用于风险检测、汇报和基础设施的系统和方法

专利名称:用于风险检测、汇报和基础设施的系统和方法
相关申请的交叉引用本申请要求2003年6月9日提交的、申请号为60/476,628的美国临时专利申请的优先权。
发明背景技术：
领域本发明涉及风险管理的领域，尤其涉及对系统或子组成部分进行的风险分析，包括浏览、传递消息、基础设施(infrastructure)以及与风险状态相关的文件和消息的相关处理。
背景技术：
风险评估和基于风险进行决策是公知的。例如，银行和投资机构对风险进行评估，并基于对风险的这些评估来确定投资、贷款和其他交易的风险。金融机构例如可以查看风险，包括外汇交易(FX)风险、信誉风险、信用风险和操作风险，以在其中确定与订约方(counterparty)进行的交易中存在的风险类型、代价和方式。保险公司可以进行类似的确定以评估与报酬相对的风险，并基于索赔的概率和可能的索赔数量发出保单。在这种情况下，可以使用可得到和适当的历史数据来支持有助于当前和未来行动的决策。
人们已经开发出了对风险进行评估、并基于该风险评估确定行动的技术。然而，在商业处理中用于风险管理的处理和体系结构历来就难以在一个或多个局部(内部)和外部(相互之间)的商业和技术领域：
上进行部署。此外，在现有的系统中，在作出基于风险的决策后，可能难以执行各种行动，包括拒绝交易执行或发起新的交易或转变(例如，以进行和/或自动地销售以重新结算帐目(rebalance accounts)、使具有保险的资格或获得保险)，和/或为适当的人员进行报警。
数据安全控制使用关于数据系统(例如，网络和计算机)的风险评估。基于具体规定的什么是可接受的、什么是不可接受的策略(其还可包括对“特征(Signatures)”的关注)，可以接受或拒绝适当或不适当的行为(主系统/网络系统中的行为)模式。可以保持历史信息，以基于过去的行为部分地确定什么是可接受的。因此，可以在当前和/或未来基于过去允许的事情来允许或拒绝行为。用于数据安全控制的一种上述实现是本领域中公知的防火墙。
入侵检测系统(IDS)可以在计算机系统和网络中使用。IDS可以被用来检测和识别计算机的未授权使用。通常，IDS经由日志、网络流量、文件修改或其他可得到的来源来寻找特定的模式或特征，以检测恶意行为。这些特征可以使用(例如)有限状态机、简单模式匹配或专用算法来识别。许多IDS趋向于误报警和漏报警。在IDS识别出问题(例如，未授权的行为)而该问题并未发生时则发生误报警。而在出现问题而IDS没有检测到该问题时则发生漏报警。
按照对历史数据的信任和误报警和漏报警可能性，为了全面保护系统，仅具有否定模式的特征是理想的，但不是足够的。否定特征方式解决了对那些不允许的识别。其互补的方式(也就是肯定特征方式)具体地定义了哪些是允许的，或至少在可容忍的偏离范围内是可接受的。
在本文中还被称为策略(Policy)的规则(Rule)表示那些可明确被允许的行为和/或那些可明确被拒绝的行为。规则规定了交易在其中执行的参数。动态的规则是各种可随时间改变响应(例如响应特殊的输入)的规则，例如基于各种考虑而改变响应。
理想地，用于IDS测试的规则是动态规则。然而，因为规则可经常是作为安全系统的二进制编码的一部分的“硬编码(hard coded)”，所以这些规则通常不是真正动态的。缺乏动态规则使得在各种情况(包括例如在更新软件系统(例如，可执行的代码变得长更慢，机器必须关机来升级)时)下产生难题。
此外，商业处理典型地远比与对操作这些商业处理的计算机系统的入侵有关的规则要复杂。例如，信息流可从多个进入位置进入，并且可能不会到达居中的位置。为了隐藏动态规则的缺乏以及说明商业处理的不断增长的复杂度，基于网络的防火墙可以通过网络地址转换(更公知的是NAT)，或经由端口地址转换(更公知的是PAT)改变IP地址，以隐藏详细的内部网络配置。然而，在上述“调整(fix)”中，虽然修改了看到的内容，但是消息的上下文却没有改变。这种调整对于特定的交易类型来说，可能不足以隐藏或补救商业处理的改变或终止，而且可能同样不足以随时间改变允许或拒绝特定的交易或状态。此外，上述调整没有考虑以简单的方式动态地增加各种监控或控制技术，这是因为在遍及企业内部的分布式处理中的各种风险可被识别和解决。
因此，需要一种能够有效地监控风险并允许灵活地修改或升级风险策略的系统、方法和设备。

发明内容本发明包括一种用于监控与至少一个商业处理相关的风险的方法、系统和设置，可包括根据多个风险种类对多个文件实例中的至少一个进行评估，其中，所述文件实例中的每一个都包括与其相关的多个文件值；按照为所述至少一个商业处理批准的至少一个可接受的风险策略，执行所述多个风险种类；以及根据在至少一个风险种类中对至少一个文件的批准定级，使所述多个文件中的至少一个具有至少一个资格。
因此，本发明提供了一种能够有效地监控风险，并允许灵活地修改或升级风险策略的系统、方法和设备。
附图简要说明通过结合相应的附图(在图中，相同的标号表示相同的部分)对本发明进行的以下详细描述有助于对于本发明的理解，其中图1是示出文件(Document)、风险种类和策略之间的映射的图；图2是示出对照多个文件实例(Document instance)的多个风险策略的图3是示出文件、策略和资格之间的关系的图；图4是示出从数据库中获得文件实例值以加入到字段(值)的流程图；图5是示出RDS构成部分的图；图6是示出模板的安全传输的图；图7是示出从不同组织执行策略的图；图8是示出从RDS安全传输实例或模板的图；图9是示出与信任管理器相关的使用者访问的图；以及图10是示出使用图4中的方法将多个文件组合成一个的图。
详细的描述应该理解，为了清楚地理解本发明，简化了本发明的附图和说明以描述相关的元件，同时为了清楚起见，删除了在典型的信息设备、器件、系统和方法中的其他元件。本领域的普通技术人员应该认识到，为了实现本发明，其他的元件也是期望和/或需要的。但是由于这些元件在本领域中是公知的，并且它们对于更好理解本发明并没有太大贡献，因此，在本文中不再对这些元件进行讨论。本文的内容主要涉及对在本文中公开的以及公知的或对本领域技术人员显而易见的应用、网络、系统和方法的进行的变化和修改。此外，在本文的全文中对本发明进行了描述性的说明，然而，本领域的技术人员应该认识到，根据本文的公开，本发明可以有益地在许多商业交易和处理中使用。
