专利名称:用于管理安全事件的方法和装置的制作方法
技术领域:
本发明涉及用于管理安全事件的方法和装置。
背景技术:
安全事件管理(SEM)和安全信息管理(SIM)系统通常是配置成从多个安全事件源 收集、聚集、及关联安全事件数据的企业级服务器。在标准的SEM/SIM系统中,用户的客户 端计算机配置成定期向SEM/SIM服务器传送报告、日志、及其他安全有关的数据。SEM/SIM 服务器聚集和关联从客户端计算机和其他企业装置及源(例如网络路由器、防火墙、和服 务)收到的安全数据以生成安全事件报告。通常,SEM/SIM服务器是被动式的,并且不自动 响应安全事件。相反,安全人员能查看安全事件报告并采取适当的动作。历史上,企业的安全防线关联于该企业的物理防线(例如,企业位于其中的建 筑),因为大部分的计算装置是固定的。然而,随着计算装置不断变得更加移动,企业安全防 线正在扩展或者在某些情况下正完全消失。因此,处于中心的安全系统,例如传统的SEM/ SIM服务器,尽力维护企业作为整体之上的安全并且尤其是大量的移动计算装置之上的安 全。
发明内容
本发明提供一种方法,包括在移动计算装置上建立安全事件管理器;用所述安 全事件管理器检索安全策略数据,所述安全策略数据定义用于确定安全事件的发生的安全 事件规则的集合;用所述安全事件管理器检索安全事件数据,所述安全事件数据从所述移 动计算装置的至少一个安全事件源生成;基于所述安全事件数据和所述安全策略数据,用 所述安全事件管理器来确定安全事件的发生;以及用所述安全事件管理器来响应所述安全 事件。本发明还提供一种移动计算装置,包括安全事件管理器;处理器;以及存储器装 置,其中已存储多个指令,所述指令在由所述处理器执行时,使所述安全事件管理器接收 从所述移动计算装置的多个安全事件源生成的安全事件数据;基于安全策略来关联所述安 全事件数据以确定安全事件的发生,所述安全策略存储于所述移动计算装置上并定义用于 确定安全事件的发生的安全事件规则的集合;并且基于所述安全策略来响应所述安全事 件。本发明还提供一种有形的机器可读媒体,包括多个指令,所述指令响应于被执行 而导致计算装置建立安全事件管理器;用所述安全事件管理器来接收安全事件数据,所 述安全事件数据从所述计算装置的多个安全事件源来生成;使用所述安全事件管理器来规 范所述安全事件数据,以生成规范的安全事件数据,所规范的安全事件数据具有预定数据 格式;使用所述安全事件管理器来聚集所规范的安全事件数据,以生成聚集的安全事件数 据,所聚集的安全事件数据汇总所规范的安全事件数据;并且使用所述安全事件管理器,基 于预定的安全策略来关联所聚集的安全事件数据,以确定是否已经发生安全事件。
本文所述的本发明作为示例而非作为附图中的限制而示出。为了图示的简明和清 晰,图中示出的要素不一定按比例绘制。例如,为了清晰,某些要素的尺寸可能相对其他要 素被夸大。此外,在认为合适之处,引用标号已经在图之间重复以指示对应或类似的要素。图1是用于管理移动计算装置上生成的安全事件的移动计算装置的一个实施例 的简化框图;图2是图1的移动计算装置的软件环境的简化框图;图3是图1的移动计算装置执行的用于管理安全事件的方法的一个实施例的简化 流程图;以及图4是图3的方法中使用的用于分析安全事件数据的方法的一个实施例的简化流 程图。
具体实施例方式虽然本公开的概念易于想到各种修改和备用形式,但其具体示范实施例已通过图 中示例来示出并且将在本文详细描述。然而,应该理解,无意将本公开的概念限制为公开的 的特定形式,正相反,本发明要涵盖落入如所附权利要求所定义的本发明精神和范围内的 所有的修改、等同和备选。在下面的描述中,为提供本公开的更透彻理解,可能陈述大量具体细节,例如逻辑 实现、操作码、指定操作数的部件、资源分区/共享/复制实现、系统组件的类型和相互关 系、逻辑分区/集成选择。然而,将领会到,没有此类具体细节,本公开的实施例也可以由本 领域技术人员来实行。在其他情况下,控制结构,门级电路和完整的软件指令序列未详细示 出,以免混淆本公开。本领域普通技术人员通过包括的描述将能够实现适当的功能性而无 需不恰当的实验。