安全評估系統(tǒng)和方法
【專利摘要】一個系統(tǒng)可以分解成一個或多個組成部分��。各個組成部分可被評估以將安全評分分配給各個組成部分。用于系統(tǒng)的綜合安全評分可基于安全評分以及表征系統(tǒng)的概率性的安全下降的衰減速率測量而生成��?����?蓪⑺p速率測量應(yīng)用于綜合安全評分以獲得當前的綜合安全評分����。
【專利說明】安全評估系統(tǒng)和方法
[0001]相關(guān)申請的交叉引用
[0002]本公開要求2014年2月28日遞交的標題為“Common Security MeasurementMethod”的美國臨時申請N0.61 /946,656的優(yōu)先權(quán)�����,該臨時申請的全部內(nèi)容通過引用方式并入文中�����。
【附圖說明】
[0003 ]圖1為根據(jù)本發(fā)明的實施方式的安全模塊���。
[0004]圖2為根據(jù)本發(fā)明的實施方式的安全評分推導(dǎo)����。
[0005]圖3為根據(jù)本發(fā)明的實施方式的資產(chǎn)����。
[0006]圖4為根據(jù)本發(fā)明的實施方式的資產(chǎn)評估�。
[0007]圖5A-圖f5D為根據(jù)本發(fā)明的實施方式的資產(chǎn)細分����。
[0008]圖6為根據(jù)本發(fā)明的實施方式的基本安全評分證書。
[0009]圖7為根據(jù)本發(fā)明的實施方式的基本安全評分證書�����。
[0010]圖8為根據(jù)本發(fā)明的實施方式的安全評分下降��。
[0011]圖9為根據(jù)本發(fā)明的實施方式的安全要求證書�����。
[0012]圖10為根據(jù)本發(fā)明的實施方式的基本安全評分證書�。
[0013]圖11為根據(jù)本發(fā)明的實施方式的安全要求證書���。
[0014]圖12為根據(jù)本發(fā)明的實施方式的標準化安全評分比較�����。
[0015]圖13為根據(jù)本發(fā)明的實施方式的標準化安全評分比較�����。
[0016]圖14為根據(jù)本發(fā)明的實施方式的安全驗證���。
[0017]圖15為根據(jù)本發(fā)明的實施方式的安全比較��。
[0018]圖16為根據(jù)本發(fā)明的實施方式的安全驗證。
[0019]圖17為根據(jù)本發(fā)明的實施方式的相互安全驗證�。
[0020]圖18為根據(jù)本發(fā)明的實施方式的安全驗證�。
[0021]圖19為根據(jù)本發(fā)明的實施方式的安全驗證。
[0022]圖20為根據(jù)本發(fā)明的實施方式的安全驗證���。
[0023]圖21為根據(jù)本發(fā)明的實施方式的安全驗證�����。
【具體實施方式】
[0024]文中所描述的系統(tǒng)和方法可基于量子安全模型(QSM)提供對于一個或多個系統(tǒng)的安全評估�。QSM是一種安全測量和比較方法論���。QSM可提供將系統(tǒng)分解且以一致的方式評估原始組成部分的標準化方法論�����,其可使得相關(guān)性更為精確地理解和測量�。QSM可提供一種將所生成的原始組成部分的評估標準化為可量化評分的方法。QSM可使得資源擁有者規(guī)定他們承認和接受哪些評估(簽署)機構(gòu)�。QSM方法可用于評估系統(tǒng)或設(shè)備的當前的安全狀態(tài)以及概率性的未來安全狀態(tài)。QSM可允許單個資源擁有者在授權(quán)訪問之前指出和驗證資產(chǎn)的安全評分�����。QSM可以使得具有計算能力的資產(chǎn)在共享資源或服務(wù)之前彼此相互認證��。
[0025]在QSM中�,通過在設(shè)備、系統(tǒng)或?qū)嶓w(“資產(chǎn)”)上進行的評估過程可得到共同測量�����,其中期望一種約定的�、可重現(xiàn)的、獨立地可證實的安全水平確定����。符號表示為(“qS”)且發(fā)音為(“qSec”)的量子安全單位可是一種基于QSM的用于系統(tǒng)的安全的標準測量單位����。qSec可是與量子物理學(xué)中的顆粒的位置類似的時間值,使得它可僅在觀察者進行測量的時刻被最佳地估計和得知。在測量后���,顆粒的位置可僅僅利用隨著時間下降的精度概率性地確定����。作為量子測量的qSec��,可共享該特征��?��?杉僭O(shè)����,從安全性的角度來看系統(tǒng)可被視作波狀的系統(tǒng)且可應(yīng)用量子力學(xué)的原理��。系統(tǒng)的安全性是該系統(tǒng)的屬性����。時間的經(jīng)過、以及系統(tǒng)的正常運行和操作及其環(huán)境都可影響系統(tǒng)的安全性���。因此�����,系統(tǒng)的安全性可是動態(tài)的且已知的安全狀態(tài)在本質(zhì)上可能是瞬時的�。因此,系統(tǒng)可表示為波狀的系統(tǒng)且系統(tǒng)安全性可表示為量子屬性��。與顆粒的位置相似��,系統(tǒng)的安全性可使用用于測量的量子力學(xué)原理來進行可量化地定義���。測量結(jié)果可提供以量子安全單位表示的安全度量�,其中零值表示系統(tǒng)完全缺乏任何安全性�����,且增加的值表示較高的安全性����。
[0026]IqSec表示的值可從在系統(tǒng)安全測量過程期間待評估的標準得出。各個標準可具有與其對安全性的影響有關(guān)的共同值范圍���。另外,各個標準可具有相關(guān)的評估方法�����,該評估方法生成在該范圍內(nèi)的結(jié)果。標準加權(quán)法可應(yīng)用于各個標準���,且共同值范圍可成為安全值刻度�����,對于該安全值刻度�����,量子安全測量以qSec表示�����。例如�,qSec值可表示矩陣力學(xué)中的特征值�。在不同時期,不同的觀察者根據(jù)其視角理論上可對該值做出不同的解釋����,且可希望將他們自己的概率濾波應(yīng)用于qSec值或者進行他們自己的測量方法以確定系統(tǒng)的qSec值。因此�����,該值可被預(yù)先確定以當對系統(tǒng)安全進行分類時以有意義的方式來利用qSec測量。預(yù)先確定可自動地完成���、可被使用者設(shè)定���、和/或可在系統(tǒng)初始化時或系統(tǒng)初始化之前進行設(shè)定。