图1是示出根据风险策略107对包括多个数值104的文件101进行评估的流程图。文件101可以经由网页接入(web access)、网页服务(web service)、网关以及例如通过光学字符识别(ORC)或扫描或本领域技术人员公知的任意类似方法被转换为电子格式的物理文件而提供到所示的系统中。本发明不会受到提供该文件或将其转换到电子格式的方式限制。
在本文中使用的文件101可以是或表示对于商业系统或处理非常重要的值。如本领域中公知的那样，值可以是记录中的字段。文件101可以是一个或多个最初基于定义或结构的书面文件的子集或超集，或可以是建立的或结构化的数据源的子集或超集。这些基于定义的数据源或书面文档可包含具有从其他源中获得的值的值。文件101的参考包括但不限于对文件中所有字段的参考。
可以将文件定义到RDS系统以及其相关的设施中。例如，可以使用脚本语言或实现GUI(图形用户界面)的技术或其他表示方法。根据本发明的一个方面，可以使用可扩展语言，例如XML[XML]。使用的XML可以根据艾伦瓦格纳(Allen Wagner)的“调查示例在ASP.NET中的网页表格设计(Survey SampleWeb Form Design in ASP.NE)”。
例如，XML编码可包括XML-A<Document Title＝″BuildingSecurity″SourceType＝″UserWeblnput″Source＝″www.xxx.com/survey″><Destination＝″MasterDB.BldSecurity″>
<Question ID＝″0″visible＝″yes″Text＝″Building Number？″Type＝″Numeric″>
<Answer Tag＝″BuildingNumber″PrimaryKey＝″BLD″>
</Question>
<Question ID＝″1″visible＝″yes″Text＝″What country is building in″Type＝″Character″>
<Answer Tag＝″CountryValue″>
</Question>
<Question ID＝″2″visible＝″no″Type＝″real″>
<Answer Compute＝CountryRiskTable(CountryValue).riskvalue*4>
</Question>
<Question ID＝″3″visible＝″yes″Text＝″Are Fences higher than 10feet？″Type＝″integer″>
<Answer ID＝″1″Text＝″Yes″>
<Answer ID＝″2″Text＝″No″>
</Question>
<Question ID＝″4″，visible＝″yes″Text＝″Do fences have barbedwire？″Type＝″multiple choice>
<Answer ID＝″1″Text＝″Yes″>
<Answer ID＝″2″Text＝″No″>
</Question>
</Document>
根据本发明的这一方面，文件101(例如调查)可以被说明。该文件的说明可以产生数据定义，尽管使用其他方法以结合预先存在的数据库定义对本领域的技术人员来说是显而易见的。数据源类型可以是基于网页的输入，这些网页存储根据数据库的适当记录形式的信息，例如根据具有主键的MasterDB.BldSecurity，在该示例中，可被设置的网址是www.xxx.com/survey。
可以使用ID对问题编号，并基于“可视(Visible)”标志是否被设置为“是(Yes)”来显示该问题，如前面的示例中所示。要被显示的问题以“文本(Text)”形式提供，并且响应的类型位于“类型(Type)”中，如该实施例所示。类型可包括但不限于，例如“字符(character)”、“数字(numeric)”、“(任意格式)freeform”、“乘法选择(multiplechoice)”、布尔(Boolean)等。其他的类型对于本领域的技术人员来说是显而易见的，并且不论输入类型正确还是不正确都可以有效。
在上述的实施例中，“回答(Answer)”具有多个目的，并且典型地可表示提交者的输入。提交者可以是人、处理、自动的、人工的、电子的或机械的输入，仅举出非限制的示例而已。
“标签(Tag)”可用来作为问题的变量名。在上述实施例中，ID等于2的计算字段中的国家值CountryValue(以ID＝1定义)浏览以CountryValue索引的国家风险表CountryRiskTable中的风险值riskvalue。在该实施例中对于该问题(question)的回答(answer)(在该实施例中的输入过程当中是不可视的)是乘以四(4)的国家风险值。
上述实施例示出了基于网页的输入。这些处理可以使用其他形式的输入来提供，这对于本领域的普通技术人员是显而易见的。例如，可以不显示问题，而采用根据数字格式(例如数据库)的电子询问的形式，例如询问访问信息。响应于问题的输入例如可以是任意表示数据存储(例如，数据库、目录或纯文本)中的信息的传送电子报文。在这种情况下，数据说明可以规定获得要输入的值的方式。例如，数据说明可以规定该值是数据库表中的特定字段，或者是数据值中从第Y位开始的前X位。在“visible＝‘No’”的情况下，响应于问题的输入可以是计算值，而不是人们的输入。
图4是表示“标签(Tag)”和“计算(compute)”的示意性使用。同样，文件101可包括一系列的值。为了简化，在该实施例中，值1到4(线402以上的部分)可以是用户可视的值，而在线402以下剩下的值对用户来说是不可视的。在该实施方案中，值n可以是值1的复制403，如图所示。值5可从局部存储中获得405，例如数据库406。值5和值6可以都由标签来识别，其标签可以是出于说明性目的，并且分别可以表示为TAG_V5(例如，<Answer Tag＝″TAG_V5″>)和TAG_V6。更复杂的计算404可为可由安全系统控制并能够进行计算以及使用可视值和不可视值的任意函数f。函数f的结果可被存在需要的(required)或被请求(requested)的位置，例如，在该实施例中，将该结果放置为值6。这还可以像<AnswerCompute＝＝″TAG_V5*TAG_V6″>一样被编码，例如在上述实施例中所示。
