,可由诸如LSM之类的安全模块和/或DLP代理的策略引擎来保持和引用经标记的文件的数据库。
[0044]在一些实现方案中,除了向其他潜在的DLP解决方案提供的诸如加密容器之类的加密功能之外,还将安全模块用于基于由DLP代理保持的所标识的规则和策略来拦截系统调用中所包括的数据,并且动态地标识被拦截的数据具有敏感性的性质并且应当对其加密。相应地,在一些实现方案中,安全模块可在这些被拦截的数据在例如进入设备存储、进入设备应用、或进入设备子系统以便例如在该移动设备外部进行传递之前,对此类被拦截的数据进行加密。这能够允许根据细粒度的DLP策略,逐文件地对多个文件进行更高效的加密,而不是使用更粗矿的强制方式,例如,对整个文件系统、应用数据的全部等进行加密。通过自动地、以及没有用户进行明确的、逐文件的指定的方式对数据进行加密,可以按照加密格式来保持移动设备上最敏感的数据,从而防止例如数据诸如在与移动设备失窃或以其他方式丢失之类的情况相关的情况下泄露或丢失。
[0045]转到图8A-8C中所示的示例,可结合通过基于示例安全模块的解决方案而实施的DLP策略来利用允许对相应于移动计算设备的地理位置信息进行检测的现代移动计算设备的GPS功能和其他功能。例如,可针对数据和系统调用的一个或多个不同类型来定义基于位置的策略。在一个示例中,可针对移动计算设备的相机定义基于位置的策略以保护对应于使用该移动计算设备的数码相机模块拍摄的照片以及以其他方式被下载到该移动计算设备上的照片的拍摄数据。类似地,诸如对应于音频数据的话筒、对应于视频数据的摄像机等等此类设备模块也可具有所定义的基于位置的策略。例如,可能期望保护已被检测为在诸如保密性公司、研宄所、政府机构或其他设施之类的特定位置之内捕捉到的照片、音频数据、视频等以免于在与用户参与到该设施中或使用该设施密切相关的合适的情境之外被共享。例如,可定义对应的基于位置的策略,这些策略允许示例照片、音频和/或视频数据仅当移动设备被检测为位于相同的所定义的位置边界之内或位于其他可接受的、所定义的位置(如,由一个或多个地理围栏定义)之内时才能够被访问,能够被传递或能够以其他方式可在该移动设备上使用。相应地,可用通过内核处的示例安全模块所标识的基于位置的信息来标记在用户计算设备处接收到或生成的数据,从而标识此类数据,并识别适用于所拦截数据的等此类示例的、基于位置的策略。
[0046]在图8A中的特定的示例中,示出使用例如移动计算设备810上的数码相机模块捕捉照片或视频数据(被共同地表示为“拍摄数据”805)的说明性表示。此外,可例如使用该移动计算设备上的GPS功能(或其他地理位置功能),结合对拍摄数据的捕捉来标识全球定位数据。相应地,可用标识全球定位数据以及描述捕捉到拍摄数据的一般位置(或者,在一些情况下的具体位置)的位置标签815来标记由移动设备810的相机捕捉的拍摄数据805。也可将类似的原则应用于生成诸如音频数据之类的其他数据的生成以及从其他源中接收此类数据。在此类示例中,地理位置数据可用于生成指示移动设备的使用、创建和对数据的访问的空间情境的位置标签。
[0047]如图SB中所示,继续描述之前的经标记的拍摄数据的示例,之后,用户却在除对应于位置标签的多个所允许的位置中的一个位置之外的位置中,可能尝试访问或共享该经标记的拍摄数据。可使用与示例内核对接的示例安全模块来拦截访问或共享经标记的拍摄数据的尝试,并且可例如通过该移动计算设备上的协作DLP代理来标识一个或多个策略,从而确定应当约束或阻止对经标记的数据的访问。例如,可标识基于位置的策略,已将该基于位置的策略定义为用于在特定的位置(或对应于该特定位置的、所定义的边界(包括地理政治边界))之外发现该移动设备的时候,限制对在特定的敏感位置之内获取的数据进行分享。相应地,如在图SC中的示例中所示,当在特定的位置之内检测到该移动计算设备时,也可利用基于位置的策略来标识对相同的、经标记的拍摄数据805的访问的后续尝试,该基于位置侧策略使得在该移动计算设备810被检测(例如,通过该移动该计算设备的GPS模块等)为位于所允许的地理区域之内的时候,通过该移动计算设备810,允许用户访问或以其他方式使用经标记的数据。因此,可使用在移动计算设备的内核层级上的基于安全模块的DLP解决方案等等此类示例来监测并实施类似于其他DLP策略的、细粒度的基于位置的DLP策略。
[0048]图9A-9B示出示例流的图900a_b,其示出涉及移动计算设备的系统内核层级上的基于安全模块的DLP解决方案的示例技术。在图9A中的示例中,如905处所示,可例如由诸如LSM之类的与内核对接的安全模块来监测系统调用。如910处所示,可拦截与该移动计算设备的I/O功能有关的特定系统调用。可向该移动计算设备上的DLP代理查询适用于被拦截的系统调用的DLP策略。在一些实例中,可向DLP代理查询由安全模块监测的每一个系统调用。在其他示例中,安全模块可基于可由该安全模块访问的逻辑和规则,过滤出拦截哪些系统调用以及将哪些系统调用传递到DLP代理,这些系统调用诸如是可能与该移动计算设备的I/O功能有关以的以及与针对该设备的DLP目标和/或策略有关的系统调用,等等此类示例。如920处所示,可从该DLP代理处接收结果,并且在925处可例如由该安全模块基于接收到的结果和对应的所标识的DLP策略来执行动作。例如,来自该DLP代理的结果可指示适用于被拦截的系统调用的限制性的策略,该被拦截的系统调用使该DLP代理能够阻止、不允许、修改或执行对系统调用和/或符合所标识的策略的相关数据的某个其他动作。
