TWI804386B - 用於計算系統中資料之合規風險管理 - Google Patents

用於計算系統中資料之合規風險管理 Download PDF

Info

Publication number
TWI804386B
TWI804386B TW111126780A TW111126780A TWI804386B TW I804386 B TWI804386 B TW I804386B TW 111126780 A TW111126780 A TW 111126780A TW 111126780 A TW111126780 A TW 111126780A TW I804386 B TWI804386 B TW I804386B
Authority
TW
Taiwan
Prior art keywords
data set
stack
compliance
computer
nodes
Prior art date
Application number
TW111126780A
Other languages
English (en)
Other versions
TW202319943A (zh
Inventor
帕斯卡 維奇
約翰 G 魯尼
路易斯 加賽斯 艾瑞斯
Original Assignee
美商萬國商業機器公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商萬國商業機器公司 filed Critical 美商萬國商業機器公司
Publication of TW202319943A publication Critical patent/TW202319943A/zh
Application granted granted Critical
Publication of TWI804386B publication Critical patent/TWI804386B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Machine Translation (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Supply Devices, Intensifiers, Converters, And Telemotors (AREA)

Abstract

本發明之實施例提供方法、電腦程式產品及系統。對於該系統中之各資料集,本發明之實施例可識別該資料集所依賴之階層式相依系統組件的至少一個堆疊,且產生具有藉由有向邊互連之節點的一系統圖。各資料集對一堆疊之相依性及各堆疊中連續組件之間的相依性由該圖形之節點之間的一有向邊表示。本發明之實施例可接著針對各資料集而將一堆疊相依合規分數計算為藉由自對應於該資料集之該節點遍歷該圖形中之有向邊所達的節點之一集合的該等合規分數之一函數,且若一資料集之該堆疊相依合規分數違反該資料集之一預定風險臨限值,則產生一警示。

