專利名稱:使用區(qū)的信息保護的制作方法
使用區(qū)的信息保護
背景技術(shù):
在組織內(nèi),會頻繁地創(chuàng)建和共享信息��。例如����,工作者創(chuàng)建電子郵件,并將其發(fā)送給組織內(nèi)的其他工作者以及組織外的人�。此外,工作者創(chuàng)建文檔���、將這些文檔上傳至內(nèi)部文件服務(wù)器�����、將它們傳輸?shù)奖銛y式存儲介質(zhì)(例如��,可移動閃存驅(qū)動器)�����、以及將它們發(fā)送給組織外的其他用戶���。由組織內(nèi)的工作者創(chuàng)建的信息中的一些可以是機密的或敏感的�����。因此���,期望允許擁有這樣的信息的工作者僅將該信息與那些被授權(quán)訪問該信息的人共享,和/或降低工作者意外地將這種信息傳輸給未被授權(quán)訪問該信息的某個人的風險
發(fā)明內(nèi)容
發(fā)明人已意識到����,當共享信息時,該信息有時會被發(fā)送給未被授權(quán)對該信息的訪問或者預(yù)期不具有對該信息的訪問的某個人���,或者該信息會被未被授權(quán)訪問該信息的某個人惡意截取���。因此�����,一些實施例涉及信息保護方案����,在該方案中���,可將信息空間中的設(shè)備、用戶和域分組在各區(qū)中�。當信息被傳輸跨越了區(qū)邊界時,可以應(yīng)用信息保護規(guī)則來確定應(yīng)該準許還是阻止該傳輸���,和/或確定是否應(yīng)該采取任何其他策略動作(例如�,需要加密����、提示用戶確認該預(yù)期傳輸或某一其他動作)。一個實施例涉及由計算機執(zhí)行的用于信息保護的方法����,所述計算機包括至少一個處理器和至少一個有形存儲器�����,所述計算機在包括用戶�、設(shè)備和/或域的多個區(qū)的信息空間中操作�����,其中所述多個區(qū)中的每一個是用戶���、設(shè)備和/或域的邏輯分組���,并且其中所述方法包括響應(yīng)于發(fā)起信息傳輸,確定所述信息傳輸是否會導致信息跨越多個區(qū)中的兩個區(qū)之間的區(qū)邊界����;當確定所述傳輸不會導致所述信息跨越所述區(qū)邊界時,準許所述傳輸�����;當確定所述傳輸會導致所述信息跨越所述區(qū)邊界時訪問信息保護規(guī)則���;將所述信息保護規(guī)則應(yīng)用于所述傳輸以確定是否要執(zhí)行策略動作��;以及�����,在確定要執(zhí)行所述策略動作時�����,執(zhí)行所述策略動作����。另一實施例涉及編碼有指令的至少一個計算機可讀介質(zhì)��,當在包括至少一個處理器和至少一個有形存儲器的計算機上執(zhí)行所述指令時��,在包括用戶�、設(shè)備和/或域的多個區(qū)的信息空間中執(zhí)行一種方法,其中所述多個區(qū)中的每一個是用戶���、設(shè)備和/或域的邏輯分組�����,其中所述計算機被分組在所述多個區(qū)中的一個中�����,所述方法包括在所述計算機處創(chuàng)建文檔���;自動確定所述文檔的第一分類�����;將標識所確定的第一分類的信息嵌入所述文檔中�����;接收標識所述文檔的第二分類的用戶輸入����;響應(yīng)于所述用戶輸入��,通過將標識所述第一分類的信息從所述文檔移除并將標識所述第二分類的信息嵌入所述文檔中來用所述第二分類覆蓋所述第一分類��。又一實施例涉及計算機系統(tǒng)中的計算機�����,包括至少一個有形存儲器;以及至少一個硬件處理器�����,所述至少一個硬件處理器執(zhí)行處理器可執(zhí)行指令以響應(yīng)于用戶輸入第一信息�,將所述第一信息存儲在至少一個有形存儲器中,所述第一信息將用戶��、設(shè)備和/或域分組在各邏輯區(qū)中��;響應(yīng)于用戶輸入第二信息�,將所述第二信息存儲在所述至少一個有形存儲器中,所述第二信息指定要響應(yīng)于發(fā)起將導致信息跨越各邏輯區(qū)間的邊界的信息傳輸而應(yīng)用的信息保護規(guī)則���。
附圖不旨在按比例繪制��。在附圖中���,各個附圖中示出的每一完全相同或近乎完全相同的組件由同樣的附圖標記來表示���。出于簡明的目的��,不是每一個組件在每張附圖中均被標號����。在附圖中圖I是根據(jù)一些實施例被按邏輯劃分成多個區(qū)的信息空間的框圖; 圖2是其中可實現(xiàn)本發(fā)明的各實施例的信息保護技術(shù)的計算機系統(tǒng)的框圖���;圖3是根據(jù)一些實施例用于在被按邏輯劃分成各區(qū)的信息空間中提供信息保護的過程的流程圖�;以及圖4是其上可實現(xiàn)某些實施例的各方面的計算機系統(tǒng)的框圖���。
