專(zhuān)利名稱(chēng)：網(wǎng)絡(luò)安全系統(tǒng)以及用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法
技術(shù)領(lǐng)域：
本發(fā)明是有關(guān)于網(wǎng)絡(luò)安全，特別是有關(guān)于用以管理一網(wǎng)絡(luò)系統(tǒng)中各裝置的安全弱點(diǎn)的系統(tǒng)和方法。
背景技術(shù)：
隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全已成為因特網(wǎng)上的焦點(diǎn)，在享受因特網(wǎng)帶來(lái)的好處的同時(shí)，也面臨著一定程序的風(fēng)險(xiǎn)，因?yàn)橐蛱鼐W(wǎng)上存在很多的危險(xiǎn)。再者，隨著可攜式裝置連接網(wǎng)絡(luò)功能的普及，使得公司等裝設(shè)的區(qū)域網(wǎng)絡(luò)無(wú)法有效控制連接到該區(qū)域網(wǎng)絡(luò)的裝置是否隱含了計(jì)算機(jī)病毒等危險(xiǎn)程序。
因此需要一種管理網(wǎng)絡(luò)系統(tǒng)中各裝置的安全弱點(diǎn)的系統(tǒng)和方法，來(lái)解決上述的問(wèn)題。

發(fā)明內(nèi)容
本發(fā)明是有關(guān)于網(wǎng)絡(luò)安全，特別是有關(guān)于用以管理一網(wǎng)絡(luò)系統(tǒng)中各裝置的安全弱點(diǎn)的系統(tǒng)和方法。
本發(fā)明提供一種網(wǎng)絡(luò)安全系統(tǒng)，其包括一監(jiān)視裝置及一認(rèn)證服務(wù)器。該監(jiān)視裝置，其是用以偵測(cè)由一網(wǎng)絡(luò)裝置發(fā)出的要求連接一網(wǎng)絡(luò)的一網(wǎng)絡(luò)信息。該認(rèn)證服務(wù)器，其是用以確認(rèn)該網(wǎng)絡(luò)裝置的一安全裝備(security feature)，針對(duì)該網(wǎng)絡(luò)信息施以一安全規(guī)則，以決定該安全裝備是否已提供足夠的安全防護(hù)，若已提供足夠的安全防護(hù)則允許該網(wǎng)絡(luò)裝置連接該網(wǎng)絡(luò)。
本發(fā)明所述的網(wǎng)絡(luò)安全系統(tǒng)，其中該網(wǎng)絡(luò)裝置是為一網(wǎng)絡(luò)計(jì)算機(jī)、一移動(dòng)電話、一呼叫器或一個(gè)人數(shù)字助理(PDA)。
本發(fā)明所述的網(wǎng)絡(luò)安全系統(tǒng)，其中該網(wǎng)絡(luò)為一有線網(wǎng)絡(luò)、一無(wú)線網(wǎng)絡(luò)或?yàn)樯鲜龅募稀?br> 本發(fā)明所述的網(wǎng)絡(luò)安全系統(tǒng)，進(jìn)一步包含一儲(chǔ)存裝置，其是用以?xún)?chǔ)存該網(wǎng)絡(luò)裝置的識(shí)別信息記錄和安全裝備記錄。
本發(fā)明所述的網(wǎng)絡(luò)安全系統(tǒng)，其中該認(rèn)證服務(wù)器向該網(wǎng)絡(luò)裝置要求該網(wǎng)絡(luò)裝置的識(shí)別信息和安全裝備的相關(guān)信息。
本發(fā)明所述的網(wǎng)絡(luò)安全系統(tǒng)，其中該認(rèn)證服務(wù)器進(jìn)一步要求該網(wǎng)絡(luò)裝置依據(jù)該安全規(guī)則升級(jí)其安全裝備。
本發(fā)明并提供一種用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法。上述方法首先偵測(cè)由一網(wǎng)絡(luò)裝置發(fā)出的要求接取一網(wǎng)絡(luò)的一網(wǎng)絡(luò)信息。確認(rèn)該網(wǎng)絡(luò)裝置的一安全裝備(security feature)。繼之，針對(duì)該網(wǎng)絡(luò)信息施以一安全規(guī)則，以決定該安全裝備是否已提供足夠的安全防護(hù)，若已提供足夠的安全防護(hù)則允許該網(wǎng)絡(luò)裝置接取該網(wǎng)絡(luò)。
本發(fā)明所述的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，其中該網(wǎng)絡(luò)裝置是為一網(wǎng)絡(luò)計(jì)算機(jī)、一移動(dòng)電話、一呼叫器或一個(gè)人數(shù)字助理(PDA)。
