专利名称:加强通信安全策略的方法和系统的制作方法
技术领域:
本发明涉及计算机网络的安全管理。更具体地说,本发明涉及在计算机网络的工作站中防止下载和执行不希望的可执行对象。
背景技术:
因特网在它几年前创建以来,在其内容和所用技术两方面都得到了长足的发展。在因特网的早期,站点中只包含文字,然后在稍后时间里又引入了图形。随着因特网的发展,开发了许多压缩标准,诸如声音和图象文件的压缩标准,和它们一起又开发了用来重现它们的各种程序(称之为“重放程序”)。最初,这些文件只是在用户的请求下才下载到他们的工作站中,并在从用户发出的特定命令之后才由相应的重放程序提取它们。
随着万维网的自然的发展过程,当开始要寻找一种能显示更加优美、交互而且有活动画面的网页的方法时,Sun(太阳)微系统公司开发了Java-它是这样一种语言,即可以让网站主写出一个程序,即各种命令的列表-网络可执行程序-这个程序可以在用户不知情的情况下下载到它的工作站中并由他工作站中的浏览器执行。这种可执行程序用于,例如,在网络冲浪者的屏幕上提供活动相片和其它图形。这种可执行程序具有接触到用户工作站资源的方法,这导致很大的安全性问题。虽然在Java语言中规定了若干个安全级别,但很快就发现了在这种语言中有巨大的安全漏洞。
在Java开发出来以后,微软开发了ActiveX,这是另外一种网络可执行程序的格式,它也可以下载到工作站。ActiveX也具有同样性质的安全问题。
因特网上充满了各种“网络可执行程序”,它们可以在用户考虑过后或不知情的情况下下载到单位的工作站中去。这些代码一般不包含有害的功能。尽管通常是安全的,但它们仍然不能满足单位所要求的安全策略。
一旦执行时,这些代码可能会阻塞网络,对本地数据库、工作站和服务器造成不可恢复的伤害,或者导致从服务器/工作站中未经授权而检索信息。这样的单元可能出现在Java应用小程序、ActiveX部件、DLL和其它目标代码中,而且它们的应用正以无可比拟的速度在增加。这些小程序中的大多数是在未经请求和不可控制的情况下下载到单位中去的。企业无法知道它们的存在和执行,而且没有现成的系统来早期检测和防止这些代码的执行。
这种安全问题部分地由浏览器制造商加以解决,它们让用户不能使用可执行程序。这当然不是一个合理的办法,因为所有的电子商务和广告是以使用可执行程序为基础的。一旦这样的可执行程序可以接触企业的服务器、数据库和其它工作站时,这种安全性问题就更加严重。但是,迄今为止技术上还不能提供全面的解决方法,它们应该是安全的同时又足够快以便有实际应用价值。销售给因特网用户的诸如“防火墙”、“Finjan”这类系统只提供部分的解决方案,而且它们还难以安装和更新。
在这里被引用以供参考的、由同一申请人所提交的两个共同待审查的专利申请中,描述了防止不希望的可执行对象透过我们所工作的局域网/广域网而最终进入我们的工作站和服务器的方法和装置,这两个申请中的一个是1997年3月10日提交的IL 120420,另一个是1997年9月22日提交的IL 121815。但是,尽管前面两个以色列专利申请中所描述的系统是安全和便于使用的,但它们存在一个缺点,即当考虑到一些很大的单位时,它们要求每一个别用户(或工作站)要被控制以保证他要按照所要求的安全策略而工作,或者换句话说,他要在工作站中装入合适的安全性数据,或者它们要求对安全策略的控制应在中央一级或网关级别上而不是在工作站的级别上进行。这样,在大单位中由于新的用户不断增加,如果安全代理是要装在单独的工作站中时,对安全策略的维扩监督就需要不断地投入管理力量。将会理解,把安全代理安装在单个的各工作站中可提供许多优点,尤其是在考虑到运行速度和中央设备的成本时以及需要加强集中的安全控制时。
发明概要本发明的一个目的是提供一种方法和装置以便对单位中的每一个别的成员能强化本单位的安全策略,从而有选择地防止在计算机中下载和执行不希望的可执行对象,它避免了这样一种需要,就是需要对单位中的各个人员的活动进行连续不断的中央管理和监控,同时它允许对单位中的各个工作站实现一部分的强化安全策略的过程。
