机载安全管理器的制作方法

专利名称：：机载安全管理器的制作方法
技术领域：
：本发明一般地涉及一种用于监视在移动网络平台上安全活动的机载安全管理系统，特别涉及一种自主式机载安全管理器，用于当移动网络平台与陆基网络安全管理系统有或无联络时响应检测到的安全入侵事件。
背景技术：
：我们社会和经济发展所依赖的宽带数据和视频服务，至今还不能广泛地为搭乘诸如飞机、轮船、火车、汽车等移动网络平台的用户所利用。现有技术为大多数形式的移动网络平台提供此类服务时，过去的解决方案一般非常昂贵且数据率低，和/或只有很有限的政府/军队用户以及一些高端的海事(如巡航船只等)的市场。以前开发的、尝试为移动网络平台提供数据和视频服务的系统只取得了有限的成功。一个主要的障碍就是对这种宽带数据和视频服务访问的昂贵成本。另一个问题就是以前开发的系统的容量有限，该容量对移动网络平台搭载的数十或数百的乘客而言是不够的，每个乘客可能同时请求不同的节目频道或者不同的数据服务。此外，现有系统一般不易升级到满足旅行公众的需求。特别有意义的是，目前存在的系统也没有全面提出的、相对于移动网络平台的安全论点。因此，希望提供一种网络安全结构用于对机上在移动网络平台上的安全活动进行监视、报告和响应。可以想象这样的一种网络安全结构应该设计成(a)乘客可以在移动平台上访问的安全的计算机资源；(b)通过一条不可靠的通讯链与陆基系统部件可靠地通讯；(c)提供一种对发生在移动平台上的检测到的安全入侵事件的响应进行调解的策略；和(d)调节系统的管理以适应数百或数千的移动平台。
发明内容根据本发明，提供了一种用于监视在移动网络平台上安全活动的机载安全管理系统。该安全管理系统包括一个通过一条不可靠通讯链路与陆基网络安全管理系统互联的移动网络平台；一个连接到该移动网络的入侵检测系统，用于检测起源与该移动网络有关的安全入侵事件；以及一个移动安全管理器，适于从该入侵检测系统接收安全入侵事件。该移动安全管理器用于向网络安全管理系统发送一个表示该安全入侵事件的消息，并根据从该网络安全管理系统接收的安全指令执行安全响应活动。该移动安全管理器可还用于当该移动网络平台不与网络安全管理系统连接时，指挥在该移动网络平台上的安全响应活动。本发明的各种优点，通过阅读随后的说明书、权利要求书以及参考附图，对本领域的技术人员是显而易见的，图中图1表示根据本发明的用于移动网络平台的一种网络安全结构的方框图；图2A和2B表示本发明的用于移动网络平台上一个指定用户访问点的一种安全策略的状态机图；图3表示实现本发明的安全策略的一种典型数据结构图；图4表示本发明的网络安全结构的主要软件部件图；图5表示根据本发明构成机载安全管理器的功能软件模块方框图；图6表示根据本发明实现陆基网络安全系统的地面控制和数据存储功能的功能部件方框图；图7表示根据本发明用于实现陆基网络安全系统的监视和手动控制功能的一个典型的飞机浏览器窗口；图8表示根据本发明用来实现陆基网络安全系统的监视和手动控制功能的一个典型的飞机状态窗口。具体实施例方式图1表示用于监视在一个无人管理的移动网络平台12上的安全活动的网络安全结构10。网络安全结构10的主要用途是监视、记录、报告并响应与移动网络平台12有关的涉及安全的事件。在一个优选的实施方式中，网络安全结构10支持一个驻留在一架飞机上的移动网络平台。移动网络平台12依次通过一条或更多条无线通讯链14与一个陆基通讯系统16互联，包括一个陆基网络安全管理系统18。虽然下列描述是参照机载应用给出的，容易理解该网络安全结构的广阔的方面能够应用于驻留在如公共汽车、巡航船等上面的移动网络平台。可以想象移动网络平台12为飞机乘客提供了一组宽带双向数据和视频通讯服务。为了支持多种服务，该基本设施允许信息以足够高的速率发送至飞机和从飞机发出。