本發(fā)明所述的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，進(jìn)一步向該網(wǎng)絡(luò)裝置要求該網(wǎng)絡(luò)裝置的識(shí)別信息和安全裝備的相關(guān)信息。
本發(fā)明所述的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，進(jìn)一步要求該網(wǎng)絡(luò)裝置依據(jù)該安全規(guī)則升級(jí)其安全裝備。
上述方法是可以通過(guò)將儲(chǔ)存于計(jì)算機(jī)可讀取儲(chǔ)存介質(zhì)的計(jì)算機(jī)程序載入計(jì)算機(jī)系統(tǒng)中而實(shí)現(xiàn)。
本發(fā)明通過(guò)分析網(wǎng)絡(luò)信息以辨識(shí)內(nèi)部網(wǎng)絡(luò)中可能的安全弱點(diǎn)。


圖1顯示依據(jù)本發(fā)明實(shí)施例的具有網(wǎng)絡(luò)安全弱點(diǎn)管理的網(wǎng)絡(luò)系統(tǒng)的示意圖。
圖2顯示依據(jù)本發(fā)明實(shí)施例之用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法的流程圖。
具體實(shí)施例方式
為了讓本發(fā)明的目的、特征及優(yōu)點(diǎn)能更明顯易懂，下文特舉較佳實(shí)施例，并配合圖1及圖2，做詳細(xì)的說(shuō)明。本發(fā)明說(shuō)明書(shū)提供不同的實(shí)施例來(lái)說(shuō)明本發(fā)明不同實(shí)施方式的技術(shù)特征。其中，實(shí)施例中的各元件的配置是為說(shuō)明之用，并非用以限制本發(fā)明。且實(shí)施例中附圖標(biāo)記的部分重復(fù)，是為了簡(jiǎn)化說(shuō)明，并非意指不同實(shí)施例之間的關(guān)聯(lián)性。
圖1顯示依據(jù)本發(fā)明實(shí)施例的具有網(wǎng)絡(luò)安全弱點(diǎn)管理的網(wǎng)絡(luò)系統(tǒng)的示意圖。如圖所示，一網(wǎng)絡(luò)環(huán)境包含多個(gè)裝置，其形成一內(nèi)部網(wǎng)絡(luò)100、內(nèi)部網(wǎng)絡(luò)100的保護(hù)設(shè)備和一外部網(wǎng)絡(luò)150。其中，內(nèi)部網(wǎng)絡(luò)100可以為一局部區(qū)域網(wǎng)絡(luò)(LAN)，其包含多臺(tái)裝置和網(wǎng)絡(luò)骨干14相連接。網(wǎng)絡(luò)骨干14可以包含以太網(wǎng)(Ethernet)、光纖分布式數(shù)據(jù)接口(Fiber Distributed Data Interface，F(xiàn)DDI)、令牌環(huán)(token ring)或其他網(wǎng)絡(luò)傳輸介質(zhì)。內(nèi)部網(wǎng)絡(luò)100的保護(hù)設(shè)備可以由防火墻16及一路由器18提供，其與網(wǎng)絡(luò)骨干14連接。路由器18是作為該內(nèi)部網(wǎng)絡(luò)100和該外部網(wǎng)絡(luò)150之間的一閘道。外部網(wǎng)絡(luò)150可以為因特網(wǎng)或其他公共網(wǎng)絡(luò)。防火墻16可以用以限制外部裝置接取內(nèi)部網(wǎng)絡(luò)100的資源，并保護(hù)內(nèi)部網(wǎng)絡(luò)100中的資源使其免于被不法使用。
內(nèi)部網(wǎng)絡(luò)100進(jìn)一步包含一安全系統(tǒng)13，其是與網(wǎng)絡(luò)骨干14連接。雖然圖1顯示安全系統(tǒng)13是透過(guò)網(wǎng)絡(luò)骨干14連接于內(nèi)部網(wǎng)絡(luò)100，實(shí)際上本領(lǐng)域技術(shù)人員可以使用其他方式來(lái)達(dá)成安全系統(tǒng)13和內(nèi)部網(wǎng)絡(luò)100的連接，例如通過(guò)另一計(jì)算機(jī)裝置的連接。安全系統(tǒng)13包含一監(jiān)視裝置131、一認(rèn)證服務(wù)器133及一儲(chǔ)存裝置135。監(jiān)視裝置131是用以偵測(cè)內(nèi)部網(wǎng)絡(luò)100中流通的信息，并偵測(cè)在內(nèi)部網(wǎng)絡(luò)100中由一裝置發(fā)出的網(wǎng)絡(luò)信息廣播要求。認(rèn)證服務(wù)器133是用以確認(rèn)該網(wǎng)絡(luò)裝置的一安全裝備(security feature)，針對(duì)該網(wǎng)絡(luò)信息施以一安全規(guī)則，以決定該安全裝備是否已提供足夠的安全防護(hù)，若是則允許該網(wǎng)絡(luò)裝置接取內(nèi)部網(wǎng)絡(luò)100。