Способ и система автоматического управления лицензиями

Иллюстрации

Показать все

Изобретение относится к системам и способам администрирования и управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий. Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение. Способ применения политик безопасности к устройствам содержит этапы, на которых: а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств; б. получают значения критериев для каждого из устройств; в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства числовое значение, вычисленное из полученных значений критериев для устройств; г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности; ж. применяют полученную политику безопасности к устройству на основании приоритета определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству, при этом при недоступности лицензии, позволяющей применить политику полностью, выбирают такую из доступных лицензий, которая разрешает использование того объема функционала, который позволит применить полученную политику максимально полно. 7 з.п. ф-лы, 3 ил.

Реферат

Область техники

Настоящее изобретение относится к системам и способам управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий.

Уровень техники

В настоящее время часто встречаются ситуации, когда число устройств корпоративной локальной сети растет, а кроме того, увеличивается разнообразие устройств. Если раньше корпоративная сеть ограничивалась стационарными компьютерами и ноутбуками, то теперь наравне с ними в сети используются смартфоны, планшеты, коммуникаторы. Таким «парком» устройств тяжело управлять администратору при отсутствии средств автоматизации.

Одним из способов автоматизации является сортировка или классификация устройств в соответствии с какими-либо признаками или критериями (тип устройства, пользователь устройства, программное обеспечение, установленное на устройстве и т.д.), с последующим использованием подобной сортировки для решения различных задач администрирования сети.

Из уровня техники известны публикации, которые описывают методы сортировки устройств для упрощения управления этими устройствами. Так, публикация US 8341717 описывает динамическое назначение сетевых политик устройствам на основании классификации. Устройства опознаются на основании цифровых сертификатов, и в зависимости от классификации сертификата устройству предоставляется доступ к различным услугам.

В патенте US 7979864 описываются способы определения количества лицензий для решения поставленных задач в порядке приоритета, также учитываются неиспользованные лицензии, которые перераспределяются для решения задачи.

Описываемые способы позволяют управлять лицензиями в сети и сортировать устройства для предоставления услуг, но данные методы и их совокупность не позволяют оперативно реагировать на меняющуюся конфигурацию устройств и их количество и осуществлять оптимальную защиту устройств в сети с ограниченным набором лицензий.

Описываемая далее система и способ позволяют автоматически применять политики безопасности к устройствам, учитывая приоритет устройств и количество доступных лицензий.

Раскрытие изобретения

Настоящее изобретение предназначено для автоматического назначения порядка шифрования устройству в корпоративной локальной сети.

Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение, осуществляющее применение политик безопасности к устройствам сети, путем применения назначенных политик безопасности к устройствам на основании приоритета устройств, установленного сортировкой устройств сети на основании определенного значения коэффициента устройства.

Способ применения назначенных политик безопасности к устройствам, в котором: выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств; получают значения критериев для устройств; вычисляют значение коэффициентов устройств на основании полученных значений критериев для сортировки; определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; получают политику безопасности для устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; применяют полученные политики безопасности к устройствам на основании приоритета, определенного ранее, программным обеспечением для которого получены доступные лицензии.

В частном случае реализации способа определяют набор функционала программного обеспечения, способный обеспечить требования назначенной политики безопасности. В частном случае определяют лицензию на программное обеспечение, которая позволяет использовать набор функционала программного обеспечения, способный применить политику безопасности к устройству. Также могут использовать набор функционала программного обеспечения для применения политики безопасности, который позволяет использовать доступные лицензии.

В другом частном случае реализации способа политиками безопасности являются политики шифрования.

В еще одном частном случае наибольший приоритет получают устройства с наибольшим значением коэффициента. В другом случае наименьший приоритет получают устройства с наименьшим значением коэффициента.

В частном случае политики применяются к устройству последовательно в порядке, установленном приоритетом.

В другом частном случае сортируют устройства в порядке убывания коэффициента устройства.

Еще в одном частном случае сортируют устройства в порядке возрастания коэффициента устройства.

