个人空间(数据)对比于公司空间(数据)的制作方法

专利名称：个人空间(数据)对比于公司空间(数据)的制作方法
技术领域：
本公开涉及控制数据，更具体而言涉及用于控制数据的属性和知识标签的系统和方法。
背景技术：
在工作办公室中使用以及在某人自己家的安全保证下使用的设备不再具有清楚的划分。雇员将设备带到工作中，并且进而将工作设备带回家。根据至少一个调查的估计，十个不同国家的3000个以上的工作者中的大约百分之五十操作智能电话以用于工作和个人使用二者。随着技术变得日益个人化和可访问，全球趋势日益倾向于混合使用世界，其中设备是工作一家庭设备。随着新客户端设备(例如智能电话、上网本、掌上数字助理等等)和移动技术的出现，客户端移动性在流行度和易用度方面增加，从而使得用户能够在办公室、实验室和家庭之间移动并且使用大量不同设备来访问IT环境。个人和工作设备的迅速增长的混合使用趋势存在明显的优点。然而，新途径的到来大多伴随着新挑战。例如，向雇员提供智能电话允许对客户端请求的紧急响应以及在竞争中的潜在竞争优势。公司正在意识到的是，允许雇员利用个人拥有的设备来访问公司电子邮件和其他资源增加了生产力，并同时通过将成本转嫁给雇员来节省费用。另一方面，当延伸到办公室外的个人使用的智能电话被提供给雇员时，工作场所好处得到了提高。撇开这些优点，在安全性方面存在紧迫的风险，而未引起对危险的注意。例如，许多公司甚至不知道未经授权地访问他们的公司网络的移动设备(例如Windows Mobile、Palm、iPhone、Symbian等等)的数量。属于这样的风险的还有,一个经评估的调查显示仅在伦敦每月就有至少10000部电话被遗忘在出租车后座。另外，英国交通警察报告伦敦地铁系统的盗窃案的大致45%是针对移动电话的。此外，携带数据计划和其他订阅数据服务的智能电话经常适用于以低花费或无花费升级。电话被电话公司购回，进行升级并被替换，而未注意到信息去往何处。所造成的问题回避了问题的实质智能设备上的数据要么由于容纳所述数据的设备丢失、要么由于将数据传输到不同位置而离开用户控制以后有多长时间处于风险中？在最基本的层面上，如今的企业是由他们的信息资产驱动的。对于重视所获得或创建的信息的任何实体或个人，把信息保持在他们的控制下都是利害攸关的。将信息本身看成是“眼不见心不烦”的可替代选择先天具有可能为不明确的风险。在被带到办公室的设备在公司和个人数据世界之间无明确划分的情况下，雇员即使不是那么出于本意也可能易于使公司数据处于风险中。由于这些世界之间的界限继续侵蚀，为保护数据进行的投资是不可避免的。然而，随着针对用户的数据的个人空间与公司空间之间的界线日益模糊化，该区分仍然可以是重要的，并且因此用于无缝地管理数据的方式是宝贵的。处理数据时的上述缺点仅旨在提供常规系统的一些问题的概览，并且不旨在是穷尽性的。在仔细阅读了以下详细描述后，现有技术的其他问题和各非限制性性实施例的对应好处可变得显而易见。

发明内容
此处提供了简化的发明内容以帮助能够对以下更详细的描述和附图中的示例性、非限制性实施例的多个方面有基本或大体的理解。然而，本发明内容并不旨在是详尽的或穷尽的。相反，本发明内容的唯一目的在于，以简化的形式提出与一些示例性、非限制性实施例相关的一些概念，作为以下各实施例的更详细的描述的序言。在一个示例性实施例中，一种用于数据管理的方法包括确定与计算系统的第一工作空间位置处的信息资源相关的一组属性；基于管理该组属性的一组规则将第一标签与所述信息资源相关联；以及检测发起改动该组属性中的一个或多个属性的控制功能的一组输入中的输入。该方法包括响应于检测到所述输入利用与所述控制功能相关的一组控制功能属性来修改该组属性；以及基于经修改的该组属性将第二标签与所述信息资源相关联。该组属性可以用于基于该组规则来定义限制等级以在第一工作场所和第二工作场所处不同地控制所述信息资源。另外，该方法还可以包括分析所述信息资源内的数据以利用一组数据属性修改该组属性；以及利用该组数据属性修改该组属性以便为不同限制等级实现策略。在另一示例性实施例中，一种计算设备包括属性组件，其被配置为动态确定与信息资源相对应的一组属性；监视组件，其被配置为监视与由计算机设备接收的控制功能相对应的一组输入；标记组件，其被配置为将一个或多个标签附加到所述信息资源以根据该组属性来控制针对不同工作空间在不同等级下对所述信息资源的访问；以及策略组件，其被配置为将一组策略与在所述不同工作空间处确定的该组属性相关联。该组属性包括工作空间属性，所述工作空间属性基于信息资源的源、在创建或首次接收信息资源时的工作空间位置、以及与在创建或首次接收以后修改信息资源相关的控制功能属性。在另一示例性实施例中，计算机可读存储介质包括计算机可读指令，所述指令响应于执行致使计算机设备执行操作，包括确定与信息资源在第一工作空间上被创建或被第一工作空间首次接收相关的一组属性。该组属性包括与信息资源相关的至少一个位置属性、至少一个信道属性、以及至少一个源属性。该操作还包括基于该组属性从一组规则中生成标签简档；利用所述标签简档生成所述信息资源的扩展；检测一组输入中的输入以发起改动所述信息资源的一个或多个属性的控制功能；以及响应于检测到所述输入利用与所述控制功能相关的一组控制功能属性来修改该组属性。然后，该操作根据该组属性基于该组规则更新所述标签简档。以下更详细地描述其他实施例和各非限制性性示例、场景和实现。附图简述参考附图进一步描述多个非限制性实施例，在附图中

图1是示出根据各个实施例的可采用属性、规则和/或策略来处理信息资源的示例性系统的框图；图2是示出根据各个实施例的可采用属性、规则和/或策略来处理信息资源的示例性系统的框图；图3是示出根据各个实施例的可采用属性、策略和限制来处理信息资源的示例性系统的框图4是示出根据另外的非限制性方面的示例性系统的框图；图5是示出根据另外的非限制性方面的示例性系统的框图；图6是示出实施例中的用于数据管理的非限制性过程的流程图；图7示出了描述根据在此所述的各方面的用于推荐系统的示例性非限制性实现的流程图，所述推荐系统用于推荐客户端的信用价值；图8是表示其中可实现在此处所述的各个非限制性实施例的示例性、非限制性联网环境的框图；图9是表示其中可实现此处所述的各个非限制性实施例的一个或多个方面的示例性、非限制性计算系统或操作环境的框图；以及图10是包括被配置成实现本文中所述的措施中的一个或多个的处理器可执行指令的示例性计算机可读介质的图示。
具体实施例方式概览如背景技术中指出的那样，对于重视所获得或创建的信息的任何实体或个人，把信息保持在他们的控制下都是利害攸关的，这即使在数据离开某人的临近控制或者具有在离开工作场所以后被操作的可能性时也是适用的。例如，信息允许业务策略目标。信息技术目标和安全性，比如入侵检测系统、外泄检测系统、反病毒软件、防火墙、信息资源策略实施工具、审查工具以及虚拟专用网络(VPN)等等，是实现这些目标的对系统的有效保护。企业或公司是由它们的信息资产驱动的，这些信息资产是宝贵的资产，因为信息代表着企业的技术诀窍(know-how)，业务过程对信息进行操作，并且受信关系是通过信息交换来维护的。信息和安全服务直接链接到表示要保护的数据的信息资源。例如，标记组件被配置为将一个或多个标签附加到信息资源以根据在不同工作空间处确定的该组属性来控制针对不同工作空间在不同等级下对所述信息资源的访问。例如，第一工作空间包括公司或雇主工作空间，其中混合使用设备(例如智能电话或其他移动设备)为公司使用而操作。第二工作空间可以包括个人工作空间，其中混合使用设备也为个人使用而操作。当信息资源跨工作空间移动时，该信息资源可以具有变化的访问等级以实现用户的平滑转移。在实施例的一个示例性方面，一种方法管理和保护存储在个人工作空间和公司工作空间中的数据。该方法创建与所跟踪的任何信息或信息资源相关联的标签(例如知识标签)以实现用户能够如何与数据交互；通过采用策略来进行判定以要么信任设备的传入请求、要么不信任它；以及在数据不适于给定上下文时将访问限制等级(例如针对高商业利益数据项的锁定符号)应用于数据的视图或者将该数据标记为绿色或红色。