说明书中对“一个实施例”、“一实施例”、“一示范实施例”等等的引述指示所述实 施例可包括特定特征、结构或特性,但每个实施例可能不一定包括该特定特征、结构或特 性。而且,此类短语不一定指相同实施例。此外,当特定特征、结构或特性与连同某个实施 例来描述时,认为连同不论是否明确描述的其他实施例来实现此类特征、结构或特性是在 本领域技术人员的认知内。本公开的一些实施例可实现在硬件、固件、微码、中央处理单元(CPU)指令、软件、 或它们的任何组合中。实现在计算机系统中的本公开实施例可包括组件之间一个或多个基 于总线的互连和/或组件之间一个或多个点到点互连。本发明的实施例也可以实现为存储 在机器可读的有形媒体上的指令,其可由一个或多个处理器来读取并执行。机器可读的有 形媒体可包括用于在机器(例如,计算装置)可读的形式中存储或传送信息的任何有形机 制。例如,机器可读的有形媒体可包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储 媒体、光存储媒体、闪速存储器装置和其他有形媒体。现在参考图1,移动计算装置100配置成管理装置100上生成的安全事件,装置 100包括安全事件管理器(SEM) 102、处理器104、芯片组106和存储器108。计算装置100 可实施为能够执行本文所述功能的任何类型的便携式计算装置。例如,在一些实施例中,计算装置100实施为蜂窝电话、个人数据助理、手持式计算机、膝上型计算机、移动因特网装 置(MID)或其他基于计算机的移动装置。安全事件管理器102可实施为多个组件,包括硬件组件、固件组件、和软件组件, 它们在操作上交互以收集、规范、聚集、关联、并响应移动计算装置100上生成的安全事件, 如本文更详细讨论的。因此,安全事件管理器102可包括专用的硬件处理器和/或与装置 100的处理器104分离的其他电路。另外,安全事件管理器102可包括配置成在安全环境中 初始化或以其他方式“引导”安全事件管理器102的固件指令。在一些实施例中,安全事件 管理器102可包括或以其他方式在通信上耦合到与主存储器108分离的存储器(未显示), 以用于增加的安全性。处理器104说明性地实施为具有处理器核110的单核处理器。然而,在其他实施 例中,处理器104可实施为具有多个处理器核110的多核处理器。另外,计算装置110可包 括具有一个或多个处理器核110的附加处理器104。处理器104经由多个信号路径112在 通信上耦合到芯片组106。信号路径112可实施为能够促进处理器104和芯片组106之间 通信的任何类型的信号路径。例如,信号路径112可实施为任何数量的导线、印刷电路板迹 线、过孔、总线、介入装置(interveningdevice)和/或诸如此类。存储器108可实施为一个或多个存储器装置或者数据存储位置,包括例如动态随 机存取存储器装置(DRAM)、同步动态随机存取存储器装置(SDRAM)、双倍数据速率同步动 态随机存取存储器装置(DDR SDRAM)和/或其他易失性存储器装置。另外,虽然图1中仅 示出单个存储器装置108,但在其他实施例中,计算装置100可包括附加的存储器装置108。芯片组106可包括存储器控制器中心(MCH)或北桥、输入/输出控制器中心(ICH) 或南桥以及固件装置。在此类实施例中,固件装置可实施为用于存储基本输入/输出系统 (BIOS)数据和/或指令和/或其他信息的存储器存储装置。芯片组106经由多个信号路径 114在通信上耦合到存储器108。与信号路径112相似,信号路径114可实施为能够促进芯 片组106和存储器装置108之间通信的任何类型的信号路径,例如,诸如任何数量的总线路 径、印刷电路板迹线、导线、过孔、介入装置和/或其他互联。在其他实施例中,芯片组106可实施为平台控制器中心(PCH)。在此类实施例 中,存储器控制器中心(MCH)可结合于或以其他方式关联于处理器104。另外,在此类实 施例中,存储器108可经由多个信号路径116在通信上耦合到处理器104,而不是芯片组 106(即,平台控制器中心)。