用于聚合信息资产分类的系统和方法与流程

背景技术：

在数字化时代，组织和其他实体可能要管理越来越大的信息资产量(例如，文件、电子邮件等)。组织可以部署各种数据管理系统以用于存储、组织、保护和访问其信息资产。例如，组织可部署对组织的信息资产进行备份的备份系统、对组织的信息资产进行存档的存档系统、以及保护组织的信息资产免于数据丢失的数据丢失保护(dlp)系统。典型的数据管理系统可通过以下方式发挥作用：基于数据管理系统向信息资产分配的分类来实施数据管理策略(例如，备份、存档或dlp策略)。例如，常规dlp系统可通过实施以下dlp策略的方式保护信息资产：该dlp策略指示被dlp系统分类为敏感的信息资产不应被某些个人访问或者不应存储到不安全的存储系统。

遗憾的是，利用常规的基于分类的数据管理策略来管理信息资产的集合可能存在不必要的限制，尤其是当所述集合包括具有不同分类的信息资产时，因为常规的基于分类的数据管理策略通常基于单独的信息资产的分类来定义。因此，本公开确定并解决了对用于聚合信息资产分类的另外和改善的系统和方法的需求。

技术实现要素：

如下文将更详细地描述，本公开描述了用于聚合信息资产分类的各种系统和方法。在一个示例中，一种用于聚合信息资产分类的计算机实现的方法可包括：(1)识别包括两个或更多个信息资产的数据集合(例如，相关信息资产的组或信息资产的容器)，(2)识别所述信息资产中每一者的分类，(3)至少部分地基于信息资产的分类导出数据集合的聚合分类，以及(4)将聚合分类与数据集合关联以使数据管理系统能够基于聚合分类实施数据管理策略。

在一个实施方案中，导出聚合分类可包括编制两个或更多个信息资产的分类的并集，并且聚合分类可包括所述两个或更多个信息资产的分类的并集。在一个实施方案中，导出聚合分类可包括识别两个或更多个信息资产的分类的最大值，并且聚合分类可包括两个或更多个信息资产的最大值。

在一个实施方案中，导出聚合分类可包括计算信息资产的分类的平均值，并且聚合分类可包括信息资产的分类的平均值。在一个实施方案中，导出聚合分类可包括识别信息资产的分类的最小值，并且聚合分类可包括信息资产的分类的最小值。

在一个实施方案中，该计算机实现的方法还可包括：(1)接收数据集合的更改的通知；以及(2)基于数据集合的更改修改数据集合的聚合分类。在一些实施方案中，所述更改可包括更改数据集合中包括的其中一个信息资产的分类，删除数据集合中包括的其中一个信息资产，和/或将附加的信息资产包括到数据集合中。在一个实施方案中，该计算机实现的方法还可包括：(1)接收对数据集合的聚合分类的请求；以及(2)响应于接收到对聚合分类的请求而提供数据集合的聚合分类。

在一个实施方案中，该计算机实现的方法还可包括：(1)识别适用于数据集合的聚合分类的数据管理策略；以及(2)实施数据管理策略。在一个实施方案中，信息资产可包括能够包含至少一个附加信息资产的信息资产。在一些示例中，导出数据集合的聚合分类可至少部分地基于数据集合中包含的一个或多个从属数据集合的聚合分类。在一些示例中，导出数据集合的聚合分类可至少部分地基于在数据集合中包含的从属数据集合中包含的一个或多个信息资产的分类。在一个实施方案中，信息资产的分类可接收自两个独立且不同的数据管理系统。

在一个实施方案中，一种用于实施上述方法的系统可包括存储在存储器中的若干模块，诸如：(1)识别模块，其识别可包括两个或更多个信息资产的数据集合，(2)分类模块，其识别所述信息资产中每一者的分类，(3)聚合模块，其至少部分地基于信息资产的分类导出数据集合的聚合分类，以及(4)关联模块，其将聚合分类与数据集合关联以使数据管理系统能够基于聚合分类实施数据管理策略。在一些实施方案中，该系统可包括被配置为执行识别模块、分类模块、聚合模块和关联模块的至少一个物理处理器。

在一些示例中，上述方法可被编码为非暂态计算机可读介质上的计算机可读指令。例如，计算机可读介质可包括一个或多个计算机可执行指令，当由计算设备的至少一个处理器执行时，所述计算机可执行指令可使计算设备：(1)识别可包括两个或更多个信息资产的数据集合，(2)识别所述信息资产中每一者的分类，(3)至少部分地基于信息资产的分类导出数据集合的聚合分类，并且(4)将聚合分类与数据集合关联以使数据管理系统能够基于聚合分类实施数据管理策略。

来自任意上述实施方案的特征可根据本文所述的一般原理彼此结合使用。在结合附图和权利要求阅读以下详细描述后，将更全面地理解这些以及其他实施方案、特征和优点。

附图说明

附图示出多个示例性实施方案，且是说明书的一部分。这些附图与以下描述一起展示并说明本公开的各种原理。

图1为用于聚合信息资产分类的示例性系统的框图。

图2为用于聚合信息资产分类的另外示例性系统的框图。

图3为用于聚合信息资产分类的另外示例性系统的框图。

图4为用于聚合信息资产分类的示例性方法的流程图。

图5为示例性数据集合和关联分类的框图。

图6为示例性数据集合和关联分类的框图。

图7为示例性数据集合和关联分类的框图。

图8为示例性数据集合和关联分类的框图。

图9为示例性数据集合和关联分类的框图。

图10为示例性数据集合的框图。

图11为示例性数据集合和关联分类的框图。

图12为示例性数据集合的框图。

图13为示例性数据集合和关联分类的框图。

图14为示例性数据集合的框图。

图15为示例性数据集合和关联分类的框图。

图16为示例性计算系统的框图，该示例性计算系统能够实施本文描述和/或示出的实施方案中的一个或多个。

图17为示例性计算网络的框图，该示例性计算网络能够实施本文描述和/或示出的实施方案中的一个或多个。

在整个附图中，相同的参考字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施方案易存在各种修改形式和替代形式，但附图中以举例的方式示出了具体实施方案，这些实施方案将在本文中详细描述。然而，本文所述的示例性实施方案并不旨在限于所公开的特定形式。相反，本公开涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。

