亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

企業(yè)安全評(píng)估共享的制作方法

文檔序號(hào):6476625閱讀:211來(lái)源:國(guó)知局

專利名稱::企業(yè)安全評(píng)估共享的制作方法企業(yè)安全評(píng)估共享背景在例如企業(yè)辦公室的企業(yè)計(jì)算環(huán)境中,多個(gè)個(gè)人計(jì)算機(jī)、工作站服務(wù)器等,以及諸如大容量存儲(chǔ)子系統(tǒng)、內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口等其他設(shè)備通?;ハ噙B接以提供其中可生成,從外部源訪問(wèn)并在各個(gè)用戶之間共享信息的集成環(huán)境。通常,用戶可執(zhí)行各種操作,包括定單接收、制造、送貨、記帳、庫(kù)存控制、文檔準(zhǔn)備和管理、電子郵件、web瀏覽、以及其中創(chuàng)建、訪問(wèn)和共享數(shù)據(jù)是有益的其他操作。當(dāng)前,通常使用各種不同的安全產(chǎn)品來(lái)為企業(yè)提供安全性,這些產(chǎn)品各自一般被安排成監(jiān)視企業(yè)范圍數(shù)據(jù)的僅僅一部分。即,安全產(chǎn)品被安排為單獨(dú)的本地"島",其中每一個(gè)產(chǎn)品監(jiān)視、評(píng)估企業(yè)中的數(shù)據(jù)的不同部分并對(duì)其采取動(dòng)作。例如,企業(yè)可利用諸如保護(hù)該企業(yè)中的主機(jī)計(jì)算機(jī)的產(chǎn)品、邊緣防火墻產(chǎn)品、網(wǎng)絡(luò)侵入檢測(cè)系統(tǒng)("NIDS")產(chǎn)品、網(wǎng)絡(luò)接入保護(hù)("NAP")產(chǎn)品以及其他分立安全產(chǎn)品等安全產(chǎn)品的組合來(lái)為該企業(yè)的各不同部分提供安全性。雖然這些安全產(chǎn)品在許多應(yīng)用中通常都令人滿意地執(zhí)行,但對(duì)安全事故的檢測(cè)經(jīng)常遭受由于只監(jiān)視部分企業(yè)安全數(shù)據(jù)而導(dǎo)致的不合需要地高的假肯定和假否定出現(xiàn)水平。也難以提供跨所有企業(yè)安全產(chǎn)品島的公共管理。使得企業(yè)范圍安全數(shù)據(jù)相關(guān)的現(xiàn)有嘗試具有高管理和維護(hù)成本并且有縮放方面的問(wèn)題。將需要更有效的企業(yè)安全管理來(lái)使得單個(gè)企業(yè)范圍視圖能夠允許安全管理員定義并強(qiáng)制實(shí)施用于自動(dòng)響應(yīng)安全事故的清楚、簡(jiǎn)單且統(tǒng)一的企業(yè)范圍策略。提供本背景來(lái)介紹以下概述和詳細(xì)描述的簡(jiǎn)要上下文。本背景不旨在幫助確定所要求保護(hù)的主題的范圍,也不旨在被看作將所要求保護(hù)的主題限于解決以上所提出的問(wèn)題或缺點(diǎn)中的任一個(gè)或全部的實(shí)現(xiàn)。概述提供被稱為"ESAS,即,企業(yè)安全評(píng)估共享"的企業(yè)范圍共享安排,其中創(chuàng)建被稱為安全評(píng)估的語(yǔ)義抽象以允許在企業(yè)安全環(huán)境中被稱為端點(diǎn)的不同安全產(chǎn)品之間共享安全相關(guān)信息。安全評(píng)估被定義為端點(diǎn)將較寬泛的上下文含義向所收集的關(guān)于該環(huán)境中諸如計(jì)算機(jī)、用戶、服務(wù)(例如,網(wǎng)站)、數(shù)據(jù)或作為整體的企業(yè)等感興趣對(duì)象的信息(即,某些上下文中的數(shù)據(jù))的試驗(yàn)性指派。安全評(píng)估利用對(duì)于端點(diǎn)的簡(jiǎn)明詞匯來(lái)聲明環(huán)境中的對(duì)象落入諸如"已受損"或"正被攻擊"等特定評(píng)估類別以及所檢測(cè)到的事故的嚴(yán)重性(例如,低、中、高、關(guān)鍵)。安全評(píng)估是試驗(yàn)性的,因?yàn)樗馐苣撤N不確定性并且在有限時(shí)間段內(nèi)有效。安全評(píng)估的試驗(yàn)性特性反映在其兩個(gè)分量中保真度字段,其表達(dá)端點(diǎn)對(duì)其上下文含義指派的置信度水平,以及生存時(shí)間("TTL")字段,其反映端點(diǎn)對(duì)安全評(píng)估預(yù)期有效的時(shí)間段的估計(jì)。由此,例如,安全評(píng)估可由端點(diǎn)用來(lái)根據(jù)該端點(diǎn)對(duì)一個(gè)或多個(gè)安全事故的現(xiàn)有理解來(lái)聲明特定機(jī)器已受損,嚴(yán)重性等級(jí)為關(guān)鍵、保真度為中且具有30分鐘的TTL??梢栽谌魏谓o定企業(yè)安全環(huán)境中使用各種類型的安全評(píng)估,從而具有例如評(píng)估類別和其他類型的各種組合o端點(diǎn)可具有將安全評(píng)估發(fā)布到在環(huán)境中操作的安全評(píng)估信道上,以及訂閱由其他端點(diǎn)發(fā)布的可用安全評(píng)估的子集的功能。存在于環(huán)境中的活動(dòng)的安全評(píng)估(即,具有指示評(píng)估仍然有效的TTL的安全評(píng)估)用于提供安全上下文,該安全上下文給予這一啟用ESAS的端點(diǎn)査看其自己的本地可用信息的新的方式。g卩,該安全上下文允許啟用ESAS的端點(diǎn)組合或相關(guān)來(lái)自從各種不同源接收到的且跨對(duì)象類型的安全評(píng)估的證據(jù)以顯著提高其對(duì)潛在安全事故的檢測(cè)的質(zhì)量。該啟用ESAS的端點(diǎn)然后根據(jù)一組響應(yīng)策略來(lái)作出關(guān)于對(duì)于每一種類型的安全評(píng)估(無(wú)論是從另一端點(diǎn)接收到的還是由該端點(diǎn)本身內(nèi)部生成的)什么本地動(dòng)作或響應(yīng)是適當(dāng)?shù)臎Q定。事故判定是高效且經(jīng)濟(jì)的,因?yàn)榘踩舷挛氖沟媚軌蛞园踩u(píng)估的形式來(lái)對(duì)企業(yè)范圍信息進(jìn)行分布式處理,而沒(méi)有在整個(gè)企業(yè)中共享大量原始數(shù)據(jù)(其中大多數(shù)都由于缺乏任何上下文而是完全無(wú)關(guān)的)的負(fù)擔(dān)。啟用ESAS的端點(diǎn)還被安排成在提示本地動(dòng)作的安全評(píng)估到期時(shí)(即,在該安全評(píng)估超過(guò)TTL字段中所指定的生存時(shí)間時(shí))回退該本地動(dòng)作。在一說(shuō)明性示例中,被稱為ESAS中央服務(wù)器的專用端點(diǎn)耦合到安全評(píng)估信道,該專用端點(diǎn)通過(guò)訂閱所有安全評(píng)估、記錄安全評(píng)估、并且還記錄由各端點(diǎn)響應(yīng)于環(huán)境中的安全事故而采取的本地動(dòng)作來(lái)作為集中式審核點(diǎn)來(lái)執(zhí)行。該ESAS中央服務(wù)器向管理員提供作為整體的企業(yè)以及每一個(gè)啟用ESAS的端點(diǎn)的歷史和當(dāng)前狀態(tài)的綜合視圖。利用安全評(píng)估使得管理員能夠緊湊且高效地配置對(duì)跨整個(gè)企業(yè)檢測(cè)到的事故的響應(yīng)策略。安全評(píng)估用作用于定義企業(yè)范圍安全響應(yīng)策略的自然錨或起始點(diǎn)。