为此，移动网络平台12主要由四个子系统组成一个天线子系统22、一个接收和发射子系统(RTS)24、一个控制子系统26和一个座舱布线子系统28。下面对这四个子系统中的每一个做进一步描述。天线子系统22为飞机提供双向宽带数据联络和直接广播电视接收能力。尽管本发明没有其它限制，天线子系统22通常设计用来为处于巡航条件(有限的倾斜和俯仰角)下的飞机提供这种联络。与飞机的联络一般通过K波段固定卫星服务(FSS)卫星、广播卫星服务(BSS)卫星和/或直接广播电视服务(DBS)卫星实现。为了说明，提供与Ku波段卫星广播有关的信号处理的补充描述。天线子系统22可以接收和/或发射Ku波段卫星广播信号。天线系统22向下变换输入的Ku波段信号、放大并输出L波段信号到RTS24。该天线系统还可以提供宽带下行链路能力。在这种情况下，天线系统22从机上的调制解调器接收L波段数据信号，向上变换该信号，放大它，然后作为Ku波段信号广播到选定的卫星异频雷达接收机。接收和发射子系统(RTS)24工作在接收和发射模式。在接收模式时，RTS24可以接收转播的视频信号、转播的音频信号和/或嵌在L波段载波中的IP数据。RTS24依次对接收到的信号进行解调、解扩、解码并发送到座舱布线子系统28。在发射模式时，RTS24发送调制成L波段信号的IP数据。RTS24对从座舱布线子系统接收的IP数据信号进行编码、扩展和调制。控制子系统26控制移动安全平台12及其四个子系统中的每一个的运行。特别有意义地，控制子系统26包括一个或更多个入侵检测子系统32和一个机载安全管理器34。入侵检测子系统32用于检测在平台上发生的或与之有关的安全入侵活动。为此，入侵检测子系统32检查全部进入其宿主计算设备的数据包，在检查到一个安全入侵活动时，发送一个安全入侵事件到机上安全管理器34。对本领域技术人员显而易见的是，可以利用许多商品化的现有软件产品中的一种实现入侵检测子系统32。机载安全管理器34负责为飞机强制执行安全策略。因为与飞机的通讯可能是偶发的，当对安全入侵事件做出响应时，机载安全管理器34必须提供自动运行的能力。当检测到一个安全入侵事件时，机载安全管理器34根据一个可定制的安全策略适当地做出响应。因此，机载安全管理器34适于从任何一个入侵检测子系统接收安全入侵事件，并用于实现一个安全响应。典型的响应可能包括警告飞机上的一名或更多名乘客、向陆基安全管理员报警，和/或切断一个乘客的网络访问。座舱布线子系统(CDS)28通过多个用户访问点向飞机上的乘客提供网络连接。在一个优选的实施方式中，座舱布线系统可以由一组802.3以太网交换机或802.11X无线访问点组成。必须注意现在的802.11B标准只允许一组无线访问的所有用户之间共享秘密，因而不适于在乘客座舱中提供期望级别的通讯隐私。相反，下一代无线标准，例如象802.11X(这里X表示“B”之后的802.11修订版)，将支持“信道化”或个别用户级加密。可以想象这样的无线标准在本发明的范围内。每个用户访问点最好具有可控制层3交换的特性。第一，每个用户访问点必须强加一个与特定端口结合的IP地址和MAC地址。该要求适用于有线以及无线座舱环境。对每个用户访问点的第二个要求是接收一条指令去切断其访问端口。在无线访问设备的情况下，一条信道由用于该物理访问端口的一个特定频率、时分或副帧替换组成。对每个用户访问点的第三个要求是使乘客不能窃听或接收非直接寻址到他们的以太网信息分组。在有线座舱布线系统里，这可以通过使用交换式以太网结构实现。在无线座舱布线系统里，这可以通过使用对特定用户的“信道级加密”实现。安全策略机制的设计是网络安全结构10的最基本的要素。根据本发明，可以想象该安全策略将在下述约束下进行设计。第一，安全策略装置应将不同的安全入侵事件映象到不同的响应。