它媒体,然后再编译、解译或其它合适的必要处理方式,然后可再度被储存于计算机内存中。在本文中,计算机可使用或可读取媒体可以是任何用于保持、储存、传送、传播或传输程序代码的媒体,以供与其相连接的指令执行系统、装置或设备来处理。计算机可使用媒体可包括其中储存有计算机可使用程序代码的传播数据讯号,不论是以基频(baseband)或是部分载波的型态。计算机可使用程序代码的传输可以使用任何适体的媒体,包括(但并不限于)无线、有线、光纤缆线、射频(RF)等。
[0047]用于执行本发明操作的计算机程序码可以使用一种或多种程序语言的组合来撰写,包括对象导向程序语言(例如Java、Smalltalk、C++或其它类似者)以及传统程序程序语言(例如C程序语言或其它类似的程序语言)。程序代码可以独立软件套件的形式完整的于使用者的计算机上执行或部分于使用者的计算机上执行,或部分于使用者计算机而部分于远程计算机。
[0048]于以下本发明的相关叙述会参照依据本发明具体实施例之信息设备、方法及计算机程序产品之流程图及/或方块图来进行说明。当可理解每一个流程图及/或方块图中的每一个方块,以及流程图及/或方块图中方块的任何组合,可以使用计算机程序指令来实施。这些计算机程序指令可供通用型计算机或特殊计算机的处理器或其它可程序化数据处理装置所组成的机器来执行,而指令经由计算机或其它可程序化数据处理装置处理以便实施流程图及/或方块图中所说明的功能或操作。
[0049]这些计算机程序指令亦可被储存在计算机可读取媒体上,以便指示计算机或其它可程序化数据处理装置来进行特定的功能,而这些储存在计算机可读取媒体上的指令构成一制成品,其内包括的指令可实施流程图及/或方块图中所说明的功能或操作。
[0050]计算机程序指令亦可被加载到计算机上或其它可程序化数据处理装置,以便于计算机或其它可程序化装置上进行一系统操作步骤,而于该计算机或其它可程序化装置上执行该指令时产生计算机实施程序以达成流程图及/或方块图中所说明的功能或操作。
[0051]其次,请参照图1至图4,在附图中显示依据本发明各种实施例的信息设备、方法及计算机程序产品可实施的架构、功能及操作的流程图及方块图。因此,流程图或方块图中的每个方块可表示一模块、区段、或部分的程序代码,其包含一个或多个可执行指令,以实施指定的逻辑功能。另当注意者,某些其它的实施例中,方块所述的功能可以不依图中所示的顺序进行。举例来说,两个图示相连接的方块事实上亦可以同时执行,或依所牵涉到的功能在某些情况下亦可以依图标相反的顺序执行。此外亦需注意者,每个方块图及/或流程图的方块,以及方块图及/或流程图中方块的组合,可藉由基于特殊目的硬件的系统来实施,或者藉由特殊目的硬件与计算机指令的组合,来执行特定的功能或操作。
[0052]<系统架构>
[0053]图1简要显示应用本发明的企业网络10架构图。企业网络10包含终端20、收集密码模块30、以及DLP模块40。终端20可实施为可为个人行动装置(例如Apple Inc.的产品iPhone或是iPad)或是个人计算机,并可与企业网络10之外的外部网络50进行通信,例如文件传输或是发送电子邮件等。此外,图1中虽仅绘示一台终端20,但应可知本发明并不欲限制终端20的数量。
[0054]关于收集密码模块30以及DLP模块40的细节将透过后续图2至图4进一步说明。而除了收集密码模块30以及DLP模块40之外,企业网络10亦针对终端20与外部网络50的通信提供现有的数据外泄或是其它数据安全的保护机制(未图示),对此可参考 Check Point Software Technologies Ltd.的产品 Check Point DLP Software Blade或是 Internat1nal Business Machines Corp.的产品 Security Network Protect1nXGS5000。换言之,本发明可与现有的保护机制,特别是下一代的防火墙产品(NextGenerat1n Firewalls)加以整合。