由此啟用簡(jiǎn)化且一致的管理界面來(lái)為跨整個(gè)企業(yè)的每一種類型的安全評(píng)估定義所需響應(yīng)。本發(fā)明的ESAS共享安排提供了多個(gè)優(yōu)點(diǎn)。通過(guò)采用具有簡(jiǎn)明詞匯的安全評(píng)估,顯著地降低了企業(yè)中的總體數(shù)據(jù)復(fù)雜性并且在各端點(diǎn)之間只共享有意義的信息。使用安全評(píng)估還消除了在中央存儲(chǔ)位置收集大量原始數(shù)據(jù)的需求,并由此使得能夠在非常經(jīng)濟(jì)的基礎(chǔ)上構(gòu)建高度可縮放的企業(yè)安全解決方案。另外,可容易地用按需可擴(kuò)展性來(lái)部署新端點(diǎn)。安全評(píng)估可以在該新端點(diǎn)和現(xiàn)有端點(diǎn)之間共享而無(wú)需重新配置現(xiàn)有端點(diǎn)中的響應(yīng)策略中的任一個(gè)。新端點(diǎn)使用現(xiàn)有端點(diǎn)已經(jīng)理解的語(yǔ)義抽象來(lái)?yè)?dān)當(dāng)新的安全評(píng)估源即可。利用安全評(píng)估還使得能夠使用非常緊湊且清楚的方法來(lái)建立企業(yè)范圍安全策略,而無(wú)需理解每一個(gè)端點(diǎn)可在企業(yè)中生成的所有可能的安全事件并然后試圖描述對(duì)于每一個(gè)事件的響應(yīng)動(dòng)作。提供本概述是為了以簡(jiǎn)化的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概念。該概述不旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在用于幫助確定所要求保護(hù)的主題的范圍。附圖簡(jiǎn)述圖1示出其中可實(shí)現(xiàn)本發(fā)明的企業(yè)安全評(píng)估共享的說(shuō)明性企業(yè)安全環(huán)境;圖2示出其中提供信道以使得能夠在多個(gè)端點(diǎn)之間共享安全評(píng)估的說(shuō)明性企業(yè)安全評(píng)估共享安排;圖3示出作為安全評(píng)估的基礎(chǔ)的說(shuō)明性術(shù)語(yǔ)分層結(jié)構(gòu);圖4示出兩個(gè)說(shuō)明性端點(diǎn)以及通過(guò)利用本發(fā)明的安全評(píng)估安排來(lái)實(shí)現(xiàn)的復(fù)雜性降低;圖5示出啟用對(duì)安全評(píng)估的共享的端點(diǎn)中所設(shè)置的功能的說(shuō)明性示例;圖6是第一說(shuō)明性情形的圖示,其中多個(gè)啟用ESAS的端點(diǎn)耦合到安全評(píng)估信道并且在一個(gè)端點(diǎn)處檢測(cè)到的事故觸發(fā)多個(gè)其他端點(diǎn)處的響應(yīng);圖7是第二說(shuō)明性情形的圖示,其中觸發(fā)由還執(zhí)行跨對(duì)象映射的接收啟用ESAS的端點(diǎn)來(lái)生成新的高保真評(píng)估的低保真安全評(píng)估通過(guò)安全評(píng)估信道來(lái)發(fā)送;圖8是示出補(bǔ)救技術(shù)的針對(duì)性使用的第三說(shuō)明性情形的圖示;圖9示出由使得諸如管理員等用戶能夠管理和定義企業(yè)中的啟用ESAS的端點(diǎn)的響應(yīng)策略的圖形用戶界面("GUI")提供的說(shuō)明性屏幕;圖10示出由被安排成補(bǔ)充圖9所示的GUI屏幕或用作對(duì)該GUI屏幕的替換的GUI提供的說(shuō)明性屏幕;以及圖11示出其中本發(fā)明的ESAS特征集提供企業(yè)安全管理層功能的說(shuō)明性企業(yè)安全安排。詳細(xì)描述對(duì)現(xiàn)有企業(yè)安全解決方案的分析指示仍然存在解決顧客需求的大量機(jī)會(huì)。例如,每一個(gè)單獨(dú)的安全產(chǎn)品往往具有對(duì)諸如通過(guò)惡意軟件或惡意用戶的動(dòng)作而產(chǎn)生的安全事故的高假肯定和假否定檢測(cè)率。出現(xiàn)這一低保真檢測(cè)是因?yàn)閬?lái)自單一類型的源的數(shù)據(jù)(即,企業(yè)范圍數(shù)據(jù)的子集)一般不提供對(duì)安全事故作出準(zhǔn)確評(píng)估所需的上下文。對(duì)自動(dòng)動(dòng)作或響應(yīng)的使用由于該低保真檢測(cè)而是極少見的,因?yàn)閷?duì)所檢測(cè)到的事故的有效性的置信度很低。另外,對(duì)檢測(cè)到的事故的典型響應(yīng)往往是非常粗暴的,例如,用戶或機(jī)器可能從網(wǎng)絡(luò)斷開。因?yàn)檫@些粗暴的動(dòng)作通常對(duì)企業(yè)中的商業(yè)活動(dòng)施加大量成本,所以通常不執(zhí)行基于低保真檢測(cè)的這些動(dòng)作的自動(dòng)化。在檢測(cè)到感興趣的事故時(shí),現(xiàn)有安全產(chǎn)品通常執(zhí)行調(diào)査以確定該檢測(cè)的有效性(即,事故是真還是假)以及作為響應(yīng)要采取什么動(dòng)作。在調(diào)查上耗費(fèi)大量資源以審閱所收集的可能與所檢測(cè)到的事故相關(guān)的詳細(xì)數(shù)據(jù)。因?yàn)槭冀K收集所有數(shù)據(jù)是不可行的,所以安全產(chǎn)品通過(guò)應(yīng)用由管理員定義的策略來(lái)僅收集可用數(shù)據(jù)的子集。這些策略通常是靜態(tài)的并且通?;谑占到y(tǒng)的存儲(chǔ)容量并且未必按照事故數(shù)據(jù)或數(shù)據(jù)源的相關(guān)性來(lái)定義。在檢測(cè)到事故時(shí),對(duì)策略的應(yīng)用通常導(dǎo)致對(duì)觸發(fā)該檢測(cè)的數(shù)據(jù)的審閱。當(dāng)該數(shù)據(jù)被認(rèn)為不足以生成高保真響應(yīng)時(shí),通常收集甚至更多的數(shù)據(jù)。例如,可監(jiān)視進(jìn)出被懷疑的已受損機(jī)器的所有數(shù)據(jù)通信。在許多情況下,收集大量數(shù)據(jù)但從不使用這些數(shù)據(jù),并且這些數(shù)據(jù)具有僅作為噪聲的統(tǒng)計(jì)重要性。因此,許多現(xiàn)有安全產(chǎn)品收集通常過(guò)多的噪聲,但未收集足夠的相關(guān)數(shù)據(jù)。供改進(jìn)的另一領(lǐng)域是整個(gè)企業(yè)中的響應(yīng)的管理和協(xié)調(diào)?,F(xiàn)有企業(yè)安全產(chǎn)品固有地提供對(duì)在每一個(gè)單獨(dú)的島中檢測(cè)到的事故的本地化響應(yīng)。因?yàn)檫@些安全產(chǎn)品都是孤立的,所以可能的響應(yīng)選項(xiàng)被限于企業(yè)中該特定安全產(chǎn)品所操作的那部分。即,動(dòng)作和響應(yīng)能夠針對(duì)所檢測(cè)到的單獨(dú)事故來(lái)在一個(gè)安全產(chǎn)品島中定義,但不存在描述當(dāng)在企業(yè)的另一部分中或在全局的基礎(chǔ)上應(yīng)用時(shí)可能更有效的所需動(dòng)作的能力。當(dāng)前不存在用于啟用對(duì)針對(duì)安全事故的響應(yīng)策略的企業(yè)范圍定義和強(qiáng)制實(shí)施的單個(gè)管理點(diǎn)。也不存在每一個(gè)島可用于進(jìn)行通信以由此通知其他島發(fā)生了某件事情或者需要采取動(dòng)作的統(tǒng)一響應(yīng)信道和語(yǔ)言/協(xié)議。