管理企业资产所用的方法和系统的制作方法

专利名称：管理企业资产所用的方法和系统的制作方法
技术领域：
所公开的方法和系统一般涉及计算机配置方法和系统。
背景技术：
管理计算机信息和/或网络安全可以具有挑战性，而配置程序可以是企业整体成功的基础。根据破坏的严重程度和受损害系统的性质，安全受损的后果可能有所不同。例如诈骗损失、信息被窃、服务中断、资源未授权使用、客户信任丧失以及品牌贬值。不过，由于安全威胁的不断变化的特点、信息技术(IT)资源的短缺、缺乏安全警觉、实施困难以及其他问题，可能难以维持有效的计算机配置程序。

发明内容
所公开的方法和系统包括管理至少一项资产所用的若干方法，所述方法包括把所述至少一项资产与至少一位用户相关联；并且向所述至少一位用户提供至少一个任务列表，它包括与所述至少一项资产的弱点相关联的至少一项任务，以及与所述至少一项资产相关联的至少一种配置标准相关联的至少一项任务。所述任务列表可以是资产管理任务列表、过期通知任务列表、存档通知任务列表、批准任务列表以及资产风险异常任务列表中的至少一种。所述配置标准可以包括与所述资产的至少一种运作特征相关联的至少一种最低基线过程，而且可以包括实现所述资产的运作特征所用的过程。所述资产可以包括一种或多种组成部分，而资产组成部分可以是应用程序、设备、操作系统和/或数据库。
所述用户可以关联到至少一个职责组，而且可以为其提供至少一个接口，使所述资产与用户相关联。因此资产可以关联到企业、功能部门和职责组。
所公开的方法也包括提供至少一种策略，而配置标准可以与一种或多种策略相关联。策略还可以进一步关联到企业。策略可以包括名称、目的和陈述，可以提供一种默认策略。
还包括了一种方法，用于产生至少一种弱点概述，它可以关联到资产的至少一种已检测到的弱点，而所述弱点概述可以包括至少一种链接，链接到一个或多个软件补丁和/或与所述弱点相关联的其他信息。可以把所产生的弱点概述通知用户。至所述补丁的所述链接可以包括一个或多个统一资源定位符(URL)。
所述方法和系统也可以包括根据资产概述、弱点概述以及至少一种配置标准，提供一个或多个报告。因此所述报告可以包括资产弱点评估报告、资产配置标准评估报告、资产弱点风险陈述报告、资产配置标准风险陈述报告、弱点状态归纳报告、配置标准状态归纳报告以及特别报告。
所公开的方法和系统可以包括扫描模块，以便检测一项或多项资产的一个或多个弱点。所检测到的弱点可以关联到若干资产和/或资产成分，它们可能关联到用户，也可能不关联。所述扫描模块也可以检测可能不关联到用户的若干资产和/或资产成分。
同时公开的是管理至少一项资产的系统，所述系统包括至少一个存储器，以便使一项或多项资产与一个或多个弱点以及一个或多个配置标准相关联；以及一个处理器，其指令使处理器把所述资产与用户相关联，并且向所述用户提供任务列表，它包括与所述资产的弱点相关联的一项或多项任务，以及与所述资产关联到的配置标准相关联的任务。所述资产可以包括一项或多项资产成分，而一项资产成分可以是一个或多个应用程序、设备、操作系统和/或数据库。弱点和/或弱点概述可以包括弱点名称、发现日期、所述弱点的描述、弱点类型、弱点风险等级以及一个列表或者说所述弱点影响的一项或多项资产的关联关系。所述配置标准可以包括配置标准名称、所述配置标准的描述、与所述配置标准相关联的一项或多项资产的列表、至少一个职责组名称、至少一种风险陈述、至少一种实施过程、至少一种实施脚本以及至少一种手工复查过程。
所公开的方法和系统包括管理企业中至少一项资产所用的方法。资产可以是处理器控制的设备，可以包括硬件和软件部件，称为资产成分。企业可以是一个标志，它可以关联到一项或多项资产，可以包括例如公司、教育机构、组织、个人或其他实体。因此所述方法可以包括提供第一服务器，所述服务器被配置为包括与所述至少一项资产相关联的至少一项资产概述，所述第一服务器由所述企业控制；以及响应对完全不同的第二服务器发出的请求，在所述第一服务器接收与所述资产关联到的至少一个弱点相关联的数据。
可以由所述企业控制的所述第一服务器，可以真正地位于所述企业真正掌握的和/或以其他方式控制的一台设备和/或一个区域之内。所述完全不同的第二服务器可能由所述企业控制，也可能通过一个或多个网络(可以包括因特网)来施加影响。
所述接收到的数据可以使用因特网和/或移动存储器来接收，比如光盘(CD)、数字视频盘(DVD)、软盘或所述服务器和所述完全不同的第二服务器能够存取的另一种移动存储器部件。所述数据可以通过安全的通信链接来接收，可以包括匿名的安全套接字层(SSL)或另一种安全的方法。
对所述第二服务器的数据请求可以由所述企业控制的服务器发出，此类请求可以为异步的和/或固定的间隔，可以基于或以其他方式包括与所述资产相关联的数据，以及/或者与所述资产可能关联到的一个或多个资产概述相关联的数据。所述请求可以包括以周期性间隔更新的请求，所述企业控制的服务器可以根据例如所述资产可能关联到的弱点概述、所述资产概述、配置标准、风险评估和/或任务列表，对所述接收到的数据进行过滤。所述请求也可以包括时间和/或日期，所述响应可以按照所述时间和/或日期为条件。
在接收到数据时，可以查询所述资产概述、配置标准、风险评估、弱点概述和/或任务列表，以便判断所述接收到的数据是否影响所述至少一项资产。根据接收到的数据(它可以包括至一个补丁和/或一个软件补丁的链接)，能够获得所述软件补丁或其他修复并应用于可能受到所述接收到之数据影响的或者以其他发生与所述接收到之数据相关联的一项或多项资产。把补丁应用于资产可能包括判断所述接收到的数据是否关联到总体资产配置和/或与所述资产相关联的个别资产配置。
接收到一个请求后，所述第二服务器可以把所述请求关联到一个帐户和能够与所述帐户相关联的至少一项特权。所述第二服务器也能够进行确认和/或鉴别，并且根据确认和/或鉴别结果对所述请求作出响应。
所述方法和系统也包括自动发现方法和/或模块，它能够自动发现所述企业的资产。同时包括的可以是所述企业的自动资产清点功能，它可以形成企业中不同资产的清单。在某些实施例中，能够以先后的次序执行自动发现和自动资产清点功能。从所述自动发现和/或自动资产清点接收到的信息和/或数据可以用于创建资产概述和/或修改现有的资产概述。根据所述自动发现和/或自动资产清点数据，可以自动产生资产任务列表。
在一个实例中，可以采用矫正模块或过程，根据资产概述、配置标准、风险评估、弱点概述和任务列表中的一项或多项，对一项或多项资产应用弱点修复、软件补丁等。根据可以修改资产和/或资产成分的所述矫正过程和/或模块，就可以修改资产概述。也可以修改与所述修改的资产和/或资产成分相关联的任务列表。
