保护联网环境中的计算设备的网络安全设备和方法

摘要

给出了一种用于保护连接至通信网络的计算设备不受安全威胁的网络安全模块。网络安全模块逻辑上或物理上置于受保护的计算机和通信网络之间。网络安全模块从安全服务接收安全信息。安全信息包括安全措施，当网络安全模块实施安全措施时保护计算机不受对计算机的安全威胁的影响。网络安全模块通过控制受保护的计算机和网络之间的网络活动来实施安全措施。

说明书

相关申请交叉参考

本申请要求2004年2月13日提交的美国临时申请号60/544,884的权益。

技术领域

本发明涉及用于保护联网环境中的计算设备不受攻击的网络安全设备和方法。

背景技术

随着越来越多的计算机以及其它计算设备通过诸如因特网之类的各种网络而互相连接，计算机安全变得越来越重要，尤其是防止通过网络或信息流发出的入侵或攻击。如本领域的技术人员将认识到的那样，这些攻击以许多不同的方式出现，包括但不特定地限于：计算机病毒、计算机蠕虫、系统组件替换、决绝服务攻击、甚至是对合法的计算机系统特征的误用/滥用，全部这些都出于非法目的而利用了一个或多个计算机系统弱点。虽然本领域的技术人员将认识到各种计算机攻击在技术上是彼此不同的，但是出于本发明的目的和出于简化说明的目的，在下文中将把所有这些攻击统称为计算机漏洞利用(exploit)，或更为简单地称为漏洞利用。

当计算机系统受到计算机漏洞利用的攻击或“影响”时，不利的结果是各种各样的，包括禁用系统设备；擦除或破坏固件、应用程序或数据文件；将可能敏感的数据发送到网络上的另一位置；关闭计算机系统；或引起计算机系统崩溃。许多计算机漏洞利用中(尽管不是全部)还有另一个有害的方面是使用受感染的计算机系统来感染其它计算机。

图1是说明示例性联网环境100的直观图，通常通过该联网环境来散布计算机漏洞利用。如图1所示，典型的示例性联网环境100包括通过诸如内联网之类的通信网络110或通过包含通常称为因特网的全球TCP/IP网络的更大的通信网络而互相连接的多个计算机102-108。出于无论什么原因，诸如计算机104之类的连接至网络110的计算机上的怀有恶意的一方开发了计算机漏洞利用112，并将其释放到网络上。如箭头114所示，诸如计算机104之类的一个或多个计算机接收被释放的计算机漏洞利用112并被感染。如对于许多计算机漏洞利用来说是典型的那样，一旦被感染，如箭头116所示，计算机104就被用于感染诸如计算机106之类的其它计算机，而后者随后又如箭头118所示感染另外的计算机。显然，由于当代计算机网络的速度和作用范围，计算机漏洞利用112能够以指数级的速率“增长”，并迅速变得局部流行，并迅速增长为全球计算机大流行。

对计算机漏洞利用，尤其是对计算机病毒和蠕虫的传统防御措施是防病毒软件。一般而言，防病毒软件对通过网络而到达的进入数据进行扫描，查找与已知的计算机漏洞利用相关联的可识别的模式。一旦检测到与已知计算机漏洞利用相关联的模式，防病毒软件可通过将计算机病毒从受感染的数据中删除，对数据进行隔离，或删除“受感染的”进入数据，来做出响应。不幸的是，防病毒软件一般对“已知的”、可识别的计算机漏洞利用起作用。通常，这是通过将数据中的模式与被称为是漏洞利用的“特征印记”(signature)的特征进行匹配来完成的。这种漏洞利用检测模型中的核心缺陷之一是，未知的计算机漏洞利用可能在网络中以未受抑制的方式进行传播，直到计算机防病毒软件得到更新来识别并响应于该新的计算机漏洞利用为止。

随着防病毒软件在识别成千上万的已知计算机漏洞利用中变得越来越完善和有效，同样，计算机漏洞利用也变得越来越复杂。例如，许多当前的计算机漏洞利用是多形态的，或者换句话说不具有可识别的模式或“特征印记”，而通过所述可识别的模式或特征印记可由防病毒软件在它们的传输过程中将它们识别出。这些多形态的漏洞利用经常是防病毒软件不可识别的，因为它们在传播到另一个计算机系统之前已经对它们自身做出了修改。

当今在防止计算机漏洞利用方面较为通常的另一个防御措施是硬件或软件网络防火墙。如本领域的技术人员将认识到的那样，防火墙是一种安全系统，它通过对内部网络和外部网络之间的信息流进行控制来保护内部网络不受到源自外部网络的未经授权的访问。源自防火墙之外的所有通信都首先发送到代理(proxy)，代理对通信进行检查，并确定将通信转送到计划目标是否是安全或可允许的。不幸的是，对防火墙进行适当的配置以使得可允许的网络行为不受禁止而不允许的网络行为被拒绝，这是复杂而棘手的任务。除了在技术上复杂之外，防火墙配置还难于管理。当不适当地配置了防火墙时，可能不经意地关闭可允许的网络通信而允许不可允许的网络通信通过，而损害内部网络。出于这种原因，一般不经常对防火墙做出改变，而仅仅由那些技术网络设计方面精通的人来进行改变。

作为防火墙的又一个局限，虽然防火墙保护了内部网络，但是它不对特定的计算机提供任何保护。换言之，防火墙不会将其适应于特定的计算机的需求。相反，即使防火墙用来保护单个计算机，它仍然根据防火墙的配置而非根据所述单个计算机的配置来保护该计算机。

与防火墙相关的又一个问题是，防火墙不提供对源自防火墙建立的边界内的计算机漏洞利用的保护。换言之，一旦某一漏洞利用能够穿透防火墙所保护的网络，该漏洞利用将不受该防火墙的禁止。当职工将便携式计算机带回家(即脱离公司防火墙保护)并在较不安全的环境下于家中进行使用，则这种情况通常发生。于是，便携式计算机被感染，而职工并不知道。当便携式计算机重新连接至防火墙的保护范围内的公司网络时，漏洞利用通常自由地感染不受防火墙检查的其它计算机。