具体实施方式

本公开整体涉及用于聚合信息资产分类的系统和方法。如下文将更详细地说明，通过将数据集合中包括的信息资产的可能不同的分类聚合成数据集合的单个聚合分类，本文所述的系统和方法可使数据管理系统能够使用集合级分类来定义和/或实施数据管理策略。此外，通过使用由一个或多个独立且不同的数据管理系统生成且从所述数据管理系统接收的信息来跟踪什么样的信息资产包括在数据集合中以及如何对信息资产分类，本文所述的系统和方法可生成数据集合的聚合分类，而不必单独扫描数据集合或对其一些或全部信息资产分类。本公开的实施方案还可提供各种其他优点和特征，如下文更详细地讨论。

下面将参考图1至图3提供用于聚合信息资产分类的示例性系统的详细描述。还将结合图4至图15提供对应的计算机实现的方法的详细描述。此外，还将分别结合图16和图17提供能够实施本文所述实施方案中的一个或多个的示例性计算系统和网络体系结构的详细描述。

图1为用于聚合信息资产分类的示例性系统100的框图。如该图所示，示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如，并且如下文将更详细地说明，示例性系统100可包括识别模块104，该识别模块可识别包括多个信息资产的数据集合。示例性系统100可另外包括分类模块106，该分类模块可识别两个或更多个信息资产中每一者的分类。示例性系统100还可包括聚合模块108，该聚合模块可至少部分地基于所述两个或更多个信息资产的分类导出数据集合的聚合分类。示例性系统100可另外包括关联模块110，该关联模块可将聚合分类与数据集合关联以使数据管理系统能够基于聚合分类实施数据管理策略。示例性系统100还可包括策略模块112，该策略模块识别适用于数据集合的聚合分类的数据管理策略。尽管被示出为独立元件，但图1中的模块102中的一个或多个可表示单个模块或应用程序的部分。

在某些实施方案中，图1中的模块102中的一个或多个可表示一个或多个软件应用程序或程序，当由计算设备执行时，所述软件应用程序或程序可使计算设备执行一个或多个任务。例如，并且如下文将更详细地描述，模块102中的一个或多个可表示存储在一个或多个计算设备上并且被配置为在所述计算设备上运行的软件模块，所述计算设备诸如为图2中所示的计算设备202、图3中的服务器302、图16中的计算系统1610、和/或图17中的示例性网络体系结构1700的部分。图1中的模块102中的一个或多个还可表示被配置为执行一个或多个任务的一个或多个专用计算机的全部或部分。

如图1所示，示例性系统100还可包括一个或多个数据库，诸如数据库120。在一个示例中，数据库120可被配置为存储一个或多个信息资产(例如，信息资产122)的表示、信息资产的一个或多个集合(例如，集合124)的表示、一个或多个信息资产和/或数据集合的分类(例如，分类126)、和/或与一个或多个数据管理策略(例如，策略128)有关的信息。数据库120可表示单个数据库或计算设备的部分或者多个数据库或计算设备。例如，数据库120可表示图2中的计算设备202、图3中的服务器302、图16中的计算系统1610、和/或图17中的示例性网络体系结构1700的部分的一部分。作为另外一种选择，图1中的数据库120可表示一个或多个物理上独立的设备，所述设备能够被计算设备访问，该计算设备诸如为图2中的计算设备202、图3中的服务器302、图16中的计算系统1610、和/或图17中的示例性网络体系结构1700的部分。

图1中的示例性系统100可以多种方式实施。例如，示例性系统100的全部或一部分可表示图2中示例性系统200的部分。如图2所示，系统200可包括计算设备202。在一个示例中，计算设备202可用模块102中的一个或多个编程并且/或者可存储数据库120中的全部或一部分数据。

在一个实施方案中，图1中的模块102中的一个或多个，当由计算设备202的至少一个处理器执行时，可使计算设备202能够聚合信息资产分类。例如，并且如下文将更详细地描述，识别模块104可识别包括多个信息资产(例如，如图5中所示的信息资产504、506和508)的集合204。分类模块106可识别分类206(例如，图5中的分类510、512和514)，所述分类包括集合204内包括的每个信息资产的分类。聚合模块108可至少部分地基于分类206导出集合204的聚合分类208。关联模块110可将聚合分类208与集合204关联以使数据管理系统能够基于聚合分类208实施数据管理策略。

计算设备202通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的示例包括但不限于膝上型计算机、平板电脑、台式计算机、服务器、蜂窝电话、个人数字助理(pda)、多媒体播放器、嵌入式系统、可穿戴设备(例如，智能手表、智能眼镜等)、游戏机、它们中一个或多个的组合、图16中的示例性计算系统1610、或者任何其他合适的计算设备。

在至少一个示例中，计算设备202可表示数据管理系统的一部分。如本文所用，术语“数据管理系统”通常是指管理信息资产和/或数据集合和/或生成信息资产和/或数据集合的元数据(例如，分类)的任何系统或设备。数据管理系统的示例包括但不限于保护、组织和/或存储信息资产和/或数据集合(例如，文件系统、电子邮件系统、文档系统、存储系统、备份系统、存档系统、复制系统、高可用性系统、数据搜索系统、数据生命周期管理系统、以及虚拟化系统)的系统，以及控制对信息资产和/或数据集合的访问的系统(例如，数据丢失防护系统、身份验证系统、访问控制系统、加密系统、策略遵循系统、风险降低系统、入侵防护系统、非结构化数据管控系统、以及电子发现系统)。在一些示例中，术语“数据管理系统”可以是指经由互联网提供各种数据管理服务的云计算环境。

在另一示例中，计算设备202可表示管理全局元数据库的系统的一部分。如本文所用，术语“全局元数据库”通常是指信息资产和/或数据集合元数据的任何单个逻辑库，该逻辑库与提供和/或访问存储在全局元数据库中的信息资产和/或数据集合元数据的至少两个数据管理系统分离且不同。在至少一个示例中，图1中的数据库120可表示全局元数据库的一部分。如果两个数据管理系统都不是全局元数据库工作所必需的，则全局元数据库可被视为与所述两个数据管理系统分离且不同。除此之外或作为另外一种选择，如果两个数据管理系统中任一者的故障不导致全局元数据库故障，则全局元数据库可被视为与所述两个数据管理系统分离且不同。

