专利名称:使用区的信息保护的制作方法
使用区的信息保护
背景技术:
在组织内,会频繁地创建和共享信息。例如,工作者创建电子邮件,并将其发送给组织内的其他工作者以及组织外的人。此外,工作者创建文档、将这些文档上传至内部文件服务器、将它们传输到便携式存储介质(例如,可移动闪存驱动器)、以及将它们发送给组织外的其他用户。由组织内的工作者创建的信息中的一些可以是机密的或敏感的。因此,期望允许拥有这样的信息的工作者仅将该信息与那些被授权访问该信息的人共享,和/或降低工作者意外地将这种信息传输给未被授权访问该信息的某个人的风险
发明内容
发明人已意识到,当共享信息时,该信息有时会被发送给未被授权对该信息的访问或者预期不具有对该信息的访问的某个人,或者该信息会被未被授权访问该信息的某个人恶意截取。因此,一些实施例涉及信息保护方案,在该方案中,可将信息空间中的设备、用户和域分组在各区中。当信息被传输跨越了区边界时,可以应用信息保护规则来确定应该准许还是阻止该传输,和/或确定是否应该采取任何其他策略动作(例如,需要加密、提示用户确认该预期传输或某一其他动作)。一个实施例涉及由计算机执行的用于信息保护的方法,所述计算机包括至少一个处理器和至少一个有形存储器,所述计算机在包括用户、设备和/或域的多个区的信息空间中操作,其中所述多个区中的每一个是用户、设备和/或域的逻辑分组,并且其中所述方法包括响应于发起信息传输,确定所述信息传输是否会导致信息跨越多个区中的两个区之间的区边界;当确定所述传输不会导致所述信息跨越所述区边界时,准许所述传输;当确定所述传输会导致所述信息跨越所述区边界时访问信息保护规则;将所述信息保护规则应用于所述传输以确定是否要执行策略动作;以及,在确定要执行所述策略动作时,执行所述策略动作。另一实施例涉及编码有指令的至少一个计算机可读介质,当在包括至少一个处理器和至少一个有形存储器的计算机上执行所述指令时,在包括用户、设备和/或域的多个区的信息空间中执行一种方法,其中所述多个区中的每一个是用户、设备和/或域的逻辑分组,其中所述计算机被分组在所述多个区中的一个中,所述方法包括在所述计算机处创建文档;自动确定所述文档的第一分类;将标识所确定的第一分类的信息嵌入所述文档中;接收标识所述文档的第二分类的用户输入;响应于所述用户输入,通过将标识所述第一分类的信息从所述文档移除并将标识所述第二分类的信息嵌入所述文档中来用所述第二分类覆盖所述第一分类。又一实施例涉及计算机系统中的计算机,包括至少一个有形存储器;以及至少一个硬件处理器,所述至少一个硬件处理器执行处理器可执行指令以响应于用户输入第一信息,将所述第一信息存储在至少一个有形存储器中,所述第一信息将用户、设备和/或域分组在各逻辑区中;响应于用户输入第二信息,将所述第二信息存储在所述至少一个有形存储器中,所述第二信息指定要响应于发起将导致信息跨越各逻辑区间的边界的信息传输而应用的信息保护规则。
附图不旨在按比例绘制。在附图中,各个附图中示出的每一完全相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的,不是每一个组件在每张附图中均被标号。在附图中图I是根据一些实施例被按逻辑划分成多个区的信息空间的框图; 图2是其中可实现本发明的各实施例的信息保护技术的计算机系统的框图;图3是根据一些实施例用于在被按逻辑划分成各区的信息空间中提供信息保护的过程的流程图;以及图4是其上可实现某些实施例的各方面的计算机系统的框图。
具体实施例方式发明人已意识到,当组织中的工作者创建和/或访问机密或敏感电子信息时,可发生工作者无意地或恶意地危及该信息的安全的情形。例如,工作者可无意地将电子信息发送给未被授权访问该信息的某个人,或者可将该电子信息存储在不安全的地方(例如,未被授权访问该信息的某个人可访问的文件服务器)。作为另一示例,工作者可能会以纯文本来共享机密电子信息(而不是对其进行加密),由此使该信息处于会被未被授权访问它的某个人截取的更大风险中,或者工作者可能会采取危及该信息的安全的其他动作。因此,一些实施例涉及一种计算机系统,在所述计算机系统中用户和设备被划分成被称为“区”的逻辑分组。