安全评估系统和方法

安全评估系统和方法
【专利摘要】一个系统可以分解成一个或多个组成部分。各个组成部分可被评估以将安全评分分配给各个组成部分。用于系统的综合安全评分可基于安全评分以及表征系统的概率性的安全下降的衰减速率测量而生成。可将衰减速率测量应用于综合安全评分以获得当前的综合安全评分。
【专利说明】安全评估系统和方法
[0001]相关申请的交叉引用
[0002]本公开要求2014年2月28日递交的标题为“Common Security MeasurementMethod”的美国临时申请N0.61 /946，656的优先权，该临时申请的全部内容通过引用方式并入文中。
【附图说明】
[0003 ]图1为根据本发明的实施方式的安全模块。
[0004]图2为根据本发明的实施方式的安全评分推导。
[0005]图3为根据本发明的实施方式的资产。
[0006]图4为根据本发明的实施方式的资产评估。
[0007]图5A-图f5D为根据本发明的实施方式的资产细分。
[0008]图6为根据本发明的实施方式的基本安全评分证书。
[0009]图7为根据本发明的实施方式的基本安全评分证书。
[0010]图8为根据本发明的实施方式的安全评分下降。
[0011]图9为根据本发明的实施方式的安全要求证书。
[0012]图10为根据本发明的实施方式的基本安全评分证书。
[0013]图11为根据本发明的实施方式的安全要求证书。
[0014]图12为根据本发明的实施方式的标准化安全评分比较。
[0015]图13为根据本发明的实施方式的标准化安全评分比较。
[0016]图14为根据本发明的实施方式的安全验证。
[0017]图15为根据本发明的实施方式的安全比较。
[0018]图16为根据本发明的实施方式的安全验证。
[0019]图17为根据本发明的实施方式的相互安全验证。
[0020]图18为根据本发明的实施方式的安全验证。
[0021]图19为根据本发明的实施方式的安全验证。
[0022]图20为根据本发明的实施方式的安全验证。
[0023]图21为根据本发明的实施方式的安全验证。
【具体实施方式】
[0024]文中所描述的系统和方法可基于量子安全模型(QSM)提供对于一个或多个系统的安全评估。QSM是一种安全测量和比较方法论。QSM可提供将系统分解且以一致的方式评估原始组成部分的标准化方法论，其可使得相关性更为精确地理解和测量。QSM可提供一种将所生成的原始组成部分的评估标准化为可量化评分的方法。QSM可使得资源拥有者规定他们承认和接受哪些评估(签署)机构。QSM方法可用于评估系统或设备的当前的安全状态以及概率性的未来安全状态。QSM可允许单个资源拥有者在授权访问之前指出和验证资产的安全评分。QSM可以使得具有计算能力的资产在共享资源或服务之前彼此相互认证。
[0025]在QSM中，通过在设备、系统或实体(“资产”)上进行的评估过程可得到共同测量，其中期望一种约定的、可重现的、独立地可证实的安全水平确定。符号表示为(“qS”)且发音为(“qSec”)的量子安全单位可是一种基于QSM的用于系统的安全的标准测量单位。qSec可是与量子物理学中的颗粒的位置类似的时间值，使得它可仅在观察者进行测量的时刻被最佳地估计和得知。在测量后，颗粒的位置可仅仅利用随着时间下降的精度概率性地确定。作为量子测量的qSec，可共享该特征。可假设，从安全性的角度来看系统可被视作波状的系统且可应用量子力学的原理。系统的安全性是该系统的属性。时间的经过、以及系统的正常运行和操作及其环境都可影响系统的安全性。因此，系统的安全性可是动态的且已知的安全状态在本质上可能是瞬时的。因此，系统可表示为波状的系统且系统安全性可表示为量子属性。与颗粒的位置相似，系统的安全性可使用用于测量的量子力学原理来进行可量化地定义。测量结果可提供以量子安全单位表示的安全度量，其中零值表示系统完全缺乏任何安全性，且增加的值表示较高的安全性。
[0026]IqSec表示的值可从在系统安全测量过程期间待评估的标准得出。各个标准可具有与其对安全性的影响有关的共同值范围。另外，各个标准可具有相关的评估方法，该评估方法生成在该范围内的结果。标准加权法可应用于各个标准，且共同值范围可成为安全值刻度，对于该安全值刻度，量子安全测量以qSec表示。例如，qSec值可表示矩阵力学中的特征值。在不同时期，不同的观察者根据其视角理论上可对该值做出不同的解释，且可希望将他们自己的概率滤波应用于qSec值或者进行他们自己的测量方法以确定系统的qSec值。因此，该值可被预先确定以当对系统安全进行分类时以有意义的方式来利用qSec测量。预先确定可自动地完成、可被使用者设定、和/或可在系统初始化时或系统初始化之前进行设定。