Система применения назначенных политик безопасности к устройствам, которая содержит: средство анализа, предназначенное для выбора критериев для устройств, которые, по меньшей мере, характеризуют местоположение устройства, пользователей устройства, программное обеспечение устройства и определения приоритета применения политики безопасности к устройству, сортируя устройства в соответствии с определенным значением коэффициента устройства; средство управления, связанное со средством анализа и предназначенное для получения значения критериев, по меньшей мере, для одного устройства, определения коэффициента устройства на основании полученных значений критериев, применения политик безопасности к устройствам на основании приоритета при помощи программного обеспечения, для которого получены доступные лицензии и получения политики безопасности для устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; базу данных, связанную со средством управления и средством анализа, предназначенную для хранения политик безопасности и доступных лицензий.

В частном случае реализации системы средство анализа дополнительно предназначено для определения набора функционала программного обеспечения, способного обеспечить требования назначенной политики безопасности.

В другом частном случае средство анализа дополнительно предназначено для определения лицензии на программное обеспечение, которая позволяет использовать набор функционала программного обеспечения, способный применить назначенную политику безопасности к устройству.

Еще в одном частном случае средство анализа дополнительно предназначено для использования набора функционала программного обеспечения для применения политики безопасности, которое позволяет использовать доступные лицензии.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 изображает пример системы применения назначенных политик безопасности к устройствам.

Фиг.2 изображает способ применения назначенных политик безопасности к устройствам.

Фиг.3 изображает пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Одной из задач, для которых применяется сортировка устройств, является осуществление оптимальной защиты устройств в сети. Оптимальная защита осуществляется путем определения приоритета устройств при применении к устройствам политик безопасности. Политики безопасности применяются в условиях ограниченного числа лицензий на программное обеспечение, используемое для применения политик безопасности к устройству. В данном случае под политикой безопасности понимается ряд технологических приемов (шифрование файлов содержащих конфиденциальную информацию, запрет на использование внешних накопителей, использование антивирусного программного обеспечения и т.д.), которые регулируют управление, защиту и распределение ценной информации. Политиками безопасности в частном случае являются политики шифрования, политики антивирусной защиты. Программным обеспечением, используемым для применения политик безопасности, в частном случае является антивирусное программное обеспечение с широким набором функционала, часть которого может быть ограничена действующей лицензией. Также таким программным обеспечением, в частном случае, является программное обеспечение, используемое при шифровании, которое также в зависимости от лицензии предоставляет различный функционал. Например, одна лицензия позволяет использовать только шифрование файлов, другая допускает применение полнодискового шифрования. Антивирусное программное обеспечение может быть также функционально ограничено действующей лицензией, например лицензия допускает использование лишь локальной базы данных, хранящей записи о вредоносном программном обеспечении, и не позволяет использовать базы данных на удаленных серверах.

В описанных условиях необходимо выбрать наиболее приоритетные устройства для применения политик и осуществить их защиту в первую очередь. Приоритет устройств определяют сортировкой.

Для сортировки устройств в сети необходимо получить наиболее полное представления об устройстве в сети, чтобы сортировка была наиболее объективной. Для этого используют максимально широкий набор критериев. Для сортировки устройств учитывают, например, пользователей устройств, программное обеспечение, установленное на устройствах, аппаратную часть устройств, файлы, хранящиеся на устройстве, а также местоположение устройства по отношению к корпоративной локальной сети предприятия.

Местоположение устройства - группа критериев, которая определяет мобильность устройства. На основании этой группы делают вывод о том, покидает ли устройство границы корпоративной локальной сети, в каких участках корпоративной сети находится устройство и т.д. Статистику по местоположению получают, например, проанализировав точки доступа, к которым подключается устройство, по маске подсети или используют данные с модуля геолокации устройства. Если установлено, что устройство перемещается, то устройство по критерию мобильности признается мобильным, в противном случае устройство признается немобильным. Также определить данный критерий возможно, проанализировав данные об аппаратном обеспечении устройства: если аппаратура соответствует ноутбуку или телефону, то логично предположить, что устройство является мобильным. Следует отметить, что мобильными могут являться не только телефоны, ноутбуки или планшеты, стационарные ПК также могут перемещаться, например переезжать с одного рабочего места на другое. Критерии этой группы в частном случае могут определять следующий тип местоположения: устройство не перемещается, устройство перемещается внутри корпоративной сети, устройство покидает пределы корпоративной сети.