同时公开的是管理企业中至少一项资产所用的系统，所述系统包括由所述企业控制的并配置为包括与所述至少一项资产相关联的至少一项资产概述的第一服务器，以及响应所述第一服务器发出的请求而提供数据的完全不同的第二服务器，所述数据与所述资产关联到的至少一个弱点相关联。所述第一服务器和所述第二服务器中的至少一台包括弱点模块。所述第二服务器包括与所述第一服务器相关联的帐户数据，所述帐户数据包括特权数据，以便响应所述第一服务器发出的请求。所述第一服务器也包括工作流模块、扫描模块、自动发现模块、自动资产清点模块和/或自动矫正模块。
考虑到后文中的说明和附图，其他的目的和优点将变得显而易见。
附图简要说明

图1A是一幅框图，显示了管理企业资产所用的系统；图1B是根据所公开之方法和系统的一幅框图；图2-7包括根据图1中的系统所用的示范界面；图8是一幅框图，显示了所述公开之方法和系统的一个实施例；图9是一幅框图，显示了根据所述公开之方法和系统的层次管理。
具体实施例方式
为了提供全面的理解，现在将介绍一定的展示性实施例；不过，本领域的普通技术人员将会理解，本文介绍的系统和方法可以适于和修改为向其他适当的应用程序提供系统和方法，而且能够进行其他的添加和修改而不脱离本文介绍的所述系统和方法的范围。
除非另外指明，否则所展示的实施例都可以理解为提供一定实施例之不同细节的示范特点，所以除非另外指明，否则展示的特点、部件、模块和/或方面都能够以其他方式组合、分离、互换和/或重新安排而不脱离所述公开的系统和方法。另外，部件的所述外形和尺寸也是示范性的，除非另外指明，否则都能够改变而不影响所述公开的系统和方法。
在具有框架服务器之系统的环境中将讨论一个展示实施例，在其他方面此服务器可以理解为一台服务器，与一台或多台处理器控制的设备通信。术语“框架服务器”是指如同本文所提供的一个或多个基于处理器的或处理器控制的系统或设备，其指令使所述处理器根据所述公开的方法和系统操作。框架服务器和/或其他的处理器控制的设备能够通过网络连接，例如使用一个或多个内联网。因此，所述处理器控制的设备能够采用一个或多个网络，使用有线的和/或无线的通信链接和协议，与框架服务器通信。例如，所述通信链接可以包括因特网，而在一个实施例中，框架服务器可以是内联网的一部分，此内联网包括所述处理器控制的设备。框架服务器和/或所述处理器控制的设备可以包括多种外围设备(如键盘、指示笔、打印机、内部和外部存储器部件(如CD、DVD、外接硬盘驱动器等)和鼠标)。所述处理器控制的设备在本文中可以称为“资产”，而处理器控制的设备(“资产”)使用的或者以其他方式能够相关联的硬件和/软件，可以称为“资产部件”。资产部件的实例包括数据库、操作系统、外围和/或硬件设备(“设备”，如存储器、打印机、外接硬盘驱动器、交换机、路由器、集线器和调制解调器)和/或应用程序。
正如本文所述，企业可以是一个标志，关联到一项或多项资产。在某些实施例中，企业可以是所述资产的拥有者或者复杂维护、配置和/或控制所述资产的另一个机构。实例企业可以包括公司或者说商业实体、个人、政府机关或者另一个可识别的人和/或实体。资产可以关联到一个人，他可以关联到一个企业。在一个实例中，一项资产可以关联到公司实体的雇员。
企业可以包括一个或多个功能部门，它们可以区分、分离和/或关联人员、策略和资产。所以，一项企业资产可以关联到至少一个功能部门，而且所述资产可以分配给至少一个职责组。功能部门可以是公司的部(如财务、营销、运转)、地区(北美、亚洲、欧洲)或者企业之内其他的任命组，而此类任命可以独立于资产。
术语“职责组”是指与企业相关联的一个或多个人员，而职责组可以进一步关联到一项或多项资产，可以理解，所述职责组的成员可以负责管理企业中所述关联的一项或多项资产。
策略可以是文字的或其他的陈述，可以在企业的级别以及/或者一个功能部门和/或一组功能部门的级别，表达企业的目标，而所述目标可以至少部分地基于资产。例如，可以把一项或多项策略分配给一个企业(如应用于全企业的策略)或一个功能部门(如应用于企业中一个或多个但是并非所有功能部门的策略)。策略能够指导建立更具体的规则，它们在本文中称为“配置标准”。
配置标准可以是实施一项策略中至少一部分的规范。在一个实施例中，配置标准可以包括与一项资产成分、一项资产、一组资产、一个功能部门或一个企业的一种运作特征相关联的一种最低基线过程。配置标准可以是文字陈述，但是在某些实施例中，配置标准可以使用处理器指令来表示。例如，“全企业最小密码长度”配置标准可以为一个企业关联到的用户指定登录密码，在此企业中此类密码可以具有最少六个字母数字字符，因为这种迷惘通常可以被视为对攻击的免疫力较强。
查阅“一个用户”可以包括一个或多个人员，他们与框架服务器可存取的存储器中存储的一个用户帐户记录相关联。一个用户帐户记录可以包括但是不限于用户标识符(如登录名称和密码、指纹、语音样本)、所述用户可以关联到的一个或多个功能部门的名称以及所述用户在企业中的角色。角色可以表示一组特权。术语“一项特权”或“一组特权”可以指用户对一项或多项资产进行操作的权利和/或能力，而操作可以包括例如执行应用程序、下载网页、查询数据库表格、存取数据、存取与一项或多项资产相关联的信息、产生报告和查看菜单项。
所公开的方法和系统提供了框架服务器，用于设计、实施、评价和监控企业安全姿态。框架服务器可以使企业能够管理企业的资产，其方式为提供若干安全工具，它们使用或以其他方式能够存取确认安全内容(包括策略、配置标准和弱点数据)的数据库。框架服务器也能够提供工作流机制，它传递的数据关联到安全策略意识、系统配置标准、能够以连续方式提供的弱点管理、风险评估以及特别和其他报告。
如图1A所示，示范系统100包括框架服务器102，它通过网络108比如因特网或内联网，与企业106的若干资产104通信。所展示的框架服务器102和所示资产104之间的所述通信可以遵守HTTP(超文本传输协议)、TCP/IP(传输控制协议/因特网协议)或其他通信协议。尽管所展示的系统100显示为具有两个功能部门110的单一企业，框架服务器102却能够连接到可以具有一个或多个功能部门110的一个或多个企业106。正如本文前面所述，所展示的框架服务器102和资产104可以理解为本文前面所述的处理器控制的设备。因此，框架服务器102和所述资产104包括一个或多个处理器以及一个或多个存储器和/或存储器部件。所述资产104也可以包括一项或多项资产成分。
框架服务器102可以包括或以其他方式可以存取一个存储器，它包括数据库，可以是例如SQL(结构化查询语言)、微软的Access、Informix和/或遵从Oracle的数据库，尽管也可以使用其他结构化或非结构化数据库和/或存储器数据结构(如链接的列表、队列、图、表等)。因此所述存储器包括相关联的用户帐户记录、策略、配置标准、资产概述、弱点概述和风险评估调查表，尽管也可以存储和/或关联其他的和/或更少的信息。框架服务器102也可以包括提供界面所用的指令，以便存取所述存储的信息。例如，框架服务器102可以包括ApacheR网络服务器指令，它们通过传送界面以响应所接收到的URL(统一资源定位符)。