[0027]文中描述的系统和方法可包括一个或多个计算机，其也可被称作处理器。计算机可以是能够执行算术运算和/或逻辑运算的任何可编程的一个机器或者多个机器。在一些实施方式中，计算机可包括处理器、存储器、数据存储装置和/或其他通常已知的或新型的部件。这些部件可物理地或通过网络或以无线连接方式而连接。计算机还可包括可管理上述的部件的操作的软件。计算机可称作在相关领域中的普通技术人员所通常使用的术语，例如服务器、PC、移动装置、路由器、切换器、数据中心、分布式计算机或其他术语。计算机可促进使用者和/或其他计算机之间的通信、可提供数据库、可执行数据的分析和/或转换、和/或执行其他功能。本领域普通技术人员将理解到，文中所使用的这些术语是可互换的，且可使用任何能够执行所述的功能的计算机。计算机可通过一个网络或多个网络彼此连接。网络可是任何多个完全互连的或部分互连的计算机，其中，一些计算机或全部的计算机能够彼此通信。本领域普通技术人员将理解到，计算机之间的连接在一些情况下可是有线的连接(例如，通过以太网连接、同轴连接、光学连接或其他有线连接)或者可是无线的连接(例如，通过W1-F1、WiMax、或其他无线连接)。计算机之间的连接可使用任何协议，包括诸如TCP的面向连接的协议或者诸如UDP的无连接协议。至少两台计算机通过此可交换数据的任何连接可以作为网络的基础。
[0028]图1为根据本发明的实施方式的安全模块100。安全模块100可包括处理器110和物理存储器115，例如规则数据库122和/或证书数据库124。规则数据库122可存储如在下文中更详细描述的各种访问控制规则。证书数据库124可存储如在下文中更详细描述的用于装置、文件、使用者等的各种证书。安全模块100还可包括子模块，诸如可得到和/或更新安全评分的评分模块132、可确定是否符合安全规则的验证模块134、和/或可自动地或手动地限定安全规则和/或访问权限的权限模块136。注意到，文中所描述的执行安全验证的任何装置或者作为QSM使能的装置的任何装置或者作为QSM装置的任何装置，可包括安全模块100且可使用安全模块100以执行验证和/或与所描述的QSM有关的其他过程。
[0029]图2为根据本发明的实施方式的安全评分推导200。可对资产进行评估过程以确定其安全水平。为了获得该结果，代表资产的安全水平的标准化安全评分可在评估结束时生成。该评分可通过方法进行标准化，该方法对于通过出于评估目的预定义的分组(“安全类另IJ” ) 220而划分的资产的主要功能(它做什么、它的目的)采用预定组的安全标准(“安全目标”)210。对于各个安全目标210，可对资产的安全类型中的每一者进行评估且可生成安全评分(“目标评分”)，其落在被分配给安全目标的范围内。对于各个评分的重要程度可随着资产的变化而改变或甚至随着情况的变化而改变。当已经生成全部的目标评分时，它们可使用预定义的目标评分集合方法(例如，加权平均)进行组合，从而生成标准化的安全评分(“NSS”)230。图3为根据本发明的实施方式的资产230，其示出可用在一些实施方式中的安全类别220和安全目标210的具体示例。例如，资产230可具有存储、处理和传输安全类别220，其可对应于资产230所执行的主要功能(例如，数据存储、数据处理和数据传输)。各个安全类别220可具有授权(AZ)、机密性(C)、完整性(I)、可用性(AV)、不可抵赖性(NR)和认证(Al)安全目标210。基于与安全类别220相关的功能类别中的每一者在安全目标210的评分的效果，资产230的NSS可提供资产230如何才较好地符合全部安全目标210的指示。
[0030]图4为根据本发明的实施方式的资产评估300。
[0031]—些资产可是综合的(例如，由许多子组成部分组成)。对于这些综合资产，可对独立地各个子组成部分进行诸如图4的技术300的测量技术以得出各个子组成部分的NSS值。这些子组成部分值可组合到一起以得到最高等级的资产的NSS。可选择资产用于评估，且可在305开始评估。可识别一个或多个安全类别220，且在310评估各个安全类别220。各个安全类别220可包括一个或多个安全目标210，在315评估各个安全目标210。安全模块100可确定在320是否能够针对安全目标210计算安全目标评分。如果这样，则在325可开始安全目标评分计算，且在330可生成其安全目标评分。安全目标评分计算的示例在下文中更加详细地进行讨论。当在335已经计算评分时，则在315可选择下一个安全目标210。如果在320不能够计算用于安全目标210的安全目标评分，则安全模块100在340可确定资产是否应被细分。一些资产可能过于复杂而不能直接地得出安全目标评分，或者可包含先前已经评估的部件、装置和/或系统。为了处理这些情况，可对资产进行细分。
[0032 ]图5A至图5D为根据本发明的实施方式的资产细分示例1700和1750。图5A描述了使用笔记本电脑作为示例的这种原理，其中，笔记本电脑被划分为CPU、操作系统、和GPU这些组成部分。图5B描述作为另一示例的净化工厂，其中，该净化工厂被划分为水收集系统、净化系统和饮用水系统这些组成部分。如所示，对于一些子资产可以仅仅有助于单一的安全类别评分，然而其他资产可有助于多个的安全类别。图5C示出来自图5A的笔记本电脑子资产如何可以进一步分解成在驱动器子资产下的具体的驱动器和在应用程序子资产下的具体的应用程序。在图示中，应用程序子资产的虚拟机(VM)子资产进一步被分解成在VM下运行的应用程序。必要时该过程可进行重复直到可精确地评估每一个子资产。图5D示出来自图5B的预净化子资产的水净化子资产的进一步分解，示出QSM可适用于任何需要评估的关键的基础结构部分或资产，且与资产的类型无关。在资产所属领域内的知识渊博的人员可遵循该方法论且递归地将任何综合系统分解为进一步的子资产，直到该系统由基元构成(可进行评估或者已经进行评估的子资产)。在水厂示例中，基元可以是如栅栏、防护装置和锁具的子资产，其对物理安全性的影响可以被很好地记录且可量化。