如上所述，计算机漏洞利用如今还在攻击中影响合法计算机系统特征。从而，除了防火墙和防病毒软件提供商之外的许多方现在必须加入到保护计算机不受这些计算机漏洞利用的行动中。例如，出于经济上和合同上的原因，操作系统提供商如今必须不断地分析他们的操作系统功能，来识别出可能被计算机漏洞利用所利用的缺点或弱点。出于本说明书的目的，将把计算机漏洞利用可能借助来攻击计算机系统的任何途径统称为计算机系统弱点，或简单地称之为弱点。

随着在操作系统或其它计算机系统组件、驱动器、应用程序中识别和定位弱点，提供商一般将发布软件更新以对所述弱点进行补救。这些更新(通常被称为补丁)应当安装在计算机系统上，以便确保计算机系统没有经识别出的弱点。然而，这些更新在本质上是对操作系统、设备驱动器或软件应用程序做出的代码改变。如此，它们就不能与防病毒软件提供商提供的防病毒软件更新那样迅速而自由地得到发布。因为这些更新是代码改变，软件更新要求在向公众发布之前进行充分的内部测试。不幸的是，即使利用内部测试，软件更新也可能引起一个或多个其它计算机系统特征被破坏或发生故障。从而，软件更新对依赖于计算机系统的各方造成了巨大的困难。更为具体地来说，是否某一方更新他们的计算机系统以防止破坏他们的计算机系统运行的弱点或危险，或是不更新他们的计算机系统而冒着他们的计算机可能被干扰的风险？

在本系统下，存在一个时间周期，下文中称为弱点窗口，它存在于新的计算机漏洞利用发布于网络110上的时间与计算机系统得到更新来保护不受该计算机漏洞利用的影响的时间之间。如该名称所暗示的那样，正是在该弱点窗口期间，计算机系统对于所述新的计算机漏洞利用来说是有弱点的或暴露的。图2A-2B是说明该弱点窗口的示例性时间线的框图。对于下面的关于时间线的讨论，将对重要的时间或事件进行识别，并称为关于时间线的事件。

图2A说明了关于如今释放到公众网络上的一个或多个新近的、复杂的计算机漏洞利用类别的计算机系统的弱点窗口。如将要描述的那样，该新的计算机漏洞利用类别利用了系统提供商的前摄的(proactive)安全措施来识别计算机系统弱点，并随后创建和发出计算机漏洞利用。

参考图2A，在事件202处，操作系统提供商识别出所发布的操作系统中的弱点的存在。例如，在一种情况下，操作系统提供商对所发布的操作系统进行自身的内部分析，揭示出可能被用于攻击计算机系统的当前未知的弱点。在另一种情况下，由第三方发现当前未知的弱点，第三方包括对计算机系统进行系统安全分析并向操作系统提供商提供关于弱点的信息的组织。

一旦操作系统提供商意识到存在安全弱点，操作系统提供商就着手解决该弱点，从而在事件204处导致产生和发布补丁，以确保运行该操作系统的任何计算机系统的安全。典型地，操作系统提供商将做出某种类型的通告，告知系统补丁可用，并推荐所有的操作系统用户安装该补丁。该补丁通常放置在网络110上的已知位置上，以用于下载和安装到受影响的计算机系统上。

不幸的是，如通常发生的那样，在操作系统提供商发布补丁之后，在事件206处，恶意方下载该补丁并使用逆向工程以及通过操作系统或其它而公知的任何信息来识别与“经修补”的操作系统中的弱点有关的细节。使用此信息，恶意方创建计算机漏洞利用来攻击潜在的弱点。在事件208处，恶意方将计算机漏洞利用释放到网络110上。虽然发布软件补丁(也称为“修正”(fix))的目的是纠正潜在的弱点，但是“修正”通常是一段复杂的软件代码，不幸的是，它本身可能形成了或包含了可能被恶意方创建的计算机漏洞利用攻击的新的弱点。从而，除了评估“修正”纠正了什么之外，还要对潜在的弱点对上述“修正”进行评估。

虽然“修正”是可用的，但是出于包括上述原因在内的各种原因，恶意方意识到并非每个有弱点的计算机系统会立即更新。从而，在事件208处，恶意方将计算机漏洞利用112释放到网络110上。如上所述，计算机漏洞利用112的释放打开了弱点窗口212，在弱点窗口中，有弱点的计算机系统易受该计算机漏洞利用的影响。仅当在事件210处补丁最终被安装在计算机系统上，对于该计算机系统来说，弱点窗口212才关闭。

虽然如今释放的计算机漏洞利用是基于已知的弱点，例如上述关于图2A所述的情况，但是，有时候利用了当前未知弱点的计算机漏洞利用被释放到网络110上。图2B说明了在该情况下的关于时间线220的漏洞窗口230。从而，如时间线220上所示，在事件222处，恶意方释放新的计算机漏洞利用。由于这是新的计算机漏洞利用，因此既没有操作系统补丁也没有防病毒更新可用于保护有弱点的计算机系统不受攻击。因此，弱点窗口230打开。

在新的计算机漏洞利用传播到网络110上之后的某一点，如事件224所指示出的那样，操作系统提供商和/或防病毒软件提供商检测到该新的计算机漏洞利用。如本领域的技术人员一般将理解的那样，在大约数小时内该新的计算机漏洞利用的存在就被操作系统提供商和防病毒软件提供商检测出。

一旦检测到该计算机漏洞利用，防病毒软件提供商就开始其处理来识别防病毒软件能够借以识别该计算机漏洞利用的模式或“特征印记”。类似地，操作系统提供商开始其处理以分析该计算机漏洞利用，以确定是否必须对操作系统打补丁，以保护不受该计算机漏洞利用的影响。作为这些并行努力的结果，在事件226处，操作系统提供商和/或防病毒软件提供商释放针对于该计算机漏洞利用的更新(即对操作系统的软件补丁)或防病毒更新。随后，在事件228处，该更新安装在用户的计算机系统上，从而保护该计算机系统并使得弱点窗口230关闭。

如从上面的例子中可看出的那样，这些例子仅仅是计算机漏洞利用对计算机系统引起安全威胁的所有可能的情况中的代表性实例，弱点窗口存在于计算机漏洞利用112释放于网络110上的时间和对应的更新被安装在用户的计算机系统上以关闭弱点窗口的时间之间。不幸的是，不管弱点窗口是大还是小，如果是根本可行的化，受感染的计算机使得计算机所有者花费相当多的钱来“杀毒”和修补。当涉及到可能具有成千上万的设备连接于网络110的公司或实体时，这种代价可能是巨大的。这种代价还可能通过这种漏洞利用窜改或破坏用户数据的可能性而加大，所有这些都相当难于或不可能进行跟踪和补救。需要一种即使在保护更新可用和/或安装在计算机系统上之前，也能用于以响应方式并根据各计算机系统的需要来确保计算机系统对抗计算机漏洞利用的安全性的系统和方法。

