專利名稱:自適應(yīng)數(shù)據(jù)丟失防護(hù)策略的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及數(shù)據(jù)丟失防護(hù)領(lǐng)域,并且更具體而言,涉及基于用戶行為來調(diào)
節(jié)數(shù)據(jù)丟失防護(hù)策略。
背景技術(shù):
現(xiàn)代組織機(jī)構(gòu)的雇員常??梢允褂冒ㄓ嘘P(guān)組織機(jī)構(gòu)的各個(gè)重要商業(yè)方面的信 息的文件。該信息可能包括有關(guān)客戶(或病人)、合同、交貨、供貨、雇員、制造等的數(shù)據(jù)。傳 統(tǒng)的安全技術(shù)通常在數(shù)據(jù)離開端點(diǎn)系統(tǒng)時(shí)掃描數(shù)據(jù),并且基于防止敏感信息丟失的靜態(tài)數(shù) 據(jù)丟失防護(hù)(DLP)策略來執(zhí)行預(yù)定的動(dòng)作。在傳統(tǒng)的安全技術(shù)中,給定特定的用戶、信息項(xiàng) 和所嘗試的用戶操作,將總是執(zhí)行相同的預(yù)定動(dòng)作。這要求管理員在建立安全系統(tǒng)時(shí),決定 是有高限制性的DLP策略還是低限制性的DLP策略。高限制性的策略以消耗大量系統(tǒng)資源 并且有可能防止用戶執(zhí)行(引起假陽性的)合法操作為代價(jià),使得數(shù)據(jù)更安全。較少限制 性策略使用較少的資源并且引起較少的假陽性,但是提供不那么安全的環(huán)境。傳統(tǒng)的安全 技術(shù)不能夠基于用戶的行為來動(dòng)態(tài)地改變動(dòng)作和DLP策略(例如,增加或減少保護(hù))。
發(fā)明內(nèi)容
在數(shù)據(jù)丟失防護(hù)系統(tǒng)中,監(jiān)控應(yīng)用程序在計(jì)算裝置上檢測策略違規(guī)。通過以下步 驟可以檢測到策略違規(guī)檢測執(zhí)行從計(jì)算裝置移出數(shù)據(jù)的操作的用戶嘗試,掃描數(shù)據(jù)來確 定數(shù)據(jù)包括敏感信息,并且確定用戶未被授權(quán)執(zhí)行操作。響應(yīng)于被檢測到的策略違規(guī),監(jiān)控 應(yīng)用程序判斷在計(jì)算裝置和/或通過用戶是否已經(jīng)發(fā)生一個(gè)或多個(gè)在前策略違規(guī)。監(jiān)控應(yīng) 用程序基于這一個(gè)或多個(gè)在前策略違規(guī)來執(zhí)行最小化數(shù)據(jù)丟失風(fēng)險(xiǎn)的動(dòng)作。
從以下給出的詳細(xì)描述和本發(fā)明各種實(shí)施例的附圖將更充分地理解本發(fā)明。
圖1A圖示出根據(jù)本發(fā)明一個(gè)實(shí)施例的示出數(shù)據(jù)可以通過其離開計(jì)算裝置的多個(gè) 可能的數(shù)據(jù)丟失途徑(vector)的示例性系統(tǒng)體系架構(gòu)。 圖IB是本發(fā)明的實(shí)施例可以在其中進(jìn)行操作的示例系統(tǒng)體系架構(gòu)的框圖。 圖1C圖示出根據(jù)本發(fā)明一個(gè)實(shí)施例的動(dòng)態(tài)DLP策略違規(guī)響應(yīng)表。 圖2是圖示出用于防止計(jì)算裝置丟失數(shù)據(jù)的方法的一個(gè)示例的流程圖。 圖3是可以執(zhí)行這里所描述的操作中的一個(gè)或多個(gè)的示例性計(jì)算機(jī)系統(tǒng)的框圖。
具體實(shí)施例方式
這里描述一種使用自適應(yīng)數(shù)據(jù)丟失防護(hù)策略和/或自適應(yīng)數(shù)據(jù)丟失響應(yīng)規(guī)則來
防止數(shù)據(jù)丟失的系統(tǒng)和方法。在以下描述中,闡述大量細(xì)節(jié)。然而,對(duì)于受益于本公開的本 領(lǐng)域普通技術(shù)人員顯而易見的是,可以在沒有這些具體細(xì)節(jié)的情況下實(shí)行本發(fā)明。在某些 實(shí)例中,以框圖形式而不是詳細(xì)地示出公知的結(jié)構(gòu)和裝置,以免使本發(fā)明模糊不清。
以下詳細(xì)描述的某些部分以對(duì)計(jì)算機(jī)存儲(chǔ)器內(nèi)的數(shù)據(jù)比特的運(yùn)算的算法和符號(hào) 表示法來表示的。這些算法描述和表示是本數(shù)據(jù)處理領(lǐng)域中的技術(shù)人員用來向本領(lǐng)域其它 技術(shù)人員最有效地傳達(dá)他們的工作的實(shí)質(zhì)的手段。這里的算法一般被認(rèn)為是導(dǎo)致所希望的 結(jié)果的一系列自洽步驟。這些步驟是需要物理量的物理操控的步驟。盡管不是必須如此,但 是通常情況下,這些量采用能夠被存儲(chǔ)、傳送、組合、比較或以其他方式被操控的電信號(hào)或 磁信號(hào)的形式。已經(jīng)證實(shí),主要由于公共使用的原因,有時(shí)將這些信號(hào)稱為比特、值、元素、 符號(hào)、字符、術(shù)語、數(shù)字等是方便的。 然而,在腦海里應(yīng)當(dāng)記住,所有這些以及類似的術(shù)語要與恰當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)并 且僅僅是適用于這些量的方便標(biāo)簽。除非特別指明或以其他方式可從以下討論中顯而易 見,應(yīng)當(dāng)明白,貫穿整個(gè)說明書,利用諸如"處理"、"檢測"、"計(jì)算"、"確定"、"執(zhí)行"等的術(shù)語 的討論是指計(jì)算機(jī)系統(tǒng)或類似的電子計(jì)算裝置的動(dòng)作和處理,計(jì)算機(jī)系統(tǒng)或類似的電子計(jì) 算裝置操控被表示為計(jì)算機(jī)系統(tǒng)的寄存器和存儲(chǔ)器中的物理(例如,電子)量的數(shù)據(jù)并且 將它們變換成被類似地表示為計(jì)算機(jī)系統(tǒng)存儲(chǔ)器或寄存器或其它這樣的信息存儲(chǔ)、發(fā)送或 顯示裝置內(nèi)的物理量的其它數(shù)據(jù)。 本發(fā)明涉及一種用于執(zhí)行這里的操作的設(shè)備。該設(shè)備可以被專門構(gòu)建用于所要求 的目的,或其可以包括被計(jì)算機(jī)中所存儲(chǔ)的計(jì)算機(jī)程序有選擇地激活或重新配置的通用計(jì) 算機(jī)。