當(dāng)該網(wǎng)絡(luò)裝置被允許接取內(nèi)部網(wǎng)絡(luò)100，則認(rèn)證服務(wù)器133依據(jù)一已知的動(dòng)態(tài)主機(jī)配置協(xié)議(dynamic host configuration protocol，DHCP)指定一網(wǎng)絡(luò)協(xié)議(IP)地址給該網(wǎng)絡(luò)裝置。儲(chǔ)存裝置135則用以?xún)?chǔ)存該網(wǎng)絡(luò)裝置的識(shí)別信息記錄和安全裝備記錄。
依據(jù)圖1所示，安全系統(tǒng)13是直接連接于內(nèi)部網(wǎng)絡(luò)100里面的網(wǎng)絡(luò)骨干14。這種設(shè)計(jì)方式常見(jiàn)于一侵入偵測(cè)系統(tǒng)。然而，安全系統(tǒng)13也可以通過(guò)其他方式和網(wǎng)絡(luò)連接。例如，安全系統(tǒng)13可以和內(nèi)部網(wǎng)絡(luò)100中的其他裝置結(jié)合，例如，防火墻16或路由器18?；蛘?，安全系統(tǒng)13可以設(shè)于內(nèi)部網(wǎng)絡(luò)100之外，例如介于防火墻16和路由器18之間，或者是在路由器18之外。安全系統(tǒng)13設(shè)置的方式不同將會(huì)使得安全系統(tǒng)13所處的網(wǎng)絡(luò)環(huán)境不同，而對(duì)于其運(yùn)作有所影響。
安全系統(tǒng)13可以包含軟件程序碼，其可以安裝及運(yùn)作于下列系統(tǒng)中，LDAP、Active Directory或RADIUS基礎(chǔ)的工作站。
類(lèi)似如工作站12的裝置可以透過(guò)網(wǎng)絡(luò)骨干14進(jìn)行溝通。工作站12可以進(jìn)一步通過(guò)網(wǎng)絡(luò)骨干14和路由器18和外部網(wǎng)絡(luò)150中的裝置進(jìn)行溝通。如前所述，防火墻16是用以防止外部網(wǎng)絡(luò)150的裝置在未經(jīng)授權(quán)認(rèn)證的情況下，對(duì)內(nèi)部網(wǎng)絡(luò)100中的裝置進(jìn)行接取。然而，防火墻16可能無(wú)法保護(hù)內(nèi)部網(wǎng)絡(luò)100，使其免于受到來(lái)自直接連接于內(nèi)部網(wǎng)絡(luò)100的裝置的病毒侵害。在此，病毒一詞是指有害的可執(zhí)行程序碼。
當(dāng)一裝置要求要接取內(nèi)部網(wǎng)絡(luò)100時(shí)，安全系統(tǒng)13必須決定該裝置是否具有足夠的安全防護(hù)裝備。為完成上述程序，安全系統(tǒng)13必須監(jiān)測(cè)在網(wǎng)絡(luò)骨干14上流通的信息(例如數(shù)據(jù)包)，并辨識(shí)由一要求接取內(nèi)部網(wǎng)絡(luò)100的裝置所傳送出的一網(wǎng)絡(luò)信息廣播，并確認(rèn)發(fā)出該網(wǎng)絡(luò)信息廣播的該裝置所具備的安全裝備，同時(shí)依據(jù)一安全規(guī)則，決定該安全裝備是否已提供足夠的安全防護(hù)。當(dāng)該安全裝備已提供足夠的安全防護(hù)時(shí)，安全系統(tǒng)13允許該裝置接取內(nèi)部網(wǎng)絡(luò)100。同時(shí)，該網(wǎng)絡(luò)裝置的識(shí)別信息記錄和安全裝備記錄被儲(chǔ)存在儲(chǔ)存裝置135中。
上述裝置(例如裝置161和163)可以通過(guò)一有線連接或無(wú)線連接方式來(lái)接取內(nèi)部網(wǎng)絡(luò)100。例如裝置163透過(guò)一無(wú)線接取點(diǎn)165建立一無(wú)線連接，以接取內(nèi)部網(wǎng)絡(luò)100中的資源。
安全系統(tǒng)13分析網(wǎng)絡(luò)信息以辨識(shí)內(nèi)部網(wǎng)絡(luò)100中可能的安全弱點(diǎn)。例如，安全系統(tǒng)13可以針對(duì)由監(jiān)視裝置131偵測(cè)到的該網(wǎng)絡(luò)信息，執(zhí)行一規(guī)則驅(qū)動(dòng)評(píng)估。