[0033]再参照图4，如果不能够细分，则在345可指定默认的安全目标评分，且在315可将评估300移动到下一个安全目标上。如果在340完成细分，则安全模块100可在350定义子资产和在355定义子资产权重方程。如上所提到的，子资产本身可进一步划分，在该情况下可对进一步划分的子资产进行分析。对于各个子资产360，在365可执行资产评估，且在370可生成安全目标评分。在375可评估所有的安全目标评分，且在380可评估安全类别评分。如果存在更多的安全类别220用以评估，则在310可选择下一个安全类别220，上述的评估可执行用于下一个安全类别220的安全目标210。当已经评估所有的安全类别220时，在385可结束资产评估。对于图3的资产230，三个安全类别220分别具有六个安全目标210，可执行总计18次评估。
[0034]利用NSS、目标评分设置、以及推导的安全规则以及诸如公-私密钥证书的加密技术，数字资产可安全地将其安全水平以及执行资产评估的时间保存在基本安全评分证书(BSSC)中。图6为根据本发明的实施方式的BSSC 700oBSSC 700可包括对于各个安全目标210和安全类别220的评分。对于图3的示例性的资产230，BSSC 700可为3元的安全类别220评分(SCS)，各个安全类别220评分又可以是6元的安全目标210评分。图7为图3的资产230的示例性BSSC 700。该示例性BSSC 700可具有基本安全评分(BSS)，其表示为BSS=((传输SCS)，(存储 SCS)，(处理 SCS))或 BSS= ((Tc,Ti,Taz, Tai，Tav，Tnr) ,(Sc,Si,Saz, Sai，Sav，Snr)，(Pc，Pi，Paz，Pai，Pav，Pnr))，其中，C =机密性、I =完整性、AZ =授权、Al =认证、AV =可用性、以及NR =不可抵赖性。BSSC 700可例如由个体、企业、管理机构或政府机关来签署。BSSC700可包括颁布证书的日期/时间以及证书将终止的日期/时间C3BSSC 700还可包括NSS的衰减速率，其在下文中更详细地进行描述。
[0035]为了考虑安全性的瞬态性能，即安全性可具有高的测量后下降的概率，安全衰减速率(ROD)算法可被用于纳入到自进行上一次在BSSC中提到的NSS评估起已经发生的概率性安全下降中。考虑到在自最初颁布BSSC起已经过的时间，ROD可被用于确定系统的现实的安全评分。用于计算ROD的算法可依赖于所选的用于对系统进行评分的度量。通过将NSS和目标评分设置以及上一次评估的时间(以及任选的其他安全规则或记录的资产使用历史)用作输入，新的NSS评分可被计算且用于更精确的公共安全比较。
[0036]图8为根据本发明的实施方式的安全评分下降900。线910示出不具有随着时间保持恒定的ROD值的系统的安全。然而，系统运行时间越长，则系统更可能变得折衷。线920示出安全的这种下降，其示出每单位时间的线性ROD为0.01。线930和线940示出当考虑事件时随着时间的系统的安全，该事件可负面地影响系统的安全。线930代表四个安全事件，其使系统的安全降低但未导致ROD的变化。线940描述相同的四个事件，但是假设这些事件分别也改变了 ROD值。在图8中描述的事件可以是例如将USB装置联接至系统、将系统连接至不可信网络、浏览至恶意网站、或者安装下载的应用程序的结果。
[0037]为了使得资产保持其重要事件的历史，QSM可支持证书链或者安全评分链(SSC)的构思。BSSC可提供在任何SSC中的基本证书。资产可通过BSSC修改评分和签署新的证书，从而创建SSC。当创建SSC时，资产可包括为什么进行修改的记录。在图8中，在线930或线940上的各个事件后，可对SSC进行更新，其反应了 ROD的变化且记录了导致这些变化的事件。如果BSSC被给定R0D，则新的安全评分可针对任何衰减调整(例如，如在线940中所示)，因为在该链中的新的证书可具有新的颁发日期/时间。终止日期/时间可不会延长超过BSSC的终止期，但是可视情况缩短。另外，视情况ROD可被修改以反映新的风险和威胁。
[0038]图9为根据本发明的实施方式的安全要求证书(SRC)1400。SRC与BSSC—样，可是通过加密安全的、签署的文件，其包含对于各个安全目标210评分(SOS)的安全要求权重(SRW)、对于各个安全目标210的安全权重、授权的BSSC和SSC签约方、和/或最小的标准化的安全评分(NSS) JSS可以是QSM中的最高水平的评分，且可通过将安全要求证书中的安全要求权重应用于在基本安全评分中的安全目标评分来计算。在数学上，SRW可与BSSC(例如，3元的安全类别权重(SCW)(其可为各个类别有助于NSS的百分数权重)类似，各个SCW为6元的安全目标权重的值(SOW)(其可为归因于各个SOS值的百分数权重)ο例如，SRW可被表示为:SRW=(传输 SCW(传输 S0W)，存储 SCW(存储 S0W)，处理 SCW(处理 SOW))或者 SRW= (SCW(Tc，Ti，