当将电子信息从一个区中的用户或设备传输到另一个区中的用户或设备时,认为该信息已跨越了区边界。当发起会导致信息跨越区边界的信息传输时,可以应用信息控制规则来确定是否准许该传输,或者在准许该传输前是否要采取某一动作(例如,提示发起该传输的工作者、审计记录该传输、在允许该传输之前需要对信息进行加密或者某一其他动作)。在一些实施例中,信息控制规则可以考虑所传输的信息的类型。例如,与在尝试将非机密信息从第一区传输到第二区时相比,在尝试将机密信息从第一区传输到第二区时可以应用不同的信息控制规则。因此,在一些实施例中,在生成电子信息时,可(例如,自动地、半自动地或手动地)向该电子信息添加指示该信息的敏感度和/或该信息的其他属性的分类的标签。分类规则可以考虑电子信息的分类以及在尝试将信息传输跨越区边界时正将该信息从哪个区传输以及传输到哪个区。这个技术可以提供数个好处。第一,它允许跨多个不同的通道定义并应用一个统一的安全策略。即,可以将同一分类规则集合应用于电子邮件的传输、穿过万维网的内容的传输、到组织内部的文件服务器的文件传输和/或到任何其他类型的电子信息或信息通道的传输。第二,它允许基于要应用信息控制规则的信息的类型来定制这些规则,使得无需将可为敏感或机密信息保证的限制性规则集合应用于不为其保证这一限制性规则集合的信肩、O
以上标识了与现有技术有关的数个问题以及由以上讨论的技术所提供的数个好处。然而,本发明不限于解决这些问题中的任何一个或所有,也不限于提供这些好处中的一个或所有。即,尽管一些实施例可以解决这些问题中的一些或所有并可提供这些好处中的一些或所有,但是一些实施例可能无法解决这些问题中的任何一个,或者不能提供这些好处中的任何一个。图I示出了可被分类成区的信息空间的示例。如图I所示,组织100可具有包括数个设备的计算机系统。这些设备中的一些可被组织的工程部门使用,而一些可被公共关系部门使用。由于来自工程部门的文档或其他内容片段可能包括大量的机密和/或敏感信息,而公共关系部门中生成的文档或其他内容片段较不可能包括这样的信息,因此可以将工程部门所使用的设备分组在一个区中,并将公共关系部门所使用的设备分组在另一区中。因此,如图I所示,虽然组织中的所有设备经由局域网(LAN) 125物理地连接,但是可以按逻辑将工程文件服务器103、工程电子邮件服务器105和工作站107a、107b和107c分组在工程部门区101中,而按逻辑将PR文件服务器109、PR电子邮件服务器111和工作站113a、113b和113d—起分组在PR部门区115中。 此外,在图I的示例中,可以按逻辑将在组织100外部的组织121分组在一区中。例如,如果组织121是组织100信任的伙伴,则将不同的信息控制规则应用于组织121是合乎需要的,使得将发送至组织121以及从组织121接收的信息(例如,经由因特网117)与组织100外部的其他实体的信息不同地对待。由此,可以按逻辑将组织121分组在可信伙伴区119中,而向组织100外部的其他实体发送的以及从这些其他实体接收的信息(例如,经由因特网117)可被看作是向一般因特网区123发送的或者是从该一般因特网区123处接收的。如以上所讨论的,当将信息从一个区发送到另一个区时,可以应用信息保护规则,并且可以基于信息保护规则采取动作(如果被保证的话)。在图I的示例中,按逻辑将组织100内的设备分组在两个区中。应该理解,这仅仅是说明性的,因为组织可包括任何合适数目的区。例如,可以将组织内的所有设备和用户分组在单个区中,或者可以将这些设备和用户分组在三个或更多个不同的区中。另外,在图I的示例中,仅设备被示为被按逻辑分组在各区中。然而,也可以按逻辑将用户(例如,组织100的雇员、其他工作者或其他人)或域分组在各区中。例如,可以将组织100的在工程部门中工作的雇员分组在工程部门区101中,而可将在PR部门中工作的雇员分组在PR部门区115中。由此,发明人已意识到,会发生被分组在一个区中的用户正在使用被分组在不同区中的设备的情况。因此,当用户从该设备发送信息或者在该设备处接收信息时,该信息可被看作是从用户的区或设备的区发送出去的或者在用户的区或设备的区处接收到的。