. Способ по п. 18, в котором при сравнении двух активов, если по меньшей мере у одного из них не задан уникальный идентификатор устройства, критерием несоответствия может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
24. Способ по п. 16, в котором критерием соответствия двух активов, по меньшей мере про один из которых не известно, что он является виртуальным устройством, если для обоих из них задан уникальный идентификатор устройства, может считаться равенство уникальных идентификаторов устройства сравниваемых активов.
25. Способ по п. 16, в котором для двух активов, по меньшей мере про один из которых не известно, что он является виртуальным устройством, если для обоих из них задан уникальный идентификатор устройства и эти идентификаторы неравны, выбор критерия сравнения может производиться в зависимости от результатов дополнительной проверки, устанавливающей, являются ли оба актива устройствами Cisco ASA.
26. Способ по п. 25, в котором критерием несоответствия двух активов может считаться отсутствие соотнесенности по меньшей мере одного из них типу устройства Cisco ASA, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
27. Способ по п. 25, в котором критерием несоответствия двух активов, оба из которых являются устройствами Cisco ASA, может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
28. Способ по п. 25, в котором для двух активов, оба из которых являются устройствами Cisco ASA, в случае совпадения имен устройства сравниваемых активов выбор критерия сравнения может производиться в зависимости от результатов дополнительной проверки, устанавливающей, известно ли про оба актива, что они являются участниками отказоустойчивой группы, для исключения возможности объединения записей об активах, не составляющих одну отказоустойчивую группу, на основании совпадения имени устройства.
29. Способ по п. 28, в котором критерием соответствия двух активов, являющихся участниками отказоустойчивой группы, может считаться равенство множеств уникальных идентификаторов устройств, входящих в отказоустойчивую группу, для обоих активов.
30. Способ по п. 28, в котором критерием несоответствия двух активов, являющихся участниками отказоустойчивой группы, может считаться неравенство множеств уникальных идентификаторов устройств, входящих в отказоустойчивую группу, для обоих активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
31. Способ по п. 28, в котором критерием соответствия двух активов, про один из которых известно, что он является участником отказоустойчивой группы, может считаться вхождение уникального идентификатора устройства второго актива во множество уникальных идентификаторов устройств, входящих в отказоустойчивую группу, первого актива.
32. Способ по п. 28, в котором критерием несоответствия двух активов, про один из которых известно, что он является участником отказоустойчивой группы, может считаться отсутствие вхождения уникального идентификатора устройства второго актива во множество уникальных идентификаторов устройств, входящих в отказоустойчивую группу, первого актива, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
33. Способ по п. 28, в котором критерием соответствия двух активов, про оба из которых неизвестно, являются ли они участниками отказоустойчивой группы, может считаться полное вхождение множества IP-адресов одного актива во множество IP-адресов другого актива, при этом сравнение может производиться для адресов IPv4 и IPv6.
34. Способ по п. 28, в котором критерием несоответствия двух активов, про оба из которых не известно, являются ли они участниками отказоустойчивой группы, может считаться отсутствие полного вхождения множества IP-адресов одного актива во множество IP-адресов другого актива, при этом сравнение может производиться для адресов IPv4 и IPv6, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
35. Способ по п. 16, в котором для двух активов, по меньшей мере про один из которых не известно, что он является виртуальным устройством, и по меньшей мере для одного из которых не задан уникальный идентификатор устройства, установление приоритетов ключей идентификации для дальнейшего сравнения может производиться в зависимости от результатов дополнительной проверки типа сравниваемых активов, для исключения возможности объединения записей об активах на основании совпадения ключей идентификации, корректность и уникальность которых для конкретных операционных систем не гарантируется.
36. Способ по п. 35, в котором основанием для выбора в качестве приоритетного ключа FQDN может считаться принадлежность обоих сравниваемых активов к одному и тому же типу на основании определения операционной системы активов как Microsoft Windows, VMware ESXi или Cisco IOS.
37. Способ по п. 35, в котором критерием соответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что FQDN задано для обоих активов, - может считаться равенство FQDN сравниваемых активов.
38. Способ по п. 35, в котором критерием несоответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что FQDN задано для обоих активов, - может считаться неравенство FQDN сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
39. Способ по п. 35, в котором критерием соответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что по меньшей мере для одного из них FQDN не задано, при этом операционная система обоих активов определена как Cisco IOS и для обоих активов задано имя устройства, - может считаться равенство имен устройства сравниваемых активов.