图3示出了图1中示例性系统100的另外或另选示例性具体实施。如图3所示，系统300可包括两个数据管理系统306(a)和306(b)、服务器302、以及将服务器302与数据管理系统306(a)和306(b)相连接的网络304。在一个示例中，服务器302可用模块102中的一个或多个编程并且/或者可存储数据库120中的全部或一部分数据。

在一个实施方案中，图1中的模块102中的一个或多个，当由服务器302的至少一个处理器执行时，可使服务器302能够聚合由数据管理系统306(a)和306(b)生成的信息资产分类。例如，并且如下文将更详细地描述，识别模块104可识别包括多个信息资产(例如，如图5中所示的信息资产504、506和508)的集合204。分类模块106可识别(1)集合204内包括的至少一个信息资产的、由数据管理系统306(a)生成并从该数据管理系统接收的分类(例如，图5中信息资产504的分类510)，以及(2)集合204内包括的至少一个其他信息资产的、由数据管理系统306(b)生成并从该数据管理系统接收的分类(例如，图5中信息资产506的分类512)。聚合模块108可至少部分地基于由数据管理系统306(a)和306(b)生成并从所述数据管理系统接收的分类，导出集合204的聚合分类208。关联模块110可将聚合分类208与集合204关联以使数据管理系统306(a)或306(b)能够基于聚合分类208实施数据管理策略。

服务器302通常表示能够读取计算机可执行指令和/或管理全局元数据库的任何类型或形式的计算设备。数据管理系统306(a)和306(b)通常表示能够读取计算机可执行指令和/或执行数据管理操作的任何类型或形式的计算设备。数据管理系统306(a)和306(b)和服务器206的示例包括但不限于被配置为提供各种数据库服务和/或运行某些软件应用程序的应用程序服务器和数据库服务器。

网络304通常表示能够促进通信或数据传输的任何介质或体系结构。网络304的示例包括但不限于内联网、广域网(wan)、局域网(lan)、个人区域网(pan)、互联网、电力线通信(plc)、蜂窝网络(例如，全球移动通信系统(gsm)网络)、图17中的示例性网络体系结构1700、等等。网络304可使用无线或有线连接促进通信或数据传输。在一个实施方案中，网络304可促进服务器302与数据管理系统306(a)和306(b)之间的通信。

图4为用于聚合信息资产分类的示例性计算机实现的方法400的流程图。图4中所示的步骤可由任何合适的计算机可执行代码和/或计算系统执行。在一些实施方案中，图4中所示的步骤可由图1中的系统100、图2中的系统200、图3中的系统300、图16中的计算系统1610、和/或图17中的示例性网络体系结构1700的部分的组件中的一个或多个执行。

如图4所示，在步骤402处，本文所述的系统中的一个或多个可识别包括多个信息资产的数据集合。例如，识别模块104可，作为图2中的计算设备202的一部分，识别包括如图5所示的信息资产504、506和508的集合204。

在其他示例中，识别模块104可识别图9中的集合902、图10中的集合1026、图12中的邮箱1204、和/或图14中的虚拟机磁盘文件(vmdk)1402。在这些示例中，集合902可包括信息资产904和906以及从属集合908，集合1026可包括如图10所示的文件1012、1014和1024，邮箱1204可包括如图12所示的文件夹1206和1214、消息1208、1212、1216和1218以及附件1210和1220，并且vmdk1402可包括如图14所示的文件1404、程序1406和数据库1408。

如本文所用，术语“数据集合”通常是指任意组的关联信息资产。例如，术语“数据集合”可以是指已由数据管理系统或管理员定义的一组信息资产。在至少一个示例中，术语“数据集合”可以是指管理员希望使用数据管理策略来管理的一组信息资产(例如，指示应如何或者何时执行数据管理操作的一组规则或条件)。在一些示例中，术语“数据集合”可以是指具有类似或相关属性(例如，类似或相关的内容、格式、机密程度、所有权、项目或部门关联、或安全级别)的一组信息资产。

在一些示例中，术语“数据集合”可以是指信息资产的容器。信息资产的容器的示例包括但不限于文件系统文件夹或目录、存档文件(诸如zip、tar或rar文件)、邮箱、邮箱文件夹、消息(其可包括附件)、文件共享、内容管理系统(例如，microsoftsharepoint站点或子站点)的部分、虚拟机磁盘文件(vmdk)、数据库、数据库表、备份、磁盘、数据库服务器、或邮件服务器。

如本文所用，术语“信息资产”通常是指电子信息的任何离散的或聚合的表示。在一些示例中，术语“信息资产”可以是指任何结构化、半结构化或非结构化信息。信息资产的示例包括但不限于文件、电子邮件、文档、消息、数据库、数据库表、容器、文件夹、备份、磁盘、数据库服务器、邮件服务器、以及邮箱。信息资产可跨多种信息资产源(例如，个人计算设备、文件服务器、应用程序服务器、电子邮件服务器、文档库、协作系统、社交网络、以及基于云的存储服务)存储。如果信息资产包括其他信息资产，则该信息资产可为数据集合。

回到图4，识别模块104可在多种上下文中识别数据集合。在一个示例中，识别模块104可将数据集合识别为数据管理系统的一部分。作为数据管理系统的一部分，识别模块104可通过扫描和/或监视由数据管理系统管理的数据集合和/或信息资产的源来识别数据集合。例如，识别模块104可通过扫描存储设备上的文件系统来识别文件或文件夹的群组，并且/或者可通过扫描邮件系统来识别邮箱或邮箱文件夹。以图10和图12为例，识别模块104可通过扫描文件系统1002(a)识别文件夹1004，并且/或者通过扫描邮件系统1202识别邮箱1204。作为识别数据集合的一部分，识别模块104还可识别和/或跟踪其包含的信息资产。