在其他方面，该方法提供了仅当用户具有受信凭证时才链接到用于访问该数据的会话的能力。该方法采用策略组件和规则组件以用于在不同工作空间之间提供关于用户何时为顺应的、非顺应的或者位于范围中某处的透明性，并且还标记信息资源的版权或水印数据。例如，在一个示例中，例如云网络中的系统、服务器、应用或操作系统的标签组件基于与信息资源相关的一组属性从一组规则中生成标签简档。该组规则在可操作地连接到策略组件的规则组件中被处理，所述策略组件提供如下的策略所述策略从具有相应访问限制的一组策略中向标签简档指定限制等级。当信息资源被导出、传递或复制到另一位置时，通过从标签简档中检测访问限制等级来应用数字权限管理，所述标签简档作为扩展被附加到或以其他方式集成到该信息资源。该系统的示例将是保护在敏感工程文档的接收者可能不一定是受信的环境中分发的该文档，比如在个人工作空间中、而不是公司工作空间(例如公司网络、公司服务器连接的会话、公司云结构、公司云或网络上的操作系统或应用)中。可替代地，可以利用策略组件来保护电子邮件，使得如果电子邮件偶然被转发给不受信方，则仅仅经授权的用户将获得访问。该系统不一定限制共享信息的能力；而是仅在例如与公司工作空间不同的工作空间处尝试获得访问时才实施规则。因此，可以与合法地具有访问的用户共享敏感信息(例如信息资源)，并且标签简档可以促进回到业务所有者的访问的容易的请求。另外，信息资源的离线使用允许雇员创建/访问具有高业务利益或严格访问限制等级的经标记的文档，而在一定时间段内不需要网络访问。在上面的示例中，在因第一工作空间和第二工作空间而异的限制等级下，由标签组件、规则组件、属性组件和监视组件基于来自与公司工作空间和其他个人工作空间相对应的该组策略中的策略来控制对信息资源的访问。该系统的组件用于通过在所述标签简档中定义限制等级并且利用所述标签简档控制对信息资源的访问来限制对每个信息资源的访问。例如，如果电子邮件将信息资源发送给另一工作空间位置，则标签简档被附加到该电子邮件，以便雇员混合使用设备实现标签内的策略或者以便该信息资源所到达的其他设备上的其他系统也实现相同的策略。不同的工作空间位置例如可以包括与原始或公司工作空间不同的目录路径、不同的网络、不同的计算系统、或者不同的物理位置。个人空间(数据)对比于公司空间(数据)图1示出了一示例性系统，该系统独立于底层安全基础结构保护数据并且操作以在数据层次的合适的数据使用为目标的功能和协议。例如，组件及其操作根据诸如时间边界之类的边界106被划分成创建侧102和动作侧104。两侧(创建侧102和动作侧104)描绘诸如文档、数字图像、网页等之类的信息资源108的寿命中的不同点以及管理这些点的组件。创建侧102表示系统在信息资源108的创建点处的那些组件和相关联的功能。例如，通过公司工作空间上的创建文档输入，或者通过通信共享的其他网络手段或者通过外部媒体首次接收到该文档来创建文档。动作侧104表示创建以后并且在每个如下点处的那些组件和相关联的功能在所述点处，对信息资源执行动作(例如保存输入、转发、上传、下载、编辑、移动、复制到、打印屏幕、复制和粘贴、打印等等)，比如以便控制或操纵该信息资源的数据。在创建侧102，由计算机设备114从用户110接收诸如创建输入之类的至少一个输入112，以创建信息资源，或者该信息资源被首次跨越网络、云从存储器位置、目录路径等等接收到。信息资源108 (例如公司工作模板或文档)响应于该创建输入被创建或者接收自通信信道。信息源108包含数据，所述数据可以为各种形式或值类型以供公司实体或个人用于个人使用。创建侧102还包括标记组件116，其用于标记一组属性中的不同属性，该组属性是在文档的寿命中、在创建时或者在创建后操纵信息资源的任何动作时被确定或修改的。示例性的系统可以被配置为创建和监视信息资源108，该信息资源108可以包括数据，比如数字类型数据、图形等等；并且可以被配置为分析和/或解释包括信息的信息资源中的数据，其中关于所述信息，可以基于由属性组件124执行的分析和/或解释来确定各种属性。尽管信息资源108被描述为是通过来自用户110的输入112创建的，但是如同上面讨论的，信息资源108也可以源自传输信道。例如，电子邮件传输、便携式存储设备、或其他一些机制可以已经将信息资源传输到工作空间，比如公司工作空间或来自个人设备的个人工作空间。因此，信息资源108在被计算设备114接收以前可以包括一个或多个未知或未关联的属性，所述属性可以在创建或首次接收时或以后被确定和/或被与所述数据相关联。信息资源108可以包括诸如下列属性指定创建时间的时间戳；与关于信息资源已到达或者被传送到或传送自的信道126的任何信息有关的信道属性；源属性，比如其被存储的目录路径或者从中创建信息资源的应用性质；以及关于作者、作者的凭证(例如登录凭证)、信息资源108内的数据的类型(例如类型、图形数值、主题性质等等)、供访问的应用、生成其的工作空间等等的属性。其他属性也可想到，并且此处的示例不旨在穷举在此确定的所有属性，并且将在下面关于信息资源108予以更详细描述(例如空间信息和/或诸如版本、源、目的地之类的其他品质、一个或多个潜在用户或所打算的分析、与另一项或另一组数据集合的因果关系的概率或事实、控制功能属性等等)。标记组件116可操作地连接到属性组件124、策略组件118和规则组件120，该属性组件124确定创建侧102和动作侧104处的各种属性。基于来自属性组件124、策略组件118和规则组件120的输入，标记组件116将一组属性附加到诸如知识标签或标签简档之类的标签122中的信息资源。例如，标签122可以是包括元信息的知识标签简档，所述元信息描述或定义信息资源108的某个方面。标签122包括不只是传统非分层关键字或术语。而是标签122可包括捕捉如下形式的知识的元数据描述、归类、分类、语义、评论、笔记、注释、超数据(hyperdata)、超链接或在简档(比如存储在标签122中的标签简档中)中收集的引用。标签122包括关于信息资源108的信息或属性以便基于信息资源108的属性、源自信息资源的工作空间的关于许可和限制的策略(例如用户或雇员)、以及管理属性的规则来控制远离工作空间(例如公司工作空间或个人工作空间)的共享。例如，不同策略可以被编码在策略组件118中，并且基于为信息资源108提供资源的设备的不同性质、用户提供的设定、或者管理公司信息技术部门的策略被实施。具体而言，例如当计算设备114是具有多种目的和使用的智能电话，策略可以对应于更多的审查，因为设备114将可能频繁地在公司工作空间与私人工作空间之间穿行。其他策略可以基于由属性组件124确定的该组属性、管理所述策略的规则以及允许对信息资源108进行和动作来指示信息资源108被标记为高业务重要性。最终，信息资源108可以在创建的点(创建侧102)以后通过一组输入中的某个如下输入被施加动作，其中该输入控制操纵或进一步改动信息资源108的某些控制功能。例如，信息资源108可以通过各种控制功能被操纵，比如被保存、在原件外被编辑、移动、上传、以电子邮件发送、发布、发送或用于操纵该数据的任何其他可动作的控制功能(例如保存到、复制和粘贴、打印屏幕等等)。在创建以后，监视组件128监视一组输入以确定属性是否已经响应于可改动信息资源108的任何控制功能输入被改变、已被添加到或删除。响应于检测到这些控制功能，监视组件128可以请求更新标签122以反映已经改变、编辑或操纵信息资源108的动作。例如，动作的历史可以记录在标签122内。例如，响应于用户110对信息资源108实施动作或控制，比如移动、编辑、保存等等，动作侧104的属性组件130修改或进一步确定与所执行的控制功能相关的一组属性。例如，在该组属性中可被进一步修改的属性包括最后输入的时间、保存的时间、最后执行的动作、最后保存在何处、之前保存在何处等等。每个新的和旧的属性被属性组件130收集并存储在一组属性中。因此，当信息资源108在文档的整个寿命内被改动、保存、移动、改变、传送等等时，不同工作场所处的安全性也可以被修改。一些属性可能不适用于实现例如高的安全性协议。