CN101622849B

CN101622849B - 添加上下文以防止经由计算机网络的数据泄漏的系统和方法

Info

Publication number: CN101622849B
Application number: CN200880003503.7A
Authority: CN
Inventors: 丹尼尔·莱尔·哈伯德
Original assignee: Websense LLC
Current assignee: Websense LLC
Priority date: 2007-02-02
Filing date: 2008-01-30
Publication date: 2014-06-11
Anticipated expiration: 2028-01-30
Also published as: CN101622849A; AU2008214131A1; CA2676106A1; WO2008097780A2; WO2008097780A3; EP2127311B1; AU2008214131B2; US20080307489A1; EP2127311A2; US20150143476A1; US9609001B2; US8938773B2

Abstract

本发明揭示用于添加上下文以防止经由计算机网络的数据泄漏的系统和方法。对数据进行分类，并确定所述数据的上下文信息。响应于所述分类和上下文信息而确定传输策略。响应于所述分类和所述上下文信息而传输或阻断所述数据。

Description

添加上下文以防止经由计算机网络的数据泄漏的系统和方法

相关申请案的交叉参考

本申请案主张2007年2月2日申请的第60/887,908号美国临时专利申请案的权益，所述专利申请案以全文引用的方式并入本文中。

技术领域

本申请案涉及计算机网络安全性。

背景技术

计算机网络用于以无缝方式在计算机之间传输数据。用户可向连接到网络的另一用户发送文件或具有附件的电子邮件。在许多情况下，此数据传送经由因特网而发生。通常，内容可能含有敏感信息(即，商业计划、金融数据、产品图纸、贸易机密等)，其不应被发送给错误的接收者。

数据的拥有者对防止经由计算机网络泄漏敏感数据感兴趣。目前，存在用于对正在经由网络发送的数据进行分析和分类的方法。这些方法确定数据的类型，并防止被分类为受保护的数据的散布。在这点上，这些方法对数据进行分类，且依据数据的类型来应用保护/传输策略。举例来说，策略可能禁止含有社会安全号码的任何商业信息的传输。

然而，仅基于数据类型的策略可能不提供所需的泄漏防止等级。举例来说，有时公司可能想要限制数据向某些用户或目的地的传输。对数据本身的分析无法提供这种等级的分类，且无法形成可靠的策略。

发明内容

在一个发明性方面中，揭示一种用于防止数据经由计算机网络的未经授权的传输的系统。所述系统具有数据源，所述数据源具有数据，且与网络通信。网络(因特网)网关与网络和目的地通信。网络网关经配置以响应于所述数据的数据类型和上下文信息而确定传输策略。

所述上下文信息可为发送者上下文信息和/或目的地上下文信息。举例来说，发送者上下文信息可为数据源的IP地址、用户名或用户群组。目的地上下文信息可为目的地的IP地址、目的地的网络或目的地的类别。传输策略可阻断数据的传输、允许数据的传输和/或报告所述数据的试图传输。

通常，数据源是例如PDA、计算机、手机等电子装置，以及经由因特网通信的装置。

网络网关可包含用于确定数据类型的分类模块、用于确定上下文信息的上下文信息模块、用于产生传输策略的策略/报告模块，以及用于传输数据、阻断数据和/或报告所述数据的传输的强制执行模块。

在另一发明性方面中，揭示一种防止数据经由计算机网络的未经授权的传输的方法。所述方法包括对数据进行分类和确定所述数据的上下文信息。接下来，响应于所述分类和上下文信息而确定传输策略。响应于所述分类和所述上下文信息而传输或阻断所述数据。

附图说明

图1是使用分类和上下文信息的数据泄漏防止可借此发生的计算机网络的表示。

图2是说明用以防止图1中所示的经由计算机网络的数据泄漏的组件中的一些组件的框图。

图3是说明使用分类和上下文信息来防止数据泄漏的过程的流程图。

图4是说明如何将传输策略应用于不同情境的表格。

具体实施方式

以下详细描述是针对本发明的某些具体实施例的。然而，本发明可在大量不同系统和方法中体现。在此描述中，参看图式，其中始终用相同标号来表示相同部分。

参看图1，展示用于防止数据经由计算机网络的未经授权的传输的系统。用户可使用数字装置作为数据源10(即，PDA 10a、膝上型计算机10b、手机10c、计算机10d或其它类型的数字装置)，以经由计算机网络12和因特网18将数据传输到目的地装置14(例如另一电子装置)。将认识到，可将任何类型的装置10用作数据源(即，传真机、扫描仪、网络磁盘驱动器、USB存储器装置等)。装置10通过有线或无线连接而连接到内部网络12。装置10中的每一者含有可传输的数据。网络10可以是具有到达因特网18的连接的局域网(LAN)。将认识到，多个LAN可连接在一起，以形成可连接到因特网18的广域网(WAN)。网络10可以是以太网10baseT拓扑，或基于任何联网协议，包含无线网络、令牌环网络等。

