计算机脆弱性自动解决方案系统.pdf

计算机脆弱性自动解决方案系统
    相关申请的相互参考

    本申请要求2001年12月31日申请的美国临时申请第60/345,689号的优先权。

    【技术领域】

    本发明一般涉及一种用于解决计算机中的安全脆弱性(vulnerability)的方法和系统，尤其涉及一种脆弱性解决方案系统，在该系统中，可以汇集来自一个或多个来源的计算机安全脆弱性信息，产生全面的修补(remediation)更新并可控地自动分发给目标客户端计算机。

    背景技术

    计算机、计算机系统以及运行于其上的应用程序正变得日益复杂。此外，随着因特网和其他现代网络技术的出现，计算机的相互连接不断增强，对单个计算机和计算机网络进行远程访问也变得越来越普遍。部分的由于这种复杂性的影响，需要解决的计算机安全脆弱性数量持续增加。比如，仅在2000年就发现了650个操作系统脆弱性，其中Windows2000/NT平台126个，Windows 9x平台46个。据计算机安全协会的报告，1999年有417个脆弱性，2000年有1090个脆弱性，2001年有2437个脆弱性，估计2002年可能超过4000个。按照这一趋势，保护计算机不被这些脆弱性打开安全缺口的难度不断加大。而且，维护计算机系统和/或网络安全的任务日益繁重和困难。

    当前，各机构一般使用脆弱性扫描软件或者安全管理提供商来检测计算机的安全弱点。这些工具一般提供在计算环境下发现的脆弱性的详细信息，但只能提供纠正或解决所检测到地脆弱性的有限手段。一个机构为了去除发现的脆弱性，通常需要耗费大量的人力和资源来识别和/或修补每一个脆弱性，甚至耗费更多的人力为受影响的计算机安装脆弱性修补程序。通常，这涉及到访问每一个个体计算机并手动进行必要的修补。另外，一旦进行了修补，用户可以容易地卸载该修补，或者安装使修补无效的其它软件，这就浪费了原来花费在修补上的所有努力。

    【发明内容】

    根据本发明，提出一种方法和系统，它提供一种更为自动和可控的方式来修补在个体计算机和计算机网络上的安全脆弱性。尤其是，提供一种脆弱性解决方案系统，该系统汇集脆弱性信息，并利用该信息来建立和随后更新脆弱性修补标志(signature)，供下载使用。被下载的标志于是被选择性地用来处理或解决有安全脆弱性的客户端机器中的脆弱性。

    在一个实施方案中，一种用于解决计算机脆弱性的方法包括汇集关于多个计算机脆弱性的脆弱性信息；建立所述多个计算机脆弱性的修补数据库；建立一个修补标志用来处理计算机脆弱性；为客户端计算机配置所述修补标志。脆弱性信息的汇集包括从至少一个安全情报媒介(比如一个关于已知计算机脆弱性信息的数据库，或者一个扫描客户端计算机的脆弱性并记录脆弱性信息的扫描服务)获取脆弱性信息。修补标志通常包含处理相应脆弱性的一系列动作。修补标志一般与一个相应的计算机脆弱性相关。可以为一台客户端计算机建立一个修补简表(profile)用于处理该计算机上的脆弱性，在该简表中包含为该客户端计算机选择的对应该客户端计算机上的脆弱性的修补标志。该修补标志可被上载到一个快速服务器(flash server)，供客户端计算机或客户端服务器进行远程访问或者下载。还期望有一种可控修补方案，其中可包括选择性使用修补标志，选择性解决脆弱性，对客户端计算机脆弱性进行定期扫描，对修补标志进行定期配置等等。