40. Способ по п. 35, в котором критерием несоответствия двух активов - в случае выбора в качестве приоритетного ключа FQDN, при условии, что по меньшей мере для одного из них FQDN не задано, при этом операционная система обоих активов определена как Cisco IOS и для обоих активов задано имя устройства, - может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
41. Способ по п. 35, в котором критерием соответствия двух активов - в случае, если FQDN не было выбрано в качестве приоритетного ключа, при условии, что для обоих активов задано имя устройства, - может считаться равенство имен устройства сравниваемых активов.
42. Способ по п. 35, в котором критерием несоответствия двух активов - в случае, если FQDN не было выбрано в качестве приоритетного ключа, при условии, что для обоих активов задано имя устройства, - может считаться неравенство имен устройства сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
43. Способ по п. 35, в котором при невыполнении критериев, устанавливающих соответствие или несоответствие сравниваемых активов согласно п. 37-42, выбор критерия сравнения может производиться в зависимости от наличия непустого множества МАС-адресов в ключах обоих активов.
44. Способ по п. 43, в котором критерием соответствия двух активов, для обоих из которых задано непустое множество МАС-адресов, может считаться пересечение множеств МАС-адресов сравниваемых активов.
45. Способ по п. 43, в котором критерием несоответствия двух активов, для обоих из которых задано непустое множество МАС-адресов, может считаться отсутствие пересечения множеств МАС-адресов сравниваемых активов, что исключает возможность объединения записей об этих активах на основании совпадения других ключей идентификации.
46. Способ по п. 43, в котором для двух активов, множество МАС-адресов по меньшей мере одного из которых пусто, выбор критерия сравнения может производиться в зависимости от наличия непустого множества адресов IPv4 в ключах обоих активов.
47. Способ по п. 46, в котором критерием соответствия двух активов, для обоих из которых задано непустое множество адресов IPv4, может считаться пересечение множеств адресов IPv4 сравниваемых активов.
48. Способ по п. 46, в котором критерием несоответствия двух активов, для обоих из которых задано непустое множество адресов IPv4, может считаться отсутствие пересечения множеств адресов IPv4 сравниваемых активов.
49. Способ по п. 46, в котором критерием соответствия двух активов, множество адресов IPv4 по меньшей мере одного из которых пусто, может считаться пересечение множеств адресов IPv6 сравниваемых активов.
50. Способ по п. 46, в котором критерием несоответствия двух активов, множество адресов IPv4 по меньшей мере одного из которых пусто, может считаться отсутствие пересечения множеств адресов IPv6 сравниваемых активов.
51. Способ по п. 1, в котором для получения непротиворечивого подмножества активов, идентичных входящему:
а) множество активов, соответствующих входящему, упорядочивают в обратном хронологическом порядке в соответствии со временем последнего обновления записи об активе;
б) создают общий набор идентификационных данных и заносят туда идентификационные данные входящего актива;
в) задают множество активов, идентичных входящему, как пустое множество;
г) каждую запись из упорядоченного множества активов, соответствующих входящему, последовательно проверяют на соответствие общему набору идентификационных данных на основании тех же способов проверки типа актива и идентификационных данных, которые используются для определения соответствия входящего актива существующим записям, в том же логическом порядке;
д) в случае установления соответствия проверяемой записи общему набору идентификационных данных включают проверяемую запись во множество активов, идентичных входящему, а ее набор идентификационных данных добавляют к общему набору идентификационных данных для исключения возможности объединения с записями, соответствующими входящему активу, но не соответствующими уже проверенным записям.