因此,例如,如果被分组在工程部门区中的工程部门的雇员登录被分组在PR部门区中的工作站113a,并通过该工作站113a来工作,则该雇员可以尝试将文档上传到工程文件服务器103中。该文档可被看作是从工程部门区或者PR部门区处发送出去的。在一些实施例中,用户的区可以优先于该用户正在使用的设备的区。因此,在以上的示例中,当工程部门雇员通过工作站113a将文档上传到工程文件服务器103时,该文档可被看作是从工程部门区发送到工程部门区的(即,没有跨越区边界)。然而,本发明并不限于这个方面,因为在一些实施例中设备的区可以优先于正在使用该设备的用户的区,而在一些实施例中可以由组织的管理员来配置是用户的区还是设备的区优先。如上所讨论的,信息保护规则可以基于信息被传输到的区、信息所传输自的区以及被传输的信息的分类来定义当信息被传输跨越了区边界时是否要执行动作以及要执行什么动作。可以按各种方式中的任何 一种来分类信息,并且可以在信息创建和共享过程中的各个点中的任何一个处执行对信息的分类。例如,可以自动地、半自动地或手动地执行分类,并且可以在创建信息时、在存储信息时、在传输信息时和/或在任何其他合适的时间执行分类。例如,在一些实施例中,当使用应用程序来创建文档(例如,电子邮件或其他文档)时,该应用程序可以自动分类该文档。应用程序可以基于任何合适的一个或多个准则来分类文档。例如,应用程序可以基于用户和/或设备被分组到的区或者基于文档中的关键词或模式来自动分类文档。因此,例如,可以向包括特定关键词或文本模式的文档分配特定的分类。在一些实施例中,可以通过以下方式来分类各文档使用散列函数(例如,SHAl或任何其他合适的散列函数)来对文档进行散列,将散列值与一组存储的散列值进行比较,以及基于该比较将分类分配给各文档。在一些实施例中,可以使用模糊匹配来分类文档,该模糊匹配采用瓦片化(shingling)技术来表示各文档(或文档的部分)的模糊散列以用于相似性检测。在一些实施例中,可以基于用来创建文档的模板来分类该文档,或者可以向文档分配与用于创建或编辑该文档的应用程序相关联的默认分类或某一其他默认分类。应用程序可以在最初创建文档后、每次保存文档时、完成文档时和/或任何其他合适的时间分类该文档。在一些实施例中,作为用于创建文档的应用程序执行分类的替换或补充,还可以由信息保护代理或用于创建文档的计算机上执行的其他软件程序来执行分类。这种软件程序可以基于以上描述的标准中的任何一个(或者,这些标准的组合)来执行对文档的分类,并且可以在最初创建文档后的任何合适的时间执行对文档的分类。例如,这种代理或其他软件程序可以作为后台进程来分类存储在计算机上的文档,可以在发起将文档传输到计算机之外时或者在任何其他合适的时间点分类文档。在以上示例中,可以在创建文档的计算机上分类这些文档。然而,本发明并不限于这个方面,因为在一些实施例中可以由接收文档的实体来分类文档。例如,如果文档被传输,则接收该文档的设备可以在应用信息控制规则来确定例如该传输被准许并且应该被完成还是该传输不被准许并且应该被丢弃之前执行对该文档的分类。例如,在工作站上执行的电子邮件客户机可以向组织中的电子邮件服务器发送电子邮件以供传输到预期接收者。在一些实施例中,电子邮件服务器可以执行对电子邮件的分类。另外,可不对从组织外部的实体接收到的电子邮件或其他文档进行分类,直到它们被组织内的设备接收,因为外部实体可能不会使用相同的信息保护模型来分类文档。因此,可以在在组织内接收了这些文档之后再对这些文档执行分类。例如,电子邮件服务器可以对从外部发送者接收到的电子邮件执行分类,或者内部文件服务器可以对从外部发送者上传的文档执行分类。一旦已确定了针对文档的合适分类,可以按各种方式中的任何一种方式存储该分类。在一些实施例中,可以将分类(例如,作为标签或标记)嵌入在文档本身中。例如,可以将电子邮件的分类嵌入在电子邮件头部,并且可以将其他类型的文档的分类嵌入在该文档中包括的元数据中。