    在另一个实施方案中，一种用于解决计算机脆弱性的系统包括一个能与拥有计算机脆弱性信息的安全情报媒介连接的修补服务器，以便将所述脆弱性信息汇集到修补数据库中。各种不同装置可与修补服务器连接以完善该系统。比如，标志模块与修补服务器相连接，以便为每一个脆弱性建立修补标志。快速服务器可与标志模块相连接以远程访问所述修补标志。也可以包含客户端服务器，它能与所述快速服务器相连接以访问所述修补标志。也可以将配置模块与客户端服务器相连接，它能为与上述客户端服务器相连接的客户端计算机配置所述修补标志。配置模块也能为客户端计算机建立一个修补简表以处理该计算机上的脆弱性，其中修补简表通常包含为该客户端计算机选择的对应该客户端计算机上的脆弱性的修补标志。也可以将一个输入模块与修补服务器相连接，用于处理修补服务器与拥有计算机脆弱性的信息的安全情报媒介的连接。也可以将一个客户端模块与客户端服务器相连接，所述客户端模块处理客户端服务器与快速服务器之间的连接以访问所述修补标志。

    在另一种实施方案中，计算机可读介质确切地包含一个计算机可执行的指令程序，该程序通过执行一个过程来解决计算机中的脆弱性，该过程包括汇集多个计算机的脆弱性信息；建立所述多个计算机脆弱性的修补数据库；建立修补标志来处理计算机脆弱性；向客户端计算机配置所述修补标志。

    【附图说明】

    图1用方块图说明根据本发明的脆弱性解决方案系统的实施方案。

    图2用方块图说明根据本发明的脆弱性解决方案系统的另一种实施方案。

    图3用流程图说明根据本发明的计算机脆弱性修补过程实施方案的概观。

    图4用流程图说明根据本发明的计算机脆弱性修补的汇集和建立过程的实施方案。

    图5A和图5B用流程图说明根据本发明的计算机脆弱性修补的修补管理过程的实施方案。

    【具体实施方式】

    在这一披露中，提供大量具体细节以便充分理解本发明。然而，本领域的技术人员将理解不需要这些具体细节也可以实现本发明。在其他情况下，已经使用示意图或者框图的形式说明过那些众所周知的要素，以便不会因不必要的细节而遮蔽本发明。此外，还略过了某些细节，因为它们对于完全理解本发明不是必要的，而被认为是在相关技术领域的技术人员的理解范围内。需要进一步指出的是，此处描述的所有功能除非若有说明，都可由硬件或者软件或二者的组合实现。在下面的说明书和权利要求书中，使用了某些术语来指示特定的系统构成。本领域的技术人员将理解，可能有不同的名词称呼这些构成。这份文件并不想区分名字不同但不是功能不同的各个构成。在下面的讨论和权利要求中，以一种开放的方式使用术语“包含”和“包括”，因而应该解释为“包括，但不仅仅局限于...”；同样，术语“连接”用于表示直接或间接的电气或通信连接。这样，如果一个第一装置与一个第二装置相连接，那么这种连接可能是直接连接，也可能是通过其他装置或线路的间接连接；最后，术语“修补”通常用于表示通过降低或缓解脆弱性带来的安全风险处理或解决脆弱性。

    图1说明根据本发明的脆弱性修补系统10的实施方案。如图1所示，系统10包含一个与多个情报媒介14相连接的修补服务器12。修补服务器12还与输入模块15、修补数据库16和标志模块18相连接。在这一实施方案中，输入模块15、修补数据库16和标志模块18并入修补服务器12中。比如，输入模块15、修补数据库16和标志模块18可以存储在修补服务器12的内存中。但是，同样也期望输入模块15、修补数据库16和标志模块18能够与修补服务器远程连接。

    快速服务器20也与修补服务器12相连接。客户端服务器22与快速服务器20相连接。客户端模块23和配置模块24与客户端服务器22相连接。在这一实施方案中，客户端模块23和配置模块24并入客户端服务器22中。比如，客户端模块23和配置模块24可以存储在客户端服务器22的内存中。但是，同样也期望客户端模块23和配置模块24能够与客户端服务器22远程连接。最后，多台客户端计算机26与客户端服务器22相连接。