這樣的計(jì)算機(jī)程序可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,例如但不限于是包括軟盤、光 盤、CD-ROM和磁-光盤、只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM) 、 EPR0M、 EEPR0M、磁卡或 光卡的任何類型的盤,或適用于存儲(chǔ)電子指令的任何類型的介質(zhì)。 圖1A圖示出根據(jù)本發(fā)明一個(gè)實(shí)施例的示出數(shù)據(jù)可以通過其離開計(jì)算裝置102的 多個(gè)可能的數(shù)據(jù)丟失途徑的示例性系統(tǒng)體系架構(gòu)100。計(jì)算裝置102可以是個(gè)人計(jì)算機(jī) (PC)、膝上型計(jì)算機(jī)、移動(dòng)電話、服務(wù)器或任何其它計(jì)算裝置。計(jì)算裝置102具有多個(gè)不同 的數(shù)據(jù)丟失途徑。每個(gè)數(shù)據(jù)丟失途徑是一條可以通過其從計(jì)算裝置轉(zhuǎn)移出數(shù)據(jù)的路徑。數(shù) 據(jù)丟失途徑的示例包括將文件刻錄到光盤118上,將數(shù)據(jù)拷貝到便攜式驅(qū)動(dòng)器120(例如, 諸如拇指驅(qū)動(dòng)器之類的便攜式通用串行總線(USB)驅(qū)動(dòng)器或便攜式IEEE 1394(Firewire) 硬驅(qū)),將數(shù)據(jù)打印至打印機(jī)116,通過傳真機(jī)117發(fā)送數(shù)據(jù)等。許多數(shù)據(jù)丟失途徑將數(shù)據(jù) 放到公共網(wǎng)絡(luò)104上并且/或通過公共網(wǎng)絡(luò)104移動(dòng)數(shù)據(jù)??梢酝ㄟ^公共網(wǎng)絡(luò)104移動(dòng)數(shù) 據(jù)的數(shù)據(jù)丟失途徑的示例包括網(wǎng)頁瀏覽器108、文件傳輸協(xié)議(FTP)110、電子郵件112、即 時(shí)消息114等。計(jì)算裝置102還可以包括這里沒有提及的另外的數(shù)據(jù)丟失途徑。
計(jì)算裝置102包括用于監(jiān)控?cái)?shù)據(jù)丟失途徑以確保敏感(例如,保密)信息不會(huì)因 為非法目的離開計(jì)算裝置102的監(jiān)控應(yīng)用程序106。在一個(gè)實(shí)施例中,監(jiān)控應(yīng)用程序106在 其移動(dòng)經(jīng)過數(shù)據(jù)丟失途徑時(shí)掃描數(shù)據(jù)。如果監(jiān)控應(yīng)用程序106確定數(shù)據(jù)包括敏感數(shù)據(jù),則 之后監(jiān)控應(yīng)用程序106可以執(zhí)行用來保護(hù)敏感信息的安全的一個(gè)或多個(gè)動(dòng)作。動(dòng)作的示例 包括向管理員發(fā)送通知,防止數(shù)據(jù)通過數(shù)據(jù)丟失途徑離開計(jì)算裝置102,鎖定計(jì)算機(jī)使得沒 有數(shù)據(jù)可以通過任何數(shù)據(jù)丟失途徑被從計(jì)算裝置102移出,在數(shù)據(jù)被從計(jì)算裝置102移出 時(shí)對(duì)數(shù)據(jù)進(jìn)行加密,等等。在一個(gè)實(shí)施例中,監(jiān)控應(yīng)用程序106基于自適應(yīng)DLP策略來動(dòng)態(tài) 地確定要采取什么動(dòng)作。自適應(yīng)DLP策略可以基于計(jì)算裝置的用戶的行為來觸發(fā)不同的響 應(yīng)規(guī)則。以下,參考圖1B更詳細(xì)地描述自適應(yīng)DLP策略。 圖1B是本發(fā)明的實(shí)施例可以進(jìn)行操作的示例性系統(tǒng)體系架構(gòu)125的框圖。在一
5個(gè)實(shí)施例中,系統(tǒng)體系架構(gòu)125對(duì)應(yīng)于圖1A的系統(tǒng)體系架構(gòu)100。系統(tǒng)體系架構(gòu)125包括 計(jì)算裝置130和數(shù)據(jù)倉庫135。計(jì)算裝置130運(yùn)行管理計(jì)算裝置130的硬件和軟件的操作 系統(tǒng)(OS) 。 OS例如可以是Micr0S0ft⑧Windows 0S、 Li皿x、 Mac 0S、 Solaris等。一 個(gè)或多個(gè)應(yīng)用程序145在OS的頂層運(yùn)行并且執(zhí)行涉及存取、移動(dòng)或以其他方式操控?cái)?shù)據(jù)倉 庫135中所駐留的數(shù)據(jù)180的各種操作。例如,應(yīng)用程序145可以包括CD或DVD刻錄應(yīng)用 程序、電子郵件應(yīng)用程序、網(wǎng)頁瀏覽器、即時(shí)消息應(yīng)用程序、打印應(yīng)用程序等等。在一個(gè)實(shí)施 例中,應(yīng)用程序145響應(yīng)于接收到用戶指令而執(zhí)行這些操作。 數(shù)據(jù)倉庫135可以是硬盤驅(qū)動(dòng)器、磁帶備份、光驅(qū)、易失性存儲(chǔ)器(例如,隨機(jī)存 取存儲(chǔ)器(RAM))或其它存儲(chǔ)裝置。數(shù)據(jù)倉庫135可以是在計(jì)算裝置130內(nèi)部或計(jì)算裝置 130外部。在一個(gè)實(shí)施例中,數(shù)據(jù)倉庫135是諸如存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)和網(wǎng)絡(luò)附加存儲(chǔ)裝置 (NAS)之類的網(wǎng)絡(luò)存儲(chǔ)裝置。在另一實(shí)施例中,數(shù)據(jù)倉庫135是諸如關(guān)系數(shù)據(jù)庫之類的數(shù)據(jù) 庫。數(shù)據(jù)倉庫135可以包含包括敏感信息的數(shù)據(jù)180。數(shù)據(jù)180可以包括文件、表格或其它 數(shù)據(jù)格式。敏感信息的示例包括社會(huì)安全號(hào)、信用卡號(hào)、銀行賬戶號(hào)、電話號(hào)碼、地址等等。