Пользователи устройств - группа критериев, которая определяет владельцев устройств или лиц, которые временно используют данное устройство для работы. Эти критерии могут указывать как на конкретное лицо, так и на некоторую группу пользователей, например администраторов, топ-менеджеров, разработчиков и т.д. Конкретное лицо определяют, например, именем и должностью, идентификационным номером, учетной записью. Данная группа критериев также характеризует поведение пользователя, в частном случае для этого используются критерии, которые определяют использование сменных носителей пользователем, работу в Интернете, установку прикладного программного обеспечения.

Программное обеспечение, установленное на устройстве, - группа критериев, которая характеризует программное обеспечение, под управлением которого находится устройство (операционную систему и компоненты, приложения, микропрограммы и т.д.). Критерии в частном случае могут указывать на конкретное программное обеспечение, например критерий KIS, укажет на то, установлено ли на устройстве Kaspersky Internet Security. В другом частном случае критерии указывают на версию программного обеспечения, например критерий KIS 2010 указывает на то, установлено ли на устройстве Kaspersky Internet Security версии 2010. Также критерии определяют принадлежность программного обеспечения к некоторой группе, например игровое программное обеспечение, офисное программное обеспечение, браузеры, антивирусное программное обеспечение, специальное программное обеспечение и т.д. Под специальным программным обеспечением понимается совокупность программ, используемых для решения определенного класса задач, например программное обеспечение автоматизированной системы управления технологическими процессами. Также критерий может характеризовать уязвимость программного обеспечения, показывая, насколько данное программное обеспечение угрожает безопасности устройства. При сортировке для определения первоочередных устройств, которые необходимо обновлять, в частном случае используется критерий устаревания программного обеспечения, который показывает, насколько программное обеспечение устарело.

Группа критериев, которая включает в себя критерии, характеризующие файлы, хранящиеся на устройстве. Эти критерии учитывают тип хранящихся документов, их количество, гриф секретности документов (специальная отметка, свидетельствующая о степени секретности сведений, содержащихся в их носителе) или их конфиденциальность (информация, хранящаяся в документе, общедоступна, или к ней имеет доступ ограниченный круг лиц). Применение этих критериев к устройству позволяет составить представление о назначении и целях использования устройства, например, компьютер секретаря, разработчика, сервер с базой данных, мобильное устройство частного лица и т.д. Для получения значений критериев этой группы в частном случае используется агент управления 105 (Фиг.2). Агент управления 105 разбирает и анализирует документы, хранящиеся на устройстве. Таким образом, агент определяет тип документов, конфиденциальность документов и гриф секретности. Для определения конфиденциальности в частном случае применяются методы поиска по словарю, синтаксический разбор фрагментов документа по шаблону, технологии цифровых отпечатков. Для определения грифа секретности применяются в частном случае те же методы и технологии, что и для определения конфиденциальности.

Перечисленные критерии принимают как булевы значения, так и некоторые дискретные значения в зависимости от целей сортировки. Например, критерий уязвимости программного обеспечения в одном случае принимает значения 0 - уязвимо - или 1 - уязвимостей в данном программном обеспечении не обнаружено. В другом случае данный критерий принимает значение от 0 до 5, где 0 характеризует программное обеспечение, уязвимости в котором неизвестны, а 5 характеризует программное обеспечение, уязвимости в котором обнаруживаются регулярно.

