对分布式应用的合规的以数据为中心的监测的制作方法
本发明涉及网络,并且更具体地,涉及对应用的合规(compliance)的以数据为中心的监测。
背景技术:
本章节旨在提供以下所公开的本发明的背景或上下文。这里的描述可以包括可以被追踪到但并非必然是之前已经被设想、实现或描述的概念。因此,除非这里另外明确指示,本章节中所述的内容不是本申请中的说明书的现有技术,并且不因为包括本章节而被承认为现有技术。下文在具体实施方式章节之后定义了可以在规范和/或附图中找到的缩写。
已有的合规监测系统关注it事件。比如,一种常见的监测系统为入侵检测,入侵检测是监测发生在计算机系统或网络中的事件并且对可能的事故(诸如计算机安全策略、可接受的使用策略或标准安全策略的违反或违反的逼近威胁)的标志而分析这些事件的过程。另一个示例是对入侵检测的日志分析,该日志分析是用于使用日志作为主要信息源来检测对特定环境的攻击的过程。
同时,法规合规要求关注数据保护和隐私。比如,健康保险携带和责任法案(healthinsuranceportabilityandaccountabilityact,hipaa)法规(regulation)影响医疗业中电子交换患者信息的数据保护和隐私。hipaa法规被建立以保护健康信息的完整性和安全性(包括保护信息免受未经授权的使用或公开)。对于hipaa,为了保护免受“未遂的或成功的未经授权的访问、使用、公开、修改或干扰系统操作”,安全管理过程必须存在。
其他诸如家庭教育权利和隐私法(familyeducationalrightsandprivacyact,ferpa)之类的法律和法规也需要为了合规要求而保护信息。这些合规要求当前通过关注于it事件来满足。
对于分布式系统,系统的一个组件(例如,保持密匙)上的it事件(诸如特权用户登录)可能影响系统的另一个组件(例如,保持加密数据,这些加密数据可以使用密匙来解密)上的数据的保护。仅关注于it事件的系统可能无法捕获这种关系,特别是因为特权用户登录可能不是将被认为是入侵或其他不安全网络访问的it事件,并且可能不存在将一个组件上的登录联系到另一个组件上的数据的任何内容。
技术实现要素:
该章节旨在包括示例而非旨在于是限制性的。
示例性实施例为一种用于以数据为中心的方式监测分布式应用的合规状态的方法。该方法包括:由计算机系统在包括分布式应用的分布式系统中访问信息技术事件的一个或多个日志(log)。分布式系统包括多个数据对象,并且分布式应用使用、处理或以其他方式访问多个数据对象中的一个或多个数据对象。信息技术事件涉及分布式应用并且涉及由分布式应用对数据对象中的一个或多个数据对象的访问。该方法包括:由计算机系统将信息技术事件与多个数据对象中的选定集合相关。该方法还包括:由计算机系统基于信息技术事件评估数据对象的选定集合的风险。评估风险至少使用在合规规则应用于系统中的数据对象时这些规则的排序和与数据对象的集合和信息技术事件对应的系统的漏洞得分。该方法包括:由计算机系统输出允许用户确定所评估的针对数据对象的选定集合的风险的信息。
在另一个示例性实施例中,公开了一种用于以数据为中心的方式监测分布式应用的合规状态的计算机系统。该计算机系统包括一个或多个存储器和一个或多个处理器,该一个或多个存储器包括计算机可读代码。计算机系统响应于由一个或多个处理器对计算机可读代码的执行来执行以下:在包括分布式应用的分布式系统中访问信息技术事件的一个或多个日志,其中分布式系统包括多个数据对象,并且分布式应用使用、处理或以其他方式访问多个数据对象中的一个或多个数据对象,并且其中信息技术事件涉及分布式应用并且涉及由分布式应用对数据对象中的一个或多个数据对象的访问;将信息技术事件与多个数据对象中的选定集合相关;基于信息技术事件评估数据对象的选定集合的风险,其中评估风险至少使用在合规规则应用于系统中的数据对象时这些规则的排序和与数据对象的集合和信息技术事件对应的系统的漏洞得分;并且输出允许用户确定所评估的数据对象的选定集合的风险的信息。
在又一个示例性实施例中,公开了一种用于确定合规规则的排序的方法。该方法包括以下:标识多个合规规则之间的依赖性,其中合规规则由一个或多个法规定义;将依赖性表示为具有节点和边的图,其中每个节点表示一条合规规则或一组合规规则,并且其中每条边为从第一节点至另一个节点的有向边,使得第一节点依赖于另一个节点;由计算机系统遍历该图并且使用递归关系和动态编程之一来计算每个节点的排序;以及由计算机系统输出每个节点的排序,其中每个节点为一条合规规则或一组合规规则的排序。
附图说明
图1图示了在示例性实施例中用于对应用的合规的以数据为中心的监测的示例系统;
图2a图示了根据示例性实施例的多层分布式应用的示例;
图2b描绘了根据实施例的云计算环境;
图2c描绘了根据实施例的抽象模型层;
图3是在示例性实施例中的用于对应用的合规的以数据为中心的监测的被呈现给用户的仪表板的示例;
图4(该图4包括图4a、图4b以及图4c)是用于对应用的合规的以数据为中心的监测的逻辑流程图并且图示了根据示例性实施例的示例性方法的操作、被实现在计算机可读存储器上的计算机程序指令的执行结果、由在硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件,其中图4a图示了用于对应用的合规的以数据为中心的监测的整体方法,图4b图示了用于日志分析的大数据的方法的示例,并且图4c图示了用于计算风险的方法的示例;
图5是在示例性实施例中用于显示并且更新用于对应用的合规的以数据为中心的监测的仪表板的逻辑流程图并且图示了根据示例性实施例的示例性方法的操作、被实现在计算机可读存储器上的计算机程序指令的执行结果、由在硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件;