Description

用於計算系統中資料之合規風險管理
本發明大體上係關於用於計算系統中資料之合規風險管理。提供用於管理計算系統中資料之合規風險的電腦實施方法,連同實施此類方法之設備及電腦程式產品。
通常,計算系統必須遵從各種內部及外部定義之標準。舉例而言,為遵從基本的安全及監管要求,系統必須實施針對未經授權之系統存取的安全措施且滿足關於系統中資料之保護及隱私的法律要求。可部署各種合規評定應用程式以評定系統組件(例如,應用程式、儲存系統、虛擬機、超管理器等)關於相關要求之效能。合規評定展示哪些組件存在違反適用於系統之標準的風險。
習知合規評定聚焦於個別系統組件。舉例而言,一些合規評定服務允許使用者識別基於雲端之系統中存在風險的資源,其中此處之資源類型為系統組件及雲端服務。此合規服務運行各種檢查,計算合規分數,且顯示被檢查資源之結果。另一實例為由Red Hat公司開發之Openshift Compliance Operator應用程式。此應用程式可檢查OpenShift平台及底層基礎架構的合規狀態且計算兩者之合規分數。
為確保計算系統安全地操作且適當地保護其資料資產,需要經改良之技術來確保合規性,尤其關於管理此等系統中資料之合規風險的技術。
本發明之第一態樣提供一種用於管理計算系統中資料之合規風險的電腦實施方法。該方法包括:針對系統中之各資料集,識別該資料集所依賴之階層式相依系統組件的至少一個堆疊;及產生具有藉由有向邊互連之節點的系統圖。各資料集以及各堆疊中之各組件由系統圖之對應節點表示。各資料集對堆疊之相依性及各堆疊中連續組件之間的相依性由圖形之節點之間的有向邊表示。儲存對應於系統組件之各別節點的合規分數,其中節點之合規分數與對應系統組件有關。該方法進一步包含:針對各資料集,將堆疊相依合規分數計算為藉由自對應於該資料集之節點遍歷圖形中之有向邊所達的節點之集合的合規分數之函數;及若資料集之堆疊相依合規分數違反該資料集之預定風險臨限值,則產生警示。
本發明之另一態樣提供用於管理計算系統中資料之合規風險的設備。該設備包括:系統分析器邏輯,其適於針對系統中之各資料集而識別該資料集所依賴之階層式相依系統組件的至少一個堆疊;及圖形產生器邏輯,其適於產生系統圖,如上文所描述。該設備進一步包含:記憶體,其用於儲存系統圖以及節點之合規分數,如上文所描述;連同合規管理器邏輯,其適於針對各資料集而計算堆疊相依合規分數且產生警示,如上文所描述。
本發明之另一態樣提供一種包含電腦可讀儲存媒體之電腦程式產品,該電腦可讀儲存媒體體現程式指令,該等程式指令可由計算系統執行,以使得計算系統實施上文所描述之用於管理計算系統中資料之合規風險的方法。
下文將參看隨附圖式作為說明性且非限制性實例更詳細地描述本發明之實施例。
本發明之實施例允許以考量系統之資料集與個別組件之間的各種相依性的方式來管理計算系統中資料之合規風險。典型計算系統之組件並不獨立地操作。各組件通常依賴於一或多個其他組件,該組件以某種方式與該一或多個其他組件互動。應用程式依賴於底層平台及基礎架構,虛擬機依賴於超管理器、超管理器及作業系統依賴於底層硬體資源等。因此,由特定應用程式處理或儲存於特定儲存系統上之資料集依賴於階層式相依系統組件之堆疊,該等組件中之各者以按階層向下遍歷堆疊之次序依賴於另一者。任何給定資料集可依賴於一或多個此類堆疊,且資料集及組件之整體相依性在許多計算環境中可為複雜的。
藉由聚焦於個別組件之合規性,先前的合規評定技術忽略了此等相依性之重要影響。不合規組件將不會影響周圍組件之合規性,例如,若儲存系統為不合規的,則此系統將不會對在儲存系統上儲存資料之資料庫服務產生合規影響。實際上,歸因於系統相依性,可能會產生相當大的影響。體現本發明之方法藉由以表示系統中相依性之圖形之形式產生專門資料結構來適應此影響,且接著使用此圖形以針對系統中之各資料集而計算堆疊相依合規分數。若所得分數指示合規風險,則產生警示,從而允許採取動作以降低此風險。藉由適應資料與組件之間及系統中堆疊組件之間的相依性,堆疊相依合規分數量化資料資產之真實風險。此等分數提供關於整個系統之合規狀態的完整確證,使得能夠在必要時採取動作以確保資料受到保護。因此,體現本發明之方法顯著地改良計算系統之合規管理,從而提供具有對資料資產之更好保護的經改良之系統。
可將針對資料集產生之警示輸出至操作者以便採取適當動作。此外或作為替代例,較佳方法包括回應於針對資料集之警示,在系統中起始動作以降低該資料集之合規風險。此動作可包含一或多個操作,諸如:限制系統中對資料集之存取權限;刪除資料集;隔離儲存資料集之系統組件;及重組態資料集所依賴的系統組件之堆疊。適當動作之選擇可基於預定義規則,該等預定義規則可適應各種參數,諸如資料分類(機密、公開、個人等)、風險程度及基於組件之貢獻合規分數的不合規來源。此允許在必要時採取基本動作以保護系統資料,而無需等待操作者干預。
資料集之堆疊相依合規分數可計算為前述節點集合之合規分數及資料集之預定義最大合規分數的函數。在計算資料集之堆疊相依分數時,較佳實施例藉由自對應於該資料集之節點遍歷有向邊直至圖形中之預定最大深度來識別前述節點集合。此簡化了處理且克服了相依性路徑在用於複雜環境之系統圖中可能循環的問題。然而,有利地,較佳實施例可將某些相依性指定為對於判定合規風險至關重要。特定言之,對於系統圖中表示相依性類型之預定義集合中之一者的任何邊,可將該邊識別為在識別節點集合時必須遍歷以用於計算資料集之堆疊相依分數的「優先邊」。在此等實施例中,藉由自對應於資料集之節點遍歷有向邊直至圖形中之預定最大深度來判定節點集合,但須始終遍歷對應於資料集之堆疊中之組件的節點之間的任何優先邊。此確保始終遍歷表示可能會嚴重影響資料合規性之關鍵相依性的邊。
尤其較佳實施例可藉由針對圖形之各邊依賴於由該邊表示之相依性類型而定義權重來進一步適應組件之間的不同類型之相依性。此等方法將前述集合中之各節點的影響分數計算為該節點之合規分數及經遍歷以到達該節點之有向邊之權重的函數。接著將資料集之堆疊相依合規分數計算為集合中之節點之影響分數的函數。此允許根據系統中之不同相依性程度而調整節點對堆疊相依性分數之貢獻。
有利地,系統圖之產生可基於自計算系統所自動獲取之標準後設資料。特定言之,實施例可存取計算系統中所提供之至少一個系統詳細目錄以獲得指示系統組件之組態的系統後設資料,且存取計算系統中所提供之至少一個資料編目以獲得指示系統中之各資料集之位置及使用狀況的資料後設資料。此等方法可接著自系統後設資料及資料後設資料識別用於各資料集之系統組件之堆疊。類似地,較佳方法包括與計算系統中所提供之至少一個合規應用程式通信以獲得圖形之節點的合規分數。此外,較佳方法可回應於偵測到系統中之事件而動態地更新系統圖。此處之事件可包含:添加資料集;刪除資料集;對用於資料集之系統組件的堆疊之改變;及圖形之節點的合規分數之改變。此等方法可接著針對受事件影響之(至少)各資料集而計算新的堆疊相依合規分數。此提供可適應系統操作期間之改變的自適應程序,從而重新評估合規分數以確保以適當方式保護所有資料。