在一些情况下，当属性改变(例如被保存在新目录路径(例如公司安全工作空间)处)时，可以诸如用第二标签132来改变附加到信息资源108的安全等级或限制等级，该第二标签132可以是附加到信息资源108的经升级的标签。可替代地，该安全等级或限制等级可以根据管理策略的多个变量、策略规则和信息资源的属性在任何给定时间或者设备或网络上的位置被减弱。系统的其他配置也是可想到的并且本公开不限于任何一个特定配置。为了讨论组件和相关联的过程的排序这一目的，描绘了创建侧102和动作侧104。类似于创建侧102，动作侧104还包括属性组件130、标记组件134、策略组件135、以及规则组件136,这些组件可操作地通信以利用知识标签在数据层次实现安全性，所述知识标签在信息资源108的整个数字寿命内动态地跟随信息资源108。这些组件可以包括由操作系统、应用、网络或云流等等提供的硬件和/或软件。在一个实施例中，标签122和标签132包括标签简档，其包括由属性组件134、130确定的属性；并且还包括策略组件118、135的策略以独立于信息资源108的位置来限制对信息资源108的访问。例如，位置可以是从全球定位系统(GPS)设备140或其他地理定位机制中确定的物理位置。可替代地，信息资源108的位置可以根据目录路径变化。例如，信息资源108在被创建或源自通信信道以后通过在动作侧104生成的输入被保存。在检测到信息资源108已经被施加动作(例如保存到)以后，监视组件128检测到保存输入并且与属性组件130通信以重新配置或进一步确定或填充该组属性以便在升级中准确地反映属性(例如文件路径或目录路径改变或物理位置改变)。在另一实施例中，规则组件120和136中的规则也被封装在标签122、132、或者知识标签简档中，所述标签或简档被不断修改和更新以反映过去的动作和属性二者，但是还示出当前属性，其中当前属性可以在对信息资源108进行的之后的动作(例如编辑、保存、移动、发送、上传、下载等等)时用于之后的策略或者可以被策略组件118和135用于当前策略实现。规则组件120和136被配置为针对不同功能实现不同的规则组。在一个实施例中，规则组件120和136被配置为针对属性组件124实现一组规则以便选择各种属性以用于策略考虑或编码到标签122、132中。例如，一些属性可能具有这样小的意义，比如在信息资源108包括word文档或要访问的所键入资源时信息资源108包含什么字体。与访问信息资源108的应用使用的类型相关的其他属性、或者与该种类的数据或该类数据的应用相关的一组数据属性以及要加水印的版权材料或章节可能对于公司策略而言具有相关的重要性。规则组件120和136还被配置为针对策略组件实现一组规则以确定限制等级。例如，一组基于框架的逻辑或基于规则的逻辑可以包含各种“If，then，(如果，则，)”或者“if，and, then (如果，而且，则)”语句等等，这些语句根据不同属性的度量范围对权重进行编码。这些权重可以包括例如从I至10的任何尺度、小数点、二进制极限等等，其然后可以被传递给策略组件118和135以基于一组策略确定访问限制的等级。加权可以基于取平均或其他手段来配置以将重要性附加到信息资源108的属性。在另一实施例中，标签122和标签132包括具有随着时间不同的简档的相同知识标签。换言之，标签132包括与标签122相同的与信息资源122相关的简档信息，但是可以具有被规则组件136中的规则加以考虑的附加属性或不同属性。如上所述，例如标签132可以包括由标签122包含的该组属性、该组策略和该组规则或结果，并且每个组都可以在知识标签132所封装的简档的历史中跟随。因此，标签132被升级以记录信息资源108的整个寿命周期中的有关属性。从以前位置(例如不同的物理或数字路径)确定或修改的属性、策略和规则例如可以保存在知识标签122的简档内的面包屑视图中。尽管不是所有属性、策略和规则都可以完全被封装在标签122、132中，但是由公司策略确定的某些基本的属性、策略和规则可以作为扩展变为固有的，以便不丢失创建者限制访问的原始意图。例如，如果信息资源在如下的网络或工作空间上起源所述网络或工作空间考虑到在被指定为具有高安全性的公司工作空间的区域或文件位置处创建的信息，则信息资源108的策略可以固定在知识标签122、132内以便维护附加到信息资源108的数据的特定访问限制，而不管是否被传输、传递、发布、共享或以其他方式用于驻留在公司网络的文件路径以外的其他用户。现在参考图2，示出了管理和保护信息资源202的示例性系统200。信息资源202可以位于网络云、服务器、数据库、存储器上的如下目录或文件路径处在所述目录或文件路径中，该信息资源在被传递(例如通过电子邮件、外部驱动器或其他计算机存储介质)以后被创建或存储。信息资源202是具有数据的任何数字信息，所述数据可以对信息资源202所在的系统或存储器的所有者具有价值。例如，信息资源202可以是Word文档、数字图片、JPEG、TIFF、PDF或具有被应用于指示内容的特定编码或文件格式或用法的文件名扩展的其他文件或文档类型。系统200包括属性组件204、规则组件206、策略组件208、以及标记组件210，所述
组件彼此可操作地连接以在数据层次提供信息资源202的安全性，使得访问限制和策略动态地更新并且跟随公司工作空间的信息资源。结果，信息资源202是可与雇员工作一家庭设备(例如智能电话、膝上型计算机等等)共享的，该设备在工作时、以及工作以外的其他地方使用，而无论位置如何都不丢失信息资源202的安全性，并且提供了信息资源202的数据的无缝安全性。例如，系统200可以与提供用户界面以利用文件系统工作的文件管理器系统一起或作为文件管理器系统位于操作系统层次。可替代地，服务器或云网络可以托管系统200以根据与每个信息资源相集成的不同属性、规则和策略来保护每个信息资源，而不管位置如何。例如，云网络可以以某种协议(例如HTTP、CIFS、RTSP等等)作为应用流来提供系统200。在另一实施例中，该系统可以被封装在完全虚拟化的应用中，并且就好像其被完全安装在与具有公司数据的公司工作空间对接的每个设备上那样被执行。策略组件208包括限制等级设置组件222和人工设置组件224。策略组件208概括了如下的规章所述规章致力于具有标签简档230的信息资源202的访问安全性。例如，限制等级设置组件222定义了信息资源202如何通过所定义的分类根据下列各项被控制和保护何种目的、被共享的能力、共享的条件、存储位置、存储的时间帧、保护等级、信息资源202内的信息的子集安全性、数据的失真等级、或者数据的水印等等。策略组件208概括了在公司网络或云结构上操作的设备或系统上的信息资源的业务或公司策略。策略和规章例如在针对不同信息资源类的一组策略和过程中被描述。公司策略和规章在限制等级访问组件222中被表达。例如，用户义务、访问等级和定义可以在限制等级访问组件222中被控制和设置。例如，诸如关键风险指标等等之类的度量能够定义信息资源202具有高业务影响或者易受风险，所述风险满足、超过或服从限制等级访问组件中所定义的风险的概率阈值；以及对某些属性进行加权。策略组件208被配置为定义信息资源的分类，比如高业务影响、可取的、适度的或低风险等级，并且将安全性或风险的等级与限制等级设置组件222相关联以实现访问控制或设定或者传递标签简档230内的安全性的等级。其他不同的分类或设定也可以想到，并且可以以各种方式来实现，比如向信息资源202提供加密锁以用于高访问等级。在一个实施例中，策略组件向高风险的文档提供颜色指示(红色)并且传递比需要更少访问限制的等级更高的等级限制与信息资源202相关联。例如，所述限制基于颜色指示(例如绿色、黄色、红色)提供锁，所述锁锁定数据使其不能被施加动作，比如被打印、上传、传送、重新定位、编辑、打印屏幕、其他控制功能输入等等。例如，较低限制等级可以允许通过发电子邮件、重新定位、上传、阅读、编辑以及对信息资源的其他操纵来进行个人共享。策略组件208包括人工设置组件224，人工设置组件224提供人工设定以供输入并且被公司策略或IT部门加权、例如比如被关键风险指标加权。