图6是基于图4的描述的一部分观看图1的示例系统的一部分的另一种方式;
图7是在示例性实施例中用于合规排序的计算的逻辑流程图并且图示了根据示例性实施例的示例方法的操作、被实现在计算机可读存储器上的计算机程序指令的执行结果、由在硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件;
图8是hipaa合规依赖图的示例;
图9是在示例性实施例中用于对分布式应用的合规的以数据为中心的监测的逻辑流程图并且图示了根据示例性实施例的示例方法的操作、被实现在计算机可读存储器上的计算机程序指令的执行结果、由在硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件;以及
图10是在示例性实施例中用于确定合规规则的排序的逻辑流程图并且图示了根据示例性实施例的示例方法的操作、被实现在计算机可读存储器上的计算机程序指令的执行结果、由在硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件。
具体实施方式
词语“示例性”在这里用于意指“充当示例、实例或图示”。这里被描述为“示例性”的任何实施例不必然被认为比其他实施例优选或有利。在具体实施方式中描述的所有实施例是示例性实施例,这些示例性实施例被提供以使得本领域技术人员能够进行或使用本发明而并非用于限制权利要求所限定的本发明的范围。
然而,如上所述,仅关注it事件的系统可能无法捕获可能影响安全性的关系。为了修正这一点,如本文所描述的,公开了用于以数据为中心的合规监测的方法、系统以及计算机程序产品。这些方法、系统以及计算机程序产品根据法规合规的需要而弥补it事件与数据保护之间的隔阂,并且可以被认为是用于合规监测的“大数据”。术语“大数据”指的是如此大或如此复杂的数据集以至于传统数据处理应用不足以适用。
简言之,这里的技术针对例如法规合规从以it为中心的监测移至以数据为中心的监测。在示例性实施例中,it事件从系统中的一个或多个组件被转译成与一个或多个关联敏感数据项相关联的风险。考虑以下示例。特权用户登录正处理具有uuid为id1的基因组数据项的vm中。该事件有助于增大与具有uuid为id1的数据项相关联的风险。这个风险是该访问可能引起对合规法规的违反而且可能导致数据外泄的风险。
在其他示例性实施例中,基于例如所分派的it事件、法规合规规则的排序、数据项的敏感度以及组件漏洞来动态地评估每个数据项的风险。这种系统然后可以为如以下更详细描述的用于使用“大数据”的以数据为中心的监测仪表板的系统。在向可以用于这种监测的示例性系统提供介绍之后,提供这里为对应用的合规的以数据为中心的监测提供的示例性技术的更详细的描述。
现在转向图1,该图图示了在示例性实施例中用于对应用的合规的以数据为中心的监测的示例系统100。图1图示了一个可能的示例并且存在许多其他示例,诸如具有网站服务器、应用服务器以及云应用和服务器的系统。系统100包括计算机系统100和120-1至120-x,这些计算机系统部分地经由网络125-1和125-2通信。计算机系统110在这个示例中是执行合规监测的计算机系统,并且应该注意,可以存在执行这种合规监测的多个系统110。计算机系统120是被监测计算机系统。在这个示例中,存在计算机系统120-1至120-n的网络125-1以及计算机系统120-m至120-x的另一个网络125-2。字母n、m以及x除了用于区分单独的系统之外没有其他含义。可以存在一个网络125或多个网络125。比如,网络125-1可以为局域网(lan),而网络125-2可以为例如广域网(wan)或因特网或“云”,并且计算机系统120-m至120-x中的一个或多个计算机系统可以是网站服务器或基于云的服务器或应用服务器。作为另一个示例,计算机系统120可以全部处于因特网(作为网络)125外部,并且仅经由因特网与其他计算机系统120通信。许多其他可能性也存在。
计算机系统110包括一个或多个处理器150、一个或多个多重存储器155、接口电路178以及一个或多个网络(n/w)接口(i/f)113。计算机系统100可以包括或连接到一个或多个用户接口元件173。一个或多个存储器155包括以数据为中心的监测器101、所提供的信息107、所记录的it事件111、合规信息175以及仪表板信息108。以数据为中心的监测器101包括如本文所描述的功能,并且包括计算机可读代码,计算机可读代码在由一个或多个处理器150执行时使得计算机系统110执行本文所描述的功能。加密器101还可以被(部分或完全地)实现为硬件,诸如在一个或多个处理器150内部。
在这个示例中,用户(人,未显示)正使用计算机系统110并且正观看仪表板195,仪表板195允许用户确定例如与数据对象相关联的风险。下面更详细地描述这一点。用户接口元件173因此可以包括上面显示仪表板195的显示器。仪表板信息108包括允许仪表板195被呈现给用户的信息。应该注意,合规监测计算机系统110可以是服务器等,并且使用被监测计算机系统120(或其他计算机系统)的用户可以访问合规监测计算机系统110,并且在被监测计算机系统120或其他计算机系统上显示仪表板。
为了便于参考,假定所有被监测计算机系统120是类似的,并且图1中显示了仅一个被监测计算机系统120的内部的框图。计算机系统120包括一个或多个处理器170、一个或多个多重存储器180、接口电路188以及一个或多个网络(n/w)接口(i/f)118。计算机系统120可以包括或连接到一个或多个用户接口元件183。一个或多个存储器180可以包括os102、中间件127、(多个)应用115以及数据对象160中的一些或全部。应该注意,虽然这些描述使用复数形式的名词,但这些描述还可以是单数的。os102是指引计算机的操作、控制并调度其他程序的执行并且管理存储、输入/输出和通信资源的软件的集合。中间件127表示用来连接单独、通常复杂且已经存在的程序的软件。数据对象160是可以在合规方面被追踪的对象。应用115是使用、处理或以其他方式访问数据对象160的应用,并且参照图2a描述了这些应用中的一个示例。