具體實施例方式發(fā)明人已意識到�,當組織中的工作者創(chuàng)建和/或訪問機密或敏感電子信息時��,可發(fā)生工作者無意地或惡意地危及該信息的安全的情形��。例如���,工作者可無意地將電子信息發(fā)送給未被授權(quán)訪問該信息的某個人���,或者可將該電子信息存儲在不安全的地方(例如,未被授權(quán)訪問該信息的某個人可訪問的文件服務(wù)器)�����。作為另一示例,工作者可能會以純文本來共享機密電子信息(而不是對其進行加密)�,由此使該信息處于會被未被授權(quán)訪問它的某個人截取的更大風險中,或者工作者可能會采取危及該信息的安全的其他動作�。因此,一些實施例涉及一種計算機系統(tǒng)�����,在所述計算機系統(tǒng)中用戶和設(shè)備被劃分成被稱為“區(qū)”的邏輯分組���。當將電子信息從一個區(qū)中的用戶或設(shè)備傳輸?shù)搅硪粋€區(qū)中的用戶或設(shè)備時���,認為該信息已跨越了區(qū)邊界。當發(fā)起會導致信息跨越區(qū)邊界的信息傳輸時��,可以應(yīng)用信息控制規(guī)則來確定是否準許該傳輸��,或者在準許該傳輸前是否要采取某一動作(例如�,提示發(fā)起該傳輸?shù)墓ぷ髡摺徲嬘涗浽搨鬏?、在允許該傳輸之前需要對信息進行加密或者某一其他動作)。在一些實施例中���,信息控制規(guī)則可以考慮所傳輸?shù)男畔⒌念愋汀@纾c在嘗試將非機密信息從第一區(qū)傳輸?shù)降诙^(qū)時相比���,在嘗試將機密信息從第一區(qū)傳輸?shù)降诙^(qū)時可以應(yīng)用不同的信息控制規(guī)則�����。因此�,在一些實施例中�,在生成電子信息時,可(例如���,自動地��、半自動地或手動地)向該電子信息添加指示該信息的敏感度和/或該信息的其他屬性的分類的標簽�����。分類規(guī)則可以考慮電子信息的分類以及在嘗試將信息傳輸跨越區(qū)邊界時正將該信息從哪個區(qū)傳輸以及傳輸?shù)侥膫€區(qū)�。這個技術(shù)可以提供數(shù)個好處�����。第一���,它允許跨多個不同的通道定義并應(yīng)用一個統(tǒng)一的安全策略����。即,可以將同一分類規(guī)則集合應(yīng)用于電子郵件的傳輸����、穿過萬維網(wǎng)的內(nèi)容的傳輸、到組織內(nèi)部的文件服務(wù)器的文件傳輸和/或到任何其他類型的電子信息或信息通道的傳輸��。第二��,它允許基于要應(yīng)用信息控制規(guī)則的信息的類型來定制這些規(guī)則��,使得無需將可為敏感或機密信息保證的限制性規(guī)則集合應(yīng)用于不為其保證這一限制性規(guī)則集合的信肩�、O
以上標識了與現(xiàn)有技術(shù)有關(guān)的數(shù)個問題以及由以上討論的技術(shù)所提供的數(shù)個好處。然而�,本發(fā)明不限于解決這些問題中的任何一個或所有,也不限于提供這些好處中的一個或所有���。即���,盡管一些實施例可以解決這些問題中的一些或所有并可提供這些好處中的一些或所有,但是一些實施例可能無法解決這些問題中的任何一個��,或者不能提供這些好處中的任何一個。圖I示出了可被分類成區(qū)的信息空間的示例��。如圖I所示����,組織100可具有包括數(shù)個設(shè)備的計算機系統(tǒng)�。這些設(shè)備中的一些可被組織的工程部門使用,而一些可被公共關(guān)系部門使用�。由于來自工程部門的文檔或其他內(nèi)容片段可能包括大量的機密和/或敏感信息,而公共關(guān)系部門中生成的文檔或其他內(nèi)容片段較不可能包括這樣的信息���,因此可以將工程部門所使用的設(shè)備分組在一個區(qū)中�,并將公共關(guān)系部門所使用的設(shè)備分組在另一區(qū)中����。因此,如圖I所示���,雖然組織中的所有設(shè)備經(jīng)由局域網(wǎng)(LAN) 125物理地連接����,但是可以按邏輯將工程文件服務(wù)器103�����、工程電子郵件服務(wù)器105和工作站107a、107b和107c分組在工程部門區(qū)101中��,而按邏輯將PR文件服務(wù)器109����、PR電子郵件服務(wù)器111和工作站113a、113b和113d—起分組在PR部門區(qū)115中�����。 此外���,在圖I的示例中�����,可以按邏輯將在組織100外部的組織121分組在一區(qū)中�����。例如��,如果組織121是組織100信任的伙伴�����,則將不同的信息控制規(guī)則應(yīng)用于組織121是合乎需要的�����,使得將發(fā)送至組織121以及從組織121接收的信息(例如�,經(jīng)由因特網(wǎng)117)與組織100外部的其他實體的信息不同地對待�。由此,可以按邏輯將組織121分組在可信伙伴區(qū)119中���,而向組織100外部的其他實體發(fā)送的以及從這些其他實體接收的信息(例如�,經(jīng)由因特網(wǎng)117)可被看作是向一般因特網(wǎng)區(qū)123發(fā)送的或者是從該一般因特網(wǎng)區(qū)123處接收的���。