在一個(gè)實(shí)施例中,計(jì)算裝置130容納監(jiān)控應(yīng)用程序145和/或數(shù)據(jù)180的監(jiān)控應(yīng) 用程序140,并且在預(yù)定的標(biāo)準(zhǔn)被觀測到時(shí)執(zhí)行動(dòng)作。監(jiān)控應(yīng)用程序140還可以監(jiān)測計(jì)算裝 置130的某些或所有數(shù)據(jù)丟失途徑,并且可以監(jiān)控用戶行為(例如,用戶在計(jì)算裝置130上 發(fā)起的操作)。在一個(gè)實(shí)施例中,監(jiān)控應(yīng)用程序140包括策略違規(guī)檢測器150、策略違規(guī)記 錄器155和策略違規(guī)響應(yīng)器160。 策略違規(guī)檢測器150可以監(jiān)控?cái)?shù)據(jù)丟失途徑、應(yīng)用程序145、數(shù)據(jù)180等來檢測試 圖從計(jì)算裝置130移出(例如,拷貝或轉(zhuǎn)移)數(shù)據(jù)的操作。在一個(gè)實(shí)施例中,策略違規(guī)檢 測器150監(jiān)控計(jì)算裝置130的用戶所采取的動(dòng)作以檢測可能涉及潛在的數(shù)據(jù)誤用的用戶 請(qǐng)求的操作。用戶發(fā)起的操作例如可以包括存儲(chǔ)或存取計(jì)算裝置130的任何存儲(chǔ)裝置上 的受限數(shù)據(jù)庫數(shù)據(jù),在應(yīng)用程序中使用受限數(shù)據(jù)庫數(shù)據(jù),打印保密數(shù)據(jù)、在網(wǎng)絡(luò)通信協(xié)議中 使用保密數(shù)據(jù)等等。在一個(gè)實(shí)施例中,策略違規(guī)檢測器150解析并且搜索要被存取或保存 到計(jì)算裝置130可用的任何存儲(chǔ)系統(tǒng)上,或使用各種應(yīng)用層協(xié)議(例如,簡單郵件傳輸協(xié) 議(SMTP)、超文本傳輸協(xié)議(HTTP) 、 FPT、 A0L即時(shí)消息器(AM) 、 ICQ、簡單對(duì)象訪問協(xié)議 (S0AP)等)傳送的內(nèi)容。在另一實(shí)施例中,策略違規(guī)檢測器150通過截取和解釋在用戶和 計(jì)算裝置130之間交換的數(shù)據(jù)來監(jiān)控用戶動(dòng)作。策略違規(guī)檢測器150還可以包括過濾器驅(qū) 動(dòng)(未示出),過濾器驅(qū)動(dòng)用作0S中能夠(例如,通過截取針對(duì)處理創(chuàng)建的OS調(diào)用)確定 哪些應(yīng)用程序145開始執(zhí)行并且看見執(zhí)行應(yīng)用程序145的1/0請(qǐng)求(例如,使用文件系統(tǒng) 鉤子來看見系統(tǒng)上的所有文件I/0并且接收I/0請(qǐng)求分組(IRP))的部分。
在檢測到將從計(jì)算裝置130移出數(shù)據(jù)的操作后,策略違規(guī)檢測器110分析操作來 判斷其是否違背數(shù)據(jù)丟失防護(hù)(DLP)策略。操作的示例包括經(jīng)由FTP或其它傳輸協(xié)議來傳 送數(shù)據(jù)180、打印數(shù)據(jù)、將文件刻錄到光盤等等。在一個(gè)實(shí)施例中,操作與一個(gè)或多個(gè)數(shù)據(jù)丟 失途徑相關(guān)聯(lián)。 DLP策略165包括可以指示數(shù)據(jù)丟失的風(fēng)險(xiǎn)增加的標(biāo)準(zhǔn)。如果滿足DLP策略165 中所包括的一個(gè)或多個(gè)標(biāo)準(zhǔn),則違背DLP策略165。標(biāo)準(zhǔn)的示例包括用戶狀況(例如,用戶 是否有存取數(shù)據(jù)的特權(quán))、文件位置(例如,所要拷貝的文件是否存儲(chǔ)在保密數(shù)據(jù)庫中)、文 件內(nèi)容(例如,文件是否包括敏感信息)、時(shí)間(例如,所請(qǐng)求的操作是否是在正常的營業(yè)時(shí)間期間被請(qǐng)求的)、數(shù)據(jù)丟失途徑、嘗試操作的應(yīng)用程序等等。如果策略違規(guī)檢測器150 確定所請(qǐng)求的從計(jì)算裝置130通過數(shù)據(jù)丟失途徑移出數(shù)據(jù)的操作不滿足DLP策略165的標(biāo) 準(zhǔn)(例如,如果要打印的數(shù)據(jù)不包含敏感信息),則之后沒有策略違規(guī)被檢測到并且沒有動(dòng) 作會(huì)被執(zhí)行。如果策略違規(guī)檢測器150確定所請(qǐng)求的操作不滿足活動(dòng)的/使能的DLP策略 的標(biāo)準(zhǔn)(例如,如果未被授權(quán)的用戶嘗試將包括保密信息的數(shù)據(jù)刻錄到CD),則策略違規(guī)被 檢測到并且策略違規(guī)檢測器150向策略違規(guī)響應(yīng)器160和/或策略違規(guī)記錄器155通知策 略違規(guī)。例如,如果用戶嘗試從特定數(shù)據(jù)庫將包括保密信息的數(shù)據(jù)拷貝到附加到計(jì)算裝置 130的便攜式驅(qū)動(dòng)器,則違背示例DLP策略165。例如,如果用戶嘗試將包括信用卡號(hào)的任 何數(shù)據(jù)刻錄到光盤上,則可能違背示例DLP策略165。 策略違規(guī)記錄器155可以維護(hù)計(jì)算裝置130上發(fā)生的和/或已被特定用戶嘗試過 的某些或所有策略違規(guī)的策略違規(guī)記錄170。例如可以基于用戶注冊(cè)來識(shí)別用戶。除了標(biāo) 識(shí)被違背的DLP策略以外,策略違規(guī)記錄170中的每個(gè)條目還可以指示策略違規(guī)的情況。例 如,策略違規(guī)記錄170可以與策略違規(guī)相關(guān)聯(lián)地標(biāo)識(shí)應(yīng)用程序145、用戶、數(shù)據(jù)丟失途徑、敏 感數(shù)據(jù)的類型(例如,社會(huì)安全號(hào)、信用卡號(hào)等)等。策略違規(guī)記錄170還可以包括示出何 時(shí)發(fā)生策略違規(guī)的時(shí)間戳。 在一個(gè)實(shí)施例中,策略違規(guī)記錄170可以被用作數(shù)據(jù)丟失威脅指示符。隨著更多 的策略違規(guī)被記錄和/或更惡劣的策略違規(guī)被檢測到,數(shù)據(jù)基于特定用戶和/或計(jì)算裝置 130的動(dòng)作可能丟失的威脅可能增大。威脅評(píng)估例如可以基于策略違規(guī)的數(shù)目、每個(gè)策略違 規(guī)中所涉及的敏感數(shù)據(jù)的量、與策略違規(guī)相關(guān)聯(lián)的數(shù)據(jù)丟失途徑等等。在威脅級(jí)別增加時(shí), 通常不活動(dòng)的附加DLP策略可能被激活,并且/或者,策略違規(guī)響應(yīng)可能隨著威脅級(jí)別增加 而改變。 