[0027]文中描述的系統(tǒng)和方法可包括一個或多個計算機����,其也可被稱作處理器。計算機可以是能夠執(zhí)行算術(shù)運算和/或邏輯運算的任何可編程的一個機器或者多個機器�。在一些實施方式中,計算機可包括處理器�����、存儲器�����、數(shù)據(jù)存儲裝置和/或其他通常已知的或新型的部件�����。這些部件可物理地或通過網(wǎng)絡(luò)或以無線連接方式而連接�����。計算機還可包括可管理上述的部件的操作的軟件���。計算機可稱作在相關(guān)領(lǐng)域中的普通技術(shù)人員所通常使用的術(shù)語����,例如服務(wù)器�����、PC����、移動裝置、路由器�����、切換器����、數(shù)據(jù)中心����、分布式計算機或其他術(shù)語�。計算機可促進使用者和/或其他計算機之間的通信、可提供數(shù)據(jù)庫��、可執(zhí)行數(shù)據(jù)的分析和/或轉(zhuǎn)換�、和/或執(zhí)行其他功能。本領(lǐng)域普通技術(shù)人員將理解到����,文中所使用的這些術(shù)語是可互換的,且可使用任何能夠執(zhí)行所述的功能的計算機�。計算機可通過一個網(wǎng)絡(luò)或多個網(wǎng)絡(luò)彼此連接。網(wǎng)絡(luò)可是任何多個完全互連的或部分互連的計算機�,其中,一些計算機或全部的計算機能夠彼此通信�����。本領(lǐng)域普通技術(shù)人員將理解到�,計算機之間的連接在一些情況下可是有線的連接(例如,通過以太網(wǎng)連接��、同軸連接����、光學(xué)連接或其他有線連接)或者可是無線的連接(例如�,通過W1-F1���、WiMax、或其他無線連接)���。計算機之間的連接可使用任何協(xié)議�����,包括諸如TCP的面向連接的協(xié)議或者諸如UDP的無連接協(xié)議�。至少兩臺計算機通過此可交換數(shù)據(jù)的任何連接可以作為網(wǎng)絡(luò)的基礎(chǔ)���。
[0028]圖1為根據(jù)本發(fā)明的實施方式的安全模塊100����。安全模塊100可包括處理器110和物理存儲器115��,例如規(guī)則數(shù)據(jù)庫122和/或證書數(shù)據(jù)庫124�����。規(guī)則數(shù)據(jù)庫122可存儲如在下文中更詳細描述的各種訪問控制規(guī)則。證書數(shù)據(jù)庫124可存儲如在下文中更詳細描述的用于裝置����、文件、使用者等的各種證書�����。安全模塊100還可包括子模塊�����,諸如可得到和/或更新安全評分的評分模塊132����、可確定是否符合安全規(guī)則的驗證模塊134、和/或可自動地或手動地限定安全規(guī)則和/或訪問權(quán)限的權(quán)限模塊136����。注意到,文中所描述的執(zhí)行安全驗證的任何裝置或者作為QSM使能的裝置的任何裝置或者作為QSM裝置的任何裝置����,可包括安全模塊100且可使用安全模塊100以執(zhí)行驗證和/或與所描述的QSM有關(guān)的其他過程。
[0029]圖2為根據(jù)本發(fā)明的實施方式的安全評分推導(dǎo)200?��?蓪Y產(chǎn)進行評估過程以確定其安全水平��。為了獲得該結(jié)果����,代表資產(chǎn)的安全水平的標準化安全評分可在評估結(jié)束時生成���。該評分可通過方法進行標準化,該方法對于通過出于評估目的預(yù)定義的分組(“安全類另IJ” ) 220而劃分的資產(chǎn)的主要功能(它做什么����、它的目的)采用預(yù)定組的安全標準(“安全目標”)210。對于各個安全目標210�����,可對資產(chǎn)的安全類型中的每一者進行評估且可生成安全評分(“目標評分”)�����,其落在被分配給安全目標的范圍內(nèi)����。對于各個評分的重要程度可隨著資產(chǎn)的變化而改變或甚至隨著情況的變化而改變��。當已經(jīng)生成全部的目標評分時�,它們可使用預(yù)定義的目標評分集合方法(例如�����,加權(quán)平均)進行組合����,從而生成標準化的安全評分(“NSS”)230。圖3為根據(jù)本發(fā)明的實施方式的資產(chǎn)230�����,其示出可用在一些實施方式中的安全類別220和安全目標210的具體示例�。例如,資產(chǎn)230可具有存儲��、處理和傳輸安全類別220��,其可對應(yīng)于資產(chǎn)230所執(zhí)行的主要功能(例如����,數(shù)據(jù)存儲�、數(shù)據(jù)處理和數(shù)據(jù)傳輸)���。各個安全類別220可具有授權(quán)(AZ)����、機密性(C)��、完整性(I)����、可用性(AV)、不可抵賴性(NR)和認證(Al)安全目標210����?���;谂c安全類別220相關(guān)的功能類別中的每一者在安全目標210的評分的效果,資產(chǎn)230的NSS可提供資產(chǎn)230如何才較好地符合全部安全目標210的指示����。
[0030]圖4為根據(jù)本發(fā)明的實施方式的資產(chǎn)評估300。
[0031]—些資產(chǎn)可是綜合的(例如�,由許多子組成部分組成)。對于這些綜合資產(chǎn),可對獨立地各個子組成部分進行諸如圖4的技術(shù)300的測量技術(shù)以得出各個子組成部分的NSS值�。這些子組成部分值可組合到一起以得到最高等級的資產(chǎn)的NSS?�?蛇x擇資產(chǎn)用于評估���,且可在305開始評估��??勺R別一個或多個安全類別220�,且在310評估各個安全類別220。各個安全類別220可包括一個或多個安全目標210�,在315評估各個安全目標210。安全模塊100可確定在320是否能夠針對安全目標210計算安全目標評分�。如果這樣,則在325可開始安全目標評分計算����,且在330可生成其安全目標評分。安全目標評分計算的示例在下文中更加詳細地進行討論����。當在335已經(jīng)計算評分時,則在315可選擇下一個安全目標210�。如果在320不能夠計算用于安全目標210的安全目標評分�����,則安全模塊100在340可確定資產(chǎn)是否應(yīng)被細分�。一些資產(chǎn)可能過于復(fù)雜而不能直接地得出安全目標評分��,或者可包含先前已經(jīng)評估的部件����、裝置和/或系統(tǒng)。為了處理這些情況����,可對資產(chǎn)進行細分。
[0032 ]圖5A至圖5D為根據(jù)本發(fā)明的實施方式的資產(chǎn)細分示例1700和1750���。圖5A描述了使用筆記本電腦作為示例的這種原理���,其中���,筆記本電腦被劃分為CPU����、操作系統(tǒng)、和GPU這些組成部分����。圖5B描述作為另一示例的凈化工廠,其中�����,該凈化工廠被劃分為水收集系統(tǒng)����、凈化系統(tǒng)和飲用水系統(tǒng)這些組成部分。如所示�,對于一些子資產(chǎn)可以僅僅有助于單一的安全類別評分,然而其他資產(chǎn)可有助于多個的安全類別��。圖5C示出來自圖5A的筆記本電腦子資產(chǎn)如何可以進一步分解成在驅(qū)動器子資產(chǎn)下的具體的驅(qū)動器和在應(yīng)用程序子資產(chǎn)下的具體的應(yīng)用程序�����。在圖示中���,應(yīng)用程序子資產(chǎn)的虛擬機(VM)子資產(chǎn)進一步被分解成在VM下運行的應(yīng)用程序���。必要時該過程可進行重復(fù)直到可精確地評估每一個子資產(chǎn)�����。圖5D示出來自圖5B的預(yù)凈化子資產(chǎn)的水凈化子資產(chǎn)的進一步分解�����,示出QSM可適用于任何需要評估的關(guān)鍵的基礎(chǔ)結(jié)構(gòu)部分或資產(chǎn)�,且與資產(chǎn)的類型無關(guān)��。在資產(chǎn)所屬領(lǐng)域內(nèi)的知識淵博的人員可遵循該方法論且遞歸地將任何綜合系統(tǒng)分解為進一步的子資產(chǎn)�,直到該系統(tǒng)由基元構(gòu)成(可進行評估或者已經(jīng)進行評估的子資產(chǎn))。在水廠示例中�����,基元可以是如柵欄��、防護裝置和鎖具的子資產(chǎn)�,其對物理安全性的影響可以被很好地記錄且可量化。