如以上所討論的�,當將信息從一個區(qū)發(fā)送到另一個區(qū)時����,可以應(yīng)用信息保護規(guī)則,并且可以基于信息保護規(guī)則采取動作(如果被保證的話)���。在圖I的示例中���,按邏輯將組織100內(nèi)的設(shè)備分組在兩個區(qū)中�。應(yīng)該理解�,這僅僅是說明性的,因為組織可包括任何合適數(shù)目的區(qū)�����。例如��,可以將組織內(nèi)的所有設(shè)備和用戶分組在單個區(qū)中�����,或者可以將這些設(shè)備和用戶分組在三個或更多個不同的區(qū)中�����。另外����,在圖I的示例中,僅設(shè)備被示為被按邏輯分組在各區(qū)中��。然而,也可以按邏輯將用戶(例如��,組織100的雇員��、其他工作者或其他人)或域分組在各區(qū)中�。例如,可以將組織100的在工程部門中工作的雇員分組在工程部門區(qū)101中����,而可將在PR部門中工作的雇員分組在PR部門區(qū)115中。由此���,發(fā)明人已意識到,會發(fā)生被分組在一個區(qū)中的用戶正在使用被分組在不同區(qū)中的設(shè)備的情況�����。因此�,當用戶從該設(shè)備發(fā)送信息或者在該設(shè)備處接收信息時,該信息可被看作是從用戶的區(qū)或設(shè)備的區(qū)發(fā)送出去的或者在用戶的區(qū)或設(shè)備的區(qū)處接收到的�����。因此���,例如��,如果被分組在工程部門區(qū)中的工程部門的雇員登錄被分組在PR部門區(qū)中的工作站113a���,并通過該工作站113a來工作����,則該雇員可以嘗試將文檔上傳到工程文件服務(wù)器103中����。該文檔可被看作是從工程部門區(qū)或者PR部門區(qū)處發(fā)送出去的。在一些實施例中���,用戶的區(qū)可以優(yōu)先于該用戶正在使用的設(shè)備的區(qū)����。因此�����,在以上的示例中�,當工程部門雇員通過工作站113a將文檔上傳到工程文件服務(wù)器103時,該文檔可被看作是從工程部門區(qū)發(fā)送到工程部門區(qū)的(即���,沒有跨越區(qū)邊界)����。然而,本發(fā)明并不限于這個方面����,因為在一些實施例中設(shè)備的區(qū)可以優(yōu)先于正在使用該設(shè)備的用戶的區(qū),而在一些實施例中可以由組織的管理員來配置是用戶的區(qū)還是設(shè)備的區(qū)優(yōu)先��。如上所討論的�,信息保護規(guī)則可以基于信息被傳輸?shù)降膮^(qū)、信息所傳輸自的區(qū)以及被傳輸?shù)男畔⒌姆诸悂矶x當信息被傳輸跨越了區(qū)邊界時是否要執(zhí)行動作以及要執(zhí)行什么動作�。可以按各種方式中的任何 一種來分類信息����,并且可以在信息創(chuàng)建和共享過程中的各個點中的任何一個處執(zhí)行對信息的分類�����。例如�����,可以自動地、半自動地或手動地執(zhí)行分類����,并且可以在創(chuàng)建信息時、在存儲信息時��、在傳輸信息時和/或在任何其他合適的時間執(zhí)行分類�����。例如���,在一些實施例中��,當使用應(yīng)用程序來創(chuàng)建文檔(例如��,電子郵件或其他文檔)時����,該應(yīng)用程序可以自動分類該文檔�。應(yīng)用程序可以基于任何合適的一個或多個準則來分類文檔。例如��,應(yīng)用程序可以基于用戶和/或設(shè)備被分組到的區(qū)或者基于文檔中的關(guān)鍵詞或模式來自動分類文檔���。因此����,例如,可以向包括特定關(guān)鍵詞或文本模式的文檔分配特定的分類��。在一些實施例中���,可以通過以下方式來分類各文檔使用散列函數(shù)(例如����,SHAl或任何其他合適的散列函數(shù))來對文檔進行散列�,將散列值與一組存儲的散列值進行比較,以及基于該比較將分類分配給各文檔�。在一些實施例中,可以使用模糊匹配來分類文檔�,該模糊匹配采用瓦片化(shingling)技術(shù)來表示各文檔(或文檔的部分)的模糊散列以用于相似性檢測。在一些實施例中��,可以基于用來創(chuàng)建文檔的模板來分類該文檔���,或者可以向文檔分配與用于創(chuàng)建或編輯該文檔的應(yīng)用程序相關(guān)聯(lián)的默認分類或某一其他默認分類。應(yīng)用程序可以在最初創(chuàng)建文檔后�����、每次保存文檔時、完成文檔時和/或任何其他合適的時間分類該文檔�。在一些實施例中,作為用于創(chuàng)建文檔的應(yīng)用程序執(zhí)行分類的替換或補充��,還可以由信息保護代理或用于創(chuàng)建文檔的計算機上執(zhí)行的其他軟件程序來執(zhí)行分類�。這種軟件程序可以基于以上描述的標準中的任何一個(或者,這些標準的組合)來執(zhí)行對文檔的分類�,并且可以在最初創(chuàng)建文檔后的任何合適的時間執(zhí)行對文檔的分類。