在网络化环境中保护数据安全的制作方法

文档序号：6454258阅读：237来源：国知局

专利名称：在网络化环境中保护数据安全的制作方法
技术领域：
本发明涉及数据安全，更特别但不排他地涉及在网络化环境中保护数据安全的方法和装置。
背景技术：
随着现代信息技术发展，通信信道变得更快和更多样，企业信息技术(IT)基础架构变得更复杂，存在存储和处理越来越大量的信息的需求。
越来越大量的信息产生保护用于商业或者个人目的的机密信息的需求。
对IT基础架构的安全性的威胁可以大致分为两类对组织的IT基础架构的入侵和信息泄露。
对组织的IT基础架构的入侵可以包括，但不限于将恶意的内容(恶意软件(malware))引入组织的IT基础架构。
恶意的内容可以被分为几类计算机病毒-复制自身的恶意的计算机程序，蠕虫-通过计算机网络快速传播并阻塞网络的计算机程序，间谍软件-将其自身安装在计算机上并允许外人获取私人信息的欺骗软件，以及特洛伊木马-看起来具有某种有用的或者良好的目的但实际上掩蔽某种隐藏的恶意代码的程序。
这些威胁通常通过在数据进入组织时检查，阻断或过滤数据来应对 (使用防火墙，抗病毒软件，邮件过滤器等等，如领域中已知的)。
这些威胁还可以通过监控输入数据的处理，并阻止试图违反安全策略的操作来应对(使用入侵检测/防止系统，抗间谍软件，沙箱技术等，如领域中已知的)。
信息泄露威胁是来源于组织内的实体的威胁，这些实体传递信息给没有被授权访问所传递的信息的实体。
未授权的实体可以包括组织内的实体(例如组织的一个4氐级雇员)，组织外部的实体(例如竟争者的雇员)等。信息的泄露可能是故意的或者意外的。泄露还可能由恶意的内容引起(诸如如上所述的引入组织的IT基础架构内的间谍软件)。
因为它很少涉及对IT基础架构的立即的可注意到的损坏，所以信
息泄露较难察觉。
此外，机密数据是日常操作的一部分，并且在组织内以及有时候在
组织外(与合作伙伴，客户等)共享机密数据对于商业上是必要的，；f艮
难定义合法的^f亍为或者工作流程。
现有的解决方案通常要求对组织的数据分类，以及限制用户在处理机密数据或者访问敏感源时的操作。然而，现有的解决方案在保护和使用性之间产生折衷。
今天，组织对保护机密信息的需求的认知由最近的立法和规章而增
力口,诸^(口 Gramm—Lea ch-Bl i ley '^r令，Hea 1 th Insurance Portabilityand Accoimtabi 1 ity法令，NASD 2711, Sarbanes-Oxley法令，以及Basel Capital条约。
最近的立法和规章承认暴露个人信息的风险，并且在处理敏感个人信息的组织，诸如医疗提供者，执法机构，保险公司，以及金融机构实行这些立法和规章，以保护敏感个人信息不受偷窃或者泄露。
当前的立法还执行审计和联证工具的使用，来使得能够进行损害控制和信息泄露源的跟踪。
目前，实施几种方法来保护组织免受信息泄露。
设备控制-是包括取消用户向流出数据信道，诸如便携式存储设备，如调制解调器、蓝牙和wifi装置的通信设备，CD刻录机，软盘等写信息的能力的一系列解决方案的方法。设备控制方法防止信息未经授权地传出组织的系统。然而，设备控制方法没有提供针对经由日常通信信道的传输的保护，这些日常通信信道对于商业是必须的并且不能被阻断，诸如email, web，即时消息等。
基于模式的阻断-这种方法分析在通信信道上传输的信息，通常使用网关或者端点过滤器。基于模式的阻断应用预定义的模式(也称为数据签名)来允许或阻断信息传出端点或组织的网络之外。
启发式行为分析_是监控用户和应用程序行为，并将所监控的行为与一组预定义的策略和推断比较的方法，所述策略和推断包括公司的安全策略。阻断或限制违反公司的安全策略的动作。实施该方法的示例产品为Oakley networks Inc的SureView1 然而，
难。推断行为分析不能检测老练的用户或者使用看起来是日常通信的东西的恶意应用程序进行的信息泄露。
鉴定和内容加密-仅允许授权的用户访问预定义的机密数据或源的方法。用户在访问预定义的机密数据之前必须经过识别和鉴定过程。
加密是通常使用的方法，其帮助实施授权访问，并防止未授权的用户实际读取数据，即使他们成功得到数据本身。这种产品的一个示例是 Utimaco Safeware AG的SafeGuard 。
鉴定和内容加密解决方案保护数据不受未授权或者未鉴定的用户或者机器的未授权的使用。但是当应对蓄意的信息偷窃时，鉴定和内容加密解决方案不能防止授权的用户或者在授权的用户的计算机上运行的恶意代码利用其访问权限泄露数据，例如通过将数据复制到没有被加密的另一个文件，打印数据等。
权限管理解决方案，如Microsoft所提供的，例如可以放置在 WindowsTM服务器上，并且由诸如Liquid Machine 用于Microsoft RMS 的文件控制的产品扩展。
权限管理解决方案基于将Microsoft RMS使能的应用程序创建的文件分类为不同的机密等级。每个机密等级与对特定的计算机，用户或组的许可关联，并且可以限制观看，编辑，打印，使用复制-粘贴，转发和保存。许可可以由进行授权的用户设置，或者根据管理员策略模板设置。
然而，权限管理解决方案针对未授权的用户或机器进行保护，但是不能防止授权的用户利用他们的访问权限。许可由特定的应用程序实施。授权的用户可以使用不同的应用程序避开使用限制。
一些当前系统在组织内创建只有经过分级的计算机才能连接的保密的区域或者网络。保密的区域是唯一地创建，存储或处理机密数据的地方。一些系统在两个端点计算机之间使用虚拟分离代替物理分离。这些系统实施以下技术中的一种或多种
远程桌面技术，诸如Terminal ServiceTN^。 Ci tr ix ,允许用户访问物理地或虚拟地与用户的端点计算机分离的远程环境并在其上执行动作。远程桌面系统单独来看不是一种安全系统，但是它可以作为创建环境之间的隔离的平台来使用。利用远程桌面技术，机密数据保持在只能由正在其上运行远程桌面会话的服务器访问的网络内。用户端点计算机只得到信息的原语表示，而不能将机密信息保存或分布到保密网络之外。
虚拟才几系统，诸如Microsoft Virtual PC，和VMware ,允许用户在用户端点设备之内创建虚拟机。虚拟机如同分离的物理计算机一样工作，并且可以用作用于环境隔离的平台。
为了进一步增强机密数据的保护，这种解决方案使得能够加密虛拟机存储设备，防止从端点设备自身的任何访问。
来自Stony Brooks大学的计算机科学系的Yang Yu等人，在MO4 年10月25,在Washington DC的proceeding of 4th workshop on Digital Rights Management中，描述了一种只显示的文件月良务器(D0FS ) 。 Yang
理地离开月l务器。然而，用户仍然可以通过标准应用程序诸如PDF reader 或者MS Word读或写这些文件。，
2001年5月14日提交的授予Meushaw的，标题为"dev i ce f or and method of secure computing using virtual machines" 的美国专利 No. 6922774,描述了使用虛拟机来创建受保护的环境，其中为不同的机密等级创建不同的虛拟机。Meushaw还描述了机密环境之间使用加密来防止从其它环境的未授权的访问的受保护的在线通信。
2000年3月17曰提交的授予Basu的，标题为"System for reverse sandboxing"的美国专利No. 6836888，描述了l吏用虚拟地与端点设备隔离的沙箱，从而允许在沙箱内处理机密数据，并消除在不受信任的端点设备内存在的风险。