[0033]再參照圖4�����,如果不能夠細分����,則在345可指定默認的安全目標評分,且在315可將評估300移動到下一個安全目標上�。如果在340完成細分,則安全模塊100可在350定義子資產(chǎn)和在355定義子資產(chǎn)權(quán)重方程�。如上所提到的,子資產(chǎn)本身可進一步劃分��,在該情況下可對進一步劃分的子資產(chǎn)進行分析�����。對于各個子資產(chǎn)360��,在365可執(zhí)行資產(chǎn)評估����,且在370可生成安全目標評分。在375可評估所有的安全目標評分�����,且在380可評估安全類別評分���。如果存在更多的安全類別220用以評估����,則在310可選擇下一個安全類別220,上述的評估可執(zhí)行用于下一個安全類別220的安全目標210���。當已經(jīng)評估所有的安全類別220時���,在385可結(jié)束資產(chǎn)評估。對于圖3的資產(chǎn)230��,三個安全類別220分別具有六個安全目標210�����,可執(zhí)行總計18次評估��。
[0034]利用NSS�����、目標評分設(shè)置����、以及推導(dǎo)的安全規(guī)則以及諸如公-私密鑰證書的加密技術(shù),數(shù)字資產(chǎn)可安全地將其安全水平以及執(zhí)行資產(chǎn)評估的時間保存在基本安全評分證書(BSSC)中。圖6為根據(jù)本發(fā)明的實施方式的BSSC 700oBSSC 700可包括對于各個安全目標210和安全類別220的評分��。對于圖3的示例性的資產(chǎn)230�,BSSC 700可為3元的安全類別220評分(SCS)�����,各個安全類別220評分又可以是6元的安全目標210評分�����。圖7為圖3的資產(chǎn)230的示例性BSSC 700���。該示例性BSSC 700可具有基本安全評分(BSS)�,其表示為BSS=((傳輸SCS)����,(存儲 SCS),(處理 SCS))或 BSS= ((Tc,Ti,Taz, Tai����,Tav,Tnr) ,(Sc,Si,Saz, Sai���,Sav�����,Snr)�����,(Pc��,Pi����,Paz,Pai�,Pav,Pnr))�����,其中���,C =機密性��、I =完整性��、AZ =授權(quán)���、Al =認證�����、AV =可用性、以及NR =不可抵賴性��。BSSC 700可例如由個體����、企業(yè)、管理機構(gòu)或政府機關(guān)來簽署���。BSSC700可包括頒布證書的日期/時間以及證書將終止的日期/時間C3BSSC 700還可包括NSS的衰減速率�,其在下文中更詳細地進行描述�����。
[0035]為了考慮安全性的瞬態(tài)性能�����,即安全性可具有高的測量后下降的概率,安全衰減速率(ROD)算法可被用于納入到自進行上一次在BSSC中提到的NSS評估起已經(jīng)發(fā)生的概率性安全下降中�。考慮到在自最初頒布BSSC起已經(jīng)過的時間����,ROD可被用于確定系統(tǒng)的現(xiàn)實的安全評分。用于計算ROD的算法可依賴于所選的用于對系統(tǒng)進行評分的度量��。通過將NSS和目標評分設(shè)置以及上一次評估的時間(以及任選的其他安全規(guī)則或記錄的資產(chǎn)使用歷史)用作輸入�����,新的NSS評分可被計算且用于更精確的公共安全比較����。
[0036]圖8為根據(jù)本發(fā)明的實施方式的安全評分下降900。線910示出不具有隨著時間保持恒定的ROD值的系統(tǒng)的安全���。然而�,系統(tǒng)運行時間越長�����,則系統(tǒng)更可能變得折衷���。線920示出安全的這種下降�����,其示出每單位時間的線性ROD為0.01。線930和線940示出當考慮事件時隨著時間的系統(tǒng)的安全,該事件可負面地影響系統(tǒng)的安全���。線930代表四個安全事件����,其使系統(tǒng)的安全降低但未導(dǎo)致ROD的變化。線940描述相同的四個事件��,但是假設(shè)這些事件分別也改變了 ROD值����。在圖8中描述的事件可以是例如將USB裝置聯(lián)接至系統(tǒng)、將系統(tǒng)連接至不可信網(wǎng)絡(luò)、瀏覽至惡意網(wǎng)站、或者安裝下載的應(yīng)用程序的結(jié)果。
[0037]為了使得資產(chǎn)保持其重要事件的歷史,QSM可支持證書鏈或者安全評分鏈(SSC)的構(gòu)思�。BSSC可提供在任何SSC中的基本證書����。資產(chǎn)可通過BSSC修改評分和簽署新的證書,從而創(chuàng)建SSC。當創(chuàng)建SSC時,資產(chǎn)可包括為什么進行修改的記錄��。在圖8中��,在線930或線940上的各個事件后�,可對SSC進行更新,其反應(yīng)了 ROD的變化且記錄了導(dǎo)致這些變化的事件�。如果BSSC被給定R0D,則新的安全評分可針對任何衰減調(diào)整(例如����,如在線940中所示),因為在該鏈中的新的證書可具有新的頒發(fā)日期/時間�����。終止日期/時間可不會延長超過BSSC的終止期�,但是可視情況縮短。另外,視情況ROD可被修改以反映新的風(fēng)險和威脅。
[0038]圖9為根據(jù)本發(fā)明的實施方式的安全要求證書(SRC)1400。SRC與BSSC—樣,可是通過加密安全的、簽署的文件,其包含對于各個安全目標210評分(SOS)的安全要求權(quán)重(SRW)、對于各個安全目標210的安全權(quán)重����、授權(quán)的BSSC和SSC簽約方、和/或最小的標準化的安全評分(NSS) JSS可以是QSM中的最高水平的評分,且可通過將安全要求證書中的安全要求權(quán)重應(yīng)用于在基本安全評分中的安全目標評分來計算���。在數(shù)學(xué)上��,SRW可與BSSC(例如�,3元的安全類別權(quán)重(SCW)(其可為各個類別有助于NSS的百分數(shù)權(quán)重)類似��,各個SCW為6元的安全目標權(quán)重的值(SOW)(其可為歸因于各個SOS值的百分數(shù)權(quán)重)ο例如�,SRW可被表示為:SRW=(傳輸 SCW(傳輸 S0W)����,存儲 SCW(存儲 S0W)�,處理 SCW(處理 SOW))或者 SRW= (SCW(Tc,Ti�����,