例如�����,這種代理或其他軟件程序可以作為后臺進程來分類存儲在計算機上的文檔�����,可以在發(fā)起將文檔傳輸?shù)接嬎銠C之外時或者在任何其他合適的時間點分類文檔���。在以上示例中�,可以在創(chuàng)建文檔的計算機上分類這些文檔��。然而�����,本發(fā)明并不限于這個方面,因為在一些實施例中可以由接收文檔的實體來分類文檔��。例如���,如果文檔被傳輸����,則接收該文檔的設(shè)備可以在應(yīng)用信息控制規(guī)則來確定例如該傳輸被準許并且應(yīng)該被完成還是該傳輸不被準許并且應(yīng)該被丟棄之前執(zhí)行對該文檔的分類����。例如,在工作站上執(zhí)行的電子郵件客戶機可以向組織中的電子郵件服務(wù)器發(fā)送電子郵件以供傳輸?shù)筋A(yù)期接收者��。在一些實施例中��,電子郵件服務(wù)器可以執(zhí)行對電子郵件的分類��。另外���,可不對從組織外部的實體接收到的電子郵件或其他文檔進行分類��,直到它們被組織內(nèi)的設(shè)備接收���,因為外部實體可能不會使用相同的信息保護模型來分類文檔。因此����,可以在在組織內(nèi)接收了這些文檔之后再對這些文檔執(zhí)行分類。例如�,電子郵件服務(wù)器可以對從外部發(fā)送者接收到的電子郵件執(zhí)行分類,或者內(nèi)部文件服務(wù)器可以對從外部發(fā)送者上傳的文檔執(zhí)行分類�。一旦已確定了針對文檔的合適分類,可以按各種方式中的任何一種方式存儲該分類��。在一些實施例中�,可以將分類(例如,作為標簽或標記)嵌入在文檔本身中����。例如,可以將電子郵件的分類嵌入在電子郵件頭部�����,并且可以將其他類型的文檔的分類嵌入在該文檔中包括的元數(shù)據(jù)中�����。
在以上討論的示例中,對文檔的分類是自動地執(zhí)行的�����。然而�,本發(fā)明并不限于這個方面,因為在一些實施例中���,可以半自動地執(zhí)行對文檔的分類���,使得可以自動地將分類分配給文檔,但是用戶有能力覆蓋該自動化分類并將不同的分類分配給文檔����。在一些實施例中,可以定義指示哪些用戶被授權(quán)向文檔分配分類以及哪些用戶被允許覆蓋先前分配的分類的策略���。例如����,在一些實施例中���,可以準許后續(xù)用戶覆蓋由初始用戶先前分配的分類���,如果該后續(xù)用戶是初始用戶的經(jīng)理或老板的話���?��?梢岳缡褂么鎯υ谀夸浄?wù)器的目錄信息中的組織圖表(org圖表)信息來確定后續(xù)用戶是否是初始用戶的經(jīng)理或老板���。在一些實施例中,可以手動執(zhí)行對文檔的分類����,使得用戶手動地指定將分配給每一文檔的分類。在這些實施例中�,如果尚未被分配分類的文檔被傳輸跨越了區(qū)邊界,則可向該文檔分配一默認分類����,以便可以應(yīng)用信息保護規(guī)則?��?梢允褂萌魏魏线m的分類方案來分類文檔����。在一些實施例中,可以由組織的管理員來配置可用來分配給文檔的分類�����?���?梢允褂玫姆诸惖氖纠ā肮緳C密的”、“個人的”����、“非機密的”、“財務(wù)數(shù)據(jù)”和/或任何其他合適的分類����。 圖2是其中可以采用基于區(qū)和信息分類的信息保護規(guī)則的組織的計算機系統(tǒng)200的框圖。計算機系統(tǒng)200包括中央安全服務(wù)器201���,該中央安全服務(wù)器201存儲區(qū)信息215和策略信息213����。區(qū)信息215指示(例如由網(wǎng)絡(luò)管理員)定義的區(qū)以及被分組在所定義的各區(qū)中的每一個中的設(shè)備�����、用戶和/或域。策略信息213指定在信息被傳輸跨越了區(qū)邊界時要應(yīng)用的信息保護規(guī)則(例如��,管理員定義的信息保護規(guī)則)���。計算機系統(tǒng)200還可以包括存儲目錄信息217的目錄服務(wù)器203���。目錄信息217包括與計算機系統(tǒng)的用戶及計算機系統(tǒng)中的設(shè)備有關(guān)的信息�。此外,目錄信息可定義組織單元或用戶和設(shè)備的分組���。例如�,目錄信息217可以定義包括工程部門中的用戶和/或設(shè)備的“工程分組”��,并可定義包括PR部門中的用戶和/或設(shè)備的“PR分組”����。在一些實施例中,目錄信息217可用于將用戶��、設(shè)備和/或域分組在各區(qū)中�。例如����,區(qū)信息215可被配置為指示“工程分組”中的每一個用戶或設(shè)備被分組在“工程部門”區(qū)中��,而“PR分組”中的每一個用戶或設(shè)備被分組在“PR部門”區(qū)中��。發(fā)明人已意識到���,當實體(例如�����,組織)是操作計算機系統(tǒng)200的組織的外部組織時��,計算機系統(tǒng)200的管理員可能無權(quán)訪問標識該外部組織的用戶和設(shè)備的目錄信息����。