上述基于隔离的解决方案聚焦于保护其是机密环境或机器的一部分或者可以从机密环境或机器中访问的机密源，阻止来自其它环境的未授权的访问，从而将所有的机密数据锁定在受限的环境中。
然而，上述基于隔离的解决方案不保护并且有时候甚至不允许经由不是安全环境的一部分的平台的信息传输。这种平台的示例包括储存服务器(文件系统，数据库)，通信服务器(用于消息传送，email, web访问等)以及甚至个人设备(例如USB便携式存储设备)。此外，上述方法需要专门用于机密数据的分离的一组系统和平台或者明确定义的区域。这些区域必须被从网络的其它部分^f艮好地分离并保护。这些系统在使用网络的基础架构和系统方面是受限的。
从而存在广泛认可的对于没有上述限制的系统的需求，并且具有这样的系统将是非常有益的。

发明内容
根据本发明的一个方面，提供一种用于保护数据安全的装置，包括安全环境定义器，配置用于定义已有的用户环境中的安全环境，所述定义器配置用于定义数据不能通过的关于所述环境的边界，以及出所述安全环境的信道，该安全环境定义器还配置为定义与出所述安全环境的所述信道关联的过滤器，所述过滤器可被定义为控制出所述安全环境的数据的通过。
根据本发明的第二方面，提供一种用于保护数据安全的装置，包括至少一个隔离处理环境，与数据源的至少一个相应的预定的保密区域关联，并且可操作来从该相应的保密区域接收数据单元，其中所述隔离处理环境安装在端点计算机上；输出限制器，与所述隔离处理环境关联，并且配置为根据预先定义的策略，限制数据单元从隔离处理环境的输出。
根据本发明的第三方面，提供一种用于保护数据安全的装置，包括隔离处理环境，与数据源的预定的保密区域关联，具有数据不能通过的边界，以及供数据跨过所述边界的通过的信道，该隔离处理环境可操作来从保密区域接收数据单元，其中所述隔离处理环境安装在端点计算机上；数据分级器，与所述隔离处理环境关联，并且配置为根据预先定义的策略给数据单元分级；输出限制器，与所述信道关联，并且配置为根据所述分级，限制数据单元跨过所述信道的输出；以及输出数据修改器，与所述输出限制器关联，并且配置为根据所述分级修改输出的数据单元。
根据本发明的第四方面，提供一种用于保护数据安全的装置，包括隔离处理环境，与数据源的预定的保密区域关联，其中所述隔离处理环境安装在端点计算机上；以及输入限制器，与所述隔离处理环境关联，并且配置为限制数据单元输入到所述隔离处理环境中，其中所述隔离处理环境还可操作来将输入的数据单元转发到保密区域。
根据本发明的第五方面，提供一种用于保护数据安全的装置，包括隔离处理环境，与数据源的预定的保密区域关联，其中所述隔离处理环境安装在端点计算机上，所述隔离处理环境包括数据不能通过的边界，
以及用于允许数据跨过所述边界的信道；输入限制器，与所述信道关联，并且配置为限制数据单元输入到所述隔离处理环境中；以及输入数据修改器，与所述输入限制器关联，并且配置为根据预先定义的策略修改所述输入的数据单元；其中所述隔离处理环境还可操作来将输入的数据单元转发到保密区域。
根据本发明的第六方面，提供用于保护数据安全的系统，包括至少两个隔离处理环境，每个环境包括数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，每个环境可操作地与数据源相应的预定的保密区域关联，从而从该保密区域接收数据单元，并且安装在端点计算机上；以及至少两个输出限制器，每个输出限制器与所述隔离处理环境中相应的一个的信道关联，并且配置为控制所接收的数据单元从该隔离处理环境的的输出。
根据本发明的第七方面，提供用于保护数据安全的工具包，包含在计算机可读介质上，该工具包包括隔离处理环境定义器，可操作来定义隔离处理环境，所述隔离处理环境包括数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，所述环境与端点计算机上数据源的预定的保密区域关联；以及输出限制器，可安装在端点计算机上，并且配置为限制数据单元通过所述信道输出。
根据本发明的第八方面，提供一种保护数据安全的方法，包括a) 通过定义数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，在端点计算机上创建隔离处理环境；b)在所述隔离处理环境中接收源自与该隔离处理环境关联的预定的保密区域的数据单元；以及c) 监控所述信道以便限制所接收的数据单元从所述隔离处理环境的输出。
根据本发明的第九方面，提供一种保护数据安全的方法，包括a) 通过定义数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，在端点计算机处创建隔离处理环境；b)监控所述信道以便限制将数据单元输入所述隔离处理环境；以及c)将受到限制的输入数据单元
从所述隔离处理环境转发到与该隔离处理环境关联的保密区域，从而保护输入所述保密区域的数据。
除非另有定义，这里使用的所有技术和科学术语具有与本发明所属技术领域普通技术人员通常理解的相同的含义。这里提供的材料，方法和示例仅仅是示例性的并且并不意图是限制性的。
实施本发明的方法和系统包括手动，自动或者两者组合地执行或完成所选择的任务或步骤。
此外，根据本发明的方法和系统的优选实施例的实际的装备配置和设备，可以通过硬件或任何固件的任何操作系统上的软件或者两者的组合来实施几个选择的步骤。例如，作为硬件，本发明选择的步骤可以实施为芯片或电路。作为软件，本发明选择的步骤可以实施为由使用任何适当的操作系统的计算机执行的多个软件指令。在任何情况下，本发明的方法和系统的选择的步骤可以被描述为由数据处理器执行，诸如用于执行多个指令的计算平台。

这里，参考附图，以仅仅示例的方式来描述本发明。现在详细地特别参照附图，强调的是所示出的细节仅仅是为了示例以及本发明的优选实施例的说明性讨论，并且是为了提供相信是本发明的原理和概念方面的最有用的和最容易理解的描述。在此方面，并不试图比基本理解本发明所必需的更详细地说明本发明的结构细节，与附图一起做出的描述使得本领域技术人员明白如何可以在实际中实施本发明的这几种形式。
在附图中
图la是示出根据本发明一优选实施例，用于保护数据安全的第一装置的简化框图。
图lb是示出根据本发明一优选实施例，用于保护数据安全的第二装置的简化框图。
图lc是示出根据本发明一优选实施例，用于保护数据安全的第三装置的简化框图。
图ld是示出根据本发明一优选实施例，用于保护数据安全的第四装置的简化框图。
图le是示出根据本发明一优选实施例，用于保护数据安全的工具包的简化框图。图2是示出根据本发明一优选实施例，用于保护数据安全的第四装置的简化框图。
图3是示出根据本发明一优选实施例，用于保护数据安全的第五装
置的简化框图。
图4是示出根据本发明一优选实施例，用于保护数据安全的第一系统的示例实施的框图。
图5是示出根据本发明一优选实施例，用于保护数据安全的第二系统的示例实施的框图。
图6是示出根据本发明一优选实施例，用于保护数据安全的第三系统的示例实施的框图。
图7a是示出根据本发明一优选实施例，用于保护数据安全的第一方法的简化流程图。
图7b是示出根据本发明一优选实施例，用于保护数据安全的第二方法的简化流程图。
具体实施例方式
当前实施例包括用于保护数据的装置和方法，包括隔离处理环境，具有数据不能跨过的边界，以及用于允许数据跨过该边界的信道。过滤器限制跨过该信道的数据通过。受保护的数据初始位于安全区域内，并且只释放到这种安全处理环境中，从而可以得到授权用户对安全数据的访问，但是授权用户将安全数据随后放出到外部世界受到控制。
参考附图和相关的描述将更好地理解根据本发明的装置的原理和操作。
