专利名称:阻止安全数据离开网络周界的制作方法
阻止安全数据离开网络周界背景在例如公司的办公室等企业计算环境中,多个个人计算机、工作站、服务器等连同 诸如大容量存储子系统、内部网络接口、以及外部网络接口等其他设备通常互连以提供其 中可生成信息、将信息发送到外部源并从外部源访问信息、且在各用户之间共享信息的集 成环境。通常,用户执行各种操作,包括订单接收、制造、出货、记账、库存控制、文档准备及 管理、电子邮件、web浏览,以及其中数据的创建、访问、以及共享可获益的其他操作。当前,安全性通常是使用各种不同的安全产品,具体地包括在企业网络的周界 (即“边缘”)操作的硬件和软件解决方案,来提供给企业的。这些解决方案通常包括监视 在企业网络与诸如因特网等外部网络之间移动的通信量的防火墙、代理服务器、网关等。当前边缘设备通常扫描并检查恶意软件(即,诸如病毒、蠕虫、木马、rootkit等恶 意软件)的传入通信量,从而用来在企业周围提供安全区域。它们可以阻止用户例如下载 来自因特网的恶意软件或接收传入电子邮件中的恶意软件。企业内部的敏感或机密数据 (统称为“安全数据”)可以通过采用如数字签名和水印之类的使得边缘设备能够阻塞该数 据被不适当地发送到网络周界的外面的数字权限管理(“DRM”)方法来保护。尽管在许多应用中表现得令人满意,但这些当前安全方法通常不能使传统安全数 据得到保护。另外,这些方法可被企业内部的具有将安全数据发送到网络周界外面的正确 许可的恶意用户容易地规避。提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所 要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提出的问题 或缺点中的任一个或全部的实现。概述通过一种安排来阻止安全数据离开诸如企业网络或公司网络(“corpnet”)等网 络的周界,在该安排中周期性地计算安全数据的散列并将这些散列推出送到该网络上的诸 如防火墙等边缘设备,这些散列被存储在这些边缘设备中以供稍后访问。配置边缘设备以 使得其能够访问在企业网络与位于该企业网络周界外面的诸如因特网等外部网络之间流 动的所有通信量。只要用户尝试将数据发送到外部网络,在边缘设备上运行的进程就计算 该外出数据的散列并将其与所存储的与安全数据相关联的散列相比较。如果该外出数据的 散列与所存储的安全数据的散列之间作出了匹配,则边缘设备阻塞该外出数据离开网络周 界。在各说明性示例中,提供了管理员管理功能,网络管理员可通过该功能指定企业 中的哪些数据是“安全的”并且进行散列并被阻塞离开网络周界。管理员可以例如通过配 置所应用的散列算法和其他安全数据管理参数来任选地配置安全数据管理。管理员还可接 收将安全数据发送到网络外面的尝试的通知和做出这些尝试的主机或用户的身份。在主机(例如,在企业的周界内部的台式或膝上型计算机)上运行的客户机侧代 理被配置成跟踪在本地对从企业网络下载的任何安全数据作出的改变。客户机侧进程计算 安全数据的散列(在该数据被用户在本地主机上修改的情况下);并且将该散列推出送到
4边缘设备。即使安全数据通过用户交互而改变,客户机侧代理也使所存储的散列能够保持 最新并且准确地表示企业中的所有安全数据。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概 念。本概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定 所要求保护的主题的范围。附图描述
图1示出其中可实现本发明的用于阻止安全数据离开网络周界的安排的说明性 企业网络环境;图2示出将数据指定为“安全的”并且计算该安全数据的散列并将其推送到边缘 设备且进行存储的说明性活动流程;图3示出其中主机的用户下载数据并尝试通过边缘设备将其发送出企业网络的 周界外面的说明性使用场景;图4示出边缘设备对来自用户的外出数据执行散列计算、将所得散列与所存储的 与安全数据相关联的散列进行比较、以及在发现匹配的情况下阻塞来自该用户的该外出数 据的说明性活动流程;以及图5示出操作主机的客户机侧代理的说明性使用场景和活动流程,其中计算用户 修改的安全数据的散列并将其推出送到边缘设备。各附图中相同的附图标记指示相同的元素。