統(tǒng)一掃描管理的制作方法
【專利摘要】識別要在計算環(huán)境的至少一部分上執(zhí)行的特定掃描集。在多個掃描引擎中識別適于執(zhí)行所述特定掃描集中的至少一個掃描的特定掃描引擎���,所述多個掃描引擎中的每一個掃描引擎適于在計算環(huán)境中的一個或多個主機設備上執(zhí)行一個或多個掃描��。將請求發(fā)送到所述特定掃描引擎以便執(zhí)行所述特定掃描集中的所述至少一個掃描���,并且從與所述特定掃描集中的所述至少一個掃描相對應的所述特定掃描引擎接收掃描結果數(shù)據(jù)。
【專利說明】統(tǒng)一掃描管理
【技術領域】
[0001]本公開通常涉及計算安全的領域,并且更具體地涉及安全掃描�。
【背景技術】
[0002]現(xiàn)代組織越來越多地關心維持其計算環(huán)境的可靠性和安全性,假定計算機網(wǎng)絡在實體內和實體間通信和事務中起的重要作用���。各種工具由網(wǎng)絡管理員�、政府����、安全顧問和黑客使用以便測試目標網(wǎng)絡的漏洞,例如以網(wǎng)絡上的任何計算機是否能夠在沒有授權的情況下被訪問并且被遠程地控制為例�����。一些網(wǎng)絡安全工具能夠測試對于可能的入侵的網(wǎng)絡路徑����。從測試點起,諸如traceroute和ping的簡單命令能夠用于手動地映射網(wǎng)絡拓撲��,并且大致確定什么網(wǎng)絡地址是“活躍的”以及哪些計算機在網(wǎng)絡上是“醒著的”(即��,確定哪些計算機是打開的并且對網(wǎng)絡分組做出響應)�����。諸如端口掃描儀的工具能夠用于測試目標網(wǎng)絡上的單獨的目標計算機以便確定什么網(wǎng)絡端口是打開的。如果發(fā)現(xiàn)了打開的端口���,則這些端口會提供對于可能的入侵的通路����,并且潛在地代表會由惡意黑客利用的漏洞�����。能夠在計算環(huán)境內采用各種工具���,導致運行各種不同的測試并且返回數(shù)據(jù)�����。管理員和安全分析員能夠在一些情況下經(jīng)過從不相關的工具返回的數(shù)據(jù)來工作��,以便試圖合成各種結果并且理解該結果�����、生成報告等等。
【專利附圖】
【附圖說明】
[0003]圖1是根據(jù)至少一個實施例包括多個掃描引擎的示例計算系統(tǒng)的簡化示意圖�;
[0004]圖2是根據(jù)至少一個實施例包括示例資產(chǎn)管理系統(tǒng)和示例掃描引擎的示例計算系統(tǒng)的簡化方框圖;
[0005]圖3A-3B是根據(jù)至少一個實施例基于代理的掃描引擎的示例實現(xiàn)的簡化方框圖;
[0006]圖4A-4E是說明根據(jù)至少一個實施例的示例資產(chǎn)管理系統(tǒng)和示例掃描引擎的示例操作的簡化方框圖�;
[0007]圖5A-5G是說明根據(jù)至少一個實施例的示例資產(chǎn)管理系統(tǒng)和示例掃描引擎的示例操作的簡化方框圖;
[0008]圖6A-6B是說明根據(jù)至少一個實施例用于掃描計算環(huán)境的部分的示例技術的簡化流程圖�����。
[0009]在各種附圖中相似的附圖標記和名稱指示相似的元件���。
【具體實施方式】
[0010]概覽
[0011]通常����,在這一說明書中描述的主題的一個方面可以被體現(xiàn)在方法中����,所述方法包括下列動作:識別要在計算環(huán)境的至少一部分上執(zhí)行的特定掃描集并且在多個掃描引擎中識別適于執(zhí)行所述特定掃描集中的至少一個掃描的特定掃描引擎。多個掃描引擎中的每一個掃描引擎能夠適于在計算環(huán)境中的一個或多個主機設備上執(zhí)行一個或多個掃描��。能夠將請求發(fā)送到特定掃描引擎以便執(zhí)行特定掃描集中的至少一個掃描��,并且能夠從與特定掃描集中的至少一個掃描相對應的特定掃描引擎接收掃描結果數(shù)據(jù)��。
[0012]在這一說明書中描述的主題的另一通常的方面可以被體現(xiàn)在系統(tǒng)中��,所述系統(tǒng)包括至少一個處理器設備��、至少一個存儲器元件和資產(chǎn)管理系統(tǒng)服務器。資產(chǎn)管理系統(tǒng)服務器可以適于在由至少一個處理器設備執(zhí)行時識別要在計算環(huán)境的至少一部分上執(zhí)行的特定掃描集并且在多個掃描引擎中識別適于執(zhí)行特定掃描集中的至少一個掃描的特定掃描引擎����。資產(chǎn)管理系統(tǒng)服務器能夠進一步適于將請求發(fā)送到特定掃描引擎以便執(zhí)行特定掃描集中的至少一個掃描并且從與特定掃描集中的至少一個掃描相對應的特定掃描引擎接收掃描結果數(shù)據(jù)。多個掃描引擎中的每一個掃描引擎能夠適于在計算環(huán)境中的一個或多個主機設備上執(zhí)行一個或多個掃描����。
[0013]這些和其它實施例可以分別可選地包括下列特征中的一個或多個。所述請求經(jīng)過代理被發(fā)送���。特定掃描引擎可以是適于執(zhí)行計算環(huán)境的所述部分的外部掃描的基于網(wǎng)絡的掃描引擎�。特定掃描引擎可以是在計算環(huán)境的所述部分中在特定目標設備上托管的基于主機的掃描引擎�����,并且適于執(zhí)行特定目標設備的內部掃描�。多個計算語言中的特定計算語言能夠通過特定掃描引擎從該請求被識別,并且掃描引擎可以利用特定掃描引擎上的多個語言解釋程序中的相對應的語言解釋程序以便執(zhí)行特定掃描集中的至少一個掃描�。該請求可以使特定語言解釋程序在特定掃描集中的至少一個掃描期間在特定掃描引擎上被激活。特定掃描集可以至少部分地基于可應用于計算環(huán)境的所述部分的計算環(huán)境的安全策略����。識別特定掃描集可以包括基于安全策略來生成特定掃描集。安全策略可以是設備中心策略�����、組織特定策略和調控策略中的一個���。
[0014]進而�����,這些和其它實施例也可以分別可選地包括下列特征中的一個或多個��。多個掃描引擎中的第二掃描引擎可以被識別以便執(zhí)行特定掃描集中的另一掃描�,并且所述請求可以被發(fā)送到第二掃描引擎以便執(zhí)行特定掃描集中的另一掃描�����。掃描結果數(shù)據(jù)也可以被從與特定掃描集中的另一掃描相對應的第二掃描引擎接收��。與特定掃描集中的每一個掃描相對應的所接收的掃描結果數(shù)據(jù)可以被聚集��。特定掃描引擎可以是適于執(zhí)行計算環(huán)境的所述部分的外部掃描的基于網(wǎng)絡的掃描引擎�,并且第二掃描引擎可以是在計算環(huán)境的所述部分中的特定目標設備上被托管并且適于執(zhí)行特定目標設備的內部掃描的基于主機的掃描引擎。到第二掃描引擎的執(zhí)行另一掃描的請求可以對從特定掃描集接收的與特定掃描集中的至少一個掃描相對應的掃描結果數(shù)據(jù)做出響應而被發(fā)送���。計算環(huán)境的所述部分可以包括整個計算環(huán)境��。至少一個掃描可以是特定掃描集中的至少兩個掃描中的第一個����,并且可以對于特定掃描引擎識別至少兩個掃描中不同于第一掃描的第二掃描。請求可以被發(fā)送到特定掃描引擎以便執(zhí)行第二掃描�,并且與第二掃描相對應的來自特定掃描引擎的掃描結果數(shù)據(jù)可以被接收。第二掃描可以涉及與第一掃描不同的掃描目標�����。第二掃描可以是與第一掃描不同類型的掃描��。第二掃描可以利用與第一掃描不同的計算語言��??梢宰R別要在計算環(huán)境的至少一部分上執(zhí)行的不同的第二掃描集,多個掃描引擎中的一個或多個掃描引擎可以被識別以便執(zhí)行第二掃描集中的掃描����,可以將執(zhí)行第二掃描集中的掃描的請求發(fā)送到被識別的掃描引擎,并且可以接收第二掃描集的掃描結果數(shù)據(jù)���。特定掃描引擎可以執(zhí)行特定掃描集和第二掃描集的每一個中的掃描�。多個掃描引擎中的每一個掃描引擎可以是適于利用包括在各自掃描引擎上的各自語言解釋程序庫的統(tǒng)一掃描引擎。
[0015]所述特征中的一些或所有可以是計算機實現(xiàn)的方法或者被進一步包括在用于執(zhí)行這一描述的功能的各自系統(tǒng)或其它設備中��。在附圖和下面的描述中闡述了本公開的這些和其它特征�����、方面和實現(xiàn)的細節(jié)���。通過說明書和附圖以及權利要求,本公開的其它特征�、目的和優(yōu)點將變得明顯。
[0016]示例實施例
[0017]圖1是說明計算環(huán)境100的示例實現(xiàn)的簡化方框圖���,計算環(huán)境100包括資產(chǎn)管理系統(tǒng)105和多個計算設備以及其它主機設備(例如130��、135�、140)����,計算設備包括用戶計算設備110、115�����、120�、125�����,并且主機設備包括提供各種服務�、數(shù)據(jù)���、應用和計算環(huán)境內的其它資源的設備�。計算環(huán)境100可以附加地包括適于根據(jù)各種掃描腳本中的一個或多個來執(zhí)行各種測試����、探測、訪問企圖和其它掃描的多個掃描引擎150�、155、160��、165���、170,每一個掃描引擎適于試圖獲得關于計算環(huán)境100的各種元件��、其各自的主機設備(例如110����、115、120��、125�����、130�����、135����、140)��、由設備托管的應用和服務和計算環(huán)境100內的網(wǎng)絡(例如145)以及諸如路由器�、交換機、防火墻等等的單獨的網(wǎng)絡元件的信息����。進而,在一些實現(xiàn)中�����,掃描引擎150、155��、160�、165、170能夠掃描系統(tǒng)部件以便附加地獲得描述使用計算環(huán)境100的各種用戶/人的屬性以及該用戶/人的行為傾向的信息��。由掃描引擎150��、155�、160、165�、170經(jīng)過計算環(huán)境的各種掃描生成、發(fā)現(xiàn)和/或收集的數(shù)據(jù)可以結合計算環(huán)境100或者該計算環(huán)境的特定部分或元件的安全性相關評估而被聚集�、合成和以其它方式進行處理。
