[发明专利]企业安全评估共享

说明书

背景

在例如企业办公室的企业计算环境中，多个个人计算机、工作站服务器等， 以及诸如大容量存储子系统、内部网络接口和外部网络接口等其他设备通常互 相连接以提供其中可生成，从外部源访问并在各个用户之间共享信息的集成环 境。通常，用户可执行各种操作，包括定单接收、制造、送货、记帐、库存控 制、文档准备和管理、电子邮件、web浏览、以及其中创建、访问和共享数据 是有益的其他操作。

当前，通常使用各种不同的安全产品来为企业提供安全性，这些产品各自 一般被安排成监视企业范围数据的仅仅一部分。即，安全产品被安排为单独的 本地“岛”，其中每一个产品监视、评估企业中的数据的不同部分并对其采取 动作。例如，企业可利用诸如保护该企业中的主机计算机的产品、边缘防火墙 产品、网络侵入检测系统(“NIDS”)产品、网络接入保护(“NAP”)产 品以及其他分立安全产品等安全产品的组合来为该企业的各不同部分提供安 全性。

虽然这些安全产品在许多应用中通常都令人满意地执行，但对安全事故的 检测经常遭受由于只监视部分企业安全数据而导致的不合需要地高的假肯定 和假否定出现水平。也难以提供跨所有企业安全产品岛的公共管理。使得企业 范围安全数据相关的现有尝试具有高管理和维护成本并且有缩放方面的问题。 将需要更有效的企业安全管理来使得单个企业范围视图能够允许安全管理员 定义并强制实施用于自动响应安全事故的清楚、简单且统一的企业范围策略。

提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助 确定所要求保护的主题的范围，也不旨在被看作将所要求保护的主题限于解决 以上所提出的问题或缺点中的任一个或全部的实现。

概述

提供被称为“ESAS，即，企业安全评估共享”的企业范围共享安排，其 中创建被称为安全评估的语义抽象以允许在企业安全环境中被称为端点的不 同安全产品之间共享安全相关信息。安全评估被定义为端点将较宽泛的上下文 含义向所收集的关于该环境中诸如计算机、用户、服务(例如，网站)、数据 或作为整体的企业等感兴趣对象的信息(即，某些上下文中的数据)的试验性 指派。安全评估利用对于端点的简明词汇来声明环境中的对象落入诸如“已受 损”或“正被攻击”等特定评估类别以及所检测到的事故的严重性(例如，低、 中、高、关键)。

安全评估是试验性的，因为它遭受某种不确定性并且在有限时间段内有 效。安全评估的试验性特性反映在其两个分量中：保真度字段，其表达端点对 其上下文含义指派的置信度水平，以及生存时间(“TTL”)字段，其反映端 点对安全评估预期有效的时间段的估计。由此，例如，安全评估可由端点用来 根据该端点对一个或多个安全事故的现有理解来声明特定机器已受损，严重性 等级为关键、保真度为中且具有30分钟的TTL。可以在任何给定企业安全环 境中使用各种类型的安全评估，从而具有例如评估类别和其他类型的各种组 合。

端点可具有将安全评估发布到在环境中操作的安全评估信道上，以及订阅 由其他端点发布的可用安全评估的子集的功能。存在于环境中的活动的安全评 估(即，具有指示评估仍然有效的TTL的安全评估)用于提供安全上下文， 该安全上下文给予这一启用ESAS的端点查看其自己的本地可用信息的新的方 式。即，该安全上下文允许启用ESAS的端点组合或相关来自从各种不同源接 收到的且跨对象类型的安全评估的证据以显著提高其对潜在安全事故的检测 的质量。该启用ESAS的端点然后根据一组响应策略来作出关于对于每一种类 型的安全评估(无论是从另一端点接收到的还是由该端点本身内部生成的)什 么本地动作或响应是适当的决定。事故判定是高效且经济的，因为安全上下文 使得能够以安全评估的形式来对企业范围信息进行分布式处理，而没有在整个 企业中共享大量原始数据(其中大多数都由于缺乏任何上下文而是完全无关 的)的负担。启用ESAS的端点还被安排成在提示本地动作的安全评估到期时 (即，在该安全评估超过TTL字段中所指定的生存时间时)回退该本地动作。