圖2顯示依據(jù)本發(fā)明實(shí)施例的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法的流程圖，其可由上述安全系統(tǒng)13實(shí)現(xiàn)。在步驟S20中，監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)100中數(shù)據(jù)的傳輸。例如，上述數(shù)據(jù)的傳輸包括和內(nèi)部網(wǎng)絡(luò)100連接的裝置所發(fā)出的數(shù)據(jù)包。每一個(gè)數(shù)據(jù)包在步驟S20中都被攔截。
繼之，在步驟S21中，決定是否偵測(cè)到該被攔截的數(shù)據(jù)包包含一IP地址要求，其中該IP地址可以被對(duì)應(yīng)的一裝置用來(lái)接取內(nèi)部網(wǎng)絡(luò)100。繼之，分析偵測(cè)到的該數(shù)據(jù)包并借以得到該數(shù)據(jù)包的來(lái)源裝置的識(shí)別信息(步驟S221)。該識(shí)別信息可以包含該來(lái)源裝置的MAC地址。繼之，傳送一詢(xún)問(wèn)信息到偵測(cè)到的該數(shù)據(jù)包的該來(lái)源裝置(步驟S231)，以查詢(xún)?cè)搧?lái)源裝置所安裝的安全裝備(security feature)。例如，上述安全裝備可以包含該裝置所安裝的安全補(bǔ)丁(security patch)及安全模式(security pattern)等。繼之，該裝置提供和其安全裝備相關(guān)的信息，且由安全系統(tǒng)接收該安全裝備的相關(guān)信息(步驟S233)。在步驟S235中，將該安全裝備的相關(guān)信息和其對(duì)應(yīng)的MAC地址一起記錄在一數(shù)據(jù)庫(kù)中。在步驟S241中，依據(jù)一安全規(guī)則，分析該裝置的該安全裝備。并在步驟S243中，決定該安全裝備是否已提供足夠的安全防護(hù)。當(dāng)該安全裝備已提供足夠的安全防護(hù)，則允許該網(wǎng)絡(luò)裝置接取該網(wǎng)絡(luò)(步驟S25)，否則該方法執(zhí)行步驟S271。在步驟S26中，建立該內(nèi)部網(wǎng)絡(luò)和該裝置的一連線。在步驟S271中，若該安全裝備并未提供該安全規(guī)則所界定的足夠的安全防護(hù)，則要求該裝置依據(jù)該安全規(guī)則升級(jí)其安全裝備，使其符合該安全規(guī)則的設(shè)定。在步驟S273中，接收該裝置所傳送的一回復(fù)信息。在步驟S274中，依據(jù)該回復(fù)信息，判斷該裝置是否接受依據(jù)該安全規(guī)則升級(jí)其安全裝備的要求。若該裝置接受該升級(jí)要求，則該方法執(zhí)行步驟S275，否則該方法結(jié)束。在步驟S275中，該裝置的安全裝備依據(jù)該安全規(guī)則加以升級(jí)。當(dāng)該升級(jí)程序完成時(shí)，該方法執(zhí)行步驟S26，建立該裝置和該內(nèi)部網(wǎng)絡(luò)之間的連線。
上述用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法是能通過(guò)計(jì)算機(jī)程序存于一儲(chǔ)存介質(zhì)中，且當(dāng)計(jì)算機(jī)程序載入服務(wù)器執(zhí)行時(shí)，可以實(shí)現(xiàn)本發(fā)明的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法。
以上所述僅為本發(fā)明較佳實(shí)施例，然其并非用以限定本發(fā)明的范圍，任何熟悉本項(xiàng)技術(shù)的人員，在不脫離本發(fā)明的精神和范圍內(nèi)，可在此基礎(chǔ)上做進(jìn)一步的改進(jìn)和變化，因此本發(fā)明的保護(hù)范圍當(dāng)以本申請(qǐng)的權(quán)利要求書(shū)所界定的范圍為準(zhǔn)。
附圖中符號(hào)的簡(jiǎn)單說(shuō)明如下內(nèi)部網(wǎng)絡(luò)100外部網(wǎng)絡(luò)150網(wǎng)絡(luò)骨干14
防火墻16路由器18安全系統(tǒng)13監(jiān)視裝置131認(rèn)證服務(wù)器133儲(chǔ)存裝置135工作站12裝置161裝置163無(wú)線接取點(diǎn)16權(quán)利要求