В зависимости от целей сортировки выбираются различные критерии. Сортировка осуществляется по убыванию или возрастанию коэффициента устройства, который получают на основании критериев. Коэффициент устройства в частном случае получают одним из перечисленных методов: нейронная сеть, нечеткая логика, суммирование с учетом значимости критериев, пример дан ниже. Полученный коэффициент имеет различное прикладное значение, все зависит от используемых критериев для расчета и целей сортировки.

Для осуществления оптимальной защиты устройств в сети с ограниченным набором лицензий, применяют способ, изображенный на Фиг.2. В первую очередь определяют критерии для устройств 201, которые способны охарактеризовать устройство с позиции приоритетности применения политики безопасности. Например, такими критериями являются: группа критериев, которая определяет мобильность устройства; группа критериев, которая определяет владельцев устройств или лиц, которые временно используют данное устройство для работы; группа критериев, которая включает в себя критерии, характеризующие документы, хранящиеся на устройстве. Данные критерии выбираются для каждой конкретной сортировки на основании установленных правил в сети. После того как критерии определены, необходимо получить их значения для устройств на этапе 202, для которых необходимо определить приоритет и применить политики безопасности. Способы получения значений различны. В одном частном случае может использоваться агент управления 105 (Фиг.1), установленный на устройстве 100. Агент управления 105 получает значения критериев и отправляет их на сервер управления 102. В другом частном случае сервер управления 102 самостоятельно получает эти значения. Например, для определения местоположения устройства 100 сервер управления 102 получает данные от агента управления 105, который получит данные от служб геолокации, а в другом случае сервер управления 102 определит подсеть, в которой работает устройство 100. Еще в одном частном случае для получения значений критериев используется смешанный способ, в котором в зависимости от ситуаций сервер управления 102 использует как агент управления 105, так и собственные сервисы, например сканер портов. После получения значений критериев их необходимо обработать для определения коэффициента устройства 100 на этапе 203. Способы, используемые для получения коэффициента устройства, различны. Например, суммирование с учетом значимости критериев:

Kf=X1*Kr1+X2*Kr2+X3*Kr3+…+Xn*Krn, где:

Kf - коэффициент устройства;

Xn - коэффициент значимости;

Krn - значение критерия.

Коэффициент значимости отражает важность используемого критерия, данный коэффициент определяется действующими правилами в сети, либо жестко задан в алгоритмах сортировки. Использование данного коэффициента позволяет учитывать различия в значимости критериев. Таким образом определяются значения коэффициентов для всех устройств, к которым необходимо применить назначенные политики безопасности. После определения значения коэффициента устройства устройства сортируются на этапе 204. Сортировка в частном случае осуществляется упорядочиванием в порядке возрастания коэффициента. В другом частном случае упорядочиванием в порядке убывания коэффициента. Наибольший приоритет получают устройства с наибольшим коэффициентом. В частном случае наибольший приоритет получают устройства с наименьшим коэффициентом. Определив приоритет, на этапе 205 получают назначенные политики для устройств и доступные лицензии на программное обеспечение, используемое для применения политик безопасности. Источником этой информации в частном случае является база данных сети. Получив политики безопасности, доступные лицензии и определив приоритет, применяют назначенные политики безопасности к устройствам в порядке приоритета на этапе 206. В первую очередь применяют политику безопасности к устройствам, имеющим наибольший приоритет, далее политика применяется к устройствам с наименьшим приоритетом.

Политика безопасности в частном случае назначается на основании значения коэффициента. Например, политика шифрования установит:

1) необходимость шифрования, которая указывает на то, необходимо ли устройство шифровать вообще;

2) очередность шифрования данного устройства, очередность шифрования указывает на место в очереди на шифрование, ее устанавливают после сортировки устройств по полученным коэффициентам устройств;

3) тип шифрования указывает на полнодисковое шифрование устройства или шифрование отдельных файлов устройства;

4) алгоритм шифрования.

В частном случае для установления политики шифрования на основании коэффициента устройства используется база данных. Пример реализации базы данных представлен ниже.