本发明的另一个目的是提供这样一种系统,它易于安装并且它可以快捷方便地更新。
本发明的进一步的目的是提供这样一种方法,它可以用于大量的网关、局域网和工作站中。
本发明还有一个目的是提供这样一种安全管理系统,它独立于物理的基础设施和网络结构之外。
本发明还包括一种利用本发明的方法的计算机系统。
本发明涉及一种加强安全策略的方法,用于有选择地防止在单个的工作站中下载和执行不希望的可执行对象,它包括如下步骤(1)提供一种适合于安装在单个工作站中的安全代理(agent),所说的安全代理备有用于在由工作站经过网关向服务器发送的一个或多个数据分组中引入至少一个标记的装置,所说的至少一个标记表明在发送的工作站中安装着一种安全代理;(2)提供在位于网络中或耦合于网关的这样一种装置,用于分析从发送的工作站收到的、用来起动对远端服务器的通信的第一个或多个数据分组,以确定所说的第一个或多个数据分组是否包含了至少一个表明在发送的工作站中安装了适当的安全代理的标记;(3)如果在所说的第一个或多个数据分组中检测到至少有一个表明在发送的工作站中安装了适当的安全代理的标记时,就从所说的第一个或多个数据分组中删去所说的标记,并允许所说的数据分组发送到它们的目的地;以及(4)如果在所说的第一个或多个数据分组中没有检测到表明在发送的工作站中安装了适当的安全代理的标记时,就要防止从与工作站相连接的服务器中所收到的任何数据分组被发送到工作站去。
有关安全策略、它们在单位内各种不同网关中的分配、以及对收到的数据的分析等细节都在这里所说的同一申请人的共同待审查的以色列专利申请中作了说明,它们的说明在这里被引用以供参考,因此,为了简明起见,这里将不作详细讨论。
按照本发明的一个优选实施例,本方法还包括这样的步骤,即当工作站发送的数据分组中并不包含表明在其中已安装了适当的安全代理的标记时,就强制该工作站要安装一个适当的安全代理。在这种方式下,安全策略是以实时方式强制实施的。此外,如将在下面讨论的,如果所安装的安全代理是过时的,而且在网关处收到的标记信息表明了这样的事实,则可以对用户强制地安装一个更新后的安全代理,或者强制更新其安全策略信息。这样的安装(如在这里所说的,它也包括更新已经时的安全策略数据)可以由系统自动实现,或者也可以在工作站用户的配合下交互地进行。
按照本发明的一个优选实施例,当需要安装安全代理时,就由网关或连接到工作站上的装置向工作站返回一个数据分组,其中含有包括安全代理所用的安装信息的HTML PAGE(超级文本标记语言页面),例如采用电子邮件及文件附件的形式。
此外,按照本发明的一个优选实施例,把工作站和/或用户的身份(即识别符)与分配给它/他的安全级别相比较,并选择要安装的适当的安全代理和/或安全策略数据。
本发明还包括一种系统,用来加强安全策略以便有选择地防止在单个的工作站中下载和执行不希望的可执行对象,它包括A.适合于安装在单个的工作站中的安全代理,所说的安全代理备有用于在由工作站经过网关向服务器发送的一个或多个数据分组中引入至少一个标记的装置,所说的至少一个标记表明在发送的工作站中安装着一种安全代理;B.用于控制多个工作站对因特网或内部网的通信业务量的网关装置;C.在所说网关中提供的或与该网关相耦合的检测装置,用于分析从发送的工作站收到的、用于起动对远端服务器的通信的第一个或多个数据分组,以便确定所说的第一个或多个数据分组是否含有至少一个表明在发送的工作站中安装了适当的安全代理的标记;D.用于从所说的第一个或多个数据分组中删去所说标记的装置,如果所说的检测装置在所说的第一个或多个数据分组中检测到至少一个表明在发送的工作站中安装了适当的安全代理的标记的话,该装置还允许所说的数据分组被发送到它们的目的地;以及E.用于在所说的第一个或多个数据分组中所说的检测装置没有检测到表明在发送的工作站中安装了适当的安全代理的标记的情况下,防止从与工作站相连接的服务器中所收到的任何数据分组被发送到工作站去的装置。