回到图1，风险种类(Risk Category)102可以将风险归类为各种满足某些目标要求的分组，并且可以符合一个或多个商业处理的容许风险。作为一个示例，在[BS 7799]中，信息安全的特征分为机密性(C)、完整性(I)和可用性(A)。在风险管理应用中普遍的是，系统可以基于各种独特或可应用的标准来单独评估，并且可同时对该评估进行分析。在前述的BS 7799示例中，使用机密性、完整性和可用性的等级时，为了满足各个标准的必要控制可以是不同的，并且事实上，可以在一些情况下是冲突的。例如，在集装箱运输中期望的是，对控制货物装载和将货物封存到集装箱中的处理的评估将根据单独和截然不同的、并且可能是冲突的风险相关的标准来进行评估。
在图1中引用的风险种类可例如以XML的形式或类似的方案来规定，但并不限于此。例如，用于这种风险分类的XML编码可包括<RiskCategories>
<Category Name＝″Confidentiality″Description＝″For privacyprotection″>
<Category Name＝″Integrity″Description＝″For modification ofdata″>
<Category Name＝″Availability″Description＝″For ability to useresource″>
</RiskCategories>
然而，风险种类可以是一些风险属性的风险聚合计算，而不是一些风险属性的具体风险方面。因此，这些聚合可以是一到一106，多对一109，或者一对多105。同样，在上文中讨论的示例性XML-A可以修改为XML-B<Question ID＝″3″visible＝″yes″Text＝″Are Fences higher than 10feet？″Type＝″integer″>
<Answer ID＝″1″Text＝″Yes″>
<Risk Name＝″RiskCat1″Script＝″Add(50)″>
<Risk Name＝″RiskCat2″Script＝″Add(20)″>
</Answer}<Answer ID＝″2″Text＝″No″>
<Risk Name＝″RiskCat1″Script＝″Add(10)″>
<Risk Name＝″RiskCat2″Script＝″Substract(10)″>
</Answer>
</Question>
在XML-B中，如果问题3具有Yes响应，则对RiskCat1增加50，对RiskCat2增加20。注意，可以使用加、减、乘、除、乘以常数或系数、或其他的计算函数，如在Answer ID＝″2″中所示的那样。此外，可分级地进行计算。例如，如果answer A是yes，则乘以3，如果该结果大于50，则询问question B，如果响应是answer C，则除以3。此外，可以根据上述计算的执行从一个或多个或其他数据源得到数据。例如，函数F可以对输入值执行(例如，“Add(thisInput*5)”)，响应(即，thisInput)可以乘以5，得到的结果可以增加到适当的风险种类中。函数可以是复数的，并且可以包括其他的编程特征，例如，使用Java或其他高级语言结合程序脚本。程序脚本或计算可以在函数中规定标签名称，例如在XML-A中描述的“国家值CountryValue”，以表示值，或作为对值(例如，在数据库或网页位置表中的值)查找的索引，但并不限于此。
可以根据一个或多个风险策略107对风险种类进行分析。因此，文件101(更具体地说是文件101中的值)可以根据一个或多个被请求的风险策略来对照风险策略进行估价(rate)。
在下面的实施例中，可以应用多个规则，其中，在评定出“标准(Criteria)”，即评定出返回真或假的脚本时，执行“动作(Action)”，即使用专用语言或公知语言(例如，Basic、Visual Basic、C、C++、Java、Perl)的脚本。如对本领域的技术人员显而易见的那样，下面的实施例不限于特定的语言，并可以附加地执行，例如以XML。
Name:<policy name>
Rule:<label>
Criteria:<conditional script>
Action:<script>
Policy-RulePolicyName:SilverBuildingRule:RequireSupervisorCriteria:((Riskoatl＞50)or(Riskcat2＞1000))and(riskcat3＞5)Action:Require(″Supervisor″，RED)；exit()Rule:EmailCommerceCriteria:((Riskcatl＞20)or(Riskcat2＞100))Action:Notification(email，″warning@commerce.com″，″ReviewCompany X Warning logs″)Rule:Accept
Criteria:NullAction:Accept(″1 June 2004″)上述的示例从上到下执行，作为实施例，需要注意的一些函数包括但不限于Exit()退出并不对照任意附加的规则进行测试；Require(<Group>，<FLAG>，<effective date>)对文件的接收请求组<Group>中的一些人接受。给用户提供FLAG值(例如，RED状态)，以帮助用户理解问题的严重程度，并且当组Group中的用户接受该文件后，<effective date>声明了用户接受文件的有效日期(也就是说，该接受有效的时间是多长)；Notification(<type>，<user name>，<subject>，<Body>)向具有Subject<subject>和Body<body>的<user name>发送通知。通知的类型包括但不限于电子邮件、日程表、传真、自动电话呼叫以及其他形式的通知系统。紧急通知可以呼叫政府机构(例如，“‘911’呼叫”)作为首要的响应动作，例如，通过法律实施、运输、商业、军队或其他机构；Schedule(<date/Time>，<actions script>)这确定了在特定日期和时间(即，<date/Time>字段)要被执行的动作脚本的时间。例如，在特定的时间之后，可以发起交易或设置通知；Accept(<date>)依照策略接受实例包括日期段中的日期，以及在该日期之前是有效的；Store(<value2>，<location1>，<value2>，<location2>，，....)将值1存储到位置1，将值2存储到位置2等。位置例如可以是数据库中的字段。可以例如是局部存储或相互之间或内部的存储(参见图5)；PushPolicy(<policy description>可以将策略推进到当前系统中或推出到其他系统。例如，满足某些条件时，使策略改变用于其他RDS处理的RDS实例；CreateTransaction(<transaction type>，<recipient>，<fieldl>，<value1>，...)与PushPolicy相似，创建埃那交易将交易文件传输到构成交易类型的接受者(recipient)。用于交易的数据段将值1置入字段1中。