在以上讨论的示例中,对文档的分类是自动地执行的。然而,本发明并不限于这个方面,因为在一些实施例中,可以半自动地执行对文档的分类,使得可以自动地将分类分配给文档,但是用户有能力覆盖该自动化分类并将不同的分类分配给文档。在一些实施例中,可以定义指示哪些用户被授权向文档分配分类以及哪些用户被允许覆盖先前分配的分类的策略。例如,在一些实施例中,可以准许后续用户覆盖由初始用户先前分配的分类,如果该后续用户是初始用户的经理或老板的话。可以例如使用存储在目录服务器的目录信息中的组织图表(org图表)信息来确定后续用户是否是初始用户的经理或老板。在一些实施例中,可以手动执行对文档的分类,使得用户手动地指定将分配给每一文档的分类。在这些实施例中,如果尚未被分配分类的文档被传输跨越了区边界,则可向该文档分配一默认分类,以便可以应用信息保护规则。可以使用任何合适的分类方案来分类文档。在一些实施例中,可以由组织的管理员来配置可用来分配给文档的分类。可以使用的分类的示例包括“公司机密的”、“个人的”、“非机密的”、“财务数据”和/或任何其他合适的分类。 图2是其中可以采用基于区和信息分类的信息保护规则的组织的计算机系统200的框图。计算机系统200包括中央安全服务器201,该中央安全服务器201存储区信息215和策略信息213。区信息215指示(例如由网络管理员)定义的区以及被分组在所定义的各区中的每一个中的设备、用户和/或域。策略信息213指定在信息被传输跨越了区边界时要应用的信息保护规则(例如,管理员定义的信息保护规则)。计算机系统200还可以包括存储目录信息217的目录服务器203。目录信息217包括与计算机系统的用户及计算机系统中的设备有关的信息。此外,目录信息可定义组织单元或用户和设备的分组。例如,目录信息217可以定义包括工程部门中的用户和/或设备的“工程分组”,并可定义包括PR部门中的用户和/或设备的“PR分组”。在一些实施例中,目录信息217可用于将用户、设备和/或域分组在各区中。例如,区信息215可被配置为指示“工程分组”中的每一个用户或设备被分组在“工程部门”区中,而“PR分组”中的每一个用户或设备被分组在“PR部门”区中。发明人已意识到,当实体(例如,组织)是操作计算机系统200的组织的外部组织时,计算机系统200的管理员可能无权访问标识该外部组织的用户和设备的目录信息。因此,如果期望将外部组织分组在区中,则可以使用该组织的域名。例如,如果名为“Contoso有限公司”的外部组织使用域名“contoso. com”,并且期望将这个组织分组在某区(例如,“信任伙伴”区)中,则区信息可以将域名“contoso. com”标识为属于这个区。在一些实施例中,目录信息217可以定义包括外部实体的域名的信任伙伴的分组,并且区信息可以指示该分组中的所有域名都被分组在特定区(例如,“信任伙伴”区)中。计算机系统200还可以包括数个其他设备。例如,在图2中,计算机系统200包括电子邮件服务器209、文件服务器207、工作站205a和205b、以及因特网网关211。因特网网关211可以用作计算机系统200中的各设备到因特网的网关,并且计算机系统200中的各设备可以经由局域网(LAN) 218彼此通信。设备205a、205b、207、209和211各自包括策略引擎。这些设备中的每一个上的策
略引擎在从另一设备接收到信息或者将信息发送到另一设备时可用于确定信息何时跨越了或者将要跨越区边界(如果信息被传输的话)。如果如此,则策略引擎可基于信息保护规则来确定是否保证了任何策略动作并可执行该策略动作。在图2的示例中,设备205a、205b、207、209和211中的每一个执行策略引擎。然而,本发明并不限于这个方面。即,在一些实施例中,仅处于区边界的那些设备(即,能够向另一区直接传输信息或从另一区直接接收信息的设备)可以执行策略引擎。因此,如果在图2的示例中采用了这样的实施例,并且如果计算机系统200中的所有设备和用户被分组在单个区中,则仅因特网网关211需要执行策略引擎。图3示出了可在诸如计算机系统200之类的计算机系统中用来实现信息保护规则的说明性信息保护过程。该过程在动作301开始,其中内容片段(例如,文档)被创建或接收。该过程接着继续到动作303,其中该内容片段被分类,并且该内容片段的分类被存储。