[0018]在一些實現(xiàn)中���,示例資產(chǎn)管理系統(tǒng)105可以至少部分地集中由掃描引擎150����、155�、160、165�、170執(zhí)行的掃描的控制以及從該掃描獲得的掃描結果數(shù)據(jù)的處理。在許多傳統(tǒng)系統(tǒng)中��,多個不同的掃描實用程序可以獨立于其它掃描實用程序而被提供,每一個掃描工具適于提供特定類型的掃描服務��,例如特定類型的子系統(tǒng)或設備的掃描�,對于特定屬性的掃描,等等�����。然而在一些實例中�,多維掃描可以涉及各種不同的服務和設備的測試和掃描,并且涉及多個不同的掃描實用程序的調用����。在典型的系統(tǒng)中�,每一個掃描實用程序將獨立于其它掃描實用程序而掃描計算環(huán)境的其特定子集,在一些情況下執(zhí)行冗余校驗����、掃描或者冗余地掃描特定設備或服務。此外��,每一個獨立的掃描實用程序將返回它自己的結果數(shù)據(jù)集��,多維掃描(例如��,涉及多個不同的掃描和掃描實用程序的掃描項目)產(chǎn)生多個獨立的結果集的相對應的集。包括潛在地冗余或不一致的結果的各種結果集的合成和理解可以涉及管理人員篩查和過濾各種掃描結果以便生成結論����、產(chǎn)生報告并且根據(jù)掃描得出含義連同其它困難和低效率。在一些情況下��,根據(jù)本文描述的至少一些原理實現(xiàn)的資產(chǎn)管理系統(tǒng)和掃描引擎可以克服這些缺陷以及在本文沒有明確描述的其它缺陷��。
[0019]端點或用戶設備�����、網(wǎng)絡元件��、主機設備以及包括在計算環(huán)境100中的其它計算設備可以通過一個或多個網(wǎng)絡(例如145)與其它設備進行通信和/或便于其它設備之間的通信���。漏洞和威脅可以根據(jù)設備在計算環(huán)境100的內部和外部參與計算事務和通信而進行具體化�����。系統(tǒng)內各種漏洞的存在會向通過利用漏洞的威脅危害的計算環(huán)境100打開門�����,該威脅包括計算機病毒����、損壞的數(shù)據(jù)、未授權的系統(tǒng)����、數(shù)據(jù)或網(wǎng)絡訪問、數(shù)據(jù)失竊�、蠕蟲、惡意軟件�、黑客和其它威脅。這樣的漏洞和威脅會對一個或多個設備�、子網(wǎng)絡或者計算環(huán)境本身造成風險。此外����,計算環(huán)境根據(jù)其被管理的各種策略可以此外通過計算環(huán)境批準與一個或多個策略的特定符合性。有效而精確地掃描計算環(huán)境100內的設備和網(wǎng)絡可以幫助確保支持各種安全標準和策略��,并且維持整體計算環(huán)境100及其構成元件的安全性和健康狀況����。
[0020]通常����,“服務器”���、“客戶端”、“計算設備”��、“網(wǎng)絡元件”�����、“主機”和“系統(tǒng)”����,包括示例計算環(huán)境100中的計算設備(例如,105���、110����、115�、120、125���、130�����、135���、140等等)�,可以包括操作為接收�����、傳輸�、處理、存儲或管理與計算環(huán)境100相關聯(lián)的數(shù)據(jù)和信息的電子計算設備�����。如在這一文檔中使用的����,術語“計算機”、“處理器”�、“處理器設備”或“處理設備”意在包含任意合適的處理設備。例如�����,可以使用諸如包括多個服務器計算機的服務器池的多個設備來實現(xiàn)被表示為計算環(huán)境100內的單個設備的元件�����。進而�����,計算設備的任何��、所有或一些可以適于執(zhí)行任何操作系統(tǒng)�,包括 Linux、UNIX�、Microsoft Windows、Apple OS���、Apple 1S�����、Google Android����、Windows Server等等��,以及適于虛擬化包括定制和專有操作系統(tǒng)的特定操作系統(tǒng)的執(zhí)行的虛擬機。
[0021]進而���,服務器�����、客戶端����、網(wǎng)絡元件���、系統(tǒng)和計算設備(例如105���、110、115���、120���、125、130�、135、140等等)可以分別包括一個或多個處理器���、計算機可讀存儲器和一個或多個接口連同其它特征和硬件�����。服務器可以包括任何適當?shù)能浖考蚰K或者能夠托管和/或提供軟件應用和服務(例如����,資產(chǎn)管理系統(tǒng)105���、掃描引擎150��、155��、160����、165��、170和包括分布式����、企業(yè)或基于云的軟件應用、數(shù)據(jù)和服務的其它服務����、應用和其它程序)的計算設備��。例如�����,服務器可以配置為托管����、服務或以其它方式管理與其它服務和設備通過接口連接�����、與其它服務和設備協(xié)調或者依賴于其它服務和設備或由其它服務和設備使用的數(shù)據(jù)結構�����、模型���、數(shù)據(jù)集����、軟件服務和應用�。在一些實例中����,服務器��、系統(tǒng)�����、子系統(tǒng)或計算設備可以被實現(xiàn)為能夠被托管在公共計算系統(tǒng)����、服務器���、服務器池或云計算環(huán)境中并且共享包括共享存儲器���、處理器和接口的計算資源的設備的某種組合。
[0022]用戶�����、端點或客戶端計算設備(例如110����、115���、120、125等等)可以包括傳統(tǒng)和移動計算設備���,包括個人計算機�����、膝上型計算機�、平板計算機��、智能電話���、個人數(shù)字助理�����、特征電話���、手持視頻游戲控制臺、桌上型計算機��、互聯(lián)網(wǎng)使能的電視機以及被設計為與用戶通過接口進行連接并且能夠通過一個或多個網(wǎng)絡(例如145)與其它設備進行通信的其它設備���。用戶計算設備和計算設備(例如105���、110���、115、120�����、125���、130、135����、140等)的屬性通常可以從一個設備到另一設備廣泛地改變�,包括各自的操作系統(tǒng)和被裝入、安裝����、執(zhí)行、操作或者以其它方式對于每一個設備可訪問的軟件程序的集���。例如��,計算設備可以運行����、執(zhí)行、安裝或者以其它方式包括程序的各種集����,包括操作系統(tǒng)、應用����、插件、小應用程序���、虛擬機�、機器圖像���、驅動器����、可執(zhí)行文件和能夠由各自設備運行�����、執(zhí)行或者以其它方式使用的其它基于軟件的程序的各種組合。
[0023]一些計算設備可以進一步包括至少一個圖形顯示設備和用戶界面���,允許用戶觀看應用和在計算環(huán)境100中提供的其它程序的圖形用戶界面并且與該圖形用戶界面進行交互���,包括與在計算設備內托管的應用進行交互的程序的用戶界面和圖形表示以及與資產(chǎn)管理系統(tǒng)105或者一個或多個掃描引擎150、155����、160、165����、170相關聯(lián)的圖形用戶界面�。而且,盡管可以就被一個用戶使用而言來描述用戶計算設備(例如110���、115���、120、125等等)���,但是本公開設想許多用戶可以使用一個計算機或者一個用戶可以使用多個計算機��。
[0024]盡管將圖1描述為包含多個元件或者與多個元件相關聯(lián)��,但是并不是在本公開的每一個可選實現(xiàn)中都可以利用在圖1的計算環(huán)境100內說明的所有元件����。此外,結合圖1的示例描述的一個或多個元件可以位于計算環(huán)境100外部����,而在其它實例中,某些元件可以被包括其它所描述的元件以及在所說明的實現(xiàn)中沒有描述的其它元件中的一個或多個內或者作為其一部分��。進而�,圖1中說明的某些元件可以與其它部件進行組合,并且用于除了本文公開的那些目的之外的可選或附加的目的��。
[0025]圖2是說明包括與多個代理(例如210����、215)協(xié)同操作的示例資產(chǎn)管理系統(tǒng)205的示例系統(tǒng)的簡化方框圖200,所述代理配備有適于基于從資產(chǎn)管理系統(tǒng)205接收的指令和請求來執(zhí)行基于主機的掃描(例如在掃描引擎225的情況下)或基于網(wǎng)絡的掃描(例如在掃描引擎220的情況下)的掃描引擎(例如220�����、225)。掃描結果可以使用基于網(wǎng)絡和基于主機的掃描引擎(例如分別為220�����、225)從掃描生成并且被發(fā)送到資產(chǎn)管理系統(tǒng)205用于集中式管理�、分析和處理。在一些情況下�����,資產(chǎn)管理系統(tǒng)205可以通過包括基于網(wǎng)絡和基于主機的掃描引擎的多個不同的掃描引擎來協(xié)調涉及許多掃描(即��,掃描的集)的掃描�����,并且基于在掃描集的一個或多個部分期間接收的掃描結果來修改由掃描引擎使用的掃描腳本���。進而,使用一個或多個不同的掃描引擎獲得或生成的結果數(shù)據(jù)可以被集中地報告到資產(chǎn)管理系統(tǒng)用于通過資產(chǎn)管理系統(tǒng)進行聚集��、合成和分析�。
[0026]在一些實現(xiàn)中,示例資產(chǎn)管理系統(tǒng)205可以包括用于執(zhí)行包括在資產(chǎn)管理系統(tǒng)205的一個或多個部件中的功能的一個或多個處理器設備255和存儲器元件258。例如��,在資產(chǎn)管理系統(tǒng)205的一個示例實現(xiàn)中��,可以提供掃描控制器260��、資產(chǎn)倉庫管理器265和策略管理器270���。不例掃描控制器260可以例如包括用于與一個或多個掃描引擎(例如220,225)通過接口進行連接并且管理由掃描引擎執(zhí)行的掃描集和單獨掃描的功能����。在一些實例中��,策略(例如275)可以與計算環(huán)境的一個或多個部件相關聯(lián)�,例如整個環(huán)境、網(wǎng)絡�����、一個或多個子網(wǎng)����、一個或多個設備、一個或多個應用�����、一個或多個用戶等等。這樣的策略可以包括用戶中心策略(例如對特定用戶對計算環(huán)境的設備和網(wǎng)絡的使用應用的)�、設備中心策略(例如對計算環(huán)境內的特定設備應用的)、組織特定策略(例如由在特定組織的計算環(huán)境內管理使用和配置的組織設置的策略)和調控策略(例如由工業(yè)�����、政府或其它實體設置的策略�����,設置在由實體管理的特定背景內使用的計算系統(tǒng)的系統(tǒng)要求和準則(例如Sarbanes-Oxley系統(tǒng)符合策略�、支付卡工業(yè)(PCI)策略、健康保險攜帶和責任法案(HIPAA)策略等等))連同其它示例���。掃描控制器260可以適于生成特定掃描��,包括涉及在一些情況下由多個不同的掃描引擎(例如220�、225)執(zhí)行的掃描序列的掃描集���,處理與特定策略(例如275)的符合性或特定策略(例如275)的準則?��?梢允褂脪呙杩刂破?60生成并維持各種掃描腳本278,用于在結合一個或多個策略274執(zhí)行掃描時使用����。