缺乏管理和協(xié)調(diào)的響應(yīng)導(dǎo)致對(duì)于跨企業(yè)中的島的數(shù)據(jù)的手動(dòng)集成和相關(guān)招致大量成本?,F(xiàn)在轉(zhuǎn)向各附圖,其中相同的附圖標(biāo)記指示相同的元素,圖1示出了其中可部署被稱為端點(diǎn)的各種安全產(chǎn)品105-1,2...N的說(shuō)明性企業(yè)安全環(huán)境100。要強(qiáng)調(diào)的是,圖1所示的端點(diǎn)105的數(shù)量和類型僅僅是說(shuō)明性的,并且取決于企業(yè)安全評(píng)估共享的具體應(yīng)用的要求,可增加或減少具體端點(diǎn)數(shù)量,且可利用不同類型的安全產(chǎn)品/端點(diǎn)。例如,除了圖1所示且在以下描述的安全產(chǎn)品之外,web應(yīng)用程序保護(hù)產(chǎn)品、SEM/SIM(安全事件管理/安全事故管理)產(chǎn)品、操作健康監(jiān)視和配置管理產(chǎn)品(例如,微軟Windows⑧軟件更新服務(wù)、微軟操作管理器)、或者身份管理產(chǎn)品(例如,微軟現(xiàn)用目錄)也可在某些應(yīng)用中使用。在企業(yè)安全環(huán)境100中,部署主機(jī)安全端點(diǎn)105,以保護(hù)、評(píng)估和監(jiān)視企業(yè)100中的多個(gè)主機(jī)計(jì)算機(jī)108。主機(jī)安全端點(diǎn)105,的商用示例是微軟ForefrontClientSecurity(前線客戶機(jī)安全),其為企業(yè)的臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)和服務(wù)器操作系統(tǒng)提供統(tǒng)一的惡意軟件保護(hù)。邊緣防火墻1052是被安排成保護(hù)企業(yè)環(huán)境100以免遭基于因特網(wǎng)的威脅9同時(shí)向用戶提供通過(guò)周界網(wǎng)絡(luò)112的對(duì)應(yīng)用程序和數(shù)據(jù)的遠(yuǎn)程訪問(wèn)的安全產(chǎn)品。邊緣防火墻1052可具體化為例如,微軟InternetSecurityandAcceleration(因特網(wǎng)安全和加速,"ISA")服務(wù)器。NAP安全端點(diǎn)1053通過(guò)確保正在發(fā)生的對(duì)由管理員定義的健康策略的遵從來(lái)執(zhí)行健康策略確認(rèn)。通常,對(duì)于由NAP安全端點(diǎn)1053監(jiān)視的、不符合系統(tǒng)健康要求的計(jì)算機(jī)(例如,臺(tái)式計(jì)算機(jī)和漫游膝上型計(jì)算機(jī)115)限制訪問(wèn)。NIDS安全端點(diǎn)1054分析內(nèi)部網(wǎng)絡(luò)119上的企業(yè)100內(nèi)的通信。NIDS安全端點(diǎn)1054用于通過(guò)監(jiān)視內(nèi)部網(wǎng)絡(luò)119上的網(wǎng)絡(luò)通信來(lái)檢測(cè)諸如服務(wù)拒絕攻擊端口掃描等惡意活動(dòng)。業(yè)務(wù)線安全端點(diǎn)105M保護(hù)各個(gè)業(yè)務(wù)線應(yīng)用程序122。業(yè)務(wù)線應(yīng)用程序122包括例如,諸如微軟Exchange⑧等在企業(yè)100中使用的電子郵件應(yīng)用程序。安全端點(diǎn)105K通常監(jiān)視電子郵件以提供反病毒和反垃圾郵件保護(hù)。企業(yè)100中的安全端點(diǎn)105中的每一個(gè)一般都被安排為單獨(dú)的島,如圖1中的虛線矩形所示。因此,每一個(gè)安全端點(diǎn)105都被安排成監(jiān)視企業(yè)100中的可用數(shù)據(jù)的子集并響應(yīng)于所檢測(cè)到的事故來(lái)執(zhí)行本地化動(dòng)作。另外,每一個(gè)端點(diǎn)通常都包括本地管理功能135-1,2...N。如上所述,各單獨(dú)的本地管理功能一般不集成以提供單個(gè)管理點(diǎn)。圖2示出了說(shuō)明性ESAS安排200,其中提供信道205以使得能夠使用在每一個(gè)端點(diǎn)處共同利用的語(yǔ)言/協(xié)議來(lái)在多個(gè)端點(diǎn)之間共享被稱為"安全評(píng)估"的語(yǔ)義抽象。安全評(píng)估信道205方便由端點(diǎn)用來(lái)將安全評(píng)估源(發(fā)布者)連接到安全評(píng)估的消費(fèi)者(訂閱者)的發(fā)布/訂閱模型。如圖所示,安全評(píng)估信道205上的發(fā)布者和訂閱者兩者都是端點(diǎn)105。端點(diǎn)105通過(guò)被安排成簡(jiǎn)化與安全評(píng)估信道205的交互的語(yǔ)義抽象層來(lái)與實(shí)際傳輸機(jī)構(gòu)和發(fā)布/訂閱模型的管理隔離開。該抽象層包括描述端點(diǎn)訂閱的安全評(píng)估類型的表以及描述端點(diǎn)發(fā)布的安全評(píng)估類型的表(如下所述,通常并非所有端點(diǎn)都訂閱所有安全評(píng)估類型)。另外,該抽象層提供用于讀取接收到的安全評(píng)估的API(應(yīng)用程序編程接口)以及用于生成安全評(píng)估的API。專用端點(diǎn),即ESAS中央服務(wù)器216耦合到安全評(píng)估信道205,并且作為對(duì)于ESAS安排200的集中式審核點(diǎn)來(lái)執(zhí)行。因此,ESAS中央服務(wù)器216訂10閱所有安全評(píng)估并且永久地記錄這些安全評(píng)估。ESAS中央服務(wù)器216還接收并記錄來(lái)自端點(diǎn)的、指示端點(diǎn)所采取的本地動(dòng)作的消息。該ESAS中央服務(wù)器216由此向管理員提供安全評(píng)估監(jiān)視功能,該功能給出了作為整體的企業(yè)以及每一個(gè)啟用ESAS的端點(diǎn)的歷史和當(dāng)前狀態(tài)的綜合視圖。圖3示出了作為安全評(píng)估的基礎(chǔ)的說(shuō)明性術(shù)語(yǔ)分層結(jié)構(gòu)300。安全評(píng)估被定義為安全含義或類別向信息的試驗(yàn)性指派。如此處所使用的信息被定義為具有某些上下文的數(shù)據(jù)。數(shù)據(jù)被定義為缺少上下文的離散項(xiàng)目。這些定義可通過(guò)示例來(lái)進(jìn)一步描述。如圖3所示,數(shù)據(jù)片段305是事件日志中諸如失敗的登錄等事件。信息310是具備上下文的數(shù)據(jù),該上下文在該示例中是該失敗的登錄是在同一機(jī)器,即命名為膝上型計(jì)算機(jī)2的膝上型計(jì)算機(jī)上的10分鐘之內(nèi)的第六次這樣的失敗。在該示例中,安全評(píng)估316指示膝上型計(jì)算機(jī)2以特定方式進(jìn)行分類,即,該膝上型計(jì)算機(jī)被評(píng)估為具有類別"已受損"、高"嚴(yán)重性",并且其中這一評(píng)估具有低"保真度"(這些術(shù)語(yǔ)將在以下更詳細(xì)地定義和討論)??蓪?duì)企業(yè)安全環(huán)境中諸如用戶或設(shè)備等任何感興趣的對(duì)象執(zhí)行安全評(píng)估。