-
Diese Anmeldung nimmt hiermit durch
Bezugnahme die mitanhängige
Patentanmeldung Anwaltsaktenzeichen HP-200209646-1 mit dem Titel „Ein Verfahren
zum Schützen
der Sicherheit von Netzwerkeindringungs-Erfassungssensoren" auf, gleichzeitig
eingereicht mit derselben und demselben Bevollmächtigten wie bei der vorliegenden
Anmeldung zugewiesen.
-
Die vorliegende Erfindung bezieht
sich auf das Gebiet von Computernetzwerksicherheit. Genauer gesagt
bezieht sich die vorliegende Erfindung auf ein Verfahren und eine
Architektur zum Bereitstellen von Sicherheit für ein bereitstellbares Hilfsprogrammdatenzentrum.
-
Die moderne Vernetzung liefert ständig Kommunikations-
und Informations-Zugriffs-Erweiterungen und -Verbesserungen. Das
anhaltende Wachstum von Netzwerk-Systemen und -Technik scheint grenzenlos
und die Geschwindigkeit von vernetzten Kommunikationen hat fast
jedem menschlichem Bestreben Vorteile gebracht.
-
Neuere Trends bei der Informationstechnik haben
ergeben, daß sich
große
Unternehmen und andere Benutzer hin zu einem neuen Musterbeispiel der
Netzwerkverwendung bewegen, dem bereitstellbaren Hilfsprogrammdatenzentrum
(UDC; UDC = Utility Data Center). Ein bereitstellbares Datenzentrum
ermöglicht
eine Zentralisierung von Informationstechnikdiensten (IT-Diensten)
und unternehmensweit und sogar internetweit Zugriff auf spezialisierte
Daten und Funktionen. Die verschiedenen Schritte zum Neuzentralisieren
von IT-Systemen aller Art wird teilweise durch Mängel an qualifiziertem IT-Personal
und durch die intrinsischen Unzulänglichkeiten von verteilten
Systemen getrieben. Es ist bedeu tend, daß viele IT-Verwalter sich hin
zu einer kleineren Anzahl von großen Datenzentren bewegen. Ermöglicht durch
eine reichlich vorhandene und relativ kostengünstige Netzwerkbandbreite können IT-Dienste
nun global an Benutzer verteilt werden. Der Bedarf zum Verschachteln
von Serverseitentechnik in der Nähe
der Klientenarbeitsstation nimmt ab, was zu dieser dramatischen Änderung
bei der IT-Architektur
geführt
hat.
-
Diese Neuzentralisierung erfordert
eine größere Flexibilität, Zuverlässigkeit
und Sicherheit, da ein Ausfall von gemeinschaftlich verwendeten
Ressourcen oder ein Verlust von kritischen Daten ein Unternehmen
zu einem großen
Ausmaß beeinträchtigen
kann, das ein bereitstellbares Datenzentrum verwendet. Gleichzeitig
jedoch können
konsolidierte provisorische Datenzentren einfacher eingerichtet werden,
um einzelne Fehlerpunkte zu beseitigen.
-
Ein weiterer Trend ist die wachsende
Bedeutung von Dienstanbietern dritter Parteien. Netzwerkunternehmen
finden es vorteilhaft, sich an Dienstanbieter zu wenden, anstelle
die Kosten interner Entwicklung, Gliederung und Beibehaltung ihrer
eigenen hausinternen Systeme zu tragen. In Bereichen, wie z. B.
der globalen Netzwerkverarbeitung, dominieren Dienstanbieter beim
Bereitstellen einer Handelsressource, die Unternehmen nie individuell
entwickeln könnten.
-
Speicherungsdienstanbieter ermöglichen
es Unternehmen, Daten bequem zwischenzuspeichern. Ein kleines aber
wachsendes Kontingent an Anwendungsdienstanbietern (ASPs; ASP =
Application Service Provider) ist nun in der Lage, Unternehmenssoftwaresysteme
zu betreiben. IT-Dienstanbieter nutzen die Möglichkeit, sich über Unternehmen
zusammenzuschließen,
was es denselben ermöglicht, äußerst konkurrenzfähig zu internen
IT-Organisationen zu sein.