计算机可读存储器155和180可以具有适于本地技术环境的任何类型,并且可以使用任何合适的数据存储技术来实现,诸如基于半导体的存储设备、闪存、磁存储设备和系统、光存储设备和系统、固定存储器和可拆卸存储器或这些类型的某种组合。计算机可读存储器155和180可以是用于执行存储功能的部件。处理器150和170可以具有适于本地技术环境的任何类型,并且作为非限制性示例可以包括通用处理器、专用处理器、微处理器、门阵列、可编程逻辑设备、数字信号处理器(dsp)或基于多核处理器架构的处理器中的一个或多个或者这些处理器的组合。处理器150和170可以是用于执行诸如分别控制计算机系统110和120之类的功能如本文所描述的其他功能的部件。
网络接口113和118可以是有线和/或无线的,并且可以经由任意通信技术通过因特网/其他网络125通信。不牢固的通信介质105还可以是无线通信信道或者数据可以在其上通信的任何其他介质。
用户接口元件173和183可以包括比如键盘、鼠标、追踪球、显示器(例如,触摸屏或非触摸屏)等中的一个或多个。计算机系统110和120可以是个人计算机系统、膝上型电脑以及诸如智能电话和平板电脑之类的无线设备。
转向图2a,该图图示了根据示例性实施例的多层分布式应用115的示例。分布式应用115是在网络内的多个计算机上执行或运行的应用。这些应用相互作用,以便实现特定目标或任务。传统应用依赖单个系统来运行它们。甚至在客户端-服务器模型中,应用软件也必须在客户端和客户端正访问的服务器二者之一上运行。然而,分布式应用在两者上同时运行。凭借分布式应用,如果正运行特定应用的节点操作失灵,另一个节点可以恢复任务。在同时在服务器和客户端计算机被使用上时,分布式应用还可以在用于客户端-服务器模型中被使用。操作的前端运行在客户端计算机上并且需要最小处理功率,而后端需要更多处理功率和更专用的系统,并且运行在服务器计算机上。
图2a还显示了网站服务器116、应用服务器117(诸如websphere应用服务器(was))以及数据库119(诸如db2数据库),这些部件中的每一个位于云50中。ibmdb2是由ibm开发的数据库服务器产品系列。每个组件115、116、117以及119可以运行在vm(虚拟机)、容器(container)或独立系统上。附图标记123-1、123-2、123-3以及123-4图示了组件115、116、117以及119中的每一个可以运行在vm(虚拟机)、容器或独立系统上。vm为运行在主系统上且由管理程序(hypervisor)或这种其他软件管理的客户系统。容器为具有低足迹(lowfootprint)的虚拟系统。独立系统可以由计算机系统120图示。主系统也可以由计算机系统120中的一个或多个计算机系统图示,并且vm可以在一个或多个存储器170中,并且可以由一个或多个处理器170来执行。下面提供关于分布式应用115的可能的云实现的更多细节。每个组件115、116、117以及119可以包括在或使用本地储存器197(分别为197-1、197-2、197-3以及197-4)。图2a中的系统还包括共享(例如,虚拟)存储服务198,并且每个组件115、116、117以及119访问该共享的存储服务198。
要理解的是,尽管本公开包括关于云计算的详细描述,但其中记载的教学的实现却不限于云计算环境。相反,本发明的实施例能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源是能够以最小的管理成本或与服务提供者进行最少的交互就能快速部署和释放的资源,例如可以是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
特征如下:
按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
广泛的网络接入:计算能力可以通过标准机制在网络上获取并接入,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑以及个人数字助理pda)进行的使用。
资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地指派和再指派。一般情况下,消费者不能控制或并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监测、控制和报告资源使用情况,为所用服务的提供者和消费者双方提供透明度。
服务模型如下:
软件即服务(saas):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机界面(例如基于网络的电子邮件)从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
平台即服务(paas):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(iaas):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为一个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