[0039]NSS可提供能夠用于評估給定的資產(chǎn)隨著時間(AT)的安全態(tài)勢的度量����。該評分可例如用于認證資產(chǎn)����、授權(quán)訪問、比較資產(chǎn)的安全實用性�����,或者確定應(yīng)該對給定的資產(chǎn)進行何種改進���。NSS可如下進行計算:NSS=(BSS*SRW)-(ROD*AT)��。因此對于圖3和圖7的示例��,NSS可以是:NSS = ( SCWt* ( Tc*TWc+Ti*TWi+Taz*TWaz+Tai*TWai+Tav*TWav+Tnr*TWnr )+SCffs* (Sc*SWc+Si*SWi+Saz*SWaz+Sai*SWai+Sav*SWav+Snr*SWnr)+SCWp*(Pc*PWc+Pi*PWi+Paz*PWaz+Pai*PWai+Pav*PWav+Pnr*PWnr) ) — (R0D*(T.勺-T_勺))�。
[0040]圖10為根據(jù)本發(fā)明的實施方式的基本安全評分證書1500。在該示例中����,BSS=((6.05���,3.47��,3.83�,4.89��,5.42����,3.46),(6.52�,4.45,5.78����,5.09�����,6.43��,4.80)��,(4.52�,4.89�����,2.69,3.68,6.79,2.64) KROD為0.013/天�����,證書在2014年2月22日頒布且到2014年8月24日終止�。圖11為根據(jù)本發(fā)明的實施方式的安全要求證書1600。在該示例中�����,SRW= (0%(0%��,0%,0%,0%,0%,0%),65%(25%,40%,5%,5%,25%,0%),35%(17%,17%,17%,16%,17%,16%))。傳輸安全目標權(quán)重的權(quán)重0.0說明該特殊的資產(chǎn)擁有者不關(guān)心或不使用傳輸活動���。這種場景可出現(xiàn)在獨立操作的機器或者智能卡中���,其可不具有任何傳輸數(shù)據(jù)的裝置但具有存儲和處理能力。在SRC中列舉的所需的最小NSS是5.0且當前日期或TCURRENT = 2014年3月23日����。下文為存儲部分的詳細計算;忽略了其他詳細的計算:
[0041 ]存儲部分=0.65*(0.25*6.05+0.4*3.47+0.05*3.83+0.05*4.89+0.25*5.42+0.0*3.46)=3.05
[0042]NSS= (0+3.05 + 1.93)-(0.013*(2014年 3 月 23 日-2014年 2 月22 日) = (4.98-(0.013*29))=4.6
[0043]該計算的NSS可與存儲的最小NSS值進行比較,如果計算的NSS大于最小NSS值�,則它可被認可。在上文的示例中���,由于計算的NSS為4.6,其小于SRC許可值(5.0)��,因此該裝置將被拒絕�����。
[0044]NSS值可進行比較和對比����,以允許安全水平指數(shù)適合于資產(chǎn)的安全性。圖12為根據(jù)本發(fā)明的實施方式的NSS比較400 JSS值410可與NSS指數(shù)420比較以確定資產(chǎn)的NSS是否指示該資產(chǎn)具有所需的最小安全水平。例如��,NSS指數(shù)420可指示具有5.5或更高評分的資產(chǎn)具有可接受的安全水平���,且具有小于5.5的評分的資產(chǎn)不具有可接受的安全水平��。在圖12的示例中�����,資產(chǎn)的NSS為6.8����,因此超過需求的5.5�����。另外����,兩個或更多個資產(chǎn)可進行比較以確定它們是否具有相同的或?qū)Ρ鹊陌踩剑蛘咭源_定哪個資產(chǎn)是更為安全的��。圖13為根據(jù)本發(fā)明的實施方式的NSS比較500��。在該示例中,資產(chǎn)I具有6.8的NSS值510�,資產(chǎn)2具有7.2的NSS值520,因此資產(chǎn)2可被認為是比資產(chǎn)I更安全�����?;诩s定的預(yù)定的安全目標和類別以及預(yù)定的評分集合過程以及公共安全測量方法,轉(zhuǎn)移性(transitivity)可暗示安全比較是約定的�����、可重現(xiàn)的��、獨立地可證實的安全比較�。
[0045]利用NSS和目標評分設(shè)置,可進行擴展的安全比較�,其可通常測量資產(chǎn)的更專門的安全屬性��。圖14為根據(jù)本發(fā)明的實施方式的安全驗證600�����。資產(chǎn)610(例如���,USB裝置)可具有計算的NSS(例如����,6.8) JSM使能的系統(tǒng)620可在與資產(chǎn)交互之前證實資產(chǎn)安全600。系統(tǒng)620可被要求使用資產(chǎn)執(zhí)行操作(例如��,到USB裝置的寫操作)630���,例如����,經(jīng)由使用者輸入����。資產(chǎn)610可將其NSS640發(fā)送至系統(tǒng)620。系統(tǒng)620可評估NSS(例如�����,如圖12中所示通過執(zhí)行比較)�。如果NSS評估指示充分的安全,則可繼續(xù)操作��。相反���,則阻止該操作�。
[0046]圖15的示例為根據(jù)本發(fā)明的實施方式的安全性比較2100,其中����,兩個不同的系統(tǒng)進行比較。系統(tǒng)#1具有比系統(tǒng)#2低的NSS評分���,但是系統(tǒng)#1具有比系統(tǒng)#2高的對于存儲機密性的類別評分���。諸如這些的比較可用于確定購買哪個產(chǎn)品(例如,哪個產(chǎn)品最佳地符合使用者的安全需求)��、或者用于確定哪個系統(tǒng)應(yīng)該首先被升級��、或者用于通知關(guān)于系統(tǒng)安全的其他決定����。
[0047]圖16為根據(jù)本發(fā)明的實施方式的安全驗證800,其中��,資產(chǎn)(筆記本電腦810)的BSSC可被用于與企業(yè)網(wǎng)絡(luò)820交互作用����。資產(chǎn)810可嘗試連接網(wǎng)絡(luò)820且可提供BSSC 830。網(wǎng)絡(luò)820可評估BSSC且確定資產(chǎn)810是否是安全的840�。在該示例中,資產(chǎn)810在其BSSC中具有NSS�,其低于網(wǎng)絡(luò)820所要求的閾值,因此網(wǎng)絡(luò)820拒絕訪問資產(chǎn)810���。
[0048]SOS可提供通過計算安全度量而確定的基于概率的評估����,其可描述折衷的概率��。該概率方程可以表示為SOS = P(折衷I安全性測量#威脅)AOS為由于實施未防范威脅的安全測量引起的資產(chǎn)的折衷的概率可能性�,其中威脅是具有給定動機的參與者可利用漏洞(exploit)的隨著時間的概率性表達。威脅=P(時間I參與者I動機I漏洞)���。
[0049]在BSSC中時間可被拉出和執(zhí)行���,以ROD表示,以允許SOS為一組值���。ROD可指示SOS對定時曝光如何敏感���。更高的ROD可指示與較低ROD相比對資產(chǎn)的威脅隨著時間增加較多��。