除非另外指明否则各附图中的元素不 是按比例绘制的。详细描述图1示出其中可实现本发明的用于阻止安全数据离开网络周界的安排的说明性 企业网络环境100。诸如商业机构、公司或其他组织等企业使用内部企业网络105,各种计 算机或工作站(统称为“主机”并由附图标记115来标识)被安排成通过该网络来进行通 信。诸如防火墙、网关、代理服务器、交换机、或路由器等边缘设备121位于企业网络105的 周界(由图1中的虚线示出)。边缘设备121通常将企业网络105耦合到诸如公共网络或 因特网125等外部网络,如图所示,该外部网络包括可主存诸如网站等各种应用程序和数 据的多个远程服务器。另外,配置边缘设备121以使得其能访问在企业网络105与外部网 络125之间流入和流出的所有通信量。在该示例中,边缘设备121被安排成微软因特网安全及加速(“ISA”)服务器,其 被修改以提供以下在图4的附随文本中描述的附加功能。ISA服务器通过诸如高速缓存、 HTTP (超文本传输协议)压缩、以及服务质量(“QoS”)策略增强等特征来将网络边缘安全 特征与增强网络性能集成在一起。如图所示,多个服务器130在环境100中操作并且耦合到企业网络105。在此,服 务器130表示通常在企业中使用的各种资源中的任一种,包括例如应用和数据库服务器、 文件服务器、业务范围(“L0B”)服务器(支持例如电子邮件)、内容和协作管理服务器等。环境100中还支持管理员控制台136 (“管理控制台”)。管理控制台136使得能够 配置和管理企业网络105,如创建并维护用户特权和许可、监视网络操作和资源、生成报告、 设定用于安全和审计的策略,等等。管理控制台的现有的商业上可获得的示例是微软操作 管理器(“MOM”),其可被修改成包括以下描述的附加功能。
图2示出与管理控制台136交互的管理员或其他授权用户将企业100中存在的数 据指定为安全的并且计算该安全数据的散列并将其推送到边缘设备121且进行存储以供 稍后访问的说明性活动流程。通常,安全数据包括具有专有、机密、或敏感性质的数据,除非 在严格控制的条件下否则如果该数据被发送出网络105的周界外面则将对企业造成某种 风险或危险或者违反保持该数据处于网络内部的义务或策略,不管这些义务是法定的、契 约的、还是作为企业的正常接受的做法来施加的。尽管预计在将数据指定为安全的时候使 用的准则随实现而变化,但在大多数情况下,安全数据在被发送到企业网络周界外面时服 从各个约束。此处使用的术语“数据”适用于环境100中的几乎任何类型的信息或对象,但 通常将包括大多数企业设置中的可使用不同格式和文件扩展名(例如,.doc、. txt等)的 文件夹、文件、以及文档。该活动流程在图2的步骤(1)开始,在那里管理员根据取决于特定实现的情形的 一些准则来将环境100中的特定数据指定或标记为是安全的。在该示例中,该指定是由被 假定为具有执行这些任务的必要授权的管理员来提供的。然而,在其他实现中,在一些情况 下,向其他用户赋予将数据指定为是安全的所必需的许可是合乎需要的。在步骤(2),周期性地运行用于计算安全数据(即,被管理员指定为安全的数据) 的散列209的散列过程205。该散列过程可以使用例如库类或API (应用程序编程接口)所 提供的方法来实现,其被合并到在服务器130中的一个或多个上运行的应用程序或操作系 统软件中。或者,步骤(2)处的散列过程205可被实现成在服务器130外部运行,例如在操作 于企业的建筑物上的独立平台上运行的应用程序、操作系统、功能、或组件所提供的服务, 或作为来自诸如因特网等外部网络的软件服务来提供。取决于给定实现的要求,步骤(2)处的散列过程205可以使用各种已知散列算法 中的一种。这些散列算法包括例如LM(Lan管理器)、MD4、MD5、CRC16、CRC32、SHA_0/l/2等 (安全散列算法)、Tiger、RIPEMD,等等。尽管各散列算法在所产生的散列的长度以及其他 因素方面不同,但它们本质上都用于取得输入到该算法的数据并将其缩减成更短且唯一的 被称为“散列”的标识符。即使在散列算法的输入数据轻微改变的情况下,所得散列可以显 著不同。结果,该散列对将源数据标识为某种类型的压缩形式的数字签名而言是有效的。在一些应用中,所使用的特定散列算法可由管理员使用管理控制台136来选择。 