    在系统10的运行中，修补服务器12从情报媒介14中获取关于计算机安全脆弱性的信息。输入模块15提供修补服务器12和拥有此种信息的各种情报媒介之间的必要接口。情报媒介的实例包括：ISS因特网扫描器、QualysGuard、Nessus、Eeye、Harris、Retina、微软的hfNetCheck及其他。脆弱性信息可能以多种形式来自这些媒介，其中的两种形式是：1)来自安全情报机构涉及已知安全脆弱性(比如象微软Windows那样广泛应用的软件中的脆弱性)的一般性信息，2)在对客户端计算机或者计算机系统26进行安全扫描中发现的特定脆弱性的具体信息。修补服务器12将从各种渠道获取的脆弱性信息汇集到修补数据库16。在将这些信息汇集到数据库16中时，修补服务器12以各种方式处理信息。比如，服务器12可能会删除不必要的信息，或者将这些信息分类为相关的脆弱性类型，或者去掉复制信息，识别或者联系某些相关脆弱性等等。

    此外，修补服务器12使用标志模块18为脆弱性产生修补标志。典型的是，修补标志是用于处理或解决脆弱性的一系列动作。在这个实施方案中，修补标志包含如下类型的修补动作：服务管理、注册管理、安全许可管理、账目管理、政策管理、审计管理、文件管理、过程管理，以及服务打包、热修复(hot fix)和补丁安装。这些类型的修补动作在计算机安全业界是广为熟知的。

    一个修补标志可以处理一个或多个脆弱性。但是，为了解释清楚，假定在这一实施方案中，每一个修补标志处理一个或一种类型的脆弱性。在该系统的实施方案中，修补标志是一个抽象目标，它可以在多个平台中开发、执行，并不需要改变在修补系统中使用的基础源代码。这就可以在修补系统环境中创建修补标志，而修补标志可以被应用到修补系统正在运行的任何系统和环境中。建立修补标志的过程可能全部是自动的，也可能需要某些人为干预，或者二者的组合。实际上，某些情报媒介14在提供脆弱性信息时，实际上也同时提供修补或对修补提出建议。根据脆弱性的复杂等级，需要对应复杂等级的修补标志。比如，一些厂家通过自己的网站为自己的硬件或软件中的脆弱性提供“补丁”、“修复”或“更新”。因此标志可能包括到卖主网站找到补丁或更新，作为修补计算机脆弱性要进行的其中一种动作的指示。由于标志潜在的复杂等级，它并不总能像最初建立的那样成功运作。因此，标志模块18或修补服务器12要能够对已建立的标志进行测试或批准，从而确保标志能够成功解决针对的脆弱性，并且不会产生非计划中的破坏效果。

    一旦建立了修补标志，在系统10的实施方案中，修补标志就分配或者联系到修补数据库16中对应的脆弱性。因此，修补数据库16可以包含脆弱性信息和已识别脆弱性的对应的修补标志。作为选择，也期望标志可被存储在别的地方并通过指针或其他方式与对应的脆弱性远程联系。

    可将修补标志和脆弱性信息发送到快速服务器20中用于分发。典型的是，只有当测试并批准了修补标志之后，才能发布或上载到快速服务器20，然后分发到正在寻找计算机脆弱性解决方案的客户端。客户端服务器22就可以从快速服务器20中下载需要的信息。在这一实施方案中，通常由用户进行下载，如IT或计算机安全人员。客户端服务器22可通过多种方式与快速服务器20相连接，包括因特网或直接拨号连接。在该系统的实施方案中，客户端模块23提供必要的逻辑接口，用于从快速服务器20下载信息。典型的是，客户端服务器22周期性的从快速服务器20下载信息，以检查是否有更新的脆弱性和修补信息。客户端服务器22也可以通过全球网络，如因特网或其他，访问厂家网站21，以获取修补所需的额外补丁和更新。在系统10的这一实施方案中，客户端服务器22对从快速服务器20下载的标志进行分析和解释。如果某个标志指定需要卖主网站21上的一个更新或补丁，客户端服务器22将连接到该网站，下载所需的信息，使与客户端服务器22相连接的客户端计算机26可以利用补丁或更新进行本地修补。