在一些示例中，识别模块104可将数据集合识别为管理全局元数据库(例如，可被提供到一个或多个数据管理系统并且/或者被所述数据管理系统访问的信息资产和/或数据集合元数据的库)的系统的一部分。在这些示例中，识别模块104可通过从一个或多个数据管理系统接收与数据集合和/或数据集合内包含的信息资产有关的信息来识别数据集合。例如，识别模块104可通过从一个或多个数据管理系统接收识别数据集合的信息和/或识别数据集合中包含的每个信息资产的信息来识别数据集合。在另一示例中，识别模块104可通过查询全局元数据库来识别数据集合。

在一些示例中，识别模块104可通过使管理员能够定义数据集合来识别数据集合。在至少一个示例中，识别模块104可识别数据集合，作为使管理员能够定义与数据集合关联的数据管理策略的一部分。

在步骤404处，本文所述的系统中的一个或多个可识别在步骤402处识别的数据集合中包括的两个或更多个信息资产中每一者的分类。例如，分类模块106可，作为图2中的计算设备202的一部分，识别分类206，所述分类包括集合204中包括的两个或更多个信息资产中每一者的分类(例如，分类510、512和514中的两者或更多者)。

在其他示例中，分类模块106可识别图9中的集合902、图10中的集合1026、图12中的邮箱1204、和/或图14中的虚拟机磁盘文件(vmdk)1402中包括的两个或更多个信息资产中每一者的分类。例如，如图9所示，分类模块106可分别识别信息资产904、信息资产906、集合908、信息资产910和信息资产912的分类914、916、918、920和922。如图11所示，分类模块106可分别识别文件1012、1014和1024的分类1102、1104和1106。如图13所示，分类模块106可分别识别消息1208、附件1210、消息1215和附件1228的hipaa分类1302、pii分类1304、pii分类1308和hipaa分类1310。如图15所示，分类模块106可分别识别文件1404、程序1406和数据库1408的分类1502、1504和1506。

如本文所用，术语“分类”通常是指信息资产的任何评估、类别划分或描述，其基于信息资产的内容、格式、特征、特性、所有权或其他属性。在一些示例中，信息资产的分类可由分类范围或标度(例如，数字范围或标度)内的值表示。在另一示例中，信息资产的分类可由一组离散分类中的一者(例如，敏感或不敏感)表示。在其他示例中，信息资产的分类可由反映分类的标记或标签表示。例如，信息资产的分类可包括指示信息资产包含个人可识别信息(pii)或财务数据的标记，和/或指示信息资产符合特定法规(例如，健康保险流通与责任法案(hipaa))的标记。

回到图4，分类模块106可以多种方式识别数据集合内包括的信息资产的分类。在一个示例中，分类模块106可通过生成信息资产的分类来识别信息资产的分类。例如，分类模块106可，作为数据管理系统的一部分，通过扫描信息资产的各种属性来生成信息资产的分类。以图5为例，分类模块106可通过扫描信息资产504来生成分类510。

在另一示例中，分类模块106可通过从生成了分类的数据管理系统接收分类来识别数据集合内包括的信息资产的分类。例如，分类模块106可，作为管理全局元数据库的系统的一部分，从将与信息资产有关的信息提供到全局元数据库的数据管理系统接收信息资产的分类。在另一示例中，分类模块106可通过查询全局元数据库来识别数据集合中包括的信息资产的分类。

在至少一个示例中，分类模块106可通过从两个独立且不同的数据管理系统接收分类的一部分来识别数据集合内包括的信息资产的分类。以图3和图5为例，分类模块106可通过(1)从数据管理系统306(a)接收分类510以及(2)从数据管理系统306(b)接收分类512和514来识别分类510-514。在该示例中，数据管理系统306(a)可通过扫描信息资产504而具有生成的分类510，并且数据管理系统306(b)可通过分别扫描信息资产506和508而具有生成的分类512和514。

回到图4，在步骤406处，本文所述的系统中的一个或多个可基于数据集合中包括的两个或更多个信息资产的分类导出在步骤402处识别的数据集合的聚合分类。例如，聚合模块108可，作为图2中的计算设备202的一部分，基于图5中分类510、512和514中的两者或更多者导出集合204的聚合分类208。

在其他示例中，聚合模块108可导出图9中的集合902、图10中的集合1026、图12中的邮箱1204、和/或图14中的虚拟机磁盘文件(vmdk)1402的分类。例如，如图9所示，聚合模块108可基于分类914、916、918、920和/或922导出集合902的聚合分类924。如图11所示，聚合模块108可基于分类1102、1104和1106导出集合1026的聚合分类1108。如图13所示，聚合模块108可基于hipaa分类1302、pii分类1304、pii分类1308和hipaa分类1310导出邮箱1204的聚合分类标记1312和1314。如图15所示，聚合模块108可基于分类1502、1504和1506导出vmdk1402的聚合分类1508。

聚合模块108可以多种方式导出数据集合的聚合分类。在一个示例中，聚合模块108可通过对数据集合中包括的全部或一部分信息资产的分类的并集进行编制来导出数据集合的聚合分类。例如，如图13所示，聚合模块108可通过编制向邮箱1204中包括的信息资产分配的分类标记(即，hipaa分类1302、pii分类1304、pii分类1308和hipaa分类1310)的并集来导出包括聚合hipaa标记1312和聚合pii标记1314的邮箱1204的聚合分类。

在一些示例中，如果数据集合中包括的信息资产的分类可求和，则聚合模块108可通过对数据集合中包括的全部或一部分信息资产的分类进行求和来导出数据集合的聚合分类。在一些示例中，如果数据集合中包括的信息资产的分类来自分类的离散组，则聚合模块108可通过导出数据集合中包括的全部或一部分信息资产的分类的分布来导出数据集合的聚合分类。

在一些示例中，如果数据集合中包括的信息资产的分类是数值，则聚合模块108可通过识别数据集合中包括的全部或一部分信息资产的分类的最大值、最小值、平均值和中值来导出数据集合的聚合分类。例如，如图9所示，聚合模块108可通过从分类914、分类916、分类920和分类922中识别最大值来导出聚合分类924。