在动作303之后,该过程继续到动作305,其中该内容片段到另一设备的传输被发起。该过程接着继续到动作307,其中确定该传输是否会导致或将导致该内容片段跨越区边界。可以例如由正发起发送该内容片段的设备上的策略引擎执行动作307,或由接收该内容·片段的另一设备上的策略引擎在该内容片段已从发起该传输的设备被传送了以后执行动作 307。策略引擎可以按各种方式中的任何一种来确定传输是否会导致或将导致信息跨越区边界。例如,在一些实施例中,策略引擎可以与中央安全服务器201(如上所述,其存储区信息215)进行通信以确定发起传输的设备或用户的区以及作为该传输的预期接收者的设备或用户的区。或者,在一些实施例中,可以将该区信息的所有或部分本地地高速缓存在该设备上,并且策略引擎可以使用本地地高速缓存的信息来确定发起传输的设备或用户的区以及作为预期接收者的设备或用户的区。如果发起传输的设备或用户的区与作为该内容片段的预期接收者的设备或用户的区相同,则可以确定该传输不会导致该内容片段跨越区边界,并且该过程可以结束。如果发起传输的设备或用户的区与作为该内容片段的预期接收者的设备或用户的区不同,则可以确定该传输会导致或将导致该内容片段跨越区边界,并且该过程可以继续到动作309。在动作309,策略引擎可以确定作为预期传输的结果是否要采取任何策略动作,并执行该策略动作。策略引擎可以按任何合适的方式来确定是否要采取任何策略动作。例如,策略引擎可以与中央安全服务器201通信以确定存储在策略信息213中的信息保护规则,并可将这些规则应用于所指的传输。或者,在一些实施例中,可以将存储在策略信息213中的规则中的所有或一些本地地高速缓存在该设备上,并且策略引擎可以使用本地地高速缓存的信息来确定分类规则。分类规则可以基于这些分类规则来指定任何合适的策略动作。例如,策略引擎可以阻止传输、需要对内容进行加密以完成传输、创建传输的审计日志条目、提示用户在完成传输前进行确认、创建期望传输的信息的副本、向用户或管理员发送向他或她通知该传输的警报、和/或采取任何其他合适的动作。图4是可实现本发明的各方面的说明性计算机400的示意性框图。出于简明的目的并且不以任何方式限制本发明的各方面,只标识了计算机400的各说明性部分。例如,计算机400可包括一个或多个附加易失性或非易失性存储器(它也可被称为存储介质)、一个或多个附加处理器、任何其他用户输入设备、以及可被计算机400执行以执行本文描述的功能的任何合适的软件或其他指令。在该说明性实施例中,计算机400包括系统总线410,以允许中央处理单元402(它可包括一个或多个硬件通用可编程计算机处理器)、有形存储器404、视频接口 406、用户输入接口 408、以及网络接口 412之间的通信。网络接口 412可经由网络连接420来连接到至少一个远程计算设备418。诸如监视器422、键盘414、以及鼠标416等外围设备,连同其他用户输入/输出设备也可被包括在该计算机系统中,因为本发明不限于此。在一些实施例中,可以将以上说明和讨论的设备实现成计算机,诸如计算机400。例如,在一些实施例中,可以将设备201、203、205a、205b、207、209和211各自实现成计算机,诸如计算机400。在这个方面,应该理解,这些设备的上述功能可以通过中央处理单元402执行软件指令以执行这些功能来实现,并且如上所述存储在这些设备上的信息可被存储在存储器404中。至此描述了本发明的至少一个实施例的若干方面,可以理解,本领域的技术人员可容易地想到各种更改、修改和改进。 这样的更改、修改和改进旨在是本发明的一部分,且旨在处于本发明的精神和范围内。从而,上述描述和附图仅用作示例。可以多种方式中的任一种来实现本发明的上述实施例。例如,可使用硬件、软件或其组合来实现各实施例。当使用软件实现时,该软件代码可在无论是在单个计算机中提供的还是在多个计算机之间分布的任何合适的处理器或处理器的集合上执行。此外,应当理解,计算机可以用多种形式中的任一种来具体化,如机架式计算机、台式计算机、膝上型计算机、或平板计算机。