[0027]掃描腳本278可以由掃描控制器260推到一個或多個特定掃描引擎220、225��,用于由掃描引擎在執(zhí)行相對應的掃描任務時使用�。掃描腳本278可以包括可執(zhí)行指令,其在由掃描引擎讀取或執(zhí)行時識別特定掃描目標��、要執(zhí)行的掃描以及在一些實例中由掃描引擎在執(zhí)行掃描任務時使用的計算語言的類型���。掃描腳本的執(zhí)行可以使掃描引擎執(zhí)行一個或多個掃描任務(例如�,利用一個或多個語言解釋程序)��。在一些實例中����,掃描可以涉及來自計算環(huán)境內的特定設備或應用的數(shù)據(jù)的集合。掃描可以包括訪問目標計算設備或應用的特定資源的企圖(從目標的觀點看是授權或未授權的)�����。掃描可以包括監(jiān)控計算環(huán)境內的特定設備或應用對被發(fā)送到該計算設備或應用的特定刺激或數(shù)據(jù)的響應����。實際上�����,掃描可以包括通過掃描引擎的數(shù)據(jù)的生成��,以便作為輸入被提供到�、傳送到或者以其它方式發(fā)送到掃描的目標�����,掃描引擎進一步監(jiān)控掃描目標對被發(fā)送的數(shù)據(jù)的響應�。由掃描引擎發(fā)送的這樣的數(shù)據(jù)可以基于從掃描控制器260接收的特定掃描腳本278并且使用其中數(shù)據(jù)將被生成并且在掃描內被發(fā)送的計算語言。進而�,從目標返回的數(shù)據(jù)可以使用掃描引擎的一個或多個語言解釋程序被解釋,以便生成描述目標的響應和掃描的其它結果的掃描結果數(shù)據(jù)�����。
[0028]掃描控制器260可以進一步與掃描引擎(例如210����、215)通過接口進行連接以便獲得從由掃描引擎執(zhí)行的掃描任務返回的掃描結果數(shù)據(jù)。進而�,在一些實現(xiàn)中��,掃描控制器260可以根據(jù)掃描的特定目標(例如測量與掃描所基于的特定安全策略的符合性等等)來組織并聚集掃描結果數(shù)據(jù)(例如280)。進而��,掃描控制器260可以處理掃描結果數(shù)據(jù)以便確定期望的信息從掃描獲得或者確定特定類型的掃描在獲得對于特定掃描或掃描的集期望的特定信息時是不成功的�,該信息例如是用于確定與掃描所基于的特定安全策略的符合性的信息等等。在這樣的實例中����,掃描控制器260可以通過永久地取消掃描、使用另一掃描腳本替換掃描腳本���、將補充掃描腳本發(fā)送到掃描引擎�、在另一掃描引擎上調用另一掃描連同用于控制掃描的處理的其它示例等等來修改掃描�����。
[0029]除了基于從先前的或正在進行的掃描獲得的掃描結果來修改掃描以外���,掃描控制器260也可以識別適于執(zhí)行特定掃描的特定掃描引擎�����。例如�����,掃描控制器260可以確定一個或多個基于主機的掃描引擎(例如225)應該用于特定掃描��。在其它實例中��,掃描控制器260可以確定應該使用一個或多個基于網(wǎng)絡的掃描引擎(例如220)��。在基于網(wǎng)絡的掃描引擎的情況下����,掃描控制器260可以此外確定特定的基于網(wǎng)絡的掃描引擎是否能夠與特定遠程掃描目標(例如計算設備230、240����、245、250)進行通信并且從而掃描該特定遠程掃描目標����。這樣的確定可以包括確定特定掃描引擎是否與掃描目標位于相同的網(wǎng)絡上,或者以其它方式能夠與遠程掃描目標通過接口進行連接��。例如����,在一些實現(xiàn)中��,掃描控制器260可以根據(jù)掃描目標到掃描引擎的映射來識別(即�,識別哪些掃描控制器能夠與哪些掃描目標進行通信)特定的基于網(wǎng)絡的掃描引擎適于與掃描目標進行通信��。如果掃描控制器260進一步確定被映射的掃描引擎能夠在掃描目標上執(zhí)行特定的期望掃描��,則掃描控制器260可以通過一個或多個網(wǎng)絡(例如145)向掃描引擎(例如220)轉發(fā)掃描腳本(例如278)��,用于由掃描引擎在掃描該掃描目標(例如計算設備240)時使用�。
[0030]在一些實例中����,掃描引擎到掃描目標的映射可以結合對計算環(huán)境內的系統(tǒng)資產(chǎn)進行分類的資產(chǎn)倉庫282而被維持。系統(tǒng)資產(chǎn)可以包括網(wǎng)絡��、應用和其它程序�、計算環(huán)境內的單獨設備或子系統(tǒng)、被識別為使用計算環(huán)境的特定用戶或人等等���。資產(chǎn)倉庫282可以進一步對各種系統(tǒng)資產(chǎn)的被識別的屬性進行分類����,以便例如幫助識別系統(tǒng)實體的漏洞�。包括在資產(chǎn)倉庫282中的信息也可以由掃描控制器260訪問以便通知如何在特定掃描目標(即��,待掃描的系統(tǒng)資產(chǎn))上執(zhí)行特定掃描����、掃描哪個掃描目標���、要調用哪個掃描引擎來掃描特定掃描目標��、掃描目標要考慮的屬性等等����。此外�,特定系統(tǒng)資產(chǎn)的掃描可以導致額外信息和系統(tǒng)資產(chǎn)的屬性的發(fā)現(xiàn)。這樣的信息可以被添加到或者代替在資產(chǎn)倉庫中例如由與掃描控制器260進行通信操作的資產(chǎn)倉庫管理器265進行記錄(document)的各自系統(tǒng)資產(chǎn)的其它信息�����,以及其它示例實現(xiàn)���。在一些實現(xiàn)中���,資產(chǎn)倉庫管理器265可以包括用于構建、更新和以其它方式維護包括描述在計算環(huán)境內發(fā)現(xiàn)的系統(tǒng)資產(chǎn)的記錄的資產(chǎn)倉庫282的功能。
[0031]除了掃描控制器260和資產(chǎn)倉庫管理器265以外��,資產(chǎn)管理系統(tǒng)205可以進一步包括策略管理器270���,其可以用于對在資產(chǎn)倉庫282中識別和分類的系統(tǒng)資產(chǎn)定義并應用安全策略����?����?梢允褂貌呗怨芾砥?70來維護并訪問安全策略275的庫�����。在一些實現(xiàn)中���,安全策略275可以包括標準安全策略(例如,通常在整個計算環(huán)境中可應用)以及環(huán)境特定安全策略�。實際上,在一些示例中��,策略管理器270可以包括允許管理員用戶為他們各自的計算環(huán)境定義并生成新的定制安全策略的功能����。進而����,策略管理器270可以根據(jù)用戶輸入的關聯(lián)或自動關聯(lián)(例如基于規(guī)則的策略分配��,其基于在資產(chǎn)倉庫282中記錄的各自系統(tǒng)資產(chǎn)的屬性)做出哪個策略275應用于哪個系統(tǒng)實體的關聯(lián)�。這樣的關聯(lián)也可以由掃描控制器260考慮以便識別將在與特定策略175的實施或審查相對應的一個掃描或掃描集中掃描的計算環(huán)境(例如,特定掃描目標設備����、特定子網(wǎng)絡等等)的部分,連同其它示例���。
[0032]從掃描(例如通過由資產(chǎn)管理系統(tǒng)205控制的掃描引擎220�、250)收集的信息可以用于對特定系統(tǒng)資產(chǎn)實施特定安全策略��。例如����,策略管理器270和/或資產(chǎn)倉庫管理器265可以用于與部署在計算環(huán)境內的各種安全工具(例如285)通過接口進行連接。安全工具285可以被部署為遠離系統(tǒng)資產(chǎn)(例如230��、235�����、240),允許策略實施遠離并且代表目標(即��,一個或多個安全工具285進行的安全實施動作的目標)而發(fā)生����,允許安全實施而沒有策略(或實施工具)被推到目標本身。這可能例如在移進和移出被監(jiān)控的網(wǎng)絡的移動設備以及未被管理的設備的安全實施中是有用的����,該未被管理的設備例如是移動設備、客戶設備以及不包括代理或能夠實施重要安全策略的其它本地安全工具的其它設備��。這樣的安全工具285可以例如包括防火墻�����、網(wǎng)絡網(wǎng)關��、郵件網(wǎng)關��、主機入侵保護(HIP)工具�、網(wǎng)絡入侵保護(NIP)工具����、防惡意軟件工具���、數(shù)據(jù)損失防止(DLP)工具、系統(tǒng)漏洞管理器��、系統(tǒng)策略符合性管理器���、資產(chǎn)臨界性工具��、入侵檢測系統(tǒng)(IDS)����、入侵保護系統(tǒng)(IPS)和/或安全信息管理(SM)工具連同其它示例���。然而�����,例如經(jīng)過代理(例如215)或其它工具的本地安全實施也是可能的����,該代理或其它工具運行�、被裝入或者以其它方式直接與目標設備通過接口進行連接并且為資產(chǎn)管理系統(tǒng)205提供用于直接在目標設備處實施策略的接口�,連同其它示例����。
[0033]轉到圖3A-3B,示出了根據(jù)至少一些實施例的示例統(tǒng)一掃描引擎部署的簡化方框圖300a-b����。例如,如在圖3A中說明的特定示例實現(xiàn)中示出的���,代理305a被表示為被托管在主機設備310上��,代理便于與資產(chǎn)管理系統(tǒng)205的通信�。在這一特定示例中���,代理305a可以包括“狹槽”(例如315���、320)或接口�,允許可插入工具和系統(tǒng)被包括在代理305a上并且被從代理305a調用以便利用與資產(chǎn)管理系統(tǒng)205通信的代理305a。例如�����,在代理305a的特定示例中,HIP模塊(例如325)被連接或“插入”到代理305a中�����,允許HIP工具325經(jīng)過代理305a由資產(chǎn)管理系統(tǒng)205控制和/或與資產(chǎn)管理系統(tǒng)205進行通信���。額外的可插入部件���、工具或“插件”也可以被包括在代理305a上,實際上���,單個代理(例如305a)可以包括多個可插入部件�,例如在這一示例中的防病毒部件(AV) 328a等等�����。
[0034]進而�����,統(tǒng)一掃描引擎模塊(例如330)可以被插入在適合于與資產(chǎn)管理系統(tǒng)205進行通信并且通過接口進行連接的代理305a中���。統(tǒng)一掃描引擎330可以適于提供各種不同的掃描功能用于在使用資產(chǎn)管理系統(tǒng)205指導的掃描中使用����。例如,在圖3A的特定示例中���,統(tǒng)一掃描引擎330是適于結合掃描遠程掃描目標來執(zhí)行外部掃描任務的基于網(wǎng)絡的掃描引擎�?���;诰W(wǎng)絡的掃描引擎(例如330)可以例如通過模擬目標外部的設備、網(wǎng)絡或其它系統(tǒng)資產(chǎn)并且監(jiān)控掃描目標對所模擬的外部系統(tǒng)資產(chǎn)的響應來提供掃描目標的外部視圖(例如從其它系統(tǒng)資產(chǎn)的角度����,包括惡意設備、應用和用戶)����。使用基于網(wǎng)絡的掃描引擎可發(fā)現(xiàn)的屬性可以包括設備的打開的端口��、可利用的網(wǎng)絡接口��、IP地址��、MAC地址��、主機名稱��、網(wǎng)絡基本輸入輸出系統(tǒng)�、操作系統(tǒng)�、硬件配置文件��、被托管的應用和服務連同設備的其它屬性��。因此����,基于網(wǎng)絡的統(tǒng)一掃描引擎330可以進一步適于通過一個或多個網(wǎng)絡與位于遠離托管代理305a的主機設備310的主機設備(B卩,潛在的掃描目標)進行通信����,在該代理305a上包括可插入的統(tǒng)一掃描引擎330���。