混合云:云基础架构由两个或更多的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的归一化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
现在参考图2b,显示了示例性的云计算环境50。如图所示,云计算环境50包括云消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个人数字助理(pda)或移动电话54a,台式电脑54b、笔记本电脑54c和/或汽车计算机系统54n。应用115可以使用一个或多个节点10来实现。节点10之间可以相互通信。可以在如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(iaas)、平台即服务(paas)和/或软件即服务(saas)。理解,图2b显示的各类计算设备54a-n旨在仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参考图2c,显示了云计算环境50(图2b)提供的一组功能抽象层。首先应当理解,图2c所示的组件、层以及功能都旨在仅仅是示意性的,本发明的实施例不限于此。如图2c所示,提供下列层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的示例包括:大型主机(mainframe)61、基于(精简指令集计算机)架构的服务器62、服务器63、刀片式服务器(bladeserver)64、存储设备65、以及网络和联网组件66。在一些实施例中,软件组件包括网络应用服务器软件67和数据库软件68。
虚拟层70提供一个抽象层,该层可以提供下列虚拟实体的示例:虚拟服务器71、虚拟存储72、虚拟网络73(包括虚拟私有网络)、虚拟应用和操作系统74,以及虚拟客户端75。
在一个示例中,管理层80可以提供下述功能:资源供应功能81:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能82:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个示例中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能83:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能84:提供云计算资源的指派和管理,以满足必需的服务水平。服务水平协议(sla)计划和履行功能85:为根据sla预测的对云计算资源未来需求提供预先安排和供应。
工作负荷层90提供可以利用云计算环境的功能的示例。在该层中,可提供的工作负荷或功能的示例包括:地图绘制与导航91;软件开发及生命周期管理92;虚拟教室的教学提供93;数据分析处理94;交易处理95;以及应用96,其在这个示例中是应用115的实施例。
本技术可以从使用该系统的用户的角度来最好的呈现,因此将首先描述这个方面。之后,将描述关于示例性实现的另外细节。
参照图3,该图为在示例性实施例中用于对应用的合规的以数据为中心的监测的被呈现给用户的仪表板200的示例。仪表板200为向用户表示风险的一种方式,但本实施例不限于该特定技术。仪表板200为图1中的仪表板195的示例,并且显示器200为用户接口元件173的一个示例。仪表板200被称作“风险概览”,并且每列210对应于月日(从4月29日开始,贯穿整个5月,并且到6月3日的一部分),而每行230分别对应于vcf对象250-1至250-28(即,vcf格式的对象)的指示符235-1至235-28、并且包括唯一的id(例如,bf001、…、1ffc1d、…),该id在该示例中为uuid。因此,每个指示符235与vcf对象250具有一一对应关系。vcf对象为正被监测的数据对象160的示例。仪表板可以显示被监测的全部数据对象250/160,但对于大系统160将可能仅显示数据对象250/160中的一个集合而不是全部数据对象。因此,仪表板195关注于对作为唯一的vcf对象250的数据的风险。在每个条目240处,对量化由于例如针对特定日子的与对应vcf对象250相关联的用户、网络以及应用事件而积累的风险进行一些指示。风险可以被评估为例如0-1或0-100之间的值,并且该值可以在仪表板上被显示为颜色。指示风险的一种方式是经由每个条目240的颜色。因为附图是黑白色的,所以将会充分描述着色。“正常”风险(例如,低风险)由附图标记240-4来指示并且可以是深绿色;更高的风险由附图标记240-1来指示,并且可以为浅绿色;甚至更高的风险由附图标记240-3来指示,其可以为粉红色;并且最高风险由附图标记240-2来指示,其为红色。可以使用其他方案,诸如使用编号系统(例如,更高的编号指示更高的风险)或印字系统(例如,h用于高,m用于中等,l用于低))。使用颜色仅仅是一种方法,并且许多其他方法也是有效。
用户具有选择条目250以获得关于风险的更多细节的能力。
由于已经给出了从使用系统的用户的角度的一个示例,将描述关于示例性实现的另外细节。
现在参照包括图4a、图4b以及图4c的图4,该图为用于对应用的合规的以数据为中心的监测的逻辑流程图。该图还图示了根据示例性实施例的示例方法的操作、被实现在计算机可读存储器上的计算机程序指令的执行结果、由硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件。假定图4中的许多框要例如在以数据为中心的监测器101的部分控制下由合规监测计算机系统110执行。即,以数据为中心的监测器101经由计算机可读代码和/或硬件逻辑来编程,以使得合规监测计算机系统110执行图4(以及图5)中的框。
