外,装置也可包括代码,其创建用于所讨论的计算机程序的执行环境,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或它们中的一个或多个的组合的代码。该装置和执行环境可实现各种不同的计算模型基础结构,如web服务、分布式计算和网格计算基础结构。
[0054]计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎、或代码)可以用任何形式的编程语言来编写,包括编译的或解释的语言、声明性或程序性语言,并且它可以按任何形式来部署,包括作为适合在计算环境中使用的独立程序或模块、组件、子例程、对象、或其他单元。例如,计算机程序可包括有形介质上的、当被执行时可用于执行至少本文中所描述的过程和操作的计算机可读指令、固件、有线或编程硬件或上述各项的任何组合。计算机程序可以但不必对应于文件系统中的文件。程序可被存储在将其他程序或数据(例如,存储在标记语言文档中的一个或多个脚本)保持在专用于所谈论的该程序的单个文件中,或保持在多个协调的文件(例如,存储一个或多个模块、子程序、或代码的多个部分的多个文件)中的文件的一部分中。可将计算机程序部署为在一个计算机上执行,或者在位于一处或横跨多个地点分布并通过通信网络互连的多个计算机上执行。
[0055]可将程序实现为通过各种对象、方法、或其他过程实现各种特征和功能的多个单个的模块,或在适当时可反而包括数个子模块、第三方服务、组件、库,诸如此类。反之,在适当时,各组件的特征和功能可被组合到单个组件中。在某些情况下,可将程序和软件系统实现为复合的经主管的应用。例如,可将该复合应用的各部分实现为企业Java Bean(EJB),或者设计时组件可具有将运行时实现生成到不同的平台中的能力,例如,J2EE(Java 2平台,企业版)、ABAP (高级业务应用编程)对象或微软的.NET,等等。此外,应用可表示经由网络(例如,通过因特网)被访问并执行的、基于web的应用。此外,可远程地存储、引用或执行与特定的受主管的应用或服务相关联的一个或多个过程。例如,特定的受主管的应用或服务的一部分可以是与该应用相关联的、被远程地调用的web服务,而该受主管的应用的另一部分可以是被打包以供在远程客户机处进行处理的接口对象或代理。此外,经主管的应用和软件服务中的任意一个或全部可以是另一软件模块或企业应用(未示出)的子代(child)或子模块,而不背离本公开的范围。另外,受主管的应用的各部分可由在主管该应用的服务器处直接工作的用户以及远程地在客户机处工作的用户来执行。
[0056]本说明书中所描述的过程和逻辑流可由一个或多个可编程处理器执行,这些可编程处理器执行一个或多个计算机程序以通过操作输入数据并生成结果来执行多个动作。这些过程和逻辑流程也可由专用逻辑电路(例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路))来执行,并且装置也可被实现为专用逻辑电路(例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路))。
[0057]作为示例,适于执行计算机程序的处理器包括通用微处理器和专用微处理器两者,以及任何类型的数字计算机中的任何一个或多个处理器。一般而言,处理器将从只读存储器或随机存取存储器或两者中接收指令和数据。计算机的基本元件是用于根据指令执行多个动作的处理器以及用于存储指令和数据的一个或多个存储设备。一般而言,计算机还将包括用于存储数据的一个或多个大容量存储设备(例如,磁盘、磁光盘或光盘),并且/或者计算机将被操作地耦合以从或向用于存储数据的一个或多个大容量存储设备(例如,磁盘、磁光盘或光盘)接收或传输数据。然而,计算机不需要具有此类设备。此外,计算机可以被嵌入到另一设备中,例如,移动电话、个人数字助理(PDA)、平板计算机、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器、或便携式存储设备(如,通用串行总线(USB)闪存驱动器)等等。适用于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,通过示例的方式,其包括,半导体储存设备(例如,EPROM、EEPROM)和闪存设备;磁盘(例如,内部硬盘或可移动盘);磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充和/或被结合进专用逻辑电路中。
[0058]为了提供与用户的交互,可将本说明书中所描述的主题的各实施例实现在具有用于向用户显示信息的显示设备(如,CRT(阴极射线管)或LCD(液晶显示)监视器)以及用户可通过其向计算机提供输入的键盘和指点设备(如,鼠标或轨迹球)的计算机上。其他类型的设备可用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感觉反馈,例如,视觉反馈、听觉反馈、或触觉反馈;并且可按任何形式接收来自用户的输入,包括声音、言语或触觉输入。此外,计算机可通过向用户所使用的设备(包括远程设备)发送文档和从该设备接收文档与该用户交互。