按照本发明的一个优选实施例,本系统还包括用于允许或强制在工作站上安装适当的安全代理的装置。这样的装置可以包括强迫工作站安装适当的安全代理的装置,这种情况发生在该工作站发送的数据分组中没有包含表明其中已安装了适当的安全代理的标记的情况下,这种装置可以是用于在工作站中自动安装安全代理的装置,或者也可以是用于在工作站用户配合下交互地实现安装的装置。
按照本发明的一个优选实施例,提供了用于向工作站返回一个含有由安全代理所用的安装信息所构成的HTML PAGE的分组的装置。这样,按照本发明的这个特定的实施例,工作站经过一个由网关向它提供的链路连接到远端的一个服务器,该服务器在安装过程中对工作站进行指导并且提供所需的信息和软件。在本发明的一个优选实施例中,首先要把工作站和/或用户的身份(识别符)与分配给它/他的安全级别进行比较,并且选择好要安装在工作站中的适当的安全代理和安全策略数据之后才实现安装。
本发明的其它优点和目的将随着说明的进行而变得更明确。
附图简述
图1是按照本发明的一个优选实施例的安全策略强化过程的原理性表示;以及图2是按照本发明的一个优选实施例进一步说明了系统中的各单元和它们之间的关系。
优选实施例详述本发明的方法和IL 120420的用于有选择地防止在计算机中下载和执行不希望的可执行对象的系统一起工作,简单地说,它按照下列各步骤工作(a)提供一个或多个控制中心,每一个都连接到位于局域网和外部计算机通信网之间的一个或多个网关上;(b)提供连接到每个所说的网关上的这样一种装置,用来检测来到所说网关上的可执行对象,分析每个所说的可执行对象的标题,以及确定可执行对象需要使用的计算机资源;
(c)提供连接到每个所说的网关上的这样一种装置,用于存储用户的安全策略,它表示用户允许或不允许一个可执行对象在局域网中所使用的资源或资源组合,其中该安全策略是从每一个所说的一个或多个控制中心收到的和/或存放在其中的;(d)当在网关中检测到一个可执行对象时1)分析所说的可执行对象的标题;2)确定可执行对象需要使用的计算机资源;3)将可执行对象需要使用的计算机资源和安全策略相比较,以及(ⅰ)如果可执行对象需要使用的计算机资源包括在安全策略所允许使用的清单内,则允许可执行对象通过网关并到达起动其下载的计算机;和(ⅱ)如果可执行对象需要使用的计算机资源包括在安全策略所禁止使用的清单内,则防止可执行对象通过网关,从而防止它达到起动其下载的计算机。
控制中心(CC)可以是一个中央控制单元,例如一台PC机或别的计算机,它连接到多个网关,并且它更新含有相关数据的例如安全策略的存储器装置。如将通过下面的说明而理解的那样,一旦CC被更新,例如对安全策略增加了一个新的限制,所有的网关将立即被更新。使用CC来控制网关中各安全单元的工作可以减轻在每次进行策略修改时都要更新每个网关的需要,而这种需要在现有技术中是存在的。
LAN(局域网)可以是(但并不局限于)例如位于一个办公室或建筑物中的计算机的网络。LAN一般是通过一个或多个网关连接到外部的通信网上的,例如万维网或更加局限的LAN,例如客户的或供应商的网。单位越大,所用的网关数量就越多,以便把通信保持在合理的速度上。
一般说来,LAN也可以由在地理上位置相近或相互远离的多个更小的LAN组成,但是即使在同一单位内建立了若干小型的LAN,各个不同部门间的安全要求也可能各不相同,而且还有必要保持高度的安全级别,包括即使在同一单位内也要防止可执行程序从一个部门迁移到另一个部门。
连接到每个所说的网关上用于检测到达所说网关上的可执行对象、分析每个可执行对象的标题、以及确定可执行对象需要使用的计算机资源的装置可以是有许多不同类型的。一般说来,可执行对象是根据通信协议(诸如TCP/IP、NETBUI、IPX/SPX和别的协议)和对象传输协议(诸如SMTP、HTTP、FTP、NMTP、IMAP等)对通信线路进行监听而被“捕获”和分析的。与通信线路的连接和抽取可执行对象的标题是熟悉本技术的人员所了解的步骤,并且它们可以利用常规的编程来实现,因此,为了简明起见,它们不再在这里作详细说明。