-
Die Systemverwaltungstools, die verfügbar sind,
um die resultierenden notwendigerweise komplexen Netzwerksysteme zu
betreiben und zu sichern, werden ebenfalls entwickelt. Eine konstante, dynamische
Neubereitstellung von Ressourcen, um sich an wechselnde Klienten
und Klientenbedürfnisse
anzupassen, hängt
von einer starken IT-Ressourcenverwaltungsbasis ab.
-
Sogar noch mehr als frühere verteilte
Netzwerke unterliegen bereitstellbare Datenzentrumsnetzwerke einem
möglichen
Sicherheitsfehler und sogar einem Angriff durch die zahlreichen
Kommunikationsverbindungen, die solche Systeme mit sich bringen.
Da eine notwendige Kommunikation innerhalb und zwischen Ressourcen
besteht, die innerhalb des bereitstellbaren Datenzentrums enthalten sind,
sowie eine Kommunikation mit Benutzern außerhalb des Netzwerks, sind
die möglichen
Wege eines Sicherheitsausfalls zahlreich.
-
Zusätzlich zu dem „normalen" Hackerangriff können Sicherheitsverletzungen
aus Dingen bestehen, wie z. B. dem nicht-autorisierten Eintritt in einen Abschnitt
einer Datenbank durch einen anderweitig autorisierten Benutzer oder
der nicht autorisierten Verwendung einer Anwendung, die durch das
Zentrum verwaltet wird. Ein Beispiel davon könnte die Verwendung durch eine
fremde Technikeinrichtung einer Supercomputer-Rechenfluid-Dynamikeinrichtung
sein, möglicherweise
gesperrt durch ein Technikaustauschgesetz, bei dem die Verwendung
anderer Abschnitte desselben bereitstellbaren Datenzentrums durch
die fremde Einrichtung legitim und erwünscht ist.
-
Ein anderes Beispiel umfaßt einen
Fall, in dem konkurrierende Klienten legitim durch das UDC bedient
werden, die einen Teil der verfügbaren
Ressourcen gemeinschaftlich verwenden, wie z. B. eine Marketingdatenbank.
Die selben zwei Klienten können
ferner das UDC zum sicheren Archivieren von proprietären Daten
verwenden, von denen keiner möchte,
daß der
andere darauf zugreift. Ferner könnte
das Verwaltungssystem eines bereitstellbaren Datenzentrums selbst
das Ziel einer fokussierten Eindringung sein, deren Ziel das Schwächen der
Verwaltungsstruktur sein kann, um andere Eindringungen zu ermöglichen.
-
Was nun benötigt wird, ist ein System und eine
Architektur zum Liefern einer Eindringungserfassung in das bereitstellbare
Hilfsprogrammdatenzentrum, derart, daß die Verwaltungskomponenten des
Datenzentrums vor Eindringungen geschützt werden können, die
entweder von einer externen Quelle stammen, wie z. B. einem der Öffentlichkeit zugewandten
Internet/virtuellen öffentlichen
Netzwerk (VPN = Virtual Public Network), Ressourcen, die durch das
Datenzentrum bereitgestellt werden oder den Systemen innerhalb eines
weniger vertrauenswürdigen
Teils der Verwaltungsinfrastruktur des Datenzentrums.
-
Es ist die Aufgabe der vorliegenden
Erfindung, ein System zum Schützen
der Sicherheit eines bereitstellbaren Netzwerks, ein Verfahren zum
Bereitstellen der Sicherheit in einem bereitstellbaren Netzwerk
und ein Netzwerkeindringungserfassungssystem mit verbesserten Charakteristika
zu schaffen.
-
Diese Aufgabe wird durch ein System
zum Schützen
der Sicherheit eines bereitstellbaren Netzwerks gemäß Anspruch
1, ein Verfahren zum Bereitstellen der Sicherheit in einem bereitstellbaren
Netzwerk gemäß Anspruch
10 und ein Netzwerkeindringungserfassungssystem gemäß Anspruch
24 gelöst.
-
Entsprechend schafft die vorliegende
Erfindung ein Verfahren zum Verwenden von sowohl Netzwerk- als auch
Host-Eindringungserfassungssonden
in einem bereitstellbaren (provisionable) Datenzentrum, hierin nachfolgend
genannt ein Hilfsprogrammdatenzentrum (UDC = Utility Data Center), derart,
daß die
Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt werden,
die entweder aus einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit
zugewandten Internet/VPN-Netzwerk, den verwalteten Ressourcen, die durch
das UDC bereitgestellt werden oder den Systemen innerhalb eines
weniger vertrauenswürdigen Teils
der UDC-Verwaltungsinfrastruktur.