[0050]例如����,NSS可具有O到10的范圍�����,其中零為沒有安全性且10為十分安全�。如果給定的資產(chǎn)具有770天的使用期限(或者直到需要補丁或更新的時間)且沒有其他因素有助于減小或延長該使用期限,一種計算ROD的方式可通過采用最大的NSS值10��,且將其除以770天���。ROD=10(Max NSS值)/(直到折衷的100%可能性的天數(shù))=10/770 = 0.013/天�����。通過將計算的NSS減小ROD倍數(shù)(時間的變化(天數(shù)))�,而不顧及系統(tǒng)的安全性����,在770天結(jié)束時的評分將為零。換句話說��,在沒有一些行動的情況下��,系統(tǒng)可被認為是不安全的����。實際上,可存在在某處大于零的某個最小值�����,在此處系統(tǒng)可認為是不安全的��,且該值可表示為SRC中的最小NSS����。
[0051]另一示例可涉及在軍事設(shè)施中的彈藥庫。彈藥庫上的保險庫門可屬于安全的一個組成部分(“Si” )���。使保險庫規(guī)定為6小時的準入級別��,且使保險庫測試指示對于熟練的侵入者60%的準入率��,其中在6小時的時段后不受限制的進入每小時增加5%�。因此��,S1S0.95,且其中在6小時處ROD階梯為0.6且在此之后具有穩(wěn)定的0.05衰減/小時�����。通過該清楚地闡明保險庫的BSS��,指揮官可命令衛(wèi)兵每3小時巡視經(jīng)過彈藥庫(基本上重設(shè)門的ROD)���。這兩個因素一起可使門的Si為一致的0.95�����。
[0052]當評估資產(chǎn)的BSSC盼望獲得資源時�,SRC可規(guī)定哪些簽約方被識別和被資源所接受�����。這可保護資源避免試圖通過生成由非授權(quán)的簽約方簽署的BSSC而偽造安全評分����。另外,規(guī)定可信簽約方的能力可使得所使用的安全度量以及NSS的評估尺度的變化����。例如���,安全度量可基于Sandia RAM系列評估且這種評估的規(guī)范可允許從Sandia RAM系列評估轉(zhuǎn)換成0-100范圍內(nèi)的NSS。同樣��,另一實施方式可使用CARVER方法論或一些成對比較評估且可使用QSM 0-10尺度���。類似地,實施方式可利用屬性度量和0.00至1.00的尺度�����。上述組合中的任一種和全部可用在綜合系統(tǒng)的評估中��,NSS和QSM方法論可允許包含它們�����。QSM可通過增加衰減速率且減小由于度量的不確定性引起的NSS來把已知的方法論中的缺陷考慮在內(nèi)����。因此,現(xiàn)存的系統(tǒng)和評估可在短期內(nèi)被利用��,直到可執(zhí)行有效的QSM評估。
[0053]在資產(chǎn)之間的增強的認證和授權(quán)過程可利用上文描述的公共安全性測量和比較方法�����。這可通過強制實時評估以得到資產(chǎn)的NSS和目標評分組或者利用來自過去的評估中的在BSSC中存儲的信息以及任選地使用資產(chǎn)的衰減速率算法來完成��。諸如存儲在BSSC中的額外的安全規(guī)則也可用作認證或授權(quán)安全標準����。對于參與認證或授權(quán)過程的資產(chǎn)之一可單向進行安全水平驗證,如在上文描述的示例性安全驗證中所示�。在一些實施方式中,可執(zhí)行雙向驗證(或者當兩個或更多個資產(chǎn)嘗試彼此認證或授權(quán)時��,執(zhí)行全面驗證)��,其中���,各個資產(chǎn)驗證另一資產(chǎn)的安全水平��。圖16為根據(jù)本發(fā)明的實施方式的相互安全驗證1000��。在該示例中�����,筆記本電腦1010可驗證企業(yè)網(wǎng)絡(luò)1020的BSSC�����,企業(yè)網(wǎng)絡(luò)1020可驗證筆記本電腦1010的BSSC����,且各個資產(chǎn)可單獨地確定另一資產(chǎn)是否具有足夠高的安全性以允許交互。
[0054]在一些實施方式中�����,在驗證過程期間安全規(guī)則實施可促使參與認證或授權(quán)的一個或多個資產(chǎn)的再評估�。圖18為根據(jù)本發(fā)明的實施方式的安全驗證1100�。資產(chǎn)(筆記本電腦1110)的BSSC可用于與企業(yè)網(wǎng)絡(luò)1120交互。在1130�,資產(chǎn)1110可試圖連接網(wǎng)絡(luò)1120且可提供其BSSC。在1140��,網(wǎng)絡(luò)1120可評估BSSC且確定資產(chǎn)1110是不安全的����。在該示例中,資產(chǎn)1110在其BSSC中具有低于網(wǎng)絡(luò)1120所要求的閾值的NSS��,因此網(wǎng)絡(luò)1120拒絕訪問資產(chǎn)1110。在1150����,作為響應(yīng),資產(chǎn)1110可通過安全模塊100進行再評估���。如上所述��,NSS值可隨著時間下降�。另外��,隨著時間可對資產(chǎn)實施新的安全特征�。因此,再評估1150可生成新的NSS值用于更新的BSSC�。在該示例中,新的值指示資產(chǎn)1110與網(wǎng)絡(luò)1120交互是足夠安全的���。資產(chǎn)1110可進行第二次嘗試連接網(wǎng)絡(luò)1120且可提供其更新的BSSC 1160�。在1170����,網(wǎng)絡(luò)1120可評估該BSSC且確定資產(chǎn)1110是安全的。
[0055]具有內(nèi)置式處理能力的裝置(諸如服務(wù)器�����、PC、和路由器)的QSM評估可自動地執(zhí)行�。這可通過運行QSM過程來實現(xiàn),該QSM過程利用后端數(shù)據(jù)庫����、關(guān)于計算機的配置信息的掃描、和/或自動化的滲透測試工具的組合以生成NSS���。這可允許服務(wù)提供商或網(wǎng)絡(luò)對于希望連接它們的服務(wù)的裝置要求至少最小的安全態(tài)勢�����,該裝置希望連接到可能沒有進行完全的QSM評估的其服務(wù)。
[0056]該自動化可進一步執(zhí)行以搶先保護QSM裝置�����。如果識別出新的漏洞或其他威脅���,則后端數(shù)據(jù)庫可搜索已注冊的易受影響的裝置且采取搶先動作���。例如���,該動作可用于降低其NSS、廢除其證書����、和/或告知資產(chǎn)擁有者他們應(yīng)禁用特定的服務(wù)或者應(yīng)安裝補丁或更新或者告知系統(tǒng)管理員該威脅。在一些實施方式中�,由于許多計算機網(wǎng)絡(luò)的性質(zhì),這些搶先服務(wù)可需要裝置之間和后端服務(wù)之間的周期性的通信��。
[0057]自動化評估和證書生成也可允許執(zhí)行實時評估以訪問可具有特別高的安全要求的系統(tǒng)�����,在該系統(tǒng)中�����,例如�,即使幾天前的證書也可能是不可接受的。這些高安全的系統(tǒng)可要求當前的證書(例如��,這天�����、這周等)。在一些實施方式中�����,這可自動地進行處置�。在一些實施方式中,自動化QSM評估過程可使得系統(tǒng)在每一次請求以利用系統(tǒng)資源時進行再評估和再認證��。