参照图4a,合规路径和配置305、合规规则/策略和排序310、已授权事件315、已授权/许可的数据和控制流事件320以及漏洞325由用户来提供(例如,作为图3的所提供的信息107)。漏洞325可以包括所提供的漏洞得分326。这些得分可从cve(根据nvd的cvss得分)、漏洞扫描报告、appscan动态扫描和appscan源扫描以及其他源获得。appscan是通过在部署之前扫描网络和移动应用来增强网站应用安全和移动应用安全、提高应用安全程序管理并且加强法规合规的ibm产品。cve是一系列信息安全漏洞和披露,其目的在于提供公共已知问题的常用名。合规规则的排序(参见附图标记310)用于向每条合规规则指派重要程度。每条合规法规具有若干规则(hipaa具有59条规则)。排序被指派给这些规则中的每一个,使得如果规则x具有排序10并且另一个规则y具有排序5,那么x比y具有更多权重。在该方法的另一个实现中,因为x具有比y更高的排序,所以x可以被认为具有比y更少的权重。这些排序被预先指定给系统,或者由方法来计算。
在框340中,合规监测计算机系统110获得(例如,收集)所记录的it事件(例如,并且可以将这些it事件存储为图1的所记录的it事件111)。比如,合规监测计算机系统110可以如下收集事件的日志:每个事件“e”与数据对象160上的动作直接或间接相关。每个所记录的事件可以含有(比如)以下:在其中生成日志的系统/组件、什么是数据对象160(诸如提及该对象的uuid)、何时事件发生和/或持续时间、与事件相关联的(多个)用户名(userid)、针对事件的(多个)ip地址、针对事件的其他数据对象160和/或信息。在示例性实施例中,用户对正处理或已经存储敏感数据的系统的访问是“相关事件”。合规监测计算机系统110可以从不同系统组件、应用组件、中间件组件以及网络和非功能组件接收日志。这些事件由分布式应用和底层系统中的每个组件收集,并且被存储在相应的日志管理系统或文件系统中。一些组件可能或可能不记录它们的事件。这些日志然后从这些日志管理系统或文件系统中的每一个收集,并且根据组件的类型经由推送或拉取方法、或推送和拉取方法的组合被带给以数据为中心的合规监测(dccm)系统(例如,合规监测器110)。在拉取方法中,dccm系统从日志管理系统收集数据,而在推送方法中,一个或多个组件的日志管理系统向dccm发送日志。由dccm进行的日志收集可以是实时的。
在框335中,合规监测计算机系统110执行用于日志分析的大数据。在该上下文中的大数据包括在大数据集上的数据分析。框335从框305、310、315、320、325以及340接收信息。图4b中显示了可能的数据分析的一个示例。
在图4b中,合规监测计算机系统110在框336中标识待监测的合规规则集合。待监测的合规规则集合由合规规则/策略和排序310来指定。
在框337中,合规监测计算机系统110标识敏感数据对象集合160。该敏感数据对象集合(诸如医疗日志)是作为合规要求的一部分(例如,根据310中的合规规则/策略)而需要被保护的对象160,并且可以标识用于保护数据对象160和系统的其他数据对象(诸如密匙、密码)。由应用存储/处理/传输的敏感数据对象由系统管理员和/或应用管理员来指定。
在框338中,合规监测计算机系统110标识被授权对敏感数据对象160执行某一形式的访问的服务(服务为分布式应用的运行实例)实体。这种实体可以被存储在本地存储组件197和被共享的存储组件198中,并且可以为是络设备(作为示例,诸如是入侵保护服务、防火墙、路由器以及交换机、vpn网关)和被授权对敏感数据对象160执行某一形式的访问的该服务的其他实体。这些应用的关于合规要求305、合规规则和排序310、已授权事件315、已授权和许可的数据和控制流事件320以及应用组件的漏洞325而言合规的数据流和控制流路径和配置由系统和/或应用管理员来指定,并且这种信息经受改变。所标识的实体可以存储、传输、处理或获得用于数据对象160的临时存储。框338可以包括标识与这种已授权访问相关联的时间和其他元数据。
合规监测计算机系统110在框339中标识已经发生在所记录的it事件中的已授权事件集合(例如,使用所供给的已授权事件315)。这种事件可以包括被分类为“正常”的事件。已授权事件可以包括对具有其他元数据的敏感数据对象160的访问和操作,在示例中元数据特征如下:什么(例如,数据对象160的id)、在哪里(例如,ip地址/组件名)、谁(例如,用户id)、什么时间(例如时间和/或持续时间)以及如何(例如,获得访问的操作、所用的什么其他信息等)等等。
返回到图4a,在框330中,合规监测计算机系统110向合规规则指派排序(例如,权重)。这可以使用预定义排序表,诸如由合规规则/策略和排序310提供的表。
在框331中,合规监测计算机系统110使用应用115的攻击图(attackgraph)来标识系统的漏洞(或弱点)。攻击图是图4的方法的输入。
在框345中,合规监测计算机系统110将针对数据对象160的事件相关。具体地,合规监测计算机系统110可以基于数据对象160的id(例如,uuid)来将日志事件相关。另外,合规监测计算机系统110可以从要由特定数据项索引(例如,由id指定)的(多个)日志中挖掘流。挖掘流意味着数据流关于特定(多个)标识符(诸如指定数据对象的uuid)匹配和相关。事件可以跨时间、ip地址、用户名等相关。框345从框335接收信息。
合规监测计算机系统110在框350中标识未被授权的事件。这种未授权可以包括异常事件,并且包括对敏感数据对象160(例如,之前在框337中所标识的对象)的访问/操作。框350使用至少来自框315、320、335以及345的信息。