根据本发明的优选实施例，提供一个或多个隔离处理环境，安装在端点计算机上，诸如网络化环境中的用户之一使用的台式PC。
隔离处理环境是受保护的和分离的环境，用于运行应用程序，处理数据，存储数据或者以上的组合。该隔离处理环境可以是在用户的台式计算机上或者用户的膝上型计算机上等实现的逻辑实体。这种隔离处理环境的示例是虚拟机，包含在已有的台式机上运行的完整的操作系统。隔离处理环境可以使用当前的产品，诸如VMWare 工作站，以及 Microsoft Virtual 『来实现。
隔离处理环境作为用户环境的一部分来使用，能够运行应用程序和处理数据单元。
隔离处理环境(IPE)默认是受保护的和分离的环境，除了该用户
之外没有实体能访问位于IPE内的数据，IPE中运行的应用程序等。隔
离处理环境作为隔离的计算机工作。
隔离处理环境可以是由用户或管理员预定义的保密区域
(classified area)的一部分或者能够自由访问该保密区域。保密区域是包括保存数据单元的一个或多个数据源的预定义区域。保密区域可以使用本领域已知的任何方法实现。保密区域可以包括数据库，服务器等，如下文进一步详细描述的。
根据一优选实施例，根据用户或管理员预定义的策略控制来自隔离处理环境的数据单元(诸如文件，email,消息，剪贴板内容和任何其它数据单元)的输入和输出，如下文进一步详细描述的。
在详细说明本发明的至少一个实施例之前，需要理解本发明在其应用方面不限制于在下面的描述中呈现或者在附图中示出的组件的构造
行。另外，需要理解这里采用的措词和术语是为了描述的目的而不应被视为限制。
现在参考图la,其是示出根据本发明一优选实施例，用于保护数据的第一装置的简化框图。
用于保护数据的装置100包括安全环境定义器12,其可用于在已有的用户环境，比如端点计算机中定义安全环境，端点计算机例如用户的台式计算机或者膝上型计算机等。
安全环境定义器12还用于定义关于安全环境的数据不能跨过的边界，以及出安全环境的信道。
安全环境定义器12还用于定义连接到出安全环境的信道的过滤器。定义该过滤器来控制经过信道从而到安全环境之外的数据的通过。
优选地，用户或管理员可以定义数据源的保密区域，如所进一步详细描述的。来自保密区域的数据仅允许流到所定义的安全环境，如下文进一步详细描述的。
现在参考图lb,其是示出根据本发明一优选实施例，用于保护数据的第二装置的简化框图。
用于保护数据安全的装置1 000包括隔离处理环境200,安装在比如用户的台式计算机，用户的膝上型计算机的端点计算机，或者本领域已知的任何其它端点计算机装置上。
隔离处理环境(IPE) 200连接到数据源的保密区域400。
保密区域400可以由装置1000的用户或者管理员定义。保密区域400可以包括诸如设备(比如数据库服务器)，网络源(比如企业内部互联网)等的本领域已知的数据源。
可选的，保密区域400包括位于在其上实现隔离处理环境200的端点计算机外部的数据源。例如，保密区域400可以包括位于连接到端点计算机的局域网中的数据库服务器。
允许隔离处理环境(IPE) 200访问保密区域400,并且可以操作隔离处理环境(IPE) 200从保密区域400接收数据单元。数据单元可以隔离的方式在隔离处理环境200存储或处理。
即，如果用户被授权使用隔离处理环境2 00访问数据单元，用户可以将数据单元从保密区域400引入隔离处理环境200,如下文进一步详细描述的。引入的数据单元可以在隔离处理环境200中处理，存储，编辑等，如下文进一步详细描述的。
装置IOOO还包括输出限制器214 (例如数据过滤器)，连接到隔离处理环境200。
输出限制器214根据预定的策略限制数据单元从隔离处理环境200输出。
输出限制器214检测从隔离处理环境200输出数据单元的尝试。输出限制器214确定该数据单元是否被允许从隔离处理环境2 0 0输出。
例如，可以根据装置1000的用户或者管理员预先定义的策略，阻止用户将机密数据单元从隔离处理环境200写入到保密区域400外的区域中的文件的尝试。
现在参考图lc,其是示出根据本发明一优选实施例，用于保护数据安全的第三装置的简化框图。
用于保护数据安全的装置1100包括隔离处理环境200,如下文进一步详细描述的。
隔离处理环境200安装在比如用户的台式计算机，用户的膝上型计算机的端点计算机，或者本领域已知的任何其它端点计算机装置上。
隔离处理环境(IPE) 200连接到数据源的保密区域400,如下文进一步详细描述的。
装置1100还包括连接到隔离处理环境的输入限制器222，比如数据过滤器。输入限制器222也可配置在隔离处理环境内，如下文进一步详细描述的。
输入限制器222限制数据单元输入隔离处理环境200。优选地，输入限制器222还限制数据单元输入如上文所定义的保密区域400。
输入限制器222确定数据单元的输入是否被阻止、允许等。例如，输入限制器222可以允许从隔离处理环境200访问数据单元，如下文进一步详细描述的。
优选地，输入限制器222还可以确定在输入数据单元之前必须执行的特定操作，如下文进一步详细描述的。
一旦允许从隔离处理环境访问数据单元，该数据单元可以-波转发到保密区域400。例如，如果用户是隔离处理环境200的授权用户，该用户可以选择在保密区域400中的数据库中存储该数据单元。
可选的，输入限制器222连接到环境选择器228或者是环境选择器228的一部分。
环境选择器228跟踪计算机中数据单元的移动，确定数据单元的分级组，并激活相关的鉴定和授权过程来允许用户访问数据单元。接着，环境选择器228可以传输该数据单元供在隔离处理环境20Q中进一步处理，如下文进一步详细描述的。
现在参考图ld，其是示出根据本发明一优选实施例，用于保护数安全的第四装置的简化框图。
根据本发明一优选实施例的装置包括隔离处理环境200。隔离处理环境200作为用户环境的一部分使用，以隔离的方式运行应用程序，并处理数据单元。
即，隔离处理环境200是受保护的分离的系统，默认没有外部实体能访问应用程序的数据，网络或运行的程序。隔离处理环境200作为具有预定的处理和储存资源的分离的计算单元工作。
隔离处理环境2 0 0可以是保密区域4 0 0的一部分或者可以访问保密区域400,如本领域所知的。保密区域400可以包括诸如设备源410 (比如数据库服务器，计算设备-端点计算机外部或内部的设备和服务器)
的数据源。优选地，隔离处理环境200包括自动加密的本地文件系统。
自动加密的本地文件系统可用于利用本领域已知的方法在将数据
单元存储在隔离处理环境200中时自动加密数据单元。
保密区域400还可以包括网络数据源420,该网络数据源可以使用不受管理的通信信道110由网络实体(例如网络段，网络地址，域，URL，企业内部互耳关网站点，网络3各径，本地;洛径，文件共享)，或它们的4壬何组合访问。
不受管理的通信信道可以使用领域中已知的工具(例如防火墙规则，VPN， VLAN,映射驱动器，主机上的资源管理等)在保密区域400
中的不同实体之间创建。
不受管理的通信信道11Q还可以在保密区域400中的实体和隔离处理环境200之间创建。
可选的，隔离处理环境200位于保密区域内。
可选的，保密区域在隔离处理环境200之外。
优选地，数据单元(诸如文件，email，消息，剪贴板内容以及任
何其它数据单元)只能在装置的用户或者管理员预定义的策略允许该数据单元的输出时离开该隔离处理环境200,如下文进一步详细描述的。
优选地，数据单元从隔离处理环境200的输出由输出信道监控器 210控制，如下文进一步详细描述的。
优选地，将数据单元输入隔离处理环境200由输入信道监控器220 控制，如下文进一步详细描述的。