如果若干時(shí)間沒有發(fā)生策略違背,則之后可以從策略違規(guī)記錄中自動(dòng)檢測超過年 齡閾值(例如,比1天、1周、1月更舊的策略違規(guī)條目)的策略違規(guī),從而降低所指示的威 脅級(jí)別??商鎿Q地,在沒有管理員授權(quán)的情況下,可以不檢測策略違規(guī),并且不降低威脅級(jí) 別。在一個(gè)實(shí)施例中,超過年齡閾值的策略違規(guī)被自動(dòng)移除,除非威脅級(jí)別已經(jīng)逐漸上升到 預(yù)定的威脅級(jí)別(例如,中威脅、高威脅等)。 在一個(gè)實(shí)施例中,策略違規(guī)記錄器155維護(hù)所具有的條目比策略違規(guī)記錄170的 條目更相關(guān)的輔助策略違規(guī)記錄(未示出)。在這樣的實(shí)施例中,可以基于策略違規(guī)記錄 170和輔助策略違規(guī)記錄的結(jié)合來確定威脅評(píng)估。例如,如果用戶在策略違規(guī)記錄170中有 單個(gè)策略違規(guī)并且在輔助策略違規(guī)記錄中沒有附加策略違規(guī)(例如,在輔助策略違規(guī)記錄 中為僅同一單個(gè)策略違規(guī)的拷貝),則可以評(píng)估為低安全威脅。然而,如果用戶有在策略違 規(guī)記錄170中有同一單個(gè)策略違規(guī)而在輔助策略違規(guī)記錄中有多個(gè)附加策略違規(guī)(例如, 要從策略違規(guī)記錄170移除的在過去足夠長的時(shí)間發(fā)生的策略違規(guī)),則可以評(píng)估為中或 高威脅級(jí)別。 策略違規(guī)響應(yīng)器160包括多個(gè)DLP響應(yīng)規(guī)則175。每個(gè)DLP響應(yīng)規(guī)則175與一個(gè) 或多個(gè)DLP策略165相關(guān)聯(lián)并且包括策略違規(guī)響應(yīng)器160響應(yīng)于相關(guān)聯(lián)的DLP策略165的 違規(guī)而采取的一個(gè)或多個(gè)動(dòng)作。在DLP策略165的違規(guī)被策略違規(guī)檢測器150發(fā)現(xiàn)后,策 略違規(guī)響應(yīng)器160判斷哪些DLP響應(yīng)規(guī)則與所關(guān)聯(lián)的DLP策略165相關(guān)聯(lián)。策略違規(guī)響應(yīng) 器160還判斷哪些DLP響應(yīng)規(guī)則(如果有的話)對(duì)應(yīng)于策略違規(guī)記錄170中所包括的策略
7違規(guī)。然后可以執(zhí)行與DLP策略165相關(guān)聯(lián)并且對(duì)應(yīng)于策略違規(guī)記錄170中的條目的DLP 響應(yīng)規(guī)則175中所包括的一個(gè)或多個(gè)動(dòng)作。因此,策略違規(guī)響應(yīng)器160可以基于當(dāng)前的策 略違規(guī)和策略違規(guī)記錄170(例如,基于當(dāng)前的策略違規(guī)和從策略違規(guī)記錄170確定的當(dāng)前 的威脅級(jí)別)來確定要采取哪些動(dòng)作來響應(yīng)DLP策略違規(guī)。 例如,如果策略違規(guī)記錄170沒有在前策略違規(guī),則策略違規(guī)響應(yīng)器160可以響應(yīng) 于策略違規(guī)不采取動(dòng)作??商鎿Q地,策略違規(guī)響應(yīng)器160可以在讓數(shù)據(jù)180通過數(shù)據(jù)丟失 途徑離開計(jì)算裝置130之前進(jìn)行諸如對(duì)數(shù)據(jù)180進(jìn)行加密之類的小動(dòng)作。如果策略違規(guī)記 錄170包括一個(gè)或多個(gè)在前策略違規(guī),則策略違規(guī)響應(yīng)器160可以觸發(fā)可以防止或限制所 嘗試的操作的一個(gè)或多個(gè)動(dòng)作。例如,策略違規(guī)響應(yīng)器160可以使得對(duì)數(shù)據(jù)180的存取被 鎖定。策略違規(guī)響應(yīng)器160還可以采取諸如向管理員發(fā)送策略違規(guī)報(bào)告之類的附加動(dòng)作。 策略違規(guī)記錄170所指示的策略違規(guī)越靠前(因此,數(shù)據(jù)丟失的威脅級(jí)別越高),策略違規(guī) 響應(yīng)器160所采取的動(dòng)作可能約嚴(yán)格。例如,如果已經(jīng)檢測到多個(gè)用戶嘗試從計(jì)算裝置130 移出保密信息,則計(jì)算裝置可能被鎖定。 圖1C圖示出根據(jù)本發(fā)明一個(gè)實(shí)施例的示例動(dòng)態(tài)DLP策略違規(guī)響應(yīng)表格180。動(dòng)態(tài) DLP策略違規(guī)響應(yīng)表格180包括包括DLP策略的第一列,包括在前策略違規(guī)的第二列和包 括響應(yīng)動(dòng)作的第三列。在一個(gè)實(shí)施例中,DLP策略、在前策略違規(guī)和響應(yīng)動(dòng)作的組合構(gòu)成響 應(yīng)規(guī)則。動(dòng)態(tài)DLP策略違規(guī)響應(yīng)表格180示出根據(jù)已發(fā)生什么在前策略違規(guī),響應(yīng)于同一 DLP策略違規(guī)可以采取不同的動(dòng)作。 在動(dòng)態(tài)DLP策略違規(guī)響應(yīng)表格180中,第一DLP策略(策略1)與三種不同的可能 的動(dòng)作相關(guān)聯(lián)A、B和C。如果策略1當(dāng)前被違背并且策略1之前已經(jīng)被違背至少一次,則 執(zhí)行第一動(dòng)作(動(dòng)作A)。如果策略1當(dāng)前被違背并且策略2和3之前被違背過,策略2在 策略3之前被違背,則執(zhí)行動(dòng)作B。如果策略1當(dāng)前被違背,并且策略2和3之前被違背過, 策略3在策略2之前被違背,則執(zhí)行動(dòng)作C。如響應(yīng)表格180中所示,在前策略違背發(fā)生的 次序可能影響響應(yīng)于當(dāng)前的策略違規(guī)執(zhí)行什么動(dòng)作。例如,如果用戶之前嘗試用電子郵件 將數(shù)據(jù)發(fā)送給同事并且之后將數(shù)據(jù)拷貝到USB驅(qū)動(dòng)器,與如果用戶首先嘗試將數(shù)據(jù)拷貝到 USB驅(qū)動(dòng)器然后嘗試用電子郵件將數(shù)據(jù)發(fā)送給同事,會(huì)采取不同的動(dòng)作。