-
Es ist ein System zum Schützen der
Sicherheit eines bereitstellbaren Netzwerks offenbart, das folgende
Merkmale aufweist: einen Netzwerkserver, einen Netzwerkklienten,
kommunikativ gekoppelt mit dem Server, einen Ressourcenpool gekoppelt
mit dem Server zur Verwendung durch den Klienten, ein Ressourcenverwaltungssystem
zum Verwalten der Ressourcen und ein Eindringungserfassungssystem, das
aktiviert ist, um eine Eindringung in das Netzwerk zu erfassen und
darauf anzusprechen.
-
Dieses und andere Ziele und Vorteile
der vorliegenden Erfindung werden für Fachleute auf dem Gebiet
offensichtlich, nachdem diese die nachfolgende detaillierte Beschreibung
der bevorzugten Ausführungsbeispiele
gelesen haben, die in den verschiedenen Zeichnungsfiguren dargestellt
sind.
-
Bevorzugte Ausführungsbeispiele der vorliegenden
Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden
Zeichnungen näher
erläutert.
Es zeigen:
-
1 ein
Hilfsprogrammdatenzentrum gemäß Ausführungsbeispielen
der vorliegenden Erfindung;
-
2 ein
Blockflußdiagramm
gemäß Ausführungsbeispielen
der vorliegenden Erfindung; und
-
3 eine
Blockdiagrammübersicht
eines generischen Computersystems gemäß Ausführungsbeispielen der vorliegenden
Erfindung.
-
Die vorangehenden Beschreibungen
von spezifischen Ausführungsbeispielen
der vorliegenden Erfindung wurden zu Zwecken der Darstellung und
Beschreibung vorgelegt. Sie sollen nicht erschöpfend sein und die Erfindung
auf die genauen offenbarten Formen einschränken, und offensichtlich sind
viele Modifikationen und Variationen im Hinblick auf die obigen
Lehren möglich.
Die Ausführungsbeispiele
wurden ausgewählt
und beschrieben, um die Prinzipien der Erfindung und ihre praktische
Anwendung bestmöglich
zu beschreiben, um es dadurch anderen Fachleuten auf dem Gebiet
zu ermöglichen, die
Erfindung und verschiedene Ausführungsbeispiele
mit verschiedenen Modifikationen bestmöglich zu verwenden, wie sie
für die
bestimmte gedachte Verwendung geeignet sind. Der Schutzerbereich
der Erfindung soll durch die hier angefügten Ansprüche und ihre Entsprechungen
definiert sein.
-
Diese Anmeldung lagert hierin durch
Bezugnahme die mitanhängige
Patentanmeldung Anwaltsaktenzeichen HP-200209646-1 mit dem Titel „Ein Verfahren
zum Schützen
der Sicherheit von Netzwerkeindringungs-Erfassungssensoren" ein, die gleichzeitig
mit der Vorliegenden eingereicht wird und demselben Bevollmächtigten
der vorliegenden Anmeldung zugewiesen ist.
-
1 stellt
ein einsetzbares Netzwerkeindringungserfassungssystem 112 mit
Sonden in einem typischen bereitstellbaren Netzwerk oder Hilfsprogrammdatenzentrum
(UDC) dar. Das bereitstellbare Netzwerk oder Hilfsprogrammdatenzentrum (UDC) 100 ist
begrenzt durch eine virtuelle Sicherheitsgrenze 150 gezeigt.
Die Grenze 150 ist hier nur gezeigt, um das Verdeutlichen
der hierin vorgelegten Konzepte zu unterstützen. Ein typisches UDC 100 weist
ein lokales Operationszentrumsnetz (LAN; LAN = local area network) 105,
ein Datenzentrum-Hilfsprogrammsteuerungs-LAN 101 und Ressourcenpools 106 auf.
Es wird hier darauf hingewiesen, daß UDCs durch ihre Eigenschaft
in ihrer Zusammensetzung flexibel sind und eine beliebige Anzahl
und einen beliebigen Typ von Vorrichtungen und Systemen aufweisen.