一些實施例亦可計算表示系統組件之節點的堆疊相依合規分數。體現本發明之方法的此以及其他特徵及優勢將在下文中更詳細地描述。
本發明可為一種系統、一種方法及/或一種電腦程式產品。該電腦程式產品可包括一(或多個)電腦可讀儲存媒體,其上具有電腦可讀程式指令以使處理器進行本發明之態樣。
電腦可讀儲存媒體可為有形裝置,其可持留及儲存指令以供指令執行裝置使用。電腦可讀儲存媒體可為例如但不限於電子儲存裝置、磁性儲存裝置、光學儲存裝置、電磁儲存裝置、半導體儲存裝置或前述各者之任何合適組合。電腦可讀儲存媒體之更特定實例之非窮盡性清單包括以下各者:攜帶型電腦磁片、硬碟、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除可程式化唯讀記憶體(EPROM或快閃記憶體)、靜態隨機存取記憶體(SRAM)、攜帶型光碟唯讀記憶體(CD-ROM)、數位化通用光碟(DVD)、記憶棒、軟碟、經機械編碼裝置(諸如,上面記錄有指令之打孔卡或凹槽中之凸起結構)及前述各者之任何合適組合。如本文中所使用,不應將電腦可讀儲存媒體本身解釋為暫時性信號,諸如無線電波或其他自由傳播之電磁波、經由波導或其他傳輸媒體傳播之電磁波(例如,經由光纖纜線傳遞之光脈衝),或經由電線傳輸之電信號。
本文中所描述之電腦可讀程式指令可自電腦可讀儲存媒體下載至各別計算/處理裝置或經由網路(例如,網際網路、區域網路、廣域網路及/或無線網路)下載至外部電腦或外部儲存裝置。網路可包含銅傳輸纜線、光學傳輸光纖、無線傳輸、路由器、防火牆、交換器、閘道器電腦及/或邊緣伺服器。各計算/處理裝置中之網路配接器卡或網路介面自網路接收電腦可讀程式指令且轉遞電腦可讀程式指令以供儲存於各別計算/處理裝置內之電腦可讀儲存媒體中。
用於進行本發明之操作的電腦可讀程式指令可為以一或多種程式設計語言之任何組合編寫的組譯器指令、指令集架構(ISA)指令、機器指令、機器相依指令、微碼、韌體指令、狀態設定資料或原始程式碼或目標碼,該一或多種程式設計語言包括諸如Smalltalk、C++或其類似者之物件導向式程式設計語言,及習知程序性程式設計語言,諸如「C」程式設計語言或類似程式設計語言。電腦可讀程式指令可完全在使用者電腦上執行、部分地在使用者電腦上執行、作為獨立套裝軟體執行、部分地在使用者電腦上執行且部分地在遠端電腦上執行,或完全在遠端電腦或伺服器上執行。在後一情境中,遠端電腦可經由包括區域網路(LAN)或廣域網路(WAN)之任何類型之網路連接至使用者之電腦,或可連接至外部電腦(例如,使用網際網路服務提供者經由網際網路)。在一些實施例中,包括例如可程式化邏輯電路系統、場可程式化閘陣列(FPGA)或可程式化邏輯陣列(PLA)之電子電路系統可藉由利用電腦可讀程式指令之狀態資訊來個人化電子電路系統而執行電腦可讀程式指令,以便執行本發明之態樣。
本文中參考根據本發明之實施例的方法、設備(系統)及電腦程式產品之流程圖說明及/或方塊圖來描述本發明之態樣。應理解,可藉由電腦可讀程式指令實施流程圖說明及/或方塊圖之各區塊,以及流程圖說明及/或方塊圖中之區塊的組合。
可將此等電腦可讀程式指令提供至通用電腦、專用電腦或其他可程式化資料處理設備之處理器以產生機器,以使得經由該電腦或其他可程式化資料處理設備之處理器執行之指令創建用於實施一或多個流程圖及/或方塊圖區塊中所指定之功能/動作的構件。亦可將此等電腦可讀程式指令儲存於電腦可讀儲存媒體中,該等指令可指導電腦、可程式化資料處理設備及/或其他裝置以特定方式起作用,使得儲存有指令之電腦可讀儲存媒體包含製品,該製品包括實施該一或多個流程圖及/或方塊圖區塊中所指定之功能/動作之態樣的指令。
電腦可讀程式指令亦可載入至電腦、其他可程式化資料處理設備或其他裝置上,以使一系列操作步驟在電腦、其他可程式化設備或其他裝置上執行以產生電腦實施程序,使得在電腦、其他可程式化設備或其他裝置上執行之指令實施一或多個流程圖及/或方塊圖區塊中所指定之功能/動作。
諸圖中之流程圖及方塊圖說明根據本發明之各種實施例的系統、方法及電腦程式產品之可能實施之架構、功能性及操作。就此而言,流程圖或方塊圖中之各區塊可表示指令之模組、片段或部分,其包含用於實施指定邏輯功能之一或多個可執行指令。在一些替代實施中,區塊中所提到的功能可能不以諸圖中所提到的次序發生。舉例而言,取決於所涉及的功能性,連續展示之兩個區塊實際上可實質上同時執行,或該等區塊可有時以相反次序執行。亦將注意,可藉由執行指定功能或動作或進行專用硬體及電腦指令之組合的基於專用硬體之系統來實施方塊圖及/或流程圖說明之各區塊,及方塊圖及/或流程圖說明中之區塊之組合。
待描述之實施例可作為用於管理計算系統中資料之合規風險的電腦實施方法來執行。此類方法可藉由包含一或多個通用或專用電腦之計算設備來實施,該等電腦之各者可包含一或多個(真實或虛擬)機器,從而提供用於實施本文中所描述之操作的功能性。體現本發明之方法之步驟可藉由程式指令(例如,程式模組)來實施,該等程式指令藉由系統之處理設備來實施。一般而言,程式模組可包括執行特定任務或實施特定抽象資料類型之常式、程式、物件、組件、邏輯、資料結構等。計算系統可實施於諸如雲端計算環境之分散式計算環境中,其中任務由經由通信網路鏈接之遠端處理裝置執行。在分散式計算環境中,程式模組可位於包括記憶體儲存裝置的本端及遠端電腦系統儲存媒體兩者中。
圖1為用於實施體現本發明之方法的例示性計算設備之方塊圖100。計算設備以通用電腦1之形式展示。電腦1之組件可包括:處理設備,諸如由處理單元2表示之一或多個處理器;系統記憶體3;及將包括系統記憶體3之各種系統組件耦接至處理單元2的匯流排4。
匯流排4表示任何若干類型之匯流排結構中之一或多者,包括記憶體匯流排或記憶體控制器、周邊匯流排、加速圖形埠及使用多種匯流排架構中之任一者的處理器或區域匯流排。作為實例且非限制,此類架構包括工業標準架構(ISA)匯流排、微通道架構(MCA)匯流排、增強型ISA (EISA)匯流排、視訊電子標準協會(VESA)區域匯流排及周邊組件互連(PCI)匯流排。
電腦1通常包括多種電腦可讀媒體。此類媒體可為可由電腦1存取之任何可用媒體,包括揮發性及非揮發性媒體以及抽取式及非抽取式媒體。舉例而言,系統記憶體3可包括呈揮發性記憶體形式之電腦可讀媒體,諸如隨機存取記憶體(RAM) 5及/或快取記憶體6。電腦1可進一步包括其他抽取式/非抽取式、揮發性/非揮發性電腦系統儲存媒體。僅作為實例,可提供儲存系統7以用於自非抽取式式、非揮發性磁性媒體(通常被稱作「硬碟」)讀取且寫入至非抽取式式、非揮發性磁性媒體。儘管未展示,但亦可提供用於自抽取式、非揮發性磁碟(例如,「軟碟」)讀取且寫入至抽取式、非揮發性磁碟之磁碟機,及用於自抽取式、非揮發性光碟(諸如,CD-ROM、DVD-ROM或其他光學媒體)讀取且寫入至抽取式、非揮發性光碟之光碟機。在此等例子中,各者可藉由一或多個資料媒體介面連接至匯流排4。
記憶體3可包括具有一或多個程式模組之至少一個程式產品,該一或多個程式模組經組態以執行本發明之實施例的功能。作為實例,具有一組(至少一個)程式模組9之程式/公用程式8以及作業系統、一或多個應用程式、其他程式模組及程式資料可儲存於記憶體3中。作業系統、一或多個應用程式、其他程式模組及程式資料或其某一組合中之各者可包括網路連接環境之實施。程式模組9通常執行本文中所描述之本發明之實施例的功能及/或方法。