发明内容

根据本发明的诸方面，提供一种用于保护计算设备步骤安全威胁的影响的网络安全模块。该网络安全模块置于计算设备和网络之间，使得计算设备与网络之间的所有网络活动都通过该网络安全模块。所述网络安全模块包括用于将该网络安全模块连接至计算设备的计算设备连接，以及用于将该网络安全模块连接至网络的网络连接。所述网络安全模块还包括控制计算设备和网络之间的网络活动的安全实施模块。所述网络安全模块通过实施获得的安全措施来控制网络活动，从而保护计算设备不受安全威胁的影响。

根据本发明的其它方面，提供了一种使用网络安全模块保护计算设备不受网络上传递的安全威胁的影响的方法。所述网络安全模块置于计算设备和网络之间，使得计算设备与网络之间的所有网络活动都通过该网络安全模块。从计算设备接收与计算设备的诸方面有关的配置信息。获得对应于计算设备的配置信息的安全信息。所述安全信息包括用于保护计算设备不受安全威胁的影响的保护安全措施。实施获得的安全信息中的保护安全措施，从而保护计算设备不受网络威胁的影响。

根据本发明的又一些方面，提供了一种承载了计算机可执行指令的计算机可读介质，当执行该计算机可执行指令时，它执行一种使用网络安全模块保护计算设备不受网络上传递的安全威胁的影响的方法。所述网络安全模块置于计算设备和网络之间，使得计算设备与网络之间的所有网络活动都通过该网络安全模块。从计算设备接收与计算设备的诸方面有关的配置信息。获得对应于计算设备的配置信息的安全信息。所述安全信息包括用于保护计算设备不受安全威胁的影响的保护安全措施。实施获得的安全信息中的保护安全措施，从而保护计算设备不受网络威胁的影响。

附图说明

通过连同附图一起参考下面的详细说明，可更容易地并更佳地理解本发明的上述方面以及所伴随的许多优点。

图1是说明现有技术中的示例性联网环境的直观图，通常通过该联网环境来散布计算机漏洞利用；

图2A和2B是说明示范出与释放到网络上的计算机漏洞利用有关的计算机系统的不同弱点窗口的示例性时间线的框图；

图3A和3B是说明适用于实施本发明的诸方面的示例性联网环境的直观图；

图4A和4B是用于示范出本发明如何使与计算机漏洞利用相关联的弱点窗口最小化的示例性时间线的直观图；

图5是根据本发明的用于根据公布的安全信息动态地控制计算机系统的网络访问的示例性例程的流程图；

图6是说明根据本发明的由安全服务实施的用于在示例性联网环境中公布用于网络安全模块的安全信息的示例性例程的流程图；

图7是说明由安全服务实施的用以接收和响应对来自网络安全模块的安全信息的请求的示例性例程的流程图；

图8是说明由网络安全模块实施的用于根据从安全服务获得的安全措施来控制计算机和网络之间的网络通信流的示例性方法的流程图；

图9是说明实现为计算机的外部硬件设备的示例性网络安全模块的直观图；

图10是说明根据本发明形成的网络安全模块的逻辑组件的框图。

具体实施方式

图3A是说明适用于实施本发明的诸方面的示例性联网环境300的直观图。示例性的联网环境300包括连接于网络110的计算机302。应注意，虽然根据连同诸如计算机302之类的个人计算机的操作来总地描述本发明，但是这仅仅是出于说明目的，而不应被解释成对本发明的限制。本领域的技术人员将容易地认识到计算机漏洞利用可能攻击几乎任何联网的计算设备。因此，本发明有利于实施来保护各种类型的计算机、计算设备或计算系统，包括但不限于：个人计算机、平板式计算机、笔记本计算机、个人数字助理(PDA)、小型机和大型机、无线电话机(通常称为蜂窝电话机)、诸如无线电话机/PDA的组合之类的混合计算设备等等。本发明还有利于实施来保护硬件设备、外围设备、软件应用程序、设备驱动器、操作系统等等。

应理解，网络110可包括任何数量的实际通信网络。这些实际通信网络包括但不限于：因特网、广域网和局域网、内联网、蜂窝网、IEEE 802.11和蓝牙无线网络等等。因此，虽然根据计算机网络，尤其是根据因特网来描述本发明，但是这仅仅是出于说明目的，而不应被解释成对本发明的限制。

示例性联网环境300还包括网络安全模块304和安全服务306。网络安全模块304置于诸如计算机302之类的计算机与网络110之间。网络安全模块304可物理上或逻辑上置于计算机302和网络110之间。计算机302和网络110之间的通信流经网络安全模块304。根据本发明，网络安全模块304根据与计算机的具体配置相对应的安全信息来选择性地控制计算机302与网络110之间的网络活动，所述计算机的具体配置包括但不限于：安装在计算机302上的特定操作系统修订版、包括防病毒软件和对应的特征印记数据文件的修订信息的防病毒信息、安装的应用程序、设备驱动器等等，所有这些都可能是计算机漏洞利用的潜在目标以利用计算机系统弱点。

根据本发明的一个实施例，为了周期性地从安全服务306获得安全信息，网络安全模块304周期性地向安全服务306发出对与计算机302的特定的、具体的配置相对应的安全信息的安全信息请求。网络安全模块304可配置成周期性地从安全服务306获得安全信息。例如，网络安全模块304可配置成每分钟从安全服务306获得安全信息。可选地，网络安全模块304可配置成根据用于规定的时间周期从安全服务306获得安全信息。

获得与计算机的特定的、具体的配置相对应的安全信息，这是重要的，因为许多用户出于种种原因必须延迟更新他们的计算机系统。例如，可能因为计算机暂时停用而发生对操作系统或防病毒软件的更新的延迟。从而，虽然操作系统和/或防病毒软件的大多数当前修订可提供对新发现的计算机漏洞利用的足够的保护，但是计算机可能不是“最新的”，从而易受到计算机漏洞利用的影响，必须实施与计算机的特定配置相对应的安全措施。因此，安全信息请求可包括但不限于：识别计算机操作系统修订版本的信息，包括已安装的补丁；计算机使用的特定的防病毒软件和修订版本，以及软件和数据文件更新；以及诸如电子邮件或浏览器标识符、修订版本、固件提供商和版本之类的网络使能的应用程序信息，以及其它安全设置。