信道控制器210, 220监控和控制数据单元在隔离处理环境200和隔离处理环境200和保密区域400外部的区域300中的实体之间的移动，如下文进一步详细描述的。例如，信道控制器210， 220控制在隔离处理环境200和非保密设备源310和非保密网络源320之间数据单元的移动，如下文进一步详细描述的。
优选地，根据本发明一优选实施例的装置还包括连接到隔离处理环境的管理控制台500。
管理控制台500用于执行维护，对配置和策略的改变，定义分级组，管理审核和日志，以及管理将数据单元修改到不可读的加密格式的加密密钥，等等，如下文进一步详细描述的。
可选的，根据本发明一优选实施例的装置还包括安装模块。该安装模块用于在端点网络连接的计算机上安装隔离处理环境200,输出信道
控制120,输入信道控制130等。
现在参考图le,其是示出根据本发明一优选实施例，用于保护数据
安全的工具包的简化框图。
用于保护数据安全的工具包1200包括隔离处理环境定义器120。隔离处理环境定义器12 0可操作来定义与数据源的保密区域关联的
隔离处理环境。该隔离处理环境位于端点计算机上。
该保密区域可以包括的数据源，其包括但不限于数据服务器，网络
设备，网络连接等，如下文进一步详细描述的。
工具包1200还包括输出限制器214，例如数据过滤器。输出限制器214可安装在端点计算机上，并限制数据单元从使用隔
离处理环境定义器120定义的隔离处理环境输出，如下文进一步详细描述的。
现在参考图2,其是示出根据本发明一优选实施例，用于保护数据安全的第四装置的简化框图。
装置2000包^"隔离处理环境200,如上文进一步详细描述的。装置2000还包括输出信道监控器210。
优选地，输出信道监控器210从隔离处理环境200之内工作，并且监控将数据单元从隔离处理环境200输出到不在保密区域内的位置的任何尝试。可选的，输出信道监控器210还监控从上文进一步详细描述的保密区域4 0 0输出数据单元的任何尝试。
优选地，输出信道监控器210监控从隔离处理环境200输出数据的任何尝试，诸如-写到本地文件中，发送到文件服务器，下载到便携式存储设备(诸如USB便携式存储器等，如本领域已知的)，写email,
将数据复制到剪贴板，截屏，或者发送数据单元到打印。
输出信道监控器210包括连接到隔离处理环境200的数据分级器
212。
数据分级器212接收将要从隔离处理环境200输出的数据单元。数据分级器212根据策略为每个所接收的数据单元分级。优选地，策略由装置2000的用户或者管理员预先定义。例如，数据分级器212 可以给数据单元分配从装置2000的用户或者管理员预先定义的多个分级组中选4奪的分级组，如下文进一步详细描述的。输出信道监控器210还包括输出限制器214，例如数据过滤器。输出限制器214连接到隔离处理环境200和数据分级器212。
输出限制器214限制数据单元从隔离处理环境200输出。优选地，输出限制器还限制数据单元保密区域400输出，如上文所定义的。
输出限制器214确定数据单元的输出是否被阻止、允许等。
优选地，输出限制器214还可以确定要在输出数据单元之前执行的动作，如下文进一步详细描述的。
优选地，输出限制器214根据预先定义的策略限制数据的输出。预
先定义的策略可以基于数据单元的分级，例如根据数据分级器212分配给数据单元的分级组。
优选地，输出限制器214进一步被配置为根据预先定义的策略改变输出数据单元的分级，如下文进一步详细描述的。
输出信道监控器210还包括输出数据修改器216,连接到隔离处理环境200和输出限制器212。
如果输出限制器214允许数据单元的输出，输出数据修改器216根据预先定义的策略修改数据单元。策略可以由装置2000的用户或者操作员预先定义。
优选地，输出数据修改器216根据数据分级器212分配给数据单元的分级组修改数据单元。
优选地，通过修改数据单元，输出数据修改器216将数据单元转换成不可读的一各式。
数据单元的修改可以包括但不限于使用领域中已知的加密技术加密数据单元，从而将数据单元转换成不可读的格式。
优选地，装置2000还包括图形用户界面(GUI)管理器270,连接
到隔离处理环境200。
图形用户界面(GUI)管理器270管理用于将数据单元呈现给端点计算机的用户的GUI。
优选地，图形用户界面(GUI)管理器根据预先定义的策略标记所呈现的数据单元。例如，GUI管理器"Q可以用甄别4见觉标记，例如用特别的图标呈现隔离处理环境200中的数据单元，用红色的特别记号呈现从隔离处理环境200输出的数据单元。
装置2000还包括输入信道监控器220。优选地，输入信道监控器220从隔离处理环境200之内操作，并监控将数据单元输入隔离处理环境200之内的任何尝试。可选的，输入信道监控器220还监控将数据单元输入上文进一步详细描述的保密区域 400中的任何尝试。
输入信道监控器220包括连接到隔离处理环境200的输入限制器
222。
输入限制器可以连接到环境选择器228或者与其相关联。环境选择器228检测在位于计算机上的数据单元中执行操作的尝试，并确定该操作是否必须被限制到隔离处理环境，如下文进一步详细描述的。
输入限制器222限制数据单元输入到隔离处理环境200。优选地，输入限制器222还限制数据单元输入到保密区域400,如上所定义的。
输入限制器222确定数据单元的输入是否被阻止、允许等。优选地，输入限制器222还可以确定在输入数据单元之前要执行的操作，如下文进一步详细描述的。
例如，输入限制器222可以检测用户访问保密区域400之外的任何数据单元的尝试，并确定该数据单元的分级，例如通过确定数据单元的分级组，如同上文对于数据分级器212进一步详细描述的。接着，输入限制器222确定是否允许从隔离处理环境200访问该数据单元。
输入信道监控器220还包括输入数据修改器226,例如数据过滤器。输入数据修改器226连接到隔离处理环境200和输入限制器222。
如果输入限制器222允许数据单元的输入(例如通过允许从隔离处理环境200访问该数据单元)，输入数据修改器226根据预先定义的策略修改数据单元。
策略可以由装置2000的用户或者操作员预先定义。
优选地，输入数据修改器226根据数据单元的分级修改数据单元，例如根据产生该数据单元的另一个隔离处理环境的数据分级器212分配给数据单元的分级组。
优选地，通过修改数据单元，输入数据修改器226将转换成不可读格式(例如使用另一个隔离处理环境的输出数据修改器216,如上所述)
的数据单元恢复为可读格式。
数据单元的修改可以包括但不限于使用领域中已知的解密技术解密数据单元，从而将数据单元转换成可读的格式。现在参考图3,其是示出根据本发明一优选实施例，用于保护数据安全的第五装置的简化框图。
装置3000包括隔离处理环境200，如上文进一步详细描述的。
装置3000还包括连接到隔离处理环境200的数据分级器212。
数据分级器212接收将要从隔离处理环境200输出的数据单元。数据分级器212根据策略为每个所接收的数据单元分级。优选地，策略由装置3000的用户或者管理员预先定义，如上文进一步详细描述的。
装置3000还包括连接到数据分级器212的输出限制器214(例如本领域已知的数据过滤器)。
输出限制器214限制数据单元从隔离处理环境200输出。优选地，输出限制器还限制数据单元保密区域400输出，如上文所定义的。
输出限制器214确定数据单元的输出是否被阻止、允许等。优选地，输出限制器214还可以确定要在输出数据单元之前执行的特定动作，如下文进一步详细描述的。
优选地，输出限制器214根据预先定义的策略限制数据的输出。预
先定义的策略可以基于数据单元的分级，例如根据数据分级器212分配给数据单元的分级组，如上文进一步详细描述的。