所以，图1B展示了根据所公开方法和系统的一个系统，它展示了本文将会更全面地介绍的某些特点。例如，图1B包括企业106，它可以包括一项或多项资产104，而一项资产可以进一步包括一项或多项资产成分186。企业106也可以关联到或以其他方式包括一个或多个用户160。企业106可以通过GUI 200和/或因特网与框架服务器102通信，关于所述企业的资产104的信息可以关联到资产概述170，企业用户160可以关联到用户帐户162。在图1B的实施例中，所述用户帐户162可以关联到一个或多个职责组164和功能部门110。正如本文所述，功能部门110可以关联到一项或多项策略166，它们又可以进一步关联到一个或多个配置标准168。所述配置标准168和/或策略166可以关联到所述资产概述170，它们也可以关联到一个或多个弱点概述174和/或一个风险评估调查表502。与例如所述弱点概述174有关的信息可以基于从数据源180和/或搜索引擎182接收到的数据，以及/或者本文将要提供的其他来源，此类来源可以通过因特网或一个或多个其他网络(如内联网)进行存取，或者可以直接提供给所述系统。例如，图1B包括一个实施例，可以通过手工入口178直接输入基于例如弱点概述的数据，或者通过GUI 176输入，它可以包括因特网和/或其他网络通信。如图1B所示，框架服务器102可以向企业106和例如所述企业106的用户160提供数据，此类数据可以基于弱点概述174、配置标准168、风险评估调查表502和策略166中的至少一项。框架服务器102可以提供例如报告和任务列表，尽管这些实例用于展示而非限制。作为实例，框架服务器102可以存取或以其他方式具有关于一项或多项弱点修复、补丁等188的信息，它们可以关联到可以在(也可以不在)弱点概述174中的若干弱点。在一个实施例中，框架服务器102可以通知企业160若干修复188，它们可以关联到若干资产104，它们又可以进一步关联到所述企业106。例如，框架服务器102可以向企业106提供与一项或多项弱点修复188相关联的信息，包括一个链接比如所述修复188(如软件代码或者说“补丁”)的超文本链接、文本文件或通信方式。本领域的普通技术人员将会理解，图1B中所展示的框架服务器102的部件仅仅是能够与所展示的企业106相关联的某些部件的展示，对于未显示的其他企业可能存在着类似的配置。所以，与所展示框架服务器102相关联所述部件和/或模块可以针对和以其他方式关联到所展示的企业106以及/或者关联到不止一个企业106。例如，一个实施例可以保持着多个企业的“全局”弱点概述174，而一个实施例可以对一个企业106创建特定的弱点概述174。某些实施例可以采用全局的和特定的弱点概述174。
本领域的普通技术人员也将会理解，图1A和图1B中的不同部件尽管是用于展示并且能够组合和/或以其他方式表示为更详细的部件，也能够通过有线和无线网络与其他部件互动，这些网络可以包括一个或多个内联网和/或因特网。例如，所展示的框架服务器102能够使用一个或多个内联网和/或因特网与企业106通信，同样也能够理解其他展示的通信联系(如框架服务器102和弱点修复188；框架服务器102和GUI 176、200；GUI 200和企业106、搜索引擎182和框架服务器102等；这些实例用于展示而非限制)。
图2描绘了一个网络浏览器，比如微软的Internet Explorer，呈现出示范界面200，用户可以通过它提供用户标识符。所述界面200能够以众多的指令集/数据进行编码，比如HTML(超文本链接标示语言)指令或其他的SGML(结构化的广义标示语言)指令。所述界面200可以包括若干指令，比如ActiveX部件、小应用程序、脚本等。用户可以使用键盘、指示笔、智能卡或其他接口设备输入或以其他方式提供用户标识符(如登录名202和密码204)。本领域的普通技术人员将会理解，框架服务器102可以接收用户通过文本框、下拉菜单、浮动菜单、按钮、复选框等提供的信息。在图2所示的所述示范界面200中，所述用户可以选定“Submit”按钮206，使所述用户标识符信息发送到验证所用的框架服务器102。在一个实施例中，框架服务器102可以进行所述存储器的查找操作或其他查询，以便判断所述接收到的用户标识符是不是有效的用户标识符，如果是，就检索与所述用户相关联的所述用户帐户记录。根据对用户的验证和/或鉴别，并且进一步根据所述用户的帐户(如用户概述、特权等)，框架服务器102就能够提供一个或多个界面，通过它们用户对于所关联的企业106可以例如创建、搜索、查看和编辑策略、配置标准、资产概述、弱点概述和风险评估调查表。本领域的普通技术人员将会理解，用户进行所述示范操作的能力可以根据所述用户的帐户和/或与所述帐户相关联的信息或数据(如许可、特权、职责组关系等)。
例如，如图3所示，框架服务器102可以提供界面300，通过它用户可以创建、复制或编辑企业的若干策略。在一个实施例中，框架服务器102可以使用图3的示范界面左侧窗口302中所示的分层次的文件管理系统(“Policy Tree 318”)来管理企业的若干策略。所示用户可以创建、复制、编辑和/或重命名所述策略树318中的文件夹(即策略的类别)和/或文档(即策略)。在一个实施例中，框架服务器102可以向用户提供选项，通过从默认策略组中选择和/或定制一项策略来创建一项策略、创建一项新的策略或者它们的组合。所述默认策略组可以基于例如Ernst & Young的最佳实践和调节指南，尽管本领域的普通技术人员将会理解，这种基础是用于展示而非限制，也可以使用其他的实践和过程。为了从所述默认策略组中选择一项策略，所述用户可以从策略组下拉菜单304中选择所述默认策略组，然后从策略下拉菜单306中选择一项策略。如果需要，所述用户可以通过改变名称308、目的310和陈述312文本框中提供的所述策略信息而定制一项策略。另外，用户也可以使用例如所展示的文本框308、310、312，通过输入名称、目的和陈述而创建一项策略。对于所展示的系统，所述用户也可以从下拉菜单314中选择职责组，可以向其通知新创建的策略或者负责保持所述策略信息。一旦已经输入和/或选定了所述信息，所述用户就可以选择“Update”按钮来更新所述策略树318以及以其他方式使所发送的信息与企业106相关联。框架服务器102可以进行这种关联。在图3所示的实例中，所示用户创建了名为“04.02.01.02Reasons for access”的策略，它是标题为“04.02.01 Identification ofrisks from third part access”的文件夹322之内的文档320。