Sie erhalten ihre Nützlichkeit aus
ihrer Flexibilität.
Diese spezifische Architektur, die in 1 dargestellt
ist, soll die Anwendung der Ausführungsbeispiele
der vorliegenden Erfindung nicht auf eine bestimmte bereitstellbare
Netzwerkarchitektur einschränken.
-
Ein typisches UDC 100 kommuniziert
bei dieser Darstellung mit der Außenwelt über das Internet 120 und
ein virtuelles öffentliches
Netzwerk (VPN) 121. Die Kommunikationsverbindungen, die
diese Kommunikation ermöglichen,
werden durch eine Firewall (bzw. Brandmauer) 110 geschützt. Die
Firewall 100 ist gezeigt, um ein Konzept darzustellen, und
soll kein bestimmtes Verfahren oder System des Eindringungsschutzes
angeben. Viele Typen von Hardware- und Software-Firewalls sind in
der Technik bekannt und die Firewall 110 kann eines oder
beides sein.
-
Es wird hier darauf hingewiesen,
daß bei
einem typischen UDC 100 drei „Vertrauensbereiche" vorliegen; LANs
oder Teilsysteme, die durch unterschiedliche Ebenen der Systemverwaltung
zugreifbar sind und durch dieselben betrieben werden. Die Bedeutung
der Unterscheidung der Vertrauensebene, die an jeden Vertrauensbereich
angebracht ist, wird bei der nachfolgenden Erörterung deutlicher. Die Vertrauensebene
kann bei Ausführungsbeispielen der
vorliegenden Erfindung in einer Vertrauenshierarchie eingerichtet
sein.
-
Die Firewall 110 trennt
einen Gesamtvertrauensbereich, das UDC, von der Außenwelt,
die durch das Internet 120 und das VPN 121 angezeigt
ist. Das Operationszentrums-LAN (OC-LAN) 105 weist einen internen
Vertrauensbereich auf. In dem OC-LAN 105 sind
Verwalter-von-Verwaltern-Server (MoM-Server) 109, ein Netzwerkeindringungserfassungssystem (NIDS
= Network Intrusion Detection System) 112, NIDS-Verwalter 111 und
Mehrfachsegmentsonden 113 und 115 umfaßt. Es wird
darauf hingewiesen, daß obwohl
ein NIDS 112, ein NIDS-Verwalter 111 und
Mehrfachsegmentsonden 113 und 115 als computerähnliche
Vorrichtungen dargestellt sind, ihre physische Existenz nicht auf
eine bestimmte Vorrichtung beschränkt ist. Jedes derselben kann
als eine alleinstehende Vorrichtung existieren oder als Software
implementiert sein, die in einer physischen Vorrichtung oder einem
Server angeordnet ist. Eindringungserfassungssonden 125 sind
als Aktionen dargestellt und nicht als eine Form von Vorrichtung.
-
Das Herzstück eines UDC ist das Datenzentrums-Hilfsprogrammsteuerungs-(UC)-LAN 101.
Dieses LAN stellt einen anderen, höheren, internen Vertrauensbereich
dar. Das UC-LAN
kommuniziert durch das OC-LAN 105 und ist üblicherweise
von demselben durch verschiedene Formen von Firewalls 102 getrennt.
Das UC-LAN 101 kann verschiedene Anzahlen von Ressourcenverwaltern
aufweisen, wie z. B. bei 103 dargestellt ist. Die Flexibilität, die dem
UDC-Konzept eigen ist, kann zu vielen Kombinationen von Ressourcen
und Ressourcenverwaltern führen.
Ressourcenverwalter 103 sind die typische Schnittstelle
mit den verschiedenen Ressourcenpools 106, die mit denselben
durch eine Art von Schaltnetzwerk kommunizieren, wie durch den Reihe-1-Schalter
bei 108 angezeigt ist.
-
Ressourcenpools 106 sind
grenzenlos flexibel, weisen eine denkbare Kombination von Datenservern,
Rechenfähigkeit,
Lastausgleichsservern oder einer anderen vorstellbaren Vorrichtung
oder Fähigkeit
auf. Aufgrund der möglichen
Vielzahl von Ressourcen, die in Ressourcenpools 106 umfaßt sein
können,
sind dieselben von dem UC-LAN 101 durch Firewalls 104 getrennt,
die wie UC-Firewalls 102 Software oder Hardware oder beides
in vielen Kombinationen sein können.