包括限制等级设置组件222和人工设置组件224的策略组件208被可操作地地连接以标识公司工作空间的总体信息资源管理并且将公司信息资产的等级与设备(例如比如智能电话或其他工作一家庭设备)上的个人访问等级区分开。规则组件206可通信地连接到策略组件208和属性组件204，并且被配置为提供管理策略组件208和属性组件208的逻辑规则。例如，规则组件206包括访问规则组件220，该访问规则组件220管理策略组件206的指标(例如关键风险指标)以作为因素计入公司工作空间(例如公司网络、云、服务器、设备等等)上的信息资源的策略中。信息资源分类和策略规则被编码在信息资源规则中，所述信息资源规则根据访问规则组件220被处理。例如，信息资源可以根据所有权(例如雇员凭证、工作空间等等)、起源(例如源)和位置被分类。属性规则组件218被配置为提供规则以用于确定和分类与信息资源208相关的属性。用于根据信息资源202的设备、通信信道、起源或源对属性进行分类的规则被传递给属性组件204，该属性组件204进而确定与分类相关的属性。信息资源202的属性因此根据预定标准被分类，所述预定标准可以由公司所有者或者信息资源的其他个人所有者来提供。信息资源202具有所定义的所有权，比如公司工作空间，并且以其他方式位于中间、或不完全被公司工作空间拥有的数据被这样指定。例如，在公司所有权的情况下，所有权常常是按业务目的来表达的。系统200的属性组件204根据规则组件206的数据规则来确定和修改与存在于工作空间或公司工作空间上的信息资源相关的一组属性的成员资格。每个工作空间都可以包括存储器位置，如存储器或网络数据库的区域、或者由服务器为公司工作空间管理的网络数据库。可以向雇员提供凭证以通过它们的计算设备登录或以其他方式访问业务工作空间环境。个人工作空间例如可以包括文件或目录，所述文件或目录允许用户或雇员收集各种源代码文件和资源以进行工作，其还可以包括向计算机用户提供全面设施以用于开发的软件应用。在两种情况任一中，工作空间都充当一种环境，在该环境中，用户可以在任务的持续时间中与外部组件隔离地工作。属性组件204根据信息资源202的环境以及基于从规则组件206的属性规则组件218接收的规则动态地确定一组属性。该组属性包括源属性212，其基于信息资源202的工作空间属性，比如被用于打开、创建或保存信息资源的应用类型、与信息资源被保存到的文件空间或目录路径相关的位置数据；时间属性(例如时间戳)；作者身份(例如用户和用于访问或创建信息资源的用户凭证)；版本属性(例如Word 2003);网络位置；存储位置；与其他信息资源的关系；信息资源的预期使用；等等。换言之，由属性组件204确定的源属性212根据数据的起源(例如Google apps、Word、其他某个应用、或者工作SharePoint、网站等等)比如用统一资源定位符(URL)来描述信息资源202。另外，资源属性212包括对谁拥有该数据的描述符或描述，比如用于访问支持、存储或允许信息资源的创建的系统的凭证(例如用户的雇员凭证、职位头衔、安全等级等等)。另外，源属性212可以包括实体或公司标识，所述实体或公司标识控制数据或者可以对设备上创建的数据具有合法权限。属性组件204还被配置为确定一组信道属性214和一组设备属性216。该组信道属性214包括与用于比如在数字比特流中(例如从发送者)传递信息资源202的数据相关的属性或特性。例如，在该组信道属性214中确定报头信息，该报头信息包括补充数据(例如发送者或接收者的IP地址、管理有效载荷格式和其他格式的协议等等)，所述补充数据常常被放置在信息资源或有效载荷的开始处，该有效载荷在信息资源202被从网络、外部服务器等等接收到时被存储或传送。设备属性216还被属性组件204修改以包括与接收或以其他方式创建信息资源202的设备相关的特性。例如，设备属性可以包括用在下载、接收、创建或存储信息资源的网络上的设备名称。创建时间、设备网络地址、设备状态、操作系统、用于信息资源202的应用、与设备相关联的职位的名称、链接类型、起源节点名称、设备系统标识等等可以是由属性组件204确定并且在信息资源202本身的整个寿命或所有权寿命中在该组设备属性216中被动态修改的属性。例如，当信息资源202变为被存储或以其他方式被传递时，该组设备属性216被动态升级或修改以反映同样发生改变的共享设备的属性；该组源属性212和该组信道属性214同样如此。因此，在该组源属性212、该组信道属性214和该组设备属性216中确定的与信息资源202相关的属性基于当前状态、位置、传递或控制信息资源202的设备和人(例如空间信息和/或其他品质，比如版本、源、目的地、一个或多个潜在使用或所打算的分析、与另一项或数据集合组的因果关系的概率或事实等等)被动态升级。策略组件208、规则组件206和属性组件204将它们相应的输出传递给标记组件210，该标记组件210创建标签简档230并且将标签简档230作为集成的一组属性或扩展附加到信息资源202。例如，许可限制标签组件226接收策略以根据策略组件208进行设置或封装。根据策略组件208中的策略的限制组的等级根据各种机制(诸如锁、掩码、颜色标志等等)被确定为是由许可限制标签组件226标记的，所述机制然后被传递给标记组件210的标签扩展填充器(populater) 232。
标记组件210还包括规则标签组件228，该规则标签组件228还确定规则和适用所述规则的属性，并且将每个都传递给标签扩展填充器232。然后，知识标签简档变为被标签扩展填充器232填充并与信息资源202相集成。在一个实施例中，系统200还包括监视组件234，该监视组件234包括控制功能动作机制236和输入接口 238。监视组件234例如可通信地耦合到属性组件204并且被配置为监视输入接口 238处的一组控制功能输入。所监视的该组输入包括对信息资源提供动作或实施控制功能的任何输入，比如另存为、保存到、发送、上传、下载、编辑、进一步标记等等。监视组件234被配置为观测对信息资源的访问并且基于合并在知识标签简档230内的策略来允许授权以执行由用户提供的输入。图3示出了示例性系统302的示例性方面，该示例性系统302还可以被配置为确定、创建与属性相关的一个或多个策略和/或将所述策略与信息资源相关联。在非限制性实施例中，示例性系统302可促进将重要性附加到信息资源(例如与属性相关联的策略，所述属性允许过去或不同位置的信息资源副本基于个人偏好、个人排名系统的规范、历史数据的加权等等而排名较低)，这可促进对数据加权，使得它与随后的分析较不相关，等等。在又一非限制性示例中，各个实施例使得能够将时间重要性附加到信息资源，以促进随着历史数据老化而对历史数据加权，从而使其变得与查询结果较不相关，等等。在又一非限制性实施例中，与所述信息资源的一个或多个属性相关的策略可由示例性系统302用于促进属性组织、属性保持、属性搭配、属性索引、创建统计或其它概要，等等。例如，在另外的非限制性实施例中，示例性系统302可被配置成通过采用信息资源属性、区间和/或策略对信息资源执行多种操作，包括进一步的分析、解释和推断；确定属性之间的关系，比如可能性、概率、因果关系等等；创建和关联进一步的策略；数据组织；数据保持；数据搭配；创建索引；创建统计或其它概要等等。因此，图3描绘了信息资源标签306，其包括信息资源标签304以及确定的和/或分配的或与信息资源标签304相关联的任何属性、任何计算的和/或分配的区间、和/或与区间和/或属性有关的确定的、创建的和/或关联的策略。注意，尽管图3将信息资源标签306描绘为包括属性与策略之间的一对一相关(例如每个属性示为具有相应的策略)，但本申请不限于此。例如，策略可与一个以上属性和/或区间及其任何组合有关。因此，示例性系统302可灵活地并动态地分析数据、属性以及区间，可创建策略，且可便于对数据执行非结构化的操作和分析，而诸如向量时钟和时间数据库之类的常规系统可能受它们固有的严格结构规范的限制。结果，由示例性系统302接收的信息资源标签304可根据本申请的多个方面而加以丰富，以促进动态地创建对信息资源的属性和其中的关系的洞察，执行流分析，执行根本原因分析，产生基于信任的结果、数据组织、老化以及保持，从大数据流创建推断，等等。