用于移动计算设备的数据丢失防护的制作方法

用于移动计算设备的数据丢失防护的制作方法
【技术领域】
[0001]本公开总体关于安全领域，更具体来说，本公开关于基于位置对移动设备中的多个应用的管理。
【背景技术】
[0002]随着移动设备使用的增加，在数据丢失防护(或“DLP”)领域中已涌现出新的挑战。移动设备通常具有在传统的台式机和传统设备中通常找不到的大量信息和功能，例如，全球定位系统(GPS)、相机、近场通信(NFC)等。此类功能也可引入可能潜在地遭泄露的新类型的敏感数据。由于移动设备经由诸如语音、6?1?、36、46、51^、数据、蓝牙等之类的各种不同的通道持续地被连接到通信网络中的趋势，该情况进一步变得复杂。在此类实例中，可能遭泄露的各种数据以及泄露发生的机会可能更加多样化。此外，一些移动设备平台通过严苛的容器化操作和粗粒度的许可模型等等此类障碍，使内容检查变得困难。“自带设备”(或BYOD)的趋势已使负责提供统一的安全解决方案以及管理对敏感的企业数据的控制等等此类示例的管理员和IT人员进一步感到担忧。
【附图说明】
[0003]图1是根据一个实施例的、包括数据丢失防护(DLP)策略服务器的示例系统的简化示意图；
[0004]图2是根据一个实施例的、包括示例移动用户设备和DLP服务器的示例系统的简化框图；
[0005]图3是表示示出根据一个实施例的、可结合一个或多个移动用户设备进行部署的DLP解决方案的示例套件的简化框图；
[0006]图4是表示根据一个实施例的、基于示例网络的DLP解决方案的简化框图；
[0007]图5A-5B是根据一些实施例的示例经加密的容器(container)的简化表示；
[0008]图6A-6B是表示根据一些实施例的、包括示例DLP代理和安全模块的示例移动计算设备的简化框图；
[0009]图7是表示根据一些实施例的、DLP代理应用和安全模块之间的示例交互的简化框图；
[0010]图8A-8C是表示根据一些实施例的、基于位置的DLP实施的简化流的图；
[0011]图9A-9B是表示根据一些实施例的、对应于用于移动计算设备的数据丢失防护的示例操作的流程图。
[0012]各附图中同样的附图标记指示同样的元素。
【具体实施方式】
[0013]在一些实现方案中，可例如通过诸如Linux安全管理器(LSM)之类的内核安全管理器提供用于移动用户计算设备的示例数据丢失防护(DLP)解决方案。LSM服务可横跨移动设备的各种应用来运作，提供灵活的策略框架，并且保留移动设备应用和子系统的多个配置，等等此类示例特征。
[0014]传统的DLP工具和系统能够防护不合适地离开(或进入)系统的各种类型的数据。数据类型可包括动态数据(data-1n-mot1n)，诸如，email、web投递、网络话务、即时消息收发，等等。可例如通过部署在系统的网络的入口点和/或出口点处的多个解决方案来实施动态数据。数据类型可进一步包括静态数据(data-at-rest)数据类型，诸如，共享文件、数据库、系统内的台式计算机和膝上型计算机处的存储，等等此类示例。可结合静态数据来利用发现和指纹识别解决方案。此外，使用中数据(data-1n-use)类型可包括经由可移动介质、打印机、图形显示器等被存储或输出的数据，并且DLP实施可在此类数据外出能够发生的端点计算设备处发生。相应地，传统的DLP解决方案可采用各种解决方案以防止系统内各种原因和各种形式的数据丢失。此外，DLP解决方案可基于对被检测为离开或进入系统的数据的内容和情境的分析来实施DLP策略。另外，DLP解决方案可利用各种探针(probe)(例如，文件系统探针、email探针、网络探针、HTTP探针、打印机探针)来检测DLP事件。然而，可能难以在现代的移动计算设备平台和操作系统中实现此类探针和对应的钩(hook)。移动操作系统可构成闭合的全域(universe)。移动设备可进一步具有CPU、存储器、电池和移动设备唯一的性能极限。此外，移动设备通常可能具有比传统的计算设备更多的潜在攻击通道，包括通过SMS、4G、蓝牙、NFC、W1-Fi, SD卡等等此类示例所提供的攻击通道。另外，随着移动设备应用和用户愈发依赖基于云服务、其他web所提供服务和分布式服务等此类示例，额外的数据丢失易损性可能涌现。
[0015]通过各种机制，数据可被引入并进入移动计算设备。例如，可经由因特网、基于web的应用等，通过email、SMS消息和文件共享(包括基于云的共享和本地共享)引入数据。通过类似多样的大量机制，数据可被共享、输出或“离开”移动计算设备，上述机制例如经由与外部设备交换数据的应用、web邮件、web投递、消息收发、email、基于云的存储和应用服务等等。此外，由于移动计算设备通常尺寸更小，并且被用户携带到各种环境中去，因此，移动计算设备可能更容易例如通过设备失窃或丢失而受损，设备失窃或丢失会进一步成为数据丢失的基础。