[0058]下文的另外的示例示出QSM可被用于認證和/或授權(quán)的場景���。出于該部分的目的����,可假設(shè)QSM內(nèi)的裝置具有SSC�。具有其自己的計算資源的裝置或系統(tǒng)也可被假設(shè)具有SRC?����?梢圆痪哂蠸RC的裝置的示例為USB記憶棒�����。由于許多USB記憶棒不具有其自己的計算資源��,因此他們不能夠?qū)⑵銼RC與他們接收的SSC進行比較����,從而他們沒有理由具有SRC。另外�,在不具有其自己的計算資源的情況下,裝置的SSC可僅僅是BSSC��,因為裝置不能夠從BSSC更新SSC0
[0059]使用QSM的裝置可利用SSC以執(zhí)行裝置認證且授權(quán)網(wǎng)絡(luò)訪問���。如上所述�,該認證和授權(quán)可是相互的��,允許各個實體認證和授權(quán)對方��。利用自動化QSM評估工具�����,該相互認證可擴展至可需要暫時或偶爾訪問網(wǎng)絡(luò)資源的外部裝置�����,諸如連接企業(yè)辦公室處的W1-Fi訪問點、訪問在線商戶等�����。資源擁有者或許不能夠要求物理評估每一個可需要偶爾訪問他們的資源的裝置�����,但要求下載或訪問QSM評估工具作為登記或注冊過程的一部分可是可行的��。QSM工具于是可基于如上所述的自動化掃描生成自動化的BSSC�,且裝置可在授權(quán)訪問網(wǎng)絡(luò)資源之前參與相互認證交換。
[0060]圖19為根據(jù)本發(fā)明的實施方式的安全驗證1800��。當連接網(wǎng)絡(luò)時���,在1810��,裝置向網(wǎng)絡(luò)提供其SSC��。由于SSC是加密簽署的證書����,因此SSC對于該裝置可是唯一的�����。結(jié)果����,它可被利用以向網(wǎng)絡(luò)認證該裝置(而不是使用者)。出于日志目的��,網(wǎng)絡(luò)可利用SSC以識別任何可能惡意的或可疑的方式運行的裝置�����。在一些實施方式中�,網(wǎng)絡(luò)管理員可利用SSC以基于裝置的當前安全水平來確定裝置是否被允許連接網(wǎng)絡(luò)。符合要求的裝置可被允許連接網(wǎng)絡(luò)1820��。除了簡單地授權(quán)訪問或不授權(quán)訪問外��,SSC可被利用以確定裝置被授權(quán)訪問哪些網(wǎng)絡(luò)段�。例如,不符合企業(yè)的安全要求的裝置可設(shè)置在客戶網(wǎng)絡(luò)上����,從而允許裝置訪問因特網(wǎng)同時阻止訪問企業(yè)資源1830。
[0061 ]圖20為根據(jù)本發(fā)明的實施方式的安全驗證1900��。裝置也可利用SSC以認證和授權(quán)網(wǎng)絡(luò)本身。由于網(wǎng)絡(luò)本身可具有加密簽署的SSC��,因此裝置可能夠識別它試圖連接的網(wǎng)絡(luò)�。該方法論會消除網(wǎng)絡(luò)欺騙的可能性,無論是有線的�����、無線的或蜂窩式�。使用者和/或系統(tǒng)管理員可利用SSC以限制裝置將使用的網(wǎng)絡(luò)。例如�����,企業(yè)管理員將配置筆記本電腦使得它們僅僅能夠連接至企業(yè)網(wǎng)絡(luò)�、在雇員家中的指定的遠程路由器和指定的蜂窩網(wǎng)絡(luò)。雇員將不能夠使其裝置聯(lián)接至任何其他網(wǎng)絡(luò)�。在該示例中,在1910�,筆記本電腦可將其SSC發(fā)送至網(wǎng)絡(luò)。在1920���,如果SSC并未被評估用于NSS承諾的話�����,則網(wǎng)絡(luò)可忽視SSC�����。在這種情況下��,在1930�,筆記本電腦可拒絕連接至網(wǎng)絡(luò)�,因為SRC是不符合的。
[0062]此外���,由于SSC可被偶爾更新����,因此系統(tǒng)管理員可允許裝置連接不太安全的網(wǎng)絡(luò)����。該裝置的SSC可被更新以指示它已經(jīng)連接哪個不安全的網(wǎng)絡(luò)。由于所得到的SSC下降��,故企業(yè)網(wǎng)絡(luò)可在允許裝置重新連接網(wǎng)絡(luò)之前強制該裝置進行重新評估��。例如�����,當雇員帶著其筆記本電腦旅游時,這類技術(shù)可是有用的��。另外����,使用者或系統(tǒng)管理員可利用網(wǎng)絡(luò)的SSC以授權(quán)網(wǎng)絡(luò)可被允許訪問哪些裝置資源。例如�,裝置的防火墻可阻止不符合一定安全水平的網(wǎng)絡(luò)訪問在該裝置上運行的文件共享或網(wǎng)絡(luò)服務(wù)器。
[0063]圖21為根據(jù)本發(fā)明的實施方式的安全驗證2000���。除了認證和授權(quán)網(wǎng)絡(luò)之外���,計算機可基于裝置的SSC來認證和授權(quán)裝置。例如�,在2010,USB存儲裝置可包含SSC且當連接至計算機時將SSC發(fā)送給計算機���。在2020�,如果SSC不符合某些標準(例如����,不足以加密靜態(tài)數(shù)據(jù))�,則主計算機可阻止使用者將信息拷貝到USB棒上���。另外���,如果主計算機能夠檢測到被拷貝的數(shù)據(jù)的性質(zhì),則是否允許該拷貝發(fā)生的決定2020可基于數(shù)據(jù)本身和目標裝置的SSC的組合��。類似的示例可出現(xiàn)在許多其他類型的裝置中��。在一些實施方式中�����,裝置之間的信號交換可被修改以確保SSC始終被傳送����。例如�����,作為USB信號交換協(xié)議的一部分��,主機裝置和子機裝置兩者可共享它們的SSC�。這可允許裝置執(zhí)行相互的認證和授權(quán)�����。
[0064]裝置還可利用SSC以允許訪問裝置本身的敏感信息�。例如���,具有可信計算空間的裝置可被配置成:如果SSC符合某些標準�����,則僅僅授權(quán)訪問裝置上的加密信息��?�?尚庞嬎闾幚砥骺蓹z測訪問加密卷的嘗試���,然后確定當前的SSC是否符合對于該加密卷的標準。即使使用者知道解密密鑰�,裝置也可防止他們解密該信息,因為該裝置(其可能是妥協(xié)的)不再是可信的�。這可以啟用特別設(shè)計的計算裝置,該特別設(shè)計的計算裝置利用單獨的組件用于敏感存儲�����,該敏感的存儲可要求SSC符合SRC。本質(zhì)上�����,敏感存儲組件可被系統(tǒng)看作為獨立的裝置��。
[0065]硬件產(chǎn)品和軟件產(chǎn)品可利用使用者提供的SRC和所需的SSC(在可用的范圍內(nèi))以自動地配置參數(shù)和設(shè)置以建立SOS來確保順應(yīng)性�����。去除使用者的負擔以確定在產(chǎn)品配置中可用的參數(shù)的哪些組合可提供功能和安全性����。同樣�����,資源擁有者可要求某些服務(wù)或裝置當訪問它們的資源時被禁用或停止�。利用自動配置和QSM自動評估過程兩者可允許這種類型的動態(tài)配置匹配安全要求。