这一特征使管理员能够指定用于根据可用资源来细调或优化各过程的参数,或选择散列强 度和计算它所需的处理资源之间的特定平衡。可被安排成可由管理员选择的其他处理参数 包括何时以及如何(例如,按需、批量、在资源可用时等)将散列算法应用于环境100中的 数据。管理控制台136还可被配置成监视并生成关于涉及环境100中的安全数据的活动 的报告和审计日志。例如,管理控制台136可跟踪安全数据的数量和身份、访问安全数据的 人、以及他们访问它的时间。还可在管理控制台接收与主机115和边缘设备121所采取的 动作有关的通知,如以下更详细地描述的。在图2的步骤(3),通过企业网络105将计算得到的散列212推出送到边缘设备 121。如下所述,在该示例中,它们由边缘设备121存储并在边缘设备121扫描来自企业网 络105的外出通信量时被访问。在替换配置中,散列205可被推送到与边缘设备121分开
6但仍在操作上与其相耦合的存储(即,储存库)。在许多实现中,将使用诸如硬盘驱动器所 提供的存储器等非易失性存储器来在持久的基础上存储散列205。因为企业网络105中存在的数据通常是动态的,其中数据被持续地创建、删除、以 及修改,所以安全数据的散列通常是频繁生成的并被推出送到边缘设备121。这使得边缘设 备121能够用关于企业中的安全数据的最新信息来保持更新。图3示出其中可应用本发明的用于阻止安全数据离开网络周界的安排的说明性 使用场景。注意,图3示出适用于不同使用情况的一般场景。因此,在一些情况下,用户302 可以操作安全数据并且在其他情况下可操作常规的非安全数据。在该使用场景中的步骤(1),用户302将数据312下载到用户的本地主机115。在 步骤(2),用户302例如通过将文件附加到定址到因特网(S卩,外部网络125)上的外部域的 电子邮件或通过经由FTP(文件传输协议)将数据上传到外部FTP站点或服务器来尝试将 数据发送出企业网络105的周界外面。因为边缘设备121担当到外部网络125的网关,所以在此其被安排成扫描来自企 业网络105的所有外出通信量以阻止安全数据离开网络周界。用于实现这一功能的说明性 活动流程在图4中示出。在步骤(1),在边缘设备121上运行的散列过程405计算在主机 115处工作的用户302(图3)尝试发送出去的每一段外出数据312的散列。这一散列过程 405类似于图2中示出的过程205并在附随文本中描述。即,该过程可以使用库类或API所 提供的方法来实现或以其他方式被合并到在边缘设备121上运行的操作系统或应用程序 所提供的功能、组件或服务中。在步骤(2),将来自主机115的外出数据的计算得到的散列409与和安全数据相关 联的所存储的散列422进行比较,所存储的散列如图2所示并如附随文本所述地计算。在 步骤(3),如果发现计算得到的散列409与所存储的散列422之一相匹配,则来自主机155 的外出数据312包括安全数据(即,先前由管理员指定为安全的数据)并且将被阻塞离开 企业网络105的周界。如果在所存储的散列422之间没有找到匹配的散列,则外出数据312 包括非安全数据,并且将被允许离开企业网络周界。在发现匹配时,可以向管理控制台136发送通知以通知网络管理员存在将安全数 据发送出网络的尝试,并且该尝试已被阻塞。该通知还可被配置成包括作出该尝试的主机 或用户的身份。这对管理员在管理企业网络105和用户时而言是有用的信息。例如,该事 件可以指示用户302不知道关于敏感和专有数据的处理的企业策略并且需要更多训练。用 户302可能仅仅在尝试发送出安全数据时犯了错误。或者,以下情况是可能的用户302实际上是恶意用户或黑客假装了合法用户的 身份,并且恶意用户或黑客有意寻求违反策略来将数据移出网络105之外。该事件还可指 示企业中的机器或其他IT资产已受到损害的可能性,这由发出安全数据的尝试来证明。在图4中的步骤(4),管理控制台136接收边缘设备121阻塞了外出安全数据的 通知。该通知可例如出于审计目的来记录,或作为警报来向网络管理员发出。在一些实现 中,管理控制台136还可被配置成向管理员提供手动地超控该阻塞的能力并允许外出数据 离开网络周界,而不管其散列同所存储的与安全数据相关联的散列相匹配的事实。管理员 还可以选择封锁发起被阻塞的外出安全数据的主机或用户,使其不能访问服务器130上的 其他安全数据。