装置3000还包括连接到输出限制器212的输出数据修改器"6。如果输出限制器214允许数据单元的输出，输出数据修改器216根
据预先定义的策略修改数据单元。策略可以由装置3000的用户或者操
作员预先定义。
优选地，输出数据修改器216根据数据分级器212分配给数据单元的分级组修改数据单元。
优选地，通过修改数据单元，输出数据修改器216将数据单元转换
成不可读的格式。
数据单元的修改可以包括但不限于使用领域中已知的加密技术加密数据单元，从而将数据单元转换成不可读的格式。
装置3000还包括连接到隔离处理环境200的输入限制器222(例如本领域已知的数据过滤器)。
输入限制器222限制数据单元输入到隔离处理环境200。优选地，输入限制器222还限制数据单元输入到保密区域400,如上文进一步详细描述的。输入限制器222确定数据单元的输入是否被阻止、允许等。优选地，输入限制器222还可以确定在输入数据单元之前必须执行的特定动作，如下文进一步详细描述的。
例如，输入限制器222监控用户访问保密区域400之外的任何数据单元的尝试，并确定该数据单元的分级，例如通过确定数据单元的分级组，如同上文对于数据分级器212进一步详细描述的。接着，输入限制器2"确定是否允许从隔离处理环境200访问该数据单元。
装置3000还包括连接到输入限制器222的输入数据修改器226。
如果输入限制器222允许数据单元的输入(例如通过允许从隔离处理环境200访问该数据单元)，输入数据修改器226根据预先定义的策略修改数据单元。
策略可以由装置3000的用户或者操作员预先定义。
优选地，输入数据修改器226根据数据单元的分级修改数据单元，例如根据产生该数据单元的另一个隔离处理环境的数据分级器212分配给该数据单元的分级组。
优选地，通过修改数据单元，输入数据修改器226将转换成不可读的格式(例如使用另一个隔离处理环境的输出数据修改器216,如上所述)的数据单元恢复为可读格式。
数据单元的修改可以包括但不限于使用领域中已知的解密技术解密数据单元，从而将数据单元转换成可读的格式。
装置3000还可以包括连接到输入限制器的鉴定器224。
鉴定器224在允许用户访问数据单元之前鉴定用户的身份。筌定器 224可以使用本领域已知的任何用户鉴定方法，包括但不限于共享秘密，口令，基于证书的，挑战-回应，令牌验证，生物统计学系统或者其它物理设备等。
装置3000还包括记录器230,连接到输入限制器222和输出限制器
214。
记录器230通过在日志中记录关于操作的信息，记录限制器214, 222允许或阻止的操作。
可选的，记录器230也连接到鉴定器224,并且还记录鉴定器224 执行的操作。
曰志可以用于以各种方式审核和分析记录的操作，如本领域所已知的。方式可以包括但不限于过滤，集中到日志服务器中，经由任何消息传送信道生成警告，分类成不同的重要程度，搜索，索引，或者生成统计信息。
现在参考图4,其是示出根据本发明一优选实施例，用于保护数据安全的第一系统的示例实施的框图。
根据本发明一优选实施例的示例系统包括保密区域6 0 0 。
保密区域600包括设备数据源610 (比如数据库服务器，储存设备等)，以及网络数据源620 (比如到局域网，企业内部互联网的连接等， ^口4L4页i或已^口的)。
保密区域600包括只包含保密数据的几个网络段620。该保密区域 600包括一些文件服务器，数据库，内部web服务器等。
保密区域600只能从预先定义的隔离处理环境访问，如下文进一步详细描述的。
可选的，部分保密区域可通过已知的网络控制方法诸如防火墙， VLAN管理，确保保密的数据不从保密区域泄露，如本领域已知的。
在示例系统的实施之前不包含保密信息的实体，诸如邮件服务器，文件服务器，USB驱动器等，从保密区域600中排除，并形成外部区域 300。
在本示例中，作为保密区域600的一部分的所有实体，以及位于保密区域600的实体上的所有数据单元一皮分配分级组A。
可选的，使用主机计算机中的虛拟机创建几个隔离处理环境200, 400,并且通过在物理分离的机器上运行远程桌面创建额外的隔离处理环境，如本领域已知的。
隔离处理环境的创建可以使用当前的工具进行，包括但不限于虛拟机工具-诸如VMware , Microsoft Virtual PC ,以及诸如Citrix"1 或Microsoft Terminal Services 的远,呈桌面工具。
通信信道110建立在隔离处理环境200, 400和保密区域600的数据源之间。
定义关于进入和流出被分配了分级组A的隔离处理环境200A的数据单元的安全策略。例如，一种安全策略禁止向便携式存储设备(诸如随身碟，软盘和CD)的写入。然而，允许在收到管理员的许可之后打印和经由Email发送文件。示例系统还包括管理控制台500,连接到隔离处理环境200, 400。管理控制台500还可以连接到保密区域600。
管理控制台500可以由系统的管理员使用，来定义和分配分级组，管理隔离处理环境200,定义和管理保密区域600和保密区域的内容，定义策略等。
在该示例中，隔离处理环境A 20(H吏用VMwareTM创建。环境200接着由用户A用于创建新的文件。当试图将该文件保存到
配置在保密区域6 0 0之外的本地盘31 0时，该操作由输出信道监控器21 0
;险测，如上文进一步详细描述的。
在输出信道监控器210中，文件的数据单元被首先转发到数据分级
器212,数据分级器212为文件的每个数据单元分配对于隔离处理环境
200定义的默认分级组。对于隔离处理环境A200定义的默认分级组为分
级组A。
接着将数据单元转发到输出限制器214。
输出限制器214确定该操作是否被允许。该判断可以根据所确定的该数据单元的分级组和系统的管理员使用管理控制台5 0 0预先定义的安全策略来执行。
到本地盘中的尝试被允许。
当获得操作(即将数据单元写到本地盘中)的授权时，该数据单元被分派到输出数据修改器216来对该数据单元进行修改。
通过修改该数据单元，数据修改器216将该数据单元转换成，根据分配给该数据单元的分级组以及系统的管理员定义的安全策略选^^的不可读的格式。
在本示例中，使用定义为该分级组的特有密钥的加密密钥来加密，将该数据单元转换成不可读的格式。
在该示例中，获得授权访问分配了分级组A的数据单元的所有用户被授予，对可用于解密分配了分级组A的加密的数据单元的解密密钥的访问。
例如，可以为身份经过验证的用户提供解密密钥，如下文进一步详细描述的。在用户的身份经过验证之后，可以从管理控制台500发送解密密钥给用户。接着执行所请求的操作，以加密的方式将该数据单元(即该文件)
包存储在非保密的本地盘310上。
系统还包括环境选择器228,配置在隔离处理环境200之外，并连接到隔离处理环境200。
位于隔离处理环境200之外的环境选择器228检测访问不可读的文件的尝试。
环境选择器228确定文件的分级组，并激活相关的鉴定和授权程序来允许用户对文件的访问。
传送这些数据单元以进一步在隔离处理环境中处理源自隔离处理环境A 200的文件中的这些数据单元。
此外，在该示例中，用户可以通过试图将数据单元保存在位于保密区域600之外的共享文件位置320 (例如共享文件夹，文件服务器，或者甚至便携式存储设备)，选择从隔离处理环境200输出数据单元(例如文件)。
该尝试由流出信道监控器210检测到。
数据单元由输出数据分级器212分配分级组A。
输出限制器214允许该数据单元的输出，并且输出数据修改器216 将该数据单元修改为加密的格式，如上文进一步详细描述的。
最后，数据单元以加密的格式保存在不保密的共享文件位置320。