在該說(shuō)明性示例中,評(píng)估包括四種主要對(duì)象類型1)主機(jī)一關(guān)于企業(yè)中的計(jì)算機(jī)的評(píng)估;2)用戶一關(guān)于企業(yè)中的用戶或賬戶的評(píng)估;3)服務(wù)一關(guān)于諸如具有惡意名聲的網(wǎng)站的URL(統(tǒng)一資源定位符)等提供給企業(yè)的服務(wù)的評(píng)估;4)企業(yè)一關(guān)于作為整體的企業(yè)或者該企業(yè)的諸如部門、子網(wǎng)、站點(diǎn)或分支等明確定義的子集的評(píng)估;以及5)數(shù)據(jù)一關(guān)于存在于企業(yè)中的或由企業(yè)中的對(duì)象來(lái)訪問(wèn)的業(yè)務(wù)相關(guān)數(shù)據(jù)(例如,在文檔中發(fā)現(xiàn)的業(yè)務(wù)數(shù)據(jù)、電子郵件、數(shù)據(jù)庫(kù)中的業(yè)務(wù)數(shù)據(jù)等)的評(píng)估。要強(qiáng)調(diào)的是,這些對(duì)象類型僅僅是說(shuō)明性的,并且可按特定情形所需使用其他對(duì)象類型。在企業(yè)安全評(píng)估共享的大多數(shù)應(yīng)用中,端點(diǎn)只發(fā)布和訂閱所有可用安全評(píng)估類型的子集,因?yàn)樘囟ǘ它c(diǎn)一般將會(huì)對(duì)企業(yè)環(huán)境中的特定對(duì)象感興趣。另外,雖然某些端點(diǎn)將會(huì)既是發(fā)布者又是訂閱者,但并不要求每一個(gè)端點(diǎn)支持這兩個(gè)功能。出于這些原因,此處所使用的發(fā)布/訂閱模型被稱為是松耦合的。以下的表1示出了一組說(shuō)明性評(píng)估類別及其到特定對(duì)象類型的映射,該組評(píng)估類別可被包含在典型的安全評(píng)估中:<table>tableseeoriginaldocumentpage12</column></row><table>表1在本發(fā)明的說(shuō)明性ESAS安排中,通常利用四個(gè)嚴(yán)重性等級(jí)低、中、高和關(guān)鍵。通常利用三個(gè)保真度等級(jí)低、中和高。注意,對(duì)于嚴(yán)重性和保真度兩者的等級(jí)數(shù)可被安排成取決于評(píng)估類別而不同。例如,對(duì)于評(píng)估類別"易受攻擊的機(jī)器"可能使用三個(gè)嚴(yán)重性等級(jí),而對(duì)于評(píng)估類別"己受損機(jī)器"使用四個(gè)嚴(yán)重性等級(jí)。該對(duì)要利用的等級(jí)數(shù)的特定選擇將取決于本發(fā)明的企業(yè)安全評(píng)估共享的具體應(yīng)用的要求。安全評(píng)估使用在作出該評(píng)估時(shí)可用的信息并且依賴于駐留在產(chǎn)生該評(píng)估的端點(diǎn)中的特定安全專家經(jīng)驗(yàn)和知識(shí)。安全評(píng)估是試驗(yàn)性的,因?yàn)閷?duì)任何特定事件的置信度永遠(yuǎn)不會(huì)是絕對(duì)的,并且還因?yàn)樵u(píng)估由于其依賴于在產(chǎn)生該評(píng)估時(shí)存在的信息而在本質(zhì)上是臨時(shí)的。在將來(lái)某一時(shí)刻,其他信息將會(huì)是可用的,因此安全評(píng)估可能變化。安全評(píng)估的試驗(yàn)性特性反映在每一個(gè)評(píng)估中所包括的兩個(gè)字段,即保真度和生存時(shí)間("TTL")中。保真度字段為端點(diǎn)提供表達(dá)其對(duì)較寬泛的上下文含義向正在分析的信息的指派的置信度水平。TTL字段使得端點(diǎn)能夠反映對(duì)安全評(píng)估預(yù)期有效的時(shí)間段的最佳估計(jì)。或另選地,TTL字段提供對(duì)將來(lái)的安全評(píng)估更新的最佳估計(jì)。當(dāng)TTL到期時(shí),基于所訂閱的安全評(píng)估來(lái)采取動(dòng)作的端點(diǎn)預(yù)期在該評(píng)估的TTL到期時(shí)回退這些動(dòng)作。由此,該TTL提供安全閥功能,該功能用于防止用戶或機(jī)器由于假肯定或在企業(yè)中的某處丟失消息而不恰當(dāng)?shù)厥苤朴谑芟拊L問(wèn)。然而,如果這一受限訪問(wèn)的確是適當(dāng)?shù)模瑒t或者可生成新的安全評(píng)估以繼續(xù)該限制,或者延長(zhǎng)TTL。安全評(píng)估被設(shè)計(jì)成啟用使用緊湊詞匯的精確語(yǔ)義(即,由安全評(píng)估中所使用的類別賦予的含義)。如圖4所示,企業(yè)中的端點(diǎn)105中的兩個(gè)記錄關(guān)于其各自感興趣的領(lǐng)域內(nèi)所發(fā)生的事件的數(shù)據(jù)。主機(jī)事件日志405和防火墻事件日志412由此包含大量數(shù)據(jù)。通常,這些數(shù)據(jù)在各自端點(diǎn)中使用相關(guān)規(guī)則420和425來(lái)處理以標(biāo)識(shí)感興趣的事件。通常眾多的相關(guān)規(guī)則定義本地化的發(fā)起者或響應(yīng)于所檢測(cè)到的事件而采取的動(dòng)作。通過(guò)比較,附圖標(biāo)記432所指示的安全評(píng)估只包含相對(duì)較少的數(shù)據(jù)。由于安全評(píng)估用于將寬泛的上下文指派給信息,因此它們提供對(duì)于以下問(wèn)題的答案誰(shuí)創(chuàng)建了評(píng)估?何時(shí)?為什么?持續(xù)多久?以及,對(duì)哪一個(gè)對(duì)象應(yīng)用評(píng)估?由此,為了利用安全評(píng)估,端點(diǎn)只需理解相比于由于應(yīng)用相關(guān)規(guī)則而產(chǎn)生的無(wú)數(shù)信息消息的極少數(shù)感興趣的評(píng)估類型。因此,由每一個(gè)端點(diǎn)收集的數(shù)據(jù)的復(fù)雜性通過(guò)將信息映射到一個(gè)或多個(gè)評(píng)估類型來(lái)降低。使用安全評(píng)估由此使13得能夠向訂閱端點(diǎn)提供相關(guān)信息而無(wú)需跨企業(yè)共享大量數(shù)據(jù)或信息。以下的表2提供了可被包括在典型的安全評(píng)估中的一組說(shuō)明性字段。<table>tableseeoriginaldocumentpage14</column></row><table>通過(guò)使用表2中的字段,安全評(píng)估能夠表達(dá)以下事件1.檢測(cè)。端點(diǎn)執(zhí)行某一分析以推斷己發(fā)生某一異常行為(已受損機(jī)器、易受攻擊的機(jī)器、已受損的用戶等);2.響應(yīng)。端點(diǎn)由于安全評(píng)估而采取動(dòng)作。端點(diǎn)應(yīng)通知系統(tǒng)(具體而言,圖2中的ESAS中央服務(wù)器216)何時(shí)釆取動(dòng)作。響應(yīng)可包括例如,阻塞通信、觸發(fā)掃描、重置密碼、收集關(guān)于機(jī)器的更多數(shù)據(jù)以及類似動(dòng)作。注意,諸如重置密碼或觸發(fā)掃描等某些響應(yīng)是間歇性的,而其他響應(yīng)是持續(xù)性的并且需要被回退以便被取消;3.評(píng)估批準(zhǔn)。管理員可使用到ESAS中央服務(wù)器216的接口來(lái)手動(dòng)批準(zhǔn)評(píng)估。應(yīng)在這一批準(zhǔn)之后通知各端點(diǎn)以使得這些端點(diǎn)將執(zhí)行"必需的手動(dòng)批準(zhǔn)"響應(yīng);4.取消。管理員或端點(diǎn)可取消現(xiàn)有安全評(píng)估;5.響應(yīng)回退。