LP解决方案,例如,基于LSM的DLP解决方案,等等此类示例。例如,可针对各种情境、情景、数据类型、事务类型、通信、设备等中的任意一个定义DLP解决方案的分层结构。
[0034]在示例系统中,可在位于虚拟机层上的应用层中以及在安卓框架内提供一系列应用605、610、615和620。例如使用Dalvik虚拟机(VM) 625 (或Dalvik层)等等此类示例,在虚拟机层之内执行多个应用,从这个意义上说,可对这些应用进行容器化操作。系统内核630可位于虚拟机层之下,并且可与诸如LSM之类的安全模块635对接。该内核可包括绑定器(binder)模块640,该绑定器模块640具有相关联的设备/dev/binder。在一些实现方案中,可经由对内核630上的/dev/binder的I/O控制系统调用来促进多个应用之间(以及应用和设备子系统(如,645、650和655)之间)的大多数通信(如果不是所有的通信的话)。安全模块635可与内核绑定器640对接,以允许对I/O相关的系统调用的监测和拦截。此外,安全模块635可附加地与DLP代理对接,该DLP代理包括用于检查被拦截的系统调用的功能,以确定例如由该DLP代理保持的一个或多个策略是否适用于该被拦截的系统调用。
[0035]在一个示例实现方案中,如图6A中的示例中所示,DLP代理的功能的全部或一部分(例如,在一个不例中的策略引擎660和策略数据库665)可被结合或编码到安全模块635自身中。在其他实例中,期望通过将DLP代理逻辑置于安装在受监测的移动用户设备上的、以及在一些实例中位于平台的应用层中的DLP代理应用670中,以减少内核630中的覆盖范围。在任意一个实现方案中,DLP代理的策略引擎660可与由诸如远程DLP服务器等等此类示例之类的其他设备主管的DLP策略管理服务对接或集成,以接收并更新要应用于在移动用户设备上被拦截的系统调用的策略。
[0036]示例安全模块635可提供钩(hook)以允许内核扩展,从而控制和限制像盘写入、套接字写入(socket-write)、I/O控制、存储器映射操作等等之类的各种操作。安全模块635可访问所有的内核数据,并且结合DLP代理来利用该访问,从而在移动用户设备上实现细粒度的DLP策略。例如,与内核630对接的安全模块635可用于限制和监测包括读取、写入、创建的文件操作和其他操作。可检查并标记文件675以例如指示文件是否是敏感的,以及特定的策略是否适用于该文件。此外,可基于例如由安全模块635(或另一组件)添加到多个文件的多个特定的标签的存在来应用并实施多个策略。此外,可检查并扫描作为特定的系统调用或操作的主题的数据,以便例如检查这些数据中的、指示这些数据的机密或敏感性质的模式(例如,DLP策略中所定义的模式)。此类检查可导致动态地标识要将特定的策略应用于其并且对其执行DLP任务的此类机密的和敏感的数据。
[0037]图7包括简化的框图700,其示出DLP代理应用670和诸如LSM之类的安全模块635之间的示例交互。在此示例实现方案中,可将LSM配制成用于与内核绑定器640对接,以检查去往该绑定器640的I/O系统调用,并且潜在地拦截此类系统调用。可由LSM将经该LSM拦截的系统调用和描述此类系统调用的特性的数据传递到DLP代理670。该DLP代理670可包括用于评估被拦截的系统调用并且确定针对该移动用户设备的一个或多个DLP策略是否将应用于这些系统调用的逻辑和功能。如果针对被拦截的系统调用,没有DLP策略被标识或标识了许可的DLP策略,则该DLP代理可将结果返回到该LSM,该结果指示涉及特定数据的I/O的系统调用能够基于该移动用户设备的DLP策略继续进行。在其他实例中,该LSM可结合对特定系统调用的拦截来查询该DLP代理,并且该DLP代理可标识限制性更强的DLP策略适用于特定的被拦截的系统调用。这可提示要将DLP实施动作应用于与针对特定的被拦截的系统调用所标识的DLP策略相称的特定的系统调用。在一些示例中,此类动作可包括不允许该系统调用、编辑该系统调用、修改或替换或该系统调用的数据,等等此类示例。
[0038]在一些实现方案中,示例LSM 635可拦截像读取、写入、发送、接收、I/O控制等之类的某些引起关注的系统调用,然后将描述该系统调用的信息以及受该系统调用影响或约束的数据传递到DLP代理670的策略引擎中。在一些实现方案中,该LSM 635可响应于每一个被拦截的系统调用,与DLP代理670通信,从而获取关于该系统调用的和相关的数据的、符合一个或多个DLP策略的情报。该LSM可利用情报(例如,来自该DLP代理或与该DLP代理670通信的外部源等的情报)来执行诸如限制或修改被拦截的系统调用之类的DLP动作。