[0039]NSS可提供能够用于评估给定的资产随着时间(AT)的安全态势的度量。该评分可例如用于认证资产、授权访问、比较资产的安全实用性，或者确定应该对给定的资产进行何种改进。NSS可如下进行计算:NSS=(BSS*SRW)-(ROD*AT)。因此对于图3和图7的示例，NSS可以是:NSS = ( SCWt* ( Tc*TWc+Ti*TWi+Taz*TWaz+Tai*TWai+Tav*TWav+Tnr*TWnr )+SCffs* (Sc*SWc+Si*SWi+Saz*SWaz+Sai*SWai+Sav*SWav+Snr*SWnr)+SCWp*(Pc*PWc+Pi*PWi+Paz*PWaz+Pai*PWai+Pav*PWav+Pnr*PWnr) ) — (R0D*(T.勺-T_勺))。
[0040]图10为根据本发明的实施方式的基本安全评分证书1500。在该示例中，BSS=((6.05，3.47，3.83，4.89，5.42，3.46)，(6.52，4.45，5.78，5.09，6.43，4.80)，(4.52，4.89，2.69,3.68,6.79,2.64) KROD为0.013/天，证书在2014年2月22日颁布且到2014年8月24日终止。图11为根据本发明的实施方式的安全要求证书1600。在该示例中，SRW= (0%(0%，0%,0%,0%,0%,0%),65%(25%,40%,5%,5%,25%,0%),35%(17%,17%,17%,16%,17%,16%))。传输安全目标权重的权重0.0说明该特殊的资产拥有者不关心或不使用传输活动。这种场景可出现在独立操作的机器或者智能卡中，其可不具有任何传输数据的装置但具有存储和处理能力。在SRC中列举的所需的最小NSS是5.0且当前日期或TCURRENT = 2014年3月23日。下文为存储部分的详细计算;忽略了其他详细的计算:
[0041 ]存储部分=0.65*(0.25*6.05+0.4*3.47+0.05*3.83+0.05*4.89+0.25*5.42+0.0*3.46)=3.05
[0042]NSS= (0+3.05 + 1.93)-(0.013*(2014年 3 月 23 日-2014年 2 月22 日) = (4.98-(0.013*29))=4.6
[0043]该计算的NSS可与存储的最小NSS值进行比较，如果计算的NSS大于最小NSS值，则它可被认可。在上文的示例中，由于计算的NSS为4.6，其小于SRC许可值(5.0)，因此该装置将被拒绝。
[0044]NSS值可进行比较和对比，以允许安全水平指数适合于资产的安全性。图12为根据本发明的实施方式的NSS比较400 JSS值410可与NSS指数420比较以确定资产的NSS是否指示该资产具有所需的最小安全水平。例如，NSS指数420可指示具有5.5或更高评分的资产具有可接受的安全水平，且具有小于5.5的评分的资产不具有可接受的安全水平。在图12的示例中，资产的NSS为6.8，因此超过需求的5.5。另外，两个或更多个资产可进行比较以确定它们是否具有相同的或对比的安全水平，或者以确定哪个资产是更为安全的。图13为根据本发明的实施方式的NSS比较500。在该示例中，资产I具有6.8的NSS值510，资产2具有7.2的NSS值520，因此资产2可被认为是比资产I更安全。基于约定的预定的安全目标和类别以及预定的评分集合过程以及公共安全测量方法，转移性(transitivity)可暗示安全比较是约定的、可重现的、独立地可证实的安全比较。
[0045]利用NSS和目标评分设置，可进行扩展的安全比较，其可通常测量资产的更专门的安全属性。图14为根据本发明的实施方式的安全验证600。资产610(例如，USB装置)可具有计算的NSS(例如，6.8) JSM使能的系统620可在与资产交互之前证实资产安全600。系统620可被要求使用资产执行操作(例如，到USB装置的写操作)630，例如，经由使用者输入。资产610可将其NSS640发送至系统620。系统620可评估NSS(例如，如图12中所示通过执行比较)。如果NSS评估指示充分的安全，则可继续操作。相反，则阻止该操作。
[0046]图15的示例为根据本发明的实施方式的安全性比较2100，其中，两个不同的系统进行比较。系统#1具有比系统#2低的NSS评分，但是系统#1具有比系统#2高的对于存储机密性的类别评分。诸如这些的比较可用于确定购买哪个产品(例如，哪个产品最佳地符合使用者的安全需求)、或者用于确定哪个系统应该首先被升级、或者用于通知关于系统安全的其他决定。
[0047]图16为根据本发明的实施方式的安全验证800，其中，资产(笔记本电脑810)的BSSC可被用于与企业网络820交互作用。资产810可尝试连接网络820且可提供BSSC 830。网络820可评估BSSC且确定资产810是否是安全的840。在该示例中，资产810在其BSSC中具有NSS，其低于网络820所要求的阈值，因此网络820拒绝访问资产810。
[0048]SOS可提供通过计算安全度量而确定的基于概率的评估，其可描述折衷的概率。该概率方程可以表示为SOS = P(折衷I安全性测量#威胁)AOS为由于实施未防范威胁的安全测量引起的资产的折衷的概率可能性，其中威胁是具有给定动机的参与者可利用漏洞(exploit)的随着时间的概率性表达。威胁=P(时间I参与者I动机I漏洞)。
[0049]在BSSC中时间可被拉出和执行，以ROD表示，以允许SOS为一组值。ROD可指示SOS对定时曝光如何敏感。更高的ROD可指示与较低ROD相比对资产的威胁随着时间增加较多。