隔离处理环境B 400由用户B使用，其由独立的服务器上的远程桌面创建，并且也一皮分配了分级组A。
用户B具有对共享文件位置320的访问权限(物理地或者在网络上)。然而，文件位置'320没有被定义为隔离处理环境B 400所相关的保密区域600的部分。
当用户B试图从隔离处理环境B 400内访问共享文件位置320上的文件时，该操作由与隔离处理环境B 400关联的输入限制器426检测到，如上文进一步详细描述的。
输入限制器"6确定该数据单元的分级组，并允许该数据单元输入到隔离处理环境400中。
接着，使用鉴定器424执行的相关的鉴定程序验证用户B的身份，如上文进一步详细描述的。例如，可以用生物统计学系统424鉴定用户 B的身份，如本领域已知的。接着，传送该文件供在相关的隔离处理环境-隔离处理环境B 400 中进一步处理。
接着，由连接到隔离处理环境400的输入数据修改器422修改该数据单元。
输入数据修改器422从中央管理控制台500获得密钥，并使用该密钥解密该数据单元，从而将数据单元恢复成可读的格式。
通过将数据单元恢复成可读的格式，输入数据修改器使得用户以及为用户执行的相关应用程序能够处理该数据单元。
即，在该数据单元被恢复到可读格式之后，得到授权的用户B可以在隔离处理环境400中处理该数据单元。
从而在上面提供的示例中，尽管数据单元在不保密的系统上，在外部区域300中传输，如果用户在相关的隔离处理环境400中访问该数据单元，只有获得授权的用户能够访问该数据单元。
现在参考图5，其是示出根据本发明一优选实施例，用于保护数据安全的第二系统的示例实施的框图。
图5提供的示例说明基于根据本发明一优选实施例的示例系统。
图5的系统包括两个保密区域500, 600。
分级组A分配给由保密区域500产生的任何数据单元，分级组B分配给由保密区域600产生的任何数据单元。
优选地，两个保密区域600和700在作为(多个)保密区域的一部分或者可以从(多个)保密区域内访问的数据源方面，是相互排他的。每个数据源(例如设备，数据库，网络连接等)唯一地属于两个保密区域中单独的一个。
在该示例中，分级组A的安全策略禁止将分级组A的数据单元写到可移动介质(诸如便携式存储设备，拇指盘，软盘和CD),以及将数据复制到具有对分级组A的访问的隔离处理环境之外的剪贴板上。
此外，分级组B的安全策略也禁止向可移动介质的写入，并且还需要管理员的批准来打印数据单元或者将其附加到邮件消息。
每个用户被分配了访问这两个分级组中的一个或两个的的许可。
在该示例中，用户A 200和B 30(M皮分配了读和写分级组A和B两者的数据单元的许可，但是用户C 400只;故分配了读和写分级组B的数据单元的许可。适用于两个分级组的安全策略定义，如果用户不具有访问特定数据单元的许可，仍然可以由管理员允许他访问数据单元。
在本示例中，允许每个隔离处理环境访问一个或多个分级组。
关于进入和流出隔离处理环境的数据单元的安全策略由系统的管
理员定义，例如使用管理控制台500，如上文进一步详细描迷的。
使用虛拟才几(诸如VMware^或Microsoft Virtual PC )在用户A
的主机200上创建两个隔离处理环境210, 220。
隔离处理环境210连接到保密区域A 5 00并且具有对其的访问权限，
因为保密区域A的数据单元被分配了分级组A。
因为保密区域B的数据单元被分配了分级组B。
用户A可以选择在隔离处理环境A 210中，从源自隔离处理环境A 210能够访问的保密区域600的数据创建新的文件。
一旦使用环境210创建了该文件，该文件所有的处理都在隔离处理环境21Q中(或者由具有访问分级组A的保密区域的许可的任何其它环境)执行，如上文进一步详细描述的。
用户A^妻着选4奪将该文件附加到email,该email经由保密区i或600 之外的邮件服务器寻址到用户B 300和用户C 400。
当用户A 200试图作为对电子邮件消息的附件发送该文件时，该操作由隔离处理环境210的输出信道监控器检测到，如上文进一步详细描述的。
该数据文件首先被分派给输出数据分级器，如上文进一步详细描述的。输出数据分级器将对隔离处理环境21G定义的默认分级组(即，分级组A )分配给该文件。
接着，将该文件转发到输出限制器，如上文进一步详细描述的。
输出限制器使用数据单元的分级组，根据系统的管理员预先定义的安全策略，确定该操作是否被允许。
根据预先定义的安全策略，将数据单元写到Email是允许的。从而，允许从用户A使用的隔离处理环境210输出该文件。
当获得操作的授权，将该文件转发到输出数据修改器，如上文进一步详细描述的。
输出数据修改器根据预先定义的策略，基于分配给该文件的分级组修改该文件。
例如，修改可以通过将该文件复制到作为保密区域的一部分并且能
够限制用户对文件的访问的中央服务器510或者共享文件位置来执行。
件: 。、、、 '、
链接可以通过本领域已知的方法实施，诸如一些操作系统中存在的
标准链接方法，或者通过系统内特定的文件类型。
接着，经由不保密的邮件服务器发送该电子邮件消息，如加密的格式。
接着，该电子邮件消息由用户B 300和C 400接收。用户B 300也使用在他的主机上的虚拟机创建的两个隔离处理环境 310和320。
隔离处理环境31 0连接到保密区域A 5 00并且具有对其的访问权限，因为保密区域A的数据单元被分配了分级组A。
隔离处理环境320连接到保密区域B 700并且具有对其的访问权限，因为保密区域B的数据单元被分配了分级组B。
当用户试图访问该电子邮件';肖息时，该操作由位于该隔离处理环境之外的环境选择器328检测到，如上文进一步详细描述的。在所提供的示例中，email被认为是不保密的并且电子邮件消息主体在隔离处理环境之外处理。
环境选择器328确定电子邮件消息中的文件链接的分级组，即分级组A。
根据属于分级组A的预先定义的策略，环境选择器328确定该文件链接必须被转发到隔离处理环境A 310，从而将具有该文件链接的邮件消息发送到隔离处理环境A 310。
接着，该文件由隔离处理环境A 310中的数据恢复器处理，其向中央服务器510验证该用户，并从中央服务器510获取该文件的内容，从而使得用户以及隔离处理环境A 310中的用户使用的相关应用程序能够处理该文件。
当用户试图使用剪贴板操作将数据从隔离处理环境A 310之内，或者从环境A 310复制到另一个隔离处理环境(例如隔离处理环境B 320 时)，该操作由输出信道监控器检测到，如上文进一步详细描述的。在输出信道监控器内，该数据首先由输出数据分级器接收。输出数据分级器根据预先定义的策略，将分级组A分配给该数据单元，如上文进一步详细描述的。
接着将该数据分派给输出限制器，输出限制器使用预定的关于分级组A的安全策略，确定该剪贴板操作是否是可以允许的。
根据预定的关于分级组A的安全策略，将分级组A的剪贴板数据复制到隔离处理环境310之外是被禁止的。因此，阻止该操作，并且该尝试由记录器审核，如上文进一步详细描述的。
如上所述，用户C 400只被授予访问分级组B的许可，因此在他的主机上具有一个隔离处理环境420,由虚拟机创建并与分级组B关联。
当用户C 400试图访问承载源自保密区域A 600的数据单元(例如附加的文件)的邮件消息时，该操作由位于隔离处理环境之外的环境选择器428检测到。
环境选择器"8确定该数据单元的分级组为A。由于用户C不具有对分级组A的数据单元的访问权限，他对所附加的数据单元的访问被阻止。
该尝试被记录并经由管理控制台发送到管理员的授权的队列。
在得到管理员的授权时，用户C 400收到访问附加的数据单元的许可。点对点传输(Ad-hock)地创建与分级组A关联的额外的隔离处理环境410,使得用户C能够观看该文件。在本实施例中，环境410使用远程桌面工具(例如Microsoft Terminal Service )创建。