    在这一实施方案中，也期望客户端服务器22保留客户端计算机26与之相连接的简表。客户端计算机26的简表本质上记录了涉及客户端计算机26的系统信息。该简表主要包含了关于在客户端计算机26上完成修补的信息。但是，也期望该简表可以包含关于客户端计算机26的格式信息，以及运行在计算机26上的应用软件及其版本的信息等等，它们可能有助于管理该计算机的安全问题。通过将计算机简表与从快速服务器20下载的脆弱性和修补信息进行比较，客户端服务器22可以跟踪每一台客户端计算机需要什么修补。此外，客户端服务器22可以管理每一台客户端计算机26的脆弱性解决过程。比如，客户端服务器22或者安全和IT人员通过该服务器，能够为每一个客户端计算机26选择应该配置的修补标志，或者决定哪些脆弱性应或不应进行处理。此外，解决脆弱性可通过安排各种解决事件进行管理。比如，安排何时或以何种频度扫描客户端计算机26，以及调配处理这些脆弱性的修补标志的配置时间。

    通过管理脆弱性解决方案，可使脆弱性修补更可靠和更成本有效。特别的是，修补可在业余时间进行，使对客户端计算机26的生产率造成的影响降低到最小。可以有选择地进行修补。可对修补进行跟踪和记录，这样就不会意外地重写或者取销修补。与不得不为每一台客户端计算机手动完成或者安装修补相反，也可从客户端服务器22自动完成修补，实际上，对于某些大型公司来说，手动完成修补是一项不可能完成的任务。

    图2用方块图说明根据本发明的脆弱性解决方案系统30的实施方案。尤其特别的是，图2用另一种方式来显现根据本发明的脆弱性系统的体系结构。如图2所示，脆弱性系统30的实施方案的体系结构通常包括汇集部分31和修补部分32。体系中的汇集部分31实质上负责获取和汇集计算机安全脆弱性信息，而修补部分32实质上负责为已识别的脆弱性建立修补标志，并以一种可控和自动的方式为客户端计算机配置那些修补。

    如图2所示，系统体系结构30中的汇集部分31包括情报媒介34、输入应用程序接口(API)或接口36、管理员38。输入API36提供与情报媒介34的接口。参考上面对图1的讨论，情报媒介34提供关于计算机安全脆弱性的信息。注意，这些情报媒介34包含自动脆弱性评估工具、安全情报服务、计算机硬件和软件的制造商等等。管理员38通过输入应用程序接口36从情报媒介34获取脆弱性信息。输入应用程序接口36通常包含从各种可用的情报媒介输入脆弱性评估数据所需的若干接口或输入向导。通常，情报媒介34提供指定必要接口的信息。一旦找到这些信息，就可以通过管理员38汇集、分类、选择或者管理脆弱性信息。

    系统体系结构30中的修补部分32最终使用由汇集部分31取出的脆弱性信息来修补客户端计算机40上的脆弱性。客户端计算机40如图所示与客户端服务器42相连接。客户端服务器42允许对客户端计算机40自动和可控地配置修补标志。修补部分32的体系结构表明，来自汇集部分31的脆弱性信息通过修补数据总线44、修补标志46和修补简表48传送到客户端服务器42和客户端计算机40。正如上面讨论的，修补标志46本质上是用于处理或解决脆弱性必采取的一组动作。修补标志可由情报媒介34通过脆弱性信息来提供，或者，更为典型的是，它需要根据接收到的脆弱性信息建立。这种建立包括处理脆弱性所采取的一些自动创建和/或手动创建的适当动作。前面还讨论过，还期望修补简表48能记录涉及客户端计算机40或者客户端服务器42的系统信息。比如，该简表可以包含关于客户端计算机40或者服务器42的格式、运行在计算机40或服务器42上的软件应用和版本、已经在客户端计算机40或服务器42上执行的修补标志、计算机40的修补历史等信息。通过将计算机简表与获取的脆弱性和修补信息进行比较，就可以跟踪每一个计算机40或者服务器42需要进行什么修补。图2还表明该实施方案中的修补类型或者组合50包括配置管理、后门管理、服务管理、账目管理和补丁管理。可用的修补组合与修补总线44相连接。