在至少一个示例中，聚合模块108可基于分类策略导出数据集合的聚合分类。例如，聚合模块108可基于分类策略导出数据集合的聚合分类，该分类策略指示如果数据集合中包括的预定数量的信息资产具有特定的信息资产分类，则应向数据集合分配特定的数据集合分类。

除导出数据集合的初始聚合分类之外或者作为其另一种选择，聚合模块108可基于数据集合的更改和/或数据集合中包括的信息资产的分类的更改，周期性地更新数据集合的聚合分类。出于至少这个原因，分类模块106和/或聚合模块108可监视数据集合的更改和/或数据集合中包括的信息资产的分类的更改。

在一些示例中，分类模块106和/或聚合模块108可通过接收数据集合和/或分类的更改的通知来监视数据集合的更改和/或信息资产的分类的更改。在一些示例中，当数据管理系统更改数据集合中包括的其中一个信息资产的分类时、当数据管理系统删除数据集合中包括的其中一个信息资产或者检测到所述其中一个信息资产的删除时、和/或当数据管理系统将附加的信息资产包括到数据集合中或者检测到附加的信息资产被包括到数据集合中时，分类模块106和/或聚合模块108可接收通知。响应于接收到此类通知，聚合模块108可修改数据集合的聚合分类。

以图3为例，分类模块106可，作为服务器302的一部分，接收更改通知308，该更改通知向分类模块106告知集合204的更改和/或集合204中包括的信息资产的分类更改。在该示例中，分类模块106可从数据管理系统306(a)或306(b)中的一者接收更改通知308。响应于更改通知308，聚合模块108可导出集合204的修改的聚合分类310。以图5和图6为例，更改通知308可能已指示已将新信息资产添加到如图5所示的集合204。例如，更改通知308可指示已将具有新分类604的新信息资产602添加到集合204，如图6所示。在该示例中，聚合模块108可基于分类510、512、514和新分类604导出修改的聚合分类310。

另以图5和图7为例，更改通知308可能已指示已从如图7所示的集合204中删除如图5所示的信息资产508。在该示例中，聚合模块108可基于分类510和512导出修改的聚合分类310。另以图5和图8为例，更改通知308可能已指示已将如图5所示的信息资产508的分类514更改为如图8所示的修改的分类802。在该示例中，聚合模块108可基于分类510和512以及修改的分类802导出修改的聚合分类310。

在一些情况下，数据集合可包括一个或多个从属数据集合。例如，如图9所示，集合902可包括从属集合908。在一个示例中，聚合模块108可基于与从属数据集合关联的聚合分类导出包括从属数据集合的数据集合的聚合分类。以图9为例，聚合模块108可基于集合908的聚合分类918导出聚合分类924。在该示例中，聚合模块108可响应于聚合分类918或集合908的更改而更新聚合分类924。

除此之外或作为另外一种选择，聚合模块108可基于与从属数据集合中包括的信息资产关联的分类导出包括从属数据集合的数据集合的聚合分类。以图9为例，聚合模块108可使用分类920和922来导出聚合分类924。在该示例中，聚合模块108可响应于分类920、分类922或集合908的更改而更新聚合分类924。

回到图4，在步骤408处，本文所述的系统中的一个或多个可将在步骤406处导出的聚合分类与在步骤402处识别的数据集合关联以使数据管理系统能够基于聚合分类实施数据管理策略。例如，关联模块110可，作为图2中的计算设备202的一部分，将聚合分类208与集合204关联以使数据管理系统能够基于聚合分类208实施数据管理策略。

关联模块110可任何合适的方式将聚合分类与数据集合关联。例如，关联模块110可将数据集合的聚合分类存储为与数据集合关联的元数据。在至少一个示例中，关联模块110可将数据集合的聚合分类存储到可被一个或多个数据管理系统访问的全局元数据库。在完成步骤408后，图4中的示例性方法400可终止。

在一些示例中，本文所述的系统中的一个或多个可提供对聚合分类的访问。例如，服务器302可，作为管理全局元数据库的系统的一部分，将对聚合分类的访问提供到数据管理系统306(a)和/或306(b)。

在一些示例中，本文所述的系统中的一个或多个可基于数据集合的聚合分类实施数据管理策略。例如，策略模块112可，作为图2中的计算设备202的一部分或者作为图3中数据管理系统306(a)和306(b)中的一者的一部分，(1)基于聚合204的聚合分类识别数据管理策略，并且(2)基于聚合分类208实施数据管理策略。如本文所用，术语“数据管理策略”通常是指基于为数据集合导出的聚合分类的指令和/或要采取的动作步骤。数据管理策略的示例包括但不限于备份计划策略、备份位置策略、存档策略、保留策略、处理策略、安全策略和所有权策略。

如上所述，通过将数据集合中包括的信息资产的可能不同的分类聚合成数据集合的单个聚合分类，本文所述的系统和方法可使数据管理系统能够使用集合级分类来定义和/或实施数据管理策略。此外，通过使用由一个或多个独立且不同的数据管理系统生成且从所述数据管理系统接收的信息来跟踪什么样的信息资产包括在数据集合中以及如何对信息资产分类，本文所述的系统和方法可生成数据集合的聚合分类，而不必单独扫描数据集合或对其一些或全部信息资产分类。

例如，本文所述的系统可从不同的数据管理系统接收与数据集合、数据集合内包括的信息资产、以及信息资产的分类有关的信息。本文所述的系统然后可(1)基于信息资产的分类导出数据集合的单个聚合分类，并且/或者(2)将对聚合分类的访问提供到不同的数据管理系统以使得所述不同的数据管理系统能够使用聚合分类来实施数据管理策略。此外，本文所述的系统可(1)监视数据集合的更改、数据集合内包括的信息资产的更改以及信息资产的分类的更改，并且(2)相应地更新数据集合的聚合分类。

图16为示例性计算系统1610的框图，该示例性计算系统能够实施本文描述和/或示出的实施方案中的一个或多个。例如，计算系统1610的全部或一部分可，以单独或与其他元件结合的方式，执行和/或作为一种装置用于执行本文所述的步骤中的一个或多个(诸如图4所示的步骤中的一个或多个)。计算系统1610的全部或一部分还可执行和/或作为一种装置用于执行本文描述和/或示出的任何其他步骤、方法或过程。

