背景

隨著計算機系統的職責在現代生活的所有方面中的擴展，維持計算機系統 的完整性已變為一個越來越重要的功能。同時，對計算機系統的威脅也已增長。 聯網計算機系統特別易受一心要盜取計算機系統的信息或中斷其操作的“病 毒”、“間諜軟件”和“黑客”造成的威脅的攻擊。

增加聯網計算機系統的完整性的一種方法是通過使用保護性軟件。要連接 到網絡的每一客戶機配備了能檢測并阻礙對聯網計算機系統的威脅的軟件。防 火墻、反病毒軟件和反間諜軟件的軟件是在網絡客戶機上廣泛使用的保護性軟 件的示例。這種保護性軟件的一個缺點是，為了成為完全有效，當產生新威脅 時，這類軟件必須被更新以解決這些新威脅。

為便于容易更新，保護性軟件通常包括保持關于該軟件能檢測或防止的威 脅的描述的數據文件。這些數據文件可以諸如通過從服務器下載描述新威脅的 新文件來容易地更新。然而，連接到網絡的每一客戶機的操作員必須采取動作 來保持客戶機更新到最新。操作員可直接采取動作，諸如通過周期性地下載新 數據文件。或者，操作員可將保護性軟件配置成自動下載新數據文件。有時候， 操作員沒有正確地更新、操作或配置保護性軟件，從而留下了漏洞。

因對保護性軟件的不正確使用而造成的漏洞有時通過“隔離”方法來解決。 如果試圖訪問網絡的客戶機沒有最新的保護性軟件，則它們可被拒絕訪問或被 “隔離”。隔離的客戶機可被給予足以允許計算機被“補救”的對網絡的有限 訪問，諸如從服務器下載對保護性軟件的更新。

發明概述

本發明涉及在網絡中的客戶機計算機之間共享更新信息。

在一方面，本發明涉及啟動第一客戶機和第二客戶機之間的通信。確定第 一客戶機和第二客戶機的相對更新狀態。基于該相對更新狀態，第一客戶機可 以向第二客戶機發送更新信息。

在另一方面，本發明涉及一種操作計算機系統的方法，其中第二客戶機與 第一客戶機進行關于其更新狀態的信息的通信。如果第二客戶機相對于第一客 戶機是過時的，則第二客戶機可從第一客戶機接收可被安裝在第二客戶機上的 更新信息。

在又一方面，本發明涉及具有控制客戶機的計算機可執行指令的計算機可 讀介質，這些指令在該客戶機中執行。該客戶機從第二客戶機接收更新狀態。 如果第二客戶機相對于第一客戶機是過時的，則第一客戶機傳遞更新信息。

以上是本發明的非限制概述，本發明由所附權利要求書來限定。

附圖簡述

附圖并不旨在按比例繪出。在附圖中，在各圖中示出的每一相同或幾乎相 同的組件由相同的標號來表示。為清楚起見，并非每一組件都在每一附圖中標 出。附圖中：

圖1是根據本發明的一個實施例的網絡的略圖；

圖2是在圖1的網絡中實現隔離強制實施策略的軟件的軟件框圖；

圖3是根據本發明的一個實施例在能夠執行對等補救的兩個客戶計算機 中使用的軟件的軟件框圖；以及

圖4是示出圖3所示的客戶計算機可用于建立通信的過程的流程圖。

詳細描述

通過增加系統補救因不包含或使用最新的軟件而造成對網絡的風險的客 戶機的能力來提高聯網計算機系統的完整性是合乎需要的。然而，保護等級的 任何增加不應對網絡或網絡用戶帶來不合理的負擔，并且應被容易地管理。如 以下所描述的，提供了一種改進的隔離管理系統，其中客戶計算機比較作為對 等通信的一部分的狀態和補救信息。

如此處所使用的，隔離強制實施策略指的是用于基于一客戶機上的軟件的 狀態(也稱為客戶機“健康狀況”)來確定該客戶機是否可被給予對網絡的訪 問的邏輯的實施。該策略可作為客戶機為被授予網絡訪問而必須滿足的一組準 則或規則被儲存在數據結構中。然而，可以使用定義隔離強制實施策略的任何 適當的方法。此外，隔離強制實施策略可以僅是更大的訪問控制策略的一部分。 因此，基于該隔離強制實施策略對網絡訪問的授予或拒絕的敘述并不排除客戶 機將出于其它原因而被拒絕或授予訪問的可能性。

圖1示出了可從在常規計算機系統中使用的設備構造的計算機系統100 的略圖。然而，計算機系統100與常規計算機系統的不同之處在于，計算機系 統100內的設備被編程為實現一改進的隔離管理系統，其中客戶機可以在“對 等”通信中交換補救信息。