[0050]例如，NSS可具有O到10的范围，其中零为没有安全性且10为十分安全。如果给定的资产具有770天的使用期限(或者直到需要补丁或更新的时间)且没有其他因素有助于减小或延长该使用期限，一种计算ROD的方式可通过采用最大的NSS值10，且将其除以770天。ROD=10(Max NSS值)/(直到折衷的100%可能性的天数)=10/770 = 0.013/天。通过将计算的NSS减小ROD倍数(时间的变化(天数))，而不顾及系统的安全性，在770天结束时的评分将为零。换句话说，在没有一些行动的情况下，系统可被认为是不安全的。实际上，可存在在某处大于零的某个最小值，在此处系统可认为是不安全的，且该值可表示为SRC中的最小NSS。
[0051]另一示例可涉及在军事设施中的弹药库。弹药库上的保险库门可属于安全的一个组成部分(“Si” )。使保险库规定为6小时的准入级别，且使保险库测试指示对于熟练的侵入者60%的准入率，其中在6小时的时段后不受限制的进入每小时增加5%。因此，S1S0.95，且其中在6小时处ROD阶梯为0.6且在此之后具有稳定的0.05衰减/小时。通过该清楚地阐明保险库的BSS，指挥官可命令卫兵每3小时巡视经过弹药库(基本上重设门的ROD)。这两个因素一起可使门的Si为一致的0.95。
[0052]当评估资产的BSSC盼望获得资源时，SRC可规定哪些签约方被识别和被资源所接受。这可保护资源避免试图通过生成由非授权的签约方签署的BSSC而伪造安全评分。另外，规定可信签约方的能力可使得所使用的安全度量以及NSS的评估尺度的变化。例如，安全度量可基于Sandia RAM系列评估且这种评估的规范可允许从Sandia RAM系列评估转换成0-100范围内的NSS。同样，另一实施方式可使用CARVER方法论或一些成对比较评估且可使用QSM 0-10尺度。类似地，实施方式可利用属性度量和0.00至1.00的尺度。上述组合中的任一种和全部可用在综合系统的评估中，NSS和QSM方法论可允许包含它们。QSM可通过增加衰减速率且减小由于度量的不确定性引起的NSS来把已知的方法论中的缺陷考虑在内。因此，现存的系统和评估可在短期内被利用，直到可执行有效的QSM评估。
[0053]在资产之间的增强的认证和授权过程可利用上文描述的公共安全性测量和比较方法。这可通过强制实时评估以得到资产的NSS和目标评分组或者利用来自过去的评估中的在BSSC中存储的信息以及任选地使用资产的衰减速率算法来完成。诸如存储在BSSC中的额外的安全规则也可用作认证或授权安全标准。对于参与认证或授权过程的资产之一可单向进行安全水平验证，如在上文描述的示例性安全验证中所示。在一些实施方式中，可执行双向验证(或者当两个或更多个资产尝试彼此认证或授权时，执行全面验证)，其中，各个资产验证另一资产的安全水平。图16为根据本发明的实施方式的相互安全验证1000。在该示例中，笔记本电脑1010可验证企业网络1020的BSSC，企业网络1020可验证笔记本电脑1010的BSSC，且各个资产可单独地确定另一资产是否具有足够高的安全性以允许交互。
[0054]在一些实施方式中，在验证过程期间安全规则实施可促使参与认证或授权的一个或多个资产的再评估。图18为根据本发明的实施方式的安全验证1100。资产(笔记本电脑1110)的BSSC可用于与企业网络1120交互。在1130，资产1110可试图连接网络1120且可提供其BSSC。在1140，网络1120可评估BSSC且确定资产1110是不安全的。在该示例中，资产1110在其BSSC中具有低于网络1120所要求的阈值的NSS，因此网络1120拒绝访问资产1110。在1150，作为响应，资产1110可通过安全模块100进行再评估。如上所述，NSS值可随着时间下降。另外，随着时间可对资产实施新的安全特征。因此，再评估1150可生成新的NSS值用于更新的BSSC。在该示例中，新的值指示资产1110与网络1120交互是足够安全的。资产1110可进行第二次尝试连接网络1120且可提供其更新的BSSC 1160。在1170，网络1120可评估该BSSC且确定资产1110是安全的。
[0055]具有内置式处理能力的装置(诸如服务器、PC、和路由器)的QSM评估可自动地执行。这可通过运行QSM过程来实现，该QSM过程利用后端数据库、关于计算机的配置信息的扫描、和/或自动化的渗透测试工具的组合以生成NSS。这可允许服务提供商或网络对于希望连接它们的服务的装置要求至少最小的安全态势，该装置希望连接到可能没有进行完全的QSM评估的其服务。
[0056]该自动化可进一步执行以抢先保护QSM装置。如果识别出新的漏洞或其他威胁，则后端数据库可搜索已注册的易受影响的装置且采取抢先动作。例如，该动作可用于降低其NSS、废除其证书、和/或告知资产拥有者他们应禁用特定的服务或者应安装补丁或更新或者告知系统管理员该威胁。在一些实施方式中，由于许多计算机网络的性质，这些抢先服务可需要装置之间和后端服务之间的周期性的通信。
[0057]自动化评估和证书生成也可允许执行实时评估以访问可具有特别高的安全要求的系统，在该系统中，例如，即使几天前的证书也可能是不可接受的。这些高安全的系统可要求当前的证书(例如，这天、这周等)。在一些实施方式中，这可自动地进行处置。在一些实施方式中，自动化QSM评估过程可使得系统在每一次请求以利用系统资源时进行再评估和再认证。