如本领域的技术人员显而易见的那样，根据本文中的公开，专用的脚本和其他形式的程序语言可同样在本发明中使用，以实现更精深和复杂的标准和规则编码。这种附加的复杂度可包括(例如)环路结构(包括从外到内和从内到外的环路)、存取外部数据(包括外部专用脚本)、初始值和其他复杂条件的语句。
策略模板可提供建议、改变、修改或通常可接受的实践，以允许生成风险策略，或允许传递数据作为风险策略的输入。例如，策略数据采用大量的形式，如本领域的技术人员显而易见的那样，并且策略模板可提供从一种形式到另一种形式的变换。下面是使用XML示出的示例性的“触发器策略(trigger policy)”的策略模板Trigger-Policy<TriggerPolicy>
<Event ID＝″1″Document＝″BuildingSecurity″Criteria＝″CountryValue＝″Korea″>
<Policy Name＝″GoldBuidingAsia″>
<Policy Name＝″SilverBuilding″>
</Event>
<Event ID＝″2″Document＝″BuildingSecurity″>
<Policy Name＝″GoldBuiding″>
<Policy Name＝″SilverBuildingAsia″>
</Event>
<Event ID＝″3″Document＝″FacilitySurvey″>
<Policy Name＝″SurveyPolicy″>
</Event>
</TriggerPolicy>
例如，在示例性的“BuildingSecurity”文件中(参见上面的实施例XML-A和XML-B)，触发器策略TriggerPolicy模板首先检测国家值是否与“Korea”匹配。如果匹配，则可以对照该文件对策略GoldBuildingAsia和SilverBuilding进行测试。如果不匹配，则对照文件对策略GoldBuilding和SilverBuildingAsia进行测试。
策略模板(例如触发器策略Trigger-Policy)还可以建立或结合其他的文件实例Document-Instance。例如<Event ID＝″1″Document＝″BuildingSecurity″Criteria＝″CountryValue＝Korea″>
<Replace Document＝″KoreaBuildingForm″>
</Event>
<Event ID＝″2″Document＝″KoreaBuildingForm″Criteria＝″CountryValue＝″Korea″>
<Policy Name＝″GoldBuidingAsia″>
<Policy Name＝″SilverBuilding″>
在这一实施例中，将BuildingSecurity文件转换为新的文件KoreaBuildingForm。该新格式的KoreaBuildingForm实例通过上述触发器策略来运行。从BuidlingSecurity到KoreaBuildingForm的映射可以各种方式来实现，如本领域的技术人员显而易见的那样。从标签值到标签值的映射可以是使用策略模板来转换信息的示例性的方法。例如，国家值能够以两种形式存在，并且一对一地进行策略模板映射。
如在本文中所使用的那样，文件101的实例可以是批准的实例或未批准的实例。如果下面的两个条件中的一个成立，则文件实例可能是批准的文件(1)执行了Accept()；(2)执行了Require()，包括在Require()中指定的组成员批准了文件。
计算108可以描述对风险类别进行计算的一个实施例。该计算的方法可以例如是复数、实体规则或一般的并且是非实体规则。为了简化，在该实施例中，示例性的操作可以具有这样的形式F(g(Value)，h(Value，Value′))＝Risk Cat value，其中，F是输入值的数学求和。在该实施例中，g和h可以是各种代数函数，例如，如果(value＝True)，则返回50，否则返回100。同样，可以产生乘法选择。例如，计算可以返回(value*常数)，其中，常数是预定的整数。因此，值g和h可以是或要求一个或多个输入，可以为外部的，例如响应问题的数据输入，或者内部的，例如将常数应用到在进行h的计算108时获得的数据。
图2是示出了应用多个风险策略的流程图。在该实施例中，用于文件101的文件实例202表示用于特定输入实例的“填写形式(filled-out form)”。该描述性的文件实例202按照一个或多个风险种类进行加权205，其中，Risk Cat值x、y表示根据风险种类y用于文件y的值。因此，根据具体的示例性风险策略201，文件实例202可以被批准，例如在组Group中的用户接受文件实例或拒绝实例后，经由认可函数Accept()或经由函数Require()来批准。文件实例202在最终批准之前根据多于一个的策略203、204(例如在应用到给定文件101的风险策略层次中)被批准。
在图2中的示例性实施方案中，风险策略203描述了仅根据一个策略接受的文件实例，而风险策略204表示根据一个以上的策略批准的文件实例。