参考图4，框架服务器102可以通过界面402，通过它所示用户可以查看、搜索、创建和编辑企业的配置标准。如本文前面所述，配置标准可以包括与资产成分、资产、资产组、功能部门110或企业106的运作特征相关联的最低基线过程。在一个实施例中，配置标准可以包括配置标准名称404、所述配置标准的说明406、与所述配置标准相关联的一项或多项资产和/或资产成分的列表408、所述配置标准所分配的职责组的名称410、风险陈述412、实施过程414、实施脚本416和手工复查过程418，尽管也可以包括其他的信息和/或更少的信息而不脱离所公开之方法和系统的范围。在一个实施例中，在所述配置标准被释放或者以其他方式提供给企业106的用户之前，职责组410可以负责复查以及在适宜时批准所述配置标准。
图4所示的示范配置标准名为“IP forwarding configuration-Microsoft IIS”404，而且提供了在所述内联网上通过微软因特网信息服务(IIS)禁用IP转发的功能。所述示范配置标准提供了实施过程414，Responsibility Group 1(即所关联的职责组408)的成员可以在所述内联网上的微软IIS服务器上实施禁用IP转发。在一个实施例中，所述配置标准可以提供实施脚本416，Responsibility Group 1的成员可以在微软IIS服务器上执行以便禁用IP转发。所述实施脚本416可以是以高级计算机语言写成的程序，它包括从微软IIS服务器之内的存储器位置访问软件应用程序的命令和子程序。所述示范配置标准也提供了复查过程418(如手工复查过程)，Responsibility Group 1的成员可以访问以确保在具体的微软IIS服务器上禁用IP转发的所述实施过程414被恰当地执行。所述示范配置标准可以允许若干微软IIS服务器(它们是企业资产)的相容部署。
与企业106相关联的功能部门110根据与功能部门110相关联之资产104的可用性、完整性和机密性(AIC)需求，可能具有不同的安全需求。例如，需要其用户具有“最高秘密清除”的工程部与需要其用户具有“秘密清除”的工程部相比，很可能对其资产104具有不同的AIC需求。所以，如图5所示，框架服务器102可以提供界面500，通过它所述用户可以回答风险评估调查表502，以便对功能部门504定义默认的风险容忍级别。所述风险评估调查表可以允许用户回答有关风险因素(它们可能影响与所述功能部门504相关联的所述资产104)的一个或多个问题(如“所述业务部门的基本数据多长时间归档一次？”)，并且选择“Submit”按钮向框架服务器102发送所述风险评估调查表数据。框架服务器102可以使用所述调查表回答对与所述功能部门110相关联的所述资产104计算默认的AIC值。通过对不同的功能部门110提供相同的问题，所述风险评估调查表就可以根据对所述功能部门110的所述风险评估回答，产生相对的AIC等级。例如在一个实施例中，AIC值可以具有最高等级五和最低等级零，取决于与功能部门110相关联的安全级别，尽管本领域的普通技术人员将会理解，可以使用其他等级尺度而不脱离所述方法和系统的范围。
图6显示了界面600，通过它用户可以查看、搜索、创建和编辑资产概述。资产概述可以包括资产104的资产成分(如数据库、操作系统、设备和应用程序)。用户可以对资产104(如网站所用的运转网络服务器)或共同配置的资产成分组(如运行着Oracle的Sun数据库服务器)提供或以其他方式定义资产概述。因此资产概述可以包括资产名称、资产类型、相关联的功能部门名称、相关联的职责组名称、制造商名称、型号名称、资产标签标识、所述资产104的说明、建筑物名称、地理位置、一项或多项资产成分(如微软的InternetExplorer)、资产成分的一个或多个版本(如微软的IE 6、微软的IE5.5、微软的Macintosh所用IE 5.1)、联网信息以及保护需求，尽管也可以包括其他的和/或更少的资产概述信息。
资产名称可以包括所述资产104的主机名称(如IP地址193.111.101.90)、别名(如微软的IIS服务器-15楼)或者所述资产104配置表达类型的说明(如XYZ公司15楼上的网络服务器)。在一个实施例中，选择资产名称时可以使得所述资产名称在功能部门110之内是唯一的。所述联网信息可以包括合格的域名、主机名、子网掩码和MAC地址。在某些实施例中，用户可以通过指定不同的保护需求而不用(框架服务器102根据所述资产104可以关联到的所述功能部门110而对所述资产104提供的)默认AIC值。在一个示范讨论中，可以理解对于例如XYZ公司的营销部，默认的AIC值为可用性＝3、完整性＝1、机密性＝2，而用户正在对所述营销部所关联的资产创建资产概述。所述用户可以通过从例如所述网页的保护需求部分中的下拉菜单中选择不同的AIC值而不用所述默认的AIC值。如果所述用户选择了低于所述默认AIC值的AIC值(如可用性＝1、完整性＝1、机密性＝1)，框架服务器102就可以请求所述资产所分配的职责组(即Responsibility Group 1)作出风险异常批准，然后所述资产概述才可以加入到资产概述的数据库中。
框架服务器102可以包括弱点模块(未展示)，它可以跟踪安全弱点并保持着关于弱点概述174的信息。例如，弱点模块可以包括弱点概述174的数据库。所以弱点可以关联到软件路径(即软件模块)和/或与所述弱点相关联的其他信息188，而提供所述软件路径或其他信息188可以增强资产和/或资产成分，改正缺陷或者以其他方式修改资产和/或资产成分。所述弱点可以是例如安全弱点。为了提供与所述弱点相关联的数据，可以使用URL或其他方式(如PDF文件、Word文档、文本文档等)来提供所述信息188。
因此，所公开的方法和系统可以提供弱点模块，它可以在检测到新的弱点时自动更新弱点概述的数据库。在一个实施例中，框架服务器102可以跟踪或以其他方式监控从多个来源发现的弱点，比如邮件列表、因特网站点以及由其他人(如黑客)散布的信息。当框架服务器102检测到弱点(如现有弱点的更新、新的弱点)时，所述弱点模块就可以识别所述弱点，根据影响力(即弱点被利用的后果)、普及程度(即弱点在公众中的知晓程度)以及简单性(即利用弱点所需的技术熟练级别)而从例如1至10中提供数值式的弱点风险等级范围，划分所述弱点的类型(如可远程利用的和/或可本地利用的)，把所述弱点的源代码归档，识别所述弱点能够影响的一项或多项资产和/或资产成分，以及/或者提供至补丁的链接(如统一资源定位符)，尽管本领域的普通技术人员将会理解，这些信息是用于展示而非限制，可以包括其他的信息和/或更少的信息。在某些实施例中，可以不把弱点通知用户或另一个人，除非弱点的风险等级在一个范围之内，而所述范围可以由所述用户或另一个人来指定。本领域的普通技术人员将会理解，用户或另一个人可以建立一条或多条准则，以便判断所述用户是否接收关于弱点的信息，而所述准则可以根据本文所述弱点的一个或多个特征。