在框355中,合规监测计算机系统110标识潜在的漏洞。具体地,合规监测计算机系统110可以标识具有对(例如,在框337中确定的)敏感数据对象160的访问的系统/组件的潜在漏洞。框355使用至少来自框345和350的数据。
合规监测计算机系统110在框360中将这些未被授权事件中的每一个映射到合规规则(例如,在框336中所确定的待监测合规规则)。框360使用来自框355和350的信息。来自框360的输出可以包括被违反的合规规则和策略集合365,其中妥协程度370为非零的。关于妥协程度370,妥协程度为基于组件和未被授权事件的漏洞以及已经披露的数据的敏感度而评估的测量。妥协程度370从0-1变化,0(零)为应用根本不妥协的事实(例如,没有未被授权的事件发生),并且1(一)为应用已经被妥协,从而已经违反全部敏感数据。
在框375中,合规监测计算机系统110计算风险。框375取得来自框330、350、365以及370的输入。图4c中显示了框375的示例。合规监测计算机系统110计算(框376)针对每个数据对象160的不合规风险,诸如与之前在框350中确定的未被授权事件相关联的风险。例如,框376可以包括基于以下内容中的一个或多个计算风险:数据对象160的尺寸、被指派到数据对象160的“权重”、被指派到合规规则的权重、被指派到异常事件的权重(相对于正常事件的权重)、和/或系统的漏洞。另外,框376可以包括聚合权重。一个示例是聚合风险并且将聚合值归一化到0-100。一个这种示例技术将是聚合以下风险:按照框331的系统中的每个数据对象、每个异常事件、每条合规规则、每个漏洞的风险和这种其他风险。每个风险是实体的权重或者权重的相乘(诸如针对每个数据对象:将以字节为单位的尺寸和与该数据对象相关联的异常事件的权重相乘)。
框375还可以包括框377,其中合规监测计算机系统110计算针对每个组件的不合规风险,并且进而计算针对服务的不合规风险。框377可以根据每个数据对象160的不合规风险的独立测量来计算针对每个组件的不合规风险,进而计算针对服务的不合规风险。
来自图1的合规信息175可以捕获任意合规信息(诸如框365和370)以及框375的输出(计算风险)。合规信息175然后被用于执行框380。
在框380中,合规监测计算机系统110输出仪表板信息,该仪表板信息可以被认为是允许用户确定所评估的数据对象的选定集合的风险的信息。这种信息可以用于比如在显示器上向用户显示仪表板195,或者可以是适于用于使得显示仪表板的另一个计算机(诸如网站服务器)能够显示仪表板或用于查看与数据对象相关联的风险的某一其他显示系统的数据。在另一个示例中,框380可以如图5所描述的那样主动地显示仪表板信息。
转向图5,该图为示例性实施例中用于显示并且更新用于对应用的合规的以数据为中心的监测的仪表板的逻辑流程图。这可以被认为是图4的框380的一个实现。图5也图示了根据示例性实施例的示例方法的操作、在计算机可读存储器上实现的计算机程序指令的执行结果、由硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件。假定图5中的框要例如在以数据为中心的监测器101的部分控制下由合规监测计算机系统110执行。即,以数据为中心的监测器101经由计算机可读代码和/或硬件逻辑来编程,其使得合规监测计算机系统110执行图5中的框。
在框405中,合规监测计算机系统110在仪表板上呈现针对每个数据对象和该数据对象的相关联风险的表示。这种表示比如可以为图3着色的条目240,每个条目240对应于vcf对象250。因此,一个示例是颜色码风险,其中风险0-100在从绿色至红色的范围内表示。许多其他示例是可以的。同样,图3中的仪表板195基于时间标度(在图3的示例中为日),但用于数据对象160/250的其他表示是可以的,诸如被监测计算机系统120、虚拟机、网络等。
用户被允许选择表示(诸如被着色的条目240),并且在框410中确定用户是否选择对象的表示。如果用户选择数据对象160/250的表示(框410=是),则流程进行到框415,在框415中,合规监测计算机系统110在仪表板195上呈现针对选定数据对象160的详细表示(参见框415)。这种详细表示的示例包括(框420)在仪表板上显示以下中的一个或多个:1)在选定持续时间期间与数据对象相关联的(异常和/或正常的)事件的细节;和/或2)风险、合规规则以及相关联权重的细节;和/或3)整体服务的风险和与数据对象相关联的组件。注意,根据实现,用户也可能能够更深入地探究到1)、2)和/或3)中的任一项或全部,但图5中未显示这一点。
在框425中,合规监测计算机系统110允许用户移至概览(例如,如由图3的仪表板195所示)。如果用户(例如,通过点击“返回”按钮或可以使得合规监测计算机系统110知道用户想要移至概览的别的东西)未移至概览(框425=否),则流程返回到框415。如果用户想要移至概览(框425=是)或如果用户不选择数据对象160/250的表示(框410=否),则在框430中,合规监测计算机系统110为用户提供选择以下中的一个或多个的机会:特定持续时间、数据对象集合、系统或用户集合、与一个或多个数据对象/时间/系统有关的这些实体中的每一个的集合。如果用户选择不同的监测信息(框435=是),则合规监测计算机系统110在框440中显示风险、与那些实体相关联的事件以及持续时间。如果用户不选择不同的监测信息(框435=否)或已经执行框440,则流程进行到框405。
注意,使用系统的用户(例如,人)通常将执行对数据对象的风险的缓解。比如,如果存在允许未被授权的用户访问受限数据对象的计算机系统,那么用户将确定计算机系统为何允许未被授权的用户访问,并且修正这一点。