根据本发明的诸方面，作为更新计算机系统组件的动作之一，网络安全模块304获得计算机的特定配置信息。例如，当用户在计算机302上安装操作系统补丁时，作为安装操作系统补丁的动作之一，向网络安全模块304通知现在的操作系统的当前修订。类似的，诸如网络使能的应用程序或防病毒软件之类的其它计算机系统特征在它们被更新时通知网络安全模块304，从而，网络安全模块可根据计算机的具体的当前配置而获得最精确且足够的安全信息来保护计算机302。

根据安全信息请求中的计算机的特定配置信息，安全服务306识别相关的安全信息，以保护计算机不受到已知的或已察觉的计算机系统弱点的影响。下面更详细地描述了识别相关的安全信息。安全信息包括保护安全措施，由网络安全模块304来实施，使得网络安全模块使计算机302与已知弱点的计算机漏洞利用相隔离。保护安全措施可包括任何数量的网络活动控制或其组合，包括但不限于：阻止计算机302和网络110之间的所有网络活动，除了确定已知的、安全的网络位置之间的通信之外，例如用于安装补丁或更新的安全服务306或防病毒软件服务308；阻止特定通信端口和地址上的网络通信；阻止前往和/或来自特定的与网络有关的应用程序(如电子邮件或Web浏览器应用程序)的通信；以及阻止对计算机302上的特定硬件或软件组件的访问。从而，一旦接收到安全响应，网络安全模块就实施安全措施。

如上所述，网络安全模块304置于计算机302和网络110之间，如此，计算机和网络之间的所有网络活动必须流经网络安全模块。随着网络通信流经网络安全模块304，网络安全模块监控网络通信，实施从安全服务306接收的保护安全措施，例如阻止除了已知的、安全的位置之间的通信之外的所有网络访问。

根据本发明的进一步的方面，安全响应还可包括指定的安全等级，例如红色等级、黄色等级和绿色等级。安全等级代表了向计算机302的用户标识由网络安全模块304实施的保护措施的代表性等级。例如，红色安全等级可指示出网络安全模块304当前正在阻止除了来往已知的、安全的位置的访问之外的计算机302和网络110之间的所有网络活动。可选地，黄色安全等级可指示出网络安全模块304当前正在实施某些保护安全措施，而计算机302仍然可与网络110通信。又，绿色安全等级可指示出网络安全模块304不实施任何保护安全措施，计算机302和网络110之间的通信不受限制。根据上述的安全等级，以及出于说明的目的，红色安全等级还可被称为是完全锁闭(full lock-down)，黄色安全等级还可被称为是部分锁闭，而绿色安全等级还可被称为是自由网络访问。虽然上述说明标识了三种安全等级以及红色、黄色和绿色模式，但是它们仅仅是说明性的，而不应被解释成本发明的限制。本领域的技术人员将容易地认识到可实施任何数量的安全等级，具有对于用户不同的表现形式。

由于网络安全模块304以自主方式工作，即不要求用户的干涉，上述的安全等级以及安全等级的任何对应的视觉表现形式仅仅是用于向用户提供信息。它们可用于向用户提供由网络安全模块304实施的限制等级的指示。在用户试图确定网络连接是否发生故障或网络活动是否由于当前网络安全关系而受到限制时，该视觉指示尤其有用。

根据本发明的诸方面，并且作为附加的安全措施，当网络安全模块304加电时，网络安全模块304进入默认状态。该默认状态对应于最高安全等级，即完全锁闭，使得计算机302和受信任的网络位置之间的网络活动是可允许的。或者作为加电的一部分，或者作为与安全服务306的周期性通信的一部分，网络安全模块304获得最新的安全信息，并根据该安全信息可较不实施较不受限的安全措施。显然，网络安全模块304实施完全锁闭的默认状态，这对于计算机302来说是有利的，因为在网络安全模块断电的期间，可能已经识别出弱点或释放到网络110上的漏洞利用。

根据本发明的一个实施例，网络安全模块304不从计算机302请求或访问信息。相反，网络安全模块304对与某些事件有关的从计算机302向其发送的信息起作用。从而，当网络安全模块304最初开始保护计算机时，例如当网络安全模块最初置于计算机302和网络110之间时，网络安全模块将不具有与计算机系统相对应的任何具体的配置信息。如上所述，当网络安全模块304不具有关于计算机302的配置信息时，或者当网络安全模块304加电时，网络安全模块进入其默认状态，即完全锁闭状态。然而，如上所述，完全锁闭状态仍然允许计算机302与已知的、安全的位置进行通信。作为例子，这些已知的、安全的位置包括操作系统更新所处于的位置。从而，用于可运行更新过程，导致配置信息发送到网络安全模块304，即使计算机302配置了可用的最新的操作系统、防病毒软件、应用程序和设备驱动器修订版本和更新也是如此。可选地，可提供特定的程序来通知网络安全模块304有关计算机系统的当前配置。

为了确保网络安全模块304和安全服务306之间的通信是可信的、未被破坏的，在本发明的一个实施例中，网络安全模块和安全服务之间的通信，例如安全请求和安全信息，适宜加密的安全通信进行传递的，例如使用加密套接字协议层(SSL)的安全通信。类似地，网络安全模块304和计算机302之间的通信也类似的是安全的。

根据本发明的可选方面，网络安全模块304连续工作，即获得对应于计算机302的安全信息，即使当计算机关闭也是如此。例如，网络安全模块304可连续地获得关于计算机302的安全信息，所有信息都是对应于计算机304加电时提供给计算机的最新的操作系统和/或防病毒软件修订版本数据。根据一个实施例，网络安全模块304连接至计算机的辅助电源线，如本领域的技术人员所已知的那样，辅助电源线即使在计算机302关闭的情况下也向外围设备提供电源。此外，如果网络安全模块304仅在计算机302工作时工作，当网络安全模块恢复工作时，网络安全模块实施完全锁闭，同时它获得与计算机的当前配置相对应的最近的安全信息。