因此���,如果期望將外部組織分組在區(qū)中�,則可以使用該組織的域名����。例如�����,如果名為“Contoso有限公司”的外部組織使用域名“contoso. com”�,并且期望將這個組織分組在某區(qū)(例如��,“信任伙伴”區(qū))中�����,則區(qū)信息可以將域名“contoso. com”標識為屬于這個區(qū)�。在一些實施例中,目錄信息217可以定義包括外部實體的域名的信任伙伴的分組��,并且區(qū)信息可以指示該分組中的所有域名都被分組在特定區(qū)(例如�,“信任伙伴”區(qū))中�����。計算機系統(tǒng)200還可以包括數(shù)個其他設(shè)備��。例如���,在圖2中���,計算機系統(tǒng)200包括電子郵件服務(wù)器209���、文件服務(wù)器207、工作站205a和205b�����、以及因特網(wǎng)網(wǎng)關(guān)211���。因特網(wǎng)網(wǎng)關(guān)211可以用作計算機系統(tǒng)200中的各設(shè)備到因特網(wǎng)的網(wǎng)關(guān)��,并且計算機系統(tǒng)200中的各設(shè)備可以經(jīng)由局域網(wǎng)(LAN) 218彼此通信�。設(shè)備205a���、205b����、207����、209和211各自包括策略引擎。這些設(shè)備中的每一個上的策
略引擎在從另一設(shè)備接收到信息或者將信息發(fā)送到另一設(shè)備時可用于確定信息何時跨越了或者將要跨越區(qū)邊界(如果信息被傳輸?shù)脑?��。如果如此,則策略引擎可基于信息保護規(guī)則來確定是否保證了任何策略動作并可執(zhí)行該策略動作��。在圖2的示例中���,設(shè)備205a�����、205b���、207、209和211中的每一個執(zhí)行策略引擎��。然而�,本發(fā)明并不限于這個方面。即���,在一些實施例中,僅處于區(qū)邊界的那些設(shè)備(即��,能夠向另一區(qū)直接傳輸信息或從另一區(qū)直接接收信息的設(shè)備)可以執(zhí)行策略引擎����。因此��,如果在圖2的示例中采用了這樣的實施例����,并且如果計算機系統(tǒng)200中的所有設(shè)備和用戶被分組在單個區(qū)中�����,則僅因特網(wǎng)網(wǎng)關(guān)211需要執(zhí)行策略引擎��。圖3示出了可在諸如計算機系統(tǒng)200之類的計算機系統(tǒng)中用來實現(xiàn)信息保護規(guī)則的說明性信息保護過程�。該過程在動作301開始,其中內(nèi)容片段(例如��,文檔)被創(chuàng)建或接收���。該過程接著繼續(xù)到動作303�����,其中該內(nèi)容片段被分類�����,并且該內(nèi)容片段的分類被存儲���。在動作303之后����,該過程繼續(xù)到動作305���,其中該內(nèi)容片段到另一設(shè)備的傳輸被發(fā)起��。該過程接著繼續(xù)到動作307�����,其中確定該傳輸是否會導致或?qū)е略搩?nèi)容片段跨越區(qū)邊界��?�?梢岳缬烧l(fā)起發(fā)送該內(nèi)容片段的設(shè)備上的策略引擎執(zhí)行動作307���,或由接收該內(nèi)容·片段的另一設(shè)備上的策略引擎在該內(nèi)容片段已從發(fā)起該傳輸?shù)脑O(shè)備被傳送了以后執(zhí)行動作 307。策略引擎可以按各種方式中的任何一種來確定傳輸是否會導致或?qū)е滦畔⒖缭絽^(qū)邊界���。例如,在一些實施例中,策略引擎可以與中央安全服務(wù)器201(如上所述�,其存儲區(qū)信息215)進行通信以確定發(fā)起傳輸?shù)脑O(shè)備或用戶的區(qū)以及作為該傳輸?shù)念A(yù)期接收者的設(shè)備或用戶的區(qū)?;蛘撸谝恍嵤├?�,可以將該區(qū)信息的所有或部分本地地高速緩存在該設(shè)備上��,并且策略引擎可以使用本地地高速緩存的信息來確定發(fā)起傳輸?shù)脑O(shè)備或用戶的區(qū)以及作為預(yù)期接收者的設(shè)備或用戶的區(qū)��。如果發(fā)起傳輸?shù)脑O(shè)備或用戶的區(qū)與作為該內(nèi)容片段的預(yù)期接收者的設(shè)備或用戶的區(qū)相同���,則可以確定該傳輸不會導致該內(nèi)容片段跨越區(qū)邊界���,并且該過程可以結(jié)束。如果發(fā)起傳輸?shù)脑O(shè)備或用戶的區(qū)與作為該內(nèi)容片段的預(yù)期接收者的設(shè)備或用戶的區(qū)不同��,則可以確定該傳輸會導致或?qū)е略搩?nèi)容片段跨越區(qū)邊界����,并且該過程可以繼續(xù)到動作309。在動作309����,策略引擎可以確定作為預(yù)期傳輸?shù)慕Y(jié)果是否要采取任何策略動作,并執(zhí)行該策略動作。