    图3用一个流程图说明根据本发明的计算机脆弱性修补过程实施方案的概述。修补过程60从方框61中的脆弱性评估开始。脆弱性评估包括使用自动化评估工具、审计方法和情报媒介来核实给定计算机或计算机网络中是否存在已知脆弱性。评估过程还包括装置的发现，也就是映射要评估的网络或子网络部件，识别用作脆弱性评估目标的装置。在方框62中，脆弱性信息输入或者汇集到系统中，通常到修补数据库，并且可以建立修补标志来处理已识别的脆弱性。注意，修补标志通常与修补数据库中对应的脆弱性相联系，这样就可以在方框63中审查脆弱性信息。审查过程通常包括分析脆弱性信息，以排序和识别要修补的脆弱性，以及分析可接受的风险(也就是，什么地方不需要进行修补)。正如在方框64中指示的那样，可以按照需要安排修补发生的时间、地点以及方式。这就允许修补发生在非高峰时间，从而降低对计算机正常工作的干涉，并只对确定的目标计算机以期望的方式进行修补。在方框65中，修补标志被批准分发给客户端目标计算机。这期望可以选择性地配置修补标志。此外，设计用于处理已识别脆弱性的标志在被批准可用于配置之前，需要进行测试和修改。一旦批准，修补标志和脆弱性信息就在方框66分发给系统客户端，供客户端的计算机使用。这样，就可以按照方框67中的安排进行修补。最后，可以通过状态报告和其他信息，审查进行的修补，以确保修补成功完成。此外，可以记录修补事件以保存修补信息。这类信息可包含在客户端计算机的简表中。注意，这种简表包含关于目标装置的信息，如系统配置、软件和先前修补动作或修补历史。拥有这类信息，就可以在将来对客户端计算机进行可控修补。总的来说，图3的修补过程实施方案展现了本发明所期望的脆弱性评估、脆弱性修补和脆弱性管理。

    图4用一个流程图说明根据本发明的计算机脆弱性修补的汇集和建立过程实施方案。本质上，汇集和建立过程70可被视为整个修补过程的子过程。过程70开始于方框71中的从情报媒介搜集脆弱性信息。如同先前所述，这些情报媒介包括自动脆弱性评估工具、安全情报服务、计算机硬件或软件的生产商等信息。脆弱性信息从情报媒介取出后，就被汇集到如方框72所示的修补数据库。在方框73，对脆弱性信息进行审查和分析。这包括将信息分类为相关的脆弱性或者其他脆弱性、分类或者识别某些相关的脆弱性、对脆弱性进行优先排序等等。如方框74所示，对脆弱性进行识别以创建修补标志。一个修补标志处理或者解决一个或一类脆弱性。修补标志在方框75中建立。注意，修补标志是一组用于解决或处理对应脆弱性的动作，比如，修改注册设置、更改安全许可、安装补丁等。修补标志的创建可以完全是自动的，或者也会包含某些手动输入。在方框76中，对修补标志进行测试，看它能否有效地处理或解决目标脆弱性。如果不能，那么过程就返回到方框75，重新建立另一个修补标志，然后再在方框76中进行再次测试。一旦建立了有效的标志，过程就继续到方框77。在方框77中，经选择的标志被批准分发给客户端。方框78中，将经批准的标志上载到快速服务器，供客户端下载。这样，用于处理或解决已识别脆弱性的新修补标志和更新的修补标志就可供客户端下载。

