專利名稱：：企業(yè)安全評估共享的制作方法企業(yè)安全評估共享背景在例如企業(yè)辦公室的企業(yè)計算環(huán)境中，多個個人計算機(jī)、工作站服務(wù)器等，以及諸如大容量存儲子系統(tǒng)、內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口等其他設(shè)備通常互相連接以提供其中可生成，從外部源訪問并在各個用戶之間共享信息的集成環(huán)境。通常，用戶可執(zhí)行各種操作，包括定單接收、制造、送貨、記帳、庫存控制、文檔準(zhǔn)備和管理、電子郵件、web瀏覽、以及其中創(chuàng)建、訪問和共享數(shù)據(jù)是有益的其他操作。當(dāng)前，通常使用各種不同的安全產(chǎn)品來為企業(yè)提供安全性，這些產(chǎn)品各自一般被安排成監(jiān)視企業(yè)范圍數(shù)據(jù)的僅僅一部分。即，安全產(chǎn)品被安排為單獨(dú)的本地"島"，其中每一個產(chǎn)品監(jiān)視、評估企業(yè)中的數(shù)據(jù)的不同部分并對其采取動作。例如，企業(yè)可利用諸如保護(hù)該企業(yè)中的主機(jī)計算機(jī)的產(chǎn)品、邊緣防火墻產(chǎn)品、網(wǎng)絡(luò)侵入檢測系統(tǒng)("NIDS")產(chǎn)品、網(wǎng)絡(luò)接入保護(hù)("NAP")產(chǎn)品以及其他分立安全產(chǎn)品等安全產(chǎn)品的組合來為該企業(yè)的各不同部分提供安全性。雖然這些安全產(chǎn)品在許多應(yīng)用中通常都令人滿意地執(zhí)行，但對安全事故的檢測經(jīng)常遭受由于只監(jiān)視部分企業(yè)安全數(shù)據(jù)而導(dǎo)致的不合需要地高的假肯定和假否定出現(xiàn)水平。也難以提供跨所有企業(yè)安全產(chǎn)品島的公共管理。使得企業(yè)范圍安全數(shù)據(jù)相關(guān)的現(xiàn)有嘗試具有高管理和維護(hù)成本并且有縮放方面的問題。將需要更有效的企業(yè)安全管理來使得單個企業(yè)范圍視圖能夠允許安全管理員定義并強(qiáng)制實(shí)施用于自動響應(yīng)安全事故的清楚、簡單且統(tǒng)一的企業(yè)范圍策略。提供本背景來介紹以下概述和詳細(xì)描述的簡要上下文。本背景不旨在幫助確定所要求保護(hù)的主題的范圍，也不旨在被看作將所要求保護(hù)的主題限于解決以上所提出的問題或缺點(diǎn)中的任一個或全部的實(shí)現(xiàn)。概述提供被稱為"ESAS，即，企業(yè)安全評估共享"的企業(yè)范圍共享安排，其中創(chuàng)建被稱為安全評估的語義抽象以允許在企業(yè)安全環(huán)境中被稱為端點(diǎn)的不同安全產(chǎn)品之間共享安全相關(guān)信息。安全評估被定義為端點(diǎn)將較寬泛的上下文含義向所收集的關(guān)于該環(huán)境中諸如計算機(jī)、用戶、服務(wù)(例如，網(wǎng)站)、數(shù)據(jù)或作為整體的企業(yè)等感興趣對象的信息(即，某些上下文中的數(shù)據(jù))的試驗性指派。安全評估利用對于端點(diǎn)的簡明詞匯來聲明環(huán)境中的對象落入諸如"已受損"或"正被攻擊"等特定評估類別以及所檢測到的事故的嚴(yán)重性(例如，低、中、高、關(guān)鍵)。安全評估是試驗性的，因為它遭受某種不確定性并且在有限時間段內(nèi)有效。安全評估的試驗性特性反映在其兩個分量中保真度字段，其表達(dá)端點(diǎn)對其上下文含義指派的置信度水平，以及生存時間("TTL")字段，其反映端點(diǎn)對安全評估預(yù)期有效的時間段的估計。由此，例如，安全評估可由端點(diǎn)用來根據(jù)該端點(diǎn)對一個或多個安全事故的現(xiàn)有理解來聲明特定機(jī)器已受損，嚴(yán)重性等級為關(guān)鍵、保真度為中且具有30分鐘的TTL?？梢栽谌魏谓o定企業(yè)安全環(huán)境中使用各種類型的安全評估，從而具有例如評估類別和其他類型的各種組合o端點(diǎn)可具有將安全評估發(fā)布到在環(huán)境中操作的安全評估信道上，以及訂閱由其他端點(diǎn)發(fā)布的可用安全評估的子集的功能。存在于環(huán)境中的活動的安全評估(即，具有指示評估仍然有效的TTL的安全評估)用于提供安全上下文，該安全上下文給予這一啟用ESAS的端點(diǎn)査看其自己的本地可用信息的新的方式。g卩，該安全上下文允許啟用ESAS的端點(diǎn)組合或相關(guān)來自從各種不同源接收到的且跨對象類型的安全評估的證據(jù)以顯著提高其對潛在安全事故的檢測的質(zhì)量。該啟用ESAS的端點(diǎn)然后根據(jù)一組響應(yīng)策略來作出關(guān)于對于每一種類型的安全評估(無論是從另一端點(diǎn)接收到的還是由該端點(diǎn)本身內(nèi)部生成的)什么本地動作或響應(yīng)是適當(dāng)?shù)臎Q定。事故判定是高效且經(jīng)濟(jì)的，因為安全上下文使得能夠以安全評估的形式來對企業(yè)范圍信息進(jìn)行分布式處理，而沒有在整個企業(yè)中共享大量原始數(shù)據(jù)(其中大多數(shù)都由于缺乏任何上下文而是完全無關(guān)的)的負(fù)擔(dān)。啟用ESAS的端點(diǎn)還被安排成在提示本地動作的安全評估到期時(即，在該安全評估超過TTL字段中所指定的生存時間時)回退該本地動作。在一說明性示例中，被稱為ESAS中央服務(wù)器的專用端點(diǎn)耦合到安全評估信道，該專用端點(diǎn)通過訂閱所有安全評估、記錄安全評估、并且還記錄由各端點(diǎn)響應(yīng)于環(huán)境中的安全事故而采取的本地動作來作為集中式審核點(diǎn)來執(zhí)行。該ESAS中央服務(wù)器向管理員提供作為整體的企業(yè)以及每一個啟用ESAS的端點(diǎn)的歷史和當(dāng)前狀態(tài)的綜合視圖。利用安全評估使得管理員能夠緊湊且高效地配置對跨整個企業(yè)檢測到的事故的響應(yīng)策略。安全評估用作用于定義企業(yè)范圍安全響應(yīng)策略的自然錨或起始點(diǎn)。由此啟用簡化且一致的管理界面來為跨整個企業(yè)的每一種類型的安全評估定義所需響應(yīng)。