此夕卜，注意，尽管信息资源标签306被描绘为包括信息资源标签304和相应的属性及策略，但本申请的各个实施例不限于此。换言之，另外的非限制性实施例可通过将这样的信息附加或修改到数据中或以其它方式(例如借助于文件系统、数据库系统、数据管理权限系统等等)来关联属性、区间、策略，等等。作为非限制性示例，在与用户的朋友相关的数据有关的社交联网分析中，用户可能对最近发生的更新感兴趣。然而，作为较旧数据的更新在存储和保持方面通常与新更新以相同优先级来对待(例如，仅新数据的呈现方面被给予优先级)。在关于金融股票走势的分析和相关的又一非限制性示例中，用户可对与股票有关的近来的发展和更新感兴趣，排除更远时间的发展。例如，虽然公司的历史表格IO-K年报通常在股价数据的呈现中被忽视，但与针对该公司的诉讼有关的最近新闻发展可恢复该历史IO-K在股价数据走势分析中的相关性。作为另一说明，时间属性的无差别表示可能典型地将历史表格IO-K数据视为可能具有时间戳的文件，该文件甚至可能具有与其关联的一年或一季度的常规的时间区间(例如，直到下次更新)。然而，显然该数据的诉讼属性(例如诉讼的各方和主题，诉讼类型等等)会具有比历史表格IO-K数据的简单金融属性长的视界，从而具有比历史表格IO-K数据的简单金融属性长的时间重要性或相关性。此外，在查看股价走势数据的情境下，与提到相同各方、诉讼主题或诉讼类型的最近新闻报道有关的数据可与历史表格IO-K数据有因果关联或非常相关，和/或改变历史表格IO-K数据的重要性。相应地，本申请的多个实施例便于计入这样的异类情况并改变不同属性的重要性，且能创建用于多种功能(例如搭配数据、在数据上创建索引、使数据的影响淡出数据集，等等)的策略，常规系统迄今为止无法计入这些情况。在一个非限制性示例中，在确定事件是因果关联还是仅相关时，示例性系统可采用诸如时间区间之类的区间来确定因果关系的可能性、相关等等。例如，对于在时间上顺序发生的两份数据或事件，例如先例和先行，先例和先行可相关或不相关。此外，先例可与先行因果关联(例如先例是先行的起因)，但先行不会是先例的起因，因为先例比先行在时间上先发生，或在时间区间中先发生。相应地，在多个非限制性实施例中，如本文所描述，示例性系统可采用诸如时间区间之类的区间来确定因果关系以及关联等等。按照相似的方式，关于数据或信息资源在空间中的物理接近程度，在时间上顺序发生的两份数据或事件由于缺少物理接近程度而可能被排除具有因果关系。因此，如上所述，本申请能有利地便于区分因果关系与关联。在非限制性的示例性实施例中，与时间有关的属性和区间可采用时间上的简单线性排序，使得能使用向量时钟系统，以从该向量时钟时间而不是从绝对时钟时间或一些相似的概念(诸如系统时钟时间)作出推断。在其它示例性实施例中，可采用其它时间概念，诸如基于事件顺序的相对时间(例如将数据视为因果相关的一系列事件)、GPS时钟时间，等等。此外，根据另一非限制性方面，可采用这样的时间概念来创建诸如贝叶斯推断之类的推断，以更新概率模型中的与数据相关联的不确定性(以及预测或推断)。因此，在非限制性实施例中，示例性系统302可动态地产生或学习数据或事件的相关性的时间区间(例如在数据或事件进入系统时，等等)，以用于如上所述地确定因果关系。可以理解，像空间数据(诸如GPS坐标)一样，诸如时间戳之类的时间数据一般被认为是关于与相关联的数据或事件相对绝对的固定值或硬值。然而，相关性时间区间可能高度依赖于多个因子。作为进一步说明，相关性时间区间可依赖于多个非限制性因子，包括数据或事件的用途或预期用途、数据或事件的用户或多个用户、数据或事件的环境(例如该数据或事件的地理位置)，等等。在其它非限制性实施例中，示例性系统302可产生或学习时间区间，以用于随着时间的因果关系目的。因此，在多个实施例中，对于事件或数据，并不是仅在其进入系统时加上时间戳，示例性系统可基于分析类型(例如，经由时间贝叶斯网络等等)动态地确定时间区间，诸如记住该数据或事件成立(例如该数据或事件保持为真、保持坚持基于时间区间的策略等等)多长时间。例如，如上所述，与信息资源属性或事件有关的观测或分析会随时间变得较不精确，使得保持或包含与该观测或分析有关的数据或事件变得不那么合乎需要。此外，如上进一步描述，该数据或事件的不同属性可具有不同的时间线，这些属性在该时间线上老化(例如，与其它属性或数据相比，该属性或关联数据的重要性随时间变得较不相关)。因此，在另外的非限制性实施例中，示例性系统可将动态确定的时间区间用于其它目的(诸如在诸如盘存储、存储器之类的尺寸受限的设备或组件上的数据组织、重新组织、限制访问和/或保持，等等)。相应地，示例性系统302可自动地自我调谐以记住预定时间段的数据或事件和/或属性、区间和/或策略(例如根据基于时间区间的策略，根据预期的、预定的和/或推断的预期使用或分析，根据确定的和/或推断的与其它数据或事件的关系，等等)。注意，尽管以上描述假定初始的基于位置的数据简单地被用新工作空间或基于位置的数据点更新，但也可以基于由示例性系统302作出的推断，根据对与信息资源标签306或其他数据的关系的理解，更新该基于位置的数据的位置属性。同样的原则适用于在数据中置信度的讨论内对与数据源(例如数据源、源的数量、确认或否认推断的源的数量等等)有关的属性的讨论。信息资源标签304或信息资源标签306的初始数据点可以具有源属性并且可以具有与其相关联的设备属性、信道属性、数据属性等。该数据的属性中的置信度可依赖于初始假定的可靠性。该数据中的置信度、源属性等等可依赖于诸如时间流逝之类的事件(例如公司倒闭、人们换手机、URL (统一资源定位符)会改变，等等)。此外，来自新源的另外的数据可确认或否认数据，新源的相对数量不仅会影响数据本身的置信度，还会影响从数据本身进行的推断、初始数据点的源属性、区间以及其中的置信度。因此，如果存在许多确认的数据源，则可能期望不均等地对来自特定源的数据加权，以完成数据组织、用于访问限制的策略保持、数据分析等等。因此，本申请的各个实施例例如可采用加权函数来促进根据与信息资源相关的各种策略考虑和属性来对信息资源属性加权(例如降低老化数据的权重，等等)。参考图4，示出了在数据层次实现安全性的示例性系统400。如上所述，以集成到每个信息资源中的安全性来共享在不同位置间并利用诸如工作一家庭设备(例如智能电话、膝上型计算机等等)之类的混合使用设备来共享的信息资源。例如，公司数据同个人数据分开以实现访问信息资源的不同限制等级，以便使得二者都从多个设备平台可访问。服务器402和客户端404可通信地跨网络信道406耦合，以便对应用和数据进行同步。当连接到服务器402时，操作系统408和应用410被更新并用处理器412处理。操作系统408和应用410被虚拟化并且流式传输给客户端404。例如，在客户端404启动以前，应用被封装，并且应用的代码、数据和设定的部分在客户端设备需要它们时被递送，而不是整个应用被递送。在一个示例中，示例性系统400动态地启用对用户可用的应用以定义信息资源的数据和控制如何使用数据的策略。系统400例如包括服务器402，在所述服务器402中存储用于公司业务的软件和数据。网络信道406提供应用比如从云网络的递送，其中可动态缩放和虚拟化的资源(例如操作系统408和应用410)的供应被传递和同步。客户端404接收虚拟化操作系统414、应用416和用户数据418。附加地，具有用户应用422和用户个人数据424的个人虚拟化操作系统420被封装在单独的容器中，该容器要么处于客户端设备(比如混合使用工作一家庭设备(例如智能电话))上、要么处于个人云上。公司数据418因此安全地例如存储在公司容器中，并且根据公司策略被管理，其中可以如上所述在标签简档内为每个信息资源标识出所述公司策略。参考图5，另一示例性系统500包括公司服务器502，该公司服务器502将公司数据和服务与客户端设备504和公司设备506同步。可以从云网络508向用户一并提供公司数据和服务以及个人数据和服务以到达设备的混合。操作系统510和应用512可以对信息资源518的数据项和数据加以区分(例如用于家庭的Word文档对比于用于工作的Word文档)。