[0035]統(tǒng)一掃描引擎330可以進一步包括計算機語言解釋程序(例如335����、340、345)的庫���,每一個語言解釋程序為統(tǒng)一掃描引擎330提供根據(jù)各種不同的計算語言與各種不同類型的目標進行通信����、將測試分組發(fā)送到各種不同類型的目標并且以其它方式掃描各種不同類型的目標的能力�����。在一些實例中�����,在兩個不同的掃描之間的區(qū)別可以是計算語言��,其中數(shù)據(jù)在掃描引擎和其目標之間被傳送����。例如�,由兩個不同類型的掃描引擎執(zhí)行的基本掃描任務可以實質上類似,引擎之間的核心區(qū)別是在掃描任務中使用的計算語言��。通過包括語言解釋程序的擴展庫,統(tǒng)一掃描引擎330基于它要運行的掃描能夠結合一個或多個被激活的語言解釋程序來利用在統(tǒng)一掃描引擎中提供的基本掃描功能��,以便將特定掃描指令(例如掃描腳本)轉換為語言特定掃描����,該語言解釋程序進一步能夠接收并轉換來自目標的激活語言之一形式的響應�。作為示例,數(shù)據(jù)庫語言解釋程序340可以適于將掃描指令轉換為數(shù)據(jù)�、自變量、分組和特定目標數(shù)據(jù)庫或數(shù)據(jù)庫管理系統(tǒng)能夠理解的計算語言(例如結構查詢語言(SQL)���、XQuery語言(XQL)����、企業(yè)Java Beans查詢語言(BJB QL)連同其它語言)形式的其它通信����。經(jīng)過使用適當?shù)恼Z言解釋程序(例如340),目標數(shù)據(jù)庫系統(tǒng)可以從而理解“ping”和由掃描引擎330發(fā)送的其它傳輸�����,處理它們并且對它們做出響應���,從而(有希望地)展現(xiàn)特定的屬性�,包括目標數(shù)據(jù)庫系統(tǒng)到掃描引擎330的漏洞。按照這種方式���,可以提供單個掃描引擎330��,該單個掃描引擎330可以在一些情況下使用在統(tǒng)一掃描引擎330上可用的可用語言解釋程序(例如335����、340���、345)的庫中的任意一個來執(zhí)行各種各樣的專門掃描�����。進而��,應當認識到�,語言解釋程序庫可以被擴展為新目標��,并且掃描被識別和/或變得可用�,從而允許每一個統(tǒng)一掃描引擎的功能可擴展。
[0036]盡管在圖3A的特定示例中將統(tǒng)一掃描引擎表示為適于與特定代理(例如305a)一起操作的可插入掃描引擎模塊����,該特定代理適于接受這樣的模塊����,但是應該認識到���,在其它實現(xiàn)中��,可以提供獨立于代理或其它工具的統(tǒng)一掃描引擎。實際上�,在其它示例中,統(tǒng)一掃描引擎可以包括允許掃描引擎從資產(chǎn)管理系統(tǒng)接收掃描請求并且將掃描結果傳送到資產(chǎn)管理系統(tǒng)而沒有代理的額外功能����。然而,實現(xiàn)基于代理的方案在一些實例中可以引入益處���,例如為多個不同的工具和引擎(例如HIP模塊325�����、AV模塊328a��、統(tǒng)一掃描引擎330等等)提供標準化平臺����,用于與至少部分地集中化的資產(chǎn)管理系統(tǒng)(例如205)通過接口進行連接。實際上����,標準化代理平臺(例如代理305a)可以用于在計算環(huán)境內的各種主機上實現(xiàn)工具的各種不同的配置和組合。例如���,在一些示例中��,除了或代替相同代理305a上的基于網(wǎng)絡的掃描引擎330以外�,還可以實現(xiàn)基于主機的統(tǒng)一掃描引擎��。
[0037]實際上��,轉到圖3B���,示出了包括也適于配備有包括示例統(tǒng)一掃描引擎部件(例如355)的多個可插入部件的標準化資產(chǎn)管理系統(tǒng)代理305b的第二實例的示例�����。然而���,在圖3B的示例中����,不是接受適于掃描(多個)遠程目標的基于網(wǎng)絡的掃描引擎�,基于主機的統(tǒng)一掃描引擎355被顯示在適于本地和內部地(B卩,提供目標的內部視圖(即��,基于主機的掃描引擎的自己的主機360))掃描特定設備或系統(tǒng)的代理305b上�。在一些實例中,基于主機的統(tǒng)一掃描引擎和基于網(wǎng)絡的統(tǒng)一掃描弓I擎二者可以被提供在相同主機上的相同代理上(例如以便提供基于網(wǎng)絡的掃描以及基于網(wǎng)絡的掃描引擎本身的主機的掃描)���,或者第三類型的統(tǒng)一掃描引擎可以被提供在結合位于相同掃描引擎部件上的語言解釋程序(例如35���、340,345)的庫來合并基于網(wǎng)絡和基于主機的掃描功能二者的標準化代理305a���、305b上��,從而提供能夠潛在地執(zhí)行任何掃描(例如�,基于從資產(chǎn)管理系統(tǒng)205接收的掃描腳本)的統(tǒng)一掃描引擎�����。
[0038]處理基于主機的掃描能力的統(tǒng)一掃描引擎(例如355)可以包括用于訪問����、查詢和測試各種內部資源的功能���,這些內部資源也由各自主機(例如360)托管或使用,但是對于試圖從外部滲透或暴露主機的屬性的基于網(wǎng)絡的掃描引擎不可訪問�。例如,基于主機的掃描引擎可以用于掃描口令和其它內部數(shù)據(jù)(例如以便確保它們的加密)�����,例如地址信息�����、月艮務��、注冊設置�����、網(wǎng)絡基本輸入輸出接口名稱和主機的其它屬性���。與基于網(wǎng)絡的統(tǒng)一掃描引擎(例如330) —樣����,基于主機的掃描引擎也能夠結合可用語言解釋程序庫中的一個或多個語言解釋程序(例如335、340��、345)利用其基于主機的數(shù)據(jù)挖掘��、數(shù)據(jù)訪問和其它數(shù)據(jù)掃描功能來執(zhí)行各種各樣的掃描�。這樣的掃描可以使基于主機的掃描引擎與各種不同的數(shù)據(jù)結構(例如內部數(shù)據(jù)庫)、工具����、程序和托管在本地主機(例如360)上的其它資源進行通信,并且收集描述這樣的資源的信息����。在一些實現(xiàn)中,語言解釋程序的公共庫可以用于提供基于網(wǎng)絡和基于主機的統(tǒng)一掃描引擎��?���?梢蕴峁┱Z言解釋程序以便包括諸如Foundstone評估腳本語言(FASL)�、掃描警告腳本語言(SASL)、網(wǎng)絡評估腳本語言(WASL)����、外殼腳本�����、開放漏洞評估語言(OVAL)�、網(wǎng)絡評估腳本語言(NASL)��、Python�、Perl、JavaScript����、Ruby、Lua>Java���、C++或擴展有與遠程目標計算機上的開放網(wǎng)絡服務通信并且訪問該開放網(wǎng)絡服務的能力或擴展有詢問本地目標計算機的能力的任何其它計算機語言的語言�����,連同其它示例�。
[0039]在結束掃描(或執(zhí)行掃描的特定任務)并生成對于掃描的掃描結果時�����,基于主機的統(tǒng)一掃描引擎355也可以通過接口與資產(chǎn)管理系統(tǒng)205進行連接并且將掃描結果傳送到資產(chǎn)管理系統(tǒng)205。此外�����,如同基于網(wǎng)絡的統(tǒng)一掃描引擎(例如330) —樣���,基于主機的統(tǒng)一掃描引擎355也可以通過接口與資產(chǎn)管理系統(tǒng)205進行連接以便獲得掃描請求��、掃描腳本和來自管理特定計算環(huán)境的掃描的資產(chǎn)管理系統(tǒng)205的其它指導�����。實際上���,在一些實現(xiàn)中,基于主機的統(tǒng)一掃描引擎355可以適于插入到標準化代理平臺(例如使用插頭320b)的代理實例(例如305b)以便為相對應的資產(chǎn)管理系統(tǒng)205提供這一接口�����。在這樣的實現(xiàn)中�,標準化代理(例如305a、305b)的實例可以被裝入或安裝到各種不同的主機上�����,以便提供用于允許至少部分地集中化的資產(chǎn)管理系統(tǒng)205指導在計算環(huán)境上的安全相關掃描和安全策略實施的統(tǒng)一平臺�,該各種不同的主機包括不同類型的主機、操作系統(tǒng)和配置�����。實際上���,如在圖3A和3B的示例中示出的�����,標準化代理的兩個實例可以被包括在兩個不同的主機310��、360上�����,并且被提供有兩組不同的插件��,包括兩種不同類型的統(tǒng)一掃描引擎(例如基于網(wǎng)絡的和基于主機的)���,每一種統(tǒng)一掃描引擎使用可擴展語言解釋程序庫,允許每一個統(tǒng)一掃描引擎動態(tài)地和靈活地執(zhí)行各種各樣的不同掃描��,通過資產(chǎn)管理系統(tǒng)簡化掃描控制(例如因為資產(chǎn)管理系統(tǒng)簡單地識別基于主機或基于網(wǎng)絡的統(tǒng)一掃描引擎的實例,包括掃描解釋程序(例如335����、340、345)的庫)�,連同其它示例。
[0040]轉到圖4A-4E的示例����,示出了說明包括示例資產(chǎn)管理系統(tǒng)205和多個基于代理的掃描引擎(例如代理405、420�、425上的掃描引擎415、440����、445)的示例操作的簡化方框圖400a-e,該操作涉及包括計算設備430、435�、450和網(wǎng)絡145的特定計算環(huán)境的掃描。在這一特定的示例中����,資產(chǎn)管理系統(tǒng)205識別要在計算環(huán)境的一部分上執(zhí)行的特定掃描(或多個掃描的集),該計算環(huán)境包括位于計算環(huán)境內的一個或多個設備��。資產(chǎn)管理系統(tǒng)205可以根據(jù)自動掃描計劃表����、自動地根據(jù)計算環(huán)境的一個或多個安全策略等等來識別將基于用戶的請求而被執(zhí)行的掃描。在這一特定示例中�����,要被執(zhí)行的特定掃描試圖從一個或多個基于網(wǎng)絡的掃描(例如使用被托管在掃描引擎主機410上的基于網(wǎng)絡的掃描引擎415)獲得對于計算環(huán)境的期望的信息集��。因此���,資產(chǎn)管理系統(tǒng)205可以通過將掃描請求455發(fā)送到掃描引擎主機410和安裝在掃描引擎主機405上的代理405來開始掃描�。掃描請求可以經(jīng)過例如標準化代理的代理405 (例如安裝在每一個主機410����、430、435上)而被傳送到基于網(wǎng)絡的掃描引擎415���。