[0016]图1示出系统100的简化框图，其包括例如，DLP策略服务器105以及一个或多个移动计算设备110、115、120和125。移动计算设备可连接到诸如因特网以及私有的、局域的和其他网络(如，被共同地标为130)之类的一个或多个网络，并且在一个或多个网络上进行通信。移动计算设备(如，110、115、120和125)可在一个或多个网络130上与各种其他的计算设备对接，消费各种其他计算设备的多个服务，访问各种其他计算设备以及与各种其他计算设备共享数据。此类计算设备可包括例如其他个人计算设备(如，110、115、120和125)以及数据、应用和服务的外部服务器145。此外，在一些实现方案中，DLP策略服务器105、GPS服务器140和其他系统可提供支持旨在用于移动计算设备的DLP解决方案的多项服务。在一些示例中，此类服务可进一步涉及在一个或多个网络130上的移动计算设备(如，110、115、120和125)和外部服务器(如，105和140)之间的通信。在一些实现方案中，移动计算设备(如，110、115、120和125)可包括安全管理器，该安全管理器与该移动计算设备的内核对接，该移动计算设备的内核结合在该移动设备上的、用于向该移动计算设备提供DLP服务的DLP代理，并且在一些情况下，在具有远程DLP策略服务器105和其他外部系统、安全工具以及其他资源的支持的情况下进行操作。
[0017]通常，包括示例计算环境100中的系统设备(例如，105、110、115、120、125、140、145等)的“服务器”、“客户机”、“客户机设备”、“计算设备”、“网络元件”、“主机”、“系统型系统实体”和“系统”可包括可用于接收、发送、处理、存储或管理与计算环境100相关联的数据和信息的电子计算设备。如在本文件中所使用的，术语“计算机”、“处理器”、“处理器设备”或“处理设备”旨在涵盖任何合适的处理设备。例如，可使用诸如包括多个服务器计算机的服务器池之类的多个计算设备和处理器来实现在计算环境100之内被示出为单个设备的多个元件。此外，可将计算设备中的任何、全部或一些改动成用于执行任何操作系统，包括Linux、UNIX、微软Windows、苹果OS、苹果1S、谷歌安卓、Windows Server等，并且可将虚拟机改动成用于虚拟化对包括自定义和专属操作系统的特定操作系统的执行。
[0018]此外，服务器、客户机设备、网络元件、系统和计算设备可各自包括一个或多个处理器、计算机可读存储器以及一个或多个接口，等等此类特征和硬件。服务器可包括任何合适的软件组件或模块，或包括能够主管和/或服务包括分布式、企业或基于云的软件、应用、数据和服务的软件应用和服务(例如，服务器105的个人安全系统、服务和应用等)的计算设备。例如，在一些实现方案中，计算系统100的DLP策略服务器105、GPS服务器140、外部服务器145或其他子系统可以是被配置成用于远程地主管、服务或以其他方式管理数据、软件服务和应用的云实现的系统，这些数据、软件服务和应用与系统100中的其他服务和设备对接、相协调，依赖于系统100中的其他服务和设备，或者由系统100中的其他服务和设备使用。在一些实例中，可将服务器、系统、子系统、或计算设备实现为可在公共计算系统、服务器、服务器池或云计算环境上受主管的、并且共享包括共享存储器、处理器和接口的计算资源的多个设备的一些组合。
[0019]用户设备、端点设备或客户机计算设备(如，110、115、120和125等)可包括传统计算设备和移动计算设备，包括，个人计算机、膝上型计算机、平板计算机、智能电话、个人数字助理、功能电话、手持式视频游戏控制台、台式计算机、启用互联网的电视机和设计成用于与人类用户交互、并且能够在一个或多个网络(如，130)上与其他设备通信的其他设备。计算机辅助的或“智能的”装置可包括家用或工业设备和机器，这些家用或工业设备和机器包括计算机处理器，并且由该计算机处理器、其他硬件和/或该计算机处理器所执行的一个或多个软件程序控制、监测、辅助、补充，或者通过该计算机处理器、其他硬件和/或该计算机处理器所执行的一个或多个软件程序以其他方式增强这些设备的功能。计算机辅助的装置可包括各种计算机辅助的机器和产品，其包括冰箱、洗衣机、汽车、HVAC系统、工业机械、炉、安全系统等。
[0020]用户计算设备、计算机辅助装置、服务器和计算设备的属性一般在各设备之间差异很大，这些属性的差异包括各自的操作系统以及所加载、安装、执行、操作或以其他方式可由每个设备访问的软件程序的集合。例如，计算设备可运行、执行、已安装或以其他方式包括程序的各种集合，包括能够由各自的设备运行、执行或以其他方式使用的操作系统、应用、插件、小应用程序、虚拟机、机器镜像、驱动程序、可执行文件和其他基于软件的程序的各种组合。
[0021]一些系统设备可进一步包括由这些系统设备的计算机处理器所支持的至少一个图形显示设备和多个用户界面，该至少一个图形显示设备和多个