[0058]下文的另外的示例示出QSM可被用于认证和/或授权的场景。出于该部分的目的，可假设QSM内的装置具有SSC。具有其自己的计算资源的装置或系统也可被假设具有SRC。可以不具有SRC的装置的示例为USB记忆棒。由于许多USB记忆棒不具有其自己的计算资源，因此他们不能够将其SRC与他们接收的SSC进行比较，从而他们没有理由具有SRC。另外，在不具有其自己的计算资源的情况下，装置的SSC可仅仅是BSSC，因为装置不能够从BSSC更新SSC0
[0059]使用QSM的装置可利用SSC以执行装置认证且授权网络访问。如上所述，该认证和授权可是相互的，允许各个实体认证和授权对方。利用自动化QSM评估工具，该相互认证可扩展至可需要暂时或偶尔访问网络资源的外部装置，诸如连接企业办公室处的W1-Fi访问点、访问在线商户等。资源拥有者或许不能够要求物理评估每一个可需要偶尔访问他们的资源的装置，但要求下载或访问QSM评估工具作为登记或注册过程的一部分可是可行的。QSM工具于是可基于如上所述的自动化扫描生成自动化的BSSC，且装置可在授权访问网络资源之前参与相互认证交换。
[0060]图19为根据本发明的实施方式的安全验证1800。当连接网络时，在1810，装置向网络提供其SSC。由于SSC是加密签署的证书，因此SSC对于该装置可是唯一的。结果，它可被利用以向网络认证该装置(而不是使用者)。出于日志目的，网络可利用SSC以识别任何可能恶意的或可疑的方式运行的装置。在一些实施方式中，网络管理员可利用SSC以基于装置的当前安全水平来确定装置是否被允许连接网络。符合要求的装置可被允许连接网络1820。除了简单地授权访问或不授权访问外，SSC可被利用以确定装置被授权访问哪些网络段。例如，不符合企业的安全要求的装置可设置在客户网络上，从而允许装置访问因特网同时阻止访问企业资源1830。
[0061 ]图20为根据本发明的实施方式的安全验证1900。装置也可利用SSC以认证和授权网络本身。由于网络本身可具有加密签署的SSC，因此装置可能够识别它试图连接的网络。该方法论会消除网络欺骗的可能性，无论是有线的、无线的或蜂窝式。使用者和/或系统管理员可利用SSC以限制装置将使用的网络。例如，企业管理员将配置笔记本电脑使得它们仅仅能够连接至企业网络、在雇员家中的指定的远程路由器和指定的蜂窝网络。雇员将不能够使其装置联接至任何其他网络。在该示例中，在1910，笔记本电脑可将其SSC发送至网络。在1920，如果SSC并未被评估用于NSS承诺的话，则网络可忽视SSC。在这种情况下，在1930，笔记本电脑可拒绝连接至网络，因为SRC是不符合的。
[0062]此外，由于SSC可被偶尔更新，因此系统管理员可允许装置连接不太安全的网络。该装置的SSC可被更新以指示它已经连接哪个不安全的网络。由于所得到的SSC下降，故企业网络可在允许装置重新连接网络之前强制该装置进行重新评估。例如，当雇员带着其笔记本电脑旅游时，这类技术可是有用的。另外，使用者或系统管理员可利用网络的SSC以授权网络可被允许访问哪些装置资源。例如，装置的防火墙可阻止不符合一定安全水平的网络访问在该装置上运行的文件共享或网络服务器。
[0063]图21为根据本发明的实施方式的安全验证2000。除了认证和授权网络之外，计算机可基于装置的SSC来认证和授权装置。例如，在2010，USB存储装置可包含SSC且当连接至计算机时将SSC发送给计算机。在2020，如果SSC不符合某些标准(例如，不足以加密静态数据)，则主计算机可阻止使用者将信息拷贝到USB棒上。另外，如果主计算机能够检测到被拷贝的数据的性质，则是否允许该拷贝发生的决定2020可基于数据本身和目标装置的SSC的组合。类似的示例可出现在许多其他类型的装置中。在一些实施方式中，装置之间的信号交换可被修改以确保SSC始终被传送。例如，作为USB信号交换协议的一部分，主机装置和子机装置两者可共享它们的SSC。这可允许装置执行相互的认证和授权。
[0064]装置还可利用SSC以允许访问装置本身的敏感信息。例如，具有可信计算空间的装置可被配置成:如果SSC符合某些标准，则仅仅授权访问装置上的加密信息。可信计算处理器可检测访问加密卷的尝试，然后确定当前的SSC是否符合对于该加密卷的标准。即使使用者知道解密密钥，装置也可防止他们解密该信息，因为该装置(其可能是妥协的)不再是可信的。这可以启用特别设计的计算装置，该特别设计的计算装置利用单独的组件用于敏感存储，该敏感的存储可要求SSC符合SRC。本质上，敏感存储组件可被系统看作为独立的装置。
[0065]硬件产品和软件产品可利用使用者提供的SRC和所需的SSC(在可用的范围内)以自动地配置参数和设置以建立SOS来确保顺应性。去除使用者的负担以确定在产品配置中可用的参数的哪些组合可提供功能和安全性。同样，资源拥有者可要求某些服务或装置当访问它们的资源时被禁用或停止。利用自动配置和QSM自动评估过程两者可允许这种类型的动态配置匹配安全要求。