此外,计算机可以具体化在通常不被认为是计算机但具有合适的处理能力的设备中,包括个人数字助理(PDA)、智能电话、或任何其他适合的便携式或固定电子设备。同样,计算机可以具有一个或多个输入和输出设备。这些设备主要可被用来呈现用户界面。可被用来提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其他声音生成设备。可被用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其他可听格式来接收输入信息。这些计算机可以通过任何合适形式的一个或多个网络来互连,包括作为局域网或广域网,如企业网络或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作,并且可以包括无线网络、有线网络或光纤网络。而且,此处略述的各种方法或过程可被编码为可在采用各种操作系统或平台中任何一种的一个或多个处理器上执行的软件。此外,这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写,而且它们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。就此,本发明可被具体化为用一个或多个程序编码的一个计算机可读介质(或多个计算机可读介质)(例如,计算机存储器、一个或多个软盘、紧致盘(CD)、光盘、数字视频盘(DVD)、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置、或其他非瞬态的有形计算机存储介质),当这些程序在一个或多个计算机或其他处理器上执行时,它们执行实现本发明的上述各个实施例的方法。这一个或多个计算机可读介质可以是可移植的,使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其他处理器上以便实现本发明上述的各个方面。此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另夕卜,应当理解,根据本实施例的一个方面,当被执行时实现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上,而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式,诸如程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以按需在各个实施例中进行组合或分布。而且,数据结构能以任何合适的形式存储在计算机可读介质上。为简化说明,数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字 段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而,可以使用任何合适的机制来在数据结构的各字段中的信息之间建立关系,例如通过使用指针、标签、或在数据元素之间建立关系的其他机制。本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安排来使用,从而并不将其应用限于前述描述中所述或附图形中所示的组件的细节和安排。例如,可使用任何方式将一个实施例中描述的各方面与其他实施例中描述的各方面组合。同样,本发明可被具体化为方法,其示例已经提供。作为该方法的一部分所执行的动作可以按任何合适的方式来排序。因此,可以构建各个实施例,其中各动作以与所示的次序所不同的次序执行,不同的次序可包括同时执行某些动作,即使这些动作在各说明性实施例中被示为顺序动作。在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、或者方法的各动作执行的时间顺序,而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。同样,此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。
权利要求