与信号路径112相似,信号路径116可实施为能够促进存储器 装置108和处理器104之间通信的任何类型的信号路径,例如,诸如任何数量的总线路径、 印刷电路板迹线、导线、过孔、介入装置和/或其他互联。另外,在还有的其他实施例中,计算装置100的两个或更多组件可一起结合在单 个集成电路中。例如,在一些实施例中,处理器104、存储器控制器中心(MCH)、输入/输出控 制器中心(ICH)、存储器108的部分和/或装置100的其他组件可结合在芯片上系统(SoC) 集成电路中。附加或者备选的是,此类组件的子集可一起结合在封装中系统(SiP)集成电 路或诸如此类中。因此,应领会到,计算装置100的特定物理布局不限于图1的说明性实施 例。在一些实施例中,计算装置100可包括数据存储装置118、一个或多个外围装置 120和通信电路122。在此类实施例中,芯片组106还经由信号路径124在通信上耦合到数据存储装置118、外围装置120、通信电路122和安全事件管理器102。同样,与信号路径112 类似,信号路径124可实施为能够促进芯片组106和数据存储装置118、外围装置120、通信 电路122和安全事件管理器102之间通信的任何类型的信号路径,例如,诸如任何数量的导 线、印刷电路板迹线、过孔、总线、介入装置和/或诸如此类。数据存储装置118可实施为配置用于短期或长期存储数据的任何数量和类型的 装置,例如,诸如存储器装置和电路,存储器卡,硬盘驱动器,固态驱动器或其他数据存储装 置。外围装置120可包括任何数量的外围装置,包括输入装置、输出装置和其他接口装置。 例如,外围装置120可包括移动计算装置100的显示屏和键盘。外围装置120中包括的特 定装置可取决于例如计算装置的预期使用。通信电路122可实施为用于启用移动计算装置100与一个或多个远程装置之间通 信的任何数量的装置和电路。例如,通信电路122可包括一个或多个有线或无线网络接口 以促进与企业安全事件管理(SEM)服务器180通过网络160的有线或无线通信。网络160 可实施为任何类型的有线和/或无线网络,例如局域网、广域网、公众可用的全球网络(例 如,因特网)或其他网络。另外,网络160可包括任何数量的附加装置以促进移动计算装置 100与企业安全事件管理服务器180之间的通信,例如路由器、交换器、介入计算机和诸如 此类。在一些实施例中,移动计算装置100还可包括一个或多个传感器130,其经由信号 路径132在通信上耦合到安全事件管理器102。与信号路径112类似,信号路径132可实 施为能够促进传感器130和安全事件管理器102之间通信的任何类型的信号路径。传感器 130可实施为任何类型的传感器或者传感器网络,配置成确定计算装置100本身的或者移 动计算装置100的用户的上下文的一个或多个参数。例如,传感器130可实施为任何数量 的用于确定用户的位置的位置传感器(例如,GPS传感器)、用于确定用户的生物计量数据 的生物计量传感器、温度传感器、高度传感器、射频识别(RFID)传送器和/或接收器、数据 扫描仪或阅读器、和/或配置成传感或以其他方式收集指示用户(或计算装置100本身) 的上下文的参数的数据的其他传感器和/或装置。此外,应领会到,计算装置100可包括图 1中为了描述的清晰性而未示出的其他组件、子组件和装置。企业SEM服务器180可实施为任何类型的企业级安全事件管理(SEM)系统、安全 信息管理(SIM)系统、或安全事件和信息管理(SEIM)系统。服务器180可包括一个或多个 计算机服务器机器,其配置成从远程客户端和/或其他安全事件源接收安全数据、聚集所 接收的安全数据、并关联安全数据以用于安全人员查看。企业SEM服务器180包括处理器182、存储器184和通信电路186。处理器182可 实施为单核或多核处理器。另外,企业SEM服务器180可包括具有一个或多个处理器核的 任何数量的附加处理器182。存储器184可实施为一个或多个存储器装置或数据存储位置, 包括例如动态随机存取存储器装置(DRAM)、同步动态随机存取存储器装置(SDRAM)、双倍 数据速率同步动态随机存取存储器装置(DDRSDRAM)和/或其他易失性存储器装置。