在動(dòng)態(tài)DLP策略違規(guī)響應(yīng)表格180中,第二DLP策略(策略2)與兩種不同的可能 的動(dòng)作相關(guān)聯(lián)D和E。如果策略2當(dāng)前被違背,并且沒有發(fā)生在前策略違背,則執(zhí)行動(dòng)作D。 如果策略2當(dāng)前被違背,并且策略1之前被違背過,則執(zhí)行動(dòng)作E。 第三DLP策略(策略3)與兩種不同的可能的動(dòng)作相關(guān)聯(lián)F和G。如果策略3當(dāng) 前被違背,并且策略1之前被違背過兩次,則執(zhí)行動(dòng)作F。如果策略3當(dāng)前被違背,并且策略 1和策略2之前被違背過,則執(zhí)行動(dòng)作G。如關(guān)于動(dòng)作G所示,對(duì)于某些動(dòng)作,在前策略違規(guī) 發(fā)生的次序是無關(guān)緊要的。 示例響應(yīng)表格180還包括DLP策略4和DLP策略5,DLP策略4和DLP策略5的每 一個(gè)與單個(gè)的動(dòng)作(分別與動(dòng)作H和動(dòng)作I)相關(guān)聯(lián)。如果策略4當(dāng)前被違背并且策略1 和策略3中的一個(gè)或兩者之前被違背過,則執(zhí)行動(dòng)作H。如果策略5當(dāng)前被違背,并且策略 1至5中任何策略之前被違背過,則執(zhí)行動(dòng)作I。 示例響應(yīng)表格180為了城區(qū)本發(fā)明的實(shí)施例的目的而圖示出了某些可能的DLP響 應(yīng)規(guī)則。然而,還可以設(shè)想到示例響應(yīng)表格180中未示出的附加響應(yīng)規(guī)則。
圖2是圖示出防止計(jì)算裝置丟失數(shù)據(jù)的方法200的一個(gè)實(shí)施例的流程圖。方法 200由處理邏輯執(zhí)行,所述處理邏輯可以包括硬件(電路、專用邏輯等)、(例如通用計(jì)算機(jī) 系統(tǒng)或?qū)S脵C(jī)器上運(yùn)行的)軟件或兩者的組合。方法200可以通過諸如運(yùn)行在圖IB的計(jì) 算裝置130上的監(jiān)控應(yīng)用程序140之類的監(jiān)控應(yīng)用程序執(zhí)行。 參考圖2,在塊205,監(jiān)控應(yīng)用程序檢測執(zhí)行從計(jì)算裝置移出數(shù)據(jù)的操作的用戶嘗 試。操作可以是將數(shù)據(jù)刻錄到光盤、將數(shù)據(jù)經(jīng)由諸如FTP之類的傳輸協(xié)議傳送到網(wǎng)絡(luò)位置、 用電子郵件發(fā)送數(shù)據(jù)、將數(shù)據(jù)拷貝到便攜式裝置、打印數(shù)據(jù)等的操作。 在塊210,監(jiān)控應(yīng)用程序掃描數(shù)據(jù)來判斷數(shù)據(jù)是否包括敏感信息??商鎿Q地,可以 以為數(shù)據(jù)包括敏感信息而不掃描數(shù)據(jù)。例如,如果數(shù)據(jù)被存儲(chǔ)在諸如信用卡號(hào)的數(shù)據(jù)庫之 類的存儲(chǔ)敏感信息的位置,則可以以為數(shù)據(jù)包括敏感信息。在塊215,如果數(shù)據(jù)包括敏感信 息,則方法繼續(xù)到塊220。如果數(shù)據(jù)不包括敏感信息,則方法結(jié)束。 在塊220,監(jiān)控應(yīng)用程序判斷用戶是否被授權(quán)執(zhí)行所請(qǐng)求的操作。例如,信用卡賬 戶經(jīng)理可能被授權(quán)執(zhí)行有關(guān)包含信用卡號(hào)的數(shù)據(jù)的某些動(dòng)作,而銷售代表可能未被授權(quán)執(zhí) 行這些相同的動(dòng)作。如果監(jiān)控應(yīng)用程序判定用戶未被授權(quán)執(zhí)行所請(qǐng)求的操作,則方法繼續(xù) 到塊225。否則,方法結(jié)束。 在塊225,監(jiān)控應(yīng)用程序確定已被違背的DLP策略。該DLP策略可以是覆蓋對(duì)任何 保密數(shù)據(jù)執(zhí)行的未被授權(quán)的操作的通用策略??商鎿Q地,該DLP策略可以是例如覆蓋特定 操作(例如,保密數(shù)據(jù)的電子郵件發(fā)送)、特定數(shù)據(jù)源(例如,保密數(shù)據(jù)庫)和/或特定用戶 類的較窄的策略。在一個(gè)實(shí)施例中,多個(gè)策略可能被同一用戶動(dòng)作(例如,執(zhí)行對(duì)保密數(shù)據(jù) 的操作的單個(gè)請(qǐng)求)違背??商鎿Q地,僅單個(gè)策略違規(guī)可能基于單個(gè)用戶動(dòng)作發(fā)生。在這 樣的情況中,如果滿足多于一個(gè)DLP策略中所包括的標(biāo)準(zhǔn),則之后一個(gè)DLP策略可以居于其 它策略之前。例如,如果存在都適用同一用戶動(dòng)作的通用DLP策略和更特定的DLP策略,則 認(rèn)為特定的DLP策略被違背,而可以忽略通用的DLP策略。 在塊230,監(jiān)控應(yīng)用程序?qū)? 一個(gè)或多個(gè))策略違規(guī)存儲(chǔ)到策略違規(guī)記錄中。監(jiān)控 應(yīng)用程序還可以從策略違規(guī)記錄中移除超過年齡閾值的在前策略違規(guī)。策略違規(guī)記錄可以 用來確定用戶和/或計(jì)算裝置所引起的數(shù)據(jù)丟失威脅。 在塊232,監(jiān)控應(yīng)用程序識(shí)別與已被違背的DLP策略相關(guān)聯(lián)的一個(gè)或多個(gè)響應(yīng)規(guī) 則。單個(gè)DLP策略可以與多個(gè)不同的響應(yīng)規(guī)則相關(guān)聯(lián)。每個(gè)響應(yīng)規(guī)則可以包括響應(yīng)于策略 違規(guī)執(zhí)行的不同動(dòng)作。 在塊235,監(jiān)控應(yīng)用程序檢查策略違規(guī)記錄來判斷對(duì)于用戶和/或計(jì)算裝置是否 已經(jīng)發(fā)生任何在前策略違規(guī)。在一個(gè)實(shí)施例中,僅考慮與已被嘗試操作的數(shù)據(jù)相關(guān)聯(lián)的在 前策略違規(guī)。在另一實(shí)施例中,考慮與已被請(qǐng)求操作的當(dāng)前數(shù)據(jù)的相同類型的數(shù)據(jù)相關(guān)聯(lián) 的在前策略違規(guī)。相同類型的數(shù)據(jù)例如可以是相同知識(shí)庫中所存儲(chǔ)的數(shù)據(jù)、包括同類敏感 信息(例如,社會(huì)安全號(hào))的數(shù)據(jù)等等??商鎿Q地,可以考慮所有在前策略違規(guī)。監(jiān)控應(yīng)用 程序可以基于策略違規(guī)記錄來進(jìn)行威脅評(píng)估。如果沒有發(fā)生在前策略違規(guī),則方法繼續(xù)進(jìn) 行到塊240。如果發(fā)生過一個(gè)或多個(gè)在前策略違規(guī),則方法繼續(xù)進(jìn)行到塊243。