策略引擎可以按任何合適的方式來確定是否要采取任何策略動作�����。例如�����,策略引擎可以與中央安全服務(wù)器201通信以確定存儲在策略信息213中的信息保護規(guī)則����,并可將這些規(guī)則應(yīng)用于所指的傳輸?��;蛘?���,在一些實施例中���,可以將存儲在策略信息213中的規(guī)則中的所有或一些本地地高速緩存在該設(shè)備上��,并且策略引擎可以使用本地地高速緩存的信息來確定分類規(guī)則���。分類規(guī)則可以基于這些分類規(guī)則來指定任何合適的策略動作���。例如���,策略引擎可以阻止傳輸����、需要對內(nèi)容進行加密以完成傳輸�����、創(chuàng)建傳輸?shù)膶徲嬋罩緱l目�、提示用戶在完成傳輸前進行確認、創(chuàng)建期望傳輸?shù)男畔⒌母北?�、向用戶或管理員發(fā)送向他或她通知該傳輸?shù)木瘓?��、?或采取任何其他合適的動作�。圖4是可實現(xiàn)本發(fā)明的各方面的說明性計算機400的示意性框圖�。出于簡明的目的并且不以任何方式限制本發(fā)明的各方面,只標識了計算機400的各說明性部分�。例如,計算機400可包括一個或多個附加易失性或非易失性存儲器(它也可被稱為存儲介質(zhì))�����、一個或多個附加處理器、任何其他用戶輸入設(shè)備�����、以及可被計算機400執(zhí)行以執(zhí)行本文描述的功能的任何合適的軟件或其他指令���。在該說明性實施例中�,計算機400包括系統(tǒng)總線410���,以允許中央處理單元402(它可包括一個或多個硬件通用可編程計算機處理器)�、有形存儲器404��、視頻接口 406�、用戶輸入接口 408、以及網(wǎng)絡(luò)接口 412之間的通信�。網(wǎng)絡(luò)接口 412可經(jīng)由網(wǎng)絡(luò)連接420來連接到至少一個遠程計算設(shè)備418。諸如監(jiān)視器422�、鍵盤414、以及鼠標416等外圍設(shè)備��,連同其他用戶輸入/輸出設(shè)備也可被包括在該計算機系統(tǒng)中��,因為本發(fā)明不限于此。在一些實施例中���,可以將以上說明和討論的設(shè)備實現(xiàn)成計算機�����,諸如計算機400。例如��,在一些實施例中�����,可以將設(shè)備201��、203�、205a、205b�、207、209和211各自實現(xiàn)成計算機���,諸如計算機400�。在這個方面����,應(yīng)該理解���,這些設(shè)備的上述功能可以通過中央處理單元402執(zhí)行軟件指令以執(zhí)行這些功能來實現(xiàn),并且如上所述存儲在這些設(shè)備上的信息可被存儲在存儲器404中����。至此描述了本發(fā)明的至少一個實施例的若干方面,可以理解�����,本領(lǐng)域的技術(shù)人員可容易地想到各種更改���、修改和改進���。 這樣的更改、修改和改進旨在是本發(fā)明的一部分�����,且旨在處于本發(fā)明的精神和范圍內(nèi)���。從而�,上述描述和附圖僅用作示例?�?梢远喾N方式中的任一種來實現(xiàn)本發(fā)明的上述實施例��。例如�����,可使用硬件����、軟件或其組合來實現(xiàn)各實施例�����。當使用軟件實現(xiàn)時��,該軟件代碼可在無論是在單個計算機中提供的還是在多個計算機之間分布的任何合適的處理器或處理器的集合上執(zhí)行��。此外�,應(yīng)當理解,計算機可以用多種形式中的任一種來具體化�,如機架式計算機、臺式計算機�����、膝上型計算機、或平板計算機����。此外,計算機可以具體化在通常不被認為是計算機但具有合適的處理能力的設(shè)備中�����,包括個人數(shù)字助理(PDA)�、智能電話、或任何其他適合的便攜式或固定電子設(shè)備����。同樣,計算機可以具有一個或多個輸入和輸出設(shè)備��。這些設(shè)備主要可被用來呈現(xiàn)用戶界面�����?����?杀挥脕硖峁┯脩艚缑娴妮敵鲈O(shè)備的示例包括用于可視地呈現(xiàn)輸出的打印機或顯示屏和用于可聽地呈現(xiàn)輸出的揚聲器或其他聲音生成設(shè)備?����?杀挥糜谟脩艚缑娴妮斎朐O(shè)備的示例包括鍵盤和諸如鼠標�、觸摸板和數(shù)字化輸入板等定點設(shè)備。作為另一示例���,計算機可以通過語音識別或以其他可聽格式來接收輸入信息�。這些計算機可以通過任何合適形式的一個或多個網(wǎng)絡(luò)來互連�����,包括作為局域網(wǎng)或廣域網(wǎng)���,如企業(yè)網(wǎng)絡(luò)或因特網(wǎng)。這些網(wǎng)絡(luò)可以基于任何合適的技術(shù)并可以根據(jù)任何合適的協(xié)議來操作��,并且可以包括無線網(wǎng)絡(luò)���、有線網(wǎng)絡(luò)或光纖網(wǎng)絡(luò)���。