虽然 图1中仅示出单个存储器装置184,但在其他实施例中,企业SEM服务器180可包括附加的 存储器装置184。通信电路186可类似于移动计算装置100的通信电路122,并且可实施为 用于启用企业SEM服务器180和移动计算装置100之间通过网络160的通信的任何数量的 装置和电路。此外,应领会到,企业安全事件管理服务器180可包括企业安全事件管理服务器中通常出现的其他组件、子组件和装置,它们为了描述的清晰性而未在图1中示出。现在参考图2,移动计算装置100包括本地安全事件管理器102以在移动计算装 置100本身上提供一定量的安全事件管理,而不要求与企业SEM服务器180进行通信。如 上所述,安全事件管理器102可实施为硬件、固件和/或软件模块和装置。安全事件管理器 102配置成收集或者以其他方式接收来自移动计算装置的一个或多个安全事件源200的安 全事件数据。安全事件源200可实施为生成安全事件数据的任何固件、软件或硬件。例如,安全 事件源200可实施为由移动计算装置100的一个或多个装置执行的固件202 (例如处理器 固件)、由外围装置执行的固件、或者由计算装置100的一个或多个组件执行的其他固件。 另外,安全事件源200可包括一个或多个操作系统204,其可生成安全事件数据,例如日志、 活动报告和/或诸如此类。安全事件源200可进一步包括在操作系统204上执行的软件应 用206。在其中移动计算装置100包括传感器130的实施例中,安全事件源200也可包括由 传感器130生成的传感器数据208。由安全事件源200生成的安全事件数据可实施为从其可确定安全事件发生的任 何类型的数据。例如,安全事件数据可包括事件日志、活动报告或日志、错误报告/日志和/ 或从一个或多个安全事件源200生成的其他数据。响应于从源200接收到安全事件数据, 安全事件管理器102配置成规范、聚集和关联安全事件数据以确定安全事件是否已发生, 如下面更详细讨论的。如果确定已发生安全事件,则安全事件管理器102可配置成主动响 应此类安全事件和/或经由移动计算装置100上的用户接口向用户提供信息。在该说明性实施例中,安全事件管理器102包括规范引擎210、聚集引擎212和关 联引擎214。引擎210、212、214的每个可实施为单独的固件或软件模块或者可结合在安全 事件管理器102的单个固件和/或软件模块中。如上所述,安全事件管理器102从安全事 件源200接收安全事件数据。规范引擎210配置成规范从安全事件源200接收的安全事件 数据。为此,规范引擎210将安全事件数据重新格式为通用或以其他方式预定的数据格式。 规范引擎210所使用的特定数据格式可基于安全事件管理器102的特定实现和/或其他准 则来确定。因为安全事件数据被重新格式化为通用格式,分析安全事件数据的效率和速度 可得到改进。聚集引擎212配置成聚集规范的安全事件数据以降低待分析的数据总量。以这种 方式,聚集引擎212汇总安全事件数据。例如,如果安全事件数据包括特定错误的1000个 单独实例,则聚集引擎212可配置成将此类安全事件数据表示为单个条目,其指示在分析 时间窗口内接收了特定类型的1000个错误。附加或者备选的是,聚集引擎212可配置成基 于数量阙值来表示安全事件数据,使得在上述示例中,1000个错误实例将表示为单个错误 实例,这个实例从特定错误的1000个实例来生成或定义为接收特定错误的1000个实例。关联引擎214配置成关联聚集的安全事件数据以确定安全事件的发生。为此,关 联引擎214可基于预定安全策略(其可存储在安全策略数据库220中)来关联安全事件数 据。安全策略定义用于从安全事件数据来识别安全事件的安全事件规则的集合。安全事 件规则可具有基于可用于确定安全事件的任何类型的准则(例如数量的、时间的、质量的、 组合的和/或其他准则)的任何格式。例如,一个安全事件规则可指示发生安全事件(如 果事件A和事件B发生在与彼此的预定时间时期内)。另一个安全事件规则可指示安全事件(如果事件C的数量达到预定阙值)。