本發(fā)明的ESAS共享安排提供了多個優(yōu)點(diǎn)。通過采用具有簡明詞匯的安全評估，顯著地降低了企業(yè)中的總體數(shù)據(jù)復(fù)雜性并且在各端點(diǎn)之間只共享有意義的信息。使用安全評估還消除了在中央存儲位置收集大量原始數(shù)據(jù)的需求，并由此使得能夠在非常經(jīng)濟(jì)的基礎(chǔ)上構(gòu)建高度可縮放的企業(yè)安全解決方案。另外，可容易地用按需可擴(kuò)展性來部署新端點(diǎn)。安全評估可以在該新端點(diǎn)和現(xiàn)有端點(diǎn)之間共享而無需重新配置現(xiàn)有端點(diǎn)中的響應(yīng)策略中的任一個。新端點(diǎn)使用現(xiàn)有端點(diǎn)已經(jīng)理解的語義抽象來擔(dān)當(dāng)新的安全評估源即可。利用安全評估還使得能夠使用非常緊湊且清楚的方法來建立企業(yè)范圍安全策略，而無需理解每一個端點(diǎn)可在企業(yè)中生成的所有可能的安全事件并然后試圖描述對于每一個事件的響應(yīng)動作。提供本概述是為了以簡化的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概念。該概述不旨在標(biāo)識所要求保護(hù)的主題的關(guān)鍵特征或必要特征，也不旨在用于幫助確定所要求保護(hù)的主題的范圍。附圖簡述圖1示出其中可實(shí)現(xiàn)本發(fā)明的企業(yè)安全評估共享的說明性企業(yè)安全環(huán)境；圖2示出其中提供信道以使得能夠在多個端點(diǎn)之間共享安全評估的說明性企業(yè)安全評估共享安排；圖3示出作為安全評估的基礎(chǔ)的說明性術(shù)語分層結(jié)構(gòu)；圖4示出兩個說明性端點(diǎn)以及通過利用本發(fā)明的安全評估安排來實(shí)現(xiàn)的復(fù)雜性降低；圖5示出啟用對安全評估的共享的端點(diǎn)中所設(shè)置的功能的說明性示例；圖6是第一說明性情形的圖示，其中多個啟用ESAS的端點(diǎn)耦合到安全評估信道并且在一個端點(diǎn)處檢測到的事故觸發(fā)多個其他端點(diǎn)處的響應(yīng)；圖7是第二說明性情形的圖示，其中觸發(fā)由還執(zhí)行跨對象映射的接收啟用ESAS的端點(diǎn)來生成新的高保真評估的低保真安全評估通過安全評估信道來發(fā)送；圖8是示出補(bǔ)救技術(shù)的針對性使用的第三說明性情形的圖示；圖9示出由使得諸如管理員等用戶能夠管理和定義企業(yè)中的啟用ESAS的端點(diǎn)的響應(yīng)策略的圖形用戶界面("GUI")提供的說明性屏幕；圖10示出由被安排成補(bǔ)充圖9所示的GUI屏幕或用作對該GUI屏幕的替換的GUI提供的說明性屏幕；以及圖11示出其中本發(fā)明的ESAS特征集提供企業(yè)安全管理層功能的說明性企業(yè)安全安排。詳細(xì)描述對現(xiàn)有企業(yè)安全解決方案的分析指示仍然存在解決顧客需求的大量機(jī)會。例如，每一個單獨(dú)的安全產(chǎn)品往往具有對諸如通過惡意軟件或惡意用戶的動作而產(chǎn)生的安全事故的高假肯定和假否定檢測率。出現(xiàn)這一低保真檢測是因為來自單一類型的源的數(shù)據(jù)(即，企業(yè)范圍數(shù)據(jù)的子集)一般不提供對安全事故作出準(zhǔn)確評估所需的上下文。對自動動作或響應(yīng)的使用由于該低保真檢測而是極少見的，因為對所檢測到的事故的有效性的置信度很低。另外，對檢測到的事故的典型響應(yīng)往往是非常粗暴的，例如，用戶或機(jī)器可能從網(wǎng)絡(luò)斷開。因為這些粗暴的動作通常對企業(yè)中的商業(yè)活動施加大量成本，所以通常不執(zhí)行基于低保真檢測的這些動作的自動化。在檢測到感興趣的事故時，現(xiàn)有安全產(chǎn)品通常執(zhí)行調(diào)査以確定該檢測的有效性(即，事故是真還是假)以及作為響應(yīng)要采取什么動作。在調(diào)查上耗費(fèi)大量資源以審閱所收集的可能與所檢測到的事故相關(guān)的詳細(xì)數(shù)據(jù)。因為始終收集所有數(shù)據(jù)是不可行的，所以安全產(chǎn)品通過應(yīng)用由管理員定義的策略來僅收集可用數(shù)據(jù)的子集。這些策略通常是靜態(tài)的并且通常基于收集系統(tǒng)的存儲容量并且未必按照事故數(shù)據(jù)或數(shù)據(jù)源的相關(guān)性來定義。在檢測到事故時，對策略的應(yīng)用通常導(dǎo)致對觸發(fā)該檢測的數(shù)據(jù)的審閱。當(dāng)該數(shù)據(jù)被認(rèn)為不足以生成高保真響應(yīng)時，通常收集甚至更多的數(shù)據(jù)。例如，可監(jiān)視進(jìn)出被懷疑的已受損機(jī)器的所有數(shù)據(jù)通信。在許多情況下，收集大量數(shù)據(jù)但從不使用這些數(shù)據(jù)，并且這些數(shù)據(jù)具有僅作為噪聲的統(tǒng)計重要性。因此，許多現(xiàn)有安全產(chǎn)品收集通常過多的噪聲，但未收集足夠的相關(guān)數(shù)據(jù)。供改進(jìn)的另一領(lǐng)域是整個企業(yè)中的響應(yīng)的管理和協(xié)調(diào)?，F(xiàn)有企業(yè)安全產(chǎn)品固有地提供對在每一個單獨(dú)的島中檢測到的事故的本地化響應(yīng)。因為這些安全產(chǎn)品都是孤立的，所以可能的響應(yīng)選項被限于企業(yè)中該特定安全產(chǎn)品所操作的那部分。即，動作和響應(yīng)能夠針對所檢測到的單獨(dú)事故來在一個安全產(chǎn)品島中定義，但不存在描述當(dāng)在企業(yè)的另一部分中或在全局的基礎(chǔ)上應(yīng)用時可能更有效的所需動作的能力。當(dāng)前不存在用于啟用對針對安全事故的響應(yīng)策略的企業(yè)范圍定義和強(qiáng)制實(shí)施的單個管理點(diǎn)。也不存在每一個島可用于進(jìn)行通信以由此通知其他島發(fā)生了某件事情或者需要采取動作的統(tǒng)一響應(yīng)信道和語言/協(xié)議。缺乏管理和協(xié)調(diào)的響應(yīng)導(dǎo)致對于跨企業(yè)中的島的數(shù)據(jù)的手動集成和相關(guān)招致大量成本。