计算系统1610在广义上表示能够执行计算机可读指令的任何单处理器或多处理器计算设备。计算系统1610的示例包括但不限于工作站、膝上型计算机、客户端侧终端、服务器、分布式计算系统、手持式设备、或任何其他计算系统或设备。在其最基本的配置下，计算系统1610可包括至少一个处理器1614和系统存储器1616。

处理器1614通常表示能够处理数据或解译和执行指令的任何类型或形式的物理处理单元(例如，硬件实施的中央处理单元)。在某些实施方案中，处理器1614可接收来自软件应用程序或模块的指令。这些指令可使处理器1614执行本文描述和/或示出的一个或多个示例性实施方案的功能。

系统存储器1616通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器1616的示例包括但不限于随机存取存储器(ram)、只读存储器(rom)、闪存存储器或任何其他合适的存储器设备。尽管不是必需的，但在某些实施方案中，计算系统1610可包括易失性存储器单元(诸如，系统存储器1616)和非易失性存储设备(诸如，主存储设备1632，如下文详细描述)两者。在一个示例中，图1的模块102中的一个或多个可被加载到系统存储器1616中。

在某些实施方案中，除处理器1614和系统存储器1616之外，示例性计算系统1610还可包括一个或多个组件或元件。例如，如图16所示，计算系统1610可包括存储器控制器1618、输入/输出(i/o)控制器1620和通信接口1622，它们中的每一者都可以经由通信基础结构1612互连。通信基础结构1612通常表示能够促进计算设备的一个或多个组件之间的通信的任何类型或形式的基础结构。通信基础结构1612的示例包括但不限于通信总线(诸如工业标准体系结构(isa)、外围组件互连(pci)、pciexpress(pcie)或类似的总线)和网络。

存储器控制器1618通常表示能够处理存储器或数据或者控制计算系统1610的一个或多个组件之间的通信的任何类型或形式的设备。例如，在某些实施方案中，存储器控制器1618可经由通信基础结构1612控制处理器1614、系统存储器1616和i/o控制器1620之间的通信。

i/o控制器1620通常表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如，在某些实施方案中，i/o控制器1620可控制或促进计算系统1610的一个或多个元件之间的数据传输，所述元件诸如为处理器1614、系统存储器1616、通信接口1622、显示适配器1626、输入接口1630和存储接口1634。

通信接口1622在广义上表示能够促进示例性计算系统1610与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如，在某些实施方案中，通信接口1622可促进计算系统1610与包括附加计算系统的专用或公共网络之间的通信。通信接口1622的示例包括但不限于有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器以及任何其他合适的接口。在至少一个实施方案中，通信接口1622可经由到网络(诸如互联网)的直接链路来提供到远程服务器的直接连接。通信接口1622还可通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其他合适的连接来间接提供此类连接。

在某些实施方案中，通信接口1622还可表示主机适配器，该主机适配器被配置为经由外部总线或通信信道来促进计算系统1610与一个或多个附加网络或存储设备之间的通信。主机适配器的示例包括但不限于小型计算机系统接口(scsi)主机适配器、通用串行总线(usb)主机适配器、电气与电子工程师协会(ieee)1394主机适配器、高级技术附件(ata)、并行ata(pata)、串行ata(sata)和外部sata(esata)主机适配器、光纤信道接口适配器、以太网适配器等。通信接口1622还可允许计算系统1610参与分布式或远程计算。例如，通信接口1622可接收来自远程设备的指令或将指令发送到远程设备以供执行。

如图16所示，计算系统1610还可包括至少一个显示设备1624，该显示设备经由显示适配器1626联接到通信基础结构1612。显示设备1624通常表示能够以可视方式显示显示适配器1626转发的信息的任何类型或形式的设备。类似地，显示适配器1626通常表示被配置为转发来自通信基础结构1612(或来自帧缓冲器，如本领域所已知)的图形、文本和其他数据以在显示设备1624上显示的任何类型或形式的设备。

如图16所示，示例性计算系统1610还可包括经由输入接口1630联接到通信基础结构1612的至少一个输入设备1628。输入设备1628通常表示能够向示例性计算系统1610提供输入(由计算机或人生成)的任何类型或形式的输入设备。输入设备1628的示例包括但不限于键盘、指向设备、语音识别设备或任何其他输入设备。

如图16所示，示例性计算系统1610还可包括主存储设备1632和经由存储接口1634联接到通信基础结构1612的备用存储设备1633。存储设备1632和1633通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。例如，存储设备1632和1633可为磁盘驱动器(例如，所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等。存储接口1634通常表示用于在存储设备1632和1633与计算系统1610的其他组件之间传输数据的任何类型或形式的接口或设备。在一个示例中，图1的数据库120可存储在主存储设备1632中。

在某些实施方案中，存储设备1632和1633可被配置为对被配置为存储计算机软件、数据或其他计算机可读信息的可移除存储单元执行读取和/或写入。合适的可移除存储单元的示例包括但不限于软盘、磁带、光盘、闪存设备等。存储设备1632和1633还可包括允许将计算机软件、数据或其他计算机可读指令加载到计算系统1610中的其他类似结构或设备。例如，存储设备1632和1633可被配置为读取和写入软件、数据或其他计算机可读信息。存储设备1632和1633还可为计算系统1610的一部分，或者可为通过其他接口系统访问的独立设备。

可将许多其他设备或子系统连接到计算系统1610。相反，无需图6中示出的所有组件和设备都存在，亦可实践本文描述和/或示出的实施方案。上文提及的设备和子系统也可通过不同于图16所示的方式互连。计算系统1610也可采用任何数量的软件、固件和/或硬件配置。例如，本文所公开的示例性实施方案中的一个或多个可被编码为计算机可读介质上的计算机程序(也被称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。如本文所用，术语“计算机可读介质”通常是指能够存储或携带计算机可读指令的任何形式的设备、载体或介质。计算机可读介质的示例包括但不限于传输型介质，诸如载波，和非暂态型介质，诸如磁存储介质(例如，硬盘驱动器、磁带驱动器和软盘)、光存储介质(例如，光盘(cd)、数字视频盘(dvd)、blu-ray磁盘)、电子存储介质(例如，固态驱动器和闪存介质)和其他分配系统。