[0055]<收集密码模块>
[0056]收集密码模块30较佳透过软件的形式实施,例如可以常驻程序(Daemon)的形式在终端20上运作,但本发明不限于此,亦可实施为独立的硬件,例如信息设备。图2显示一实施例中,收集密码模块30以常驻程序的形式收集密码的方法流程图。
[0057]?步骤200:启动设置于终端20上的收集密码模块30,以监视终端20是否执行一或多个预定应用程序,若判断为是则进行到后续步骤202,若否则回到自身。
[0058]在此实施例中,收集密码模块30可与终端20的操作系统(例如WINDOWS系统中的工作管理员)通信,以知悉终端20上所要执行的应用程序。
[0059]在此步骤前,选择性地,可预先向收集密码模块30登录所关注的应用程序,特别是可进行加密程序的应用程序,例如7-Zip、MICROSOFT WORD、WinRAR、MICROSOFT OUTLOOK等,因此收集密码模块30可不理会其它未登录的应用程序,以节省系统资源。
[0060]?步骤202:收集密码模块30监视该应用程序是否执行一文件加密程序,若判断为是则进行到后续步骤204,若否则回到步骤200。
[0061]在此实施例中,收集密码模块30可侦测应用程序的处理程序(process)或是图形使用者接口(GUI)对象的动作(act1n),以判断应用程序当下正在要进行的程序(procedure)。对此可参考 Microsoft 的产品 Spy++。
[0062]特别是一般应用程序在进行文件加密程序时,都会提供特定的使用者接口信息或是提示列,要求使用者输入密码,因此收集密码模块30可藉由侦测上述特定的使用者接口信息或是提示列,来判断该应用程序正在执行文件加密程序。
[0063]?步骤204:收集密码模块30辨识使用者因应应用程序加密程序的要求(例如透过特定使用者接口信息或是提示列)而输入的密码。收集密码模块30辨识密码的作法可采用纪录键盘(Keystroketracking),或是其它习知可侦测使用者输入的作法。此部份本发明并不欲加以限制。在辨识出密码后,收集密码模块30可将密码传送给DLP模块40加以储存为密码候选表PT。然后流程可结束或是回到步骤200或步骤202,而可反复执行多次,以获得多组密码并储存至密码候选表PT。
[0064]在另一实施例中,收集密码模块30除了辨识密码外,更进一步辨识与此密码相关的元数据(meta data),例如,但不限于,文件加密的时间、应用程序的名称、加密文件的类型(例如附件名)、加密文件的杂凑值、应用程序登入的使用者ID等。收集密码模块30并将上述的元数据与密码一同传送给DLP模块40加以储存至密码候选表PT,如图3所示。更多的细节将于后续描述。
[0065]〈DLP 模块 >
[0066]DLP模块40与终端20以及收集密码模块30共同设置于企业网络10中,彼此可藉由企业网络10所提供的网络联机彼此通信,包括固定连接的局域网络(LAN)或广域网络(WAN)联机等,亦不限于有线无线等各种连接方式。
[0067]DLP模块40较佳透过信息设备的形式实施,例如可与现有的无线网络桥接器(Access Point)、路由器(Router)、交换器(Switch)、网关器(Gateway)、防火墙(firewall)装置、代理服务器(proxy)、或是侵侦测防御(Intrus1n Prevent1nSystem(IPS))装置加以整合。
[0068]以信息设备形式实现的DLP模块40具有内存42与处理器44。内存42可为计算机磁盘、硬盘机、随机存取内存(RAM)、只读存储器(ROM)、可抹除程序化只读存储器(EPR0M或闪存)、光盘片、光学储存装置、或磁储存装置。内存42用以存放程序代码以及例如图3所示的密码候选表PT,而处理器44系存取内存42的程序代码与密码候选