应该懂得该响应的严重性基于所检测到的活动的威胁。第二，自动响应策略必须总是强制的(在撤销的条件下)，不管空对地通讯是否有效。如果在连接周期内禁止自动响应，在安全管理员有机会采取行动之前，连接可能失败，此时系统在撤销之前恢复到自动策略有效状态。如果安全管理员愿意，他们能够撤销该响应。第三，该策略机制必须在来自机上的安全管理器的自动响应和接收自地面安全管理员的手动指令之间进行仲裁。如果自动系统错误地阻塞了一个乘客的网络访问，而地面管理员撤销该阻塞，安全策略机制必须理解该行为并不再尝试强制阻塞。状态机是一种灵活、直观、吸引人的用于复杂行为建模的机制。因此，选用状态机来表示本发明的安全策略。图2A和图2B表示基本的uML状态机作为在移动网络平台上与一个用户访问点有关的安全策略模型。图2A中，每一个用户访问点可能处于三种限定的状态之一。在缺省值之下所有用户访问点开始都处于正常状态42。一个任意类型的安全入侵事件将导致适用的用户访问点跃迁到不是可疑状态44就是断开状态46。每次跃迁是以“事件/响应”的形式，这里的事件是导致状态跃迁的外部触发，而响应是产生跃迁时系统发起的外部行为。例如，在正常状态下发生的一个低等或中等优先级事件48将导致系统记录该事件和/或尝试向连接到该用户访问点的乘客发出警告，该用户访问点随后跃迁到可疑状态，如图2A所示。状态机模型可能被强制插入手动控制。特定的手动控制指令使陆基安全管理员可以从地面明确地对用户访问点进行禁止或者激活。通过增加一个表示用户访问点处于手动控制下的状态，可以保证自动响应不会优先于所接受的来自安全管理员的手动控制指令。因此，可以想象每一状态机可能提供一个自动响应禁止状态50，如图2B所示。进入及离开自动响应禁止状态的跃迁由陆基安全管理员控制。当处于自动响应禁止状态时，该管理员可以启动任意一种预定的安全响应。如果管理员与飞机两者之间失去联络，则状态机模型根据配置设定恢复到正常状态或先前的状态。状态机模型还用于表示移动安全平台上的每一台主机服务器或其它类型的计算设备。以这种方式，一台处于攻击下的服务器可能有不同于一个用户访问点的响应。同样可以想象，通过综合事件的发生可以将每个状态机连接起来，使得当一台服务器受到攻击时，该用户访问点可以采用一种不同的对可疑行为容忍度较低的安全策略。每一状态机可以用图3中所示的一种数据结构51表示。该数据结构包括当前状态52、可能的安全事件54、结果状态56和可能的响应58。这样，针对可能的事件，每个状态能够交叉参照以产生结果状态以及可能的操作清单。可能的事件可以包括(但不限于)一个高优先级的安全入侵事件、一个中优先级的安全入侵事件、一个低优先级的安全入侵事件、一个复位事件、一个定时器终了事件、一个通讯链上行事件、一个通讯链下行事件以及一个或更多个用于支持来自安全管理员的手动控制指令的常规事件。可能的响应可以包括(但不限于)设定一个定时器、安装一个过滤器、复位一个滤波器、向控制面板发出警报、向陆基安全管理员发出警报、切断用户访问点、发布一个乘客警告以及一个或更多的预定的常规响应。本领域的技术人员容易从这样的讨论中认识到怎样根据本发明实现一种安全策略装置。参照图4，整个网络安全机构10逻辑上可以分成五个主要部件。这五个主要部件是机上策略执行部件62、空一地通讯部件64、地面控制和数据存储部件66、地面监视和手动控制部件68以及地面策略编辑和分配部件70。这些逻辑部件每个也都映象到它们在该网络安全结构10中的物理位置，如图4所示。机上策略执行部件62由机上安全管理器34提供。机上安全管理器的主要任务包括(但不限于)管理和监视入侵检测传感器、监视其它飞机上的事件来源、根据适用的安全策略对安全事件做出响应、监视机上入侵检测传感器、在用户访问点上配置静态网络传输滤波器、执行任何一种来自地面网络安全管理系统的手动撤销指令、安装从地面网络安全管理系统接收的新的安全策略以及向地面网络安全管理系统报告关注的事件和状态。对本