应该注意到，在XML-B的实施例中，风险种类(RiskCat)值可以是依赖于文件的，并且同一文件实例不会生成多个RiskCat值，例如，与不同策略关联的那些值。然而，通过将风险种类认为是根据各个策略具有不同的值，同一文件实例可以根据两个不同的策略进行评估。例如，一个公司可具有内部机密性策略和外部机密性策略。这些策略可以是任意离开该组织的机密数字数据在传输中必须加密，而在内部传输数据时不需要加密。因此，文件可以指定离开内部服务器的数据是否要加密。因此，对于内部策略来说，“机密性”风险种类通常不会影响从内部服务器到其他内部服务器的传输。然而，如果试图的传输是外部的，则关于该文件的加密的回答“否(NO)”将会影响用于“机密性”策略的风险。这样，在该实施例中，机密性风险种类得分(score)根据不同的策略具有不同的结果。
在示例性的XML-B中的这种限制通过可以理解风险种类的浏览器而简化评估，以使其仅具有一种意思。对于风险种类的这种限制仅仅是一个示例，并不需要在本发明中使用。在这种示例性的方式中，可以将风险值评估限制到在策略规则Policy-Rule中规定的值中。可以将风险策略参照引入到XML-B中，如下所示<Risk Name＝″confidentiality″policy＝″confidentiality-external″Script＝″Add(5)″>
<Risk Name＝″confidentiality″policy＝″confidentiality-internal″Script＝″Add(0)″>
文件实例可具有关于策略的批准。类似地，可以将策略和资格(Qualification)链接起来。图3是示出策略和资格之间的关系的流程图。文件集305可以经由关系306与策略或策略集301关联起来。资格302可以与一个或多个策略实例301关联起来。例如，如果文件实例101或文件实例集305根据策略1被批准，则可以获得资格1 302和资格2。资格可以需要不止一个的策略批准304。在该实施例中，文件实例应该是对于策略2和策略m获得批准而得到资格3。这样，在策略和资格之间存在分层。如在上文中关于对策略的分级特征所描述的那样，资格同样可以相对于其他的资格和策略是分级的。可以对资格进行编码，例如使用XML，如下所示QUAL-Template<Qualifications>
<QUAL Name＝″GoldSeal″Description＝″Corporate Gold Seal forVendor″>
</Rules ID＝″1″>
<Cat ID＝″1″Name＝″GoldPolicyPhysical″>
<Cat ID＝″2″Name＝″GoldPolicyProcesses″>
</Rules></QUAL>
<QUAL Name＝″SilverSeal″Description＝″Corporate Silver Seal forVendor″>
<Rules ID＝″1″>
<Cat ID＝″1″Name＝″GoldPolicyPhysical″>
<Cat ID＝″2″Name＝″SilverPolicyProcesses″>
</Rules>
<Rules ID＝″2″>
<Cat ID＝″1″Name＝″SilverPolicyPhysical″>
<Cat ID＝″2″Name＝″GoldPolicyProcesses″>
</Rules>
<Rules ID＝″3″>
<Cat ID＝″1″Name＝″SilverPolicyPhysical″>
<Cat ID＝″2″Name＝″SilverPolicyProcesses″>
</Rules>
</QUAL>
</RiskCategories>
在上述的实施例中，如果可获得风险种类GoldPolicyPhysical和GoldPolicyProcesses，则可仅获得资格“GoldSeal”。然而，如果获得风险种类GoldPolicyPhysical或GoldPolicyPhysical，并且相似地获得SilverPolicyProcesses或SilverPolicyPhysical，而不是同时获得风险种类GoldPolicyProcesses和GoldPolicyPhysical，则获得资格“SilverSeal”。
图10简化了图4中的示例性描述。如图所示，文件实例可以与在不同的时间输入的多个输入的“文件”相关。例如，文件A(在线1002之下的值)可以是在时刻0接收到并存储在数据库1004中。文件B(在线1002以上的值)可以是在时刻1接收到的。可以将文件A放置在文件实例1003中。
在上文中描述的策略评估可以是风险检测系统(RDS)的一部分。RDS可以存在于更大的体系机构中，如图5所示。RDS可以根据文件评估策略，保持存储以评估策略507，并确定资格。可以将RDS链接到一个或多个集合器(aggregator)506。集合器可以包括从多个RDS中获取信息、并为其他的RDS供应策略和文件的RDS。如果在两个RDS中出现了两个文件，则该集合器可以包括调解者(reconciler)，例如内部全局数据库502。集合器可部分地基于历史动态地生成或应用策略。例如，从考虑周到的(discreet)RDS实例向集合器输入多个输入表示极端地处于国家风险(country risk)中，则集合器可以在各种RDS中修改策略以控制这一风险。例如，表示交易的后修改文件不会被经过修改的策略而被接受，这是因为对于国家风险的可接受门限值可能已被重置为高，这样不会接受先前可接受的文件分值。
当RDS和集合器可以从内部全局数据库中接收信息时，可以从相互之间全局数据库502获得信息。相互之间全局数据库可以位于机构之外。例如，海关和边境保护署(外部组织)可具有不欢迎与其进行商业往来、以及控制(例如操作需求)特殊种类货物的个人或实体的“审查名单(watch list)”。美国国务院保存着公知的恐怖分子名单，其他的政府机构和组织、管理和标准机构、合伙人以及各种其他提供商也保存着对于RDS有用的数据。一些公司还可提供可用来动态地以及预先有效地(pro-actively)生成策略的统计的和其他数据。同样可以将信息分布到系统，并建立信任等级。
信任管理器(Trust manager)503表示安全信任系统，例如，公共密钥设施(PKI)[X500，X509，RFC3280]或Kerberos[Neuman]或在本领域公知中的其他方式[Menezes]。信任管理器可以通过相互之间或内部的管理机构来管理。管理机构可以是规定批准在基础设施内进行通信、以及规定这些被批准进行通信的部分所具有什么权利的任意个人或团体。信任管理器可进行安全调节(security scalable)。然而，图5中的基础结构不需要使用信任管理器，其安全可以直接建立，例如使用密钥的物理交换，或通过在本领域中公知的其他方法。