-
Es wird wiederum darauf hingewiesen,
daß die
virtuelle Sicherheitsgrenze 150 nicht in einem physischen
Sinn existiert. Ressourcen, die in Ressourcenpools 106 umfaßt sind,
können
Vorrichtungen und Server umfassen, die in einer Distanz von den
anderen Elementen des UDC 100 angeordnet sind.
-
Das NIDS 112 kommuniziert
direkt mit dem OC-LAN 105. Eindringungserfassungssonden 125 werden
in dem UDC 100 derart eingesetzt, daß die Verwaltungskomponenten
des UDC 100 vor Eindringungen geschützt werden, die entweder aus
einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit
zugewandten Internet/VPN-Netzwerk 120, den verwalteten
Ressourcen 106, die durch das UDC 100 bereitgestellt
werden, oder den Systemen innerhalb des weniger vertrauenswürdigen Teils
der UDC-Verwaltungsinfrastruktur.
-
Dieses Ausführungsbeispiel der vorliegenden
Erfindung unterscheidet zwischen drei Vertrauensbereichen, die in
einer Vertrauenshierarchie eingerichtet sind:
-
- 1. Das Operationszentrums-LAN (OC-LAN) 105, wo
ein nichtkritisches UDC und andere operationsbezogene Funktionen
vorliegen. Die Vertrauensebene ist niedriger als das Datenzentrumssteuerungs-LAN 101.
- 2. Das Datenzentrumssteuerungs-LAN 101, wo Aufgaben
bezüglich
der automatisierten Bereitstellung von verwalteten Ressourcen 106 vorliegen.
Zugriff auf das Datenzentrums-LAN 101 ist strikt eingeschränkt.
- 3. Die Verwaltete-Ressourcen-LANs, wo die verwalteten Ressourcen 106 vorliegen.
Diese LANs sind üblicherweise
nicht vertrauenswürdig.
-
Es wird hier darauf hingewiesen,
daß Klienten
des UDC von außerhalb
der Vertrauensstruktur stammen und auf Elemente des UDC über das
Internet oder ein virtuelles privates Netzwerk (VPN) zugreifen,
das in der Internetinfrastruktur vorliegt.
-
Wie in 1 gezeigt
ist, werden NIDS-Sonden 125 um die Firewalls 102 und 104 eingesetzt,
die einen Eingang/Ausgang zu dem Datenzentrumssteuerungs-LAN 101 liefern.
Sonden 125 werden ferner um die Ressourcenverwalter 103 verwendet,
die als ein Gateway zwischen den verwalteten Ressourcen und dem
Datenzentrumssteuerungs-LAN 101 wirken.
-
Die Sonden 125 senden Warnmeldungen
zu dem NIDS-Verwalter 111. Als Teil des initiierten Ansprechens
auf eine Warnmeldung ist der NIDS-Verwalter 111 konfiguriert,
um die Priorität
jeder Warnung abhängig
von sowohl der Sonde, die die Warnung erfaßt hat, als auch dem Typ der
Warnung, die erfaßt
wurde, zu erhöhen
oder zu verniedrigen.
-
Der NIDS-Verwalter 111 sendet
wiederum seine Warnungen höchster
Priorität
an einen Warnungsmonitor, der in dem Operationszentrums-LAN 105 angeordnet
ist. Nicht gezeigt in 1 aber
auf jedem Computersystem in dem Operationszentrum 105 und
den Datenzentrumssteuerungs-LANs 101 vorhanden ist eine
Hosteindringungserfassungssystem-Software (HIDS-Software; HIDS = Host Intrusion Detection
System).
-
Das HIDS-System ist auf die Funktionen
abgestimmt, die durch jedes System bereitgestellt werden, oder konfiguriert,
um die Anzahl von falschen Eindringungswarnungen zu minimieren.
Warnungen werden zu dem Ereignismonitor gesendet, der in dem Operationszentrum 105 vorliegt.
Warnungen werden ferner zu einem HIDS-Verwalter gesendet, der auf denselben
Systemen vorliegt wie der Ereignismonitor.