本发明的用于阻止安全数据离开网络周界的安排还可适用于被企业中的用户修 改的数据。现在转向图5,示出了操作主机115的客户机侧代理的说明性使用场景和活动流 程,其中计算被修改的安全数据的散列509并将其推出送到边缘设备121。如在(1)所示,该用户场景需要用户502将安全数据512下载到该用户的本地主 机115并随后修改该数据。例如,数据512可包括用户502通过编辑该文档(S卩,修改文本、 添加新文本、删除已有文本等)来修改的文字处理文档。在该示例中,因为修改文档是源自 安全数据的,所以假定其将维持安全指定。然而,计算得到的该修改数据的散列将与计算得 到的原始安全数据的散列不匹配。为有效地处理这一使用场景,如在(2)所示,在主机115上运行的客户机侧代理 525被配置成跟踪安全数据的下载以及该主机的用户对该安全数据的任何后续修改的发 生。客户机侧代理525计算修改数据的散列并将其推送到边缘设备121,其将被存储在那里 以供将来使用。这使得即使在企业中的安全数据被用户修改,边缘设备121也能够用关于 该数据的最新信息来保持更新。可任选地,只要用户作出对安全数据的修改并且计算了新 散列,客户机侧代理525就可以生成并向管理控制台136发送通知。客户机侧代理525所使用的散列过程以与图2和4所示并在附随文本中描述的过 程相类似的方式来执行。还要强调的是,所有三个散列过程(即,例如在服务器130、主机 115以及边缘设备121处实现的散列过程)必须使用同一散列算法。因此,尽管管理控制台 136可被配置成允许管理员选择特定散列算法(如上所述),但所选算法将需要与在企业环 境中运行的所有散列过程一起使用。万一用户随后尝试将修改数据发送出企业网络105,则边缘设备121可以计算这 一外出数据的散列,并随后将其与所存储的散列进行比较,如图4所示并在附随文本中描 述的。在这种情况下,在计算得到的外出数据的散列与客户机代理525先前计算得到的散 列相匹配时,边缘设备将阻塞该外出数据离开网络周界,因为它将识别出该外出数据是安 全的。客户机代理525通常被实现成软件组件,其在每一主机115上运行并且例如作为 安全产品或应用程序的一部分或作为操作系统所提供的功能来集成。或者,客户机代理525 可以在独立平台上运行并且在远程的基础上提供对主机115中的一个或多个的监视和对 修改安全数据的散列的计算。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权 利要求书中定义的主题不必限于上述具体特征或动作。相反,上述具体特征和动作是作为 实现权利要求的示例形式公开的。
权利要求
一种阻止安全数据(209)离开企业网络(105)的周界的方法,所述方法包括以下步骤监视越过所述企业网络周界(105)被发送出去的外出数据(312);计算所述外出数据的散列(405);将所述外出数据的散列(405)与所存储的多个散列(422)中的每一个进行比较,所存储的散列(422)与各自都被所述企业网络(105)的管理员或授权用户指定为安全的相应数据文件(209)相关联;如果所述外出数据的散列(405)与所存储的散列(422)之一相匹配则阻塞所述外出数据(312)离开所述周界;以及如果所述外出数据的散列(405)与所存储的散列(422)中的任何一个都不相匹配则允许所述外出数据(312)越过所述网络周界退出。
2.如权利要求1所述的方法,其特征在于,包括在位于所述网络周界(105)上的边缘设 备(121)中执行监视、计算、比较、阻塞、以及允许的又一步骤。
3.如权利要求2所述的方法,其特征在于,所述边缘设备(121)还被配置成担当到外部 网络(125)的网关,并且所述外出数据(312)旨在通过所述外部网络(125)上的地址来接 收。
4.如权利要求3所述的方法,其特征在于,所述边缘设备(121)还被配置成提供包括防 火墙功能在内的边缘安全性,以及从高速缓存、HTTP压缩、或QoS策略增强之一选择的网络 优化。
5.如权利要求4所述的方法,其特征在于,包括接收为被指定为安全的数据(209)计算 得到的散列(212)并将接收到的散列(212)与所存储的多个散列(422) —起存储的又一些 步骤,接收到的散列(212)用于唯一地标识所指定的安全数据。