另外,另一个说明性安全事件规则可指示安全事 件(如果事件D曾经发生)。因此,安全策略可包括具有各种形式的任何数量的安全策略规 则,从其可确定安全事件的发生。在一些实施例中,关联引擎214配置成基于存储在移动计算装置100的上下文数 据库222中的上下文数据和安全策略来关联安全事件数据。上下文数据可包括任何类型的 数据,其定义或以其他方式来识别用户和/或移动计算装置100的一些上下文。例如,上下 文数据可定义移动计算装置100的位置、用户正在执行的活动、环境方面、用户的生物计量 数据、历史数据和/或其他上下文数据。此类上下文数据可具有不同程度的特异性。例如, 在一些实施例中,移动计算装置100的位置可定义为装置100处于其中的城市、装置100处 于其中的建筑或者装置100的全球定位系统(GPS)坐标。不管上下文数据的特定类型和 特异性,此类数据都可用于与安全策略一起来确定安全事件的发生和/或如何响应此类事 件,如下更详细讨论的。例如,事件A和事件B的发生可仅在移动计算装置100在特定位置 中(例如,在工作)时才定义安全事件。移动计算装置100还可包括高优先级数据224,其可存储于安全数据库或其他存 储器存储位置中。此类高优先级数据可实施为特别敏感的数据。为了对于高优先级数据提 供增加的安全性,安全事件管理器102可配置成在单独的安全虚拟容器中存储高优先级数 据。例如,高优先级数据可存储在安全存储器位置中。此类虚拟容器允许来往于移动计算 装置100传输敏感数据。在一些实施例中,安全事件管理器102可配置成与移动计算装置100上显示的用 户接口 230交互。例如,安全事件管理器102可基于安全事件数据向用户显示警告或更新。 另外,用户接口 230可用于请求用户输入。例如,用户接口 230可由用户用于更新存储于安 全策略数据库220中的安全策略和/或存储于上下文数据库222中的上下文数据。如上所述,在一些实施例中,移动计算装置100可与企业安全事件管理服务器180 通过网络160进行通信。企业安全事件管理服务器180包括企业安全事件管理器250,其 在一些实施例中可实施为标准企业级安全事件管理(SEM)模块、安全信息管理(SIM)模块 和/或安全事件和信息管理(SEIM)模块。企业安全事件管理器250配置成接收来自远程 计算装置(例如移动计算装置100)的安全事件数据。此类安全事件数据可存储在数据库 252中。在使用中,企业安全事件管理器250配置成聚集和关联从各种远程计算装置收到的 安全事件数据以用于安全人员查看。现在参考图3,用于管理移动计算装置100上生成的安全事件的方法300开始于框 302,在框302中,安全事件管理器102在装置100上启动。在一些实施例中,安全事件管理 器102在安全环境中建立。安全事件管理器102可在计算装置100通电时自动启动。备选 的是,在其他实施例中,移动计算装置100的用户可选择性地启动安全事件管理器102。另 外,在一些实施例中,在框302中,安全事件管理器102可配置成检索安全策略数据库220 中存储的安全策略和/或上下文数据库222中存储的上下文数据。在框304中,安全事件管理器102收集或者以其他方式接收由移动计算装置100 的一个或多个安全事件源200生成的安全事件数据。如上所述,安全事件数据可实施为从 其可确定发生安全事件的任何类型的数据。例如,安全事件数据可包括事件日志、活动报告 或日志、错误报告/日志和/或从一个或多个安全事件源200生成的其他数据。另外,在一些实施例中,在框306中,安全事件管理器102可监视和记录移动计算装置100的用户的活 动。此类活动日志可用于确保或监视企业的基于职责的访问控制(RBAC)。由安全事件管 理器102监视或记录的活动可包括计算装置100上执行的任何类型的活动,例如有关装置 100的应用和服务的使用信息。在框308中,安全事件管理器102确定计算装置100是否在企业环境之内。例如, 安全事件管理器102可确定装置100是否在企业的物理位置(例如,特定房间、建筑或区 域)之内。为此,安全事件管理器102可使用存储在上下文数据库222中的上下文数据。