[0041]繼續(xù)先前的示例并且轉到圖4B���,網(wǎng)絡掃描460可以由基于網(wǎng)絡的掃描引擎415 (例如通過網(wǎng)絡145)對從資產(chǎn)管理系統(tǒng)205接收到的掃描請求455做出響應來進行。在一些實例中����,基于網(wǎng)絡的掃描引擎415可以掃描計算環(huán)境中的單個設備�����,在其它實例中��,例如在圖4B的示例中��,網(wǎng)絡掃描引擎415可以根據(jù)從資產(chǎn)管理系統(tǒng)205接收的掃描請求來執(zhí)行計算環(huán)境中的多個不同設備(例如430��、435��、350)的多個掃描�����。數(shù)據(jù)可以經(jīng)過掃描460由基于網(wǎng)絡的掃描引擎415攔截����、傳送�����、訪問或以其它方式取回�����。進而�,如圖4C所示��,由基于網(wǎng)絡的掃描引擎415從主機430���、435、450的掃描460獲得的信息和數(shù)據(jù)可以被傳送(例如在465)到資產(chǎn)管理系統(tǒng)205用于使用資產(chǎn)管理系統(tǒng)205進行處理和/或報告���。
[0042]除了基于網(wǎng)絡的掃描以外���,資產(chǎn)管理系統(tǒng)205還可以確定特定掃描或掃描的集(例如結合特定安全策略的審查)包括計算環(huán)境的特定部分的基于網(wǎng)絡和基于主機二者的掃描,如果可能�。例如,如在圖4D的示例中示出的�,除了(和/或響應于)基于網(wǎng)絡的掃描460以外,資產(chǎn)管理系統(tǒng)205還可以將掃描請求470發(fā)送到被確定為相對應的基于主機的掃描或掃描任務的目標的設備(例如430��、435)的特定基于主機的掃描引擎440��、445��。這樣的掃描請求470可以經(jīng)過被托管在掃描目標430�、435上的各自代理420、425而被發(fā)送到基于主機的掃描引擎440����、445���。該各自代理420、425可以是在掃描主機410中使用的相同標準化代理(例如405)的實例�。在一些實例中,不是計算環(huán)境中的所有計算設備都具有安裝在設備(例如系統(tǒng)450)上的代理或掃描引擎����,盡管該設備對計算環(huán)境的整體安全配置文件和特定掃描集的目標感興趣。在一些實例中�,資產(chǎn)管理系統(tǒng)205可以被限制到使掃描僅在“被管理的”設備(即,包括與資產(chǎn)管理系統(tǒng)205進行通信的代理的設備)上被執(zhí)行��。在其它實例中�,資產(chǎn)管理系統(tǒng)205可以識別特定設備未被管理(B卩,不包括代理)并且使代理和/或掃描引擎被裝在該設備上以便完成該設備的基于主機的掃描����。例如在一些實現(xiàn)中,可以在被識別為未被管理的設備(例如450)上部署可解散的或以其它方式臨時的代理或掃描引擎以便執(zhí)行主機設備的內部掃描����。在一些實例中,額外的基于網(wǎng)絡的掃描(例如460)可以被執(zhí)行以便試圖從不擁有基于主機的掃描引擎的掃描目標提取信息����。在其它實例中����,資產(chǎn)管理系統(tǒng)205可以確定僅一些被管理的設備將被掃描��,繼續(xù)僅掃描基于主機的掃描引擎(不管是基于代理的或者以其它方式的)位于其上的那些設備�,或者選擇掃描相關設備的某個其它子集。
[0043]對掃描請求470做出響應����,基于主機的掃描引擎440�、450可以根據(jù)掃描腳本或包括在資產(chǎn)管理系統(tǒng)205的掃描請求470中的其它掃描指令來ping、檢查�、挑戰(zhàn)、測試或以其它方式與其各自主機(例如430��、435)的內部資源進行通信并且訪問該內部資源���。進而�����,經(jīng)過主機430����、435的基于主機的掃描獲得的掃描結果475、480可以被分別傳送到資產(chǎn)管理系統(tǒng)205���,如圖4E所示�。在圖4A-4E的示例中����,完成多個掃描,包括基于網(wǎng)絡的和基于主機的掃描二者��、各種設備的掃描����,并且在一些實例中的變化類型的掃描,包括利用不同計算語言的掃描�。可以使用至少部分地集中化的資產(chǎn)管理系統(tǒng)205來產(chǎn)生并指導這樣的掃描的集的緊密結合的戰(zhàn)略��,并且掃描集(例如460����、470)的結果(例如465、475、480)可以被共同傳送到資產(chǎn)管理系統(tǒng)205以便被聚集并集中地處理來確定掃描集的結果和結論����。
[0044]進而,不與掃描的特定目標一致的冗余的����、過度包括的或其它掃描(和計算環(huán)境的潛在地、過度地負擔的資源)可以由資產(chǎn)管理系統(tǒng)205經(jīng)過其對掃描的管理來管理并保持到最低水平����。例如在一些實現(xiàn)中,隨著掃描結果(例如465����、475�����、480)被返回到資產(chǎn)管理系統(tǒng)205���,該掃描結果可以向資產(chǎn)管理系統(tǒng)205通知掃描的進展�,并且在一些情況下使資產(chǎn)管理系統(tǒng)205添加��、改變、跳過或以其它方式修改初始計劃的掃描或掃描集�����。例如��,來自計算環(huán)境內的一個或多個主機的基于網(wǎng)絡的掃描的掃描結果可以影響(例如觸發(fā)����、添加、取消�、修改)相同或其它遠程主機的另一基于網(wǎng)絡的掃描。來自基于網(wǎng)絡的掃描的掃描結果也可以用于影響(例如觸發(fā)��、添加����、取消、修改)由資產(chǎn)管理系統(tǒng)205管理的相關的基于主機的掃描(例如在相同的掃描集中)��,連同其它不例�。類似地,一個或多個基于主機的掃描的掃描結果可以被資產(chǎn)管理系統(tǒng)205考慮來引起在由資產(chǎn)管理系統(tǒng)205管理的其它基于主機和/或基于網(wǎng)絡的掃描中的變化��。通過資產(chǎn)管理系統(tǒng)205的這樣的管理可以是除了掃描決策樹和包括在掃描引擎中的其它邏輯以及由掃描引擎處理的掃描腳本以外還允許掃描引擎本身對由掃描引擎在特定掃描的執(zhí)行期間或之前檢測到的某些結果或輸出來采取某些動作�����。
[0045]轉到圖5A-5G的示例,示出了說明資產(chǎn)管理系統(tǒng)205和基于代理的掃描引擎的其它實現(xiàn)的進一步的示例操作的簡化方框圖500a_g��。例如����,如上所述,在一些實現(xiàn)中�,統(tǒng)一掃描引擎(例如330,355a,355b)可以結合標準化代理(例如305a,305b,305c)使用以便執(zhí)行如由資產(chǎn)管理系統(tǒng)205管理的計算環(huán)境的特定掃描。如在圖5A的示例中示出的�,統(tǒng)一掃描引擎可以包括基于網(wǎng)絡(例如330)和基于主機(例如355a、355b)的掃描引擎�。進而,每一個統(tǒng)一掃描引擎可以包括在定制基于掃描的特定目標(例如設備360�����、520���、525等等)使用掃描引擎可執(zhí)行的特定掃描任務時使用的可用語言解釋程序(例如505a-c、510a_c�、515a-c)的庫。語言解釋程序可以包括用于解釋特定類型的計算語言以便理解和執(zhí)行以相對應的計算語言編寫的掃描腳本�����、產(chǎn)生相對應的計算語言形式的輸出、接受相對應的計算語言形式的輸入或以其它方式使用相對應的計算語言的邏輯�。
[0046]作為示例,如圖5A所示���,資產(chǎn)管理系統(tǒng)205可以生成或識別首先試圖經(jīng)過基于主機的掃描獲得關于特定掃描目標的特定期望信息的特定掃描或掃描的集���。在其它實例中,掃描可以以基于網(wǎng)絡的掃描開始��,至少部分地同時執(zhí)行基于網(wǎng)絡和基于主機的掃描的組合��,利用僅基于主機的掃描��、僅基于網(wǎng)絡的掃描��,連同其它示例掃描集���。然而�����,在圖5A的特定示例中����,資產(chǎn)管理系統(tǒng)205可以識別代理305b、305c被安裝在三個掃描目標(例如360����、520,525)中的兩個(例如360、520)上��,并且經(jīng)過與代理305b�����、305c的通信來進一步確定基于主機的統(tǒng)一掃描引擎355a���、355b包括在代理305b���、305c上以及基于主機的掃描在掃描目標360、520上可用���。在一些實例中���,可以根據(jù)引擎到主機的映射�、資產(chǎn)倉庫或者由資產(chǎn)管理系統(tǒng)205維護或以其它方式對于資產(chǎn)管理系統(tǒng)205可用的其它數(shù)據(jù)結構來確定主機設備360,520上的掃描引擎355a,355b的識別���。
[0047]資產(chǎn)管理系統(tǒng)205可以根據(jù)特定掃描集將掃描請求530發(fā)送到掃描引擎355a、355b�。掃描請求的內容可以包括特定掃描腳本或其它指令,包括根據(jù)基于主機的掃描引擎的主機設備(例如360���、520)的特定屬性配置的腳本和指令�。例如�,掃描請求530可以適合于或基于例如記錄在對于資產(chǎn)管理系統(tǒng)可用的資產(chǎn)倉庫中的主機設備的已知屬性。在其它實例中���,實質上相同的掃描請求可以被發(fā)送到每一個基于主機的掃描引擎355a��、355b (例如通過各自代理305b�����、305c)以便在每一個目標上執(zhí)行實質上相同的掃描���。進而,在接收到各自掃描請求時��,基于主機的掃描引擎355a����、355b可以解釋該請求�,包括識別包括在該請求中的各自掃描腳本��,并且基于所請求的掃描的性質來激活與要在被請求的掃描中使用的一個或多個計算語言相對應的一個或多個語言解釋程序(例如505b-c���、510b-c�、515b-c)��。在一些實例中��,相對應的語言解釋程序(例如505b-c��、510b-c���、515b-c)可以在掃描請求(例如530)本身內被識別����。