技术领域：
的人员显而易见的是，每架飞机上的安全管理器34包含驻留在一台或更多台服务器上的一种或更多种软件应用。如果出现软件或硬件故障，机上安全管理器的冗余配置用于克服故障。参照图5，机载安全管理器34还包括五个功能模块事件响应模块72、机上状态模块74、策略管理器76、永久性存储管理器78和通讯管理器80。事件响应模块72负责接收事件、解释当前的安全策略并触发响应每一事件的合适操作。应该懂得该模块适于处理除了从入侵检测子系统接收的安全入侵事件以外的事件。与机上状态模块74联合在一起，该事件响应模块解释并执行状态机代表的现行的安全策略。例如，在一个安全入侵事件到达时，该事件响应模块确定该事件是否与一个单独的乘客连接、一台单独的主机服务器或作为整体的机载安全管理器有关。然后该模块从机上状态模块74检索那个乘客连接、主机服务器或机载安全管理器的当前状态，并根据当前的策略执行与那个状态与事件相关的操作。典型的操作可能包括发布新事件、产生状态跃迁、调整网络滤波器、禁止乘客连接和/或为发送到陆基网络安全管理系统的消息进行排队。为了引导状态机事件响应的目的，机上状态模块74保存每个单独的乘客连接、每台主机服务器以及作为整体的机载安全管理器的状态。机上状态模块74还跟踪入侵检测传感器(如特征文件、工作/待用状态传感器配置)的状态，以及收集来自其他机上模块的状态信息。策略管理器76负责对来自陆基网络安全系统的、关于加载以及激活安全策略的指令做出反应。该策略管理器还用作与机载安全管理器有关的配置信息的仓库，例如包括决定状态报告以及事件报告频率的常规通讯参数等。永久性存储管理器78为机上的网络安全结构管理全部的数据存储请求。驻留在永久性存储器中的数据一般属于三种类型之一(1)通讯排队(例如待发往陆基安全管理系统的消息)，(2)机上的状态(例如，每个乘客连接、每台主机以及系统范围内的数据请求)，(3)安全策略。该永久性存储管理器可以依靠不同的众所周知的用于数据存储的轻型机制。参照图4，地面控制和数据存储(C&DS)部件66由陆基网络安全管理系统16提供。该控制和数据存储控制功能包括(但不限于)在永久性存储器中存储全部事件数据、为每架飞机跟踪期望的和最后确认的配置、支持多个具有多窗口的安全管理控制台、通报任何一种影响窗口内容的数据变化的开放控制台窗口、在安全策略中为实现手动撤销提供接口、为检查存储的数据提供报告界面并控制对全部存储数据的访问。该部件可以用驻留在构成网络安全管理系统16的一台或多台地面服务器中的基于Java的应用实现。参照图6，提供了地面控制和数据存储部件66的更详细的描述。该地面部件将为每一架与安全结构有关的飞机保持一个飞机对象90。飞机对象90为一指定飞机保持全部状态信息，并一直追踪驻留在该指定飞机上的机载安全管理器34的最后报告的和期望的状态。飞机对象90是一个动态的对象，因此，将它的状态保存在动态存储器中，需要时能从事件历史中进行重建。任何能够改变机载安全管理器34状态的活动是通过调用该飞机对象的一种方法执行的。每一个方法表示一种事件并记录在一个相应的事件记录中。另外，这些方法都是同步的，以保证任何指定时间只有一个线程能有效改变状态。为了排除死锁的可能性，在通讯或发布事件到其他飞机时，这些事件操作中没有一个会被阻塞。飞机对象90使用通讯子系统100与机载安全管理器34交换信息。飞机对象90为状态报告发布指令和请求，并接收事件和状态报告。在收到一个适当的事件或状态报告之前，任一指令都被视为待处理的。这并不意味该指令还没被执行-它可能未被执行，或者它可能已被执行而只不过确认状态报告还未收到。