[0059]以下示例涉及根据本说明书所述的各实施例。一个或多个实施例可提供装置、系统、机器可读介质和方法,其用于:监测对移动计算设备的内核的系统调用;拦截与该移动计算设备的输入/输出(I/o)功能有关的特定系统调用;标识适用于该特定系统调用的数据丢失防护(DLP)策略;以及至少部分地基于该DLP策略,对该特定的系统调用执行动作。
[0060]在一个示例中,可向该移动计算设备上的代理查询适用于该特定的系统调用的DLP策略,并且可从该代理处接收结果,该代理根据该代理标识DLP策略是否适用于该特定的系统调用来标识结果。
[0061 ] 在一个示例中,来自该代理的结果表明,没有DLP策略或允许的DLP策略适用于该特定的系统调用,并且动作包括将该特定的系统调用传递到内核,以进行处理。
[0062]在一个示例中,来自该代理的结果标识使用与该特定的系统调用的一个或多个策略,并且动作包括DLP实施动作。
[0063]在一个示例中,该DLP实施动作包括不允许该系统调用。
[0064]在一个示例中,该DLP实施动作包括:结合该特定的系统调用,修改要输入或输出的数据。
[0065]在一个示例中,该DLP实施动作包括:结合该特定的系统调用,对要输入或输出的数据进行加密。
[0066]在一个示例中,该代理是安装在该移动计算设备上的应用。
[0067]在一个示例中,该代理与远程安全服务器对接,以获取对应于所述移动计算设备的策略?目息。
[0068]在一个示例中,将该代理逻辑被包括在与内核对接的安全模块中。
[0069]在一个示例中,该内核是Linux内核,并且由Linux安全模块(LSM)拦截该特定的系统调用。
[0070]在一个示例中,该特定的系统调用包括:利用该移动计算设备的SMS、近场通信(NFC)、蓝牙和通话功能中的至少一个,输出特定的数据。
[0071]在一个示例中,该特定的系统调用包括:利用该移动计算设备的相机、话筒和全球定位系统中的至少一个,输入特定的数据。
[0072]在一个示例中,可基于所标识的DLP策略,对受制于该特定的系统调用的特定的数据进行标记。
[0073]在一个示例中,可接收设计该特定的数据的后续的系统调用,可标识该标记操作,并且可至少部分地基于该标记操作,对该后续的系统调用执行动作。
[0074]在一个示例中,在进程虚拟机容器中运行该移动计算设备的应用。该进程虚拟机容器可以是Dalvik进程虚拟机。
[0075]在一个示例中,系统可包括处理器设备、存储器元件、数据丢失防护(DLP)代理和安全管理器。系统可进一步包括虚拟私有网络管理器,其适用于将涉及该移动计算设备的输入/输出(I/o)尝试重新路由至采用网络级DLP的虚拟私有网络中。系统可进一步包括应用级或操作系统级容器,用于对该移动计算设备的数据进行加密的存储。系统可进一步包括远程安全服务器,其用于向该DLP代理提供策略信息。该系统可以是该移动计算设备。
[0076]一个或多个实施例可提供装置、系统、机器可读介质和方法,其用于拦截涉及拍摄数据的、对移动计算设备的内核的系统调用。可至少部分地基于该移动计算设备的检测到的位置,标识适用于使用该拍摄数据的、基于位置的数据丢失防护(DLP)策略。可至少部分地基于该基于位置的DLP策略和该移动计算设备的位置,对被拦截的系统调用执行动作。
[0077]在一个示例中,当该移动计算设备位于特定的地理位置之外时,基于该基于位置的DLP策略,阻止输出该拍摄数据的尝试。
[0078]在一个示例中,该内核是Linux内核,并且由Linux安全模块(LSM)拦截该特定的系统调用。
[0079]在一个示例中,该代理是安装在该移动计算设备上的应用。
[0080]在一个示例中,该代理与远程安全服务器对接,以获取对应于该移动计算设备的策略?目息。
[0081 ] 在一个示例中,将该代理逻辑包括在与内核对接的安全模块中。
[0082]在一个示例中,特定的系统调用包括利用该移动计算设备的SMS、email、近场通信(NFC)、蓝牙和WiFi功能中的至少一个,输出该拍摄数据。
[0083]在一个示例中,在进程虚拟机容器中运行能够利用该拍摄数据的该移动计算设备的应用。该进程虚拟机容器可包括Dalvik进程虚拟机。
[0084]在一个示例中,该拍摄数据包括视频数据。
[0085]在一个示例中,标识该基于位置的DLP策略包括:向该移动计算设备上的代理查询适用于该拍摄数据的DLP策略;以及从该代理处接收结果,该代理标识DLP策略是否适用于该拍摄数据,该结果标识该基于位置的DLP策略。
[0086]在一个示例中,在特定的地理区域之外,该基于位置的DLP策略限制对该拍摄数据的访问。可使用地理围栏定义该特定的地理区域。该地理区域可对应于创建该拍摄数据的位置。
[0087]在一个示例中,该系统调用涉及该拍摄数据的输入,并且该拍摄数据来源于该