此 类确定的特异性可根据特定实现而变化。例如,在一些实施例中,在框308中,安全事件管 理器102配置成确定装置100是否在通信上耦合到企业安全事件管理服务器180,而不是物 理位置。如果在框308中安全事件管理器102确定移动计算装置100在企业环境之内,则 在框310中安全事件管理器102将安全事件数据传送到企业SEM服务器180。在一些实施 例中,在框310中,安全事件管理器102可将“原始”安全事件数据(即,如从安全事件源200 接收的安全事件数据)传送到服务器180。然而,在其他实施例中,在框310中,安全事件管 理器102可配置成将聚集的规范的安全事件数据传送到服务器180。另外,在框312中,安 全事件管理器102将任何活动日志或其他基于职责的访问控制(RBAC)数据传送到服务器 180。以这种方式,来自许多远程装置的其他信息和安全事件数据可由企业SEM服务器180 来分析。方法300随后循环回到框304,其中附加安全事件数据由安全事件管理器102接 收。参考回到框308,如果安全事件管理器102确定移动计算装置100不在企业环境之 内,则安全事件管理器102在框314中确定是否分析安全事件数据。安全事件管理器102 可确定是否基于定期基础(例如,每个小时分析数据)或基于一个或多个触发事件(例如, 接收到预定量的安全事件数据)来分析安全事件数据。此类触发事件可由例如存储在安全 策略数据库220中的安全策略来定义。备选的是,在其他实施例中,安全事件管理器102可 在基本上持续的基础上分析从安全事件源200接收的安全事件数据。在此类实施例中,框 314可跳过或者以其他方式不包括在方法300中。如果安全事件管理器确定要查看安全事件数据,则在框316中,安全事件管理器 102分析安全事件数据。为此,安全事件管理器102可执行用于分析安全事件数据的方法 400,如图4中示出的。方法400开始于框402,其中对安全事件数据进行规范。如上所述, 安全事件数据可由规范引擎210来规范,以将安全事件数据重新格式化为通用或者以其他 方式预定的数据格式。规范引擎210所使用的特定数据格式可基于安全事件管理器102的 特定实现和/或其他准则来确定。在框404中,安全事件管理器102的聚集引擎212聚集规范的安全事件数据以汇 总规范的安全事件数据,使得减少要分析的数据总量。聚集引擎212可使用任何合适的方 法(例如,如上面关于图2讨论的基于数量阙值的或诸如此类的那些方法)来聚集安全事 件数据。应领会到,虽然规范和聚集过程实施在方法300的框316中安全事件数据的分析 中,但在其他实施例中,此类规范和聚集过程可在方法300的其他过程中执行。例如,在一 些实施例中,安全事件数据在由安全事件管理器102接收时进行规范和聚集(定期或基于 预定的触发事件)。
11
现在参考方法400的框406,安全事件管理器102的关联引擎214随后关联聚集的 安全事件数据以确定安全事件的发生。如上所述,关联引擎214可基于存储在安全策略数 据库220中的安全策略来关联安全事件数据。另外,在一些实施例中,在框408中,关联引 擎214配置成基于移动计算装置100的上下文数据库222中存储的上下文数据和安全策略 来关联安全事件数据。因此,安全事件管理器102可配置成从上下文数据库222检索上下 文数据和使用此类数据(连同安全策略的安全事件规则)来关联安全事件数据以由此确定 是否已经发生安全事件。在一些实施例中,在框410中,安全事件管理器102可配置成提示用户或/企业 SEM服务器180以获得关于安全事件数据的附加信息。此类附加信息可用于进一步确定是 否已经发生安全事件。例如,如果不断地在一天的特定时间接收特定事件,则安全事件管理 器102可提示用户确定此类事件是否是安全威胁或是否应被允许。另外,安全事件管理器 102可与服务器180通信以获得类似或附加的信息。在框412中,安全事件管理器102可配置成基于框410中接收的附加信息来更新 安全策略。例如,如果用户确定未知事件不是安全威胁,则可更新安全策略以在该事件在一 天的特定时间发生时忽略它(但是,如果该事件在一天的不同时间发生,则将其归类为安 全事件)。