一旦对可执行对象(E0)的标题作了分析之后,对E0需要使用的计算机资源与安全策略的比较就容易实现,例如,可以把它们和由CC向网关所提供的表示安全策略的一个查阅表相比较。这种比较也可以对照存放在CC中的数据来实现,而且在这种情况下在网关中就不一定需要特定的存储器装置和比较装置了。不过,速度和性能方面的考虑经常决定了这样的操作还是要在网关本身内实现。
网关必须安装在单位内的每个因特网服务器上。它包含一个小型的数据库,其中含有该网关的所有相关的操作信息。网关“监听”在企业和因特网之间传输的数据。它知道一个对象什么时候到达LAN,它对其进行分析并把它和安全策略作比较以确定应采取什么行动。
按照IL 120420的一个优选实施例,如上所述,如果可执行对象需要使用的计算机资源是包括在安全策略所允许使用的资源清单之内,则系统将不采取任何步骤来防止可执行对象通过网络并到达引起它下载的计算机上。但是,如果可执行对象需要使用的计算机资源是包括在安全策略所禁止使用的资源清单中时,就要采取步骤防止可执行对象通过网关。这样的步骤可以包括,例如,对可执行程序重选路由以使它到达网关之外的目的地、取消或损坏其中的一部分以使它不能工作,等等。
本方法并不局限于任何特定的E0。E0的说明性的例子包括尤其是Java应用小程序、ActiveX、OCX、Win32可执行程序、DLL、以及类似的可执行程序。不过,熟悉该技术的人都知道,EO是在不断地发展的,而且EO的实际性质并不具有关键的重要意义。
本系统的许多特性和优点在IL 120420的说明书中有详细的描述,如上所述,它在这里作为参考而被引用。
按照本发明提供了一个过程,根据这个过程,每当用户试图通过网关接到一台服务器时,他就必须安装一个符合其单位的安全策略的安全代理。这个网关可以是单位内现有多个网关中的任何一个。
系统按下述方式工作每当用户企图连接到服务器以便接入到因特网上的或内部网上的目标服务器时,就实现一个“连接过程”,在此过程中从工作站送出一个第一分组到目标服务器,这个分组并不包含数据。按照本发明,在所说的第一分组中引入了一个专有的信息,这个专有信息在以后将称之为“标记信息”,这个标记信息表明在试图进行连接的工作站上存在这种代理。换句话说,每当用户起动一次通信过程时,如果在工作站上存在着安全代理,所说的安全代理将修改这个第一分组以便引入这个标记信息,它表明工作站上已安装了这种代理这一事实。如果在工作站上没有安装安全代理,那么在连接过程中工作站发出的第一分组将是空的,或者至少没有包含任何能表明工作站上已经存在适当的安全代理的标记信息。网关是负责实施单位的安全策略的,利用这种标记信息,网关将受到这一事实的警告,那就是没有安装安全代理的一台工作站正试图连接到单位以外的服务器上,或者连接到该单位的某一分部以外的服务器上,而这时就需要实施强制的安全策略。
这一过程被进一步由图1所说明,在该图中,网关的操作被原理性地作了说明。接收所有进入和外出数据分组的网关收到由一给定的工作站送出的第一分组并对它进行分析。如上所规定的,网关检查第一分组是否包含标记数据。如果网关发现了适当的标记数据,则网关在让它通过以便到达目的地之前先从分组中去除该标记数据以免干扰在接收端对该分组所做的任何分析。然后网关允许工作站连接到它的目的地。
如果网关在第一分组中没有检测到标记数据,则它就不让工作站连接到它的目的地,这时网关不让它连接到它所希望的目的地,而是向工作站返回一个连到远端服务器上的一个链路,这个服务器包含了对该特定的服务器实行一次强制的安装安全代理所需要的软件。强制安装一个软件,例如安全代理,可以用多种方法实现,而这对熟悉的人员来说是很明显的,为了简明起见,这里就不再作详细说明,这样的安装可以使用以Java语言写成的程序来实现,也可以用任何别的方式来实现,甚至于可以和用户以交互方式来实现,这时要告诉用户,除非他要执行特定的所要求的操作以导致在他的工作站上安装所需的安全代理,否则他将不允许经过网关进行连接。