電腦1亦可與以下各者進行通信:一或多個外部裝置10,諸如鍵盤、指標裝置、顯示器11等;使得使用者能夠與電腦1互動之一或多個裝置;及/或使得電腦1能夠與一或多個其他計算裝置進行通信之任何裝置(例如,網路卡、數據機等)。此通信可經由輸入/輸出(I/O)介面12發生。電腦1亦可經由網路配接器13與諸如區域網路(LAN)、通用廣域網路(WAN)及/或公用網路(例如,網際網路)之一或多個網路進行通信。如所描繪,網路配接器13經由匯流排4與電腦1之其他組件通信。電腦1亦可與用於實施本發明之實施例的諸如圖形處理單元(GPU)或FPGA的額外處理設備14進行通信。應理解,儘管未展示,但可結合電腦1使用其他硬體及/或軟體組件。實例包括但不限於:微碼、裝置驅動器、冗餘處理單元、外部磁碟驅動機陣列、RAID系統、磁帶機及資料存檔儲存系統等。
圖2示意性地示出用於管理計算系統中之資料合規風險的例示性計算設備之組件模組。設備20包含記憶體21及控制邏輯(一般以22指示),該控制邏輯包含用於管理計算系統(此處為資料中心23)中資料之合規風險的功能性。控制邏輯22包含系統分析器24、系統圖產生器25及合規管理器26。此等邏輯模組中之各者包含用於實施下文所詳述之合規管理程序之特定步驟的功能性。在此程序期間,邏輯模組可經由使用者介面(UI) 27與系統操作者進行通信,該使用者介面顯示於使用者電腦處以便使用者與系統互動。在以下較佳實施例中,如圖中藉由虛線所指示,系統分析器24包括事件監視器模組28,且合規管理器26包括動作系統管理器模組29。
邏輯模組24至26與儲存用於設備20之操作中之各種資料結構的記憶體21介接。此等資料結構包括用於待管理之系統23的後設資料31之集合;藉由圖形產生器25在操作中產生之系統圖32;由{ c i } ( i=1、2、3、……)表示之合規分數33之集合,其與系統圖32之各別節點 n i 相關聯;及由{ C j } ( j= 1、2、3、……)表示之堆疊相依合規分數34之集合,其由合規管理器26針對系統23中之各別資料集 d j 產生。記憶體21亦可儲存記錄系統事件及在以下較佳實施例中由設備所實施之系統管理動作的日誌35。
設備20可在待管理之計算系統23的本端或遠端,且在一些實施例中可整合於系統中。一般而言,邏輯模組24至26之功能性可藉由軟體(例如,程式模組)或硬體或其組合來實施。在其他實施例中,所描述之功能性可在系統模組之間以不同方式分配,且可組合一或多個模組之功能性。設備20之各種組件可提供於計算系統之一或多個電腦中。舉例而言,所有模組可提供於電腦1中,在該電腦上向操作者顯示UI 27,或模組可提供於一或多個電腦/伺服器中,使用者電腦可經由網路連接至該一或多個電腦/伺服器以便經由UI 27與設備互動。一般而言,此網路可包含一或多個組件網路及/或網間網路,其包括網際網路。系統記憶體21可藉由與實施設備20之一或多個電腦相關聯的一或多個記憶體/儲存組件來實施。
設備20中之合規管理程序使用預儲存於記憶體21中之用於待管理之系統23的後設資料31。此後設資料包含系統後設資料及資料後設資料兩者。系統後設資料識別各種系統組件且指示該等組件如何經組態於系統中。舉例而言,典型資料中心包含可群集於資料中心網路內之多個電腦/伺服器之網路,連同儲存系統(固態硬碟、光學儲存裝置、磁帶儲存系統等)及網路裝置(路由器、交換器、網路控制器等)。任何給定伺服器可支援一或多個作業系統/平台,其中超管理器運行一或多個虛擬機,該一或多個虛擬機又運行系統中之一或多個應用程式/服務(可能在一或多個容器內)。依賴於所管理系統之類型及組態,系統組件可因此包含應用程式、服務、作業系統、平台、虛擬機、超管理器、容器、儲存系統、實體機器、網路裝置、網路、網路叢集、資料中心、資料中心之叢集等。資料後設資料指示各資料集在系統中何處儲存及處理。各種其他後設資料可與系統資料集相關聯。舉例而言,通常根據敏感度對資料進行分類,例如公眾、個人、機密等,其中較敏感資料具有較高分類,且此資料分類將包括於用於資料集之後設資料中。在一些實施例中,後設資料31可藉由經由UI 27之操作者輸入來定義,例如對於具有相對較少資源之簡單系統。然而,在較佳實施例中,如下文所解釋,後設資料31可藉由掃描系統23自動獲得。
圖3描繪指示設備20中之合規管理程序之基本步驟的流程圖300。在步驟40中,系統分析器24處理後設資料31以針對系統23中之各資料集 d j 而識別該資料集所依賴之階層式相依系統組件之一或多個堆疊。圖4展示此堆疊之一個實例(例如,實例堆疊400)。此處,藉由運行於虛擬機(VM) X上之應用程式(app) A來處理資料集 d 1。VM在超管理器(hyp) H上運行,該超管理器又在位於資料中心 Y中之裸機伺服器(BM) S上運行。資料集 d 1因此依賴於自app A向下至資料中心 Y之組件之堆疊,其中各組件依賴於在向下遍歷堆疊之階層次序上的下一者。在典型計算系統23中,任何給定資料集可依賴於組件之一或多個此類堆疊,例如其中資料集係藉由多個應用程式處理。系統分析器24將定義各資料集 d j 之組件堆疊的資料傳遞至系統圖產生器25。
在步驟41中,圖形產生器25產生系統圖,該系統圖具有藉由有向邊互連之節點(頂點),從而表示系統23中之組件及相依性。各資料集 d j 及該資料集之各堆疊中的各組件由圖形之對應節點表示。邊表示系統中之相依性。因此,各資料集對堆疊之相依性及各堆疊中連續組件之間的相依性由圖形之相關節點之間的有向邊表示。定義所得系統圖的資料以32儲存於系統記憶體21中。
圖3之步驟42表示將指派給系統圖32之對應節點 n i 的系統組件之合規分數33儲存於系統記憶體21中。節點 n i 之合規分數 c i 為藉由系統23之習知合規應用程式/服務所判定的關於對應系統組件的個別合規分數。在一些實施例中,此等合規分數可由操作者輸入,或可自系統自動獲得,如下文所描述。節點之合規分數 c i 可儲存為系統圖32中之各別節點 n i 的相關性質或標記。
在步驟43中,當完全填充系統圖時,合規管理器26處理該圖形以針對系統中之各資料集 d j 而計算堆疊相依合規分數。此程序更詳細地展示於圖5中(例如,流程圖500)。在此處之步驟46中,合規管理器選擇系統圖32中對應於資料集 d j 之節點 n j 。在步驟47中,合規管理器自節點 n j 遍歷圖形中之有向邊以識別藉由自圖形中之 n j 遍歷邊可達的節點之集合,其由{ n k }表示。此搜尋可識別可自資料集節點 n j 可達之所有節點或可能受到下文所描述之各種約束。在步驟48中,合規管理器擷取所得節點集合{ n k }之合規分數{ c k }。在步驟49中,將堆疊相依合規分數 C j 計算為合規分數{ c k }之函數,該函數在此處由 F指示。舉例而言,在簡單實施例中,函數 F包含{ n k }中各節點之合規分數的單調遞增函數,藉此節點之較高個別分數導致較高堆疊相依分數。若合規分數不可用於節點 n k ,則自計算中簡單地省略此分數。