以这种方式,安全事件数据的关联和安全策略可以随时间过去而修改以改进移动 计算装置100的安全性。现在参考回到图3的方法300,在框316中分析安全事件数据之后,安全事件管理 器102在框318中确定是否已经发生安全事件。此类确定基于规范、聚集和关联从安全事件 源200接收的安全事件数据,如上所讨论的。如果没有安全事件发生,则方法300循环回到 框304,其中接收来自安全事件源的附加的安全事件数据。然而,如果安全事件管理器确定 安全事件已经发生,则安全事件管理器102在框320中响应该安全事件。安全事件管理器 102可执行一个或多个动作以响应确定安全事件已经发生,包括例如忽略安全事件、改变移 动计算装置100的连接性状态、修改对软件应用的访问、修改移动计算装置100的数据过滤 器、拒绝对数据(例如高优先级数据224)的访问、重新引导移动计算装置100、关闭移动计 算装置100、隔离移动计算装置100上正在执行的软件应用或服务、和/或任何一个或多个 附加动作。根据响应安全事件所采取的特定动作,方法300可随后循环回到框304,其中接 收来自安全事件源200的附加的安全事件数据。虽然本公开已在图和上述描述中详细示出和描述,但此类示出和描述在性质上要 视为示范的而不是限制性的,理解到,已示出和描述仅说明性的实施例,并且在本公开的精 神内的所有改变和修改期望被保护。
权利要求
1.一种方法,包括在移动计算装置上建立安全事件管理器;用所述安全事件管理器检索安全策略数据,所述安全策略数据定义用于确定安全事件 的发生的安全事件规则的集合;用所述安全事件管理器检索安全事件数据,所述安全事件数据从所述移动计算装置的 至少一个安全事件源生成;基于所述安全事件数据和所述安全策略数据,用所述安全事件管理器来确定安全事件 的发生;以及用所述安全事件管理器来响应所述安全事件。
2.根据权利要求1所述的方法,其中建立所述安全事件管理器包括在安全引导环境中 建立所述安全事件管理器。
3.根据权利要求1所述的方法,其中接收安全事件数据包括接收从所述移动计算装置 的多个安全事件源所生成的安全事件数据。
4.根据权利要求1所述的方法,其中接收所述安全事件数据包括接收从所述移动计算 装置的固件、所述移动计算装置的操作系统、及所述移动计算装置上执行的软件应用的至 少一个所生成的安全事件数据。
5.根据权利要求1所述的方法,其中确定所述安全事件的发生包括将所述安全事件数 据规范为预定数据格式。
6.根据权利要求1所述的方法,其中确定所述安全事件的发生包括聚集所述安全事件 数据以汇总所述安全事件数据。
7.根据权利要求1所述的方法,其中确定所述安全事件的发生包括关联所述安全事件 数据以基于所述安全策略数据来确定安全事件的发生。
8.根据权利要求7所述的方法,其中确定所述安全事件的发生包括关联所述安全事件 数据以基于所述安全策略和基于与所述移动计算装置关联的上下文数据来确定安全事件 的发生。
9.根据权利要求8所述的方法,其中所述上下文数据包括指示所述移动计算装置的用 户的位置、所述用户的活动、所述用户位于其中的环境的方面、与所述用户有关的生物计量 数据的至少一个的数据。
10.根据权利要求1所述的方法,其中确定所述安全事件的发生包括规范所述安全事件数据以生成规范的安全事件数据,所规范的安全事件数据具有预定 数据格式;聚集所规范的安全事件数据以生成聚集的安全事件数据,所聚集的安全事件数据汇总 所规范的安全事件数据;并且关联所聚集的安全事件数据以基于所述安全策略数据来确定安全事件的发生。
11.根据权利要求1所述的方法,进一步包括用所述安全事件管理器从所述移动计算装置上存储的上下文数据库来检索上下文数据,其中确定所述安全事件的发生包括基于所述安全事件数据和所述上下文数据来确定 安全事件的发生。
12.根据权利要求1所述的方法,其中响应所述安全事件包括在所述移动计算装置上 执行至少一个以下动作改变所述移动计算装置的连接性状态、修改对所述移动计算装置 上软件应用的访问、修改所述安全事件管理器的事件数据过滤器、拒绝对数据的访问、重新 引导所述移动计算装置、修改所述移动计算装置的功率状态以及隔离所述移动计算装置上 执行的软件应用或服务。