根据本发明的另一个实施例，网络安全模块304可由用户任选地禁用。这是有用的，因为存在某些时候有必要安全访问网络，这比冒来自计算机漏洞利用的攻击的风险更为重要。例如，在试图确诊联网困难/问题时，可能必须禁用网络安全模块304。可选地，某些紧急情况，诸如使用E911 IP语音(VoIP)，可能需要禁用网络安全模块304。

根据本发明的一个方面，当被禁用时，网络安全模块304继续获得来自安全服务306的安全信息，虽然它并不实施这些保护安全措施。连续地更新安全信息，这对于用户来说是有利的，特别是在网络安全模块304仅仅暂时禁用的情况下更是如此，因为网络安全模块重新被激活时将具有最近的安全信息。可选地，如果网络安全模块304被禁用，并且不继续更新，则在与安全服务306无通信的预定时间周期之后，网络安全模块可回复到其默认状态，即完全锁闭网络活动。

安全服务306可实施为用于所有安全信息的单个服务器/源，或者可选地，可实施为分布在网络110上的分级的服务器/源。在分级系统中，网络安全模块304初始配置有安全服务中的根服务器/服务，它总是存在的。然而，作为由安全服务返回的安全信息的一部分，也可能是在网络安全模块304和安全服务之间的第一次通信中返回的，安全服务提供关于安全服务的分级的信息。该信息可按照一个或多个范围的网络地址来提供，所有这些地址都是安全服务分级中的能够向网络安全模块304提供适当的安全信息的节点。此后，网络安全模块304不必询问原始节点来获得信息。显然，以分级方式实施安全服务的一个优点在于，可容易地缩放安全服务，以适应于请求信息的网络安全模块的数量，并且，安全服务分级中的原始节点将不会被来自网络中的所有网络安全模块的安全信息请求所淹没。在网络110中分布的分级结构下，还会发生负载平衡，并且可将冗余度建立到系统中，使得如果分级中的一个节点发生故障，其它节点可进入并提供安全信息。

根据本发明的诸方面，使用本领域中的已知技术，例如端口模拟(portmimicking)，网络安全模块304对于计算机302和网络110来说是透明的。一般来说，使用端口模拟，网络安全模块304表现为网络110到计算机302，以及表现为计算机到网络上的设备。从而，网络活动自由地通过网络安全模块304而在计算机302和网络110之间流动，除非网络安全模块确定通信是针对网络安全模块，例如操作系统更新更新或安全信息响应，或者除非根据保护安全措施网络安全模块必须阻止网络活动。

如上所述，作为询问的结果，网络安全模块304从安全服务306获得安全信息。本领域的技术人员将把它识别为轮询(poll)系统，即向安全服务306轮询安全信息。然而，在可选的实施例中，安全服务306有利地将重要的安全信息广播到网络110中的网络安全模块。例如，根据联网环境300中的网络安全模块从安全服务306获得安全信息的周期间隔，如果某一特定的恶性计算机漏洞利用开始在网络110上的传播，安全服务将安全信息广播到网络安全模块，而不是等待网络安全模块请求重要的安全信息。该安全信息下文中被称为是安全公告，典型地将包括易受到计算机漏洞利用影响的所有配置、要采用的保护安全措施、以及指示出对应的安全等级。根据本发明的一个实施例，安全公报是根据预定的模式组织的XML文档。

将信息向收听者广播的系统被称为是下推系统(push system)，即安全服务306将重要的安全信息下推到网络安全模块。根据本发明的诸方面，安全公告是使用“有保证的传递”服务的网络上的广播。在有保证的传递服务中，安全公告被标识为高优先级项目，并且按照网络服务提供者，在传递可能在其它情况下首先传递的其它网络通信之前传递。

除了在计算机302进行通信的同一网络110上传递安全公告之外，很多时候进行“带外”通信是有利的，即通过与网络110分开的第二通信链路。图3B是说明用于实施本发明的诸方面的另外配置的联网环境310的直观图，包括用于将安全信息传递到依附于网络110的网络安全模块的第二通信链路。

如图3B所示，另外配置的联网环境310包括与上述关于联网环境300所述的组件相类似的组件，包括计算机302、安全服务306和网络安全模块304。然而，安全服务306还配置成通过第二通信链路314向网络安全模块304发送包括安全信息和/或安全公告的安全信息。根据本发明的诸方面，第二通信链路314可以是安全服务306和网络安全模块304之间的卫星通信链路、射频广播、或某种其它形式的次级通信。本领域的技术人员将认识到可使用任何数量的通信信道。

根据本发明的可选方面，第二通信链路314可以是来自安全服务306和网络安全模块304的单向通信链路，或者是安全服务和安全模块之间的双向通信链路。此外，也可在来自安全服务306的第二通信链路314上下载如上所述的软件更新或补丁。

虽然网络安全模块304置于计算机302和因特网110之间，但是网络安全模块的实际实施例是可以变化的。在各种情况下，网络安全模块304被计算机302作为受信任的组件对待。根据一个实施例，网络安全模块304实现为硬件设备，有时称为“dongle”，它位于计算机302的外部，具有连接至网络110和计算机的连接。可选地，网络安全模块304可以实现为集成在计算机302之内的硬件组件，或计算机的网络接口中的集成子组件。将网络安全模块304集成于计算机302中，或作为计算机网络接口上的子组件，这在计算机302通过无线连接连接至网络110的情况下可能是尤其有用的。

根据另一可选的实施例，网络安全模块可实现为计算机302的组件内的逻辑，如微代码或固件，计算机302的组件包括但不限于处理器、图形处理单元、北桥或南桥。作为又一可选的实施例，网络安全模块304可实现为软件模块，连同操作系统一起或作为操作系统的一部分进行工作，或作为安装在计算机302上的单独的应用程序。软件实现的网络安全模块304可工作在计算机302的第二处理器上。第二处理器可以或可以不与计算机的主处理器不对称地实施其它计算机系统任务。因此，网络安全模块304不应被解释成局限于任何特定的实施例。

应该指出的是，本发明所实现的好处之一在于系统减轻了许多漏洞利用的影响。例如，本领域的技术人员将认识到拒绝服务(DOS)攻击是一种利用网络请求淹没计算机的企图，使得计算机耗尽其资源并崩溃，或者，错误地进入更容易受到外部攻击/漏洞利用的攻击的不明确的状态。然而，利用网络安全模块304通过实施保护安全措施来响应安全服务306，这些漏洞利用，包括可能的无法阻止的网络请求就不会到达计算机302。