現(xiàn)在轉(zhuǎn)向各附圖，其中相同的附圖標(biāo)記指示相同的元素，圖1示出了其中可部署被稱為端點(diǎn)的各種安全產(chǎn)品105-1,2...N的說明性企業(yè)安全環(huán)境100。要強(qiáng)調(diào)的是，圖1所示的端點(diǎn)105的數(shù)量和類型僅僅是說明性的，并且取決于企業(yè)安全評估共享的具體應(yīng)用的要求，可增加或減少具體端點(diǎn)數(shù)量，且可利用不同類型的安全產(chǎn)品/端點(diǎn)。例如，除了圖1所示且在以下描述的安全產(chǎn)品之外，web應(yīng)用程序保護(hù)產(chǎn)品、SEM/SIM(安全事件管理/安全事故管理)產(chǎn)品、操作健康監(jiān)視和配置管理產(chǎn)品(例如，微軟Windows⑧軟件更新服務(wù)、微軟操作管理器)、或者身份管理產(chǎn)品(例如，微軟現(xiàn)用目錄)也可在某些應(yīng)用中使用。在企業(yè)安全環(huán)境100中，部署主機(jī)安全端點(diǎn)105,以保護(hù)、評估和監(jiān)視企業(yè)100中的多個主機(jī)計算機(jī)108。主機(jī)安全端點(diǎn)105,的商用示例是微軟ForefrontClientSecurity(前線客戶機(jī)安全)，其為企業(yè)的臺式計算機(jī)、膝上型計算機(jī)和服務(wù)器操作系統(tǒng)提供統(tǒng)一的惡意軟件保護(hù)。邊緣防火墻1052是被安排成保護(hù)企業(yè)環(huán)境100以免遭基于因特網(wǎng)的威脅9同時向用戶提供通過周界網(wǎng)絡(luò)112的對應(yīng)用程序和數(shù)據(jù)的遠(yuǎn)程訪問的安全產(chǎn)品。邊緣防火墻1052可具體化為例如，微軟InternetSecurityandAcceleration(因特網(wǎng)安全和加速，"ISA")服務(wù)器。NAP安全端點(diǎn)1053通過確保正在發(fā)生的對由管理員定義的健康策略的遵從來執(zhí)行健康策略確認(rèn)。通常，對于由NAP安全端點(diǎn)1053監(jiān)視的、不符合系統(tǒng)健康要求的計算機(jī)(例如，臺式計算機(jī)和漫游膝上型計算機(jī)115)限制訪問。NIDS安全端點(diǎn)1054分析內(nèi)部網(wǎng)絡(luò)119上的企業(yè)100內(nèi)的通信。NIDS安全端點(diǎn)1054用于通過監(jiān)視內(nèi)部網(wǎng)絡(luò)119上的網(wǎng)絡(luò)通信來檢測諸如服務(wù)拒絕攻擊端口掃描等惡意活動。業(yè)務(wù)線安全端點(diǎn)105M保護(hù)各個業(yè)務(wù)線應(yīng)用程序122。業(yè)務(wù)線應(yīng)用程序122包括例如，諸如微軟Exchange⑧等在企業(yè)100中使用的電子郵件應(yīng)用程序。安全端點(diǎn)105K通常監(jiān)視電子郵件以提供反病毒和反垃圾郵件保護(hù)。企業(yè)100中的安全端點(diǎn)105中的每一個一般都被安排為單獨(dú)的島，如圖1中的虛線矩形所示。因此，每一個安全端點(diǎn)105都被安排成監(jiān)視企業(yè)100中的可用數(shù)據(jù)的子集并響應(yīng)于所檢測到的事故來執(zhí)行本地化動作。另外，每一個端點(diǎn)通常都包括本地管理功能135-1，2...N。如上所述，各單獨(dú)的本地管理功能一般不集成以提供單個管理點(diǎn)。圖2示出了說明性ESAS安排200，其中提供信道205以使得能夠使用在每一個端點(diǎn)處共同利用的語言/協(xié)議來在多個端點(diǎn)之間共享被稱為"安全評估"的語義抽象。安全評估信道205方便由端點(diǎn)用來將安全評估源(發(fā)布者)連接到安全評估的消費(fèi)者(訂閱者)的發(fā)布/訂閱模型。如圖所示，安全評估信道205上的發(fā)布者和訂閱者兩者都是端點(diǎn)105。端點(diǎn)105通過被安排成簡化與安全評估信道205的交互的語義抽象層來與實(shí)際傳輸機(jī)構(gòu)和發(fā)布/訂閱模型的管理隔離開。該抽象層包括描述端點(diǎn)訂閱的安全評估類型的表以及描述端點(diǎn)發(fā)布的安全評估類型的表(如下所述，通常并非所有端點(diǎn)都訂閱所有安全評估類型)。另外，該抽象層提供用于讀取接收到的安全評估的API(應(yīng)用程序編程接口)以及用于生成安全評估的API。專用端點(diǎn)，即ESAS中央服務(wù)器216耦合到安全評估信道205，并且作為對于ESAS安排200的集中式審核點(diǎn)來執(zhí)行。因此，ESAS中央服務(wù)器216訂10閱所有安全評估并且永久地記錄這些安全評估。ESAS中央服務(wù)器216還接收并記錄來自端點(diǎn)的、指示端點(diǎn)所采取的本地動作的消息。該ESAS中央服務(wù)器216由此向管理員提供安全評估監(jiān)視功能，該功能給出了作為整體的企業(yè)以及每一個啟用ESAS的端點(diǎn)的歷史和當(dāng)前狀態(tài)的綜合視圖。圖3示出了作為安全評估的基礎(chǔ)的說明性術(shù)語分層結(jié)構(gòu)300。安全評估被定義為安全含義或類別向信息的試驗性指派。如此處所使用的信息被定義為具有某些上下文的數(shù)據(jù)。數(shù)據(jù)被定義為缺少上下文的離散項目。這些定義可通過示例來進(jìn)一步描述。如圖3所示，數(shù)據(jù)片段305是事件日志中諸如失敗的登錄等事件。信息310是具備上下文的數(shù)據(jù)，該上下文在該示例中是該失敗的登錄是在同一機(jī)器，即命名為膝上型計算機(jī)2的膝上型計算機(jī)上的10分鐘之內(nèi)的第六次這樣的失敗。在該示例中，安全評估316指示膝上型計算機(jī)2以特定方式進(jìn)行分類，即，該膝上型計算機(jī)被評估為具有類別"已受損"、高"嚴(yán)重性"，并且其中這一評估具有低"保真度"(這些術(shù)語將在以下更詳細(xì)地定義和討論)?？蓪ζ髽I(yè)安全環(huán)境中諸如用戶或設(shè)備等任何感興趣的對象執(zhí)行安全評估。