端點(diǎn)通知系統(tǒng)(圖2中的ESAS中央服務(wù)器216)該端點(diǎn)已回退由于特定評(píng)估而采取的所有響應(yīng)/動(dòng)作;6.諸如連接驗(yàn)證器、等待時(shí)間檢查和錯(cuò)誤信息等健康信息評(píng)估;7.對(duì)調(diào)査數(shù)據(jù)的請(qǐng)求。這是從一端點(diǎn)到另一端點(diǎn)的、發(fā)送其在給定時(shí)間段內(nèi)收集的關(guān)于對(duì)象的所有數(shù)據(jù)的請(qǐng)求;以及8.對(duì)調(diào)查數(shù)據(jù)的請(qǐng)求完成。這是供端點(diǎn)確認(rèn)它已執(zhí)行請(qǐng)求的方法。對(duì)請(qǐng)求的響應(yīng)在存儲(chǔ)/發(fā)送數(shù)據(jù)后發(fā)送。在企業(yè)安全評(píng)估共享的該說(shuō)明性示例中,每一個(gè)端點(diǎn)都被安排成執(zhí)行下述任務(wù)中的至少某一些。在某些安排中,每一個(gè)端點(diǎn)都用通過(guò)使用分立ESAS代理來(lái)執(zhí)行這些任務(wù)所需的附加功能來(lái)增強(qiáng)。或者,該增強(qiáng)功能可更緊密地集成到由端點(diǎn)提供的核心功能中,并且單獨(dú)或分立的代理可不必被包含在該端點(diǎn)中。這些任務(wù)包括1.基于關(guān)于所監(jiān)視的系統(tǒng)的本地可用信息和安全上下文來(lái)生成新安全評(píng)估;2.訂閱來(lái)自其他端點(diǎn)的可用安全評(píng)估的子集;3.處理傳入安全評(píng)估以由此影響安全上下文。該處理可導(dǎo)致生成新安全評(píng)估;154.根據(jù)響應(yīng)策略來(lái)采取本地動(dòng)作;5.在導(dǎo)致本地動(dòng)作的評(píng)估到期(即,相關(guān)聯(lián)的TTL到期)時(shí)回退(自恢復(fù))該本地動(dòng)作。圖5示出了設(shè)置在端點(diǎn)中的ESAS代理505的說(shuō)明性示例,該端點(diǎn)通過(guò)安全評(píng)估信道205來(lái)訂閱來(lái)自其他端點(diǎn)105-1,2...N(圖1)的可用評(píng)估的子集。如上所述,由ESAS代理505提供的功能可另選地直接與端點(diǎn)的核心功能集成。多個(gè)安全評(píng)估506對(duì)于安全評(píng)估類型(即,主機(jī)、用戶、名聲和企業(yè))中的每一個(gè)都是可用的。如附圖標(biāo)記511所示,在該說(shuō)明性示例中,ESAS代理505訂閱對(duì)象類型為"主機(jī)"且評(píng)估類別為"易受攻擊"的安全評(píng)估。要強(qiáng)調(diào)的是,感興趣的對(duì)象類型和評(píng)估類別的特定組合對(duì)于不同的端點(diǎn)可以是不同的。同樣,通過(guò)使用松耦合發(fā)布/訂閱模型,并不要求每一個(gè)端點(diǎn)都訂閱每一個(gè)安全評(píng)估。在過(guò)程框514,端點(diǎn)使用可具有某種相關(guān)性的相關(guān)規(guī)則522和本地可用數(shù)據(jù)527來(lái)處理接收到的安全評(píng)估。這一評(píng)估過(guò)程的輸出包括生成新評(píng)估530和/或調(diào)用本地動(dòng)作535。如上所述,這一本地動(dòng)作在接收到的評(píng)估根據(jù)其中所包含的TTL字段而到期時(shí)經(jīng)受回退541(即,自恢復(fù))。ESAS代理505根據(jù)以下規(guī)則來(lái)解釋安全評(píng)估1.在生成關(guān)于特定對(duì)象的安全評(píng)估時(shí),端點(diǎn)可將以下各項(xiàng)的任何組合考慮在內(nèi)a)關(guān)于該對(duì)象或該端點(diǎn)監(jiān)視的任何其他對(duì)象的所有本地可用信息;b)該端點(diǎn)接收到的所有當(dāng)前活動(dòng)的安全評(píng)估(即,具有未到期TTL的安全評(píng)估);c)該端點(diǎn)過(guò)去所釆取的所有本地動(dòng)作。2.本發(fā)明的企業(yè)安全評(píng)估共享安排中的所有端點(diǎn)都遵循端點(diǎn)中的所有本地可用信息集都是互斥的原理。g卩,本發(fā)明的安排具有至多一個(gè)處理特定本地信息片段的端點(diǎn)。3.安全評(píng)估通常被解釋為關(guān)于對(duì)象的當(dāng)前和將來(lái)安全狀態(tài)的端點(diǎn)評(píng)估。重要的是注意,如上文所定義的信息和數(shù)據(jù)這兩個(gè)術(shù)語(yǔ),規(guī)則2指的是信息而不是數(shù)據(jù)的排他性。兩個(gè)端點(diǎn)在它們從數(shù)據(jù)中提取的并在稍后用于生成評(píng)估的信息是排他的情況下可處理相同或重疊的數(shù)據(jù)源。為了示出規(guī)則3的暗示,考慮其中機(jī)器的排定的反病毒掃描檢測(cè)到并移除已知惡意軟件片段的以下示例?;谠摍z測(cè),其他本地可用信息、接收到的當(dāng)前活動(dòng)評(píng)估以及端點(diǎn)的關(guān)于當(dāng)前安全事故的嵌入知識(shí),端點(diǎn)可得出以下結(jié)論中的一個(gè)1)機(jī)器在過(guò)去受到過(guò)感染,但現(xiàn)在是清潔的并且未造成任何其他將來(lái)安全風(fēng)險(xiǎn);2)該機(jī)器已被感染,并且雖然特定惡意軟件已被移除,但它仍然可能或很可能造成安全風(fēng)險(xiǎn)。根據(jù)規(guī)則3,端點(diǎn)應(yīng)在后一種情況下生成關(guān)于該機(jī)器的安全評(píng)估但不應(yīng)在前一種情況下生成安全評(píng)估。圖6是第一說(shuō)明性情形的圖示,其中多個(gè)啟用ESAS的端點(diǎn)耦合到安全評(píng)估信道205,并且在一個(gè)端點(diǎn)處檢測(cè)到的事故觸發(fā)多個(gè)其他端點(diǎn)處的響應(yīng)。該說(shuō)明性情形分三個(gè)階段描述。如附圖標(biāo)記610所指示的,邊緣防火墻1052首先標(biāo)識(shí)可能已受損的客戶機(jī),例如這是因?yàn)樵摽蛻魴C(jī)創(chuàng)建太多的到周界網(wǎng)絡(luò)112(圖l)的連接以使得對(duì)于該行為的最有可能的解釋是安全性損害的存在。其次,如附圖標(biāo)記620所指示的,該邊緣防火墻1052通過(guò)安全信道205來(lái)將具有高嚴(yán)重性和高保真度的、指示特定客戶機(jī)"已受損"的安全評(píng)估發(fā)送到訂閱端點(diǎn)。再次,接收該安全評(píng)估的訂閱端點(diǎn)105-1,3...N和ESAS中央服務(wù)器216通過(guò)應(yīng)用其自己的相關(guān)規(guī)則和本地可用數(shù)據(jù)來(lái)應(yīng)用其特定安全專家經(jīng)驗(yàn)以觸發(fā)適當(dāng)?shù)膭?dòng)作。如圖6中的附圖標(biāo)記630所共同指示的,主機(jī)安全端點(diǎn)105,執(zhí)行按需掃描。NAP端點(diǎn)1053撤消所標(biāo)識(shí)的己受損客戶機(jī)的IP安全證書并實(shí)現(xiàn)端口關(guān)閉。業(yè)務(wù)線安全端點(diǎn)105N基于所接收到的安全評(píng)估來(lái)臨時(shí)掛起到該己受損客戶機(jī)的即時(shí)消息傳遞("IM")通信。