就此而言，根据公司工作空间或个人工作空间，相同或相似应用具有不同的版本。具有位置能力(比如具有GPS或其他位置信息)的标签组件516可以促进将使用类别确定为例如被应用用于对信息资源进行决策的上下文的一部分。例如根据信息资源518的源、用户、以及在工作空间上操作的设备，信息资源被不同地对待。根据标签组件516，信息资源518被附加知识标签514。规则组件522、策略组件524、监视组件520、以及属性组件526协同地操作，以通过知识标签514提供对信息资源518的访问限制。监视组件520监视所作出的改变并且观测对信息资源518的访问。策略组件524进而基于数据类别确定策略是允许还是拒绝某个操作，其中所述数据类别是根据在属性组件526中确定的属性被分类的。规则组件提供针对所确定的属性的规则，并且根据与信息资源518相关联的源属性、设备属性和信道属性对数据进行分类。在一个实施例中，信息资源518的知识标签514在数据被改动或工作空间改变时被动态地改动。例如，当信息资源被以电子邮件发送给不同域时，策略组件524可以基于所述域确定信息资源518是个人的或公司的并提供合适的访问限制。这些访问限制然后可以在附加或上传以后被封装在信息资源518的知识标签514内。示例性系统500可进一步配置成确定、创建与一个或多个或属性相关的一个或多个策略和/或将所述一个或多个策略与数据相关联。在非限制性实施例中，示例性系统500可促进将重要性附加到数据(例如与属性相关联的策略，所述策略允许过去或不同位置的属性基于个人偏好、个人排名系统的规范、历史数据的权重等等而排名较低)，这可促进通过诸如模糊逻辑或模糊均值算法之类的算法对数据加权，使得它与随后的分析较不相关等等。在又一非限制性示例中，多个实施例能实现将时间重要性附加至数据，以便于随着历史数据老化而对历史数据加权，从而使其变得较不相关，等等。在另外的非限制性实施例中，与该数据的一个或多个属性有关的策略可由示例性系统500用于便于在知识标签514内进行数据组织、数据保持、数据搭配、创建索引、创建统计或其它概要等等。图6是示出实施例中的用于数据管理的非限制性过程的流程图。例如，在600，分析或解释由计算设备或系统接收的信息资源以确定与第一工作空间位置处的信息资源相关的一组属性。例如，如上所述，该信息资源的一个或多个属性可包括该资源的之前未知或未确定的属性、与该信息资源相关联的信道和设备。在610，将诸如知识标签或标签简档之类的第一标签分配给信息资源或将其与信息资源相关联。该标签基于一组规则具有一个或多个属性。如上所述，所述规则基于所述属性确定如何以及什么属性被确定以及什么策略被实现。如上所述，信息资源的一个或多个属性可包括时间属性、空间属性、版本属性、网络位置、因特网协议地址、该数据的源、该数据的目的地、与其它数据的关系、或该数据的预期使用以及本文中描述的其它属性。在620，检测发起控制功能的一组输入，所述控制功能改动信息资源的一个或多个属性。例如，检测保存到、移动、编辑、复制和粘贴、上传、附加、打印屏幕等等。在630，用与对所检测的一个或多个控制功能的输入相关的一组控制功能属性来修改该组属性。例如基于已操纵过或编辑过该信息资源的编辑或控制来更新该组属性。在640，基于经修改的该组属性将第二标签与信息资源相关联。示例性联网以及分布式环境本领域技术人员可以理解，此处描述的多个数据管理实施例可结合任何计算机或其它客户端或服务器设备来实现，其可被部署为计算机网络的部分或在分布式计算环境中，并且可以被连接到任何类型数据存储。在这一点上，本文描述的多个实施例可在具有任何数量的存储器或存储单元的、以及任何数量的应用和跨任何数量的存储单元发生的进程的任何计算机系统或环境中实现。这包括但不限于具有部署在具有远程或本地存储的网络环境或分布式计算环境中的服务器计算机和客户端计算机的环境。分布式计算通过计算设备和系统之间的通信交换提供了计算机资源和服务的共享。这些资源和服务包括信息的交换、对于诸如文件等对象的高速缓存存储和盘存储。这些资源和服务还包括多个处理单元之间的处理能力共享以便进行负载平衡、资源扩展、处理专门化，等等。分布式计算利用网络连接，从而允许客户端利用它们的集体力量来使整个企业受益。就此，各种设备可具有可参与如参考本公开的多个实施例描述的数据管理机制的应用、对象或资源。图7提供了示例性的联网或分布式计算环境的示意图。该分布式计算环境包括计算对象710、712等以及计算对象或设备720、722、724、726、728等，这些计算对象或设备可包括如由应用730、732、734、736、738和数据存储740表示的程序、方法、数据存储、可编程逻辑等。可以理解，计算对象710、712等以及计算对象或设备720、722、724、726、728等可包括不同的设备，诸如个人数字助理(PDA)、音频/视频设备、移动电话、MP3播放器、个人计算机、膝上型计算机等。每个计算对象710、712等以及计算对象或设备720、722、724、726、728等可通过通信网络742直接或间接与一个或多个其他计算对象710、712等以及计算对象或设备720、722、724、726、728等进行通信。尽管在图7中被示为单个元件，但通信网络742可包括向图7的系统提供服务的其他计算对象和计算设备和/或可表示未示出的多个互连网络。每个计算对象710、712等或计算对象或设备720、722、724、726、728等还可以包含可以利用API或其他对象、软件、固件和/或硬件的、适于实现根据本发明的多个实施例所提供的数据管理技术或与之通信的应用，诸如应用730、732、734、736、738。存在支持分布式计算环境的各种系统、组件和网络配置。例如，计算系统可由有线或无线系统、本地网络或广泛分布的网络连接在一起。当前，许多网络被耦合至因特网，后者为广泛分布的计算提供了基础结构并包含许多不同的网络，但任何网络基础结构可用于变得与如多个实施例中所描述的数据管理系统相关联的示例性通信。由此，可使用诸如客户端/服务器、对等、或混合体系结构之类的网络拓扑结构和网络基础结构的主机。“客户端”是使用与它无关的另一类或组的服务的一类或组中的成员。客户端可以是进程，即大致上是请求由另一程序或进程提供的服务的一组指令或任务。客户端进程利用所请求的服务，而不必“知道”有关其他程序或服务本身的任何工作细节。在客户端/服务器体系结构中，尤其在网络化系统中，客户端通常是访问由例如服务器等另一计算机提供的共享的网络资源的计算机。在图7的图示中，作为非限制性示例，计算对象或设备720、722、724、726、728等可被认为是客户端而计算对象710、712等可被认为是服务器，其中计算对象710、712等担当提供数据服务的服务器，诸如从客户端计算对象或设备720、722、724、726、728等接收数据、存储数据、处理数据、向客户端计算对象或设备720、722、724、726、728等发送数据，但任何计算机都可取决于环境而被认为是客户端、服务器、或两者。服务器通常是可通过诸如因特网或无线网络基础结构之类的远程网络或本地网络访问的远程计算机系统。客户端进程可在第一计算机系统中活动，而服务器进程可在第二计算机系统中活动，它们通过通信介质相互通信，由此提供分布式功能并允许多个客户端利用服务器的信息收集能力。按照此处所描述的技术来利用的任何软件对象可以被单独提供或分布在多个计算设备或对象上。在其中通信网络742或总线例如是因特网的网络环境中，计算对象710、712等可以是其他计算对象或设备720、722、724、726、728等通过诸如超文本传输协议(HTTP)等多种已知协议中的任一种与其通信的web服务器。担当服务器的计算对象710、712等还可用作客户端，例如计算对象或设备720、722、724、726、728等，这是分布式计算环境的特性。示例性计算设备如上所述，有利的是，此处所描述的技术可适用于期望在计算系统中执行数据管理的任何设备。因此，可以理解，构想了结合多个实施例使用的所有种类的手持式、便携式和其他计算设备和计算对象，即，在设备的资源使用可理想地优化的任何地方。