[0066]SSC可提供產(chǎn)品購買信息�����。產(chǎn)品制造商可提供關(guān)于在線產(chǎn)品的SSC����,從而允許消費者在特定的安全環(huán)境下執(zhí)行產(chǎn)品之間的直接比較�。類似地����,網(wǎng)站將允許潛在的消費者提交SRC以得知哪些產(chǎn)品符合它們的安全要求。這可允許消費者在進行購買之前判斷哪個產(chǎn)品產(chǎn)生了所期望的安全提高或性能��。甚至可能的是�����,建立多個系統(tǒng)以運行系統(tǒng)模擬來了解實施新的產(chǎn)品或者配置如何影響整體的安全性���。制造商能夠量化他們能夠提供給使用者的安全的量�,且顯示對于給定安全性的SRC����,與他們的競爭者相比他們將增加多少安全。
[0067]盡管上文已經(jīng)描述了各種實施方式���,但是應(yīng)理解到它們僅僅作為舉例而給出且是非限制性的�����。對于相關(guān)領(lǐng)域的技術(shù)人員顯而易見的是�,在不偏離精神和范圍的情況下在此可進行各種形式和細節(jié)上的變化。事實上�,在閱讀上文的描述之后,對于相關(guān)領(lǐng)域的技術(shù)人員顯而易見的是如何實施替選的實施方式����。
[0068]另外,應(yīng)理解到僅僅出于示例的目的給出了強調(diào)功能和優(yōu)點的任何附圖��。所公開的方法論和系統(tǒng)分別是足夠的靈活且是可配置的����,使得它們可以用在除了所示的方式外的方式中。
[0069]盡管術(shù)語“至少一”可經(jīng)常用在說明書��、權(quán)利要求書和附圖中�,但是在說明的書����、權(quán)利要求書和附圖中術(shù)語“一”、“該”和“所述”等也表示“至少一”或者“所述至少一”�。
[0070]最后,
【申請人】的意圖在于只有包括表達語言“用于…的裝置”或“用于…的步驟”的權(quán)利要求可根據(jù)35U.S.C.112(f)進行解釋。不包括短語“用于…的裝置”或“用于…的步驟”的權(quán)利要求不意圖用35U.S.C.112 (f)進行解釋��。
【主權(quán)項】
1.一種安全評估方法�����,包括: 利用包括處理器和物理存儲器的安全模塊的所述處理器��,接收分解成一個或多個組成部分的系統(tǒng)�����; 利用所述處理器�,評估各個所述組成部分以將安全評分分配給各個所述組成部分; 利用所述處理器�����,基于所述安全評分生成關(guān)于所述系統(tǒng)的綜合安全評分�����; 利用所述處理器�,生成表征所述系統(tǒng)的概率性的安全下降的衰減速率測量; 利用所述處理器���,將所述衰減速率測量應(yīng)用于所述綜合安全評分以獲得當前的綜合安全評分;和 利用所述處理器�,提供所述當前的綜合安全評分。2.根據(jù)權(quán)利要求1所述的方法����,其中: 分解的所述系統(tǒng)包括多個分層的組成部分;和 各個分層的組成部分包括約定的、可重現(xiàn)的�����、可獨立證實的安全水平確定��。3.根據(jù)權(quán)利要求2所述的方法����,其中,各個安全水平確定包括安全目標評分分量�����。4.根據(jù)權(quán)利要求2所述的方法�,其中����,各個安全水平確定包括安全類別權(quán)重分量。5.根據(jù)權(quán)利要求1所述的方法,其中���,所述衰減速率測量基于所述系統(tǒng)和具有變化的安全水平的其他系統(tǒng)之間的預(yù)期的交互作用���。6.根據(jù)權(quán)利要求1所述的方法,其中��,衰減速率包括相關(guān)的終止日期�����。7.根據(jù)權(quán)利要求1所述的方法�,還包括: 利用所述處理器,將所述當前的綜合安全評分與安全要求相比較以確定所述當前的綜合安全評分是否滿足所述安全要求���; 當所述當前的綜合安全評分滿足所述安全要求時���,利用所述處理器,使所述系統(tǒng)執(zhí)行與所述安全要求相關(guān)的任務(wù);和 當所述當前的綜合安全評分不滿足所述安全要求時�,利用所述處理器,阻止所述系統(tǒng)執(zhí)行與所述安全要求相關(guān)的任務(wù)��。8.根據(jù)權(quán)利要求1所述的方法�����,還包括:利用所述處理器,提供所述當前的綜合安全評分與安全評價指標的比較����。9.根據(jù)權(quán)利要求8所述的方法,還包括:利用所述處理器�����,基于所述當前的綜合安全評分與所述安全評價指標的所述比較�����,生成一個或多個用于所述系統(tǒng)的可接受的安全的標記���。10.根據(jù)權(quán)利要求1所述的方法���,還包括:利用所述處理器,接收包括至少一個安全要求的所述系統(tǒng)的安全要求證書�����。11.根據(jù)權(quán)利要求10所述的方法�����,還包括:利用所述處理器����,將所述當前的綜合安全評分與所述安全要求證書比較以確定所述系統(tǒng)是否符合所述至少一個安全要求。12.根據(jù)權(quán)利要求1所述的方法�,還包括:利用所述處理器,接收包括至少一個訪問要求的所述系統(tǒng)的基本安全評分證書�����。13.根據(jù)權(quán)利要求12所述的方法����,還包括:利用所述處理器,將所述當前的綜合安全評分與所述基本安全評分證書比較以確定所述系統(tǒng)是否符合所述至少一個訪問要求�����。14.根據(jù)權(quán)利要求1所述的方法�,其中: 所述綜合安全評分是通過計算標準化的安全評分而生成的,所述標準化的安全評分等于基本安全評分乘以安全要求權(quán)重的乘積減去安全衰減速率與時間系數(shù)的乘積�����; 所述基本安全評分是根據(jù)多個安全類別評分計算的;和 所述安全要求權(quán)重是根據(jù)多個安全目標評分計算的。15.一種安全評估系統(tǒng)���,包括: 包括處理器和物理存儲器的安全模塊���,所述處理器被構(gòu)造和布置成: 接收分解成一個或多個組成部分的系統(tǒng); 評估各個所述組成部分以將安全評分分配給各個所述組成部分��; 基于所述安全評分生成用于所述系統(tǒng)的綜合安全評分�����; 生成表征所述系統(tǒng)的概率性的安全下降的衰減速率測量��; 將所述衰減速率測量應(yīng)用于所述綜合安全評分以獲得當前的綜合安全評分;和 提供所述當前的綜合安全評分���。16.根據(jù)權(quán)利要求15所述的系統(tǒng)�,其中: 分解的所述系統(tǒng)包括多個分層的組成部分;和 各個分層的組成部分包括約定的�、可重現(xiàn)的、可獨立證實的安全水平確定�。17.根據(jù)權(quán)利要求16所述的系統(tǒng),其中��,各個安全水平確定包括安全目標評分分量�����。18.根據(jù)權(quán)利要求16所述的系統(tǒng),其中��,各個安全水平確定包括安全類別權(quán)重分量�。19.根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其中�����,所述衰減速率測量基于所述系統(tǒng)和具有變化的安全水平的其他系統(tǒng)之間的預(yù)期的交互作用����。