可选的，由隔离处理环境410的输入数据修改器修改该数据单元，例如解密该数据单元，如上文进一步详细描述的。
然而，当用户C试图经由点对点传输环境410输出该数据单元时，点对点传输环境41G的输出分级器将分级组A务配给输出数据单元。从而，点对点传输环境410的输出限制器阻止该操作，因为用户C 400没有输出分级组A数据单元的许可。
现在参考图6,其是示出根据本发明一优选实施例，用于保护数据安全的第三系统的示例实施的框图。
图6的系统包括保密区域600,以及几个隔离处理环境，如上面使用图4所示的。
图6的示例实施使用图5的示例实施的安全策略，以及额外的安全策略。
根据本示例实施的额外的安全策略，所有用户都有给不保密的数据单元分配分级组的许可，并且特定的用户还具有改变数据单元所分配的分级组的许可，如果该改变获得管理员的批准的话。
例如，用户A具有将数据单元的分级组从分级组A改变到不保密的许可。
图6所示的该示例实施的系统还包括记录器510,位于用户的端点计算机上。
该记录器510将出隔离处理环境200的数据单元的所有读和写操作，将分级组分配给数据单元，以及验证用户身份的处理记录到预定的日志中。这些日志可以经由中央管理控制台500显示给管理员，例如为了审核的目的。
在该提供的示例中，用户A为使用膝上型计算机作为主机的移动用户。
在该提供的示例中，使用如领域中已知的沙箱技术在用户A的主机上创建隔离处理环境200。
沙箱技术可以包括在一组处理和操作系统之间緩沖，以及控制该处理试图执行的每个操作，从而使得能够创建隔离处理环境的任何方法。
在该提供的示例中，用户A具有读和写分级组A中的数据单元的许可。
在该示例中，用户A经由来自组织之外的^f火伴的ema i 1 4妻收文件，并且该文件被确定为不保密的。
用户A可能希望在具有对分配到分级组A并且只能经由隔离处理环境A 200访问的数据源的访问的同时，处理该文件。用户A手动地将该文件分配到分级组A。该动作由用户A的膝上型计算机上的记录器510 审核。
如果用户A之后试图将该文件分配到不同的分级组，或者将该文件发回到组织之外，用户A默认会被隔离处理环境200的输出限制器阻止，并且用户A需要管理员的批准。用户A的请求被发送到管理员的队列，并且由记录器510记录。
当试图将该文件保存到本地盘310时，该操作由连接到隔离处理环境200的输出信道监控器210检测到。接着为该数据单元分配与隔离处理环境200关联的默认分级组(分级组A),例如通过输出数据分级器212，如上文进一步详细描述的。
接着，输出限制器214根据上面的策略允许该操作。
接着，由数据修改器216修改该数据单元，数据修改器216通过使用特定于该数据单元的加密密钥的加密修改该数据单元。接着在用户A 的移动主机贮藏并保存解密密钥，供以后的离线使用。该解密密钥由用户A的口令保护。
当远程用户A的膝上型计算机离线时，用户A继续写和读数据单元。记录器510持续记录每个操作。
当用户A重新连接到网络时，记录器510自动与中央管理控制台500 中的中央审核管理器505同步，从而使得管理员能够查看用户A的离线操作。
当用户A希望访问保存在本地盘310上的文件时，该操作由环境选择器228检测到。接着确定该数据单元的分级组，引起相关的鉴定和授权处理的激活以允许对文件的访问(例如通过请求用户A输入他的口令)，例如使用鉴定器，如上文进一步详细描述的。
当确认了用户A的身份时，该数据单元被分派到与分级组A关联的隔离处理环境200中以进一步处理。输入数据修改器222使用贮藏的解密密钥解密该数据单元，从而允许用户A经由隔离处理环境A 200访问该数据单元。
现在参考图7a,其是示出根据本发明一优选实施例，用于保护数据安全的第一方法的简化流程图。
在根据本发明一优选实施例的，在隔离处理环境200 (如上文进一步详细描述的)中实施的方法中，从连接到隔离处理环境200的预定的保密区域400接收71数据单元。
保密区域是包括保持数据单元的一个或多个数据源的预定区域。保密区域400可以使用领域中已知的任何方法来实现。保密区域400可以包括数据库，服务器，网络连接等，如上文进一步详细描述的。
接着，根据预先定义的策略，限制72从隔离处理环境200输出所接收的数据单元的尝试，例如使用输出限制器2",如上文进一步详细描述的。
现在参考图7b,其是示出根据本发明一优选实施例，用于保护数据安全的第二方法的简化流程图。
在根据本发明一优选实施例的，在隔离处理环境200 (如上文进一
步详细描述的)中实施的方法中，根据预先定义的策略，限制75将数据单元输入到隔离处理环境200,例如使用输入限制器222,如上文进一步详细描述的。
即，数据单元的输入可以被阻止，允许等。例如，输入限制器222 可以允许从隔离处理环境2000访问数据单元，如下文进一步详细描述的。
可选的，还可以确定在输入数据单元之前是否必须执行特定的动作，如上文进一步详细描述的。
一旦允许从隔离处理环境访问数据单元，该数据单元可以被转发76 到保密区域400,如果用户是隔离处理环境200的授权用户。
预期在本专利的有效期内会开发很多相关的设备和系统，而这里的术语的范围，特别是术语"端点计算机"，"网络"，"数据单元"， "文件"，"email","虚拟机"，"加密"和"解密"的范围意图是推理地包括所有这种新的技术。
认识到，为了清楚而在分开的实施例的上下文中描述的本发明的特定特征，也可以在单个实施例中组合地提供。相反的，为了简短而在单个实施例的上下文中描述的本发明的不同特征，也可以分开地，或者以任何适当的子组合提供。
尽管已经结合其特定实施例描述了本发明，4艮明显很多替代，修改和变化对对于本领域技术人员是明显的。因此，意图是包含落入所附权利要求的精神和宽广范围内的所有这种替代，修改和变化。
本说明书中提到的所有出版物，专利和专利申请以它们的整体结合在说明书中作为参考，到如同特定地并且单独地指出每个单独的出版物，专利或专利申请结合在此作为参考的程度。此外，本申请中任何参考的引用或者标明不应被视为承认这些参考可以作为本发明的现有技术。
权利要求
1. 一种用于保护数据安全的装置，包括安全环境定义器，配置用于定义已有的用户环境中的安全环境，所述定义器配置用于定义数据不能通过的关于所述环境的边界，以及出所述安全环境的信道，该安全环境定义器还配置为定义与出所述安全环境的所述信道关联的过滤器，所述过滤器可被定义以控制出所述安全环境的数据的通过。
2. 根据权利要求1所述的安全环境定义器，还用于与预先定义的保密数据区域一起使用，并配置为确保来自所述预定保密区域的数据只能进到所述安全环境。
3. 根据权利要求1所述的装置，其中保密区域在该端点计算机之外。
4. 根据权利要求1所述的装置，还包括数据分级器，与所述过滤器关联，并且配置为根据预先定义的策略给该输出数据单元分级，其中所述过滤器还配置为根据分级限制数据单元的输出。
5. 根据权利要求1所述的装置，还包括输出数据修改器，与所述过滤器关联，并且配置为根据预先定义的策略修改输出的数据单元。
6. 根据权利要求5所述的装置，其中所述输出数据修改器还配置为使用输出的数据单元的分级进行修改。
7. 根据权利要求5所述的装置，其中所述修改包括加密输出的数据单元。
8. 根据权利要求1所述的装置，其中所述过滤器包括输入过滤器和输出过滤器，所述输入过滤器配置为限制数据单元输入到所述隔离处理环境中，其中所述隔离处理环境可进一步操作来将输入数据单元转发到保密区域。
9. 根据权利要求8所述的装置，还包括输入数据修改器，与所述输入过滤器关联，并且配置为根据预先定义的策略修改输入的数据单元。