按照本发明的一个优选实施例,用户所连接的服务器将执行对用户的工作站的安全代理的安装或者用户将遵循从该服务器提交给他的指令来实现安装,对服务器的这种连接是这样实现的,即允许用户发送一个空的分组到网关(也就是并不包含标记信息的该第一分组)以到达目的服务器,当从目的服务器收到一个发给用户的响应分组时,网关就把它替换成含有一个HTTP PAGE(HTTP页面)的分组,该页面含有安装安全代理的信息。
当然,可以利用附加的步骤来得到同样的结果。例如,一种不太方便而且更加原始但却仍然有效的过程包括在网关按上面所说明的那样分析第一分组,然后仅仅向用户或安全管理人员发回一个通知,说明由于其中没有安装安全代理,所以他的工作站不允许通过网关进行连接。这样的通知可以包括从谁那里或者从何处可以得到安装安全代理所需的软件。虽然这是一个不太方便、冗长和耗时的过程,但对熟悉该技术的人员来说很明显,为了维持安全性和遵循单位的安全策略,它仍然和其它更先进的安装过程同样有效。
按照本发明的另一个优选实施例,网关或远距的服务器还实施对工作站和/或用户的身份的分析,以确定适用于他的安全策略。在应用不同安全策略的单位来说,这是重要的,例如在不同的部门间或者在同一部门的不同人员之间被赋予不同的安全策略。当然,如果整个单位使用统一的安全策略,则这一步骤是没有必要的。
现在看图2,这里示出了按照本发明的一个优选实施例的系统中的三种安全级别。方块“A”是管理应用块,它含有用于控制系统中所有安全操作的控制中心。控制中心连接到管理模块,例如策略管理者,其中含有系统对不同的网关或用户等的安全策略的数据,或者含有审计观测器,它允许操作人员观察实时方式下的系统操作,或者含有任何其它实用程序,这些程序是它希望在控制中心级别上运行的(在图上表示为“…”的方块)。
控制中心一方面连接到分配服务器,另一方面连接到一个或多个网关(为简单起见图中只示出了一个网关)。分配服务器是属于管理应用块的,它经过TCP/IP(或分组级别)的连接连到控制中心,它的功能是为工作在工作站级别的安全代理提供操作信息和数据。该代理(方块C)在逻辑上如所说的那样一方面连接到分配服务器,另一方面连接到网关,它具有网关级别的安全应用程序(方块B),这些应用程序管理在网关本身中实现安全操作,这在上面已经作了说明。
优选实施例的所有上述说明都是为了说明而提供的,它们并不用来以任何方式限制本发明,对本发明的所有限制都由权利要求来规定。本发明中可以实现许多修改。例如,可以提供许多不同的标记来表示在给定的工作站上安装了安全代理,可以在网关或者由网关或者由连接到网关的不同代理来实施不同类型的分析,并且可以提供许多不同的装置和方法来实施在工作站中安装安全代理,所有这些都不超出本发明的范围。
权利要求
1.加强安全策略的一种方法,用于有选择地防止在单个的工作站中下载和执行不希望的可执行对象,包括下列步骤(1)提供一种适合于安装在单个工作站中的安全代理,所说的安全代理备有用于在由工作站经过网关向服务器发送的一个或多个数据分组中引入至少一个标记的装置,所说的至少一个标记表明在发送的工作站中安装着一种安全代理;(2)提供位于网关中或耦合于网关的这样一种装置,用于分析从发送的工作站收到的、用来起动对远端服务器的通信的第一个或多个数据分组,以确定所说的第一个或多个数据分组是否包含了至少一个表明在发送的工作站中安装了适当的安全代理的标记;(3)如果在所说的第一个或多个数据分组中检测到至少有一个表明在发送的工作站中安装了适当的安全代理的标记时,就从所说的第一个或多个数据分组中删去所说的标记,并允许所说的数据分组发送到它们的目的地;以及(4)如果在所说的第一个或多个数据分组中没有检测到表明在发送的工作站中安装了适当的安全代理的标记时,就要防止从与工作站相连接的服务器中所收到的任何数据分组被发送到工作站去。
2.按照权利要求1的方法,其特征在于它还包括这一步骤,即在工作站发送的数据分组中并不包含表明在其中已安装了适当的安全代理的标记时,就强制该工作站要安装一个适当的安全代理。