Коэффициент устройства Политика шифрования для устройств
Kf>5 Полнодисковое шифрование всех разделов носителей данных устройства
Kf>4 Шифрование всех файлов на устройстве, за исключением исполняемых и библиотек компонентов
Kf>3 Шифрование конфиденциальных, секретных и всех текстовых документов и изображений
Kf>2 Шифрование конфиденциальных, секретных и всех текстовых документов
Kf>1 Шифрование конфиденциальных и секретных документов
Kf=1, Kf<1 Шифрование не применяется

В левом столбце указано значение коэффициента устройства, а справа - соответствующая политика. В другом частном случае база имеет вид, представленный ниже.

Элемент политики Коэффициент устройства
Полнодисковое шифрование Kf>5
Шифрование исполняемых файлов Kf>4
Шифрование изображений Kf>3
Шифрование текстовых документов Kf>2
Шифрование конфиденциальных документов Kf>1
Шифрование секретных документов Kf>1

В левом столбце представлены элементы политик, а в правом - значение коэффициента, при котором элемент включают в политику. Таким образом, политика будет собрана из элементов в соответствии с вычисленным коэффициентом. В первом примере политики жестко задаются, во втором случае формируются гибко. После установки политики шифрования устройства к устройству применяются эти политики шифрования.

Расчет по представленной методике иллюстрируется примером. Имеется некоторое мобильное устройство, принадлежащее топ-менеджеру, на котором хранятся конфиденциальные документы. Для расчета выбираются следующие критерии: мобильность (X1), наличие конфиденциальных документов (X2), должность пользователя устройства (X3). Определяются значения критериев X1=1 (устройство мобильно), X2=1 (устройство хранит конфиденциальные документы), X3=2 (устройство руководителя). Определяют коэффициент устройства:

Kf=X1*Kr1+X2*Kr2+X3*Kr3=1.1*1+2*1+0,5*2=4.1

На основании определенного коэффициента в соответствии с первой таблицей назначают политику шифрования, по которой будет осуществлено шифрование всех файлов на устройстве, за исключением исполняемых файлов и библиотек компонентов.

На Фиг.1 изображена система, реализующая описанный выше способ. Система включает устройства 100, к которым необходимо применить политики безопасности. Средство управления 101, установленное на сервере управления 102, имеет сетевое соединение с устройствами 100. Средство управления связано с базой данных 103, хранящей информацию о критериях, назначенных политиках безопасности и доступных лицензиях на программное обеспечение, и средством анализа 106. Средство анализа 106 выбирает критерии, значения которых необходимы для определения коэффициента устройства. Выбор происходит в частном случае путем извлечения этих критериев из текущих правил, установленных для назначения политик безопасности. Правила хранятся в базе данных 103 и в частном случае являются перечислением критериев. После выбора критериев средство анализа 106 передает критерии средству управления 101, средство управления 101 получает значения этих критериев для устройства 100, для получения критериев средство управления 101 обращается как к самому устройству 100, так и к базе данных 103. Используя полученные значения, средство управления 101 рассчитывает значение коэффициента устройства 100. Рассчитав коэффициент устройства для всех устройств, средство управления 101 передает значения коэффициента средству анализа 106. средство анализа 106, осуществляет сортировку устройств в соответствии с рассчитанным коэффициентом и сохраняет результаты в базе данных 103. Средство управления 101 получает доступные лицензии и назначенные политики безопасности и применяет их к устройствам 100, в порядке приоритета.

В частном случае средство анализа 106 разбирает назначенные политики безопасности на элементы, пример будет дан ниже, и определяет набор функционала программного обеспечения, который необходим для применения политики на устройстве. При применении политик, когда в порядке приоритета очередь дойдет до применения указанной политики, средство анализа 106 выберет из доступных лицензий ту, которая позволяет использовать весь необходимый набор функционала для применения политики. В частном случае, если не доступна лицензия, позволяющая применить политику полностью, будет подобрана лицензия, которая разрешает использование того объема функционала, который позволит применить политику максимально полно.