[0039]诸如结合图6A-6B以及图7所示出和描述的那些实现方案之类的实现方案可允许不修改该平台的内核、虚拟机层、操作系统框架、其他所安装的应用(如,705)或其他库(如,710)就实现稳健的DLP管理。当安全模块访问该设备上的所有I/O时,此类基于内核的安全模块可提供防止泄露的安全性。此类实现方案可进一步提供实现细粒度的DLP规则和实施动作的灵活性。例如,安全模块和DLP代理可用于:限制或监测设备操作(例如,加载/卸载,诸如不允许加载移动设备的USB驱动器的尝试,等等);限制或监测套接字(socket)操作(如,发送、接收、绑定、连接等);限制希望使用移动设备的联网能力的应用(例如,通过实现细粒度的策略、扫描从套接字读取/写入的数据,等等);以及限制I/O控制操作(例如,阻止剪贴板和其他应用对应用通信以及数据共享,等等),等等此类示例。
[0040]为了进行说明,多个应用可经由内核绑定器(以及对应的设备/dev/binder)彼此进行通信,例如,通过剪贴板,向共享存储器写入一些数据(例如,(ashmem,匿名共享内存),以及随后对/dev/binder的1ctl函数调用)。示例安全模块635可用于检测并限制对/dev/binder的此类函数调用。在示出应用上述讨论的多个原则的基于安全模块的DLP解决方案的灵活性的又一示例中,也可以阻止利用移动计算设备的独有的特性和特征集的复杂的攻击。例如,非结构化补充业务数据(或USSD)攻击已经得到了发展,这些攻击将具有tel://USSD链接的URL提交到多个移动设备中,以企图使移动设备自动地对该USSD链接进行拨号,并且篡改该移动设备的SIM证书。使用基于安全模块的DLP解决方案,可在内核层级将此类链接的引入作为I/O系统调用进行标识和拦截,并且由安全模块根据针对避免此类攻击所定义的策略来加以阻止。在又一示例中,还由恶意行为人通过利用NFC标签强迫移动用户设备的浏览器打开恶意网站等等此类示例利用了该移动计算设备的NFC能力。基于安全模块的DLP方式也可通过标识、拦截并阻止来源于该移动用户设备的NFC模块的I/O系统调用来修复这些攻击。
[0041]在又一示例实现方案中,基于安全模块的DLP解决方案可能能够拦截来自系统调用的、关于一些移动计算设备上的USSD代码、NFC通信和其他I/O功能的数据。例如,也可以拦截并处理来源于移动设备的蓝牙模块的I/O系统调用和其他系统调用以实施DLP策略。在一个示例中,基于安全模块的DLP解决方案可用于防止未经授权的蓝牙外部设备连接到该移动计算设备。例如,可定义除非在针对特定类型的启用蓝牙的设备所定义的某些条件下(例如,当该移动用户设备被检测(如,通过GPS)为在给定的受信任的位置(如,该用户的家中或办公室中)时,等等此类示例条件),否则限制蓝牙设备连接到该移动用户计算设备的能力的策略。在另一示例中,可拦截旨在从该移动设备被发送的SMS消息。可例如由该DLP代理分析这些SMS消息以标识这些消息的目的地和/或有效载荷是否违反一个或多个DLP策略。例如,可根据一个或多个策略、模式或算法来分析该消息的内容,从而标识发送被标识为潜在敏感的数据的尝试。作为示例,可使用安全模块来拦截并阻挡或修改包括似乎要描述诸如信用卡号、社保号、PIN号等之类的敏感信息的数据的SMS消息,以实施对应于所标识类别信息的DLP策略,等等此类潜在的示例。
[0042]如上文所述,通过DLP代理的策略引擎,结合内核层级的基于安全模块的DLP解决方案,可使用内核处的安全模块来定义细粒度的DLP策略并将其成功地应用到所监测的I/O系统调用(和其他系统调用)。例如,可跨越包括SMS、4G、蓝牙、相机、话筒、GPS模块等的移动计算设备的各种I/O通道中的每一个通道来实现DLP防护。此外,与内核对接的安全模块可标识源自系统调用或以其他方式在系统调用中被涉及的子系统和/或应用。可标识并跟踪涉及系统调用的、诸如给定的文件所源自的IP地址和域的信息。在一些示例中,此类信息可用于通过基于从诸如各种源、域、IP地址、应用等的可信度之类的所跟踪的信息中标识出的模式定义并实施策略,以提供选择性的DLP控制。实际上,在一些实现方案中,可基于先前所跟踪并处理的、涉及特定实体或域的系统调用,标记在被标识为源自或涉及特定的已知实体或域的系统调用中所引用的数据,从而快速跟踪相关联的策略(如,专用于特定的实体或域的策略)的实施。此外,可基于通过所监测的系统调用所获取的信息等,使用基于安全模块的DLP解决方案以生成并保持信誉评分。
[0043]如上文所述,基于安全模块的DLP解决方案可包括用于标记在I/O系统调用中被拦截的数据的功能,等等此类示例。基于例如由DLP代理根据多个DLP策略中的一个DLP策略对数据进行的评估,可将这些数据标记为例如机密的、不可信的、私有的,等等此类示例。然后,可由DLP解决方案(例如,由DLP代理和/或安全模块)来保持此类标签。使用这些标签,可标识涉及所标记数据的后续的系统调用。基于该标签,可跳过对DLP代理处被拦截的系统调用的重新评估,而对该标签的标识使得自动标识出被映射至该标签(例如,基于先前的评估)的多个策略和/或DLP实施动作中的一个。在一个示例实现方案中,可在这些标签的存储中采用具有扩展属性的YAFFS2文件系统。或者