由于这一有关在飞机上实际发生了什么的认识差距，飞机对象90必须仔细区分最后确认的状态和期望的状态。飞机对象90是本领域公知的模型-视图-控制器(Model-View-Controller)结构。本例中，模型是存储在数据库中的数据，视图是用来显示关于飞机信息的各种用户界面。该飞机对象负责随模型变化更新全部视图。为了强制这一点，全部对模型的改变必须由该飞机对象执行，并且该飞机对象必须追踪那些可能受此改变影响的用户界面。飞机对象90还保持一个主机对象92和乘客连接对象94的集合。主机对象92用来表示机载安全管理器34负责的每一台机上主机的状态。乘客连接对象94表示连接到机上网络的单个的乘客连接。地面控制与数据存储部件66还包括一个单架飞机包容文件(containet)对象96。可以想象该对象能实现成一个集合类，比如混编表(hashtable)。根据这种途径，飞机对象将由飞机包容文件96为系统中的每一架飞机创建。通过路由经过飞机包容文件96进来的通讯，确保了通讯子系统100能够将进来的消息递送至适当的飞机目标。另外，这一包容文件的概念可能用来使飞机对象创建的方式更容易。例如，飞机对象可以只在需要他们时才被创建。在收到一条进来的消息时，飞机包容文件96定位适用的飞机对象。如果该飞机对象不再存储器中，则该飞机包容文件能创建该对象。同样地，飞机对象不再被主动监视时可以被删除直至再次需要他们。地面控制与数据存储部件66还将在中央数据库98中为每架飞机保持事件历史记录。数据库98将保持由系统中的一架飞机报告的全部事件的一份记录。另外，它还将保持由陆基安全管理员执行的全部指令的一份记录。前者表示每架飞机最后确认的状态，而后者表示每架飞机期望的状态。选择术语“最后确认的”反映飞机上发生的事件与其可能尚未在地面反映出来之间的时间延迟。安全策略文件也存储在数据库98中。作为配置选项，为了保存旧策略的历史记录，策略表格只能被添加。主要策略表格将保存一个名称和版本号至一连串较小的策略要素的映象。为了检索以及更新飞机上的策略文件，通讯子系统100与数据库98交互作用。策略管理器99负责策略文件的任何改变。该对象是必需的因为策略是唯一与单架飞机无关的东西。策略管理器99将保证任何对策略文件的改变适当版本化。该管理器还负责将更新的策略发布至一架或多架飞机。返回图4，地面监视和手动控制部件68、地面策略编辑与分配部件70也驻留在陆基网络安全管理系统12中。该监视和手动控制部件的功能包括(但不限于)监视一组飞机的状态与活动并选择一架单独的飞机进行密切的检查、监视单架飞机的状态与活动并选择一台单独的服务器或一个乘客连接进行密切的检查、监视单台机上服务器的状态与活动、手动控制一台机上服务器、监视单个机上乘客连接的状态与活动并手动控制单个机上的乘客连接。该部件可以利用一个运行在一台或多台地面服务器上的基于Java的用户界面实现。为支持监视和手动控制功能，该用户界面包括许多可由人类网络安全管理员监视的窗口。例如，一个飞机浏览器允许领航飞机群、并显示合计/概要信息，如图7所示。可是该窗口不显示通讯链的状况。为了显示这样的信息，用户可以从飞机浏览器中选择特定的飞机，借以导航至一个飞机状态窗口。图8表示一个典型的飞机状态窗口。该飞机状态窗口使用户能够在单一树状结构视图102中观察与特定飞机相关的全部数据。另外，全部记录的事件和指令显示在下部的记录面板104中。沿窗口上端的标签106允许导航至其它依次把焦点集中在与飞机有关的不同特性要素的其它面板。例如，座位面板为特定座位提供状态信息、记录细节以及手动控制。其它用于支持监视和手动控制的典型窗口可能包括(但不限于)集中于为单个乘客连接显示信息的乘客连接状态窗口，集中于显示有关驻留在飞机上的特定主机计算设备信息的机上主机状态窗口，以及为指定的组、飞机、乘客连接或主机设备显示事件信息的事件记录窗口。