进入点(Entry Points)501可以是在其中接收数据的源。RDS可以直接或以组合的形式从进入点接收数据。进入点可以是入侵检测系统中的探测器。进入点通过仅接收数据并将数据放置在RDS或用于RDS或集合器的相互之间或内部全局数据库中以进行使用，从而可以减少成本。进入点可以规定以及可以用来从RDS卸载工作荷载。
例如，上述的XML-B包括策略执行，尽管进入点可以完成一些等级的文件策略浏览。这降低了外人辨别RDS策略的风险。进入点还可以直接或经由信任管理器503建立信任。
图6是示出安全地传输策略模板、策略规则或用于资格或文件(例如，XML-A或XML-B)的策略模板的流程图。模板605(例如)可以被传输602。发送者例如可以是集合器、RDS或管理机构。信任管理器604可以在RDS和发送者之间建立信任603。作为示例，如果信任管理器是PKI，并且发送者发送的消息被签名，则RDS可以基于证书(certificate)验证该签名。RDS(其还可以是集合器)接收通过验证的模板，并且可以将策略模板并入到后面的评估中。
策略模板可以由基础设施中的不同机构和成员生成。可以如图7所示地规定评估的优先级(即顺序)。在上述的策略规则应用的实施例中，“自顶向下”评估上述策略。策略702可以由子策略构成。例如，策略702可以在策略703之前执行。一些机构可以被设置的更高，例如在其中政府机构可以优先于公司703或当地限定的实体或个人704。组织机构还可以在其策略模板中规定优先级。例如，Rule:<label>
Priority:<High＝1 to Low＝10>
Criteria:<conditional script>
Action:<script>
在该实施例中，政度机构可以将多个模板设置到RDS中，并且可以给予它们比其他源702更高的优先级。
可以允许各种组织机构访问RDS。访问控制可以根据用户是谁以及用户如何进行识别来限制对信息的访问、或者对信息的修改。图9示出了用户905具有访问906。用户905可以属于相互之间管理机构或内部管理机构902。信任关系903示出了信任管理器904和管理机构902之间的关系，以及信任管理器904和RDS 901之间的信任关系907。可以通过为计算机安全开发的机制将信任置于信任管理器和用户之间。这种示例包括在PKI内的注册代理(Registration Agent)，该注册代理代表管理机构行使权利以对用户进行验证，以及处理用户公钥的证书。基于通过信任管理器904建立的信任关系，用户可以具有特殊的访问RDS的权利，以及基于通过一些访问控制机制提供给用户的权利而具有访问集合器或全局数据库的权利。政府代理机构或合伙人可具有限制或扩展的访问，而同时内部的用户可具有不同的访问权利。例如，政府代理机构可以被自动地授予对某些本来被限制数据和数据存储的访问权利，条件是发生特定的事件和提出适当的凭证，包括提供在线身份或角色的证据。
一个RDS可以与另一个RDS通信，以提供策略实例或策略模板、文件和/或资格。RDS1 801可以发送对象到RDS2 802或全局数据库数据806、803、804。可以对发送803或804进行验证，例如进行数字化签名，或经由安全通道(例如经由SSL、VPN、IPSEC等)进行发送，或经由其他一些对于本领域的普通技术人员公知的安全手段来发送。通过信任管理器经由到发送803和804的信任关系805可以使用或建立安全。关系805可以通过例如在公钥基础设施(PKI)中起到认证中心(CA)作用的信任管理器来表示凭证关系。
图8示出了一种推(push)方法，其中，RDS推出各种实例，并以安全的方式报告，例如用公钥(由作为CA的信任管理器鉴定)签名的实例。在实践当中，RDS不需要推方式，而是局部地响应于被拉(pull)的信息来表示信息。也就是说，它可以提供拉而不是推。因此，RDS应用802、806可局部地请求和接收数据801。
RDS外部表示的或相似地由全局数据库或其他数据存储(例如文档、目录等)外部表示的数据对于用户来说是有用的。在图8中，表示了几种类型的信息。报告可以是检查日志、集合的风险、反常的发现、以及其他包括可审查条件的事件。报告可以允许外部成员浏览正在使用的处理，尽管可能需要特殊的审查等级访问权利。资格模板、策略模板或文件模板可以使RDS为外部浏览发送模板，或通过其他的RDS执行模板。
RDS可以支持各种角色。这些角色可包括RDS管理者执行基本的系统管理，例如但不限于为用户(即ID管理)、团体和外部成员提供访问；监控系统的性能；确保执行备份，以及通常与系统正在监控的风险不相关的其他基本任务；模板建立者建立各种在应用中使用的模板，包括策略、文件和资格模板；数据进入者将数据提交到系统。可以存在不同种类的具有不同权利的数据进入者，例如，可以允许一些进入者填写一些表格而不允许填写其他的表格，或者仅仅填写用于特殊群体的表格；
风险管理器规定用于风险种类和资格的策略容限、如何确定风险种类、以及对照不同的种类执行策略的动作；文件批准者在请求接受文件的Require()动作被设置时，对照策略批准文件实例，用于各个实例或一些实例的限定群体或群体；监督批准者特定群体的批准者。一些组织机构可以向批准者以及监督者请求文件批准；以及审计者具有只读访问的能力来浏览其他人员的动作。
计算机系统可以执行(至少部分地)角色。例如，RDS和集合器还可以建立模板，数据进入可以是进入点。风险管理器可以是特殊类型的模板建立者，例如可以是RDS和集合器。它们可以浏览过去动作以确定将来动作的策略。
在本发明的联运方式的集装箱运输的实施例中，定义的种类可以包括基础设施资产、运输资产和装运的物品。基础设施资产与用于联运集装箱从点到点(包括从装载点到卸载点)的移动有关。基础设施资产的示例包括计算机系统、信息处理系统、仓库和港口的终端。基础设施资产不限于物理实体或事务，而还可以是法人实体。例如，拥有和/或管理仓库的公司可以分类为基础设施资产。运输资产可以是直接用于装运的物品的实际移动的资产，但不是装运的一部分。例如，出于移动装运的物品的特殊目的而使用的火车发动机、集装箱或其他的轮船或飞机可以是运输资产。如果难以确定资产是基础设施资产还是运输资产，则可以将其作为这两种资产来处理。装运的物品可以是实际的运输货物，以及在这些货物的移动中使用或与之相关的特殊的资产和文件。这一种类可以包括但不限于约束物理运货的集装箱，可以是挡板或指示(人工地或电子地)运货的修改的密封，以及与特殊运货相关的文件，例如发送指示、提单等。