ESAS中央服務(wù)器216引發(fā)對(duì)安全分析員(例如,管理員)的警告并且還記錄所有安全評(píng)估和所調(diào)用的動(dòng)作。上述第一說(shuō)明性情形提供其中檢測(cè)到嫌疑事故的端點(diǎn)生成具有高嚴(yán)重性和高保真度的安全評(píng)估(即,該端點(diǎn)對(duì)其有效地檢測(cè)到嚴(yán)重事故具有高置信度)的情況。通過(guò)比較,圖7是第二說(shuō)明性情形的圖示,其中觸發(fā)由還執(zhí)行跨對(duì)象映射的接收端點(diǎn)來(lái)生成新的高保真評(píng)估的低保真安全評(píng)估通過(guò)安全評(píng)估信道205來(lái)發(fā)送。該第二說(shuō)明性情形也分三個(gè)階段描述。如附圖標(biāo)記710所指示的,邊緣防火墻1052首先檢測(cè)到到周界網(wǎng)絡(luò)112(圖1)的大量客戶機(jī)連接。然而,與圖6所示且在所附文本中描述的第一說(shuō)明性情形不同,客戶機(jī)所建立的連接數(shù)量不是太多從而導(dǎo)致該邊緣防火墻1052無(wú)法絕對(duì)肯定該客戶機(jī)已受損。在現(xiàn)有企業(yè)安全系統(tǒng)中,當(dāng)端點(diǎn)看見這一數(shù)據(jù)時(shí),它通常僅丟棄該數(shù)據(jù)并且不采取動(dòng)作,因?yàn)闆](méi)有足夠的證據(jù)來(lái)保證諸如斷開機(jī)器等典型的粗暴響應(yīng)。通過(guò)比較,在當(dāng)前情形中,在第二階段中邊緣防火墻1052通過(guò)安全評(píng)估信道205來(lái)發(fā)送具有中嚴(yán)重性和低保真度的、指示該特定客戶機(jī)已受損的安全評(píng)估715,如附圖標(biāo)記720所指示的。在此,對(duì)于由邊緣防火墻1052生成的安全評(píng)估715中所引用的特定對(duì)象的訂閱端點(diǎn)包括主機(jī)安全端點(diǎn)105,和ESAS中央服務(wù)器216。雖然這一低保真數(shù)據(jù)在現(xiàn)有安全產(chǎn)品中一般不觸發(fā)將要在端點(diǎn)處采取的動(dòng)作,但根據(jù)本發(fā)明的企業(yè)安全評(píng)估共享,主機(jī)安全端點(diǎn)105,鑒于從邊緣防火墻1052接收到的安全評(píng)估來(lái)不同地考慮其自己的本地?cái)?shù)據(jù)。在這種情況下,使用由主機(jī)安全端點(diǎn)105,處的按需掃描產(chǎn)生的本地?cái)?shù)據(jù)和來(lái)自邊緣防火墻1052的安全評(píng)估中所包含的信息來(lái)生成新的評(píng)估725和728。由此,主機(jī)安全端點(diǎn)105,具有這樣的信息該信息本身不保證生成新安全評(píng)估,但如在這種情況下一樣,在用來(lái)自另一端點(diǎn)的甚至低保真評(píng)估來(lái)加強(qiáng)時(shí),有足夠的證據(jù)證明創(chuàng)建各自具有高保真度的新安全評(píng)估725和728是正確的。主機(jī)安全端點(diǎn)105,將該新安全評(píng)估725和728置于安全評(píng)估信道205上。該新安全評(píng)估725和728由訂閱端點(diǎn)通過(guò)安全評(píng)估信道205來(lái)接收,該訂閱端點(diǎn)在該說(shuō)明性情形中包括對(duì)于安全評(píng)估725的邊緣防火墻1052以及對(duì)于安全評(píng)估728的業(yè)務(wù)線端點(diǎn)105N。注意,業(yè)務(wù)線端點(diǎn)105N并不是由邊緣防火墻1052產(chǎn)生的原始安全評(píng)估715的訂閱者,因?yàn)橐脤?duì)象類型是機(jī)器并且業(yè)務(wù)線端點(diǎn)105w由于其保護(hù)電子郵18件的角色而通常關(guān)心用戶。然而,在該第二說(shuō)明性情形中,主機(jī)安全端點(diǎn)105,在其生成新安全評(píng)估728時(shí)從主機(jī)對(duì)象類型映射到用戶對(duì)象類型。這一跨對(duì)象映射能力在許多情況下都可能是有益的,如可以構(gòu)想,諸如惡意軟件或惡意活動(dòng)等可能損害主機(jī)計(jì)算機(jī)的數(shù)據(jù)秘密性或完整性的高嚴(yán)重性事故也可能損害用戶??缮蓪⒏邍?yán)重性事故從主機(jī)對(duì)象類型跨對(duì)象地映射到具有特定保真度的用戶對(duì)象類型的安全評(píng)估。類似地,在其中惡意軟件或惡意活動(dòng)實(shí)際上已經(jīng)導(dǎo)致主機(jī)計(jì)算機(jī)上的數(shù)據(jù)完整性丟失的關(guān)鍵嚴(yán)重性事故的情況下,可生成具有甚至更高保真度的對(duì)于用戶對(duì)象類型的安全評(píng)估。在階段三,新安全評(píng)估725和728觸發(fā)接收端點(diǎn)處的各種相應(yīng)動(dòng)作,如由附圖標(biāo)記730所共同指示的。具體而言,邊緣防火墻1052阻塞除了軟件更新和/或關(guān)鍵任務(wù)訪問(wèn)之外的已受損客戶機(jī)的所有訪問(wèn)。業(yè)務(wù)線端點(diǎn)105N臨時(shí)掛起傳出電子郵件。并且,如同第一說(shuō)明性情形,ESAS中央服務(wù)器216繼續(xù)記錄所有評(píng)估和動(dòng)作。如上所述,這些限制僅在與新安全評(píng)估725和728相關(guān)聯(lián)的TTL保持有效的時(shí)間段期間強(qiáng)制實(shí)施。當(dāng)這些新安全評(píng)估到期時(shí),回退各自端點(diǎn)所采取的動(dòng)作,除非延長(zhǎng)TTL或者接收到調(diào)用限制動(dòng)作的新安全評(píng)估。圖8是示出補(bǔ)救技術(shù)的針對(duì)性使用的第三說(shuō)明性情形的圖示。該第三說(shuō)明性情形分三個(gè)階段描述。如附圖標(biāo)記810所指示的,邊緣防火墻1052首先檢測(cè)到到周界網(wǎng)絡(luò)112(圖1)的大量客戶機(jī)連接。其次,如附圖標(biāo)記820所指示的,該邊緣防火墻1052通過(guò)安全信道205來(lái)將具有高嚴(yán)重性和高保真度的、指示特定客戶機(jī)"已受損"的安全評(píng)估815發(fā)送到訂閱端點(diǎn)。該訂閱端點(diǎn)包括主機(jī)安全端點(diǎn)105,、NAP端點(diǎn)1053和ESAS中央服務(wù)器216。主機(jī)安全端點(diǎn)105,審閱所接收到的安全評(píng)估并使用相關(guān)規(guī)則和任何相關(guān)的本地可用數(shù)據(jù)來(lái)應(yīng)用其特定安全專家經(jīng)驗(yàn)。在該說(shuō)明性示例中,主機(jī)安全端點(diǎn)105,作為響應(yīng)生成新安全評(píng)估825,其包含業(yè)務(wù)線安全端點(diǎn)105w所訂閱的用戶對(duì)象類型。在該情形的第三階段中,各端點(diǎn)所采用的補(bǔ)救技術(shù)在其對(duì)企業(yè)100(圖1)中的業(yè)務(wù)操作的潛在影響方面被認(rèn)為是昂貴的。例如,如附圖標(biāo)記830所指示的,業(yè)務(wù)線安全端點(diǎn)105w實(shí)現(xiàn)需要臨時(shí)掛起傳出電子郵件的響應(yīng)策略。