Далее приводится пример работы описанной системы. Имеется три устройства и заданные для них политики безопасности. Для применения политик шифрования на устройствах 100 установлены агенты управления 105. Имеются две лицензии: одна разрешает использовать полный функционал агентов, вторая ограничивает агенты управления 105 по функционалу и допускает лишь шифрование файлов.

Устройства и политики представлены ниже

Устройства Политики шифрования
1. Ноутбук Полнодисковое шифрование всех разделов носителей данных устройства
Пользователь: руководитель
Мобильность: да
Конфиденциальные данные: да
2. Стационарный ПК Шифрование конфиденциальных и секретных документов
Пользователь: специалист
Мобильность: нет
Конфиденциальные данные: да
3. Ноутбук Шифрование конфиденциальных и секретных документов
Пользователь: специалист
Мобильность: да
Конфиденциальные данные: да

Для расчета используются следующие критерии: мобильность (X1), наличие конфиденциальных документов (X2), должность пользователя устройства (X3). Определяются значения критериев X1=1 (устройство мобильно), X1=0 (устройство немобильно), X2=1 (устройство хранит конфиденциальные документы), X3=2 (устройство руководителя), X3=1 (устройство специалиста). Определяем коэффициент устройств:

Kf1=X1*Kr1+X2*Kr2+X3*Kr3=1.1*1+2*1+0,5*2=4.1

Kf2=X1*Kr1+X2*Kr2+X3*Kr3=1.1*0+2*1+0,5*1=2.5

Kf3=X1*Kr1+X2*Kr2+X3*Kr3=1.1*1+2*1+0,5*1=3.6

После определения значений коэффициентов средство анализа 106 осуществляет сортировку устройств в соответствии с рассчитанным коэффициентом и сохраняет результаты в базе данных 103. В результате наивысший приоритет имеет ноутбук руководителя, далее идет ноутбук специалиста, и самый низкий приоритет у стационарного ПК специалиста. В результате определения приоритета средство управления 101 применит политику шифрования к ноутбуку руководителя в первую очередь. Средство анализа 106 анализирует политику шифрования для этого устройства и определяет, что необходимо из доступных лицензий использовать полнофункциональную, допускающую полнодисковое шифрование. Для ноутбука специалиста будет использована оставшаяся лицензия. К стационарному ПК политики применены не будут по причине отсутствия доступных лицензий.

В частном случае средство анализа 103 передает политики шифрования средству управления 101, которое применяет назначенные политики к устройству 100. Для применения политик в частном случае используется агент управления 105, установленный на устройстве 100.

В частном случае описанная система используется для определения необходимого количества закупаемых лицензий на программное обеспечение, обеспечивающее шифрование устройств. Для этого вышеописанная система рассчитывает коэффициент устройств в сети и устанавливает политику шифрования для этих устройств. Средство анализа 106, анализируя установленные политики, определяет количество устройств, к которым необходимо применить шифрование, например количество таких устройств N, также определяется, к каким из этих устройств необходимо применить полнодисковое шифрование, например, таких устройств M, и файловое шифрование таких устройств будет N-M. В результате рекомендованное количество закупаемых лицензий N, из них M должны предоставлять возможность выполнять полнодисковое шифрование, a N-M лицензий позволяют применять файловое шифрование. Дополнительно предложенная система осуществляет повторный расчет для устройств в сети, например раз в месяц или при подключении к сети новых устройств. Подобный перерасчет позволяет поддерживать количество необходимых лицензий в актуальном состоянии.

Еще в одном частном случае описанная система осуществляет периодический перерасчет коэффициента устройства для устройств в сети и при изменении коэффициента устройства пересматривает приоритет применения политик безопасности.

Фиг.3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ применения политик безопасности к устройствам, в котором:а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств;б. получают значения критериев для каждого из устройств;в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства - числовое значение, вычисленное из полученных значений критериев для устройств;г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства;д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности;е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности;ж. применяют полученную политику безопасности к устройству на основании приоритета, определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству,при этом при недоступности лицензии, позволяющей применить политику полностью, выбир