框架服务器102也可以包括若干指令以提供若干界面或其他方式，通过它们用户可以利用关键字或其他查询技术查看和搜索弱点概述174，发送新的弱点进行调查和验证，以及对现有的弱点概述174发送改变请求。所以在一个实施例中，在用户选定了与新弱点概述174相关联的菜单项后，框架服务器102就能够提供“Submit a NewVulnerability”网页或者“Submit a Vulnerability Change”网页。这些网页或其他界面可以包括一个或多个字段，以便允许所述用户输入或编辑例如弱点名称、发现日期、所述弱点的说明、弱点类型(如可远程利用的和/或可本地利用的)、弱点风险等级以及所述弱点可能影响的一项或多项资产成分的列表。所述用户可以选择所述界面上提供的“Submit”按钮或者以其他方式使所述信息传送到框架服务器102。在一个实施例中，框架服务器102可以与标识为弱点研究者的一个或多个人员和/或机构交流所述信息。这一个或多个弱点研究者可以查看所述用户提交的内容，研究和测试所述弱点，并且在适宜时可以把所述发现存档在弱点概述174中，它可以加入到弱点概述的数据库中。在一个实施例中，弱点概述174可以关联到一个或多个企业的若干资产和/或资产成分。
框架服务器102可以包括工作流模块，它可以产生资产有关的任务列表和风险有关的任务列表。任务列表可以指定给职责组并且可以作为职责组所述成员的“计划工作”列表。框架服务器102也可以包括提供若干指令以提供若干界面，通过它们职责组成员可以查看、拥有和/或从事任务列表上的任务(如对另一个用户)。
风险有关的任务列表可以包括但是不限于批准任务列表，它确认需要复查和批准的新的和/或修改的策略以及/或者配置标准，以及确认资产104的资产风险异常任务列表，用户对所述资产已经选择了低于所述默认AIC值的AIC值，因此需要所述职责组作出资产风险异常批准。为了这次示范讨论的目的，可以理解，User A为了批准而提交了图4的所述“IP forwarding configuration-Microsoft IIS”配置标准，User B创建了所述“Microsoft IIS Server-Floor 15”资产概述(本文前面已介绍过)并为所述营销部选择了低于所述默认AIC值的AIC值。正如本文前面所述，所述“IP forwarding configuration-Microsoft IIS”配置标准以及所述“Microsoft IIS Server-Floor 15”资产概述分配给了Responsibility Group 1(“RG1”)。所述工作流模块可以为RG1产生批准任务列表，它包括复查以及适宜时批准所述“IP forwarding configuration-Microsoft IIS”配置标准的任务。RG1的成员可以拥有所述任务，从事它时包括批准和释放所述配置标准、驳回所述配置标准或者要求(如User A)修改和重新提交所述配置标准的一个或多个部分以便复查。同样，所述工作流模块也可以为RG1产生风险异常任务列表，它包括复查以及适宜时允许所述“MicrosoftIIS Server-Floor 15”资产概述中提供的所述风险异常的任务。
资产有关的任务列表可以包括但是不限于资产管理任务列表、延误通知任务列表以及归档通知任务列表。在一个实施例中，所述资产管理任务列表识别新的和/或修改的弱点概述174和/或配置标准168，它们影响着分配给一个职责组的一项或多项资产104。所述延误通知任务列表可以识别所述资产管理任务列表上的“延误”任务；所述归档通知任务列表可以通知所分配的职责组，因为例如所述资产已经被改变(如通过去除所述配置标准影响的所述资产成分)，可能不再应用弱点概述174和/或配置标准168。
为了这次讨论的目的，可以理解，图4中的所述“IP forwardingconfiguration-Microsoft IIS”配置标准已经被批准和释放(即加入到配置标准的数据库中)。所述工作流模块可以为RG1产生资产管理任务列表，识别所述新的“IP forwarding configuration-MicrosoftIIS”配置标准以及所述新的配置标准影响的分配给RG1的所述资产104的任务包括在内。RG1的成员可以通过在分配给或以其他方式关联到RG1的微软IIS服务器上执行所述配置标准中提供的所述实施过程，不做任何事情而接受未授权数据包可能跨越所述微软IIS服务器并到达内部系统的所述风险，或者存取某种不同于所述实施过程提供的操作而减轻所述风险，从而从事(即承担)这项任务。如果在例如十天(如工作流模块允许所述资产管理任务列表中的任务保持未被处理的示范最长时间量)的期间，任务还没有被RG1的成员处理，所述工作流模块就可以产生延误通知任务列表，它确认所述任务已延误。RG1的一个成员可以通过联系所述任务相关联的所述RG1的成员而处理所述延误任务，或者把所述任务分配给一个RG1的成员。
框架服务器102可以包括报告模块，它使得用户能够对于资产概述170、弱点概述174和/或配置标准168创建汇总报告和/或详细报告，尽管也可以创建详细至其他信息的报告而不脱离所公开之方法和系统的所述范围。框架服务器102可以包括若干指令以通过若干界面，通过它们用户(如职责组的若干成员)可以查看、搜索、创建和编辑预先规定的和/或特别的报告，它们确认以及/或者以其他方式描绘或提供对分配给其各个职责组的资产104有影响的弱点概述和/或配置标准。预先规定之报告的实例包括但是不限于资产弱点评估报告、资产配置标准评估报告、资产弱点风险状态报告、资产配置标准风险状态报告、弱点状态汇总报告以及配置标准状态汇总报告。所述术语“特别报告”是指用户可以定制以便包括所述用户已经规定为搜索查询类别之所述字段(如资产名称、功能部门110、资产成分186、职责组164、配置标准168)的报告。如果需要，用户可以把所述预先规定的和/或特别的报告输出为以逗号分隔的文本文件，可以由电子数据表程序读取和打开，包括例如微软的ExcelR。
框架服务器102也可以包括扫描模块，它对企业的若干资产104进行扫描，包括但是不限于可以从因特网访问的资产(如接入网关、路由器、HTTP服务器、SMTP服务器和远程登录服务器)，以及/或者提供界面，通过它用户可以输入已面市的安全扫描程序(如Internet Security Systems、Nessus和CyberCop)扫描的结果。在一个实施例中，所述扫描结果可以由主机名称(如IP地址193.111.101.90)来识别所述资产。框架服务器102可以由主机名称或其他查询技术搜索所述资产概述170，以便判断所述资产是否关联到一项资产概述。如果所述搜索过程产生了负面结果(即所述资产的所述主机名称与所述数据库中资产概述的主机名称不符)，框架服务器102可以提供一个界面，通过它用户可以选择一项资产概述170与所述资产104相关联，或者为所述资产104创建一项资产概述170。扫描模块也可以探测所述资产的弱点，并且向所述弱点模块提供例如一个报告，说明在所述资产中检测到的弱点。一般说来，扫描模块可以用作确认工具，有助于企业106识别资产104、关联资产104以及验证资产104的所述弱点状态。