另外,主機(jī)安全端點(diǎn)105,執(zhí)行按需掃描并且如果未得到結(jié)果,則執(zhí)行深度掃描。雖然這些補(bǔ)救技術(shù)在解決惡意軟件、惡意用戶和其他問(wèn)題時(shí)可能是非常有效的,但這些技術(shù)通常給企業(yè)造成了巨大的花費(fèi)。例如,傳出電子郵件被掛起的用戶將會(huì)是較不多產(chǎn)的,并且深度掃描通常需要會(huì)將機(jī)器從服務(wù)中移除一段時(shí)間的一次或多次重啟。本發(fā)明的ESAS安全有利地使得能夠以有針對(duì)性的方式,而不是僅僅以對(duì)于某些機(jī)器和/或用戶可能未被證明是正確的通用方式或全盤應(yīng)用這些雖然昂貴但有效的補(bǔ)救技術(shù)。該環(huán)境中只有使用預(yù)定義準(zhǔn)則來(lái)被認(rèn)為是有嫌疑的對(duì)象才將經(jīng)受這些特定補(bǔ)救技術(shù)。圖9示出了由使得諸如管理員等用戶能夠管理和定義企業(yè)100(圖l)中的端點(diǎn)的響應(yīng)策略的圖形用戶界面("GUI")提供的說(shuō)明性屏幕900。在某些應(yīng)用中,該GUI被主存在ESAS中央服務(wù)器216(圖2)上。有利的是,具體化為安全評(píng)估的語(yǔ)義抽象層使得能夠使用非常緊湊且清楚的方法來(lái)建立企業(yè)范圍安全策略。即,響應(yīng)策略可通過(guò)將安全評(píng)估用作定義的起始點(diǎn),而不關(guān)心企業(yè)中的哪一個(gè)端點(diǎn)創(chuàng)建了該安全評(píng)估或者該端點(diǎn)如何得出該安全評(píng)估中所反映的結(jié)論來(lái)配置。安全評(píng)估與其緊湊分類由此用作對(duì)于企業(yè)范圍安全響應(yīng)策略的自然錨。在沒(méi)有本發(fā)明的ESAS安排來(lái)簡(jiǎn)化響應(yīng)策略的配置的情況下,用戶將需要考慮每一個(gè)端點(diǎn)可能生成的每一個(gè)事件和/或警告,并且然后定義對(duì)每一個(gè)這樣的事件做什么。屏幕900是使用對(duì)應(yīng)于多個(gè)不同端點(diǎn)的字段903-l,2...N來(lái)示出企業(yè)范圍響應(yīng)策略的配置的說(shuō)明性示例,該配置針對(duì)如附圖標(biāo)記906所指示的、定義對(duì)于該響應(yīng)策略配置的起始點(diǎn)(即,"錨"點(diǎn))的具有關(guān)鍵嚴(yán)重性的評(píng)估類別已受損機(jī)器的情況。要強(qiáng)調(diào)的是,對(duì)于其他評(píng)估類別、對(duì)象類型、嚴(yán)重性等級(jí)等將利用其他用戶界面屏幕以使得允許用戶為多個(gè)不同起始點(diǎn)定義可能在特定企業(yè)安全環(huán)境中使用的響應(yīng)策略。在該特定示例中,響應(yīng)策略取決于所設(shè)置的嚴(yán)重性等級(jí)為"關(guān)鍵"的特定安全評(píng)估的保真度來(lái)設(shè)置。字段903包括多個(gè)相應(yīng)的子字段,這些子字段被安排成使用例如典型的GUI中所采用的文本輸入框、下拉菜單等來(lái)反映用戶定義的輸入。如子字段910所指示的,對(duì)于具有關(guān)鍵嚴(yán)重性的指示已受損機(jī)器的安全評(píng)估,邊緣防火墻1052(圖1)被配置成在安全評(píng)估具有低保真度時(shí)增加審核量(即,移至與普通審核級(jí)別相比增加所收集的數(shù)據(jù)量的深度審核級(jí)別)。子字段913示出對(duì)于具有中保真度的評(píng)估,邊緣防火墻1052提高審核級(jí)別并且還將對(duì)所懷疑的已受損機(jī)器的因特網(wǎng)訪問(wèn)僅限于通常包括已知不是惡意的站點(diǎn)的"白名單"URL。在保真度為高時(shí),如子字段916所示,完全阻塞對(duì)因特網(wǎng)的訪問(wèn)。字段9032示出對(duì)應(yīng)于主機(jī)安全端點(diǎn)105,(圖1)的響應(yīng)策略配置。對(duì)于具有低保真度并且指示已受損機(jī)器且嚴(yán)重性為關(guān)鍵的安全評(píng)估,主機(jī)安全端點(diǎn)105,將審核量增加至深度審核級(jí)別,如子字段920所指示的。子字段923指示對(duì)于中和高保真度的情況,主機(jī)安全端點(diǎn)105,增加其審核,并且還增加執(zhí)行對(duì)其主機(jī)的深度掃描(其中"深度"掃描可能需要計(jì)算機(jī)重啟一次或多次)。字段903N示出對(duì)應(yīng)于業(yè)務(wù)線安全端點(diǎn)105N(圖1)的響應(yīng)策略配置。對(duì)于具有低保真度并且指示己受損機(jī)器且嚴(yán)重性為關(guān)鍵的安全評(píng)估,業(yè)務(wù)線安全端點(diǎn)105N將審核量增加至深度審核級(jí)別,如子字段926所指示的。子字段932指示對(duì)于具有中保真度的安全評(píng)估,業(yè)務(wù)線安全端點(diǎn)105N將其數(shù)據(jù)收集增加至深度審核,并且還限制對(duì)于電子郵件的文件附件。子字段935指示對(duì)于具有高保真度的安全評(píng)估,業(yè)務(wù)線安全端點(diǎn)105w阻塞所有即時(shí)消息傳遞("IM")通信。字段941示出對(duì)應(yīng)于圖2中的ESAS中央服務(wù)器216的響應(yīng)策略配置。對(duì)于具有高保真度的安全評(píng)估,如子字段943所指示的,ESAS中央服務(wù)器216執(zhí)行對(duì)于受影響的機(jī)器的端口關(guān)閉并生成相關(guān)聯(lián)的用戶賬戶已被掛起的警告。如同以上所討論的子字段,子字段943通常被安排成接受用戶定義的輸入。圖IO示出了由使得諸如管理員等用戶能夠管理和定義企業(yè)IOO(圖1)中的端點(diǎn)的響應(yīng)策略的GUI提供的說(shuō)明性屏幕1000。該屏幕和GUI可用于補(bǔ)充圖9所示并且在所附文本中描述的安排,或者可用作替換安排。屏幕1000提供對(duì)應(yīng)于各種保真度等級(jí)和所有嚴(yán)重性等級(jí)的評(píng)估類別"已受損機(jī)器"的響應(yīng)策略配置的單個(gè)視圖。在該說(shuō)明性示例中,具有任意嚴(yán)重性等級(jí)的評(píng)估類別為"已受損"的安全評(píng)估類型1006用作對(duì)于所示響應(yīng)策略配置的錨。要強(qiáng)調(diào)的是,可構(gòu)想用于與其他對(duì)象類型和評(píng)估類別一起使用的類似屏幕。如同圖9所示且在所附文本中描述的安排,圖10所示的安排提供了用于整個(gè)企業(yè)中的端點(diǎn)的響應(yīng)策略的非常緊湊的管理界面。圖11示出了說(shuō)明性企業(yè)安全安排1100,其中本發(fā)明的ESAS特征集,包括安全評(píng)估共享、ESAS中央服務(wù)器的安全評(píng)估監(jiān)視(如圖2所附文本中所描述的)以及用于企業(yè)范圍響應(yīng)策略配置的緊湊分類(如圖9和10所附文本中所描述的,用作企業(yè)安全管理層1105。即,附圖標(biāo)記1108所指示的ESAS特征集在企業(yè)環(huán)境中的所有端點(diǎn)之間共享,并且不限于作為單個(gè)企業(yè)安全產(chǎn)品島的一部分。由通過(guò)安全評(píng)估信道205(圖2)來(lái)共享的安全評(píng)估形成的語(yǔ)義抽象層使得能夠利用單個(gè)且一致的管理界面以由此創(chuàng)建針對(duì)企業(yè)安全的更集成的方法。