    图5A和图5B用两个流程图说明根据本发明的用于计算机脆弱性修补的修补管理过程的实施方案。本质上，汇集与建立过程70可被视为整个修补过程的子过程。修补管理过程80的实施方案是一个典型的安装在客户端计算机上的软件应用，它与多个需要进行安全脆弱性修补的目标客户端计算机相连接。因此，过程80开始于方框81中的启动应用。在方框82中，可以从快速服务器下载可用的修补标志和脆弱性信息。在方框83中，可以输入脆弱性评估数据。通常，脆弱性评估数据来自扫描工具，扫描工具对需要考虑进行修补的目标计算机进行扫描和分析。脆弱性评估数据包含在目标计算机或装置上发现的安全脆弱性信息。以在目标计算机上发现的脆弱性为基础，在方框84中将脆弱性与修补标志进行匹配。在这一实施方案中，通过参考从快速服务器下载的修补数据库信息来实现已识别的脆弱性与相应的修补标志之间匹配。但是，同样也期望，这一信息可以提前下载、远程访问或立即下载，以确定脆弱性和可用标志之间的必要相关性。在方框85中，为每台目标计算机创建修补简表。注意，该简表通常包含在目标客户端计算机上已识别的脆弱性的相关信息，以及处理这些脆弱性的对应标志的信息。在方框86中，客户端用户，通常是IT人士或其他计算机安全人员有机会选择决定哪些脆弱性应该修补。一般而言，这种选择是通过对脆弱性信息、建议的标志和简表进行审查后完成的。可以为每一台计算机或者每一个脆弱性进行这种选择和审查。比如，可以选择一台特殊的计算机不进行任何修补，这可能是因为该计算机不存在重大的安全风险，可能是因为该机的脆弱性不严重，也可能是因为不能中止该机正在运行的过程来进行修补，等等。作为选择，也可以为所有的目标客户端计算机排除一个特殊的脆弱性，这样就不必对任何一台目标计算机修补脆弱性，这可能是因为这一脆弱性不会产生足够的安全风险，或者修补标志本身具有太高的风险等等。一旦用户选择性地控制将修补哪些脆弱性，在方框87中，用户就可以决定哪一台计算机可以接受修补。在方框88中，需要对被提议的修补进行分析，从而决定需要哪一个修补标志。在方框89中，向将要接受修补的目标客户端计算机通报修补即将进行。在这一实施方案中，通报必须包含传送给安装在每台客户端计算机上的本地修补应用程序的信息。在修补通报中可能还包含有修补计划安排的时间。比如，可能将修补安排在一个特定事件发生时，如用户退出、进入机器或者其他动作发生。此外，也可以将修补安排在特定时间进行，也就是说，使用目标客户端计算机的本地时钟，修补可以在进度时间表中进行初始化设置。或者作为选择，修补也可以在目标客户端计算机刚收到通报时就进行。不管是什么触发事件，在方框90中，当满足触发时就启动本地修补。

    过程80在图5B中继续。一旦启动了修补，在方框91中，就下载针对客户端计算机的修补简表。通常，从客户端服务器下载简表，客户端修补管理过程应用程序就运行在客户端服务器上，它也是最先发送修补挂起通报的服务器。如同方框92注明的那样，然后解释简表的内容，并执行修补标志和该简表中指定的动作。如同方框93注明的那样，在修补过程中，要向客户端服务器和监视器报告修补状态。此外，如同方框94所标注的，还要对修补步骤进行优先排序和分析，以确保执行序列最有效。如同方框95标注的那样，某些修补动作要在重新启动后才能产生效果。在方框96中，目标客户端计算机完成修补后，就记录到客户端服务器。一旦修补完成，方框97指示生成说明修补效果的报告。在方框98中决定修补的成功与否。如果认为修补不成功，或者由对客户端计算机进行的额外安全扫描表明它没有解决已识别的脆弱性，或者修补动作产生了非计划的破坏性效果等等，就后退或者取消修补，按照方框99建议的那样重复进行修补过程。如果认为修补是成功的，也就是说，已经解决脆弱性并且没有产生破坏性效果，那么在方框100中，就结束过程。通过这种方式，用于处理或解决已识别脆弱性的新修补标志和更新修补标志，就可供下载，用于自动和可控地在目标客户端计算机上展开修补。

    尽管已经说明和描述了本发明的特定设备和使用方法，但是显然，可以在所附权利要求书定义的本发明的范围内用等同部分替代所示部分，和进行其他改变。

    由于本领域的技术人员显然知道可以修改和以不同但等价的方式实现本发明，因此在此公开的特定实施方案只是示意性的。另外，除了下面的权利要求书的描述以外，这里展示的构造或设计细节没有局限性。显然，上述公开的特定实施方案可以被调整或修改，而且所有这些变更都认为在本发明的范围和精神之内。因此，在此寻求的保护范围在下面的权利要求书中陈述。