【技术实现步骤摘要】
本专利技术涉及用于管理安全事件的方法和装置。
技术介绍
安全事件管理(SEM)和安全信息管理(SIM)系统通常是配置成从多个安全事件源 收集、聚集、及关联安全事件数据的企业级服务器。在标准的SEM/SIM系统中,用户的客户 端计算机配置成定期向SEM/SIM服务器传送报告、日志、及其他安全有关的数据。SEM/SIM 服务器聚集和关联从客户端计算机和其他企业装置及源(例如网络路由器、防火墙、和服 务)收到的安全数据以生成安全事件报告。通常,SEM/SIM服务器是被动式的,并且不自动 响应安全事件。相反,安全人员能查看安全事件报告并采取适当的动作。历史上,企业的安全防线关联于该企业的物理防线(例如,企业位于其中的建 筑),因为大部分的计算装置是固定的。然而,随着计算装置不断变得更加移动,企业安全防 线正在扩展或者在某些情况下正完全消失。因此,处于中心的安全系统,例如传统的SEM/ SIM服务器,尽力维护企业作为整体之上的安全并且尤其是大量的移动计算装置之上的安 全。
技术实现思路
本专利技术提供一种方法,包括在移动计算装置上建立安全事件管理器;用所述安 全事件管理器检索安全策略数据,所述安全策略数据定义用于确定安全事件的发生的安全 事件规则的集合;用所述安全事件管理器检索安全事件数据,所述安全事件数据从所述移 动计算装置的至少一个安全事件源生成;基于所述安全事件数据和所述安全策略数据,用 所述安全事件管理器来确定安全事件的发生;以及用所述安全事件管理器来响应所述安全 事件。本专利技术还提供一种移动计算装置,包括安全事件管理器;处理器;以及存储器装 置,其中已存 ...
【技术保护点】
1.一种方法,包括:在移动计算装置上建立安全事件管理器;用所述安全事件管理器检索安全策略数据,所述安全策略数据定义用于确定安全事件的发生的安全事件规则的集合;用所述安全事件管理器检索安全事件数据,所述安全事件数据从所述移动计算装置的至少一个安全事件源生成;基于所述安全事件数据和所述安全策略数据,用所述安全事件管理器来确定安全事件的发生;以及用所述安全事件管理器来响应所述安全事件。
【技术特征摘要】
2009.12.26 US 12/6474471.一种方法,包括在移动计算装置上建立安全事件管理器;用所述安全事件管理器检索安全策略数据,所述安全策略数据定义用于确定安全事件 的发生的安全事件规则的集合;用所述安全事件管理器检索安全事件数据,所述安全事件数据从所述移动计算装置的 至少一个安全事件源生成;基于所述安全事件数据和所述安全策略数据,用所述安全事件管理器来确定安全事件 的发生;以及用所述安全事件管理器来响应所述安全事件。2.根据权利要求1所述的方法,其中建立所述安全事件管理器包括在安全引导环境中 建立所述安全事件管理器。3.根据权利要求1所述的方法,其中接收安全事件数据包括接收从所述移动计算装置 的多个安全事件源所生成的安全事件数据。4.根据权利要求1所述的方法,其中接收所述安全事件数据包括接收从所述移动计算 装置的固件、所述移动计算装置的操作系统、及所述移动计算装置上执行的软件应用的至 少一个所生成的安全事件数据。5.根据权利要求1所述的方法,其中确定所述安全事件的发生包括将所述安全事件数 据规范为预定数据格式。6.根据权利要求1所述的方法,其中确定所述安全事件的发生包括聚集所述安全事件 数据以汇总所述安全事件数据。7.根据权利要求1所述的方法,其中确定所述安全事件的发生包括关联所述安全事件 数据以基于所述安全策略数据来确定安全事件的发生。8.根据权利要求7所述的方法,其中确定所述安全事件的发生包括关联所述安全事件 数据以基于所述安全策略和基于与所述移动计算装置关联的上下文数据来确定安全事件 的发生。9.根据权利要求8所述的方法,其中所述上下文数据包括指示所述移动计算装置的用 户的位置、所述用户的活动、所述用户位于其中的环境的方面、与所述用户有关的生物计量 数据的至少一个的数据。10.根据权利要求1所述的方法,其中确定所述安全事件的发生包括规范所述安全事件数据以生成规范的安全事件数据,所规范的安全事件数据具有预定 数据格式;聚集所规范的安全事件数据以生成聚集的安全事件数据,所聚集的安全事件数据汇总 所规范的安全事件数据;并且关联所聚集的安全事件数据以基于所述安全策略数据来确定安全事件的发生。11.根据权利要求1所述的方法,进一步包括用所述安全事件管理器从所述移动计算装置上存储的上下文数据库来检索上下文数据,其中确定所述安全事件的发生包括基于所述安全事件数据和所述上下文数据来确定 安全事件的发生。12.根据权利要求1所述的方法,其中响应所述安全事件包括在所述移动计算装置上 执行至少一个以下动作改变所述移动计算装置的连接性状态、修改对所述移动计算装置 上软件应用的访问、修改所述安全事件管理器的事件数据过滤器、拒绝对数据的访问、重新 引导所述移动计算装置、修改所述移动计算装置的功率状态以及隔离所述移动计算装置上 执行的软件应用或服务。13.根据权利要求1所述的方法,进一步包括接收从所述移动计算装置的传感器生成的传感器数据;并且 用所述传感器数据来更新存储在所...
【专利技术属性】
技术研发人员:S·P·珀塞尔,A·D·罗斯,J·S·巴卡,S·艾西,T·M·科伦伯格,D·M·摩根,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。