在該說明性示例中，評估包括四種主要對象類型1)主機(jī)一關(guān)于企業(yè)中的計算機(jī)的評估；2)用戶一關(guān)于企業(yè)中的用戶或賬戶的評估；3)服務(wù)一關(guān)于諸如具有惡意名聲的網(wǎng)站的URL(統(tǒng)一資源定位符)等提供給企業(yè)的服務(wù)的評估；4)企業(yè)一關(guān)于作為整體的企業(yè)或者該企業(yè)的諸如部門、子網(wǎng)、站點(diǎn)或分支等明確定義的子集的評估；以及5)數(shù)據(jù)一關(guān)于存在于企業(yè)中的或由企業(yè)中的對象來訪問的業(yè)務(wù)相關(guān)數(shù)據(jù)(例如，在文檔中發(fā)現(xiàn)的業(yè)務(wù)數(shù)據(jù)、電子郵件、數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)等)的評估。要強(qiáng)調(diào)的是，這些對象類型僅僅是說明性的，并且可按特定情形所需使用其他對象類型。在企業(yè)安全評估共享的大多數(shù)應(yīng)用中，端點(diǎn)只發(fā)布和訂閱所有可用安全評估類型的子集，因為特定端點(diǎn)一般將會對企業(yè)環(huán)境中的特定對象感興趣。另外，雖然某些端點(diǎn)將會既是發(fā)布者又是訂閱者，但并不要求每一個端點(diǎn)支持這兩個功能。出于這些原因，此處所使用的發(fā)布/訂閱模型被稱為是松耦合的。以下的表1示出了一組說明性評估類別及其到特定對象類型的映射，該組評估類別可被包含在典型的安全評估中:<table>tableseeoriginaldocumentpage12</column></row><table>表1在本發(fā)明的說明性ESAS安排中，通常利用四個嚴(yán)重性等級低、中、高和關(guān)鍵。通常利用三個保真度等級低、中和高。注意，對于嚴(yán)重性和保真度兩者的等級數(shù)可被安排成取決于評估類別而不同。例如，對于評估類別"易受攻擊的機(jī)器"可能使用三個嚴(yán)重性等級，而對于評估類別"己受損機(jī)器"使用四個嚴(yán)重性等級。該對要利用的等級數(shù)的特定選擇將取決于本發(fā)明的企業(yè)安全評估共享的具體應(yīng)用的要求。安全評估使用在作出該評估時可用的信息并且依賴于駐留在產(chǎn)生該評估的端點(diǎn)中的特定安全專家經(jīng)驗和知識。安全評估是試驗性的，因為對任何特定事件的置信度永遠(yuǎn)不會是絕對的，并且還因為評估由于其依賴于在產(chǎn)生該評估時存在的信息而在本質(zhì)上是臨時的。在將來某一時刻，其他信息將會是可用的，因此安全評估可能變化。安全評估的試驗性特性反映在每一個評估中所包括的兩個字段，即保真度和生存時間("TTL")中。保真度字段為端點(diǎn)提供表達(dá)其對較寬泛的上下文含義向正在分析的信息的指派的置信度水平。TTL字段使得端點(diǎn)能夠反映對安全評估預(yù)期有效的時間段的最佳估計。或另選地，TTL字段提供對將來的安全評估更新的最佳估計。當(dāng)TTL到期時，基于所訂閱的安全評估來采取動作的端點(diǎn)預(yù)期在該評估的TTL到期時回退這些動作。由此，該TTL提供安全閥功能，該功能用于防止用戶或機(jī)器由于假肯定或在企業(yè)中的某處丟失消息而不恰當(dāng)?shù)厥苤朴谑芟拊L問。然而，如果這一受限訪問的確是適當(dāng)?shù)?，則或者可生成新的安全評估以繼續(xù)該限制，或者延長TTL。安全評估被設(shè)計成啟用使用緊湊詞匯的精確語義(即，由安全評估中所使用的類別賦予的含義)。如圖4所示，企業(yè)中的端點(diǎn)105中的兩個記錄關(guān)于其各自感興趣的領(lǐng)域內(nèi)所發(fā)生的事件的數(shù)據(jù)。主機(jī)事件日志405和防火墻事件日志412由此包含大量數(shù)據(jù)。通常，這些數(shù)據(jù)在各自端點(diǎn)中使用相關(guān)規(guī)則420和425來處理以標(biāo)識感興趣的事件。通常眾多的相關(guān)規(guī)則定義本地化的發(fā)起者或響應(yīng)于所檢測到的事件而采取的動作。通過比較，附圖標(biāo)記432所指示的安全評估只包含相對較少的數(shù)據(jù)。由于安全評估用于將寬泛的上下文指派給信息，因此它們提供對于以下問題的答案誰創(chuàng)建了評估？何時？為什么？持續(xù)多久？以及，對哪一個對象應(yīng)用評估？由此，為了利用安全評估，端點(diǎn)只需理解相比于由于應(yīng)用相關(guān)規(guī)則而產(chǎn)生的無數(shù)信息消息的極少數(shù)感興趣的評估類型。因此，由每一個端點(diǎn)收集的數(shù)據(jù)的復(fù)雜性通過將信息映射到一個或多個評估類型來降低。使用安全評估由此使13得能夠向訂閱端點(diǎn)提供相關(guān)信息而無需跨企業(yè)共享大量數(shù)據(jù)或信息。以下的表2提供了可被包括在典型的安全評估中的一組說明性字段。<table>tableseeoriginaldocumentpage14</column></row><table>通過使用表2中的字段，安全評估能夠表達(dá)以下事件1.檢測。端點(diǎn)執(zhí)行某一分析以推斷己發(fā)生某一異常行為(已受損機(jī)器、易受攻擊的機(jī)器、已受損的用戶等)；2.響應(yīng)。端點(diǎn)由于安全評估而采取動作。端點(diǎn)應(yīng)通知系統(tǒng)(具體而言，圖2中的ESAS中央服務(wù)器216)何時釆取動作。響應(yīng)可包括例如，阻塞通信、觸發(fā)掃描、重置密碼、收集關(guān)于機(jī)器的更多數(shù)據(jù)以及類似動作。注意，諸如重置密碼或觸發(fā)掃描等某些響應(yīng)是間歇性的，而其他響應(yīng)是持續(xù)性的并且需要被回退以便被取消；3.評估批準(zhǔn)。管理員可使用到ESAS中央服務(wù)器216的接口來手動批準(zhǔn)評估。應(yīng)在這一批準(zhǔn)之后通知各端點(diǎn)以使得這些端點(diǎn)將執(zhí)行"必需的手動批準(zhǔn)"響應(yīng)；4.取消。管理員或端點(diǎn)可取消現(xiàn)有安全評估；5.響應(yīng)回退。