1.一種網(wǎng)絡(luò)安全系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)安全系統(tǒng)包括一監(jiān)視裝置，其是用以偵測(cè)由一網(wǎng)絡(luò)裝置發(fā)出的要求接取一網(wǎng)絡(luò)的一網(wǎng)絡(luò)信息；以及一認(rèn)證服務(wù)器，其是用以確認(rèn)該網(wǎng)絡(luò)裝置的一安全裝備，針對(duì)該網(wǎng)絡(luò)信息施以一安全規(guī)則，以決定該安全裝備是否已提供足夠的安全防護(hù)，若已提供足夠的安全防護(hù)則允許該網(wǎng)絡(luò)裝置接取該網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)，其特征在于，該網(wǎng)絡(luò)裝置是為一網(wǎng)絡(luò)計(jì)算機(jī)、一移動(dòng)電話、一呼叫器或一個(gè)人數(shù)字助理。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)，其特征在于，該網(wǎng)絡(luò)為一有線網(wǎng)絡(luò)、一無(wú)線網(wǎng)絡(luò)或?yàn)樯鲜龅募稀?br> 4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)，其特征在于，進(jìn)一步包含一儲(chǔ)存裝置，其是用以?xún)?chǔ)存該網(wǎng)絡(luò)裝置的識(shí)別信息記錄和安全裝備記錄。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)，其特征在于，該認(rèn)證服務(wù)器向該網(wǎng)絡(luò)裝置要求該網(wǎng)絡(luò)裝置的識(shí)別信息和安全裝備的相關(guān)信息。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)，其特征在于，該認(rèn)證服務(wù)器進(jìn)一步要求該網(wǎng)絡(luò)裝置依據(jù)該安全規(guī)則升級(jí)其安全裝備。
7.一種用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，其特征在于，所述用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法包括偵測(cè)由一網(wǎng)絡(luò)裝置發(fā)出的用以要求接取一網(wǎng)絡(luò)的一網(wǎng)絡(luò)信息；確認(rèn)該網(wǎng)絡(luò)裝置的一安全裝備；以及針對(duì)該網(wǎng)絡(luò)信息施以一安全規(guī)則，以決定該安全裝備是否已提供足夠的安全防護(hù)，若已提供足夠的安全防護(hù)則允許該網(wǎng)絡(luò)裝置接取該網(wǎng)絡(luò)。
8.根據(jù)權(quán)利要求7所述的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，其特征在于，該網(wǎng)絡(luò)裝置是為一網(wǎng)絡(luò)計(jì)算機(jī)、一移動(dòng)電話、一呼叫器或一個(gè)人數(shù)字助理。
9.根據(jù)權(quán)利要求7所述的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，其特征在于，進(jìn)一步向該網(wǎng)絡(luò)裝置要求該網(wǎng)絡(luò)裝置的識(shí)別信息和安全裝備的相關(guān)信息。
10.根據(jù)權(quán)利要求7所述的用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法，其特征在于，進(jìn)一步要求該網(wǎng)絡(luò)裝置依據(jù)該安全規(guī)則升級(jí)其安全裝備。
全文摘要
一種網(wǎng)絡(luò)安全系統(tǒng)以及用以管理網(wǎng)絡(luò)安全弱點(diǎn)的方法。該網(wǎng)絡(luò)安全系統(tǒng)包括一監(jiān)視裝置，其是用以偵測(cè)由一網(wǎng)絡(luò)裝置發(fā)出的要求連接一網(wǎng)絡(luò)的一網(wǎng)絡(luò)信息；一認(rèn)證服務(wù)器，其是用以確認(rèn)該網(wǎng)絡(luò)裝置的一安全裝備，針對(duì)該網(wǎng)絡(luò)信息施以一安全規(guī)則，以決定該安全裝備是否已提供足夠的安全防護(hù)，若已提供足夠的安全防護(hù)，則允許該網(wǎng)絡(luò)裝置連接該網(wǎng)絡(luò)。本發(fā)明通過(guò)分析網(wǎng)絡(luò)信息以辨識(shí)內(nèi)部網(wǎng)絡(luò)中可能的安全弱點(diǎn)。
文檔編號(hào)H04L29/06GK101090318SQ200610140649
公開(kāi)日2007年12月19日 申請(qǐng)日期2006年9月29日 優(yōu)先權(quán)日2006年6月14日
發(fā)明者鄭東升 申請(qǐng)人:臺(tái)灣積體電路制造股份有限公司