可以使用调查、问卷和/或其他的机制来识别基础设施资产和这些基础设施资产的其他方面，例如是以某种方式对基础设施资产负责任的人们。基础设施资产可具有子部分、系统或成分。例如，建筑物可以是基础设施资产。然而，位于建筑物内的贮存设备(但是不受不同物理、逻辑或法人控制)可以看作是大厦的子成分，而仍然被分类为基础设施资产。基于设备的类型，可以根据不同的标准对基础设施资产进行评估，这些标准包括但不限于对物理安全(例如，锁的类型、栅栏的高度、保安人员的人数等)的控制；对于员工安全(例如，背景检测、雇佣合同等)的控制；对于数据系统(例如，机密性、完整性和可用性等)的控制；历史的控制(例如，确定是否适当地处理固定资产的先前历史)；保险(例如，保险的类型及其限制)；先前的法人和/或管理者对资产的处理(例如，是否针对资产、判断、命令、裁决和仲裁等具有或存在合法或管理的行为等)；契约控制(例如，关于基础设施资产、其工人或工厂等的契约条款等)；卖方控制(例如，他们是谁或如何对他们进行评估等)；记录保持和审计控制(例如，记录保持的方法，审计控制的类型等)；以及程序和实践(例如，完成任务的方法)。
这些标准或它们的合成或分解可以被看作是风险种类。在需要的时候可以包括附加的风险种类。被评估的资产的特征可确定用来对其进行评估的风险种类，以及用来计算风险种类值的数据值的选择或加权。这样，例如用于低值仓库的、构成物理安全风险种类的问题不同于用于高值数据中心的、构成相同风险种类的问题。
通过RDS可以多种方式加入使用资产。例如，可以使用网页系统加入资产，或者其他的应用可以通知RDS新的资产。可以具有专用的RDS用于使一种或多种类型的资产加入。它们可以将与资产有关的数据提供到其他的RDS系统。可以将新的资产存到其他的数据库(例如，卖主数据库)。固定的资产信息可来自集合者、其他的RDS、相互之间或内部数据存储或其他源。还可以从现场工作、调查、政府合同、或其他无论是外部还是内部的数据中获得信息。
在限定资产后，可基于适当的策略来进行评估。新资产的引入可以是触发事件，例如新的卖主交易，例如基于网页的项目，并且触发事件可以产生依照触发器策略的评估。这种评估可以产生多种作为策略的一部分的行为，例如a)它可以请求执行某些调查(例如，物理建筑物的调查)，并因此将通知发送到适当的人们以通知他们新的卖主已经启动，以及他们必须完成调查，b)可以发起对内部和外部数据的观察(例如，检测被拒绝方的明细表，检测任意法律/管理行为，验证保险策略、财政状态等)，例如对外部方的评估(例如，发起对第三方的购买以进行现场调查或其他分析)。随着接收到更多的信息，触发器策略可以根据策略对其进行测试。随着接收到更多的信息，策略可以满足一些案例，并且可以在所满足的案例中获得资产的资格。此外，资产资格(其可以是交通、基础设施或货运物品以及装运本身)是发生其他事件的前提，例如在其中登记装运的供应链；运送者(carrier)基于来自托运人(shipper)的直接的预定，或例如从非船操作的通用运送者接收到的预定运载运送；运送的价格；答应传送的次数；货物运送者或其他用来携带、处理包装或存储货物的资产的保险范围。
根据策略与资格相似的批准可以是短期的。例如，如果具有对于期望的控制没有重大妨害或缺少期望控制的材料，可以提供短期批准。例如，用于建筑物的物理保险策略可以改变。符合某种秘密标准的建筑物可以仅接受根据以前物理安全策略的锁定达到一个月。在一个月后，短期批准不再有效。
能以分级的特征规定策略，如上所述。例如，种类“gold seal”(即，在分级中的高等级)不需要那些需要对较低等级进行的某些货运检测。相似地，这可以根据资格来进行。可以看出，对于满足某些“gold seal”标准的人们，可以采用相同的方式根据评估对资产进行分类。自身为“基础设施资产”的公司可以拥有货运交通。自然地，对于许多示例性的资产，在一个方面可具有“拥有”的关系，而在另一个方面则为“被拥有”关系。资产可以具有与对任意具体交易进行风险评估有关的关系。这些一对一、一对多和/或多对多的关系可用来评估风险。作为示例，例如可以对照物理安全对港口进行评估。关系可以显示为用于港口的物理安全部分由其他的实体来“管理”。还可以对由实体进行的管理进行评估，其风险被适当地算入港口的风险中。
可用于影响风险的关系的关联包括被拥有；出租人；承租人；消费者；卖主；供应者；管理者；控制者；保险者；审计者；评估者；检测者；审计者；操作者；处理；金融机构；承保者；担保者；安全；关系(当关系类型没有在系统中说明时)；以及上述的相反面(例如，被拥有的相反面是拥有者)。
货运物品可包括被运送的货物、其包装、联运集装箱(在其内运用货物)以及用于货物集装箱的各种安全、可视或状态设备，以及与文件或消息(例如，装载货物的帐单或事先的货运通知)相关的装运。装运物品可以是在具体装运(特别是在其内包含的集装箱)风险管理评估中所被评估的一部分。风险或风险信息仓库的区域以及途径包括在基础设施资产或运输资产(包括所有供应链的计量程序，确定工人和商业财产的箱位坐标)中的所有或一些不同的方面(例如，物理、逻辑、金融等)中的风险情况可被用来收集、制造、包装、装载、密封、移动装运的物品等；将用于与基础设施资产、它们的拥有关系或其他材料(与能够影响风险的关系有关)有关的信息的相互之间或内部数据存储进行屏蔽；装载和密封集装箱的条件包括检测、装载和各种类型的形成文件程序、使用独立的检查中介、物理的存取控制、逻辑保护等；在其他可能的参数中，用于集装箱的肯定和否定规则集涉及行程持续时间、重量、时间、位置、状态等，以及其他相关的风险管理规则和异常过程，例如不超过某段时间；不短于某段时间；不超过特定测量的距离；至少等于特定测量的距离；各种期望的路线，水路或公路；禁止的位置，包括由GPS跟踪的确定位置；预期的位置，包括由GPS跟踪的确定位置；文件异常，例如基于起点或季节的不正确出发地或目的地；