因此所述方法和系统可以关联到自动的或者说自动发现和/或自动资产清点(或“清单”)功能。例如，自动发现(或“发现”)可以理解为对于资产104和/或资产成分186，探测或者以其他方式扫描网络的功能，比如内联网。在一个实例中，这样一种能力可以被配置为手工申请时运行，或者按照日程表运行，比如每天(如在给定时间)、每周、每月或在另一种安排的时间周期。在一个实施例中，所述自动发现模块可以接受要扫描的因特网协议(IP)地址的列表或其他标志作为输入。
自动资产清点功能可以被配置为独立于或者按照自动发现功能而运行。自动资产清点功能可以包括识别资产成分186的过程，而且如本文所述(如软件模块、软件补丁)，这种自动资产清点功能可以另外成为判断或者以其他方式把所述资产104关联到资产概述170、弱点概述174、配置标准168和/或所公开之方法和系统其他部件的基础。因此，这种清单和/或发现系统也可以允许自动产生资产概述170以及/或者关联到一项或多项弱点概述174和/或配置标准168。在一个实例中，自动资产清点和/或发现功能或模块对于发现的和/或列出的资产104、资产成分186等，可以产生任务列表。所以，清单和/或发现功能或模块可以识别打开的和/或关闭的弱点和/或配置标准发布和/或任务。
在一个实施例中，所述方法和系统可以包括自动矫正(“自动矫正”或“矫正”)功能或模块，它可以按照相关联的配置标准168、资产概述170等，加载软件补丁和/或执行任务，并可以更新相关联的任务列表以便表明矫正过程的进展和/或结果。在一个实例中，可以把电子邮件或其他通知发送到系统管理员、职责组(成员)164或者所述结果和/或更新后任务列表有关的另一个人。所以，在一个实例中，可以进行发现和列出清单，由此可以创建资产概述170和/或任务列表，确定与弱点概述174和/或配置标准168的关联关系，而且矫正模块和/或过程通过加载补丁和/或修复，可以完成任务列表中的项目，由此可以更新所述任务列表并提供给用户。
因此，所公开的方法和系统可以用于系统备份。因此，与所述资产104和/或资产成分186相关联的数据和/或信息可以用于备份机制中，以便万一在一项资产104和/或全企业出现故障时能够恢复。所以，需要框架服务器102的备份。
所述方法和系统也提供了若干补丁/修复188，以便应用于个别的资产以及/或者全部的资产。所以，资产概述170、配置标准168等的管理，可以全局地进行以及/或者针对个别资产进行。因此一项资产可以关联到全局配置和/或个别配置。在某些实施例中，个别配置可以超越全局配置，而在其他的系统中，全局配置可以超越个别配置。
图8展示了所公开方法和系统的一个实施例，其中框架服务器102可以加入到内联网或其他网络中，网络之内存在着企业106。所以，尽管图1A和图1B在其他实施例中指出了若干实施例，其中与企业106比如资产104、资产成分186、资产概述170、功能部门110、用户帐户162、配置标准168和其他部件相关联的数据可以驻留在服务器(如框架服务器102)上，可以通过例如因特网进行访问，根据图8的实施例却展示了框架服务器102可以附加地和/或可选地位于企业106无须穿越或以其他方式访问因特网即可以访问的网络和/或内联网之内。所以在这样一个实施例中，与企业相关的信息或者说数据比如资产104、资产成分186、资产概述170、功能部门110、用户帐户162、配置标准168以及其他部件都可以驻留所述网络/内联网之内，并且处于所述企业106的安全控制之内。在某些实施例中，框架服务器102中例如数据的若干拷贝可以使用安全的通信技术，由安全通道传送到帐户服务器800，它可以存储框架服务器102的备份，尽管这种功能是可选的。
所以，根据图8的框架服务器102可以理解为受到所述企业106控制，与所述企业106相关联的系统管理员可以配置所述框架服务器102，并且可以规定例如所述框架服务器102的系统备份。处于所述企业106的所述控制之内也就可以表明框架服务器102有形地驻留在所述企业106直接或间接控制下的位置。尽管图1A和图1B的所述方法和系统也预见了这样一个实施例，但是图1A和图1B也预见了框架服务器102不驻留在所述企业106的所述控制之内的系统和方法，所以在这些实施例中，与企业106相关联的若干人员可能不具有对框架服务器102的有形控制，可能限于通过因特网进行通信访问。
在根据图8的实施例中，所述帐户服务器800可以可选地和附加地通过因特网184向企业/框架服务器102提供一个界面，使得所展示的框架服务器102可以与所述帐户服务器800通信，以便获得配置标准、弱点和其他数据的若干更新。在一个实例中，根据图8的框架服务器102可以与帐户服务器800建立安全通道(如匿名SSL)，框架服务器102可以“登录”或者以其他方式与所述帐户服务器800建立通信，使得所述帐户服务器800可以验证框架服务器180可以关联到的企业106。根据企业106和框架服务器102的这种关联关系，帐户服务器800可以为框架服务器102确定相关联的特权，这些特权可以根据企业帐户802确定。因此，图8中的所述帐户服务器800可以根据这些相关联的特权，为所展示的框架服务器102发出的请求提供服务。在一个实例中，帐户服务器800可以接收请求、识别企业帐户802以及确定相关联的特权指明发出请求的框架服务器102可能没有授权获得响应。
如图8所示，帐户服务器800可以通过因特网184或者直接从多个来源182、180、178接收配置、弱点等有关的数据和/或其他信息。所以，帐户服务器800对配置、弱点和其他信息可以具有系统的和/或安排的搜索，也可以接收关于弱点和其他系统数据的异步更新(如手工入口)。例如，帐户服务器108可以包括弱点模块，正如本文前面所述，而相关联的框架服务器102可以可选地和附加地包括弱点模块。在根据图8的一个实施例中，与帐户服务器800相关联的框架服务器102可以不包括弱点模块，可以允许所述相关联的帐户服务器800来执行这些特点。帐户服务器800可以本地存储这些弱点信息(如在内联网之内)，以及/或者可以存储至这些信息或数据的链接或其他指针，而通过因特网或另一个网络可以访问所述数据。因此，所展示的帐户服务器800可以包括一个或多个数据库或其他存储器部件，以便存储弱点信息和/或企业帐户数据802。