[0048]轉到圖5B����,在一個特定示例中,每一個基于主機的掃描引擎355a、355b可以基于在掃描請求530中由資產(chǎn)管理系統(tǒng)205請求的一個或多個掃描來激活兩個語言解釋程序510b,510c和515b��、515c����。在圖5A-5G的示例的表示中���,被激活的語言解釋程序被表示為陰影形式(例如510以510(:���、51513、515(3)����,而不活動的語言解釋程序被表示為無陰影的(例如505a_c、510a�、515a)。在一些實現(xiàn)中�����,當語言解釋程序是不活動時���,它被鎖定�����,僅來自資產(chǎn)管理系統(tǒng)205的掃描請求(或被包括的掃描腳本)能夠(臨時)對語言解釋程序進行解鎖用于由掃描引擎在相對應的掃描期間使用��。在這樣的實例中�,掃描引擎可以以其它方式不能夠激活、訪問和使用包括在它自己的語言解釋程序的庫中的語言解釋程序���。這例如在保護對特定得到許可的�、專有的或體現(xiàn)在掃描和掃描腳本中的其它功能的訪問時是有用的�,將開發(fā)者的能力限制到在資產(chǎn)管理系統(tǒng)205周圍工作以便利用統(tǒng)一掃描引擎來再現(xiàn)(沒有授權)特定得到許可的或專有的掃描,連同其它示例���。
[0049]使用被激活的適當語言解釋程序(例如510b�����、510c��、515b����、515c)�����,基于主機的統(tǒng)一掃描引擎355a、355b可以在它們各自主機360���、520上執(zhí)行被請求的掃描(例如535��、540)以便識別被掃描的主機的各種資源的信息和數(shù)據(jù)。被發(fā)現(xiàn)的數(shù)據(jù)和信息可以接著被包括在由每一個基于主機的掃描引擎355a���、355b發(fā)送到資產(chǎn)管理系統(tǒng)205的掃描結果(例如545����、550)中���,如在圖5C的示例中說明的�。在這一特定示例中�,資產(chǎn)管理系統(tǒng)205可以檢查由掃描引擎355a、355b返回的掃描結果545�、550以便確定掃描在獲得從掃描預期的信息方面是否成功。如果該信息被成功獲得(例如向涉及計算環(huán)境的一個或多個資源或設備的安全狀態(tài)的某些問題提供答案)�����,則資產(chǎn)管理系統(tǒng)205可以結束掃描。然而�����,如果掃描在獲得期望信息方面稍微不足��,則額外的掃描可以由資產(chǎn)管理系統(tǒng)205發(fā)起以便試圖獲得該信息����。例如,在圖5A-5C的示例中�,沒有代理或基于主機的掃描引擎可以對于掃描目標525的基于主機的掃描可用,從而導致關于對于掃描目標525獲得的信息的低效率���。此外或可選地,掃描535��、540也可以在獲得從掃描(或掃描的集)期望的所有信息方面不成功��。因此�����,額外的掃描可以被請求或者掃描集中的條件掃描可以被觸發(fā)以便補充掃描集中的其它掃描的結果��,包括基于掃描結果545���、550的資產(chǎn)管理系統(tǒng)的分析的基于網(wǎng)絡的掃描,如在圖OT-5G的不例中示出的����。
[0050]轉到圖的示例�,一個或多個額外的掃描請求555可以被發(fā)送到由掃描引擎主機530托管在標準化代理305a上的基于網(wǎng)絡的統(tǒng)一掃描引擎220。如在先前的示例中的���,掃描請求555可以包括指導掃描引擎220例如基于各種掃描目標的屬性����、待掃描的信息的類型��、先前掃描結果(例如545���、550)等等來執(zhí)行計算環(huán)境的特定掃描的信息。掃描請求555的內容可以由資產(chǎn)管理系統(tǒng)205確定��,以便優(yōu)化在掃描中作為目標的計算環(huán)境的部分的掃描���,同時工作來獲得掃描結果的綜合和令人滿意的集��。例如在圖的特定示例中��,資產(chǎn)管理系統(tǒng)205可以確定額外的基于網(wǎng)絡的掃描應該被試圖來補充在基于主機的掃描540���、545中獲得的信息�����。轉到圖5E和5F的示例��,兩種不同類型的掃描�,每一個掃描采用語言解釋程序的不同集���,可以由用于掃描主機520�����、525和用戶端點主機360的資產(chǎn)管理系統(tǒng)205確定���,作為示例。因此�,為了執(zhí)行主機設備520、525的基于網(wǎng)絡的掃描�,可以基于在掃描請求555中請求的掃描,從語言解釋程序的庫識別(并激活)基于網(wǎng)絡的掃描引擎220的第一語言解釋程序505a�����。使用被激活的語言解釋程序505a,基于網(wǎng)絡的統(tǒng)一掃描引擎220可以根據(jù)掃描腳本或在掃描請求555中接收的其它掃描指令來執(zhí)行目標主機設備520��、525的各自掃描 560����。
[0051]進而,如在圖5F中說明的����,可以使用相同的基于網(wǎng)絡的掃描引擎220但是采用與在主機設備520、525的掃描560中使用的語言解釋程序不同的語言解釋程序(例如515a)來執(zhí)行不同類型的掃描565����。對主機設備360����、520、525的基于網(wǎng)絡的掃描560��、565做出響應或在主機設備360�、520、525的基于網(wǎng)絡的掃描560�、565期間�����,可以例如使用在掃描中采用的各自語言解釋程序(例如505a���、515a)來收集信息,以便生成用于轉發(fā)到資產(chǎn)管理系統(tǒng)205的掃描結果570��,如圖5G所示�����。資產(chǎn)管理系統(tǒng)205可以使用基于主機的掃描535����、540的掃描結果545、550來處理從基于網(wǎng)絡的掃描560獲得的掃描結果570���,以便生成例如結合計算環(huán)境的特定安全策略的審查而執(zhí)行的掃描集的掃描結果的緊密結合的集��。例如��,系統(tǒng)的至少部分可以由支付卡工業(yè)(PCI)安全策略管理���,并且策略(在幾個策略類別中)的審查可以使用多個掃描的集�����,包括基于主機和基于網(wǎng)絡的掃描二者����,連同其它示例來完成���,這些掃描可以被運行來審查各種系統(tǒng)資產(chǎn)與可應用的PCI策略的符合性�����。
[0052]應該認識到�����,關于圖1-5G描述并說明的示例是僅出于說明在本公開中處理的各種概念的目的而提供的非限制性示例���。例如�,可以采用與上面描述的示例技術、系統(tǒng)和工具不同但是無論如何適用在本文公開中論述的至少一些原理的技術�����、操作以及系統(tǒng)和部件體系結構。例如�,實際上,計算環(huán)境可以包括無數(shù)不同類型和配置的數(shù)百到數(shù)千個各種潛在的掃描目標����。一系列相應不同的掃描可以由至少部分地集中化的資產(chǎn)管理系統(tǒng)開發(fā)和維護用于由各種掃描引擎在掃描計算環(huán)境的全部或一部分,甚至包括計算環(huán)境的單個部件���,時使用���。給出這一多樣性,采用具有統(tǒng)一掃描引擎體系結構的掃描引擎可能是有利的��,實現(xiàn)在執(zhí)行可能對于計算環(huán)境期望的廣泛的一系列掃描時的靈活性��。盡管具有這樣的優(yōu)點(和其它優(yōu)點)�,但是應該認識到,資產(chǎn)管理系統(tǒng)可以管理僅利用傳統(tǒng)掃描引擎�����、僅統(tǒng)一掃描引擎或者傳統(tǒng)掃描引擎和統(tǒng)一掃描引擎的混合以及經(jīng)由代理或其它解決方案通過接口與資產(chǎn)管理系統(tǒng)進行連接的掃描引擎的掃描�����。此外,應該認識到���,廣泛的一系列語言解釋程序可以結合統(tǒng)一掃描引擎的語言解釋程序庫來使用�,并且包括在結合附圖和本公開中的其它地方提到的語言解釋程序的簡化和有限集之外的語言解釋程序���。
[0053]轉到圖6A-6B����,示出了說明與主機的掃描和計算環(huán)境內的其它資源有關的示例技術的簡化流程圖600a-b�。例如在圖6A的示例中,包括一個或多個掃描的特定掃描集可以例如由資產(chǎn)管理系統(tǒng)識別(605)�����。特定掃描集的一個或多個掃描可以是特定計算環(huán)境的全部或一部分的掃描���,包括計算環(huán)境內的一個或多個特定計算設備的掃描��?�?梢宰R別(610)多個掃描引擎中能夠執(zhí)行特定掃描集的掃描的一個或多個掃描引擎��?����?梢宰R別(610)具有執(zhí)行各自掃描以及訪問待掃描的計算環(huán)境的特定部分內的特定掃描目標的資源二者的功能的掃描引擎���。多個掃描可以包括基于主機和基于網(wǎng)絡的掃描二者。掃描請求可以例如被從資產(chǎn)管理系統(tǒng)發(fā)送(615)到請求一個或多個掃描引擎中的特定掃描引擎執(zhí)行掃描集中的各自一個或多個掃描的被識別的一個或多個掃描引擎��。掃描引擎可以執(zhí)行掃描并且將掃描結果返回到例如至少部分地集中化的資產(chǎn)管理系統(tǒng)�����,連同其它示例���。
[0054]轉到圖6B,掃描的執(zhí)行可以包括諸如基于網(wǎng)絡或基于主機的統(tǒng)一掃描引擎的掃描引擎的使用����。掃描請求可以由多個掃描引擎中的特定掃描引擎接收625(例如由管理掃描的集的資產(chǎn)管理系統(tǒng)識別(例如在610))以便執(zhí)行掃描的集中的一個或多個掃描�����。掃描引擎上的多個語言解釋程序中的一個或多個語言解釋程序可以被識別630用于執(zhí)行被請求的掃描�����。可以從或基于被請求(在625)的掃描請求來識別語言解釋程序��。使用被識別的語言解釋程序��,掃描引擎可以執(zhí)行635被請求的掃描并且例如將結果返回640到資產(chǎn)管理系統(tǒng)����。掃描集中的額外掃描也可以由掃描引擎(或多個掃描引擎中的其它掃描引擎)請求并執(zhí)行,包括利用多個語言解釋程序中的不同語言解釋程序的掃描和對掃描集中的其它掃描的被接收(例如在640)的掃描結果做出響應而請求的掃描���,連同其它示例����。
[0055]盡管就某些實現(xiàn)和通常相關聯(lián)的方法而言描述了本公開�,但是這些實現(xiàn)和方法的變更和置換對于本領域中的技術人員將是明顯的。例如�,本文描述的動作可以按照與如所描述的順序不同的順序被執(zhí)行并且仍然實現(xiàn)期望的結果。作為一個示例��,在附圖中描繪的處理不一定要求所示出的特定順序或連續(xù)順序來實現(xiàn)期望結果�。所說明的系統(tǒng)和工具可以類似地采用可選的體系結構、部件和模塊來實現(xiàn)類似的結果和功能����。例如在某些實現(xiàn)中�����,多任務、并行處理和基于云的解決方案可能是有利的�����。在一個可選的系統(tǒng)或工具中�����,可以在諸如便攜式硬驅����、拇指驅動等等的可移除存儲設備上采用簡化移動通信設備的無線認證功能。在這樣的實例中����,可移除存儲設備可能缺乏用戶接口但是擁有用于通過諸如藍牙的短距離網(wǎng)絡連接到協(xié)作計算設備并且通過短距離網(wǎng)絡與協(xié)作計算設備共享認證數(shù)據(jù)以便認證無線便攜式存儲設備到一個或多個協(xié)作計算設備的持有者,允許用戶經(jīng)過無線存儲設備訪問(并保護)協(xié)作計算設備以及使用認證的協(xié)作計算設備來訪問����、消耗和修改存儲在硬驅上的數(shù)據(jù)的無線訪問功能��。其它系統(tǒng)和工具也可以利用本公開的原理�。此外�����,可以支持各種用戶接口布局和功能��。其它變形在下面的權利要求的范圍內���。