可以想象上述窗口仅仅是本发明用来实现监视和手动控制功能的一些功能性和外观的代表。除了监视与手动控制外，编辑安全策略文件和发送安全策略更新的服务同样驻留在陆基网络安全管理系统16中。策略编辑与应用功能包括(但不限于)编辑传感器配置文件，从适当的供应商网页上检索入侵检测署名文件更新，编辑响应策略状态机与参数，编辑静态安全配置，将传感器文件、署名文件、响应策略和静态配置组合为特定的安全策略，提供安全策略更新的版本控制，根据最后确认的策略与期望的策略浏览在系统中的飞机，以及向选定的一组飞机发送新的安全策略。安全策略的编辑不会成为每天的日常行为。因为这一原因，策略编辑和应用功能被处理成一个与其它功能管理分离的、独特的逻辑部件，通过用户界面运行在地面服务器中。空-地通讯部件64负责机载安全管理器和地面服务器之间的通讯。因此，该部件分布在上述两个物理位置。该空-地通讯功能包括(但不限于)提供无阻塞通讯、重试传送直到实现可靠传输、在非联络期间排队等候消息、处理通讯对话鉴别、利用密码完整性检查防止篡改和重播、可能时最优化去除冗余的或废弃的信息、根据信息优先级利用可用的带宽、将带宽消耗最小化并向飞机发送更新的安全策略。该通讯部件逻辑上的隔离有助于机上安全管理器和地面服务器的设计避免由于零星联络出现不必要的复杂性。上述讨论公开并描述了本发明的优选实施方式。从上述讨论、附图及权利要求书中，本领域的技术人员易于认可，在不脱离由所附权利要求限定的本发明的实质和范围的情况下，可以对其进行变化和修改。权利要求1.一种用于监视在移动网络平台上安全活动的网络安全结构，包括一个驻留在该移动网络平台上的移动网络，该移动网络通过一条不可靠的通讯链与一个陆基网络安全管理系统互联；一个连接到该移动网络并驻留在所述移动网络平台上的入侵检测系统，该入侵检测系统用于检测与该移动网络有关的安全入侵事件；以及一个驻留在所述移动网络平台上的移动安全管理器，该移动安全管理器适于从所述入侵检测系统接收安全入侵事件，当所述移动网络平台不与所述网络安全管理系统连接时，该移动安全管理器可还用于执行响应安全入侵事件的安全响应活动。2.根据权利要求1所述的网络安全结构，其中，所述移动安全管理器用于根据驻留在所述移动网络平台上的一种安全策略执行安全响应活动。3.根据权利要求2所述的网络安全结构，其中，所述安全策略定义成多个预先定义的安全入侵事件以及对所述多个安全入侵事件的每一个的相应的安全响应。4.根据权利要求2所述的网络安全结构，其中，所述安全策略由一个数据结构定义，该数据结构有一个当前工作状态单元、一个可能安全入侵事件单元、一个结果工作状态单元以及一个安全响应单元。5.根据权利要求1所述的网络安全结构，其中，所述移动网络包括多个用户访问点，使得将所述安全入侵事件与所述多个用户访问点之一相联系，并且将该安全响应指向该多个用户访问点中所述的那个。6.根据权利要求5所述的网络安全结构，其中，所述安全响应是从一组中选择的，该组由记录从安全入侵检测系统接收的安全入侵事件、向至少一个所述用户访问点提供一条警告消息、向陆基网络安全管理系统提供一条警报消息、在一个所述用户访问点安装网络传输阻塞滤波器以及将一个所述用户访问点从所述移动网络断开等组成。7.根据权利要求5中所述的网络安全结构，其中，所述移动安全管理器为所述多个用户访问点的每一个保持当前工作状态的标志，使得所述指向该多个用户访问点中所述的那个的安全响应，是部分基于该多用户访问点中所述的那个的工作状态。8.根据权利要求7中所述的网络安全结构，其中，将代表任意指定用户访问点的当前工作状态，从由正常状态、可疑状态以及断开状态组成的一组中选择。9.