所以在一个实施例中，帐户服务器800可以保持弱点概述174，而且在框架服务器102发出请求之后，向所述框架服务器102提供这种弱点概述数据。随后所述框架服务器102可以通过把所述弱点概述与一项或多项资产104和/或资产概述170相关联而加入所述弱点概述174。在某些实施例中，从所述帐户服务器800发出的弱点数据可以是另一种形式，使得框架服务器102可以根据接收到的数据逐渐形成弱点概述174。所以，从框架服务器102发出有效的和/或授权的请求之后，帐户服务器800就可以查询所述帐户服务器800已经访问的弱点数据(如概述174)，以便判断哪项弱点数据可以应用于发出请求的所述框架服务器102。在一个实施例中，帐户服务器800的查询可以根据所述请求中的若干参数，它们可以包括资产、资产概述、风险管理、时间和/或日期或者查询可以根据的另一种参数。
正如本文前面关于图1至图7的所述系统和方法的论述，所展示的帐户服务器800可以从手工入口178、搜索引擎182和其他数据来源180接收弱点和其他信息，因此可以访问或者以其他方式包括至弱点修复或补丁188的链接或指针。根据例如框架服务器102发出的请求，帐户服务器800可以向发出请求的所述框架服务器102返回至弱点修复188的链接。在一个实施例中，从框架服务器102发出的所述请求可以包括一项资产或配置所特定的数据。帐户服务器800可以附加地和可选地跟踪例如从给定的框架服务器102和/或给定的资产发出的请求，以便根据所述请求提供数据/信息，而这种数据/信息也可以根据前面的请求，所以对所述请求的响应可以包括更新的信息而没有重复的信息。在某些实施例中，框架服务器102可以附加地和可选地具有一种特点，对帐户服务器800发出的响应进行过滤，以便去除重复的信息。在某些实施例中，一项请求可以包括时间和/或日期数据，以便使帐户服务器800能够响应指定的时间和/或日期之后的数据。本领域的普通技术人员将会理解，使用其他数据/信息的其他不同请求也可以使用。
在一个实施例中，根据图8的框架服务器102可以按照指定的间隔从帐户服务器800请求更新结果。这些请求可以由企业106相关联的系统管理员或另一个人来配置。本领域的普通技术人员之一将会理解，帐户服务器800也可以被配置为根据给定的框架服务器102发出的请求，按照所安排的间隔向给定的所述框架服务器102提供更新结果。这些更新结果可以是增量的，如本文所述，以及/或者可以使用过滤技术，也如本文所述。
在根据图8的一个实施例中，来自帐户服务器800的信息和/或数据可以通过介质提供给框架服务器102，比如磁带、磁盘、CD、DVD或其他的移动存储器部件。
图9提供了一个实例，其中一台或多台框架服务器102a-102n可以由指挥站900a管理，它可以包括框架服务器102a-102n的特点，所以能够管理框架服务器102a-102n的特点。在图9中未显示一台或多台帐户服务器800，它们也可以与框架服务器102a-102n和/或指挥站900a通信。所以，指挥站900a也许能够根据框架服务器102a-102n提供的数据产生若干报告，而本文前面已经关于单一的框架服务器102论述过此类报告。图9也表明，一台或多台指挥站900a-900b可以与一个或多个行政部门通信，它们可以配备本文所述指挥站的能力。因此，本领域的普通技术人员将会理解，所展示的指挥站900b可以理解为与未显示的一台或多台框架服务器102相关联。所述行政部门902也可以与一台或多台帐户服务器800通信。
至此已经介绍过的是管理企业中至少一项资产所用的方法和系统，其中所述方法和系统包括提供第一服务器，所述第一服务器被配置为包括与所述至少一项资产相关联的至少一项资产概述，所述第一服务器由所述企业控制；并且响应对完全不同的第二服务器发出的请求，在所述第一服务器接收与所述至少一项资产关联到的至少一个弱点相关联的数据，所述第二服务器处于所述企业的控制之外。
本文所述的方法和系统不限于特定的硬件和软件配置，可以应用在许多计算或处理环境中。所述方法和系统可以实施于硬件或软件中，或者硬件与软件的结合中。所述方法和系统可以实施于一个或多个计算机程序中，其中一个计算机程序可以理解为包括一条或多条处理器可执行的指令。所述计算机程序可以在一个或多个可编程的处理器上执行，并且可以存储在所述处理器可读的一种或多种存储介质(包括易失性的和非易失性的存储器和/或存储元件)、一台或多台输入设备以及/或者一台或多台输出设备上。因此所述处理器可以访问一台或多台输入设备以便获得输入数据，并且可以访问一台或多台输出设备以便传送输出数据。所述输入和/或输出设备可以包括以下的一种或多种随机存储器(RAM)、冗余磁盘阵列(RAID)、软盘驱动器、CD、DVD、磁盘、内置硬盘驱动器、外接硬盘驱动器、记忆棒或本文所述处理器能够存取的其他存储设备，上述这些实例并非面面俱到，并且是作为说明而非限制。
实施所述计算机程序时可以使用一种或多种高级程序性的或面向对象的编程语言与计算机系统交流；不过如果需要，所述程序也能够以汇编或机器语言实施。所述语言可以进行编译或解释。
因此，所述处理器可以嵌入能够在网络型环境中独立或一起运行的一台或多台设备中，而所述网络可以包括例如局域网(LAN)、广域网(WAN)，以及/或者可以包括内联网和/或因特网和/或另一个网络。所述网络可以是有线的或无线的或其组合，并且可以使用一种或多种通信协议以方便所述不同处理器之间的通信。所述处理器可以被配置为用于分布式处理，并且在某些实施例中需要时可以采用用户-服务器模式。所以，所述方法和系统可以采用多处理器和/或处理器设备，而且所述处理器指令可以在这单一或多个处理器/设备之间进行划分。
因此，处理器可以理解为处理器控制的设备，它可以包括例如PC、工作站、手持机、掌上机、膝上机、蜂窝电话或其他处理器控制的设备，其中包括的指令使所述处理器根据所公开的方法和系统进行操作。本文所述的设备并非面面俱到，并且是作为说明而非限制。“处理器”、“所述处理器”和/或“服务器”(带有或没有说明性的修饰词)的引用可以理解为包括一个或多个处理器，它们能够在独立的和/或分布式的环境中进行通信，因此可以被配置为通过有线的和/或无线的通信方式与其他处理器通信，而这一个或多个处理器可以被配置为在一台或多台处理器控制的设备上运行，这些设备可以是类似的设备，也可以是不同的设备。不仅如此，除非另外指明，否则对存储器的引用可以包括一种或多种处理器可读的和可存取的存储器元件和/或部件，它们可以处于所述处理器控制的设备的内部、所述处理器控制的设备的外部，并且使用多种通信协议通过有线的或无线的网络进行访问，除非另外指明，否则可以布置为包括外部和内部存储器设备的组合，而此类存储器根据所述应用可以是邻近的和/或分割的。对数据库的引用可以理解为对本文所述存储器的引用，而此类存储器可以布置为使数据相关联，尽管本领域的普通技术人员将会理解，同样也可以采用其他的数据结构，比如链接的列表、队列、图形、数组和其他数据结构。