返回圖3,在決策步驟44中,合規管理器檢查堆疊相依分數 C j 是否違反該資料集之預定風險臨限值 Th j ,此違反表明資料存在風險。風險臨限值 Th j 可藉由操作者輸入來預定義或可如下文所解釋自動計算。此處假定:較高合規分數指示較好合規性,步驟44檢查 C j 是否低於資料集之臨限值 Th j 。若如此,則違反風險臨限值,且在步驟45中,合規管理器針對資料集產生警示。此警示可經由UI 27輸出至操作者以便採取適當動作,及/或可促進合規管理器26採取進一步動作,如下文所描述。
圖6示出展示計算系統23中之三個資料集之相依性的系統圖(例如,圖形600)之一部分。各種邊之相依性類型指示於括號中。此處,資料集 d 1依賴於對應於圖4中所展示之堆疊的一個組件堆疊。資料集 d 2依賴於經由虛擬機VM2之兩個堆疊,該虛擬機在超管理器Hyp1上運行且亦連接至虛擬機VM3。資料集 d 3亦依賴於兩個堆疊,一個經由在超管理器Hyp2上運行之VM3且另一個經由應用程式app2,該應用程式在運行於VM4及Hyp2上之應用程式容器con1中運行。在圖3之步驟47中,若節點集合{ n k }含有自資料集節點 d j 可達之所有節點,則 d j 之所有堆疊中之所有節點的合規分數將容納於堆疊相依分數中,從而針對各資料集提供「全堆疊」合規分數 C j
可看出,以上程序適應如下事實:系統圖之節點之間的關係係可傳遞的。舉例而言,若虛擬機在不合規超管理器上運行,則在該虛擬機上運行之應用程式的合規性亦將受損。藉由在有向圖中用整個計算系統23之合規資訊、相依性及資料資產來表示該計算系統,合規管理程序解決相依組件與資料集之間的隱藏合規影響以量化資料之真實風險,藉此可採取動作以確保恰當地保護資料。
現將更詳細地描述設備20之較佳實施例的操作。在此實施例中,系統分析器24適於掃描計算系統23以獲得合規管理程序所需的後設資料。可在此處掃描整個系統23,或此掃描的範圍可藉由經由UI 27之操作者輸入來定義,例如對於由支援多個使用者帳戶之系統23中之特定使用者(例如,特定公司)所使用的系統資源。
圖7展示流程圖700,其描繪此處由系統分析器執行之步驟。在步驟50中,系統分析器存取系統23中所維護之一或多個系統詳細目錄以獲得系統後設資料,其指示在所界定之掃描範圍內的系統組件之組態。類似地,在步驟52中,系統分析器存取系統23中所提供之一或多個資料編目以獲得資料後設資料,其指示各資料集之儲存位置及使用狀況,亦即,何者處理資料。在步驟53中,系統分析器與系統23中之一或多個合規監視應用程式通信以獲得在掃描範圍內之系統組件的本端合規分數,其將由系統圖中之節點表示。因此,藉由呼叫系統23中之適當應用程式設計介面(API)而自動獲得用於填充系統圖之所有相關資料。
在步驟52中獲得之用於資料集的後設資料包括資料安全性/敏感性分類的情況下,在步驟54中,系統分析器將資料集之風險臨限值 Th j 計算為特定資料分類的函數,使得針對更敏感資料定義更高的風險臨限值。在步驟55中,大體上如上文所描述,系統分析器識別資料集之組件堆疊及相依性。然而,此處系統分析器識別一對組件之間的特定類型之相依性。舉例而言,相依性類型可為在圖6之系統圖中之括號中所指示的該等相依性類型。在步驟56中,將分析結果(亦即,經識別之資料集及組件)以及其相關聯的相依性、相依性類型、合規分數及風險臨限值一起輸出至圖形產生器25。接著完成當前掃描之系統分析。
隨後的合規管理程序(例如,流程圖800)展示於圖8中。在步驟60中,大體上如上文所描述,圖形產生器25產生系統圖。組件節點係以其本端合規分數 c i 標記,且資料集節點係以其風險臨限值 Th j 標記。在此實施例中,圖形產生器亦用依賴於由各邊所表示之相依性類型的權重 w來標記該邊。權重 w反映各種相依性在其對資料合規性之潛在影響方面的相對重要性。舉例而言,在超管理器上運行之VM相比連接至另一VM之VM更緊密地耦接。因此,將介於0 (無合規影響)與1 (最大合規影響)之間的權重 w指派給各類型之邊。作為實例,可如下向圖6之相依性指派權重: 相依性類型                 權重 在……上運行              1 在……上儲存              0.7 由……處理                 0.5 連接至                        0.2 位於……中                 0.2
此外,圖形產生器25藉由將優先標記 p設定為 p=1而將某些邊標記為「優先邊」。特定言之,表示相依性類型之預定義集合中之一者的任何邊皆識別為優先邊。相依性類型之此集合包含可嚴重影響資料合規性的關鍵相依性。舉例而言,處理資料之應用程式可能會受到運行應用程式之VM之不合規的嚴重影響。底層超管理器又可能會嚴重損害VM。因此,在上述清單中,任何「在……上運行」邊皆標記為優先邊。在此實例中,所有其他邊類型皆標記為 p= 0。然而,其他邊類型可包括在優先集合中,此係因為其被視為適於給定系統。
在系統圖產生之後,合規管理器26針對待管理系統中之各資料集 d j 執行圖8之步驟61至71。在步驟61中,對應資料集節點 n j 位於圖形中且迴圈計數器 h經初始化為0。接著針對自資料集節點 n j 引出之各有向邊執行步驟62至66。在步驟62中,將邊遍歷至下一節點 n k ,且在步驟63中計算節點 n k 之影響分數 I k 。影響分數 I k 係計算為 n k 之合規分數及經遍歷以到達該節點之有向邊的權重(在圖中由 w k 表示)的函數 f。在此實例中,本端合規分數 c i 係定義為百分比,且 I k 係計算為 I k = w k (1 - c k /100),其中 c k 為節點 n k 之合規分數。接著遞增迴圈計數器 h且操作繼續進行至步驟64。此步驟檢查 h是否已達到定義圖中之最大搜尋深度的最大跳躍計數 D max 。若否,則操作返回至步驟62以進行下一跳躍。
當在步驟64處 h= D max 時,操作繼續進行至決策65。此處,合規管理器檢查自當前節點 n k 可達的路徑中之任何優先邊( p= 1),其對應於堆疊中較低的優先相依性。對於此處具有優先邊之任何路徑,合規管理器針對路徑中直至最後一條優先邊之末端的所有節點 n k 計算影響分數 I k 。接著操作繼續進行至步驟67。若在步驟65處未偵測到具有優先邊之路徑,則操作直接移至步驟67。
在步驟67中,將當前資料集 d j 之堆疊相依分數 C j 計算為在步驟63及66中針對節點而計算之影響分數的函數。因此,資料集之總分數 C j 依賴於節點之集合的影響分數,該等節點係藉由自資料集節點 n j 遍歷有向邊直至最大深度 D max 而到達,但須始終遍歷對應於資料集之組件堆疊中之一對組件的節點之間的任何優先邊。在此實例中,分數 C j 係計算為:
Figure 02_image001
,其中
Figure 02_image003
為資料集之預定義最大合規分數,例如