为了更充分地理解上述组件如何工作来向计算机302提供增强的安全性，参考具有对应事件的时间线上例示出的示例性的情况。图4A和4B是说明用于说明本发明的组件的工作的示例性时间线的框图。更为具体地，图4A是说明用于示范出本发明如何使与网络110上新的计算机漏洞利用的释放有关的计算机302的弱点窗口406最小化的示例性时间线400的直观图。应注意到，虽然按照攻击操作系统的计算机漏洞利用来给出下面的说明，但是这是出于说明目的，而不应被解释成对本发明的限制。本发明可用于保护代码模块、服务、甚至是计算机系统上的硬件设备。

如时间线400所示，在事件402处，恶意方将新的计算机漏洞利用释放到网络110上。新的计算机漏洞利用的释放打开了连接至网络110的作为新的计算机漏洞利用的目标的计算机(如计算机302)的弱点窗口。在事件404，如上所述，通过操作系统提供商、防病毒软件提供商或其它，检测到新的计算机漏洞利用的存在。

一旦检测到新的计算机漏洞利用的存在，即使在识别出漏洞利用的攻击的性质或模式之前，在事件408处，操作系统提供商通过安全服务306公布安全信息。典型地，当发现计算机漏洞利用，而其攻击的性质、外延或模式还未已知的情况下，安全服务将把所有明显受感染的计算机的安全等级设置为红色，即完全锁闭。有利的是，一旦实施来自安全服务306的安全措施，作为目标的计算机的弱点窗口406就关闭。

与图2B所示的弱点窗口230相反，弱点窗口406相对较小，从而将目标计算机系统对新的计算机漏洞利用的暴露降至最低。显然，弱点窗口(例如弱点窗口406)打开的实际时间长度取决于较少数量的因素。一个因素是检测到计算机漏洞利用之前经过的时间量。如上所讨论的那样，一般从新的计算机漏洞利用释放后的十五分钟至数小时内检测到该新的计算机漏洞利用。比第一因素更可变的第二因素是网络安全模块304从安全服务306获得安全信息而花费的时间量。假设网络安全模块304可连续地获得安全信息，它可能只花费几秒就获得安全信息并实施对应的安全措施。然而，如果网络安全模块304不能连续地与安全服务306通信，或者如果用于获得安全信息的周期时间帧长，则实施保护安全措施可能花费很长的时间。根据本发明的诸方面，如果安全模块304与安全服务306失去联系达预定的时间量，则网络安全模块默认为完全锁闭状态，等待来自安全服务的未来通信。

在公布了初始安全信息之后，操作系统提供商护或防病毒软件提供商一般将继续分析计算机漏洞利用，以更好地理解它如何工作和/或它攻击哪些具体的计算机系统特征。通过该分析，就识别出第二组(也许是较不限制性的)保护措施，有弱点的计算机系统必须采用这些保护措施来防止计算机漏洞利用感染这些计算机。因此，在事件412处，以黄色安全等级以及标识出保护措施来公布更新的安全信息，以阻止处于危险中的网络活动，即部分地锁闭。例如，如上所述，保护安全措施可包括简单地阻止来往特定范围的通信端口(包括源和/或目的端口)的访问，或禁用电子邮件通信、Web访问或针对安装在受保护的计算机系统上的操作系统、应用程序、设备驱动器等等的其它网络活动，同时允许其它网络活动自由流通。应理解到“处于危险中的”网络活动包括通过漏洞利用来表示对计算系统的威胁的网络活动，而不管该漏洞利用是攻击计算机系统缺陷还是简单地滥用合法的计算机系统特征。此外，“处于危险中的”网络活动包括针对计算机系统的由另一设备单方面地发起的网络活动。换言之，“处于危险中的”网络活动包括针对仅仅连接至网络的计算机系统的漏洞利用的网络活动。

在事件414处，网络安全模块304获得更新的安全信息，并且对应的保护安全措施被实施。在事件416处，在操作系统提供商和/或防病毒软件提供商产生和做出可用的软件更新之后，公布额外的更新的安全信息。如果诸如来自操作系统提供商、防病毒软件提供商或应用程序提供商的更新之类的软件更新安装在计算机302上，则该额外的更新的安全信息可标识出安全等级是绿色的。接着，在事件418处，获得额外的更新的安全信息，软件更新安装在计算机302上，并且网络安全模块304允许自由的，即无限制的网络访问。

图4B是说明用于示范出本发明如何消除关于网络110上的计算机漏洞利用的释放而存在的弱点窗口的示例性时间线420的直观图，具体来说是利用先前识别出的弱点而非完全新的攻击的漏洞利用。如所述，使用先前已知的弱点比完全新的攻击更为普遍。在事件422处，操作系统提供商识别出在操作系统的当前版本中的弱点的存在。响应于识别出的弱点所形成的威胁，在事件424处，操作系统提供商公布减轻威胁的安全信息，设置安全等级，并标识出对应的保护安全措施。在图4B所示的当前实施例中，假设弱点对连接至网络110的计算机造成了相当大的危险，操作系统提供商公布将安全等级设置为红色并具有实施完全锁闭的安全措施的安全信息。在事件426处，网络安全模块304获得最近的安全信息，并实施完全锁闭。应注意到，实施安全措施以在补丁或“修正”可用之前保护计算机302不受识别出的弱点的影响。由于多数计算机漏洞利用是以某种方式从通过分析补丁所修补的弱点而获得信息中得出的，因此抢先不给予恶意方有机会创建漏洞利用以攻击该弱点。从而，不打开任何弱点窗口。显然，该结果对于计算机用户来说是相当有用的，尤其是当网络安全模块不实施安全措施时与图2A所示的对应的时间线200相反。

通常，在进一步分析计算机漏洞利用之后，操作系统提供商可确定一组较不限制性的保护措施，保护连接至网络的计算机不受计算机漏洞利用的影响。从而，如图4B所示，在事件428处，公布更新的安全公告，该安全公告设置黄色安全等级并包含对应的保护安全措施，即部分锁闭，专门针对被利用的弱点，同时允许所有其它的网络活动。对应地，在事件430处，获得更新的安全信息，网络安全模块304实施部分锁闭。