[0056]在這一說明書中描述的主題和操作的實施例可以在數(shù)字電子電路中或在計算機軟件����、固件或硬件中�����,或在它們中的一個或多個組合中實現(xiàn)��,該計算機軟件�����、固件或硬件包括在這一說明書中公開的結構及其結構等效形式�����。在這一說明書中描述的主題的實施例可以被實現(xiàn)為一個或多個計算機程序,即���,計算機程序指令的一個或多個模塊�����,該程序指令在計算機存儲介質上被編碼用于由數(shù)據(jù)處理裝置執(zhí)行或控制數(shù)據(jù)處理裝置的操作?�?蛇x地或此外�����,程序指令可以在人工生成的傳播信號上被編碼�,該人工生成的傳播信號例如是被生成以便對信息進行編碼用于傳輸?shù)竭m當?shù)慕邮諜C裝置來由數(shù)據(jù)處理裝置執(zhí)行的機器生成的電學、光學或電磁信號���。計算機存儲介質可以是或可以被包括在計算機可讀存儲設備�����、計算機可讀存儲襯底���、隨機或串行存取存儲器陣列或設備或者它們中的一個或多個的組合中��。而且�����,盡管計算機存儲介質不是傳播信號本身�����,但是計算機存儲介質可以是在人工生成的傳播信號中被編碼的計算機程序指令的源或目的地�����。計算機存儲介質也可以是或可以被包括在一個或多個單獨的物理部件或介質(例如多個CD�����、磁盤或其它存儲設備)中����,包括分布式軟件環(huán)境或云計算環(huán)境����。
[0057]包括核心和接入網(wǎng)絡的網(wǎng)絡可以包括一個或多個網(wǎng)絡元件�,該接入網(wǎng)絡包括無線接入網(wǎng)絡��。網(wǎng)絡元件可以包括各種類型的路由器��、交換機���、網(wǎng)關����、橋��、負載平衡器��、防火墻���、月艮務器、聯(lián)機服務節(jié)點���、代理�����、處理器�����、模塊或操作為在網(wǎng)絡環(huán)境中交換信息的任何其它適當?shù)脑O備���、部件�、元件或對象�。網(wǎng)絡元件可以包括適當?shù)奶幚砥鳌⒋鎯ζ髟?�、硬件?或軟件來支持(或以其它方式執(zhí)行)與使用用于屏幕管理功能的處理器相關聯(lián)的活動�����,如在本文概述的���。而且�����,網(wǎng)絡元件可以包括便于其操作的任何適當?shù)牟考?、模塊����、接口或對象�。這可以包括允許數(shù)據(jù)或信息的有效交換的適當算法和通信協(xié)議���。
[0058]在這一說明書中描述的操作可以被實現(xiàn)為由數(shù)據(jù)處理裝置對存儲在一個或多個計算機可讀存儲設備上或從其它源接收的數(shù)據(jù)執(zhí)行的操作��。術語“數(shù)據(jù)處理裝置”���、“處理器”、“處理設備”和“計算設備”可以包括用于處理數(shù)據(jù)的所有類型的裝置����、設備和機器,通過示例的方式包括可編程處理器���、計算機�����、片上系統(tǒng)或多個處理器或前述設備的組合。裝置可以包括通用或專用邏輯電路�,例如中央處理單元(CPU)、葉片��、專用集成電路(ASIC)或現(xiàn)場可編程門陣列(FPGA)連同其它適當?shù)倪x擇。盡管一些處理器和計算設備被描述和/或說明為單個處理器���,但是可以根據(jù)相關聯(lián)的服務器的特定需要來使用多個處理器����。在可適用的場合�����,對單個處理器的提及意在包括多個處理器��。通常���,處理器執(zhí)行指令并操控數(shù)據(jù)以便執(zhí)行某些操作����。裝置除了硬件以外還可以包括創(chuàng)建用于討論中的計算機程序的執(zhí)行環(huán)境的代碼���,例如構成處理器固件����、協(xié)議棧��、數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)�����、交叉平臺運行時間環(huán)境�����、虛擬機或它們中的一個或多個的組合的代碼���。裝置和執(zhí)行環(huán)境可以實現(xiàn)各種不同的計算模型基礎設施��,例如網(wǎng)絡服務����、分布式計算和網(wǎng)格計算基礎設施���。
[0059]計算機程序(也被稱為程序��、軟件����、軟件應用��、腳本�、模塊、(軟件)工具����、(軟件)引擎或代碼)可以使用包括編譯或解釋語言、陳述性或過程語言的任何形式的編程語言進行編寫�,并且它可以被部署在任何形式中,包括作為獨立程序或作為模塊�����、部件�����、子例程�����、對象或適合于在計算環(huán)境中使用的其它單元���。例如��,計算機程序可以包括有形介質上的計算機可讀指令��、固件�����、有線或編程硬件或其任何組合����,其當被執(zhí)行時操作為執(zhí)行至少本文所述的過程和操作。計算機程序可以但不需要與文件系統(tǒng)中的文件相對應�����。程序可以被存儲在保存其它程序或數(shù)據(jù)(例如存儲在標記語言文檔中的一個或多個腳本)的文件的一部分中��、在專用于討論中的程序的單個文件中或在多個協(xié)調文件(例如存儲一個或多個模塊��、子程序或代碼的部分的文件)中��。計算機程序可以用于在一個計算機上或在位于一個地點處或分布在多個地點當中并通過通信網(wǎng)絡互連的多個計算機上執(zhí)行����。
[0060]程序可以被實現(xiàn)為經(jīng)過各種對象、方法或其它過程實現(xiàn)各種特征和功能的單獨模塊����,或者可以在適當時替代地包括多個子模塊��、第三方服務、部件�、庫等等。相反��,各種部件的特征和功能可以在適當時被組合到單個部件中�。在某些情況下,程序和軟件系統(tǒng)可以被實現(xiàn)為復合被托管的應用�。例如,復合應用的部分可以被實現(xiàn)為企業(yè)Java Beans(EJB),或者設計時間部件可以具有將運行時間實現(xiàn)生成到諸如J2EE(Java 2平臺�����,企業(yè)版本)��、ABAP(高級商業(yè)應用編程)對象或微軟的.NET的不同平臺連同其它平臺中的能力���。此外�,應用可以代表經(jīng)由網(wǎng)絡(例如經(jīng)過互聯(lián)網(wǎng))訪問和執(zhí)行的基于網(wǎng)絡的應用�。進而,與特定被托管的應用或服務相關聯(lián)的一個或多個處理可以被遠程地存儲�����、引用或執(zhí)行。例如���,特定被托管的應用或服務的一部分可以是與被遠程調用的應用相關聯(lián)的網(wǎng)絡服務����,而被托管的應用的另一部分可以是用于在遠程客戶端處進行處理的綁定的接口對象或代理����。而且,任何或所有被托管的應用和軟件服務可以是另一軟件模塊或企業(yè)應用(未示出)的孩子或子模塊�,而不偏離本公開的范圍。仍然進一步地���,被托管的應用的部分可以由直接在托管應用的服務器處以及遠程地在客戶端處工作的用戶執(zhí)行�����。
[0061]在這一說明書中描述的處理和邏輯流程可以由執(zhí)行一個或多個計算機程序以便通過操作輸入數(shù)據(jù)并生成輸出來執(zhí)行動作的一個或多個可編程處理器執(zhí)行����。處理和邏輯流程也可以由諸如FPGA(現(xiàn)場可編程門陣列)或ASIC(專用集成電路)的專用邏輯電路執(zhí)行��,并且裝置也可以被實現(xiàn)為諸如FPGA(現(xiàn)場可編程門陣列)或ASIC(專用集成電路)的專用邏輯電路。
[0062]適合于執(zhí)行計算機程序的處理器通過示例的方式包括通用和專用微處理器二者以及任何類型的數(shù)字計算機的任意一個或多個處理器�。通常,處理器將從只讀存儲器或隨機存取存儲器或這兩者接收指令和數(shù)據(jù)�。計算機的基本元件是用于根據(jù)指令執(zhí)行動作的處理器以及用于存儲指令和數(shù)據(jù)的一個或多個存儲器設備。通常����,計算機還包括用于存儲數(shù)據(jù)的一個或多個海量存儲設備��,例如磁盤�����、磁光盤或光盤��,或者可操作地耦合為從該一個或多個海量存儲設備接收數(shù)據(jù)或將數(shù)據(jù)傳輸?shù)皆撘粋€或多個海量存儲設備這兩者���。然而�����,計算機不需要具有這樣的設備���。而且,計算機可以被嵌入在另一設備中�,例如移動電話���、個人數(shù)字助理(PDA)、平板計算機�、移動音頻或視頻播放器、游戲控制臺�、全球定位系統(tǒng)(GPS)接收機或便攜式存儲設備(例如通用串行總線(USB)閃存驅動),僅舉幾個例子���。適合于存儲計算機程序指令和數(shù)據(jù)的設備包括所有形式的非易失性存儲器�����、介質和存儲器設備�����,通過示例的方式包括半導體存儲器設備����,例如EPROM�、EEPROM和閃存設備;磁盤����,例如內部硬盤或可移除盤�����;磁光盤�����;以及⑶ROM和DVD-ROM盤�。處理器和存儲器可以由專用邏輯電路補充或合并在專用邏輯電路中���。
[0063]為了提供與用戶的交互,在這一說明書中描述的主題的實施例可以在具有用于向用戶顯示信息的諸如CRT (陰極射線管)或LCD (液晶顯示器)監(jiān)視器的顯示設備以及鍵盤和諸如鼠標或軌跡球的指示設備的計算機上實現(xiàn)���,用戶可以通過指示設備向計算機提供輸入����。其它類型的設備也可以用于提供與用戶的交互���;例如���,提供給用戶的反饋可以是任何形式的感覺反饋,例如視覺反饋、聽覺反饋或觸覺反饋�;并且來自用戶的輸入可以按照任何形式被接收,包括聽覺���、語音或觸覺輸入��。此外�,計算機可以通過將文檔發(fā)送到由用戶使用的包括遠程設備的設備并從該設備接收文檔來與用戶進行交互�。