端點(diǎn)通知系統(tǒng)(圖2中的ESAS中央服務(wù)器216)該端點(diǎn)已回退由于特定評估而采取的所有響應(yīng)/動作；6.諸如連接驗證器、等待時間檢查和錯誤信息等健康信息評估；7.對調(diào)査數(shù)據(jù)的請求。這是從一端點(diǎn)到另一端點(diǎn)的、發(fā)送其在給定時間段內(nèi)收集的關(guān)于對象的所有數(shù)據(jù)的請求；以及8.對調(diào)查數(shù)據(jù)的請求完成。這是供端點(diǎn)確認(rèn)它已執(zhí)行請求的方法。對請求的響應(yīng)在存儲/發(fā)送數(shù)據(jù)后發(fā)送。在企業(yè)安全評估共享的該說明性示例中，每一個端點(diǎn)都被安排成執(zhí)行下述任務(wù)中的至少某一些。在某些安排中，每一個端點(diǎn)都用通過使用分立ESAS代理來執(zhí)行這些任務(wù)所需的附加功能來增強(qiáng)?；蛘?，該增強(qiáng)功能可更緊密地集成到由端點(diǎn)提供的核心功能中，并且單獨(dú)或分立的代理可不必被包含在該端點(diǎn)中。這些任務(wù)包括1.基于關(guān)于所監(jiān)視的系統(tǒng)的本地可用信息和安全上下文來生成新安全評估；2.訂閱來自其他端點(diǎn)的可用安全評估的子集；3.處理傳入安全評估以由此影響安全上下文。該處理可導(dǎo)致生成新安全評估；154.根據(jù)響應(yīng)策略來采取本地動作；5.在導(dǎo)致本地動作的評估到期(即，相關(guān)聯(lián)的TTL到期)時回退(自恢復(fù))該本地動作。圖5示出了設(shè)置在端點(diǎn)中的ESAS代理505的說明性示例，該端點(diǎn)通過安全評估信道205來訂閱來自其他端點(diǎn)105-1,2...N(圖1)的可用評估的子集。如上所述，由ESAS代理505提供的功能可另選地直接與端點(diǎn)的核心功能集成。多個安全評估506對于安全評估類型(即，主機(jī)、用戶、名聲和企業(yè))中的每一個都是可用的。如附圖標(biāo)記511所示，在該說明性示例中，ESAS代理505訂閱對象類型為"主機(jī)"且評估類別為"易受攻擊"的安全評估。要強(qiáng)調(diào)的是，感興趣的對象類型和評估類別的特定組合對于不同的端點(diǎn)可以是不同的。同樣，通過使用松耦合發(fā)布/訂閱模型，并不要求每一個端點(diǎn)都訂閱每一個安全評估。在過程框514，端點(diǎn)使用可具有某種相關(guān)性的相關(guān)規(guī)則522和本地可用數(shù)據(jù)527來處理接收到的安全評估。這一評估過程的輸出包括生成新評估530和/或調(diào)用本地動作535。如上所述，這一本地動作在接收到的評估根據(jù)其中所包含的TTL字段而到期時經(jīng)受回退541(即，自恢復(fù))。ESAS代理505根據(jù)以下規(guī)則來解釋安全評估1.在生成關(guān)于特定對象的安全評估時，端點(diǎn)可將以下各項的任何組合考慮在內(nèi)a)關(guān)于該對象或該端點(diǎn)監(jiān)視的任何其他對象的所有本地可用信息；b)該端點(diǎn)接收到的所有當(dāng)前活動的安全評估(即，具有未到期TTL的安全評估)；c)該端點(diǎn)過去所釆取的所有本地動作。2.本發(fā)明的企業(yè)安全評估共享安排中的所有端點(diǎn)都遵循端點(diǎn)中的所有本地可用信息集都是互斥的原理。g卩，本發(fā)明的安排具有至多一個處理特定本地信息片段的端點(diǎn)。3.安全評估通常被解釋為關(guān)于對象的當(dāng)前和將來安全狀態(tài)的端點(diǎn)評估。重要的是注意，如上文所定義的信息和數(shù)據(jù)這兩個術(shù)語，規(guī)則2指的是信息而不是數(shù)據(jù)的排他性。兩個端點(diǎn)在它們從數(shù)據(jù)中提取的并在稍后用于生成評估的信息是排他的情況下可處理相同或重疊的數(shù)據(jù)源。為了示出規(guī)則3的暗示，考慮其中機(jī)器的排定的反病毒掃描檢測到并移除已知惡意軟件片段的以下示例?；谠摍z測，其他本地可用信息、接收到的當(dāng)前活動評估以及端點(diǎn)的關(guān)于當(dāng)前安全事故的嵌入知識，端點(diǎn)可得出以下結(jié)論中的一個1)機(jī)器在過去受到過感染，但現(xiàn)在是清潔的并且未造成任何其他將來安全風(fēng)險；2)該機(jī)器已被感染，并且雖然特定惡意軟件已被移除，但它仍然可能或很可能造成安全風(fēng)險。根據(jù)規(guī)則3，端點(diǎn)應(yīng)在后一種情況下生成關(guān)于該機(jī)器的安全評估但不應(yīng)在前一種情況下生成安全評估。圖6是第一說明性情形的圖示，其中多個啟用ESAS的端點(diǎn)耦合到安全評估信道205，并且在一個端點(diǎn)處檢測到的事故觸發(fā)多個其他端點(diǎn)處的響應(yīng)。該說明性情形分三個階段描述。如附圖標(biāo)記610所指示的，邊緣防火墻1052首先標(biāo)識可能已受損的客戶機(jī)，例如這是因為該客戶機(jī)創(chuàng)建太多的到周界網(wǎng)絡(luò)112(圖l)的連接以使得對于該行為的最有可能的解釋是安全性損害的存在。其次，如附圖標(biāo)記620所指示的，該邊緣防火墻1052通過安全信道205來將具有高嚴(yán)重性和高保真度的、指示特定客戶機(jī)"已受損"的安全評估發(fā)送到訂閱端點(diǎn)。再次，接收該安全評估的訂閱端點(diǎn)105-1,3...N和ESAS中央服務(wù)器216通過應(yīng)用其自己的相關(guān)規(guī)則和本地可用數(shù)據(jù)來應(yīng)用其特定安全專家經(jīng)驗以觸發(fā)適當(dāng)?shù)膭幼鳌Ｈ鐖D6中的附圖標(biāo)記630所共同指示的，主機(jī)安全端點(diǎn)105,執(zhí)行按需掃描。NAP端點(diǎn)1053撤消所標(biāo)識的己受損客戶機(jī)的IP安全證書并實(shí)現(xiàn)端口關(guān)閉。業(yè)務(wù)線安全端點(diǎn)105N基于所接收到的安全評估來臨時掛起到該己受損客戶機(jī)的即時消息傳遞("IM")通信。ESAS中央服務(wù)器216引發(fā)對安全分析員(例如，管理員)的警告并且還記錄所有安全評估和所調(diào)用的動作。