根据权利要求7中所述的网络安全结构，其中，所述移动安全管理器还用于为多个用户访问点中所述的那个识别当前工作状态，并部分基于所识别的当前工作状态和从入侵检测系统接收的安全入侵事件执行安全响应活动。10.根据权利要求9中所述的网络安全结构，其中，所述移动安全管理器还用于根据安全策略为多个用户访问点中所述的那个修改当前工作状态。11.根据权利要求1中所述的网络安全结构，其中，所述移动安全管理器用于向网络安全管理系统发送一个安全入侵事件的指示消息，并响应从该网络安全管理系统接收的安全指令、执行安全响应活动。12.一种用于监视与驻留在移动网络平台上的网络有关的安全活动的方法，该移动网络平台通过一条不可靠的通讯链与陆基网络安全管理系统互联，包括检测起源与驻留在移动网络平台上的网络有关的安全入侵事件；提供一个驻留在移动网络平台上的移动安全管理器，其中该移动安全管理器适于接收安全入侵事件；以及当该移动网络平台不与所述网络安全管理系统连接时，响应检测到的安全入侵事件、执行一个安全响应活动。13.根据权利要求12中所述的方法，其中，所述执行一个安全响应活动的步骤还包括根据一种安全策略应用安全响应活动，其中，该安全策略定义成多个预先定义的安全入侵事件以及与所述多个安全入侵事件的每一个相应的安全响应。14.根据权利要求12中所述的方法，还包括根据一种安全策略应用安全响应活动的步骤，其中，该安全策略由具有一个当前工作状态单元、一个可能安全入侵事件单元、一个结果工作状态单元以及一个安全响应单元的数据结构定义。15.根据权利要求12中所述的方法，其中，所述网络包括多个用户访问点，使得该安全入侵事件与多个用户访问点的一个有关，并且将该安全响应指向该多个用户访问点中所述的那个。16.根据权利要求15中所述的方法，其中，所述安全响应活动是从一组中选择的，该组由记录所述安全入侵事件、向至少一个用户访问点提供一条警告消息、向陆基网络安全管理系统提供一条警报消息、在一个用户访问点安装网络传输阻塞滤波器以及将一个用户访问点从网络断开组成。17.根据权利要求15中所述的方法，还包括为所述多个用户访问点的每一个保持其当前工作状态的标志并执行一个响应检测到的安全入侵事件的安全响应活动的步骤，其中，该安全响应活动部分基于多个用户访问点中所述的那个的工作状态。18.根据权利要求17中所述的方法，其中，用于任意指定用户访问点的当前工作状态是从由正常状态、可疑状态、断开状态组成的一组中选择的。19.一种用于监视与驻留在一架飞机上的网络有关的安全活动的机载安全管理系统，该飞机通过一条不可靠的通讯链与一个陆基网络安全管理系统互联，所述机载安全管理系统包括一个入侵检测系统，该系统连接到该网络上并用于检测与网络有关的安全入侵事件；以及一个机载安全管理器，连接到该网络上并适于从所述入侵检测系统接收所述安全入侵事件，当该飞机不与该网络安全管理系统连接时，该安全管理器还用于根据一个安全策略执行安全响应活动。全文摘要本发明提供了一种用于监视在移动网络平台上安全活动的机载安全管理系统。该机载安全管理系统包括一个通过一条不可靠通讯链与陆基网络安全管理系统互联的移动网络；一个连接到该移动网络的入侵检测系统，用于检测起源与该移动网络有关的安全入侵事件；一个移动安全管理器，适于从该入侵检测系统接收安全入侵事件。该移动安全管理器用于向网络安全管理系统发送一个安全入侵事件的指示消息，并响应从网络安全管理系统接收的安全指令、执行安全响应活动。该移动安全管理器还用于当该移动网络平台不与网络安全管理系统连接时，指挥在该移动网络平台上的安全响应活动。文档编号H04L29/06GK1602610SQ02819635公开日2005年3月30日申请日期2002年7月19日优先权日2001年8月3日发明者劳伦斯·I·罗克韦尔申请人:波音公司