在塊240,監(jiān)控應(yīng)用程序執(zhí)行所識(shí)別的響應(yīng)規(guī)則的第一響應(yīng)規(guī)則中所包括的第一 動(dòng)作。第一響應(yīng)規(guī)則標(biāo)識(shí)出如果不存在在前策略違規(guī)的記錄則響應(yīng)于策略違規(guī)要采取什么 動(dòng)作。第一動(dòng)作例如可以是諸如在允許數(shù)據(jù)離開計(jì)算裝置之前對(duì)數(shù)據(jù)進(jìn)行加密或生成數(shù)據(jù)
9轉(zhuǎn)移的記錄之類的小動(dòng)作,但不是以其他方式在沒有修改數(shù)據(jù)的情況下允許數(shù)據(jù)離開計(jì)算裝置。 在塊243,監(jiān)控應(yīng)用程序確定所識(shí)別的響應(yīng)規(guī)則中與在前策略違規(guī)相對(duì)應(yīng)的響應(yīng) 規(guī)則。例如,如果指示第一在前策略違規(guī),則可以確定一個(gè)響應(yīng)規(guī)則,而如果指示第二在前 策略違規(guī),或指示第一和第二在前策略違規(guī),則可以確定另一響應(yīng)規(guī)則。
在塊245,監(jiān)控應(yīng)用程序執(zhí)行所確定的響應(yīng)規(guī)則中所包括的第二動(dòng)作并且/或使 能附加DLP策略。第二動(dòng)作可以是限制性動(dòng)作,例如,防止操作發(fā)生,鎖定計(jì)算機(jī)來防止數(shù) 據(jù)通過任何數(shù)據(jù)丟失途徑丟失,向管理員通知策略違規(guī),等等。在一個(gè)實(shí)施例,如果威脅級(jí) 別低,則不是所有的數(shù)據(jù)丟失途徑都被監(jiān)控和/或不是所有數(shù)據(jù)都被監(jiān)控。因此,如果威脅 級(jí)別低,則監(jiān)控這樣的數(shù)據(jù)丟失途徑和/或數(shù)據(jù)的DLP策略可以是不活動(dòng)的。在威脅級(jí)別 逐步上升之后,可以使能附加DLP策略來監(jiān)控通常不監(jiān)控的那些數(shù)據(jù)丟失途徑和/或數(shù)據(jù)。
現(xiàn)在,示范方法200的一種示例實(shí)現(xiàn)方式。用戶嘗試用電子郵件將保密文檔發(fā)送 給未被授權(quán)的目的地。監(jiān)控應(yīng)用程序掃描電子郵件并且檢測到該電子郵件包括保密文檔。 然后,監(jiān)控應(yīng)用程序確定用電子郵件發(fā)送保密文檔違背第一 DLP策略,確定沒有發(fā)生在前 策略違規(guī),識(shí)別適當(dāng)?shù)捻憫?yīng)規(guī)則,并且根據(jù)響應(yīng)規(guī)則中所包括的動(dòng)作來阻斷電子郵件。然 后,用戶嘗試將保密文檔拷貝到USB驅(qū)動(dòng)器。監(jiān)控應(yīng)用程序檢測到第二 DLP策略的違規(guī),確 定第一 DLP策略已被違背,找到適當(dāng)?shù)捻憫?yīng)規(guī)則,并且基于響應(yīng)規(guī)則中所包括的動(dòng)作來阻 斷拷貝操作。響應(yīng)于第二策略違規(guī),監(jiān)控應(yīng)用程序還使能監(jiān)控打印和傳真操作的附加DLP 策略。用戶嘗試打印保密數(shù)據(jù)。新使能的附加響應(yīng)規(guī)則被違背,確定第一和第二DLP策略 之前已被違背過,則阻斷打印嘗試的動(dòng)作被執(zhí)行。還采取鎖定計(jì)算機(jī)裝置的附加動(dòng)作,搶先 阻斷所有將來的從計(jì)算裝置移出保密數(shù)據(jù)的嘗試。 基于以上示例,如果用戶嘗試打印保密文檔而不是首先嘗試用電子郵件發(fā)送保密 文檔和將該文檔拷貝到USB,則打印操作會(huì)被允許。然而,由于用戶之前執(zhí)行了可疑的動(dòng)作 (用電子郵件發(fā)送保密文檔和拷貝保密文檔),所以,威脅基本增加,并且打印操作被阻斷。
圖3圖以計(jì)算機(jī)系統(tǒng)300的示例性形式圖示出機(jī)器的圖形表示,在計(jì)算機(jī)系統(tǒng)300 中,可以執(zhí)行使得機(jī)器執(zhí)行這里所討論的方法中的任何一種或多種的指令集。在可替換實(shí) 施例中,機(jī)器可以連接(連網(wǎng))到LAN、企業(yè)內(nèi)部網(wǎng)、外部網(wǎng)或因特網(wǎng)中的其它機(jī)器。機(jī)器可 以在客戶端_服務(wù)器網(wǎng)絡(luò)環(huán)境中的服務(wù)器或客戶端機(jī)器的容量內(nèi)或作為對(duì)等(或分布式) 網(wǎng)絡(luò)環(huán)境中的對(duì)等機(jī)器進(jìn)行操作。機(jī)器可以是個(gè)人計(jì)算機(jī)、平板電腦、機(jī)頂盒(STB)、個(gè)人數(shù) 字助理(PDA)、蜂窩電話、web工具、服務(wù)器、網(wǎng)絡(luò)路由器、交換機(jī)或網(wǎng)橋,或能夠執(zhí)行指定該 機(jī)器所要采取的動(dòng)作的(順序的或其它方式的)指令集的任何機(jī)器。此外,盡管僅示出單 個(gè)機(jī)器,但是應(yīng)該認(rèn)為術(shù)語"機(jī)器"包括單獨(dú)或共同地執(zhí)行(一組或多組)指令來執(zhí)行這里 所討論的方法中的任何一種或多種方法的任何機(jī)器集合。 示例性計(jì)算系統(tǒng)300包括經(jīng)由總線308相互通信的處理裝置(處理器)302、主存 儲(chǔ)器304 (例如,只讀存儲(chǔ)器(ROM)、閃存、動(dòng)諸如同步DRAM (SDRAM)或Rambus DRAM (RDRAM) 之類的動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(SRAM),等等)、靜態(tài)存儲(chǔ)器306 (例如,閃存、靜態(tài)隨機(jī)存取存 儲(chǔ)器(SRAM)等等)和數(shù)據(jù)存儲(chǔ)裝置318。 處理器302表示諸如微處理器、中央處理單元等的一個(gè)或多個(gè)通用處理單元。更 具體而言,處理器302可以是復(fù)雜指令集計(jì)算(CISC)微處理器、精簡指令集計(jì)算(RISC)微處理器、超長指令集(VLIW)微處理器或?qū)崿F(xiàn)其它指令集的處理器或?qū)崿F(xiàn)指令集的組合的 處理器。處理器302還可以是一個(gè)或多個(gè)專用處理裝置,例如,專用集成電路(ASIC)、現(xiàn)場 可編程門陣列(FPGA)、數(shù)字信號(hào)處理器(DSP)、網(wǎng)絡(luò)處理器等。處理器302被配置為執(zhí)行用 于執(zhí)行這里所討論的操作和步驟的指令326。 計(jì)算機(jī)系統(tǒng)300還可以包括網(wǎng)絡(luò)接口裝置322。計(jì)算機(jī)系統(tǒng)300還可以包括視頻 顯示單元310(例如,液晶顯示器(LCD)或陰極射線管(CRT)、字母數(shù)字輸入裝置312(例如, 鍵盤)、光標(biāo)控制裝置314(例如,鼠標(biāo))和信號(hào)發(fā)生裝置320(例如,揚(yáng)聲器))。