可将包含计算机程序的计算机可读介质加载到计算系统1610中。然后可将计算机可读介质上存储的全部或部分计算机程序存储在系统存储器1616中和/或存储设备1632和1633的各个部分中。当由处理器1614执行时，加载到计算系统1610中的计算机程序可使处理器1614执行和/或作为一种装置用于执行本文描述和/或示出的示例性实施方案中的一个或多个的功能。除此之外或作为另外一种选择，可以固件和/或硬件实施本文描述和/或示出的示例性实施方案中的一个或多个。例如，计算系统1610可被配置为适于实施本文所公开的示例性实施方案中的一个或多个的专用集成电路(asic)。

图17为示例性网络体系结构1700的框图，其中客户端系统1710、1720和1730以及服务器1740和1745可联接到网络1750。如上文所详述，网络体系结构1700的全部或一部分可，以单独或与其他元件结合的方式，执行和/或作为一种装置用于执行本文所公开的步骤中的一个或多个(诸如图4所示的步骤中的一个或多个)。网络体系结构1700的全部或一部分也可用于执行和/或作为一种装置用于执行本公开中阐述的其他步骤和特征。

客户端系统1710、1720和1730通常表示任何类型或形式的计算设备或系统，诸如图16中的示例性计算系统1610。类似地，服务器1740和1745通常表示被配置为提供各种数据库服务和/或运行某些软件应用程序的计算设备或系统，诸如应用程序服务器或数据库服务器。网络1750通常表示任何电信或计算机网络，包括例如内联网、wan、lan、pan或互联网。在一个示例中，客户端系统1710、1720和/或1730和/或服务器1740和/或1745可包括图1的系统100的全部或一部分。

如图17所示，可将一个或多个存储设备1760(1)-(n)直接附接到服务器1740。类似地，可将一个或多个存储设备1770(1)-(n)直接附接到服务器1745。存储设备1760(1)-(n)和存储设备1770(1)-(n)通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。在某些实施方案中，存储设备1760(1)-(n)和存储设备1770(1)-(n)可表示被配置为使用各种协议与服务器1740和1745通信的网络附加存储(nas)设备，所述协议诸如为网络文件系统(nfs)、服务器消息块(smb)或通用互联网文件系统(cifs)。

服务器1740和1745还可连接到存储区域网络(san)结构1780。san结构1780通常表示能够促进多个存储设备之间的通信的任何类型或形式的计算机网络或体系结构。san结构1780可促进服务器1740和1745与多个存储设备1790(1)-(n)和/或智能存储阵列1795之间的通信。san结构1780还可经由网络1750以及服务器1740和1745以如下方式促进客户端系统1710、1720和1730与存储设备1790(1)-(n)和/或智能存储阵列1795之间的通信：设备1790(1)-(n)和阵列1795呈现为客户端系统1710、1720和1730的本地附接设备。跟存储设备1760(1)-(n)和存储设备1770(1)-(n)一样，存储设备1790(1)-(n)和智能存储阵列1795通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。

在某些实施方案中，并且参考图16的示例性计算系统1610，通信接口，诸如图16中的通信接口1622，可用于提供每个客户端系统1710、1720和1730与网络1750之间的连接性。客户端系统1710、1720和1730能够使用例如网页浏览器或其他客户端软件来访问服务器1740或1745上的信息。此类软件可允许客户端系统1710、1720和1730访问由服务器1740、服务器1745、存储设备1760(1)-(n)、存储设备1770(1)-(n)、存储设备1790(1)-(n)或智能存储阵列1795托管的数据。尽管图17示出了使用网络(诸如互联网)来交换数据，但本文描述和/或示出的实施方案并非限于互联网或任何特定的基于网络的环境。

在至少一个实施方案中，本文所公开的一个或多个示例性实施方案中的全部或一部分可被编码为计算机程序并加载到服务器1740、服务器1745、存储设备1760(1)-(n)、存储设备1770(1)-(n)、存储设备1790(1)-(n)、智能存储阵列1795、或它们的任意组合上并加以执行。本文所公开的一个或多个示例性实施方案中的全部或一部分还可被编码为计算机程序，存储在服务器1740中，由服务器1745运行，并且通过网络1750分配到客户端系统1710、1720和1730。

如上文所详述，计算系统1610和/或网络体系结构1700的一个或多个组件可，以单独或与其他元件结合的方式，执行和/或作为一种装置用于执行用于聚合信息资产分类的示例性方法的一个或多个步骤。

虽然上述公开使用特定框图、流程图和示例阐述了各种实施方案，但每个框图组件、流程图步骤、操作和/或本文描述和/或示出的组件可使用多种硬件、软件或固件(或它们的任意组合)配置单独和/或共同地实施。此外，包含在其他组件内的组件的任何公开应当被视为在本质上是示例性的，因为可实施许多其他体系结构来实现相同的功能。

在一些示例中，图1中的示例性系统100的全部或一部分可表示云计算环境或基于网络的环境的部分。云计算环境可经由互联网提供各种服务和应用程序。这些基于云的服务(例如软件即服务、平台即服务、基础结构即服务等)可通过网页浏览器或其他远程接口访问。本文所述的各种功能可通过远程桌面环境或任何其他基于云的计算环境提供。

在各种实施方案中，图1中的示例性系统100的全部或一部分可促进基于云的计算环境内的多租户应用。换句话讲，本文所述的软件模块可配置计算系统(例如，服务器)以促进本文所述的功能中的一种或多种的多租户应用。例如，本文所述的软件模块中的一个或多个可对服务器进行编程以允许两个或更多个客户端(例如，顾客)共享正在服务器上运行的应用程序。以这种方式编程的服务器可在多个顾客(即，租户)之间共享应用程序、操作系统、处理系统和/或存储系统。本文所述的模块中的一个或多个还可为每个顾客分割多租户应用程序的数据和/或配置信息以使得一个顾客不能访问另一个顾客的数据和/或配置信息。