20.根據(jù)權(quán)利要求15所述的系統(tǒng),其中��,衰減速率包括相關(guān)的終止日期�����。21.根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其中,所述處理器還被構(gòu)造和布置成: 將所述當前的綜合安全評分與安全要求比較以確定所述當前的綜合安全評分是否滿足所述安全要求����; 當所述當前的綜合安全評分滿足所述安全要求時,允許所述系統(tǒng)執(zhí)行與所述安全要求相關(guān)的任務(wù);和 當所述當前的綜合安全評分不滿足所述安全要求時�,阻止所述系統(tǒng)執(zhí)行與所述安全要求相關(guān)的任務(wù)。22.根據(jù)權(quán)利要求15所述的系統(tǒng)����,其中,所述處理器還被構(gòu)造和布置成:提供所述當前的綜合安全評分與安全評價指標的比較���。23.根據(jù)權(quán)利要求22所述的系統(tǒng)��,其中��,所述處理器還被構(gòu)造和布置成:基于所述當前的綜合安全評分與安全評價指標的比較��,生成一個或多個用于所述系統(tǒng)的可接受的安全的 ο24.根據(jù)權(quán)利要求15所述的系統(tǒng)����,其中,所述處理器還被構(gòu)造和布置成:接收包括至少一個安全要求的所述系統(tǒng)的安全要求證書�����。25.根據(jù)權(quán)利要求24所述的系統(tǒng)��,其中����,所述處理器還被構(gòu)造和布置成:將所述當前的綜合安全評分與所述安全要求證書比較以確定所述系統(tǒng)是否符合所述至少一個安全要求��。26.根據(jù)權(quán)利要求15所述的系統(tǒng)����,其中,所述處理器還被構(gòu)造和布置成:接收包括至少一個訪問要求的所述系統(tǒng)的基本安全評分證書���。27.根據(jù)權(quán)利要求26所述的系統(tǒng)����,其中���,所述處理器還被構(gòu)造和布置成:將所述當前的綜合安全評分與所述基本安全評分證書比較以確定所述系統(tǒng)是否符合所述至少一個訪問要求�。28.根據(jù)權(quán)利要求15所述的系統(tǒng),其中: 所述綜合安全評分是通過計算標準化的安全評分而生成的���,所述標準化的安全評分等于基本安全評分乘以安全要求權(quán)重的乘積減去安全衰減速率與時間系數(shù)的乘積���; 所述基本安全評分是根據(jù)多個安全類別評分計算的;和 所述安全要求權(quán)重是根據(jù)多個安全目標評分計算的。29.一種安全評估方法��,包括: 接收分解成一個或多個組成部分的系統(tǒng)����; 評估各個所述組成部分以將安全評分分配給各個所述組成部分; 基于所述安全評分生成用于所述系統(tǒng)的綜合安全評分���; 生成表征所述系統(tǒng)的概率性的安全下降的衰減速率測量���; 將所述衰減速率測量應(yīng)用于所述綜合安全評分以獲得當前的綜合安全評分;和 提供所述當前的綜合安全評分。30.根據(jù)權(quán)利要求29所述的方法�,其中: 分解的所述系統(tǒng)包括多個分層的組成部分;和 各個分層的組成部分包括約定的、可重現(xiàn)的��、可獨立證實的安全水平確定���。31.根據(jù)權(quán)利要求30所述的方法���,其中���,各個安全水平確定包括安全目標評分分量。32.根據(jù)權(quán)利要求30所述的方法����,其中,各個安全水平確定包括安全類別權(quán)重分量����。33.根據(jù)權(quán)利要求29所述的方法,其中�����,所述衰減速率測量基于所述系統(tǒng)和具有變化的安全水平的其他系統(tǒng)之間的預(yù)期的交互作用�。34.根據(jù)權(quán)利要求29所述的方法���,其中���,衰減速率包括相關(guān)的終止日期。35.根據(jù)權(quán)利要求29所述的方法�����,還包括: 將所述當前的綜合安全評分與安全要求相比較以確定所述當前的綜合安全評分是否滿足所述安全要求; 當所述當前的綜合安全評分滿足所述安全要求時����,允許所述系統(tǒng)執(zhí)行與所述安全要求相關(guān)的任務(wù);和 當所述當前的綜合安全評分不滿足所述安全要求時,阻止所述系統(tǒng)執(zhí)行與所述安全要求相關(guān)的任務(wù)����。36.根據(jù)權(quán)利要求29所述的方法,還包括提供所述當前的綜合安全評分與安全評價指標的比較�。37.根據(jù)權(quán)利要求36所述的方法,還包括基于所述當前的綜合安全評分與所述安全評價指標的比較��,生成一個或多個用于所述系統(tǒng)的可接受的安全的標記����。38.根據(jù)權(quán)利要求29所述的方法,還包括接收用于所述系統(tǒng)的至少一個安全要求證書�。39.根據(jù)權(quán)利要求38所述的方法,還包括將所述當前的綜合安全評分與所述至少一個安全要求比較以確定所述系統(tǒng)是否符合所述至少一個安全要求����。40.根據(jù)權(quán)利要求29所述的方法,還包括接收所述系統(tǒng)的至少一個訪問要求����。41.根據(jù)權(quán)利要求41所述的方法�,還包括將所述當前的綜合安全評分與所述至少一個訪問要求比較以確定所述系統(tǒng)是否符合所述至少一個訪問要求�。42.根據(jù)權(quán)利要求29所述的方法,其中: 所述綜合安全評分是通過計算標準化的安全評分而生成的���,所述標準化的安全評分等于基本安全評分乘以安全要求權(quán)重的乘積減去安全衰減速率與時間系數(shù)的乘積��; 所述基本安全評分是根據(jù)多個安全類別評分計算的;和 所述安全要求權(quán)重是根據(jù)多個安全目標評分計算的��。
【文檔編號】G06F21/50GK106068513SQ201580011210
【公開日】2016年11月2日
【申請日】2015年2月27日 公開號201580011210.3, CN 106068513 A, CN 106068513A, CN 201580011210, CN-A-106068513, CN106068513 A, CN106068513A, CN201580011210, CN201580011210.3, PCT/2015/18141, PCT/US/15/018141, PCT/US/15/18141, PCT/US/2015/018141, PCT/US/2015/18141, PCT/US15/018141, PCT/US15/18141, PCT/US15018141, PCT/US1518141, PCT/US2015/018141, PCT/US2015/18141, PCT/US2015018141, PCT/US201518141
【發(fā)明人】馬克·塔克, 查爾斯·埃爾登, 杰瑞德·卡羅
【申請人】時空防御系統(tǒng)有限責任公司