一旦操作系统补丁或防病毒更新可用，即如果安装在计算机302上将保护计算机不受以所述弱点为目标的计算机漏洞利用的影响，则在事件432处，操作系统提供商公布该信息，并指示出一旦安装，则网络安全模块就可允许自由的网络访问，即一旦安装补丁，则将安全等级设置为绿色。对应地，在事件434处，在计算机302上安装了补丁或防病毒更新之后，网络安全模块304允许自由访问。

图5是说明用于根据公布的安全信息动态地控制计算机的网络访问的示例性例程500的流程图。图5包括两个起始端，起始端502对应于网络安全模块304的启动，起始端520对应于接收来自计算机系统302的更新通知。首先在起始端502开始并进行到块504，网络安全模块304实施与完全锁闭相关的安全措施。如上所述，当处于完全锁闭中时，计算机仅限于访问已知的、受信任的网络位置，包括安全服务306，以便获得最新的安全状态信息和任何可用的更新。

在块506，网络安全模块304从安全服务306获得对应于计算机的当前配置的最新的安全信息。根据本发明的诸方面，网络安全模块304可通过向安全服务发出对信息的请求来获得最新的安全信息。可选地，网络安全模块304可按照安全服务306的广播来获得最新的安全信息，所述广播或者通过第二通信链路或者通过网络上的广播。

在判决块508，根据从安全服务306获得的最新的安全信息，网络安全模块304判断当前实施的安全措施以及对应的安全等级是否是与获得的安全信息保持最新。根据本发明的一个方面，按照网络安全模块当前存储的计算机系统的修订版本信息与安全服务公布作为最新的修订版本信息之间的简单比较，来做出判断。

如果当前实施的安全措施不是最新的，则在块510处，网络安全模块304获得对应于网络安全模块已存储的关于该计算机系统的信息的用于该计算机系统的安全措施。可选地(未示出)，安全措施可包含在获得的安全信息中。一旦网络安全模块304具有安全措施，则在块512处，网络安全模块实施该安全措施，并设置对应的安全等级，如红色、黄色或绿色。

在实施了用于该计算机系统的安全措施后，或可选地如果当前实施的安全措施对于该计算机系统来说是最新的，则在块514，网络安全模块304进入延迟状态。该延迟状态对应于网络安全模块304周期性地询问安全服务306以获得最新的安全信息的时间周期。在延迟了预定的时间量之后，过程返回到块506，重复从安全服务306获得最新的安全信息、判断当前实施的安全措施对于计算机系统是否是最新的、以及实施任何新的安全措施的过程。

如图5所示，示例性例程500不具有结束端，因为它被设计成连续工作以保护计算机302不受计算机漏洞利用的影响。然而，本领域的技术人员将认识到，如上所述，如果网络安全模块304关闭、与示例性的联网环境300断开连接、或被用户明确禁用，则例程500将终止。

关于另外的起始端520，该进入点表示网络安全模块304接收来自计算机系统的更新通知的情况。如先前所讨论的那样，作为更新计算机系统的步骤之一，适用于利用本发明的应用程序将通知网络安全模块新的当前修订版本信息。例如，在更新防病毒软件的同时，过程的一个步骤将是发出针对网络安全模块304的通知，通知网络安全模块新的当前修订版本。从而，在块522处，网络安全模块接收更新通知。

在块524，网络安全模块存储更新通知信息，以稍后用于确定当前实施的安全措施是否是最新的。操作系统更新以及其它代码模块更新也可适应于向网络安全模块304提供通知，使得安全系统可做出关于保护任何给定的计算机系统所必须的适当的安全措施的更充分的判决。

在存储了信息之后，例程500进入到块506，如上所述，开始从安全服务306获得最新的安全信息、判断当前实施的安全措施对于计算机系统是否是最新的、以及实施任何新的安全措施的步骤。作为替代(未示出)，在块524处接收了更新的计算机系统信息之后，网络安全模块可等待以获得安全状态信息，直到当前延迟状态结束为止。

图6是说明用于在示例性联网环境300中广播用于网络安全模块(如网络安全模块304)的安全信息的示例性例程600的流程图。起始于块602，安全服务306从各种源获得与安全有关的信息。例如，安全服务306一般将从操作系统提供商、防病毒软件提供商获得关于最新的修订版本、补丁、和可用更新的信息，以及通过各种补丁和更新而解决的计算机漏洞利用和/或弱点。也可轮询其它源(包括各种政府机构、安全专家等)关于与安全有关的信息。

在块604，安全服务306获得与连接至网络110的计算机系统的弱点有关的信息。该信息可来自操作系统提供商、防病毒软件提供商或检测到该弱点的其它方。在块606，安全服务306根据弱点所引起的威胁判断安全等级(如红色、黄色或绿色)以及要求网络安全模块(如网络安全模块304)所实施的保护安全措施，以保护受影响的计算机不受关于该弱点的计算机漏洞利用的攻击。

在块606，如上所述，安全服务306向依附于网络110的网络安全模块广播安全公告，包括安全等级和对应的保护安全措施。如上所讨论的那样，安全服务306可通过向所有网络安全模块发出网络范围的广播来广播安全公告。该网络范围的广播可以基于网络110，任选地使用上述的有保证的传递选项，或基于联网环境300中至网络安全设备的第二通信链路314。在广播安全公告之后，例程600终止。

图7是说明由安全服务306实施的用以接收和响应来自网络安全模块304的安全信息请求的示例性例程700的流程图。起始于块702，安全服务306从网络安全设备304接收安全信息请求。如已经描述的那样，安全信息请求可包括对应于计算机的当前配置的信息。

在块704，根据网络安全模块所提供的安全信息请求中的特定计算机的配置信息，安全服务306识别与安全信息请求中的计算机的当前配置信息相对应的相关安全信息。

根据一个实施例，安全服务306通过根据计算机的配置信息确定保护计算机302所需要的保护安全措施来识别相关的安全信息。根据另一实施例，安全服务306通过将对应于特定计算机的配置的所有安全信息返回以用于进一步由网络安全模块处理来确定应当实施的保护安全措施，来识别相关的安全信息。作为又一替代，安全服务306通过返回随后将从网络安全设备转送到计算机302的对应于特定的计算机配置的所有安全信息来识别相关的安全信息，使得计算机能够向网络安全模块要实施哪些保护安全措施。也可使用上述可选方案的组合以及其它系统。因此，本发明不应被解释成局限于任一特定实施例。