數(shù)據(jù)存儲(chǔ)裝置318可以包括存儲(chǔ)了包含這里所描述的方法和功能中的一種或多 種的一組或多組指令326(例如,軟件)的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)324。指令326還可以在其 被計(jì)算機(jī)系統(tǒng)300執(zhí)行期間完全或至少部分地駐留在主存儲(chǔ)器304內(nèi)和/或在處理器302 內(nèi),主存儲(chǔ)器304和處理器302也構(gòu)成計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。還可以經(jīng)由網(wǎng)絡(luò)接口裝置322 通過網(wǎng)絡(luò)334來發(fā)送或接收指令326。 在一個(gè)實(shí)施例中,指令326包括圖1B的監(jiān)控應(yīng)用程序140的指令和或包含調(diào)用監(jiān) 控應(yīng)用程序140的方法的軟件庫。盡管在示例性實(shí)施例中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)324被示 出為單個(gè)介質(zhì),但是,應(yīng)當(dāng)認(rèn)為術(shù)語"計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)"包括存儲(chǔ)一組或多組指令的單 個(gè)介質(zhì)或多個(gè)介質(zhì)(例如,集中式或分布式數(shù)據(jù)庫和/或相關(guān)聯(lián)的緩存和服務(wù)器)。還應(yīng)當(dāng) 認(rèn)為術(shù)語"計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)"包括能夠存儲(chǔ)、編碼或執(zhí)行用于機(jī)器的執(zhí)行和使得機(jī)器執(zhí) 行本發(fā)明的方法中的任何一種或多種的指令集的任何介質(zhì)。因此,應(yīng)當(dāng)認(rèn)為術(shù)語"計(jì)算機(jī)可 讀存儲(chǔ)介質(zhì)"包括但不限于固態(tài)存儲(chǔ)器、光介質(zhì)和磁介質(zhì)。 應(yīng)當(dāng)理解,以上描述意為說明性的,并且不是限制性的。許多其它實(shí)施例對(duì)于閱讀 和理解了以上描述的本領(lǐng)域技術(shù)人員是顯而易見的。因此,可以參考權(quán)利要求以及這些權(quán) 利要求給與權(quán)利的等價(jià)物的完整范圍來確定發(fā)明的范圍。
權(quán)利要求
一種保護(hù)敏感信息的方法,包括檢測計(jì)算裝置上的策略違規(guī),其中所述策略違規(guī)包括執(zhí)行從所述計(jì)算裝置移出包括敏感信息的數(shù)據(jù)的操作的用戶嘗試;判斷在所述計(jì)算裝置上是否已經(jīng)發(fā)生過一個(gè)或多個(gè)在前策略違規(guī);以及基于所述一個(gè)或多個(gè)在前策略違規(guī)來執(zhí)行使數(shù)據(jù)丟失風(fēng)險(xiǎn)最小的動(dòng)作。
2. 根據(jù)權(quán)利要求1所述的方法,還包括將所述策略違規(guī)存儲(chǔ)在策略違規(guī)記錄中,其中,所述策略違規(guī)記錄中存儲(chǔ)了所述一個(gè) 或多個(gè)在前策略違規(guī)。
3. 根據(jù)權(quán)利要求2所述的方法,還包括從所述策略違規(guī)記錄中移除所述策略違規(guī)或超過年齡閾值的一個(gè)或多個(gè)在前策略違 規(guī)中的任何策略違規(guī)。
4. 根據(jù)權(quán)利要求1所述的方法,其中,執(zhí)行所述動(dòng)作包括將所述策略違規(guī)和所述一個(gè) 或多個(gè)在前策略違規(guī)與多個(gè)策略違規(guī)響應(yīng)相比較,并且執(zhí)行與所述策略違規(guī)和所述一個(gè)或 多個(gè)在前策略違規(guī)相對(duì)應(yīng)的多個(gè)策略違規(guī)響應(yīng)中的一個(gè)策略違規(guī)響應(yīng)中的動(dòng)作。
5. 根據(jù)權(quán)利要求1所述的方法,其中,檢測所述策略違規(guī)包括 檢測執(zhí)行所述操作的用戶嘗試;掃描所述數(shù)據(jù)來確定所述數(shù)據(jù)包括所述敏感信息;以及 確定所述用戶未被授權(quán)執(zhí)行所述操作。
6. 根據(jù)權(quán)利要求1所述的方法,還包括 如果還沒有發(fā)生過在前策略違規(guī),則執(zhí)行第一動(dòng)作;以及如果已經(jīng)發(fā)生過一個(gè)或多個(gè)在前策略違規(guī),則執(zhí)行第二動(dòng)作,其中,所述第二動(dòng)作取決 于所述一個(gè)或多個(gè)在前策略違規(guī)的數(shù)目和嚴(yán)重度。
7. 根據(jù)權(quán)利要求1所述的方法,其中,所述動(dòng)作取決于用戶嘗試經(jīng)其從所述計(jì)算裝置 移出所述數(shù)據(jù)的數(shù)據(jù)丟失途徑。
8. 根據(jù)權(quán)利要求1所述的方法,還包括基于所述策略違規(guī)或所述一個(gè)或多個(gè)在前策略違規(guī)中的至少一個(gè)來使能附加策略。