Figure 02_image003
=100。
在步驟68中,合規管理器檢查當前資料集 d j 之堆疊相依分數 C j 是否違反資料集節點 n j 的風險臨限值 Th j 。若否,則該資料集之操作完成。然而,若在步驟68處識別到風險,則合規管理器起始適當動作以降低風險。在此處之步驟69中,動作系統管理器模組29選擇適當動作以保護資料。所選擇的動作可涉及一或多個預定義動作,諸如:限制系統中對資料集之存取權限;刪除資料集;隔離儲存資料集之系統組件;及重組態用於資料集之系統組件的堆疊。動作選擇可基於動作系統管理器29中之預定義規則,其中規則可適應各種參數,諸如資料分類、風險程度及基於組件之貢獻合規分數的不合規來源。舉例而言,若超管理器經識別為不合規之主要來源,則在此超管理器上運行之VM可能遷移至不同的、更合規的超管理器。可藉由將儲存資料集之機器關機來隔離資料,或可撤銷除最高權限使用者以外的所有使用者的存取權限。若風險被視為關鍵的,則可刪除分類較高之資料集。一般而言,根據系統中必要的存取權限,可實施任何系統管理動作,以降低風險且適當地保護資料。在圖8之步驟70中,所選擇動作係由動作系統管理器29實施。在步驟71中,將動作記錄於動作日誌35中,且向操作者輸出警示以供審查。
圖9展示針對圖6之圖形中之資料集 d 1的合規分數計算的實例(例如,實例900)。如圖中所示,此計算假定本端合規分數 c及邊標記,及最大深度 D max = 5。此適應 d 1之相依性的整個堆疊,從而產生全堆疊合規分數 C 1= 47.5。如此圖中所示出,合規管理器亦可針對對應於堆疊中之系統組件的節點之子集中之各者而計算堆疊相依合規分數。此處,針對組件節點將堆疊相依合規分數C計算為
Figure 02_image006
,其中 c為所討論節點之本端合規分數。可針對組件節點定義個別風險臨限值,且若任何堆疊相依分數違反風險臨限值,則可產生警示及/或採取適當動作。替代地,可針對最有可能影響資料合規性之預定節點類型計算堆疊相依分數。此進一步藉由允許在必要時校正堆疊中較低的合規風險來進一步降低資料風險。
圖7及圖8之管理程序可在系統操作期間週期性地執行,或根據多使用者環境中給定系統使用者的需要而執行。然而,在較佳實施例中,系統分析器24之事件監視器28回應於系統23中之事件而觸發系統圖之動態更新。此可藉由事件驅動式後設資料串流系統來實施,藉此對系統23中之後設資料之任何更新經串流傳輸至事件監視器28。圖10描繪流程圖1000,其展示用於計算新堆疊相依分數且記錄一或多個事件及/或動作之說明性步驟。在步驟75中,事件監視器28藉由分析自系統接收到之後設資料更新來偵測系統中之相關事件。此處所偵測到之事件可為:添加資料集;刪除資料集;對用於資料集之系統組件的堆疊之改變;及圖形之節點的合規分數之改變。另一事件可為對資料分類之改變,其中此改變用於判定資料集之風險臨限值。儲存於系統記憶體21中之後設資料31在步驟76中相應地更新。在步驟77中,系統分析器24重新分析經更新之後設資料,且圖形產生器基於分析結果更新系統圖。接著在步驟78中至少針對受系統圖中之改變影響的任何資料集計算新的堆疊相依分數。在步驟79中,合規管理器檢查合規風險且起始如上文所描述之任何必要動作。接著在步驟80中將事件/動作記錄於日誌35中。此動態更新程序藉由確保系統圖始終最新來進一步降低資料風險。
可看出,以上實施例將基礎架構組件與資料之間的各種相依性併入至單個系統圖中,從而適應本端合規狀態及資料分類,以量化資料曝露之真實風險且用以在必要時保護資料。藉由以此方式考量系統相依性,管理系統解決了複雜環境中合規問題對資料的實際影響。所描述之技術可易於擴展至任何類型之計算系統,無論係小型局部化系統抑或高度複雜的、企業級計算環境。
當然,可設想到對所描述實施例之各種替代及修改。作為實例,系統圖可包括適於特定計算系統的除圖中所示之該等組件以外之組件的節點。其他邊類型可定義為適於特定系統圖。所描述之技術可應用於計算系統中之一或多個資料集。亦可設想到用於計算影響分數及堆疊相依合規分數的各種其他功能。
一般而言,在本文中參考體現本發明之方法描述特徵的情況下,可將對應特徵提供於體現本發明之設備/電腦程式產品中,且反之亦然。
已出於說明之目的呈現本發明之各種實施例之描述,但該等描述並不意欲為詳盡的或限於所揭示之實施例。在不脫離所描述實施例之範圍及精神的情況下,許多修改及變化對一般熟習此項技術者而言將顯而易見。本文中所使用之術語經選擇以最佳地解釋實施例之原理、實際應用或對市場中發現之技術的技術改良,或使其他一般熟習此項技術者能夠理解本文中所揭示之實施例。
1: 通用電腦 2: 處理單元 3: 系統記憶體 4: 匯流排 5: 隨機存取記憶體(RAM) 6: 快取記憶體 7: 儲存系統 8: 程式/公用程式 9: 程式模組 10: 外部裝置 11: 顯示器 12: 輸入/輸出(I/O)介面 13: 網路配接器 14: 額外處理設備 20: 設備 21: 系統記憶體 22: 控制邏輯 23: 資料中心/計算系統 24: 系統分析器/邏輯模組 25: 系統圖產生器/邏輯模組 26: 合規管理器/邏輯模組 27: 使用者介面(UI) 28: 事件監視器模組/事件監視器 29: 動作系統管理器模組/動作系統管理器 31: 後設資料 32: 系統圖 33: 合規分數 34: 堆疊相依合規分數 35: 動作日誌 40: 步驟 41: 步驟 42: 步驟 43: 步驟 44: 決策步驟 45: 步驟 46: 步驟 47: 步驟 48: 步驟 49: 步驟 50: 步驟 52: 步驟 53: 步驟 54: 步驟 55: 步驟 56: 步驟 60: 步驟 61: 步驟 62: 步驟 63: 步驟 64: 步驟 65: 決策 66: 步驟 67: 步驟 68: 步驟 69: 步驟 70: 步驟 71: 步驟 75: 步驟 76: 步驟 77: 步驟 78: 步驟 79: 步驟 80: 步驟 100:方塊圖 300: 流程圖 400: 堆疊 500: 流程圖 600: 圖形 700: 流程圖 800: 流程圖 900: 實例 1000: 流程圖
圖1為根據本發明之實施例的用於實施方法的計算設備之示意性表示;
圖2示出根據本發明之實施例的用於管理計算系統中之資料合規風險的例示性計算設備之組件模組;
圖3指示根據本發明之實施例的由圖2之設備所執行的合規管理程序之步驟。
圖4為示出根據本發明之實施例的計算系統之組件之間的相依性之示意圖;
圖5展示根據本發明之實施例的在圖3中計算堆疊相依合規分數時所涉及的步驟;
圖6為根據本發明之實施例的由圖2之設備所產生的系統圖之示意性圖示;
圖7指示根據本發明之實施例的由設備之較佳實施例中的系統分析器所執行的步驟;
圖8指示根據本發明之實施例的其他步驟;
圖9示出根據本發明之實施例的在實施圖8之程序中的堆疊相依合規分數之計算;及
圖10指示根據本發明之實施例的動態更新程序之步驟。
40: 步驟 41: 步驟 42: 步驟 43: 步驟 44: 決策步驟 45: 步驟 300: 流程圖