而且�����,此處略述的各種方法或過程可被編碼為可在采用各種操作系統(tǒng)或平臺中任何一種的一個或多個處理器上執(zhí)行的軟件���。此外,這樣的軟件可使用多種合適的程序設(shè)計語言和/或程序設(shè)計或腳本工具中的任何一種來編寫���,而且它們還可被編譯為可執(zhí)行機器語言代碼或在框架或虛擬機上執(zhí)行的中間代碼�。就此�,本發(fā)明可被具體化為用一個或多個程序編碼的一個計算機可讀介質(zhì)(或多個計算機可讀介質(zhì))(例如,計算機存儲器�、一個或多個軟盤、緊致盤(CD)����、光盤、數(shù)字視頻盤(DVD)��、磁帶�����、閃存、現(xiàn)場可編程門陣列或其他半導體器件中的電路配置����、或其他非瞬態(tài)的有形計算機存儲介質(zhì)),當這些程序在一個或多個計算機或其他處理器上執(zhí)行時�����,它們執(zhí)行實現(xiàn)本發(fā)明的上述各個實施例的方法����。這一個或多個計算機可讀介質(zhì)可以是可移植的,使得其上存儲的一個或多個程序可被加載到一個或多個不同的計算機或其他處理器上以便實現(xiàn)本發(fā)明上述的各個方面����。此處以一般的意義使用術(shù)語“程序”或“軟件”來指可被用來對計算機或其他處理器編程以實現(xiàn)本發(fā)明上述的各個方面的任何類型的計算機代碼或計算機可執(zhí)行指令集。另夕卜����,應(yīng)當理解���,根據(jù)本實施例的一個方面���,當被執(zhí)行時實現(xiàn)本發(fā)明的方法的一個或多個計算機程序不必駐留在單個計算機或處理器上,而是可以按模塊化的方式分布在多個不同的計算機或處理器之間以實現(xiàn)本發(fā)明的各方面。計算機可執(zhí)行指令可以具有可由一個或多個計算機或其他設(shè)備執(zhí)行的各種形式��,諸如程序模塊�。一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程��、程序�����、對象�、組件、數(shù)據(jù)結(jié)構(gòu)等�。通常,程序模塊的功能可以按需在各個實施例中進行組合或分布����。而且,數(shù)據(jù)結(jié)構(gòu)能以任何合適的形式存儲在計算機可讀介質(zhì)上����。為簡化說明,數(shù)據(jù)結(jié)構(gòu)可被示為具有通過該數(shù)據(jù)結(jié)構(gòu)中的位置而相關(guān)的字段��。這些關(guān)系同樣可以通過對各字 段的存儲分配傳達各字段之間的關(guān)系的計算機可讀介質(zhì)中的位置來得到�����。然而,可以使用任何合適的機制來在數(shù)據(jù)結(jié)構(gòu)的各字段中的信息之間建立關(guān)系���,例如通過使用指針�、標簽����、或在數(shù)據(jù)元素之間建立關(guān)系的其他機制。本發(fā)明的各個方面可單獨�����、組合或以未在前述實施例中特別討論的各種安排來使用��,從而并不將其應(yīng)用限于前述描述中所述或附圖形中所示的組件的細節(jié)和安排����。例如,可使用任何方式將一個實施例中描述的各方面與其他實施例中描述的各方面組合����。同樣�����,本發(fā)明可被具體化為方法,其示例已經(jīng)提供���。作為該方法的一部分所執(zhí)行的動作可以按任何合適的方式來排序���。因此,可以構(gòu)建各個實施例�����,其中各動作以與所示的次序所不同的次序執(zhí)行���,不同的次序可包括同時執(zhí)行某些動作����,即使這些動作在各說明性實施例中被示為順序動作�。在權(quán)利要求書中使用諸如“第一”、“第二”���、“第三”等序數(shù)詞來修飾權(quán)利要求元素本身并不意味著一個權(quán)利要求元素較之另一個權(quán)利要求元素的優(yōu)先級����、先后次序或順序、或者方法的各動作執(zhí)行的時間順序���,而僅用作將具有某一名字的一個權(quán)利要求元素與(若不是使用序數(shù)詞則)具有同一名字的另一元素區(qū)分開的標簽以區(qū)分各權(quán)利要求元素���。同樣,此處所使用的短語和術(shù)語是出于描述的目的而不應(yīng)被認為是限制�����。此處對“包括”����、“包含”、或“具有”�����、“含有”��、“涉及”及其變型的使用旨在包括其后所列的項目及其等效物以及其他項目����。
權(quán)利要求
1.一種由計算機執(zhí)行的用于信息保護的方法,所述計算機包括至少一個處理器和至少一個有形存儲器,所述計算機在包括用戶����、設(shè)備和/或域的多個區(qū)的信息空間中操作�,其中所述多個區(qū)中的每一個是用戶、設(shè)備和/或域的邏輯分組�����,并且其中所述方法包括 響應(yīng)于發(fā)起信息傳輸����,確定所述信息傳輸是否將導致所述信息跨越所述多個區(qū)中的兩個區(qū)之間的區(qū)邊界; 當確定所述傳輸不將導致所述信息跨越所述區(qū)邊界時��,準許所述傳輸�����; 當確定所述傳輸將導致所述信息跨越所述區(qū)邊界時 訪問信息保護規(guī)則�����; 將所述信息保護規(guī)則應(yīng)用于所述傳輸以確定是否要執(zhí)行策略動作�����;以及 在確定要執(zhí)行所述策略動作時,執(zhí)行所述策略動作��。
