技術領域

本發明涉及一種改進的數據處理系統，并且特別地，涉及一種用于計算機安全的方法和裝置。

背景技術

計算機安全工具提供了用于限制惡意用戶對計算機系統造成傷害的能力的防御機制。基于軟件的入侵檢測應用可以警告計算機管理員可疑活動，以便管理員可以采取措施來跟蹤可疑計算機活動以及修改計算機系統和網絡以防止泄密(security?breach)。

然而，計算機系統的很多泄密都是經由致使計算機系統在物理上易受攻擊的人們的忽視或疏忽而發生的，因為它們在物理上可用于未授權的使用。例如，用戶可能在離開吃午飯的時候仍然登錄到計算機工作站，并且該用戶的辦公室中無人管理的計算機對未授權人員的使用是開放的。即使用戶的賬戶或設備在特定的不活動時期之后可以自動注銷，但未授權人員仍然有一段時間可以訪問該用戶的賬戶用于惡意活動。類似的情況要求對易受攻擊的設備的更好的物理控制。

除了對無人管理設備堅持更好的安全實踐之外，還有很多其中可以改進管理設備上的安全實踐的情況，即，某人現行使用的計算資源仍然需要免受未授權使用或觀察。例如，一些組織，特別是政府機構和軍事部門，對人員實現各種類型的安全過程。單個組織內的不同個體具有不同的職責，并且依照那些個體的職責給予相同組織內的個體各種級別的安全許可證或各種類型的有區別的安全訪問。在很多情況下，相同組織單元內的兩個人可能并不被授權查看其各自處理的信息。這些組織可以在反映了應用于不同人員的安全過程的計算機系統上實現不同的安全過程；例如，每個人都僅被授權訪問對于其特定工作來說必要的計算資源。

盡管計算機系統的很多泄密都是經由致使計算機系統在物理上易受攻擊的人們的忽視或疏忽而發生的，然而，很多泄密發生在人們通過危險的計算活動致使那些計算機系統在計算上易受攻擊的時候。這些危險的計算活動增加了計算機將遭受惡意攻擊或計算機病毒侵染的機會。很多危險的計算活動是故意進行的。在一些情況下，危險的計算活動是以授權的方式故意進行的，而不幸的是，在很多其它的情況下，危險的計算活動是以未授權的、疏忽或魯莽的方式故意進行的。

舉例來說，某人可能經常在沒有有效防火墻的情況下操作計算機。即使可以自動實現某些安全過程來防止這樣的情況，但是某人可能需要不受特定計算安全防御妨礙的專門配置的計算機。在一些情況下，職員為了實現特定的工作任務，職員可能要求特定的計算機配置，例如，無效的或禁用的防火墻。因此，該人可以在沒有有效防火墻的情況下以授權方式操作計算機。但是，在其它情況下，某人可能經常禁用防火墻，以便非法下載音樂或視頻內容(其可能是會被防火墻阻止的一些活動)。因此，該人可以在沒有有效防火墻的情況下以未授權方式操作計算機。此外，計算機還可以因未能檢查到下載文件的病毒而導致易受攻擊。

即使某人可以以未授權方式有效地阻礙(thwart)計算機安全防御機制，但對于某些人的計算活動，仍然可能存在容許某些計算機漏洞的合法原因。在這類情況下，如以上所指出的，組織可以在反映了應用于不同人員的安全過程的計算機系統上實現不同的安全過程。然而，一個人的計算活動可能致使另一個人的計算活動易受侵害，因為大多數計算機操作于聯網數據處理系統內，并且很多惡意的漏洞，例如，病毒，可以通過網絡連接從計算機傳播到計算機。

因此，需要確保聯網計算環境內一個用戶的活動并不危及另一用戶的活動。更具體而言，需要確保第一用戶(不管是授權的還是未授權的)所容許的計算漏洞并不會向聯網的計算環境引入問題，特別是在計算漏洞可以傳播到正積極地試圖保護自己免于計算漏洞的第二用戶的計算機的那些情況下。

因此，通過這樣的方式來改進數據處理系統上的計算安全會是有利的，即允許計算機安全過程相對于不同用戶繼續以靈活的方式實現，而又確保相對于一個用戶實現或激活的計算機安全過程并不導致對于另一個用戶的計算漏洞。

發明內容

提出了一種用于使得數據處理系統中的計算資源安全的方法、系統、裝置或計算機程序產品。第一用戶使用第一計算設備，并且用戶安全級別與所述第一用戶相關聯。同樣地，第二用戶使用第二計算設備，并且用戶安全級別與所述第二用戶相關聯。基于所述第二用戶的第二用戶安全級別，自動地重新配置所述第一計算設備上的計算資源。可以向所述第一計算設備上的計算資源分派計算安全級別，并且響應于所述第二用戶正在使用的第二計算設備的檢測到的網絡活動，動態地調整所述計算安全級別。基于所調整的計算安全級別，重新配置用于重新配置所述第一計算設備上的計算資源的修改的安全相關參數。