1.一种由计算机执行的用于信息保护的方法,所述计算机包括至少一个处理器和至少一个有形存储器,所述计算机在包括用户、设备和/或域的多个区的信息空间中操作,其中所述多个区中的每一个是用户、设备和/或域的逻辑分组,并且其中所述方法包括 响应于发起信息传输,确定所述信息传输是否将导致所述信息跨越所述多个区中的两个区之间的区边界; 当确定所述传输不将导致所述信息跨越所述区边界时,准许所述传输; 当确定所述传输将导致所述信息跨越所述区边界时 访问信息保护规则; 将所述信息保护规则应用于所述传输以确定是否要执行策略动作;以及 在确定要执行所述策略动作时,执行所述策略动作。
2.如权利要求I所述的方法,其特征在于,确定所述信息传输是否将导致所述信息跨越区边界的动作进一步包括以下动作 从安全服务器接收区信息,所述区信息指示所述多个区中发起所述传输的用户或设备被分组到的第一区以及所述多个区中作为所述信息传输的预期接收者的用户或设备被分组到的第二区。
3.如权利要求2所述的方法,其特征在于,所述安全服务器是与所述计算机分开的设备。
4.如权利要求2所述的方法,其特征在于,还包括 确定所述多个区中的所述第一区和所述多个区中的所述第二区是否是所述多个区中的同一个区; 当确定所述多个区中的所述第一区和所述多个区中的所述第二区是所述多个区中的同一个区时,确定所述传输将不导致所述信息跨越所述区边界;以及 当确定所述多个区中的所述第一区和所述多个区中的所述第二区不是所述多个区中的同一个区时,确定所述传输将导致所述信息跨越所述区边界。
5.如权利要求I所述的方法,其特征在于,访问所述信息保护规则的动作进一步包括 从存储所述信息保护规则的安全服务器处访问所述信息保护规则,其中所述安全服务器是与所述计算机分开的设备。
6.至少一个编码有指令的计算机可读介质,当在包括至少一个处理器和至少一个有形存储器的计算机上执行所述指令时,在包括用户、设备和/或域的多个区的信息空间中执行一种方法,其中所述多个区中的每一个是用户、设备和/或域的逻辑分组,其中所述计算机被分组在所述多个区中的一个中,所述方法包括 在所述计算机处创建文档; 自动确定所述文档的第一分类; 将标识所确定的第一分类的信息嵌入所述文档中; 接收标识所述文档的第二分类的用户输入; 响应于所述用户输入,通过从所述文档移除标识所述第一分类的信息并将标识所述第二分类的信息嵌入所述文档中来用所述第二分类覆盖所述第一分类。
7.如权利要求6所述的至少一个计算机可读介质,其特征在于,自动确定所述文档的第一分类的动作包括至少部分地基于所述多个区中所述计算机被分组到的那个区来确定所述第一分类。
8.如权利要求6所述的至少一个计算机可读介质,其特征在于,自动确定所述文档的第一分类的动作包括至少部分地基于所述多个区中所述计算机的用户被分组到的那个区来确定所述第一分类。
9.如权利要求6所述的至少一个计算机可读介质,其特征在于,自动确定所述文档的第一分类的动作包括至少部分地基于所述文档的内容来确定所述第一分类。
10.一种在计算机系统中的计算机,包括 至少一个有形存储器;以及 至少一个硬件处理器,所述至少一个硬件处理器执行处理器可执行指令以 响应于用户输入第一信息,将所述第一信息存储在所述至少一个有形存储器中,所述第一信息将用户、设备和/或域分组在各逻辑区中;以及响应于用户输入第二信息,将所述第二信息存储在所述至少一个有形存储器中,所述第二信息指定响应于发起将导致信息跨越各逻辑区之间的边界的信息传输而要应用的信息保护规则。
全文摘要
一些实施例涉及信息保护方案,在该方案中,可将信息空间中的设备、用户和域分组在各区中。当信息被传输跨越了区边界时,可以应用信息保护规则来确定应该准许还是阻止该传输,和/或确定是否应该采取任何其他策略动作(例如,需要加密、提示用户确认该预期传输或某一其他动作)。
文档编号G06F15/00GK102782697SQ201180012316
公开日2012年11月14日 申请日期2011年3月2日 优先权日2010年3月5日
发明者A·帕纳修克, C·麦科尔根, G·巴布兰尼, K·K·帕塔萨拉蒂 申请人:微软公司