在块706，安全服务306将相关的安全信息返回到做出请求的网络安全模块304。此后，例程700终止。

图8是说明由网络安全模块304实施的用于根据从安全服务306获得的安全措施来控制计算机302和网络之间的网络通信流的示例性方法800的流程图。起始于块802，网络安全模块304解说网络通信，包括来到计算机302的网络通信以及源自计算机的网络通信。

在判决块804，做出关于网络通信是否是来自或前往受信任的网络站点(例如安全服务、防病毒软件提供商、操作系统提供商等等)的判决。如果网络通信是来自或前往受信任的网络站点，则例程进行到块810，在块810，允许网络通信流过网络安全模块304，并且例程800接着终止。然而，如果网络通信不是来自或前往受信任的网络站点，则例程进入到判决块806。

在判决块806，做出关于网络通信是否根据当前实施的安全措施而受到限制的另一判断。如果根据当前实施的安全措施，网络通信不受限制，则例程进行到块810，在块810，允许网络通信流过网络安全模块304，并且例程800接着终止。然而，如果根据当前实施的安全措施，网络通信受到限制，责例程进行到块808，在块808，不允许网络通信流过网络安全模块304。此后，例程800终止。

虽然网络安全模块304置于计算机302和因特网110之间，网络安全模块的实际实施例是可变化的。根据一个实施例，网络安全模块304可实现为物理上位于计算机302外部的硬件设备，具有对因特网110和计算机302的连接。图9是说明实现为计算机的外部硬件设备的示例性网络安全模块304的直观图。

如图9所示，作为外部设备，网络安全模块304包括对网络110的连接902和对计算机302的对应的连接904。计算机302和网络110之间的所有的网络活动都在对计算机的连接904上载送。所例示的网络安全模块304还包括计算机302和网络安全模块之间的第二计算机连接918，用于两者之间的通信。所例示的网络安全模块304还包括使能/禁用开关906、状态指示器910-916、以及对外部电源的任选的连接908。

如先前所述，可能希望禁止网络安全模块实施当前的安全措施。根据图9例示的实施例，使能/禁用开关906是一种拨动式开关，用以在希望旁路当前安全措施时禁用网络安全模块304，以及用以使能所述网络安全模块304，使得它实施从安全服务306获得的当前安全措施。

状态指示器910-916用以提供网络安全模块的当前状态的视觉指示。如先前所述，状态指示器仅用于信息告知目的。它们向计算机用户提供关于网络安全模块304实施的保护安全措施的任选的视觉线索。每个指示器对应于某一特定的安全状态。例如，状态指示器910可对应于红色安全等级，意味着完全锁闭网络活动，并且当网络安全模块304实施完全锁闭时以红色照亮。状态指示器912可对应于黄色安全等级，即部分锁闭网络活动，并且当网络安全模块304实施部分锁闭时以黄色照亮。类似的，状态指示器914可对应于绿色安全等级，即自由网络访问，并且当网络安全模块304允许不受限制的网络访问时以绿色照亮。状态指示器916可对应于网络安全模块304的使能/禁用状态，使得当网络安全模块被禁用时照亮该状态指示器，也许是红色闪光。

虽然本发明可按照图9所例示的那样来实现，但是它仅应被视作是例示性的。可对图9所例示的实际实施例做出各种修改和变型，而不背离本发明的范围。因此，本发明不应被解释成局限于任何特定的实际实施例。

作为实际实施例的一个替代(未示出)，网络安全模块304可以是集成作为计算机302内的组件的组件，或作为计算机的网络接口内的子组件。这两个实施例在计算机302通过无线连接连接至因特网110时是尤其有用的。作为又一个替代实施例，网络安全模块304可实现为集成在操作系统内的软件模块，或作为安装在计算机302上的单独的模块。因此，网络安全模块304不应被解释成局限于任何特定的实际的或逻辑的实施例。

图10是说明根据本发明形成的网络安全模块304的示例性逻辑组件的框图。网络安全模块304包括存储器1002、安全状态指示器模块1004、比较模块1006、安全实施模块1008、更新请求模块1010、网络连接1012、计算机连接1014、第二计算机连接1018、以及编码器/解码器模块1020。

存储器1002包括易失性和非易失性存储区域，存储要由网络安全模块304实施的当前安全措施。存储器1002还存储提供给网络安全模块304的配置信息，包括操作系统、防病毒软件和特征印记、应用程序等的当前修订版本信息。其它信息也可存储于存储器1002中，包括受信任的位置地址、更新源等。诸如受信任的位置地址之类的信息可能存储于非易失性存储器中。

安全状态指示器模块1004用于向计算机用户表示网络安全模块304的当前安全状态。例如，当网络安全模块304实现为物理设备时，诸如图9所例示的那样，安全状态指示器1004根据网络安全模块的当前安全状态来控制状态指示器910-916。

比较模块1006进行存储于存储器1002中的安全信息与从安全服务306获得的安全信息之间的比较，以判断存储于存储器1002中的安全信息对于计算机的当前配置来说是否是最新的。安全实施模块1008是实施保护计算机302步骤安全威胁所必须的安全措施的组件。从而，安全实施模块1008根据存储器1002中存储的安全措施来控制计算机302和网络110之间的网络活动的流通。

更新请求模块1010用于轮询系统中，以周期性地从安全服务306请求最新的安全信息。在下推系统中，更新请求模块1010可充当来自安全服务的安全信息的接收器，并与比较模块1006协同工作来根据从安全服务306接收的信息识别用于充分地保护计算机302的保护安全措施。可选地，更新请求模块可与计算机302通信来根据从安全服务306接收的信息判断/识别用于充分保护计算机的保护安全措施。网络安全模块304的所有组件都通过公共系统总线1016而互相连接。

编码器/解码器模块1020用于对网络安全模块304和安全服务306之间的安全通信、以及计算机302和网络安全模块之间的安全通信进行编码和解码。根据一个实施例，计算机302和网络安全模块304之间的安全通信是通过第二计算机连接1018来传递的。

虽然已经描述了网络安全模块304的各个组件，但是应理解到在实际的实施例中，它们是逻辑组件，并且可组合在一起，或者与其它未被描述的组件组合。因此，上述的组件应被视作是示例性的，而不应被解释成对本发明的限制。

虽然已经例示和描述了本发明的许多实施例，包括较佳实施例，但是应理解可做出各种改变而不背离本发明的精神和范围。