因此，以下在图8中所述的通用远程计算机只是计算设备的一个示例。尽管并非所需，但各实施例可部分地经由操作系统来实现，以供设备或对象的服务开发者使用和/或被包括在用于执行此处所述的多个实施例的一个或多个功能方面的应用软件内。软件可以在由诸如客户端工作站、服务器或其他设备等一个或多个计算机执行的诸如程序模块等计算机可执行指令的通用上下文中描述。本领域的技术人员可以理解，计算机系统具有可用于传递数据的各种配置和协议，并且由此特定配置或协议都不应当被认为是限制性的。图8和以下讨论提供了对实现本文所阐述的一个或多个原理的实施例的合适计算环境的简要、概括描述。示例计算设备包括但不限于，个人计算机、服务器计算机、手持式或膝上型设备、移动设备(诸如移动电话、个人数字助理(PDA)、媒体播放器等)、多处理器系统、消费电子产品、小型计算机、大型计算机、包括任何以上系统或设备中的任一个的分布式计算环境等。虽然并非必需，但是实施例在由一个或多个计算设备执行的“计算机可读指令”的一般上下文中进行描述。计算机可读指令可经由计算机可读介质来分发(在下文中讨论)。计算机可读指令可被实现为执行特定任务或实现特定抽象数据类型的程序模块，诸如函数、对象、应用程序编程接口(API)、数据结构等。通常，计算机可读指令的功能可按需在各种环境中组合或分布。
图8示出包括被配置成实现此处所提供的一个或多个实施例的计算设备810的系统812的示例。在一种配置中，计算设备812包括至少一个处理单元816和存储器818。取决于计算设备的确切配置和类型，存储器818可以是易失性的(例如诸如RAM)、非易失性的(例如诸如ROM、闪存等)、或两者的一些组合。该配置在图8中由虚线814示出。在其他实施例中，设备812可包括附加特征和/或功能。例如，设备812还可包括附加存储(例如，可移动和/或不可移动)，包括但不限于磁存储、光存储等。此类附加存储在图8中由存储820示出。在一个实施例中，实现此处所提供的一个或多个实施例的计算机可读指令可位于存储820中。存储820还可储存实现操作系统、应用程序等其他计算机可读指令。可将计算机可读指令加载到存储器818中，以供例如处理单元816执行。如此处所使用的术语“计算机可读介质”包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令或其他数据之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储器818和存储820都是计算机存储介质的示例。计算机存储介质包括但不限于，RAM、ROM、EEPR0M、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD )或其他光存储、磁带盒、磁带、磁盘存储或其他磁存储设备、或者可用于存储所需信息且可由设备812访问的任何其他介质。任何这样的计算机存储介质都可以是设备812的一部分。设备812还可包括允许该设备812与其他设备进行通信的通信连接826。通信连接826可包括但不限于，调制解调器、网络接口卡(NIC)、集成网络接口、射频发射机/接收机、红外线端口、USB连接、或用于将计算设备812连接到其他计算设备的其他接口。通信连接826可包括有线连接或无线连接。通信连接826可发送和/或接收通信媒体。如此处所用的术语“计算机可读介质”包括计算机可读存储介质和通信介质。计算机可读存储介质包括以用于存储诸如计算机可读指令或其他数据之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储器818和存储820是计算机可读存储介质的示例。计算机存储介质包括但不限于，RAM、R0M、EEPR0M、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光存储、磁带盒、磁带、磁盘存储或其他磁存储设备、或者可用于存储所需信息且可由设备1012访问的任何其他介质。任何这样的计算机可读存储介质都可以是设备812的一部分。设备812还可包括允许该设备812与其他设备进行通信的通信连接826。通信连接826可包括但不限于，调制解调器、网络接口卡(NIC)、集成网络接口、射频发射机/接收机、红外线端口、USB连接、或用于将计算设备812连接到其他计算设备的其他接口。通信连接826可包括有线连接或无线连接。通信连接826可发送和/或接收通信媒体。术语“计算机可读介质”还可包括通信介质。通信介质通常可以包括计算机可读指令或者可以以诸如载波或其他传输机制之类的“已调制数据信号”中传递的其他数据，并且包括任何信息递送介质。术语“已调制数据信号”可包括以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。设备812可包括输入设备824,诸如键盘、鼠标、笔、语音输入设备、触摸输入设备、红外相机、视频输入设备、和/或任何其他输入设备。在设备812中还可包括输出设备822,诸如一个或多个显不器、扬声器、打印机、和/或任何其他输出设备。输入设备824和输出设备822可经由有线连接、无线连接、或其任何组合连接到设备812。在一个实施例中，来自另一计算设备的输入设备或输出设备可用作计算设备812的输入设备824或输出设备822。计算设备812的组件可通过多种互连来连接，例如总线。这样的互连可以包括诸如PCI Express之类的外围部件互连(PCI)、通用串行总线(USB)、火线(IEEE 1394)、光学总线结构等等。在另一实施例中，计算设备812的组件可通过网络来互连。例如，存储器818可包括位于通过网络互连的不同物理位置的多个物理存储器单元。本领域技术人员应当认识到，用于存储计算机可读指令的存储设备可分布在网络上。例如，可经由网络828访问的计算设备830可存储实现此处所提供的一个或多个实施例的计算机可读指令。计算设备812可访问计算设备830，并且下载部分或全部计算机可读指令以供执行。替换地，计算设备812可按需下载计算机可读指令的片断，或者一些指令可在计算设备812处执行，而一些指令则可在计算设备830处执行。图9是示例性便携式电子设备，例如个人数据助理(PDA) 900，其包括视频显示器902、输入组件904、壳体906、CPU 908、收发器和/或接收机910、话筒912、电源914以及音频输出设备916、音频输入918、闪存920、各个传感器922以及扬声器924。根据本发明，利用双位和单位存储器设备的闪存920 (其被制造为具有改进型缓冲系统和混合仲裁机制以改善读取/写入性能并提供移动系统的低等待时间)通过X解码电路降低了可靠性和密度，所述X解码电路能够降低每扇区的扇区选择的次数并且通过并发地提供访问电压和抑制电压来访问特定核心扇区。音频输入设备918例如可以是换能器。输入组件904可以包括键区、按钮、拨号装置、按键等等。视频显示器902可以是液晶显示器、等离子显示器、LED显示器等等以用于显示视觉数据和信息。根据所要求保护的主题的另一实施例，具有根据本发明制造的闪存920的便携式设备包括手机、存储棒、闪存驱动器设备、便携式摄像机、语音记录仪、USB闪存驱动器、传真机、闪存膝上型计算机、MP3播放器、数字相机、家庭视频游戏控制台、硬盘驱动器、存储卡(用作膝上型计算机中的固态盘)等等。闪存920可以包括随机存取存储器、只读存储器、光存储器、音频存储器、磁存储器等等。本文提供了各实施例的各种操作。在一个实施例中，所描述的操作中的一个或多个可以组成存储在一个或多个计算机可读介质上的计算机可读指令，这些指令如果由计算设备执行则使得计算设备执行所描述的操作。所描述的一些或所有操作的顺序不应该被解释为暗示这些操作一定是依赖于顺序的。从本说明书获益的本领域技术人员将认识到替换顺序。此外，应该理解，并非所有的操作都一定存在于本文所提供的每一个实施例中。又一实施例涉及包括被配置成实现此处所呈现的技术中的一种或多种的处理器可执行指令的计算机可读介质。可以用这些方式设计的一种示例性计算机可读介质在图10中示出，其中实现1000包括其上编码有计算机可读数据1006的计算机可读介质1008 (例如，⑶-R、DVD-R、或硬盘驱动器的盘片)。