上述第一說明性情形提供其中檢測到嫌疑事故的端點(diǎn)生成具有高嚴(yán)重性和高保真度的安全評估(即，該端點(diǎn)對其有效地檢測到嚴(yán)重事故具有高置信度)的情況。通過比較，圖7是第二說明性情形的圖示，其中觸發(fā)由還執(zhí)行跨對象映射的接收端點(diǎn)來生成新的高保真評估的低保真安全評估通過安全評估信道205來發(fā)送。該第二說明性情形也分三個階段描述。如附圖標(biāo)記710所指示的，邊緣防火墻1052首先檢測到到周界網(wǎng)絡(luò)112(圖1)的大量客戶機(jī)連接。然而，與圖6所示且在所附文本中描述的第一說明性情形不同，客戶機(jī)所建立的連接數(shù)量不是太多從而導(dǎo)致該邊緣防火墻1052無法絕對肯定該客戶機(jī)已受損。在現(xiàn)有企業(yè)安全系統(tǒng)中，當(dāng)端點(diǎn)看見這一數(shù)據(jù)時，它通常僅丟棄該數(shù)據(jù)并且不采取動作，因為沒有足夠的證據(jù)來保證諸如斷開機(jī)器等典型的粗暴響應(yīng)。通過比較，在當(dāng)前情形中，在第二階段中邊緣防火墻1052通過安全評估信道205來發(fā)送具有中嚴(yán)重性和低保真度的、指示該特定客戶機(jī)已受損的安全評估715，如附圖標(biāo)記720所指示的。在此，對于由邊緣防火墻1052生成的安全評估715中所引用的特定對象的訂閱端點(diǎn)包括主機(jī)安全端點(diǎn)105,和ESAS中央服務(wù)器216。雖然這一低保真數(shù)據(jù)在現(xiàn)有安全產(chǎn)品中一般不觸發(fā)將要在端點(diǎn)處采取的動作，但根據(jù)本發(fā)明的企業(yè)安全評估共享，主機(jī)安全端點(diǎn)105,鑒于從邊緣防火墻1052接收到的安全評估來不同地考慮其自己的本地數(shù)據(jù)。在這種情況下，使用由主機(jī)安全端點(diǎn)105,處的按需掃描產(chǎn)生的本地數(shù)據(jù)和來自邊緣防火墻1052的安全評估中所包含的信息來生成新的評估725和728。由此，主機(jī)安全端點(diǎn)105,具有這樣的信息該信息本身不保證生成新安全評估，但如在這種情況下一樣，在用來自另一端點(diǎn)的甚至低保真評估來加強(qiáng)時，有足夠的證據(jù)證明創(chuàng)建各自具有高保真度的新安全評估725和728是正確的。主機(jī)安全端點(diǎn)105,將該新安全評估725和728置于安全評估信道205上。該新安全評估725和728由訂閱端點(diǎn)通過安全評估信道205來接收，該訂閱端點(diǎn)在該說明性情形中包括對于安全評估725的邊緣防火墻1052以及對于安全評估728的業(yè)務(wù)線端點(diǎn)105N。注意，業(yè)務(wù)線端點(diǎn)105N并不是由邊緣防火墻1052產(chǎn)生的原始安全評估715的訂閱者，因為引用對象類型是機(jī)器并且業(yè)務(wù)線端點(diǎn)105w由于其保護(hù)電子郵18件的角色而通常關(guān)心用戶。然而，在該第二說明性情形中，主機(jī)安全端點(diǎn)105,在其生成新安全評估728時從主機(jī)對象類型映射到用戶對象類型。這一跨對象映射能力在許多情況下都可能是有益的，如可以構(gòu)想，諸如惡意軟件或惡意活動等可能損害主機(jī)計算機(jī)的數(shù)據(jù)秘密性或完整性的高嚴(yán)重性事故也可能損害用戶?？缮蓪⒏邍?yán)重性事故從主機(jī)對象類型跨對象地映射到具有特定保真度的用戶對象類型的安全評估。類似地，在其中惡意軟件或惡意活動實(shí)際上已經(jīng)導(dǎo)致主機(jī)計算機(jī)上的數(shù)據(jù)完整性丟失的關(guān)鍵嚴(yán)重性事故的情況下，可生成具有甚至更高保真度的對于用戶對象類型的安全評估。在階段三，新安全評估725和728觸發(fā)接收端點(diǎn)處的各種相應(yīng)動作，如由附圖標(biāo)記730所共同指示的。具體而言，邊緣防火墻1052阻塞除了軟件更新和/或關(guān)鍵任務(wù)訪問之外的已受損客戶機(jī)的所有訪問。業(yè)務(wù)線端點(diǎn)105N臨時掛起傳出電子郵件。并且，如同第一說明性情形，ESAS中央服務(wù)器216繼續(xù)記錄所有評估和動作。如上所述，這些限制僅在與新安全評估725和728相關(guān)聯(lián)的TTL保持有效的時間段期間強(qiáng)制實(shí)施。當(dāng)這些新安全評估到期時，回退各自端點(diǎn)所采取的動作，除非延長TTL或者接收到調(diào)用限制動作的新安全評估。圖8是示出補(bǔ)救技術(shù)的針對性使用的第三說明性情形的圖示。該第三說明性情形分三個階段描述。如附圖標(biāo)記810所指示的，邊緣防火墻1052首先檢測到到周界網(wǎng)絡(luò)112(圖1)的大量客戶機(jī)連接。其次，如附圖標(biāo)記820所指示的，該邊緣防火墻1052通過安全信道205來將具有高嚴(yán)重性和高保真度的、指示特定客戶機(jī)"已受損"的安全評估815發(fā)送到訂閱端點(diǎn)。該訂閱端點(diǎn)包括主機(jī)安全端點(diǎn)105,、NAP端點(diǎn)1053和ESAS中央服務(wù)器216。主機(jī)安全端點(diǎn)105,審閱所接收到的安全評估并使用相關(guān)規(guī)則和任何相關(guān)的本地可用數(shù)據(jù)來應(yīng)用其特定安全專家經(jīng)驗。在該說明性示例中，主機(jī)安全端點(diǎn)105,作為響應(yīng)生成新安全評估825，其包含業(yè)務(wù)線安全端點(diǎn)105w所訂閱的用戶對象類型。在該情形的第三階段中，各端點(diǎn)所采用的補(bǔ)救技術(shù)在其對企業(yè)100(圖1)中的業(yè)務(wù)操作的潛在影響方面被認(rèn)為是昂貴的。例如，如附圖標(biāo)記830所指示的，業(yè)務(wù)線安全端點(diǎn)105w實(shí)現(xiàn)需要臨時掛起傳出電子郵件的響應(yīng)策略。另外，主機(jī)安全端點(diǎn)105,執(zhí)行按需掃描并且如果未得到結(jié)果，則執(zhí)行深度掃描。