盡管用對(duì)結(jié)構(gòu)特征和/或方法動(dòng)作專用的語(yǔ)言描述了本主題,但可以理解,所附權(quán)利要求書中定義的主題不必限于上述具體特征或動(dòng)作。相反,上述具體特征和動(dòng)作是作為實(shí)現(xiàn)權(quán)利要求的示例形式公開的。權(quán)利要求1.一種可用于在企業(yè)安全環(huán)境中的多個(gè)端點(diǎn)之間共享安全相關(guān)信息的安全相關(guān)信息共享模型,所述模型方便使用一種方法,所述方法包括以下步驟使用對(duì)于端點(diǎn)可用的安全相關(guān)信息的語(yǔ)義抽象來(lái)描述所述環(huán)境中的對(duì)象,所述語(yǔ)義抽象i)按類型來(lái)進(jìn)行分類并且ii)由所述端點(diǎn)來(lái)共同利用;以及使用發(fā)布端點(diǎn)用于發(fā)布訂閱端點(diǎn)根據(jù)訂閱來(lái)訂閱的語(yǔ)義抽象的發(fā)布和訂閱模型,所述訂閱基于語(yǔ)義抽象類型。2.如權(quán)利要求1所述的安全相關(guān)信息共享模型,其特征在于,所述語(yǔ)義抽象是被安排成提供端點(diǎn)使用預(yù)定義分類的向所述安全相關(guān)信息的上下文指派的安全評(píng)估。3.如權(quán)利要求2所述的安全相關(guān)信息共享模型,其特征在于,所述預(yù)定義分類利用包括對(duì)象類型和評(píng)估類別的架構(gòu)化詞匯。4.如權(quán)利要求3所述的安全相關(guān)信息共享模型,其特征在于,所述對(duì)象類型包括主機(jī)、用戶、服務(wù)、數(shù)據(jù)或企業(yè)中的至少一個(gè)。5.如權(quán)利要求3所述的安全相關(guān)信息共享模型,其特征在于,所述評(píng)估類別包括易受攻擊、已受損、正被攻擊、感興趣、已破壞或惡意中的至少一個(gè)。6.如權(quán)利要求3所述的安全相關(guān)信息共享模型,其特征在于,所述評(píng)估類別中的特定評(píng)估類別被映射到所述對(duì)象類型中的特定對(duì)象類型。7.如權(quán)利要求2所述的安全相關(guān)信息共享模型,其特征在于,所述安全評(píng)估包括多個(gè)字段,所述多個(gè)字段中的至少一個(gè)是被安排成表達(dá)端點(diǎn)對(duì)所述安全評(píng)估的置信度的保真度字段。8.如權(quán)利要求2所述的安全相關(guān)信息共享模型,其特征在于,所述安全評(píng)估包括多個(gè)字段,所述多個(gè)字段中的至少一個(gè)是被安排成表達(dá)端點(diǎn)對(duì)所述安全評(píng)估預(yù)期有效的時(shí)間段的估計(jì)的生存時(shí)間字段。9.如權(quán)利要求1所述的安全相關(guān)信息共享模型,其特征在于,所述多個(gè)端點(diǎn)中的至少一個(gè)端點(diǎn)包括安全解決方案對(duì)象,所述對(duì)象選自安全產(chǎn)品、安全解決方案、管理產(chǎn)品、管理解決方案、安全服務(wù)或管理服務(wù)中的一個(gè)。10.—種用于使得端點(diǎn)能夠共享企業(yè)安全環(huán)境中的安全相關(guān)數(shù)據(jù)的方法,所述方法包括以下步驟生成用于描述事件的安全評(píng)估,其中所述生成至少部分地基于關(guān)于由所述端點(diǎn)監(jiān)視的系統(tǒng)的本地可用信息,所述安全評(píng)估被安排成為所述事件提供上下文含義并且用所述安全評(píng)估在其上有效的時(shí)間間隔來(lái)定義;根據(jù)對(duì)由所述企業(yè)安全環(huán)境中的其他端點(diǎn)生成的可用安全評(píng)估的子集的訂閱來(lái)接收當(dāng)前安全評(píng)估;以及在每一個(gè)安全評(píng)估的基礎(chǔ)上根據(jù)響應(yīng)策略來(lái)釆取響應(yīng)。11.如權(quán)利要求io所述的方法,12.如權(quán)利要求10所述的方法,個(gè)先前從所述子集接收到的安全評(píng)估,其特征在于,所述響應(yīng)包括本地動(dòng)作。其特征在于,安全上下文包括一個(gè)或多只要先前的安全評(píng)估有效。13.如權(quán)利要求11所述的方法,其特征在于,所述本地可用信息還包括由所述端點(diǎn)采取的一個(gè)或多個(gè)過(guò)去的本地動(dòng)作。14.如權(quán)利要求11所述的方法,其特征在于,包括一旦所接收到的安全評(píng)估不再有效就回退所述本地動(dòng)作的進(jìn)一步的步驟。15.—種用于跨企業(yè)配置安全策略的方法,所述方法包括以下步驟定義安全評(píng)估模式,其中對(duì)安全事件的評(píng)估由所述企業(yè)中的多個(gè)端點(diǎn)生成,所述評(píng)估i)使用預(yù)定義分類來(lái)為所述安全事件提供上下文含義并且ii)按類型來(lái)進(jìn)行分類;以及將評(píng)估用作規(guī)則矩陣的錨點(diǎn),所述規(guī)則矩陣描述對(duì)每一種評(píng)估類型的響應(yīng)。16.如權(quán)利要求15所述的方法,其特征在于,包括在中央位置收集由所述多個(gè)端點(diǎn)生成的評(píng)估的進(jìn)一步的步驟。17.如權(quán)利要求15所述的方法,其特征在于,包括收集由所述端點(diǎn)生成的通知的進(jìn)一步的步驟,所述通知與由所述端點(diǎn)采取的本地動(dòng)作相關(guān)聯(lián)。18.如權(quán)利要求15所述的方法,其特征在于,評(píng)估類型由對(duì)象類型、評(píng)估類別或事件嚴(yán)重性中的至少兩個(gè)的組合來(lái)定義。19.如權(quán)利要求15所述的方法,其特征在于,所述規(guī)則矩陣包括評(píng)估保真度和事件嚴(yán)重性的維度。20.如權(quán)利要求15所述的方法,其特征在于,包括提供用于顯示所述錨點(diǎn)和規(guī)則矩陣的表示的圖形用戶界面的進(jìn)一步的步驟。全文摘要企業(yè)范圍共享安排使用被稱為安全評(píng)估的語(yǔ)義抽象來(lái)在被稱為端點(diǎn)的不同安全產(chǎn)品之間共享安全相關(guān)信息。安全評(píng)估被定義為端點(diǎn)將較寬泛的上下文含義向所收集的關(guān)于感興趣對(duì)象的信息的試驗(yàn)性指派。其試驗(yàn)性特性反映在其兩個(gè)分量中用于表達(dá)對(duì)評(píng)估的置信度水平的保真度字段,以及對(duì)應(yīng)于所估計(jì)的評(píng)估有效時(shí)間段的生存時(shí)間字段。端點(diǎn)可將安全評(píng)估發(fā)布到安全評(píng)估信道上,以及訂閱由其他端點(diǎn)發(fā)布的安全評(píng)估的子集。一專用端點(diǎn)耦合到該信道,該專用端點(diǎn)通過(guò)訂閱所有安全評(píng)估、記錄安全評(píng)估、并且還記錄由各端點(diǎn)響應(yīng)于安全威脅而采取的本地動(dòng)作來(lái)作為集中式審核點(diǎn)來(lái)執(zhí)行。文檔編號(hào)G06F21/00GK101632085SQ200880008153公開日2010年1月20日申請(qǐng)日期2008年3月14日優(yōu)先權(quán)日2007年3月14日發(fā)明者E·胡迪斯,J·馬爾卡,U·巴拉什,Y·黑爾曼申請(qǐng)人:微軟公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1