根据各种实施方案，图1中的示例性系统100的全部或一部分可在虚拟环境内实施。例如，本文所述的模块和/或数据可在虚拟机内驻留和/或执行。如本文所用，术语“虚拟机”通常是指由虚拟机管理器(例如，超级管理程序)从计算硬件中提取出来的任何操作系统环境。除此之外或作为另外一种选择，本文所述的模块和/或数据可在虚拟化层内驻留和/或执行。如本文所用，术语“虚拟化层”通常是指覆盖操作系统环境和/或从操作系统环境中提取出来的任何数据层和/或应用程序层。虚拟化层可由软件虚拟化解决方案(例如，文件系统过滤器)管理，该软件虚拟化解决方案将虚拟化层呈现为如同它是底层基本操作系统的一部分。例如，软件虚拟化解决方案可将最初定向至基本文件系统和/或注册表内的位置的调用重定向至虚拟化层内的位置。

在一些示例中，图1中的示例性系统100的全部或一部分可表示移动计算环境的部分。移动计算环境可由多种移动计算设备来实施，所述移动计算设备包括移动电话、平板电脑、电子书阅读器、个人数字助理、可穿戴计算设备(例如，具有头戴式显示器的计算设备、智能手表等)，等等。在一些示例中，移动计算环境可具有一个或多个显著特征，包括例如依赖电池供电、在任何给定时间只呈现一个前台应用程序、远程管理特征、触摸屏特征、(例如，由全球定位系统、陀螺仪、加速计等提供的)位置和移动数据、用于限制对系统级配置的修改和/或限制第三方软件检查其他应用程序的行为的能力的受限平台、用于限制应用程序的安装(例如，仅限于安装来源于经批准的应用程序商店的应用程序)的控制设备，等等。本文所述的各种功能可被提供用于移动计算环境和/或可与移动计算环境交互。

此外，图1中的示例性系统100的全部或一部分可表示一个或多个信息管理系统的部分，与一个或多个信息管理系统交互，使用由一个或多个信息管理系统产生的数据，并且/或者产生被一个或多个信息管理系统使用的数据。如本文所用，术语“信息管理”可以是指数据的保护、组织和/或存储。信息管理系统的示例可包括但不限于存储系统、备份系统、存档系统、复制系统、高可用性系统、数据搜索系统、虚拟化系统等。

在一些实施方案中，图1中的示例性系统100的全部或一部分可表示一个或多个信息安全系统的部分，生成受一个或多个信息安全系统保护的数据，并且/或者与一个或多个信息安全系统通信。如本文所用，术语“信息安全”可以是指对受保护数据的访问控制。信息安全系统的示例可包括但不限于提供受管理的安全服务的系统、数据丢失防护系统、身份验证系统、访问控制系统、加密系统、策略遵循系统、入侵检测与防护系统、电子发现系统等。

根据一些示例，图1中的示例性系统100的全部或一部分可表示一个或多个端点安全系统的部分，与一个或多个端点安全系统通信，并且/或者受一个或多个端点安全系统保护。如本文所用，术语“端点安全”可以是指保护端点系统以避免未授权和/或非法的使用、访问和/或控制。端点保护系统的示例可包括但不限于反恶意软件系统、用户验证系统、加密系统、保密系统、垃圾邮件过滤服务等。

本文描述和/或示出的过程参数和步骤序列仅以举例的方式给出并且可根据需要改变。例如，虽然本文示出和/或描述的步骤可以特定顺序示出或讨论，但这些步骤不必以示出或讨论的顺序来执行。本文描述和/或示出的各种示例性方法也可省略本文描述或示出的步骤中的一个或多个，或除了所公开的那些步骤之外还包括另外的步骤。

虽然本文已经在全功能计算系统的背景中描述和/或示出了各种实施方案，但这些示例性实施方案中的一个或多个可作为各种形式的程序产品来分配，而不考虑用于实际开展分配的计算机可读介质的特定类型。本文所公开的实施方案还可使用执行某些任务的软件模块来实施。这些软件模块可包括脚本文件、批文件或可存储在计算机可读存储介质上或计算系统中的其他可执行文件。在一些实施方案中，这些软件模块可将计算系统配置为执行本文所公开的示例性实施方案中的一个或多个。

此外，本文所述的模块中的一个或多个可将数据、物理设备和/或物理设备的表示从一种形式转换为另一种形式。例如，本文所述的模块中的一个或多个可接收数据集合内包含的信息资产的要转换的分类，将所述分类转换为数据集合的聚合分类，将转换结果输出到基于数据集合的聚合分类实施数据管理策略的系统，使用转换结果实施与数据集合关联的数据管理策略，并且存储转换结果以促进数据管理策略的选择和/或实施。例如，本文所述的模块中的一个或多个可将计算系统转换为用于聚合信息资产分类的系统。除此之外或作为另外一种选择，本文所述的模块中的一个或多个可通过在计算设备上执行、在计算设备上存储数据和/或以其他方式与计算设备交互，来将处理器、易失性存储器、非易失性存储器和/或物理计算设备的任何其他部分从一种形式转换为另一种形式。

前文的描述旨在使本领域的其他技术人员能够最好地利用本文所公开的示例性实施方案的各个方面。该示例性描述并非旨在是详尽的或限于所公开的任何确切形式。在不脱离本公开的精神和范围的前提下，可进行许多修改和变化。本文所公开的实施方案在所有方面均应被视为示例性的而非限制性的。应参考所附权利要求及其等同形式来确定本公开的范围。

除非另有说明，否则本说明书和权利要求中所用的术语“连接到”和“联接到”(以及它们的衍生形式)应被理解为既允许直接的连接，又允许间接(即，经由其他元件或组件)的连接。此外，本说明书和权利要求中所用的术语“一”或“一个”应被理解为意指“至少一个…”。最后，为了便于使用，本说明书和权利要求中所用的术语“包括”和“具有”(以及它们的衍生形式)与词语“包含”可互换并且与词语“包含”具有相同含义。