雖然這些補(bǔ)救技術(shù)在解決惡意軟件、惡意用戶和其他問題時可能是非常有效的，但這些技術(shù)通常給企業(yè)造成了巨大的花費(fèi)。例如，傳出電子郵件被掛起的用戶將會是較不多產(chǎn)的，并且深度掃描通常需要會將機(jī)器從服務(wù)中移除一段時間的一次或多次重啟。本發(fā)明的ESAS安全有利地使得能夠以有針對性的方式，而不是僅僅以對于某些機(jī)器和/或用戶可能未被證明是正確的通用方式或全盤應(yīng)用這些雖然昂貴但有效的補(bǔ)救技術(shù)。該環(huán)境中只有使用預(yù)定義準(zhǔn)則來被認(rèn)為是有嫌疑的對象才將經(jīng)受這些特定補(bǔ)救技術(shù)。圖9示出了由使得諸如管理員等用戶能夠管理和定義企業(yè)100(圖l)中的端點(diǎn)的響應(yīng)策略的圖形用戶界面("GUI")提供的說明性屏幕900。在某些應(yīng)用中，該GUI被主存在ESAS中央服務(wù)器216(圖2)上。有利的是，具體化為安全評估的語義抽象層使得能夠使用非常緊湊且清楚的方法來建立企業(yè)范圍安全策略。即，響應(yīng)策略可通過將安全評估用作定義的起始點(diǎn)，而不關(guān)心企業(yè)中的哪一個端點(diǎn)創(chuàng)建了該安全評估或者該端點(diǎn)如何得出該安全評估中所反映的結(jié)論來配置。安全評估與其緊湊分類由此用作對于企業(yè)范圍安全響應(yīng)策略的自然錨。在沒有本發(fā)明的ESAS安排來簡化響應(yīng)策略的配置的情況下，用戶將需要考慮每一個端點(diǎn)可能生成的每一個事件和/或警告，并且然后定義對每一個這樣的事件做什么。屏幕900是使用對應(yīng)于多個不同端點(diǎn)的字段903-l，2...N來示出企業(yè)范圍響應(yīng)策略的配置的說明性示例，該配置針對如附圖標(biāo)記906所指示的、定義對于該響應(yīng)策略配置的起始點(diǎn)(即，"錨"點(diǎn))的具有關(guān)鍵嚴(yán)重性的評估類別已受損機(jī)器的情況。要強(qiáng)調(diào)的是，對于其他評估類別、對象類型、嚴(yán)重性等級等將利用其他用戶界面屏幕以使得允許用戶為多個不同起始點(diǎn)定義可能在特定企業(yè)安全環(huán)境中使用的響應(yīng)策略。在該特定示例中，響應(yīng)策略取決于所設(shè)置的嚴(yán)重性等級為"關(guān)鍵"的特定安全評估的保真度來設(shè)置。字段903包括多個相應(yīng)的子字段，這些子字段被安排成使用例如典型的GUI中所采用的文本輸入框、下拉菜單等來反映用戶定義的輸入。如子字段910所指示的，對于具有關(guān)鍵嚴(yán)重性的指示已受損機(jī)器的安全評估，邊緣防火墻1052(圖1)被配置成在安全評估具有低保真度時增加審核量(即，移至與普通審核級別相比增加所收集的數(shù)據(jù)量的深度審核級別)。子字段913示出對于具有中保真度的評估，邊緣防火墻1052提高審核級別并且還將對所懷疑的已受損機(jī)器的因特網(wǎng)訪問僅限于通常包括已知不是惡意的站點(diǎn)的"白名單"URL。在保真度為高時，如子字段916所示，完全阻塞對因特網(wǎng)的訪問。字段9032示出對應(yīng)于主機(jī)安全端點(diǎn)105,(圖1)的響應(yīng)策略配置。對于具有低保真度并且指示已受損機(jī)器且嚴(yán)重性為關(guān)鍵的安全評估，主機(jī)安全端點(diǎn)105,將審核量增加至深度審核級別，如子字段920所指示的。子字段923指示對于中和高保真度的情況，主機(jī)安全端點(diǎn)105,增加其審核，并且還增加執(zhí)行對其主機(jī)的深度掃描(其中"深度"掃描可能需要計算機(jī)重啟一次或多次)。字段903N示出對應(yīng)于業(yè)務(wù)線安全端點(diǎn)105N(圖1)的響應(yīng)策略配置。對于具有低保真度并且指示己受損機(jī)器且嚴(yán)重性為關(guān)鍵的安全評估，業(yè)務(wù)線安全端點(diǎn)105N將審核量增加至深度審核級別，如子字段926所指示的。子字段932指示對于具有中保真度的安全評估，業(yè)務(wù)線安全端點(diǎn)105N將其數(shù)據(jù)收集增加至深度審核，并且還限制對于電子郵件的文件附件。子字段935指示對于具有高保真度的安全評估，業(yè)務(wù)線安全端點(diǎn)105w阻塞所有即時消息傳遞("IM")通信。字段941示出對應(yīng)于圖2中的ESAS中央服務(wù)器216的響應(yīng)策略配置。對于具有高保真度的安全評估，如子字段943所指示的，ESAS中央服務(wù)器216執(zhí)行對于受影響的機(jī)器的端口關(guān)閉并生成相關(guān)聯(lián)的用戶賬戶已被掛起的警告。如同以上所討論的子字段，子字段943通常被安排成接受用戶定義的輸入。圖IO示出了由使得諸如管理員等用戶能夠管理和定義企業(yè)IOO(圖1)中的端點(diǎn)的響應(yīng)策略的GUI提供的說明性屏幕1000。該屏幕和GUI可用于補(bǔ)充圖9所示并且在所附文本中描述的安排，或者可用作替換安排。屏幕1000提供對應(yīng)于各種保真度等級和所有嚴(yán)重性等級的評估類別"已受損機(jī)器"的響應(yīng)策略配置的單個視圖。在該說明性示例中，具有任意嚴(yán)重性等級的評估類別為"已受損"的安全評估類型1006用作對于所示響應(yīng)策略配置的錨。要強(qiáng)調(diào)的是，可構(gòu)想用于與其他對象類型和評估類別一起使用的類似屏幕。如同圖9所示且在所附文本中描述的安排，圖10所示的安排提供了用于整個企業(yè)中的端點(diǎn)的響應(yīng)策略的非常緊湊的管理界面。圖11示出了說明性企業(yè)安全安排1100，其中本發(fā)明的ESAS特征集，包括安全評估共享、ESAS中央服務(wù)器的安全評估監(jiān)視(如圖2所附文本中所描述的)以及用于企業(yè)范圍響應(yīng)策略配置的緊湊分類(如圖9和10所附文本中所描述的，用作企業(yè)安全管理層1105。即，附圖標(biāo)記1108所指示的ESAS特征集在企業(yè)環(huán)境中的所有端點(diǎn)之間共享，并且不限于作為單個企業(yè)安全產(chǎn)品島的一部分。