9. 一種用于保護(hù)敏感信息的計(jì)算設(shè)備,所述計(jì)算設(shè)備包括策略違規(guī)檢測器,用于檢測所述計(jì)算設(shè)備上的策略違規(guī),其中所述策略違規(guī)包括執(zhí)行 從所述計(jì)算設(shè)備移出包括敏感信息的數(shù)據(jù)的操作的用戶嘗試;以及策略違規(guī)響應(yīng)器,用于判斷在所述計(jì)算裝置上是否已經(jīng)發(fā)生過一個(gè)或多個(gè)在前策略違 規(guī),并且用于基于所述一個(gè)或多個(gè)在前策略違規(guī)來執(zhí)行使數(shù)據(jù)丟失風(fēng)險(xiǎn)最小的動(dòng)作。
10. 根據(jù)權(quán)利要求9所述的計(jì)算設(shè)備,還包括策略違規(guī)記錄,所述策略違規(guī)記錄存儲(chǔ)所述一個(gè)或多個(gè)在前策略違規(guī);以及 策略違規(guī)記錄器,用于將所述策略違規(guī)存儲(chǔ)在所述策略違規(guī)記錄中,所述策略違規(guī)記錄器還用于從所述策略違規(guī)記錄中移除所述策略違規(guī)或超過年齡閾值的所述一個(gè)或多個(gè)在前策略違規(guī)中的任何策略違規(guī)。
11. 根據(jù)權(quán)利要求9所述的計(jì)算設(shè)備,其中,所述策略違規(guī)響應(yīng)器基于將所述策略違規(guī) 和所述一個(gè)或多個(gè)在前策略違規(guī)與多個(gè)策略違規(guī)響應(yīng)相比較,來執(zhí)行所述動(dòng)作,并且執(zhí)行 與所述策略違規(guī)和所述一個(gè)或多個(gè)在前策略違規(guī)相對(duì)應(yīng)的多個(gè)策略違規(guī)響應(yīng)中的一個(gè)策略違規(guī)響應(yīng)中的動(dòng)作。
12. 根據(jù)權(quán)利要求9所述的計(jì)算設(shè)備,其中,所述策略違規(guī)檢測器基于檢測執(zhí)行所述操 作的用戶嘗試、掃描所述數(shù)據(jù)來確定所述數(shù)據(jù)包括敏感信息并且確定所述用戶未被授權(quán)執(zhí) 行所述操作,來檢測所述策略違規(guī)。
13. 根據(jù)權(quán)利要求9所述的計(jì)算設(shè)備,還包括所述策略違規(guī)響應(yīng)器,如果還沒有發(fā)生過在前策略違規(guī),則所述策略違規(guī)響應(yīng)器執(zhí)行 第一動(dòng)作,并且如果已經(jīng)發(fā)生過所述一個(gè)或多個(gè)在前策略違規(guī),則所述策略違規(guī)響應(yīng)器執(zhí) 行第二動(dòng)作,其中,所述第二動(dòng)作取決于所述一個(gè)或多個(gè)在前策略違規(guī)的數(shù)目和嚴(yán)重度。
14. 根據(jù)權(quán)利要求9所述的計(jì)算設(shè)備,其中,所述動(dòng)作取決于用戶嘗試經(jīng)其從所述計(jì)算 裝置移出所述敏感數(shù)據(jù)的數(shù)據(jù)丟失途徑。
15. 根據(jù)權(quán)利要求9所述的計(jì)算設(shè)備,還包括所述策略違規(guī)響應(yīng)器基于所述策略違規(guī)或所述一個(gè)或多個(gè)在前策略違規(guī)中的至少一 個(gè)來使能附加策略。
16. —種用于保護(hù)敏感信息的系統(tǒng),所述系統(tǒng)包括檢測計(jì)算裝置上的策略違規(guī),其中,所述策略違規(guī)包括執(zhí)行從所述計(jì)算設(shè)備移出包括 敏感信息的數(shù)據(jù)的操作的用戶嘗試;判斷在所述計(jì)算裝置上是否已經(jīng)發(fā)生過一個(gè)或多個(gè)在前策略違規(guī);以及 基于所述一個(gè)或多個(gè)在前策略違規(guī)來執(zhí)行使數(shù)據(jù)丟失風(fēng)險(xiǎn)最小的動(dòng)作。
17. 根據(jù)權(quán)利要求16所述的系統(tǒng),還包括用于將所述策略違規(guī)存儲(chǔ)在策略違規(guī)記錄中的裝置,其中,所述一個(gè)或多個(gè)在前策略 違規(guī)被存儲(chǔ)在所述策略違規(guī)記錄中;以及用于從所述策略違規(guī)記錄中移除所述策略違規(guī)或超過年齡閾值的一個(gè)或多個(gè)在前策 略違規(guī)中的任何策略違規(guī)的裝置。
18. 根據(jù)權(quán)利要求16所述的系統(tǒng),其中,用于執(zhí)行所述動(dòng)作的裝置包括用于將所述策 略違規(guī)和所述一個(gè)或多個(gè)在前策略違規(guī)與多個(gè)策略違規(guī)響應(yīng)相比較的裝置,以及用于執(zhí)行 與所述策略違規(guī)和所述一個(gè)或多個(gè)在前策略違規(guī)相對(duì)應(yīng)的多個(gè)策略違規(guī)響應(yīng)中的一個(gè)策 略違規(guī)響應(yīng)中的動(dòng)作的裝置。
19. 根據(jù)權(quán)利要求16所述的系統(tǒng),其中,用于檢測所述策略違規(guī)的裝置包括 用于檢測執(zhí)行所述操作的用戶嘗試的裝置; 用于掃描數(shù)據(jù)來確定所述數(shù)據(jù)包括敏感信息的裝置;以及用于確定用戶未被授權(quán)執(zhí)行所述操作的裝置。
20. 根據(jù)權(quán)利要求16所述的系統(tǒng),還包括用于如果還沒有發(fā)生過在前策略違規(guī),則執(zhí)行第一動(dòng)作的裝置;以及用于如果已經(jīng)發(fā)生過所述一個(gè)或多個(gè)在前策略違規(guī),則執(zhí)行第二動(dòng)作的裝置,其中,所 述第二動(dòng)作取決于所述一個(gè)或多個(gè)在前策略違規(guī)的數(shù)目和嚴(yán)重度。
全文摘要
本發(fā)明公開了自適應(yīng)數(shù)據(jù)丟失防護(hù)策略。監(jiān)控器檢測計(jì)算裝置上的策略違規(guī),其中,策略違規(guī)包括執(zhí)行從所述計(jì)算裝置移出包括敏感信息的數(shù)據(jù)的操作的用戶嘗試。監(jiān)控器判斷在該計(jì)算裝置上是否已經(jīng)發(fā)生一個(gè)或多個(gè)在前策略違規(guī)。監(jiān)控器基于這一個(gè)或多個(gè)在前策略違規(guī)來執(zhí)行最小化數(shù)據(jù)丟失風(fēng)險(xiǎn)的動(dòng)作。
文檔編號(hào)G06F21/00GK101763479SQ20091026108
公開日2010年6月30日 申請(qǐng)日期2009年12月22日 優(yōu)先權(quán)日2008年12月22日
發(fā)明者伊恩·巴利爾 申請(qǐng)人:賽門鐵克公司