[0064]在這一說明書中描述的主題的實施例可以在計算系統(tǒng)中實現(xiàn),該計算系統(tǒng)包括例如作為數(shù)據(jù)服務器的后端部件���,或者包括諸如應用服務器的中間件部件����,或者包括前端部件�����,例如具有用戶經(jīng)過其能夠與在這一說明書中描述的主題的實現(xiàn)進行交互的圖形用戶界面或網(wǎng)絡瀏覽器的客戶端計算機����,或者一個或多個這樣的后端、中間件或前端部件的任何組合��。系統(tǒng)的部件可以通過諸如通信網(wǎng)絡的數(shù)字數(shù)據(jù)通信的任何形式或介質進行互連。通信網(wǎng)絡的示例包括操作為便于系統(tǒng)中的各種計算部件之間的通信的任何內部或外部網(wǎng)絡��、網(wǎng)絡��、子網(wǎng)絡或其組合����。網(wǎng)絡可以例如在網(wǎng)絡地址之間傳送互聯(lián)網(wǎng)協(xié)議(IP)分組、幀中繼幀����、異步傳輸模式(ATM)單元、語言���、視頻、數(shù)據(jù)和其它適當?shù)男畔?����。網(wǎng)絡還可以包括一個或多個局域網(wǎng)(LAN)�����、無線接入網(wǎng)絡(RAN)���、城域網(wǎng)(MAN)���、廣域網(wǎng)(WAN)�、互聯(lián)網(wǎng)的全部或一部分�、對等網(wǎng)絡(例如,自組織對等網(wǎng)絡)和/或一個或多個位置處的任何其它通信系統(tǒng)����。
[0065]計算系統(tǒng)可以包括客戶端和服務器?��?蛻舳撕头掌魍ǔ_h離彼此并且典型地經(jīng)過通信網(wǎng)絡進行交互���。客戶端和服務器的關系借助于在各自計算機上運行并且具有到彼此的客戶端-服務器關系的計算機程序引起��。在一些實施例中�,服務器將數(shù)據(jù)(例如HTML頁面)傳輸?shù)娇蛻舳嗽O備(例如為了向與客戶端設備交互的用戶顯示數(shù)據(jù)并且從用戶接收用戶輸入的目的)。在客戶端設備處生成的數(shù)據(jù)(例如用戶交互的結果)可以在服務器處從客戶端設備被接收����。
[0066]盡管這一說明書包含很多具體的實現(xiàn)細節(jié),但是這些不應該被解釋為對任何發(fā)明或可以被請求保護的內容的范圍的限制�����,而是更確切地作為特定發(fā)明的特定實施例所特有的特征的描述。在單獨實施例的背景中在這一說明書中描述的某些特征也可以被組合地實現(xiàn)在單個實施例中��。相反��,在單個實施例的背景中描述的各種特征也可以被單獨地在多個實施例中或在任何適當?shù)淖咏M合中實現(xiàn)���。而且���,盡管特征可以在上面被描述為在某些組合中的動作并且甚至最初被這樣請求保護,但是來自請求保護的組合的一個或多個特征可以在一些情況下被從組合刪除�����,并且所請求保護的組合可以指向子組合或子組合的變形�����。
[0067]類似地��,盡管在附圖中以特定的順序描述了操作�����,但是這不應該被理解為要求這樣的操作以所示的特定順序或以連續(xù)順序被執(zhí)行����,或者所有所說明的操作都被執(zhí)行,以便實現(xiàn)期望的結果�����。在某些情況下�����,多任務和并行處理會是有利的����。而且,在上面描述的實施例中的各種系統(tǒng)部件的分離不應該被理解為在所有實施例中要求這樣的分離���,并且應該理解�����,所描述的程序部件和系統(tǒng)可以通常一起被集成在單個軟件產(chǎn)品中或被封裝到多個軟件廣品中����。
[0068]因而,描述了主題的特定實施例��。其它實施例在下面的權利要求的范圍內�。在一些情況下,在權利要求中引述的動作可以按照不同的順序執(zhí)行�,并且仍然實現(xiàn)期望的結果。此夕卜�,在附圖中描繪的處理并不一定要求所示的特定順序或者連續(xù)順序來實現(xiàn)期望的結果。
【權利要求】
1.一種方法�����,包括: 識別要在計算環(huán)境的至少一部分上執(zhí)行的特定掃描集�����; 在多個掃描引擎中識別適于執(zhí)行所述特定掃描集中的至少一個掃描的特定掃描引擎�����,其中�,所述多個掃描引擎中的每一個掃描引擎適于在所述計算環(huán)境中的一個或多個主機設備上執(zhí)行一個或多個掃描; 將請求發(fā)送到所述特定掃描引擎以便執(zhí)行所述特定掃描集中的所述至少一個掃描�;以及 從所述特定掃描引擎接收與所述特定掃描集中的所述至少一個掃描相對應的掃描結果數(shù)據(jù)���。
2.如權利要求1所述的方法�����,其中�����,所述請求是經(jīng)過代理被發(fā)送的���。
3.如權利要求1所述的方法����,其中���,所述特定掃描引擎是適于執(zhí)行所述計算環(huán)境的所述部分的外部掃描的基于網(wǎng)絡的掃描引擎���。
4.如權利要求1所述的方法,其中��,所述特定掃描引擎是在所述計算環(huán)境的所述部分中的特定目標設備上托管的基于主機的掃描引擎并且適于執(zhí)行所述特定目標設備的內部掃描����。
5.如權利要求1所述的方法�,其中���,多個計算語言中的特定計算語言能夠通過所述特定掃描引擎從所述請求被識別�����,并且所述掃描引擎適于利用所述特定掃描引擎上的多個語言解釋程序中的相對應的語言解釋程序�����,以便執(zhí)行所述特定掃描集中的所述至少一個掃描�。
6.如權利要求5所述的方法���,其中����,所述請求使所述特定語言解釋程序在所述特定掃描集中的所述至少一個掃描期間在所述特定掃描引擎上被激活�����。
7.如權利要求1所述的方法��,進一步包括: 識別所述多個掃描引擎中的第二掃描引擎以便執(zhí)行所述特定掃描集中的另一掃描; 將請求發(fā)送到所述第二掃描引擎以便執(zhí)行所述特定掃描集中的所述另一掃描�����,其中�����,也從所述第二掃描引擎接收與所述特定掃描集中的所述另一掃描相對應的掃描結果數(shù)據(jù)�。
8.如權利要求7所述的方法�,進一步包括聚集與所述特定掃描集中的每一個掃描相對應的被接收的掃描結果數(shù)據(jù)。
9.如權利要求7所述的方法����,其中,所述特定掃描引擎是適于執(zhí)行所述計算環(huán)境的所述部分的外部掃描的基于網(wǎng)絡的掃描引擎�����,并且所述第二掃描引擎是在所述計算環(huán)境的所述部分中的特定目標設備上托管的基于主機的掃描引擎并且適于執(zhí)行所述特定目標設備的內部掃描����。
10.如權利要求7所述的方法,其中���,發(fā)往所述第二掃描引擎的執(zhí)行所述另一掃描的所述請求是對從所述特定掃描集接收的與所述特定掃描集中的所述至少一個掃描相對應的所述掃描結果數(shù)據(jù)做出響應而被發(fā)送的�。
11.如權利要求1所述的方法,其中�,所述特定掃描集至少部分地基于能夠應用于所述計算環(huán)境的所述部分的所述計算環(huán)境的安全策略。
12.如權利要求11所述的方法��,其中�����,識別所述特定掃描集包括基于所述安全策略生成所述特定掃描集����。
13.如權利要求11所述的方法,其中���,所述安全策略是設備中心策略�、組織特定策略和調控策略中的一個��。
14.如權利要求1所述的方法��,其中�,所述計算環(huán)境的所述部分包括所述計算環(huán)境。
15.如權利要求1所述的方法�����,其中,所述至少一個掃描是所述特定掃描集中的至少兩個掃描中的第一個��,并且位于所述至少兩個掃描中且與所述第一掃描不同的第二掃描對于所述特定掃描引擎而被識別�����,所述方法進一步包括: 將請求發(fā)送到所述特定掃描引擎以便執(zhí)行所述第二掃描�����;并且 從所述特定掃描引擎接收與所述第二掃描相對應的掃描結果數(shù)據(jù)�����。
16.如權利要求15所述的方法�����,其中�����,所述第二掃描涉及與所述第一掃描不同的掃描目標�����。
17.如權利要求15所述的方法����,其中,所述第二掃描是與所述第一掃描不同類型的掃描����。
18.如權利要求17所述的方法,其中�,所述第二掃描利用與所述第一掃描不同的計算;五古P口口 ο
19.如權利要求1所述的方法,進一步包括: 識別要在所述計算環(huán)境的至少一部分上執(zhí)行的不同的第二掃描集�����; 在所述多個掃描引擎中識別一個或多個掃描引擎以便執(zhí)行所述第二掃描集中的掃描�;以及 請求所述一個或多個掃描引擎執(zhí)行所述第二掃描集中的所述掃描;并且 從所述一個或多個掃描引擎接收對于所述第二掃描集的掃描結果數(shù)據(jù)����。
20.如權利要求19所述的方法,其中����,所述特定掃描引擎被包括所述一個或多個掃描引擎中�。
21.一種被編碼在包括用于執(zhí)行的代碼的非暫態(tài)介質中的邏輯�����,所述代碼當由處理器執(zhí)行時能夠操作為執(zhí)行包括下列的操作: 識別要在計算環(huán)境的至少一部分上執(zhí)行的特定掃描集���; 在多個掃描引擎中識別適于執(zhí)行所述特定掃描集中的至少一個掃描的特定掃描引擎��,其中�����,所述多個掃描引擎中的每一個掃描引擎適于在所述計算環(huán)境中的一個或多個主機設備上執(zhí)行一個或多個掃描; 將請求發(fā)送到所述特定掃描引擎以便執(zhí)行所述特定掃描集中的所述至少一個掃描����;以及 從所述特定掃描引擎接收與所述特定掃描集中的所述至少一個掃描相對應的掃描結果數(shù)據(jù)。
22.—種系統(tǒng),包括: 至少一個處理器設備�����; 至少一個存儲器元件���;以及 資產(chǎn)管理系統(tǒng)服務器���,當由所述至少一個處理器設備執(zhí)行時�,所述資產(chǎn)管理系統(tǒng)服務器適于: 識別要在計算環(huán)境的至少一部分上執(zhí)行的特定掃描集����; 在多個掃描引擎中識別適于執(zhí)行所述特定掃描集中的至少一個掃描的特定掃描引擎,其中�����,所述多個掃描引擎中的每一個掃描引擎適于在所述計算環(huán)境中的一個或多個主機設備上執(zhí)行一個或多個掃描�����;將請求發(fā)送到所述特定掃描引擎以便執(zhí)行所述特定掃描集中的所述至少一個掃描�����;并且 從所述特定掃描引擎接收與所述特定掃描集中的所述至少一個掃描相對應的掃描結果數(shù)據(jù)�。
23.如權利要求22所述的系統(tǒng),進一步包括所述多個掃描引擎���,所述多個掃描引擎包括至少一個基于網(wǎng)絡的掃描引擎和至少一個基于主機的掃描引擎����。
24.如權利要求23所述的系統(tǒng),其中�,所述多個掃描引擎中的每一個掃描引擎是統(tǒng)一掃描引擎,所述統(tǒng)一掃描引擎適于利用包括在各自統(tǒng)一掃描引擎上的語言解釋程序的各自庫����。
【文檔編號】G06F15/00GK104285219SQ201380016775
【公開日】2015年1月14日 申請日期:2013年4月10日 優(yōu)先權日:2012年4月10日
【發(fā)明者】R·T·納卡瓦塔塞, J·M·于加爾四世, S·施雷克 申請人:邁克菲公司