52. Способ по п. 1, в котором получение множества идентификационных данных всех существующих записей об активах может осуществляться не путем запроса к базе данных активов, а путем сохранения идентификационных данных всех входящих активов и принятых решений по обновлению или объединению записей об активах.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2017117887A RU2681334C2 (ru) | 2017-05-23 | 2017-05-23 | Система и способ идентификации информационных активов |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2017117887A RU2681334C2 (ru) | 2017-05-23 | 2017-05-23 | Система и способ идентификации информационных активов |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| RU2017117887A RU2017117887A (ru) | 2018-11-23 |
| RU2017117887A3 RU2017117887A3 (ru) | 2018-12-13 |
| RU2681334C2 true RU2681334C2 (ru) | 2019-03-06 |
Family
ID=64400965
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2017117887A RU2681334C2 (ru) | 2017-05-23 | 2017-05-23 | Система и способ идентификации информационных активов |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2681334C2 (ru) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EA200501246A1 (ru) * | 2003-02-03 | 2006-02-24 | ТЕННЕССИ ПАСИФИК ГРУП, Эл. Эл. Си. | Распространение и управление правами для цифрового контента |
| US20100002880A1 (en) * | 2007-11-21 | 2010-01-07 | Korea Information Security Agency | SYSTEM AND METHOD FOR LAWFUL INTERCEPTION USING TRUSTED THIRD PARTIES IN SECURE VoIP COMMUNICATIONS |
| RU2453916C1 (ru) * | 2011-05-05 | 2012-06-20 | Игорь Викторович Лебедев | Способ поиска информационных ресурсов с использованием переадресаций |
| WO2012108838A1 (en) * | 2011-02-10 | 2012-08-16 | Smart Hub Pte. Ltd. | System and method of triggering and executing active content on a recipient device |
| RU2657170C2 (ru) * | 2010-07-01 | 2018-06-08 | Онапсис, Инк. | Автоматизированная оценка безопасности критически важных для бизнеса компьютерных систем и ресурсов |
-
2017
- 2017-05-23 RU RU2017117887A patent/RU2681334C2/ru not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EA200501246A1 (ru) * | 2003-02-03 | 2006-02-24 | ТЕННЕССИ ПАСИФИК ГРУП, Эл. Эл. Си. | Распространение и управление правами для цифрового контента |
| US20100002880A1 (en) * | 2007-11-21 | 2010-01-07 | Korea Information Security Agency | SYSTEM AND METHOD FOR LAWFUL INTERCEPTION USING TRUSTED THIRD PARTIES IN SECURE VoIP COMMUNICATIONS |
| RU2657170C2 (ru) * | 2010-07-01 | 2018-06-08 | Онапсис, Инк. | Автоматизированная оценка безопасности критически важных для бизнеса компьютерных систем и ресурсов |
| WO2012108838A1 (en) * | 2011-02-10 | 2012-08-16 | Smart Hub Pte. Ltd. | System and method of triggering and executing active content on a recipient device |
| RU2453916C1 (ru) * | 2011-05-05 | 2012-06-20 | Игорь Викторович Лебедев | Способ поиска информационных ресурсов с использованием переадресаций |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2017117887A (ru) | 2018-11-23 |
| RU2017117887A3 (ru) | 2018-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11095524B2 (en) | Component detection and management using relationships | |
| US11552951B2 (en) | Processing changes to authorized keys | |
| US10795643B2 (en) | System and method for resource reconciliation in an enterprise management system | |
| US8645543B2 (en) | Managing and reconciling information technology assets in a configuration database | |
| US8813225B1 (en) | Provider-arbitrated mandatory access control policies in cloud computing environments | |
| US8914787B2 (en) | Registering software management component types in a managed network | |
| KR101956486B1 (ko) | 단말 식별자들을 용이하게 하는 방법 및 시스템 | |
| US11122411B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using block chain | |
| US10079724B2 (en) | Consensus-based network configuration management | |
| US20210160241A1 (en) | System And Method For Identification Of Information Assets | |
| US20150213272A1 (en) | Conjoint vulnerability identifiers | |
| US20080208958A1 (en) | Risk assessment program for a directory service | |
| US8640209B2 (en) | Authentication information change facility | |
| US8554889B2 (en) | Method, system and apparatus for managing computer identity | |
| US7321561B2 (en) | Verification of connections between devices in a network | |
| RU2681334C2 (ru) | Система и способ идентификации информационных активов | |
| US20230319115A1 (en) | Systems and methods for validating, maintaining, and visualizing security policies | |
| US11588678B2 (en) | Generating incident response action recommendations using anonymized action implementation data | |
| US10936488B1 (en) | Incident response in an information technology environment using cached data from external services | |
| JP2000354062A (ja) | 通信システムおよび方法 | |
| US20210216662A1 (en) | Data management method, data management system, and terminal | |
| WO2024183026A1 (zh) | 一种网络功能的实现方法及装置 | |
| US20240333594A1 (en) | Integrating clustered network orchestrator with host configuration protocols | |
| CN115914233A (zh) | 端口转发流管理方法、装置、电子设备及存储介质 | |
| CN115333951A (zh) | 网络资产信息的生成方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200524 |