6.如权利要求5所述的方法,其特征在于,所存储的散列(422)在持久的基础上被存储 在部署在所述边缘设备(121)或能够在操作上耦合到所述边缘设备(121)的外部设备中的 一个上的储存库中。
7.如权利要求6所述的方法,其特征在于,包括在所述外出数据(312)被阻塞离开所述 周界时向所述企业网络(105)中的管理员管理功能(136)发送通知的又一步骤。
8.如权利要求7所述的方法,其特征在于,包括响应于所述通知从网络管理员接收手 动超控的又一步骤,所述手动超控指示准许所述外出数据(312)离开所述网络周界(105)。
9.如权利要求8所述的方法,其特征在于,所述管理员管理功能(136)包括从配置管 理、监视、报告、或审计之一选择的特征。
10.如权利要求9所述的方法,其特征在于,所述管理员管理功能(136)被配置成允许 在多个不同的散列算法之间进行选择。
11.一种用于将企业网络(105)中的数据标识为安全的方法,所述方法包括以下步骤从所述企业网络的管理员或授权用户接收数据文件(209)是安全的指定;计算所述数据文件(209)的散列(212)以唯一地将其标识为安全数据,安全数据在离 开所述企业网络周界(105)时服从各个约束;以及将所述散列(212)发送到位于所述企业网络周界(105)上的边缘设备(121),所述边缘 设备(121)被安排成阻塞从所述企业网络(105)外出的安全数据。
12.如权利要求11所述的方法,其特征在于,包括计算被指定为安全的其他数据的散 列(212)以使得所述边缘设备(121)能用所述企业网络(105)中的当前安全数据的身份来 保持更新的又一步骤。
13.如权利要求12所述的方法,其特征在于,所述计算是以预定时间间隔来执行的。
14.如权利要求13所述的方法,其特征在于,包括使用被安排成管理所述企业网络 (105)中的设备的配置的管理员控制台(136)来设置所述预定时间间隔的又一步骤。
15. 一种用于将在企业网络(105)中的主机(115)处被修改的数据标识为安全的方法, 安全数据在离开所述企业网络周界(105)时服从各个约束,所述方法包括以下步骤监视所述主机(115)处的活动以标识从所述企业网络(105)中的源(130)下载的安全 数据何时被修改;计算所述修改数据的散列(509)以将所述修改数据唯一地标识为安全的;以及 将所述散列(509)发送到位于所述企业网络周界(105)上的边缘设备(121),所述边缘 设备(121)被安排成阻塞从所述企业网络(105)外出的安全数据。
16.如权利要求15所述的方法,其特征在于,包括响应于所述监视来生成管理员通知的又一步骤。
17.如权利要求16所述的方法,其特征在于,所述边缘设备(121)是从防火墙、路由器、 代理服务器、交换机、或网关之一选择的。
18.如权利要求17所述的方法,其特征在于,所述主机(115)是从台式计算机、膝上 型计算机、或工作站之一选择的计算设备,所述计算设备耦合到所述源,所述源是服务器 (130)。
19.如权利要求18所述的方法,其特征在于,所述散列(509)是使用从LM、MD4、MD5、 CRC16、CRC32、SHA-O/U SHA-O, SHA-1、SHA-2、Tiger、或 RIPEMD 之一选择的算法来计算的。
20.如权利要求19所述的方法,其特征在于,所述监视、计算、以及发送是由部署在所 述企业网络(105)中的主机(115)中的客户机侧代理(525)来执行的。
全文摘要
通过一种安排来阻止安全数据离开诸如企业网络或公司网络等网络的周界,在该安排中周期性地计算安全数据的散列并将这些散列推送到该网络上的诸如防火墙等边缘设备,这些散列被存储在那里以供稍后访问。配置边缘设备以使得其能够访问在企业网络与位于该企业网络之间外面的诸如因特网等外部网络之间流动的所有通信量。只要用户尝试将数据发送到外部网络,在边缘设备上运行的进程就计算该外出数据的散列并将其与所存储的与安全数据相关联的散列相比较。如果该外出数据的散列与所存储的安全数据的散列之间作出了匹配,则边缘设备阻塞外出数据离开网络周界。
文档编号H04L12/22GK101911591SQ200880125085
公开日2010年12月8日 申请日期2008年12月29日 优先权日2008年1月15日
发明者P·普拉哈达 申请人:微软公司