Claims (20)

  1. 一種電腦實施方法,其包含:針對一計算系統中之各資料集,識別該資料集所依賴之階層式相依系統組件的至少一個堆疊;產生具有藉由有向邊互連之節點的一系統圖,其中各資料集以及各堆疊中之各組件由該系統圖之一對應節點表示,且各資料集對一堆疊之相依性及各堆疊中連續組件之間的相依性由該系統圖之節點之間的一有向邊表示;儲存對應於系統組件之各別節點的合規分數,一節點之該合規分數與對應系統組件有關;針對各資料集,將一堆疊相依合規分數計算為藉由自對應於該資料集之該節點遍歷該系統圖中之有向邊所達的節點之一集合的該等合規分數之一函數;及若一資料集之該堆疊相依合規分數違反該資料集之一預定風險臨限值,則產生一警示。
  2. 如請求項1之電腦實施方法,其中一資料集之該堆疊相依合規分數係計算為集合之該節點的該等合規分數及該資料集之一預定義最大合規分數的一函數。
  3. 如請求項1之電腦實施方法,其進一步包含:回應於針對該資料集之一警示,在該計算系統中起始一動作以降低 合規風險。
  4. 如請求項3之電腦實施方法,其中該動作包含以下各者之至少一者:限制該系統中對該資料集之存取權限;刪除該資料集;隔離儲存該資料集之一系統組件;及重組態用於該資料集之系統組件的該至少一個堆疊。
  5. 如請求項1之電腦實施方法,其進一步包含:在針對各資料集而計算該堆疊相依合規分數時,藉由自對應於該資料集之該節點遍歷有向邊直至該系統圖中之一預定最大深度來識別節點之該集合。
  6. 如請求項1之電腦實施方法,其進一步包含:針對該系統圖中表示相依性類型之一預定義集合中之一者的任何邊,將該邊識別為一優先邊;及在針對各資料集而計算該堆疊相依合規分數時,藉由自對應於該資料集之該節點遍歷有向邊直至該系統圖中之一預定最大深度來識別節點之該集合,但須始終遍歷對應於該資料集之該至少一個堆疊中之組件的節點之間的任何優先邊。
  7. 如請求項1之電腦實施方法,其中各資料集之該堆疊相依合規分數包含用於該資料集之節點的該集合中之各節點的該合規分數之一單調遞增函數。
  8. 如請求項1之電腦實施方法,其進一步包含:依賴於由該系統圖之各邊表示之一相依性類型而定義該邊之一權重;在針對各資料集而計算該堆疊相依合規分數時,將該集合中之各節點的一影響分數計算為該節點之該合規分數及經遍歷以到達該節點之該有向邊之該權重的一函數;及將該資料集之該堆疊相依合規分數計算為該集合中之節點之該等影響分數的一函數。
  9. 如請求項1之電腦實施方法,其進一步包含:存取該計算系統中所提供之至少一個系統詳細目錄以獲得指示系統組件之組態的系統後設資料;存取該計算系統中所提供之至少一個資料編目以獲得指示該系統中之各資料集之位置及使用狀況的資料後設資料;及自該系統後設資料及該資料後設資料識別用於各資料集之系統組件的該至少一個堆疊。
  10. 如請求項9之電腦實施方法,其進一步包含:包括依賴於包括於該資料後設資料中之一資料分類而判定各資料集之該風險臨限值。
  11. 如請求項1之電腦實施方法,其進一步包含:與該計算系統中所提供之至少一個合規監視應用程式進行通信以獲 得該系統圖之節點的該等合規分數。
  12. 如請求項1之電腦實施方法,其進一步包含:回應於偵測到該系統中之事件而動態地更新該系統圖,該等事件包含添加一資料集、刪除一資料集、對用於一資料集之系統組件之該至少一個堆疊的一改變,及該系統圖之一節點的該合規分數之一改變;及針對受該等事件中之一事件影響之各資料集而計算一新的堆疊相依合規分數。
  13. 如請求項1之電腦實施方法,其中該等系統組件包含以下各者之至少一子集:應用程式;服務;作業系統;平台;虛擬機;超管理器;容器;儲存系統;實體機器;網路裝置;網路;網路叢集;資料中心及資料中心之叢集。
  14. 如請求項1之電腦實施方法,其進一步包含:對於對應於系統組件之節點的一子集中之各者:將該節點之一堆疊相依合規分數計算為針對該節點所儲存之該合規分數及針對藉由自該節點遍歷該系統圖中之有向邊所達的節點之一集合所儲存的該等合規分數的一函數;及若一組件之該堆疊相依合規分數超過該組件之一預定風險臨限值,則產生一警示。
  15. 一種電腦程式產品,其包含: 一或多個電腦可讀儲存媒體及儲存於該一或多個電腦可讀儲存媒體上之程式指令,該等程式指令包含:用以針對一計算系統中之各資料集而識別該資料集所依賴之階層式相依系統組件的至少一個堆疊的程式指令;用以產生具有藉由有向邊互連之節點的一系統圖的程式指令,其中各資料集以及各堆疊中之各組件由該系統圖之一對應節點表示,且各資料集對一堆疊之相依性及各堆疊中連續組件之間的相依性由該系統圖之節點之間的一有向邊表示;用以儲存對應於系統組件之各別節點的合規分數的程式指令,一節點之該合規分數與對應系統組件有關;用以針對各資料集而將一堆疊相依合規分數計算為藉由自對應於該資料集之該節點遍歷該系統圖中之有向邊所達的節點之一集合的該等合規分數之一函數的程式指令;及用以在一資料集之該堆疊相依合規分數違反該資料集之一預定風險臨限值的情況下產生一警示的程式指令。
  16. 如請求項15之電腦程式產品,其中儲存於該一或多個電腦可讀儲存媒體上之該等程式指令進一步包含:用以回應於針對一資料集之一警示而在該系統中起始一動作以降低合規風險的程式指令。
  17. 如請求項15之電腦程式產品,其中儲存於該一或多個電腦可讀儲存媒體上之該等程式指令進一步包含: 用以針對該系統圖中表示相依性類型之一預定義集合中之一者的任何邊而將該邊識別為一優先邊的程式指令;及程式指令,其用以在針對各資料集而計算該堆疊相依合規分數時,藉由自對應於該資料集之該節點遍歷有向邊直至該系統圖中之一預定最大深度來識別節點之該集合,但須始終遍歷對應於該資料集之該至少一個堆疊中之組件的節點之間的任何優先邊。
  18. 如請求項15之電腦程式產品,其中儲存於該一或多個電腦可讀儲存媒體上之該等程式指令進一步包含:用以依賴於由該系統圖之各邊表示之一相依性類型而定義該邊之一權重的程式指令;及程式指令,其用以在針對各資料集而計算該堆疊相依合規分數時,將該集合中之各節點的一影響分數計算為該節點之該合規分數及經遍歷以到達該節點之該有向邊之該權重的一函數,且將該堆疊相依合規分數計算為該集合中之節點之該等影響分數的一函數。
  19. 一種電腦系統,其包含:一或多個電腦處理器;一或多個電腦可讀儲存媒體;及程式指令,其儲存於該一或多個電腦可讀儲存媒體上以供該一或多個電腦處理器中之至少一者執行,該等程式指令包含:系統分析器邏輯,其適於針對該系統中之各資料集而識別該資料集所依賴之階層式相依系統組件的至少一個堆疊; 圖形產生器邏輯,其適於產生具有藉由有向邊互連之節點的一系統圖,其中各資料集以及各堆疊中之各組件由該系統圖之一對應節點表示,且各資料集對一堆疊之相依性及各堆疊中連續組件之間的相依性由該系統圖之節點之間的一有向邊表示;記憶體,其用於儲存該系統圖及對應於系統組件之各別節點的合規分數,一節點之該合規分數與對應系統組件有關;及合規管理器邏輯,其適於針對各資料集而將一堆疊相依合規分數計算為藉由自對應於該資料集之該節點遍歷該系統圖中之有向邊所識別的節點之一集合的該等合規分數之一函數,且若一資料集之該堆疊相依合規分數違反該資料集之一預定風險臨限值,則產生一警示。
  20. 如請求項19之電腦系統,其中該電腦系統適於回應於針對一資料集之一警示而在該系統中起始一動作以降低合規風險,其中該動作包含以下各者中之至少一者:限制該系統中對該資料集之存取權限;刪除該資料集;隔離儲存該資料集之一系統組件;及重組態用於該資料集之系統組件的該至少一個堆疊。
TW111126780A 2021-11-04 2022-07-18 用於計算系統中資料之合規風險管理 TWI804386B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/453,495 US20230140160A1 (en) 2021-11-04 2021-11-04 Compliance risk management for data in computing systems
US17/453,495 2021-11-04