用于传感器或密封的门打开或光内容(light content)规则；异常的核、生物或化学物质；异常的温度变化；异常的气体例如C02；对于与装运或集装箱有关的状态消息(它们可以是在供应链事项中提供的)的异常分析；以及对于与装运有关的文件(不同于状态消息)的异常分析。
应该注意到，各种发生的历史和特征模板以及汇报功能可以是本发明中的独立服务。即，知道系统的一些方面可以是通过一些批准中介来批准，或者可以验证个人。作为示例，卖主可以对照策略通过机构(institution)来批准。可以将这种批准并入到RDS中。批准的事件可以被签名，或在其上设置其他安全控制。公司可以购买批准事件，例如管理机构可以向第三方出售作为资本的批准，或者可以被允许出售批准事件或其一些方面。
在如图11所示出的描述本发明的具体示例描述中，文件被设置具有其中的值。这些值可以根据一个或多个风险策略来计分，风险策略可以位于一个或多个风险策略模板中。可以根据多个计分机制来进行风险分析。例如，金融机构能以一种方式对文件及其值计分，而保险机构可以不同的方式对相同的文件及其值计分。
在这种示例性的实施方案中，可对全局供应链风险进行评估。例如，供应链中的仓库可包括扩大量的文件(具有大量的值)。这些文件可以根据用于各个种类文件的风险来进行分类。例如，仓库安全可以形成一个种类，电源可以形成另一种类。可基于值对照风险策略进行风险分析。例如，用于仓库安全的文件可包括数值“摄像头瞄准是(cameras presentyes)”。显然，这些数值因数可以充分地影响对仓库安全策略的应用，以及基于对这些数值的风险策略的应用影响安全是否通过或失败，或是否达到某种资格。
同样，可以为各个种类以及为所有的种类对供应链中的该示例性链路计分。上述风险分析以及所有的风险分析可遵循一个或多个模板。例如，如果上述仓库存在于犯罪率高的第一国家，总分值为80，或安全分值为85是不可以接受的。然而，如果仓库存在于犯罪率低的第二国家，则总分值为70，或安全分数为75就可以认为是可以接受的。
此外，或作为一种替换，通过使用本发明可以监控其他的流程。例如，通过独立的交易方或通过总的交易可以对交易流进行计分。计分的过程可包括(例如)购买订单、货品计价或集装箱存储。计分的过程同样可以指例如任意的商业处理，包括手动、电子、或手动和电子的集合，计分的过程可以用于任意文件或流的全部或选择的部分。可以对本发明应用的任意部分或全部进行报告。报告可以例如是电子或纸质形式。
根据在本文中给出的教导，以及在本文中参考并被引入本文的内容的参考文献，本领域的技术人员可以通过使用已经能够得到的硬件和软件技术来实现本发明。此外，各种计算机方面、语言、或包括XML的脚本语言可以引入到本发明中。
本领域中的普通技术人员可以认识到，可以在不背离本发明的精神和保护范围的前提下，对本发明进行许多修改和变化。因此，如果这些对本发明的修改和变化落入所附的权利要求
的范围内，本发明覆盖了这些修改和变化以及它们的等同物。
权利要求
1.一种用于监控与至少一个商业处理相关的风险的方法，包括根据多个风险种类对多个文件实例中的至少一个进行评估，其中，所述文件实例中的每一个都包括与其相关的多个文件值；按照为所述至少一个商业处理批准的至少一个可接受的风险策略，执行所述多个风险种类；以及根据在至少一个风险种类中对至少一个文件的批准定级，使所述多个文件中的至少一个具有至少一个资格。
2.如权利要求
1所述的方法，其中，所述风险与基础设施关联。
3.如权利要求
1所述的方法，其中，所述评估包括所述至少一个可接受的风险策略中规定的团体中的至少一个成员进行必要的介入。
4.如权利要求
3所述的方法，其中，所述执行包括对所述至少一个成员进行至少一次通知。
5.如权利要求
1所述的方法，其中，所述使具有资格的步骤包括允许所述至少一个文件进入所述商业处理。
6.如权利要求
1所述的方法，其中，所述文件包括调查。
7.如权利要求
1所述的方法，其中，所述文件包括第二多个文件的超集。
8.如权利要求
1所述的方法，其中，所述风险策略是分级的。
9.如权利要求
1所述的方法，其中，所述资格是分级的。
10.如权利要求
1所述的方法，其中，所述文件规定了所述商业处理中的至少一个资产。
11.如权利要求
10所述的方法，其中，所述评估包括对物理安全控制、员工安全控制、数据系统控制、历史控制、保险、根据资产的行为、契约控制、卖主控制、记录保持以及审核控制中的至少一个进行评估。
12.如权利要求
11所述的方法，其中，所述审核控制包括授权。
13.如权利要求
11所述的方法，其中，所述审核控制包括拒绝。
14.如权利要求
11所述的方法，其中，所述审核控制包括物理监管。
15.如权利要求
1所述的方法，其中，所述使具有资格的步骤不允许在所述商业处理中使用所述至少一个文件。
16.一种用于监控与至少一个商业处理相关的风险的方法，包括根据多个风险种类对多个文件实例中的至少一个进行评估，其中，所述文件实例中的每一个都包括与其相关的多个文件值；按照为所述至少一个商业处理批准的至少一个可接受的风险策略，执行所述多个风险种类；以及根据在至少一个风险种类中对至少一个文件的批准等级，取消多个文件中的至少一个的至少一个资格。
17.如权利要求
16所述的方法，其中，所述风险与基础实施关联。
18.如权利要求
16所述的方法，其中，所述评估包括所述至少一个可接受的风险策略中规定的团体中的至少一个成员进行必要的介入。
19.如权利要求
16所述的方法，其中，所述使具有资格包括允许所述至少一个文件进入所述商业处理。
20.如权利要求
16所述的方法，其中，所述风险策略是分级的。
21.如权利要求
16所述的方法，其中，所述资格是分级的。
专利摘要
一种用于监控与至少一个商业处理相关的风险的方法、系统和设置，可包括根据多个风险种类对多个文件实例中的至少一个进行评估，其中，所述文件实例中的每一个都包括与其相关的多个文件值；按照为所述至少一个商业处理批准的至少一个可接受的风险策略，执行所述多个风险种类；以及根据在至少一个风险种类中对至少一个文件的批准定级，使所述多个文件中的至少一个具有至少一个资格。所述系统、方法和设备能够有效地监控风险，并允许灵活地修改或升级风险策略。
文档编号G06Q40/00GK1998013SQ20048002260
公开日2007年7月11日 申请日期2004年6月8日
发明者亚伊尔·弗兰克尔, 查尔斯·J·米勒, 诺阿利·J·罗森克兰茨 申请人:格林莱恩系统公司