13.根据权利要求1所述的方法,进一步包括接收从所述移动计算装置的传感器生成的传感器数据;并且 用所述传感器数据来更新存储在所述移动计算装置上的上下文数据库。
14.根据权利要求1所述的方法,进一步包括在所述移动计算装置上显示用户接口以接收用户输入数据;并且 基于所述用户输入数据来更新所述安全策略数据。
15.根据权利要求1所述的方法,进一步包括 与企业安全事件管理器服务器建立网络通信连接;并且将所述安全事件数据从所述移动计算装置传送到所述企业安全事件管理器服务器。
16.一种移动计算装置,包括 安全事件管理器;处理器;以及存储器装置,其中已存储多个指令,所述指令在由所述处理器执行时,使所述安全事件管理器接收从所述移动计算装置的多个安全事件源生成的安全事件数据; 基于安全策略来关联所述安全事件数据以确定安全事件的发生,所述安全策略存储于 所述移动计算装置上并定义用于确定安全事件的发生的安全事件规则的集合;并且 基于所述安全策略来响应所述安全事件。
17.根据权利要求16所述的移动计算装置,其中关联所述安全事件数据包括响应所述 安全事件数据与所述安全策略的至少一个安全事件规则具有预定关系来确定安全事件的 发生。
18.根据权利要求16所述的移动计算装置,其中所述多个指令进一步使所述安全事情管理器将所述安全事件数据规范成预定数据格式;并且 聚集所述安全事件数据以汇总所述安全事件数据。
19.根据权利要求16所述的移动计算装置,其中所述多个指令进一步使所述安全事件管理器从所述移动计算装置上存储的上下文数据库来检索与所述移动计算装置的用户有关 的上下文数据,其中关联所述安全事件数据包括基于安全策略和所述上下文数据来关联所述安全事 件数据。
20.根据权利要求16所述的移动计算装置,进一步包括传感器并且其中所述多个指令 进一步使所述安全事件管理器接收从所述传感器生成的传感器数据,并且用所述传感器数据来更新所述移动计算装置上存储的上下文数据库。
21.根据权利要求16所述的移动计算装置,其中所述多个指令进一步使所述安全事件管理器与企业安全事件管理器服务器建立网络通信连接,并且将所述安全事件数据从所述移动计算装置传送到所述企业安全事件管理器服务器。
22.—种有形的机器可读媒体,包括多个指令,所述指令响应于被执行而导致计算装置建立安全事件管理器;用所述安全事件管理器来接收安全事件数据,所述安全事件数据从所述计算装置的多 个安全事件源来生成;使用所述安全事件管理器来规范所述安全事件数据,以生成规范的安全事件数据,所 规范的安全事件数据具有预定数据格式;使用所述安全事件管理器来聚集所规范的安全事件数据,以生成聚集的安全事件数 据,所聚集的安全事件数据汇总所规范的安全事件数据;并且使用所述安全事件管理器,基于预定的安全策略来关联所聚集的安全事件数据,以确 定是否已经发生安全事件。
23.根据权利要求22所述的有形的机器可读媒体,其中关联所聚集的安全事件数据包 括确定所述安全事件数据是否具有与所述预定安全策略所定义的至少一个安全事件规则 的预定关系。
24.根据权利要求22所述的有形的机器可读媒体,其中所述多个指令进一步导致所述 计算装置基于所述预定安全策略来响应安全事件。
全文摘要
本发明名称为“用于管理安全事件的方法和装置”。用于管理安全事件的方法和装置包括在移动计算装置上建立安全事件管理器。安全事件管理器可实施为软件和/或硬件组件。安全事件管理器从移动计算装置的多个安全事件源接收安全事件数据,并基于安全策略来关联安全事件数据以确定是否已经发生安全事件。安全事件管理器基于安全策略来响应安全事件。
文档编号G06F21/00GK102110211SQ20101062514
公开日2011年6月29日 申请日期2010年12月24日 优先权日2009年12月26日
发明者A·D·罗斯, D·M·摩根, J·S·巴卡, S·P·珀塞尔, S·艾西, T·M·科伦伯格 申请人:英特尔公司