-
Der Ereignismonitor, der in dem OC 105 vorliegt,
erfaßt
Ereignisse von sowohl dem HIDS- als auch dem NIDS-System und von
der Firewall 110, die zwischen dem Operationszentrum und
dem externen VPN-Netzwerk oder dem Internet verwendet wird. Eine
optionale NIDS-Sonde oder ein Satz von Sonden kann zwischen dieser
Firewall 110 und dem Operationszentrums-LAN 105 eingesetzt
werden. Der Ereignismonitor kann Ereignisse von sowohl dem HIDS-
als auch dem NIDS-System
reduzieren und korrelieren.
-
Jedes der Systeme bei diesem Ausführungsbeispiel
der vorliegenden Erfindung und die NIDS-Sonden weisen ihr Softwarebetriebssystem geschützt durch
eine „Verriegelungs"-Software auf, derart, daß es schwierig
gemacht wird, nicht autorisierten Zugriff auf dieselben zu gewinnen.
Die Verriegelungssoftware-Konfiguration ist auf die individuellen
Systeme maßgeschneidert.
-
Ausführungsbeispiele der vorliegenden
Erfindung ermöglichen
dadurch eine zweckmäßige Verwaltungsvorrichtung,
daß HIDS- und NIDS-Ereignisse
und Warnungen für
das UDC 100 in einem einzelnen Browser angezeigt werden,
der für
die UDC-Verwaltung
verfügbar
ist.
-
HIDS- und NIDS-Konfigurationen können für ein UDC
kundenspezifisch hergestellt werden. Das hier erörterte Ausführungsbeispiel der vorliegenden Erfindung
integriert Technik, die von Datenkommunikationsschalter-Verkäufern, Datenkommunikationsfirewall-Verkäufern, Netzwerkeindringungserfassungssoftware-Verkäufern, Hosteindringungserfassungssoftware-Verkäufern und
einer Betriebssystemverriegelungssoftware bereitgestellt werden.
Sowohl ein HIDS als auch ein NIDS ist für ein UDC bereitgestellt.
-
Die Operation eines Ausführungsbeispiels der
vorliegenden Erfindung ist in 2 in
Blockflußform
dargestellt. Der Prozeß 200 beginnt
mit dem Bereitstellen einer konfigurierbaren, einsetzbaren Eindringungserfassungssonde
in einem bereitstellbaren Netzwerk, wie z. B. einem UDC 210.
Eine Sonde wird eingesetzt, 220, und wenn eine Eindringung
bei 230 erfaßt
wird, wird eine Warnung gemäß dem Typ
der Eindringung und dem Bereich, in dem die Eindringung erfaßt wird,
erzeugt. Der Bereich der Erfassung wird gemäß einer Vertrauenshierarchie
eingestuft.
-
Bei Schritt 250 wird eine Antwort
auf die Warnung initiiert. Die Antwort kann eine Anzahl von möglichen
Antworten sein. Bei dem Ausführungsbeispiel der
vorliegenden Erfindung, das hier erörtert wird, kann die Warnung
von einem Flag reichen, das für die
Aufmerksamkeit der Systemverwaltung gesetzt wird, bis zu einem harten
Ausschluß der
Quelle und Position der Eindringung. Die Ebene der Antwort wird wiederum
durch die Ebene und die Quelle der Warnung und die Vertrauensebene
bestimmt, die aus einer Vertrauenshierarchie des Bereichs oder einer Vertrauensdomäne bestimmt
wird, in der die Eindringung erfaßt wird. Das hier dargestellte
Ausführungsbeispiel
setzt seine Eindringungserfassungsüberwachung fort, bis es angehalten
wird, 299.
-
Die Softwarekomponenten von Ausführungsbeispielen
der vorliegenden Erfindung laufen auf Computern. Eine Konfiguration,
die für
ein generisches Computersystem typisch ist, ist in Blockdiagrammform
in 3 dargestellt. Ein
generischer Computer 300 ist durch einen Prozessor 301,
der elektronisch durch einen Bus 350 mit einem flüchtigen
Speicher 302 verbunden ist, einen nichtflüchtigen
Speicher 302, möglicherweise
eine Form einer Datenspeicherungsvorrichtung 304 und eine
Anzeigevorrichtung 305 charakterisiert. Es wird darauf
hingewiesen, daß die
Anzeigevorrichtung 305 in unterschiedlichen Formen implementiert
sein kann. Während
ein Video-CRT- oder LCD-Bildschirm üblich ist, kann dieses Ausführungsbeispiel
mit anderen Vorrichtungen oder möglicherweise
keiner derselben implementiert sein. Die Systemverwaltung ist mit
diesem Ausführungsbeispiel
der vorliegenden Erfindung in der Lage, die momentane Position der
Einrichtung zum Augeben von Warnflags zu bestimmen und die Position
ist nicht auf die physische Vorrichtung beschränkt, in der dieses Ausführungsbeispiel
der vorliegenden Erfindung vorliegt.