所述术语“网络”既是指因特网，又是指一个或多个内联网，也是同时指二者，除非指出了其区别。
尽管介绍所述方法和系统时是针对其特定实施例，但是它们不限于此。很明显在得益于以上教导后许多修改和变化变得显而易见。例如，对数据库的引用可以包括以方便所公开之方法和系统的方式关联到的数据，并且可以包括能够存储在邻近的和/或非邻近的存储器中的其他数据结构，这些存储器可以使用有线的和/或无线的通信方式进行内部地和/或外部地存取。
本领域的技术人员可以对本文介绍和展示的若干部分，在细节、材料和布置方面作出许多另外的改变。所以应当理解，以下的权利要求书不限于本文公开的实施例，可以包括特定介绍以外的实践，并且将被解释为法律允许的最大范围。
权利要求
1.一种用于管理企业中至少一项资产的方法，所述方法包括提供第一服务器，所述第一服务器被配置为包括与所述至少一项资产相关联的至少一项资产概述，所述第一服务器由所述企业控制，响应对完全不同的第二服务器发出的请求，在所述第一服务器接收与至少一个弱点相关联的数据，所述弱点与至少一项资产相关联，所述第二服务器处于所述企业的控制之外。
2.根据权利要求1的方法，其中的接收包括接收软件补丁和至软件补丁的链接至少其中之一。
3.根据权利要求1的方法，其中的接收包括通过因特网和移动存储器至少其中之一来接收。
4.根据权利要求1的方法，进一步包括从所述完全不同的第二服务器请求数据，所述请求基于以下二者至少其中之一所述至少一项资产和所述至少一项资产概述。
5.根据权利要求1的方法，其中的接收包括按照定期间隔接收数据。
6.根据权利要求1的方法，其中的接收包括根据以下诸项至少其中之一对接收到的数据进行过滤至少一项弱点概述、所述至少一项资产概述、至少一个配置标准、至少一项风险评估和至少一个任务列表。
7.根据权利要求1的方法，进一步包括从所述至少一台完全不同的第二服务器请求数据，所述请求包括时间和日期至少其中之一。
8.根据权利要求1的方法，进一步包括根据所述请求中包括的时间和日期至少其中之一，响应所述请求。
9.根据权利要求1的方法，其中的提供包括提供与以下二者至少其中之一相关联的至少一项弱点概述所述至少一项资产和所述至少一项资产概述。
10.根据权利要求9的方法，其中的接收包括查询所述至少一项资产概述、至少一个配置标准、至少一项风险评估、所述至少一项弱点概述和至少一个任务列表至少其中之一，以便判断所述接收到的数据是否影响所述至少一项资产。
11.根据权利要求10的方法，其中的接收包括，根据所述接收到的数据接收补丁，以及把所述补丁应用于受接收到的数据影响的所述至少一项资产。
12.根据权利要求1的方法，其中的接收包括接收至少一项弱点概述。
13.根据权利要求1的方法，进一步包括根据以下诸项至少其中之一，在所述第二服务器查询弱点数据至少一项资产、至少一项资产概述、时间和日期。
14.根据权利要求1的方法，进一步包括根据所述接收到的数据获得补丁。
15.根据权利要求1的方法，进一步包括把补丁应用于所述至少一项资产，所述补丁基于所述接收到的数据以及全局资产配置和与所述至少一项资产相关联的个别资产配置至少其中之一。
16.根据权利要求1的方法，其中的接收包括通过安全的通信链接来接收。
17.根据权利要求16的方法，其中所述安全的通信链接包括匿名的安全套接字层(SSL)。
18.根据权利要求1的方法，进一步包括以固定的间隔从所述完全不同的第二服务器请求数据。
19.根据权利要求1的方法，进一步包括，在所述完全不同的第二服务器接收所述请求，以及把所述请求关联到帐户和若干特权至少其中之一。
20.根据权利要求1的方法，其中所述请求包括识别所述至少一项资产的数据。
21.根据权利要求1的方法，进一步包括执行所述企业的自动发现。
22.根据权利要求1的方法，进一步包括执行所述企业的资产清点。
23.根据权利要求1的方法，进一步包括，执行所述企业的自动发现，执行所述企业的资产清点，以及根据所述自动发现和所述资产清点至少其中之一，有条件地执行创建至少一项资产概述，以及修改所述至少一项资产概述。
24.根据权利要求23的方法，其中修改所述至少一项资产概述包括根据矫正模块修改所述至少一项资产概述。
25.根据权利要求1的方法，进一步包括，根据所述接收到的数据和以下诸项至少其中之一使用自动矫正过程所述至少一项资产概述、至少一个配置标准、至少一项风险评估、至少一项弱点概述和至少一个任务列表。
26.根据权利要求1的方法，进一步包括，根据自动资产清点和自动发现模块至少其中之一，自动产生至少一个资产任务列表，以及根据自动矫正模块，更新所述至少一个资产任务列表。
27.根据权利要求26的方法，其中的更新包括，识别以下诸项至少其中之一至少一个配置标准和与所述资产任务列表相关联的至少一项弱点概述，以及根据所述至少一个资产任务列表以及所述识别的至少一个配置标准和所述至少一项弱点概述至少其中之一，修改以下二者至少其中之一至少一项资产和至少一项资产成分。
28.根据权利要求1的方法，进一步包括，把帐户信息关联到向所述第二服务器发出的数据请求，在所述第二服务器执行确认和鉴别至少其中之一，以及根据所述确认和鉴别的所述至少其中之一，对所述请求作出响应。
29.一种用于管理企业中至少一项资产的系统，所述系统包括第一服务器，由所述企业控制并且被配置为包括与所述至少一项资产相关联的至少一项资产概述，以及完全不同的第二服务器，处于所述企业的控制之外，所述第二服务器响应从所述第一服务器发出的请求，向所述第一服务器提供数据，所述数据与至少一个弱点相关联，所述弱点与所述至少一项资产相关联。
30.根据权利要求29的系统，其中所述第一服务器和所述第二服务器至少其中之一包括弱点模块。
31.根据权利要求29的系统，其中所述第二服务器包括与所述第一服务器相关联的帐户数据，所述帐户数据包括特权数据。
32.根据权利要求29的系统，其中所述第一服务器包括工作流模块、扫描模块、自动发现模块、自动资产清点模块和自动矫正模块至少其中之一。
33.根据权利要求29的系统，其中所述第一服务器包括与所述至少一项资产概述相关联的至少一项弱点概述。
全文摘要
所公开的方法和系统可以用于管理企业(106)中至少一项资产(104)，其中所述方法和系统包括提供第一服务器，所述第一服务器被配置为包括与所述至少一项资产相关联的至少一项资产概述，所述第一服务器由所述企业控制；并且响应对到完全不同的第二服务器发出的请求，在所述第一服务器接收与所述至少一项资产关联到的至少一个弱点相关联的数据，所述第二服务器处于所述企业的控制之外。
文档编号G06Q10/00GK1628295SQ02829165
公开日2005年6月15日 申请日期2002年10月4日 优先权日2002年6月18日
发明者罗宾·哈奇森, 约翰·朱比莱奥, 达西·奥布莱恩 申请人:计算机联合思想公司