3.按照权利要求2的方法,其特征在于安装是由系统自动实现的。
4.按照权利要求2的方法,其特征在于安装是在工作站用户的配合下以交互方式实现的。
5.按照权利要求2或3的方法,其特征在于由网关或由耦合到网关的装置所返回到工作站的分组中包含一个HTML PAGE(HTML页面),其中包括该安全代理的安装信息。
6.按照权利要求2到5的任何一项的方法,其特征在于还包括对工作站和/或用户的身份与分配给它/他的安全级别进行比较,并选择要安装在工作站中的适当的安全代理和安全策略的数据。
7.加强安全策略的一种系统,用于有选择地防止在单个的工作站中下载和执行不希望的可执行对象,包括A.适合于安装在单个的工作站中的安全代理,所说的安全代理备有用于在由工作站经过网关向服务器发送的一个或多个数据分组中引入至少一个标记的装置,所说的至少一个标记表明在发送的工作站中安装着一种安全代理;B.用于控制多个工作站对因特网或内部网的通信业务量的网关装置;C.在所说网关中提供的或与该网关相耦合的检测装置,用于分析从发送的工作站收到的、用于起动对远端服务器的通信的第一个或多个数据分组,以确定所说的第一个或多个数据分组是否含有至少一个表明在发送的工作站中安装了适当的安全代理的标记;D.用于从所说的第一个或多个数据分组中删去所说标记的装置,如果所说的检测装置在所说的第一个或多个数据分组中检测到至少一个表明在发送的工作站中安装了适当的安全代理的标志的话,该装置还允许所说的数据分组被发送到它们的目的地;以及E.用于在所说的第一个或多个数据分组中所说的检测装置没有检测到表明在发送的工作站中安装了适当的安全代理的标记的情况下,防止从与工作站相连接的服务器中所收到的任何数据分组被发送到工作站去的装置。
8.按照权利要求7的系统,其特征在于还包括用于允许或强制在工作站上安装适当的安全代理的装置。
9.按照权利要求8的系统,其特征在于还包括用于强迫工作站安装一个适当的安全代理的装置,该工作站发送了没有包含表明在其中安装了适当的安全代理的标记的数据分组。
10.按照权利要求8的系统,其特征在于它包括自动地在工作站上安装安全代理的装置。
11.按照权利要求8的系统,其特征在于它包括与工作站用户相配合以交互方式实现安装的装置。
12.按照权利要求7或8的系统,其特征在于它包括向工作站返回一个含有HTML PAGE的分组的装置,该HTML PAGE中含有该安全代理的安装信息。
13.按照权利要求8到12的任何一项的一种系统,其特征在于它还包括用于对工作站和/或用户的身份与分配给它/他的安全级别进行比较、并用于选择要安装在工作站中的合适的安全代理和安全策略数据的装置。
14.基本上如所说明和解释过的一种在单个的工作站中有选择地防止下载和执行不希望的可执行对象以加强安全策略的方法。
全文摘要
在单个工作站中有选择地防止下载和执行不希望的可执行对象的方法,包括下列各步:(1)提供适合安装于单个工作站的安全代理,该安全代理具有在由工作站经网关向服务器发送的一或多个数据分组中引入至少一个标记的装置,该至少一个标记表明发送工作站安装了安全代理;(2)提供位于或耦合于网关中的装置以分析从发送的工作站收到的第一或多个数据分组,确定该第一或多个数据分组是否包含至少一个表明发送的工作站安装了适当的安全代理的标记;(3)如在该第一或多个数据分组中检测到至少一个表明发送的工作站安装了适当的安全代理的标记时,从该第一或多个数据分组中删去该标记,并允许该数据分组发往其目的地;以及(4)如在该第一或多个数据分组中没有检测到表明发送工作站安装了适当的安全代理的标记时,就防止从与工作站相连的服务器中所收到的数据分组发送到工作站去。
文档编号G06F21/00GK1280733SQ98811601
公开日2001年1月17日 申请日期1998年2月23日 优先权日1997年11月27日
发明者D·埃尔格雷斯, A·乔斯佩 申请人:保安-7(软件)有限公司