转向图6,该图是基于图4的描述的一部分观看图1的示例系统的一部分的另一种方式。在特定于应用的细节610中,已经放置合规路径和配置305、已授权事件315、以及已授权/许可的数据和控制流事件320。特定于应用的细节620包括如cve、nvd信息以及由nessus(nessus为用于审计师和安全分析师的漏洞扫描器和被设计为使已知安全问题的测试和发现自动化操作的工具)进行的漏洞扫描的这种项。特定于应用的细节620可以被认为是所记录it事件340的一部分。还显示了合规规则/策略和排序310。正被监测的应用115可以在云50上或在非云基础设施上来监测。合规监测器630是图1的以数据为中心的监测器101的版本。附图标记640指示合规监测/审计人员,诸如针对合规而检查系统的人。
图6仅是检查可以如何结构化系统的一种方式,并且仅是示例。来自图4的另外实体还可以被添加到图6。例如,已授权事件315和已授权/许可的数据和流控制事件320将很可能嵌入特定于应用的细节610中。特定于应用的细节620为该示例中的漏洞325(并且可以包括漏洞得分326)。
参照图7,该图是示例性实施例中用于计算合规排序的逻辑流程图。该图还图示了根据示例性实施例的示例方法的操作、被体现在计算机可读存储器上的计算机程序指令的执行结果、由硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件。图7中的框被假定为例如在由以数据为中心的监测器101的部分控制下由合规监测计算机系统110来执行。图7是图4的框330的示例。
在框705中,合规监测计算机系统110标识合规规则之间的依赖性。这种一个或多个依赖性可以使用例如如图8所示的hipaa依赖图或其他图来标识。在图8中,编号为hipaa的章节。管理防护依赖于物理防护、技术防护以及策略和文献。物理防护依赖于技术防护,而技术防护依赖于策略和文献。列顶部处的各个防护对应于该列中的章节。比如,物理防护包括章节164.310(s)(1):设施访问控制,164.310(b):工作站使用,164.310(b):工作站安全,以及164.310(a)(1):设备和媒体控制。可以看到(作为一个示例),章节163.308(a)(4)(i)依赖于章节164.310(a)(1)和技术防护。也就是说,章节164.310(a)(1)依赖于技术防护中的全部章节,但这仅是示例性的。类似地,章节164.308(a)(7)(i)依赖于技术防护。其他关系由附图来图示。
在框710中,合规监测计算机系统110将依赖性表示为图。比如,在框715中,合规监测计算机系统110可以将每个节点表示为一条合规规则或一组合规规则,并且在框720中,合规监测计算机系统110可以将每条边表示为从一个节点x至另一个节点y的有向边,以使得x依赖于y。这种依赖性及其对应图可以作为示例使用图8来确定。
在框725中,合规监测计算机系统110遍历该图。在框730中,合规监测计算机系统110使用递归关系和动态编程或其他技术来计算每个节点的排序。作为示例,在框735中,合规监测计算机系统110使用网页排序(pagerank)型技术:每个节点y的排序取决于具有去往y的边的每个其他节点x的排序。在框740中,合规监测计算机系统110输出每个节点的排序,其是每条合规规则的排序。剩余合规规则被指派诸如1的初始排序。
转向图9,该图是示例性实施例中用于对分布式应用的合规的以数据为中心的监测的逻辑流程图。该图还图示了根据示例性实施例的示例方法的操作、被体现在计算机可读存储器上的计算机程序指令的执行结果、由硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件。图9中的框可以被假定为例如在由以数据为中心的监测器101的部分控制下由计算机系统110来执行。
在框910中,计算机系统110执行访问在包括分布式应用的分布式系统中的信息技术事件的一个或多个日志。分布式系统包括多个数据对象,并且分布式应用使用、处理或以其他方式访问多个数据对象中的一个或多个数据对象。信息技术事件涉及分布式应用并且涉及由分布式应用对数据对象中的一个或多个数据对象的访问。在框920中,计算机系统110执行将信息技术事件与多个数据对象中的选定集合相关。
在框930中,计算机系统110执行基于信息技术事件来评估数据对象的选定集合的风险。评估风险至少使用在合规规则应用于系统中的数据对象时这些规则的排序和与数据对象的集合和信息技术事件对应的系统的漏洞得分。在框940中,计算机系统110执行输出允许用户确定所评估的针对数据对象的选定集合的风险的信息。
图9中的流程还被称为这里的示例1。下文是与该示例有关的另外示例。
示例2.根据示例1的方法,其中输出信息还包括输出适于向用户显示且包括针对数据对象的选定集合的风险的视觉指示的信息。
示例3.根据示例2的方法,其中视觉指示包括来自从第一颜色到第二颜色的颜色范围的颜色码,并且其中输出信息还包括针对数据对象的选定集合中的每个数据对象输出颜色码的指示。
示例4.根据示例2的方法,其中输出还包括:响应于用户选择数据对象的集合中的选定数据对象的表示,针对选定数据对象在仪表板上输出详细表示的信息。
示例5.根据示例4的方法,其中详细表示包括以下中的一个或多个:在选定持续时间期间与选定数据对象相关联的信息技术事件的细节,与选定数据对象相关联的风险、合规规则以及相关联的权重的细节,或者整体服务的风险和与数据对象相关联的组件的风险。
示例6.根据示例2的方法,其中方法还包括:为用户提供选择以下准则中的一个或多个准则的机会:特定持续时间,数据对象的集合的子集,系统或用户的集合,或者与特定持续时间、数据对象的子集、或系统或用户的集合中的一项或多项相关的这些实体中的每个实体的集合;并且输出信息还包括输出实现向用户显示风险和与选定准则相关联的信息技术事件的信息。