[0066]SSC可提供产品购买信息。产品制造商可提供关于在线产品的SSC，从而允许消费者在特定的安全环境下执行产品之间的直接比较。类似地，网站将允许潜在的消费者提交SRC以得知哪些产品符合它们的安全要求。这可允许消费者在进行购买之前判断哪个产品产生了所期望的安全提高或性能。甚至可能的是，建立多个系统以运行系统模拟来了解实施新的产品或者配置如何影响整体的安全性。制造商能够量化他们能够提供给使用者的安全的量，且显示对于给定安全性的SRC，与他们的竞争者相比他们将增加多少安全。
[0067]尽管上文已经描述了各种实施方式，但是应理解到它们仅仅作为举例而给出且是非限制性的。对于相关领域的技术人员显而易见的是，在不偏离精神和范围的情况下在此可进行各种形式和细节上的变化。事实上，在阅读上文的描述之后，对于相关领域的技术人员显而易见的是如何实施替选的实施方式。
[0068]另外，应理解到仅仅出于示例的目的给出了强调功能和优点的任何附图。所公开的方法论和系统分别是足够的灵活且是可配置的，使得它们可以用在除了所示的方式外的方式中。
[0069]尽管术语“至少一”可经常用在说明书、权利要求书和附图中，但是在说明的书、权利要求书和附图中术语“一”、“该”和“所述”等也表示“至少一”或者“所述至少一”。
[0070]最后，
【申请人】的意图在于只有包括表达语言“用于…的装置”或“用于…的步骤”的权利要求可根据35U.S.C.112(f)进行解释。不包括短语“用于…的装置”或“用于…的步骤”的权利要求不意图用35U.S.C.112 (f)进行解释。
【主权项】
1.一种安全评估方法，包括: 利用包括处理器和物理存储器的安全模块的所述处理器，接收分解成一个或多个组成部分的系统； 利用所述处理器，评估各个所述组成部分以将安全评分分配给各个所述组成部分； 利用所述处理器，基于所述安全评分生成关于所述系统的综合安全评分； 利用所述处理器，生成表征所述系统的概率性的安全下降的衰减速率测量； 利用所述处理器，将所述衰减速率测量应用于所述综合安全评分以获得当前的综合安全评分;和 利用所述处理器，提供所述当前的综合安全评分。2.根据权利要求1所述的方法，其中: 分解的所述系统包括多个分层的组成部分;和 各个分层的组成部分包括约定的、可重现的、可独立证实的安全水平确定。3.根据权利要求2所述的方法，其中，各个安全水平确定包括安全目标评分分量。4.根据权利要求2所述的方法，其中，各个安全水平确定包括安全类别权重分量。5.根据权利要求1所述的方法，其中，所述衰减速率测量基于所述系统和具有变化的安全水平的其他系统之间的预期的交互作用。6.根据权利要求1所述的方法，其中，衰减速率包括相关的终止日期。7.根据权利要求1所述的方法，还包括: 利用所述处理器，将所述当前的综合安全评分与安全要求相比较以确定所述当前的综合安全评分是否满足所述安全要求； 当所述当前的综合安全评分满足所述安全要求时，利用所述处理器，使所述系统执行与所述安全要求相关的任务;和 当所述当前的综合安全评分不满足所述安全要求时，利用所述处理器，阻止所述系统执行与所述安全要求相关的任务。8.根据权利要求1所述的方法，还包括:利用所述处理器，提供所述当前的综合安全评分与安全评价指标的比较。9.根据权利要求8所述的方法，还包括:利用所述处理器，基于所述当前的综合安全评分与所述安全评价指标的所述比较，生成一个或多个用于所述系统的可接受的安全的标记。10.根据权利要求1所述的方法，还包括:利用所述处理器，接收包括至少一个安全要求的所述系统的安全要求证书。11.根据权利要求10所述的方法，还包括:利用所述处理器，将所述当前的综合安全评分与所述安全要求证书比较以确定所述系统是否符合所述至少一个安全要求。12.根据权利要求1所述的方法，还包括:利用所述处理器，接收包括至少一个访问要求的所述系统的基本安全评分证书。13.根据权利要求12所述的方法，还包括:利用所述处理器，将所述当前的综合安全评分与所述基本安全评分证书比较以确定所述系统是否符合所述至少一个访问要求。14.根据权利要求1所述的方法，其中: 所述综合安全评分是通过计算标准化的安全评分而生成的，所述标准化的安全评分等于基本安全评分乘以安全要求权重的乘积减去安全衰减速率与时间系数的乘积； 所述基本安全评分是根据多个安全类别评分计算的;和 所述安全要求权重是根据多个安全目标评分计算的。15.一种安全评估系统，包括: 包括处理器和物理存储器的安全模块，所述处理器被构造和布置成: 接收分解成一个或多个组成部分的系统； 评估各个所述组成部分以将安全评分分配给各个所述组成部分； 基于所述安全评分生成用于所述系统的综合安全评分； 生成表征所述系统的概率性的安全下降的衰减速率测量； 将所述衰减速率测量应用于所述综合安全评分以获得当前的综合安全评分;和 提供所述当前的综合安全评分。16.根据权利要求15所述的系统，其中: 分解的所述系统包括多个分层的组成部分;和 各个分层的组成部分包括约定的、可重现的、可独立证实的安全水平确定。17.根据权利要求16所述的系统，其中，各个安全水平确定包括安全目标评分分量。18.根据权利要求16所述的系统，其中，各个安全水平确定包括安全类别权重分量。19.根据权利要求15所述的系统，其中，所述衰减速率测量基于所述系统和具有变化的安全水平的其他系统之间的预期的交互作用。20.根据权利要求15所述的系统，其中，衰减速率包括相关的终止日期。21.