-
Auf ähnliche Weise sind über den
Bus 350 eine mögliche
alphanumerische Eingabevorrichtung 306, eine Cursorsteuerung 307 und
eine Kommunikations-I/O-Vorrichtung 308 verbunden. Eine
alphanumerische Eingabevorrichtung 306 kann als eine Anzahl
von möglichen
Vorrichtungen implementiert sein, einschließlich Video-CRT- und -LCD-Vorrichtungen.
Ausführungsbeispiele
der vorliegenden Erfindung können
jedoch in Systemen arbeiten, in denen eine Eindringungserfassung
entfernt von einer Systemverwaltungsvorrichtung angeordnet ist,
wodurch der Bedarf nach einer direkt ange schlossenen Anzeigevorrichtung
und nach einer alphanumerischen Eingabevorrichtung offensichtlich
wird. Auf ähnliche
Weise basiert die Verwendung der Cursorsteuerung 307 auf
der Verwendung einer graphischen Anzeigevorrichtung 305.
Eine Kommunikations-I/O-Vorrichtung 308 kann als ein großer Bereich von
möglichen
Vorrichtungen implementiert sein, einschließlich einer seriellen Verbindung,
eines USB, eines Infrarot-Sende-Empfangs-Geräts, eines Netzwerkadapters
oder eines HF-Sende-Empfangs-Geräts.
-
Die Konfiguration der Vorrichtungen,
in denen dieses Ausführungsbeispiel
der vorliegenden Erfindung vorliegt, kann ohne Auswirkung auf die
hierin präsentierten
Konzepte variieren. Die Flexibilität des UDC-Konzepts liefert
eine grenzenlose Vielzahl von möglichen
Hartwarevorrichtungs- und
Zwischenverbindungs-Kombinationen, bei denen Ausführungsbeispiele
der vorliegenden Erfindung bereitgestellt sein können.
-
Diese Beschreibung von Ausführungsbeispielen
der vorliegenden Erfindung präsentiert
ein Verfahren zum Verwenden von sowohl Netzwerk- als auch Host-Eindringungserfassungs-Sonden in einem bereitstellbaren
Datenzentrum, ebenfalls bekannt als ein Hilfsprogrammdatenzentrum
(UDC), derart, daß die
Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt werden,
die entweder von einer externen Quelle, wie z. B. dem der Öffentlichkeit
zugewandten Internet/VPN-Netzwerk, den verwalteten Ressourcen, die
durch das UDC bereitgestellt werden oder den Systemen innerhalb
eines weniger vertrauenswürdigen
Teils der UDC-Verwaltungsinfrastruktur
stammen.
-
Die vorangehenden Beschreibungen
von spezifischen Ausführungsbeispielen
der vorliegenden Erfindung wurden zu Zwecken der Darstellung und
Beschreibung präsentiert.
Sie sollen nicht erschöpfend
sein oder die Erfindung auf die genauen offenbarten Formen einschränken, und
offensichtlich sind viele Modifikationen und Variationen im Hinblick auf die
obige Lehre möglich.
Die Ausführungsbeispiele
wurden ausgewählt
und beschrieben, um die Prinzipien der Erfindung und ihre praktische
Anwendung bestmöglich
zu beschreiben, um es dadurch anderen Fachleuten auf dem Gebiet
zu ermöglichen, die
Erfindung und verschiedene Ausführungsbeispiele
mit verschiedenen Modifikationen bestmöglich zu verwenden, wie sie
für die
bestimmte beabsichtigte Verwendung geeignet sind. Der Schutzbereich
der Erfindung soll durch die hieran angegliederten Ansprüche und
ihre Entsprechungen definiert sein.