示例7.根据示例1的方法,其中,评估风险包括:将以下风险中的至少两个风险聚合为针对数据对象的选定集合中的一个或多个数据对象的聚合值:与每个数据对象对应的风险、与每个异常事件对应的风险、与每个合规规则对应的风险、或者与系统的每个漏洞对应的风险,以及将聚合值归一化到一个值范围;并且输出包括输出针对数据对象的选定集合中的一个或多个数据对象的聚合值。
示例8.根据示例7的方法,还包括以下步骤:使用分布式应用的攻击图来确定系统的每个漏洞。
示例9.根据示例7的方法,其中每个风险是对应实体的权重。
示例10.根据示例7的方法,其中用于确定聚合风险的风险通过针对来自多个风险的实体的权重相乘来确定。
示例11.根据示例10的方法,其中用于确定聚合风险的风险通过如下来确定:针对给定数据对象,将给定数据对象的以字节为单位的尺寸和与给定数据对象相关联的异常事件的权重相乘。
示例12.根据示例7的方法,其中聚合值被归一化到从零至一百的值范围。
示例13.根据示例1的方法,其中评估风险包括基于以下中的一个或多个来计算风险:给定数据对象的尺寸、被指派给给定数据对象的权重、被指派给合规规则的权重、或者被指派给异常事件的权重,其中被指派给异常事件的权重关于正常事件的权重而被指派。
示例14.根据示例1的方法,还包括以下步骤:如下确定合规规则的排序:标识合规规则之间的依赖性;将依赖性表示为具有节点和边的图,其中每个节点表示一条合规规则或一组合规规则,并且其中每条边为从第一节点至另一个节点的有向边,以使得第一节点依赖于另一个节点;遍历图并且使用递归关系和动态编程之一来计算每个节点的排序;以及输出每个节点的排序。
示例15.根据示例14的方法,其中使用递归关系计算排序包括使用网页排序算法,其中每个节点y的排序取决于具有去往y的边的每个其他节点x的排序。
另一个示例是一种计算机系统,其包括包括一个或多个存储器和一个或多个处理器,一个或多个存储器包括计算机可读代码。计算机系统响应于由一个或多个处理器对计算机可读代码的执行而执行示例1至示例15中任一项的方法。另外的示例是包括计算机可读存储介质的计算机程序产品,该计算机可读存储介质包括计算机可读代码,其使得计算机系统执行示例1至示例15中的任一项的方法的操作。
现在参照图10,该图是示例性实施例中的、用于确定合规规则的排序的逻辑流程图。该图还图示了根据示例性实施例的示例方法的操作、被体现在计算机可读存储器上的计算机程序指令的执行结果、由硬件中实现的逻辑所执行的功能和/或用于执行功能的互连部件。图10中的框可以被假定为例如在由以数据为中心的监测器101的部分控制下由计算机系统110来执行。
在框1010中,流程包括标识多个合规规则之间的依赖性,其中合规规则由一个或多个法规定义。该框可以由人或可能由计算机系统110来执行。在框1020中,流程包括将依赖性表示为具有节点和边的图,其中每个节点表示一条合规规则或一组合规规则,并且其中每条边为从第一节点至另一个节点的有向边,以使得第一节点依赖于另一个节点。表示依赖性可以由人编程到计算机系统110中,或者计算机系统110可以执行该框。在框1030中,计算机系统110执行遍历图并且使用递归关系和动态编程之一来计算每个节点的排序,并且在框1040中,计算机系统110执行输出每个节点的排序,其中每个节点为一条合规规则或一组合规规则的排序。
图10中的流程还被称为这里的示例16。下文是基于图10中的流程的另外示例。
示例17.根据示例16的方法,其中使用递归关系计算排序包括使用网页排序算法,其中每个节点y的排序取决于具有去往y的边的每个其他节点x的排序。
示例18.根据示例16的方法,其中多个合规规则为健康保险携带和责任法案以及家庭教育权利和隐私法合规规则之一。
另一个示例是包括一种计算机系统,其包括一个或多个存储器和一个或多个处理器,一个或多个存储器包括计算机可读代码。计算机系统响应于由一个或多个处理器对计算机可读代码的执行而执行示例16至示例18中任一项的方法。另外的示例是包括计算机可读存储介质的计算机程序产品,该计算机可读存储介质包括计算机可读代码,其使得计算机系统执行示例16至示例18中的任一项的方法的操作。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的示例(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机可读程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等,以及常规的过程式编程语言—诸如“c”编程语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个框以及流程图和/或框图中各框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个框中规定的功能/动作。
附图中的流程图和框图图示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续显示的框实际上可以基本并行地执行,或者框有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
可以在规范和/或附图中找到的以下缩写如下定义:
cve通用漏洞披露
cvss通用漏洞评分系统
dccm以数据为中心的合规监测
ferpa家庭教育权利和隐私法
hipaa健康保险携带和责任法案
ibm国际商业机器公司
id标识符
ip互联网协议
it信息技术
lan局域网
nvd国家漏洞数据库
os操作系统
ssh安全外壳
uuid通用唯一id
vcf不同的呼叫格式
vm虚拟机
wan广域网
waswebsphere应用服务器
- 还没有人留言评论。精彩留言会获得点赞!