10. 根据权利要求9所述的装置，其中所述修改包括解密输入的数据单元。
11. 根据权利要求1所述的装置，包括多个隔离处理环境，并且还包括环境选择器，与所述隔离处理环境中的至少一个关联，并且配置为检测对数据单元执行操作的尝试，并根据预先定义的策略将该操作的执行限制在所述隔离处理环境中的所选择的一个。
12. 根据权利要求1所述的装置，还包括鉴定器，与所述过滤器关联，并配置为鉴定试图访问输出的数据单元的用户的身份，并根据鉴定的身份限制对输出的数据单元的访问。
13. 根据权利要求1所述的装置，还包括鉴定器，与所述过滤器关联，并配置为鉴定试图访问所述隔离处理环境的用户的身份，并根据鉴定的身份限制用户对所述隔离处理环境的访问。
14. 根据权利要求1所述的装置，还包括记录器，与所述隔离处理环境关联，并配置为记录所述隔离处理环境中的活动。
15. 根据权利要求1所述的装置，其中所述过滤器还配置为根据预定的策略改变输出的数据单元的分级。
16. 根据权利要求1所述的装置，其中所述隔离处理环境包括自动加密的本地文件系统，配置为自动加密存储在所述隔离处理环境中的数据单元。
17. 根据权利要求1所述的装置，还包括图形用户界面(GUI)管理器，与所述隔离处理环境关联，并且配置为管理GUI,所述GUI用于根据预先定义的策略，用有区别的视觉标记将数据单元呈现给该端点计算机的用户。
18. 根据权利要求1所述的装置，其中所述隔离处理环境配置为从至少一个具有预定分级的保密区域接收数据单元。
19. 根据权利要求1所述的装置，其中根据关于保密区域的分级组的预先定义的策略，允许所述隔离处理环境访问至少一个保密区域。
20. —种用于保护数据安全的装置，包括隔离处理环境，与数据源的预定的保密区域关联，具有数据不能通过的边界，以及用于作为数据跨过所述边界的通过的信道，该隔离处理环境可操作来从保密区域接收数据单元，其中所述隔离处理环境安装在端点计算机上；数据分级器，与所述隔离处理环境关联，并且配置为根据预先定义的策略给数据单元分级；输出限制器，与所述信道关联，并且配置为根据所述分级，限制数据单元跨过所述信道的输出；以及输出数据修改器，与所述输出限制器关联，并且配置为根据所述分级修改输出的数据单元。
21. 根据权利要求20所述的装置，其中保密区域在端点计算机之外。
22. —种用于保护数据安全的装置，包括隔离处理环境，与数据源的预定的保密区域关联，其中所述隔离处理环境安装在端点计算机上；以及输入限制器，与所述隔离处理环境关联，并且配置为限制数据单元输入到所述隔离处理环境中，其中所述隔离处理环境还可操作来将输入的数据单元转发到保密区域。
23. 根据权利要求22所述的装置，其中保密区域在端点计算机之外。
24. 根据权利要求22所述的装置，还包括输入数据修改器，与所述输入限制器关联，并且配置为根据预先定义的策略修改输入的数据单元。
25. —种用于保护数据安全的装置，包括隔离处理环境，与数据源的预定的保密区域关联，其中所述隔离处理环境安装在端点计算机上，所述隔离处理环境包括数据不能通过的边界，以及用于允许数据跨过所述边界通过的信道；输入限制器，与所述信道关联，并且配置为限制数据单元输入到所述隔离处理环境中；以及输入数据修改器，与所述输入限制器关联，并且配置为根据预先定义的策略修改所述输入的数据单元；并且其中所述隔离处理环境还可操作来将输入的数据单元转发到保密区域。
26. 根据权利要求25所述的装置，其中保密区域在端点计算机之外。
27. 根据权利要求25所述的装置，还包括数据分级器，与所述隔离处理环境关联，并且配置为根据预先定义的策略给数据单元分级；输出限制器，与所述信道关联，并且配置为根据所述分级，限制数据单元的输出；以及输出数据修改器，与所述输出限制器关联，并且配置为根据所述分级修改输出的数据单元；
28. 根据权利要求27所述的装置，其中保密区域在端点计算机之外。
29. 用于保护数据安全的系统，包括至少两个隔离处理环境，每个环境包括数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，每个环境可操作地与数据源的相应的预定保密区域关联，从而从该保密区域接收数据单元，并且安装在端点计算机上；以及至少两个输出限制器，每个输出限制器与所述隔离处理环境中各自的一个的信道关联，并且配置为控制所接收的数据单元从该隔离处理环境的输出。
30. 用于保护数据安全的工具包，包含在计算机可读介质上，该工具包包括隔离处理环境定义器，可操作来定义隔离处理环境，所述隔离处理环境包括数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，所述环境与端点计算机上的数据源的预定的保密区域关联；以及输出限制器，可安装在端点计算机上，并且配置为限制数据单元通过所述信道的输出。
31. 根据权利要求30所述的工具包，其中保密区域在端点计算机之外。
32. —种保护数据安全的方法，包括a) 通过定义数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，在端点计算机处创建隔离处理环境；b) 在所述隔离处理环境中接收源自与该隔离处理环境关联的预定的保密区域的数据单元；以及c) 监控所述信道以便限制所述接收的数据单元从所述隔离处理环境的输出。
33. 根据权利要求32所述的方法，其中保密区域在端点计算机之外。
34. 根据权利要求32所述的方法，还包括根据预定的策略对输出数据单元分级，其中根据数据单元的分级执行对数据单元的输出的所述限制。
35. 根据权利要求32所述的方法，还包括根据预定的策略修改输出的数据单元。
36. 根据权利要求32所述的方法，还包括根据预定的策略限制数据单元输入到所述隔离处理环境中。
37. 根据权利要求32所述的方法，还包括根据预定的策略修改输入到所述隔离处理环境中的数据单元。
38. —种保护数据安全的方法，包括a) 通过定义数据不能通过的边界，以及数据可以通过其跨过所述边界的信道，在端点计算机处创建隔离处理环境；b) 监控所述信道以便限制将数据单元输入所述隔离处理环境；以及c) 将受到限制的输入数据单元从所述隔离处理环境转发到与该隔离处理环境关联的保密区域，从而保护输入所述保密区域的数据。
39. 根据权利要求38所述的方法，还包括根据预定的策略修改输入的数据单元。
全文摘要
一种用于保护数据安全的装置，包括隔离处理环境，具有数据不能通过的边界，以及用于允许数据跨过所述边界的信道。过滤器限制数据跨过信道的通过。受到保护的数据初始位于安全区域中，并且只释放给这样的安全处理环境，从而得到授权的用户对安全数据的访问是可以获得的，但是得到授权的用户之后将安全数据释放到外部世界则受到控制。
文档编号G06F11/00GK101512490SQ200780009594
公开日2009年8月19日申请日期2007年1月17日优先权日2006年1月17日
发明者R·奥尔吉瑟, R·科哈维, Y·利维申请人:基达罗(以色列)有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：R·科哈维;R·奥尔吉瑟;Y·利维
技术所有人：基达罗（以色列）有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、袁老师：1.计算机视觉 2.无线网络及物联网
4、王老师：1.计算机网络安全 2.计算机仿真技术
5、王老师：1.网络安全；物联网安全、大数据安全 2.安全态势感知、舆情分析和控制 3.区块链及应用
如您是高校老师，可以点此联系我们加入专家库。