该计算机可读数据1006又包括被配置成根据此次阐述的原理中的一个或多个来操作的一组计算机指令1004。在实现1000的一个这样的实施例中，处理器可执行指令1004可被配置成执行一种方法，诸如例如，在此公开的示例性方法。在另一个这样的实施例中，处理器可执行指令X可被配置成实现一种系统，诸如例如，此处的示例性系统。本领域普通技术人员可设计被配置成根据此处所呈现的技术来操作的许多此类计算机可读介质。此外，本文中所使用的词语“示例性”意指用作示例、实例或说明。在本文中描述为“示例性”的任何方面或设计并不一定被解释为比其他方面或设计有利。相反，使用词语“示例性”旨在以具体的方式呈现各个概念。如本申请中所使用的，术语“或”意指包括性“或”而非互斥性“或”。即，除非另有指定或从上下文中清晰可见，否则“X使用A或B”意指任何自然的包括性排列。即，如果X使用A ；X使用B ;或X使用A和B两者，则在任何以上情况下，都满足“X使用A或B”。另外，本申请中和所附权利要求书中所使用的冠词“一”和“一个”一般可被解释为意指“一个或多个”，除非另有指定或从上下文中清晰可见是指单数形式。同样，虽然参考一个或多个实现示出并描述了本公开，但本领域技术人员基于对本说明书和附图阅读和理解，可以想到各种等效更改和修改。本发明包括所有这样的修改和更改，并且仅由所附权利要求的范围来限定。特别地，对于由上述组件(例如，元素、资源等)执行的各种功能，除非另外指明，否则用于描述这些组件的术语旨在对应于执行所描述的执行此处在本发明的示例性实现中所示的功能的组件的指定功能(例如，功能上等效)的任何组件，即使这些组件在结构上不等效于所公开的结构。此外，尽管可相对于若干实现中的仅一个实现来公开本公开的一个特定特征，但这一特征可以如对任何给定或特定应用所需且有利地与其他实现的一个或多个其他特征相组合。此外，就在说明书或权利要求书中使用术语“包含”、“具有”、“含有”和“带有”及其变体而言，此类术语旨在以与术语“包括”相似的方式为包含性的。
权利要求
1.一种方法，包括 确定(600)与计算系统的第一工作空间位置处的信息资源相关的一组属性； 基于管理该组属性的一组规则将第一标签与所述信息资源相关联(610)； 检测(620)发起改动该组属性中的一个或多个属性的控制功能的一组输入中的输入； 响应于检测到所述输入利用与所述控制功能相关的一组控制功能属性来修改(630)该组属性；以及 基于经修改的该组属性将第二标签与所述信息资源相关联(630)。
2.如权利要求1所述的方法，其特征在于，关联所述第一标签和关联所述第二标签(230)包括基于该组规则来定义限制等级(222)以在第一工作空间位置和第二工作空间位置处不同地控制所述信息资源(108，202 )。
3.如权利要求1所述的方法，其特征在于，还包括 分析所述信息资源内的数据以利用一组数据属性修改该组属性；以及 利用该组数据属性修改该组属性。
4.如权利要求1所述的方法，其特征在于，确定该组属性包括确定下列各项至少之一时间属性、空间属性、版本属性、网络位置、因特网协议地址、所述信息资源的源、所述信息资源的目的地、与其它信息资源的关系、或所述信息资源的预期使用。
5.如权利要求1所述的方法，其特征在于，还包括 监视发起改动所述信息资源的所述一个或多个属性的控制功能的该组输入包括监视下列各项至少之一分别发起对所述信息资源的操纵的附加输入、移动输入、保存输入、发送输入、或者编辑输入。
6.如权利要求1所述的方法，其特征在于，关联所述第一标签包括分配来自具有所述第一标签的一组策略的至少一个第一策略以控制在第一工作空间位置处对所述信息资源的访问，并且将所述第二标签与所述信息资源相关联包括分配来自具有所述第二标签的该组策略的至少一个第二策略以控制在第二工作空间位置处对所述信息资源的访问。
7.如权利要求6所述的方法，其特征在于，还包括 基于来自该组策略的所述至少一个第一策略或者来自该组策略的所述至少一个第二策略在对所述第一工作空间位置和所述第二工作空间位置不同的限制等级下限制所述信息资源。
8.如权利要求7所述的方法，其特征在于，限制所述信息资源包括根据所述第一工作空间位置和所述第二工作空间位置从利用该组输入的控制中禁用具有所述第一标签或所述第二标签的所述信息资源。
9.如权利要求7所述的方法，其特征在于，限制所述信息资源包括在所述第一标签中和在所述第二标签中定义所述限制等级；以及在将所述信息资源发送到所述第二工作空间位置以后利用所述限制等级来控制对所述信息资源的访问，所述第二工作空间位置包括与所述第一工作空间位置不同的目录路径、不同的网络、不同的计算系统或不同的地理位置中的至少一个。
10.一种计算设备(114，514，722，810)，包括 存储器(820)，其上存储有计算机可执行组件；以及 可通信地耦合到所述存储器(820 )的处理器(816 )，所述处理器(816 )被配置为促进所述计算机可执行组件的执行，所述计算机可执行组件包括 属性组件(124，204)，其被配置为动态确定与信息资源(108，202)相对应的一组属性，其中该组属性包括工作空间属性，所述工作空间属性基于所述信息资源(108，202)的源、在创建(102)或首次接收(104)所述信息资源(108，202)时的第一工作空间位置、以及与在创建(102)或首次接收(104)之后修改所述信息资源相关的控制功能属性； 监视组件(128，234)，其被配置为监视与由所述计算机设备接收的控制功能(236)相对应的一组输入(238)，所述控制功能(236)修改所述信息资源(108，202)的该组属性中的一个或多个属性(212，214，216)； 标记组件(116，210)，其被配置为将一个或多个标签(122，220)附加到所述信息资源(108,202)以根据在不同工作空间处确定的该组属性来控制针对所述不同工作空间在不同等级下对所述信息资源(108，202)的访问；以及 策略组件(118，208)，其被配置为将一组策略与在所述不同工作空间处确定的该组属性相关联。
11.如权利要求10所述的计算设备，其特征在于，所述策略组件被配置为将来自该组策略的策略分配给标签以控制对所述信息资源(108，202)的访问。
12.如权利要求11所述的计算设备，其特征在于，还包括 规则组件，其被配置为基于所述信息资源(108，202)的根据附加到所述信息资源(108，202)的标签定义的该组属性提供一组规则。
13.如权利要求12所述的计算设备，其特征在于，所述标记组件(116，210)还被配置为根据来自该组策略的策略和该组属性来定义所述标签(122，220)，其中所述策略基于在所述第一工作空间位置处确定的该组属性来提供对所述信息资源(108，202)的限制等级；并且还响应于该组属性在第二工作空间位置处或在所述第一工作空间位置处的动态改变或增加而利用来自该组策略的提供不同的限制等级的不同策略来定义所述标签。
14.如权利要求13所述的计算设备，其特征在于，所述第一工作空间位置包括在该处创建所述信息资源(108，202)的公司目录路径或者由所述计算设备的全球定位组件确定的物理位置中的至少一个；并且所述第二工作空间位置包括所述信息资源(108，202)所在的不同目录路径或不同物理位置中的至少一个。
全文摘要
本公开涉及个人空间(数据)对比于公司空间(数据)。提供了用于处理信息资源的数据管理技术。数据管理过程可以通过分析或解释与信息资源相关联的工作空间位置、源、信道和设备考虑到信息资源的属性并基于所述属性实施策略。规则管理属性确定和策略以用于对信息资源的访问限制。所确定的属性和策略被标记到信息资源并且基于与不同工作空间(比如公司工作空间和个人工作空间)内的信息资源相关的属性被动态更新。
文档编号G06F21/62GK103020541SQ20121054669
公开日2013年4月3日 申请日期2012年12月14日 优先权日2011年12月16日
发明者E·雷乌斯, S·菲尔德, M·J·希利, J·达奇, S·帕萨沙拉西 申请人:微软公司