2.如權(quán)利要求I所述的方法���,其特征在于��,確定所述信息傳輸是否將導致所述信息跨越區(qū)邊界的動作進一步包括以下動作 從安全服務(wù)器接收區(qū)信息�����,所述區(qū)信息指示所述多個區(qū)中發(fā)起所述傳輸?shù)挠脩艋蛟O(shè)備被分組到的第一區(qū)以及所述多個區(qū)中作為所述信息傳輸?shù)念A(yù)期接收者的用戶或設(shè)備被分組到的第二區(qū)��。
3.如權(quán)利要求2所述的方法��,其特征在于�,所述安全服務(wù)器是與所述計算機分開的設(shè)備���。
4.如權(quán)利要求2所述的方法���,其特征在于,還包括 確定所述多個區(qū)中的所述第一區(qū)和所述多個區(qū)中的所述第二區(qū)是否是所述多個區(qū)中的同一個區(qū)�; 當確定所述多個區(qū)中的所述第一區(qū)和所述多個區(qū)中的所述第二區(qū)是所述多個區(qū)中的同一個區(qū)時,確定所述傳輸將不導致所述信息跨越所述區(qū)邊界;以及 當確定所述多個區(qū)中的所述第一區(qū)和所述多個區(qū)中的所述第二區(qū)不是所述多個區(qū)中的同一個區(qū)時��,確定所述傳輸將導致所述信息跨越所述區(qū)邊界�����。
5.如權(quán)利要求I所述的方法��,其特征在于��,訪問所述信息保護規(guī)則的動作進一步包括 從存儲所述信息保護規(guī)則的安全服務(wù)器處訪問所述信息保護規(guī)則����,其中所述安全服務(wù)器是與所述計算機分開的設(shè)備�。
6.至少一個編碼有指令的計算機可讀介質(zhì),當在包括至少一個處理器和至少一個有形存儲器的計算機上執(zhí)行所述指令時�����,在包括用戶����、設(shè)備和/或域的多個區(qū)的信息空間中執(zhí)行一種方法,其中所述多個區(qū)中的每一個是用戶�����、設(shè)備和/或域的邏輯分組,其中所述計算機被分組在所述多個區(qū)中的一個中���,所述方法包括 在所述計算機處創(chuàng)建文檔����; 自動確定所述文檔的第一分類�����; 將標識所確定的第一分類的信息嵌入所述文檔中�����; 接收標識所述文檔的第二分類的用戶輸入��; 響應(yīng)于所述用戶輸入���,通過從所述文檔移除標識所述第一分類的信息并將標識所述第二分類的信息嵌入所述文檔中來用所述第二分類覆蓋所述第一分類�。
7.如權(quán)利要求6所述的至少一個計算機可讀介質(zhì)���,其特征在于�,自動確定所述文檔的第一分類的動作包括至少部分地基于所述多個區(qū)中所述計算機被分組到的那個區(qū)來確定所述第一分類。
8.如權(quán)利要求6所述的至少一個計算機可讀介質(zhì)����,其特征在于,自動確定所述文檔的第一分類的動作包括至少部分地基于所述多個區(qū)中所述計算機的用戶被分組到的那個區(qū)來確定所述第一分類����。
9.如權(quán)利要求6所述的至少一個計算機可讀介質(zhì),其特征在于���,自動確定所述文檔的第一分類的動作包括至少部分地基于所述文檔的內(nèi)容來確定所述第一分類�。
10.一種在計算機系統(tǒng)中的計算機�����,包括 至少一個有形存儲器���;以及 至少一個硬件處理器,所述至少一個硬件處理器執(zhí)行處理器可執(zhí)行指令以 響應(yīng)于用戶輸入第一信息�����,將所述第一信息存儲在所述至少一個有形存儲器中�,所述第一信息將用戶���、設(shè)備和/或域分組在各邏輯區(qū)中;以及響應(yīng)于用戶輸入第二信息��,將所述第二信息存儲在所述至少一個有形存儲器中����,所述第二信息指定響應(yīng)于發(fā)起將導致信息跨越各邏輯區(qū)之間的邊界的信息傳輸而要應(yīng)用的信息保護規(guī)則。
全文摘要
一些實施例涉及信息保護方案��,在該方案中�����,可將信息空間中的設(shè)備�、用戶和域分組在各區(qū)中。當信息被傳輸跨越了區(qū)邊界時�,可以應(yīng)用信息保護規(guī)則來確定應(yīng)該準許還是阻止該傳輸,和/或確定是否應(yīng)該采取任何其他策略動作(例如�,需要加密、提示用戶確認該預(yù)期傳輸或某一其他動作)���。
文檔編號G06F15/00GK102782697SQ201180012316
公開日2012年11月14日 申請日期2011年3月2日 優(yōu)先權(quán)日2010年3月5日
發(fā)明者A·帕納修克, C·麥科爾根, G·巴布蘭尼, K·K·帕塔薩拉蒂 申請人:微軟公司