由通過安全評估信道205(圖2)來共享的安全評估形成的語義抽象層使得能夠利用單個且一致的管理界面以由此創(chuàng)建針對企業(yè)安全的更集成的方法。盡管用對結(jié)構(gòu)特征和/或方法動作專用的語言描述了本主題，但可以理解，所附權(quán)利要求書中定義的主題不必限于上述具體特征或動作。相反，上述具體特征和動作是作為實(shí)現(xiàn)權(quán)利要求的示例形式公開的。權(quán)利要求1.一種可用于在企業(yè)安全環(huán)境中的多個端點(diǎn)之間共享安全相關(guān)信息的安全相關(guān)信息共享模型，所述模型方便使用一種方法，所述方法包括以下步驟使用對于端點(diǎn)可用的安全相關(guān)信息的語義抽象來描述所述環(huán)境中的對象，所述語義抽象i)按類型來進(jìn)行分類并且ii)由所述端點(diǎn)來共同利用；以及使用發(fā)布端點(diǎn)用于發(fā)布訂閱端點(diǎn)根據(jù)訂閱來訂閱的語義抽象的發(fā)布和訂閱模型，所述訂閱基于語義抽象類型。2.如權(quán)利要求1所述的安全相關(guān)信息共享模型，其特征在于，所述語義抽象是被安排成提供端點(diǎn)使用預(yù)定義分類的向所述安全相關(guān)信息的上下文指派的安全評估。3.如權(quán)利要求2所述的安全相關(guān)信息共享模型，其特征在于，所述預(yù)定義分類利用包括對象類型和評估類別的架構(gòu)化詞匯。4.如權(quán)利要求3所述的安全相關(guān)信息共享模型，其特征在于，所述對象類型包括主機(jī)、用戶、服務(wù)、數(shù)據(jù)或企業(yè)中的至少一個。5.如權(quán)利要求3所述的安全相關(guān)信息共享模型，其特征在于，所述評估類別包括易受攻擊、已受損、正被攻擊、感興趣、已破壞或惡意中的至少一個。6.如權(quán)利要求3所述的安全相關(guān)信息共享模型，其特征在于，所述評估類別中的特定評估類別被映射到所述對象類型中的特定對象類型。7.如權(quán)利要求2所述的安全相關(guān)信息共享模型，其特征在于，所述安全評估包括多個字段，所述多個字段中的至少一個是被安排成表達(dá)端點(diǎn)對所述安全評估的置信度的保真度字段。8.如權(quán)利要求2所述的安全相關(guān)信息共享模型，其特征在于，所述安全評估包括多個字段，所述多個字段中的至少一個是被安排成表達(dá)端點(diǎn)對所述安全評估預(yù)期有效的時間段的估計的生存時間字段。9.如權(quán)利要求1所述的安全相關(guān)信息共享模型，其特征在于，所述多個端點(diǎn)中的至少一個端點(diǎn)包括安全解決方案對象，所述對象選自安全產(chǎn)品、安全解決方案、管理產(chǎn)品、管理解決方案、安全服務(wù)或管理服務(wù)中的一個。10.—種用于使得端點(diǎn)能夠共享企業(yè)安全環(huán)境中的安全相關(guān)數(shù)據(jù)的方法，所述方法包括以下步驟生成用于描述事件的安全評估，其中所述生成至少部分地基于關(guān)于由所述端點(diǎn)監(jiān)視的系統(tǒng)的本地可用信息，所述安全評估被安排成為所述事件提供上下文含義并且用所述安全評估在其上有效的時間間隔來定義；根據(jù)對由所述企業(yè)安全環(huán)境中的其他端點(diǎn)生成的可用安全評估的子集的訂閱來接收當(dāng)前安全評估；以及在每一個安全評估的基礎(chǔ)上根據(jù)響應(yīng)策略來釆取響應(yīng)。11.如權(quán)利要求io所述的方法，12.如權(quán)利要求10所述的方法，個先前從所述子集接收到的安全評估，其特征在于，所述響應(yīng)包括本地動作。其特征在于，安全上下文包括一個或多只要先前的安全評估有效。13.如權(quán)利要求11所述的方法，其特征在于，所述本地可用信息還包括由所述端點(diǎn)采取的一個或多個過去的本地動作。14.如權(quán)利要求11所述的方法，其特征在于，包括一旦所接收到的安全評估不再有效就回退所述本地動作的進(jìn)一步的步驟。15.—種用于跨企業(yè)配置安全策略的方法，所述方法包括以下步驟定義安全評估模式，其中對安全事件的評估由所述企業(yè)中的多個端點(diǎn)生成，所述評估i)使用預(yù)定義分類來為所述安全事件提供上下文含義并且ii)按類型來進(jìn)行分類；以及將評估用作規(guī)則矩陣的錨點(diǎn)，所述規(guī)則矩陣描述對每一種評估類型的響應(yīng)。16.如權(quán)利要求15所述的方法，其特征在于，包括在中央位置收集由所述多個端點(diǎn)生成的評估的進(jìn)一步的步驟。17.如權(quán)利要求15所述的方法，其特征在于，包括收集由所述端點(diǎn)生成的通知的進(jìn)一步的步驟，所述通知與由所述端點(diǎn)采取的本地動作相關(guān)聯(lián)。18.如權(quán)利要求15所述的方法，其特征在于，評估類型由對象類型、評估類別或事件嚴(yán)重性中的至少兩個的組合來定義。19.如權(quán)利要求15所述的方法，其特征在于，所述規(guī)則矩陣包括評估保真度和事件嚴(yán)重性的維度。20.如權(quán)利要求15所述的方法，其特征在于，包括提供用于顯示所述錨點(diǎn)和規(guī)則矩陣的表示的圖形用戶界面的進(jìn)一步的步驟。全文摘要企業(yè)范圍共享安排使用被稱為安全評估的語義抽象來在被稱為端點(diǎn)的不同安全產(chǎn)品之間共享安全相關(guān)信息。安全評估被定義為端點(diǎn)將較寬泛的上下文含義向所收集的關(guān)于感興趣對象的信息的試驗性指派。其試驗性特性反映在其兩個分量中用于表達(dá)對評估的置信度水平的保真度字段，以及對應(yīng)于所估計的評估有效時間段的生存時間字段。端點(diǎn)可將安全評估發(fā)布到安全評估信道上，以及訂閱由其他端點(diǎn)發(fā)布的安全評估的子集。一專用端點(diǎn)耦合到該信道，該專用端點(diǎn)通過訂閱所有安全評估、記錄安全評估、并且還記錄由各端點(diǎn)響應(yīng)于安全威脅而采取的本地動作來作為集中式審核點(diǎn)來執(zhí)行。文檔編號G06F21/00GK101632085SQ200880008153公開日2010年1月20日申請日期2008年3月14日優(yōu)先權(quán)日2007年3月14日發(fā)明者E·胡迪斯,J·馬爾卡,U·巴拉什,Y·黑爾曼申請人:微軟公司