Publications (2)

Publication Number Publication Date
TW202319943A TW202319943A (zh) 2023-05-16
TWI804386B true TWI804386B (zh) 2023-06-01

Family

ID=84360844

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111126780A TWI804386B (zh) 2021-11-04 2022-07-18 用於計算系統中資料之合規風險管理

Country Status (3)

Country Link
US (1) US20230140160A1 (zh)
TW (1) TWI804386B (zh)
WO (1) WO2023078723A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11363052B2 (en) * 2019-07-19 2022-06-14 Qualys, Inc. Attack path and graph creation based on user and system profiling

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201426578A (zh) * 2012-12-27 2014-07-01 Ind Tech Res Inst 匿名資料集的產生方法及裝置與風險評估方法及裝置
US20190156243A1 (en) * 2017-11-20 2019-05-23 International Business Machines Corporation Efficient Large-Scale Kernel Learning Using a Distributed Processing Architecture
CN111095308A (zh) * 2017-05-14 2020-05-01 数字推理系统有限公司 用于快速构建、管理和共享机器学习模型的系统和方法
US20200410116A1 (en) * 2017-02-13 2020-12-31 Protegrity Corporation Sensitive Data Classification
CN113297429A (zh) * 2021-05-24 2021-08-24 南京大学 一种基于神经网络架构搜索的社交网络链路预测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10108803B2 (en) * 2016-03-31 2018-10-23 International Business Machines Corporation Automatic generation of data-centric attack graphs
US10318741B2 (en) * 2016-11-21 2019-06-11 Bank Of America Corporation Data security and risk ranking tool

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201426578A (zh) * 2012-12-27 2014-07-01 Ind Tech Res Inst 匿名資料集的產生方法及裝置與風險評估方法及裝置
US20200410116A1 (en) * 2017-02-13 2020-12-31 Protegrity Corporation Sensitive Data Classification
CN111095308A (zh) * 2017-05-14 2020-05-01 数字推理系统有限公司 用于快速构建、管理和共享机器学习模型的系统和方法
US20190156243A1 (en) * 2017-11-20 2019-05-23 International Business Machines Corporation Efficient Large-Scale Kernel Learning Using a Distributed Processing Architecture
CN113297429A (zh) * 2021-05-24 2021-08-24 南京大学 一种基于神经网络架构搜索的社交网络链路预测方法

Also Published As

Publication number Publication date
TW202319943A (zh) 2023-05-16
US20230140160A1 (en) 2023-05-04
WO2023078723A1 (en) 2023-05-11

Similar Documents

Publication Publication Date Title
US11683333B1 (en) Cybersecurity and threat assessment platform for computing environments
US10503911B2 (en) Automatic generation of data-centric attack graphs
US11068797B2 (en) Automatic correction of indirect bias in machine learning models
US10701030B2 (en) Real-time monitoring of web page code
US10073974B2 (en) Generating containers for applications utilizing reduced sets of libraries based on risk analysis
US9411965B2 (en) Methods and systems for improved risk scoring of vulnerabilities
US11750642B1 (en) Automated threat modeling using machine-readable threat models
US9401922B1 (en) Systems and methods for analysis of abnormal conditions in computing machines
US10841329B2 (en) Cognitive security for workflows
US20210049281A1 (en) Reducing risk of smart contracts in a blockchain
US9456004B2 (en) Optimizing risk-based compliance of an information technology (IT) system
US9858357B2 (en) Non-intrusive, semantics-driven impact analysis for business applications
US20190361788A1 (en) Interactive analysis of a security specification
US10678926B2 (en) Identifying security risks in code using security metric comparison
US20240114043A1 (en) Protecting computer assets from malicious attacks
TWI804386B (zh) 用於計算系統中資料之合規風險管理
US20230117225A1 (en) Automated workflow analysis and solution implementation
TW202101263A (zh) 安全作業系統映像之增量解密及完整度驗證
JP7486579B2 (ja) 仮想マシンのコンテンツに基づくクラスタ・セキュリティ
US11625626B2 (en) Performance improvement recommendations for machine learning models
US10169603B2 (en) Real-time data leakage prevention and reporting
US11775654B2 (en) Anomaly detection with impact assessment
US20230017468A1 (en) Machine learning based server for privacy protection level adjustment
US11997059B1 (en) Comprehensive privacy control for monitoring requests sent to artificial intelligence chatbots
US20240119151A1 (en) Invisible trojan source code detection