根据权利要求15所述的系统，其中，所述处理器还被构造和布置成: 将所述当前的综合安全评分与安全要求比较以确定所述当前的综合安全评分是否满足所述安全要求； 当所述当前的综合安全评分满足所述安全要求时，允许所述系统执行与所述安全要求相关的任务;和 当所述当前的综合安全评分不满足所述安全要求时，阻止所述系统执行与所述安全要求相关的任务。22.根据权利要求15所述的系统，其中，所述处理器还被构造和布置成:提供所述当前的综合安全评分与安全评价指标的比较。23.根据权利要求22所述的系统，其中，所述处理器还被构造和布置成:基于所述当前的综合安全评分与安全评价指标的比较，生成一个或多个用于所述系统的可接受的安全的 ο24.根据权利要求15所述的系统，其中，所述处理器还被构造和布置成:接收包括至少一个安全要求的所述系统的安全要求证书。25.根据权利要求24所述的系统，其中，所述处理器还被构造和布置成:将所述当前的综合安全评分与所述安全要求证书比较以确定所述系统是否符合所述至少一个安全要求。26.根据权利要求15所述的系统，其中，所述处理器还被构造和布置成:接收包括至少一个访问要求的所述系统的基本安全评分证书。27.根据权利要求26所述的系统，其中，所述处理器还被构造和布置成:将所述当前的综合安全评分与所述基本安全评分证书比较以确定所述系统是否符合所述至少一个访问要求。28.根据权利要求15所述的系统，其中: 所述综合安全评分是通过计算标准化的安全评分而生成的，所述标准化的安全评分等于基本安全评分乘以安全要求权重的乘积减去安全衰减速率与时间系数的乘积； 所述基本安全评分是根据多个安全类别评分计算的;和 所述安全要求权重是根据多个安全目标评分计算的。29.一种安全评估方法，包括: 接收分解成一个或多个组成部分的系统； 评估各个所述组成部分以将安全评分分配给各个所述组成部分； 基于所述安全评分生成用于所述系统的综合安全评分； 生成表征所述系统的概率性的安全下降的衰减速率测量； 将所述衰减速率测量应用于所述综合安全评分以获得当前的综合安全评分;和 提供所述当前的综合安全评分。30.根据权利要求29所述的方法，其中: 分解的所述系统包括多个分层的组成部分;和 各个分层的组成部分包括约定的、可重现的、可独立证实的安全水平确定。31.根据权利要求30所述的方法，其中，各个安全水平确定包括安全目标评分分量。32.根据权利要求30所述的方法，其中，各个安全水平确定包括安全类别权重分量。33.根据权利要求29所述的方法，其中，所述衰减速率测量基于所述系统和具有变化的安全水平的其他系统之间的预期的交互作用。34.根据权利要求29所述的方法，其中，衰减速率包括相关的终止日期。35.根据权利要求29所述的方法，还包括: 将所述当前的综合安全评分与安全要求相比较以确定所述当前的综合安全评分是否满足所述安全要求； 当所述当前的综合安全评分满足所述安全要求时，允许所述系统执行与所述安全要求相关的任务;和 当所述当前的综合安全评分不满足所述安全要求时，阻止所述系统执行与所述安全要求相关的任务。36.根据权利要求29所述的方法，还包括提供所述当前的综合安全评分与安全评价指标的比较。37.根据权利要求36所述的方法，还包括基于所述当前的综合安全评分与所述安全评价指标的比较，生成一个或多个用于所述系统的可接受的安全的标记。38.根据权利要求29所述的方法，还包括接收用于所述系统的至少一个安全要求证书。39.根据权利要求38所述的方法，还包括将所述当前的综合安全评分与所述至少一个安全要求比较以确定所述系统是否符合所述至少一个安全要求。40.根据权利要求29所述的方法，还包括接收所述系统的至少一个访问要求。41.根据权利要求41所述的方法，还包括将所述当前的综合安全评分与所述至少一个访问要求比较以确定所述系统是否符合所述至少一个访问要求。42.根据权利要求29所述的方法，其中: 所述综合安全评分是通过计算标准化的安全评分而生成的，所述标准化的安全评分等于基本安全评分乘以安全要求权重的乘积减去安全衰减速率与时间系数的乘积； 所述基本安全评分是根据多个安全类别评分计算的;和 所述安全要求权重是根据多个安全目标评分计算的。
【文档编号】G06F21/50GK106068513SQ201580011210
【公开日】2016年11月2日
【申请日】2015年2月27日 公开号201580011210.3, CN 106068513 A, CN 106068513A, CN 201580011210, CN-A-106068513, CN106068513 A, CN106068513A, CN201580011210, CN201580011210.3, PCT/2015/18141, PCT/US/15/018141, PCT/US/15/18141, PCT/US/2015/018141, PCT/US/2015/18141, PCT/US15/018141, PCT/US15/18141, PCT/US15018141, PCT/US1518141, PCT/US2015/018141, PCT/US2015/18141, PCT/US2015018141, PCT/US201518141
【发明人】马克·塔克, 查尔斯·埃尔登, 杰瑞德·卡罗
【申请人】时空防御系统有限责任公司