[0049]转到图9B中的示例,也可在移动计算设备上实施基于位置的DLP策略。例如,可拦截涉及照片、视频或音频数据(包括使用该移动计算设备的相机、话筒和其他子系统所生成的此类数据)的系统调用。可例如由安全模块和/或DLP代理来标识系统调用中数据的类型和内容。此外,如935处所示,可标识对应于这些数据的位置信息。例如,可使用该移动计算设备上的地理位置功能来生成位置信息,并且在一些实例中,可用该位置信息来标记这些数据。实际上,在一些示例中,可针对在被拦截的系统调用中所标识的数据来标识该位置标签,等等此类示例和实现方案。如940处所示,可向DLP代理查询适用于被拦截的系统调用的DLP策略。在一些示例中,位置信息可指示创建或获取特定数据的位置。在其他示例中,位置信息可能不是直接地与这些数据的创建和获取有关,而是替代地指示应当与这些数据相关联(例如,根据一个或多个策略)的特定位置,例如,对应于有条件地允许或替代地限制对这些数据的访问或使用的位置。此外,如945处所示,可从DLP代理处接收结果。如950处所示,可基于接收到的结果,对被拦截的系统调用执行动作,例如,基于所标识的位置信息的、与针对这些数据所标识的、基于位置的DLP策略一致的动作,等等此类示例。
[0050]虽然已按照某些实现方案以及一般相关联的方法描述了本公开,但是这些实现方案和方法的变更和置换对本领域技术人员而言将是显而易见的。例如,本文中所描述的动作可按不同于所描述的顺序来执行,并且仍然实现期望的结果。作为一个示例,所附附图中描绘的过程并不一定要求所示的特定顺序、或顺序地来实现所期望的结果。在某些实现方案中,多任务处理和并行处理可能是有利的。此外,也可支持不同的用户界面布局和功能。其他变型落在所附权利要求的范围之内。
[0051]可在数字电子电路中,或在计算机软件、固件、或硬件(包括在本说明书中公开的结构和它们的等效结构)中,或在上述各项中的一个或多个的组合中实现本说明书中所描述的主题和操作的各实施例。本说明书中所描述的主题的各实施例可被实现为一个或多个计算机程序,即计算机程序指令的一个或多个模块,这些计算机程序指令被编码在计算机存储介质上,用于由数据处理装置执行或控制数据处理装置的操作。替代地或附加地,这些程序指令可被编码在人工生成的传播信号上(例如,机器生成的电、光、或电磁信号),生成该人工生成的信号以编码信息,用于向合适的接收机装置进行的传输,供数据处理装置执行。计算机存储介质可以是计算机可读存储设备、计算机可读存储基板、随机或顺序存取存储器阵列或设备、或它们中的一个或多个的组合,或者计算机存储介质可被包括在上述各项中。此外,尽管计算机存储介质本身不是传播信号,但是计算机存储介质可以是被编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质也可以是包括分布式软件环境或云计算环境的一个或多个单独的物理组件或介质(例如,多个CD、盘、或其他存储设备),或者计算机存储介质可以被包括在其中。
[0052]包括核心网和接入网(包括无线接入网)的网络可包括一个或多个网络元件。“网络元件”可涵盖各种类型的路由器、交换机、网关、桥接器、负载平衡器、防火墙、服务器、内联服务节点、代理、处理器、模块、或可用于在网络环境中交换信息的任何其他合适的设备、组件、元件、或对象。网络元件可包括支持(或以其他方式执行)与将处理器用于本文中所概括的屏幕管理功能相关联的作业的合适的处理器、存储器元件、硬件、和/或软件。此外,网络元件可包括便于其操作的任何合适的组件、模块、接口、或对象。这可包括允许有效地交换数据或信息的合适的算法和通信协议。
[0053]本说明书中所描述的各操作可被实现为由数据处理装置对储存在一个或多个计算机可读存储设备上的或从其他源接收到的数据执行的多个操作。术语“数据处理装置”、“处理器”、“处理设备”以及“计算设备”可涵盖用于处理数据的所有种类的装置、设备和机器,作为示例,包括可编程处理器、计算机、芯片上系统、或上述各项中的多个或组合。该装置可包括通用或专用逻辑电路,例如,中央处理单元(CPU)、刀锋(blade)、专用集成电路(ASIC)或现场可编程门阵列(FPGA),等等此类合适的选项。尽管已将一些处理器和计算设备描述和/或示出为单个处理器,但是可根据相关联的服务器的特定需求使用多个处理器。引用单个处理器的目的在于,在适用时包括多个处理器。一般而言,处理器执行指令并操纵数据以执行某些操作。除硬件之