网络10与网络/因特网网关16通信，以便向源10提供到达因特网18的连接。因特网网关16可为用于将TCP/IP协议翻译成供在局域网12上的通信的合适协议的服务器或服务器组合。网关16是此项技术中众所周知的，且通常通过路由器或其它数据交换技术来通信。此外，图1中所说明的网关16可包含：内容过滤，其防止用户访问被禁止的网站；以及数据泄漏防止，用以防止被禁止的内容在网络12外传播，如下文将进一步阐释。

因特网网关16通过通常已知的技术与因特网18通信，且因此与目的地14通信。因此，其它网关、路由器、交换机和/或其它装置可在因特网18、因特网网关16、目的地14、网络12以及源10之间的通信路径中。因特网网关分析穿过其中的TCP/IP业务。目的地14可以是电子装置、IP地址、电子邮件地址、网络地址或其它类型的接收者。

参看图2，说明展示图1的组件的框图。源10包含待传输到目的地14的数据20。数据20可以是任何类型的数据，例如数值、文本、图形等。数据20可作为电子邮件附件、即时消息、FTP或可转换成TCP/IP业务的任何内容而传输。将数据20传输到因特网网关16，其含有防止机密信息的未经授权的散布的软件(即，模块)。如本文所使用的术语“模块”可为(但不限于)执行特定任务的软件或硬件组件，例如FPGA或ASIC。模块可经配置以驻存在可寻址存储媒体上，且经配置以在一个或一个以上处理器上执行。因此，模块可包含例如软件组件、面向对象的软件组件、类组件和任务组件等组件，过程，函数，属性，程序，子例程，程序代码的片段，驱动程序，固件，微码，电路，数据，数据库，数据结构，表格，阵列以及变量。所述组件和模块中所提供的功能性可组合成较少的组件和模块，或进一步分成额外组件和模块。可使用如通常已知的一般技术来对待由所述模块执行的任务进行编程。

因特网网关16包含分类模块22、策略/报告模块24、谁/哪里上下文信息模块26以及强制执行模块28。另外，管理模块30可与因特网网关16通信，且/或可并入因特网网关16中。

分类模块22对数据20进行分析，以通过识别数据20的指纹和/或签名来确定数据20是否含有被禁止的内容。将数据20的指纹或签名与签名数据库进行比较，以便识别所述内容。由此，分类模块22确定所述数据的内容。谁/哪里上下文信息模块26确定谁发送了所述数据以及所述数据的目的地。举例来说，上下文信息模块26通过使用网络12上的目录服务识别发送者来确定谁发送了所述数据。举例来说，可通过使用遵从于公司数据库中的用户列表或使用LDAP服务来识别发送者。通常，还将用户映射到IP地址，以便获得其位置。接着将发送者的识别用作可应用于所述数据的上下文信息。举例来说，发送者的上下文信息可以是发送者的IP地址、用户的身份、群组身份或将进一步的上下文添加到数据20的发送者的任何其它类型的信息。

上下文信息模块26还确定关于数据20的目的地的上下文信息。举例来说，通过将目的地的IP地址与根据类别分类的IP地址的数据库进行比较，有可能对目的地进行分类。IP地址的数据库包含基于上下文信息而分类的已知IP地址。依据目的地的类型以及所含内容来将IP地址分组成若干类别。类别的一些非限制实例可为“恶意地址”、“竞争者”、“公共站点”等。IP地址是根据如网页过滤产业中通常已知的类别而分组的，且是通过对目的地进行分析而产生的。除对目的地进行分类之外，还有可能添加其它上下文信息，例如目的地的网络或仅目的地的地址。因此，目的地上下文信息可为进一步界定数据20的任何额外信息。举例来说，目的地上下文信息可为目的地的信誉、实体的名称和/或类型、目的地的位置、已知的恶意接收者等。

策略/报告模块24用于确定应用于数据20的策略。具体地说，基于由分类模块22确定的数据20的分类以及由上下文信息模块26确定的上下文信息，有可能产生针对数据20的策略。所述策略确定数据20是否将被传输、阻断且/或报告，如图3中将进一步阐释。

强制执行模块28将所述策略应用于数据20，且阻断数据20或将数据20传输到因特网18。管理模块30允许管理员改变策略和/或允许在进一步审阅数据20之后传输数据20。

参看图3，展示用于将上下文信息添加到数据泄漏防止的流程图。在方框300中，因特网网关16接收或发送数据20。接下来，在方框302中检查/分析所述数据，且在步骤304中，通过分类模块22对所述数据进行分类。如先前所提及，数据20是带指纹的，且签名被识别以便确定数据20是否为应被阻断或传输的信息。

接下来，在方框305中，由谁/哪里上下文信息模块26确定关于数据20的上下文信息。具体地说，发送者的“谁”可以是特定IP地址、个别用户或指定群组的成员中的一者或所有。目的地14的“哪里”可以是目的地的类别、目的地的网络或目的地的IP地址中的一者或所有。

在方框306中，由策略/报告模块24确定针对数据20的策略。使用从方框304确定的分类以及从方框305确定的上下文信息来确定所述策略。

参看图4，其说明展示一些示范性策略的表格。在列402中展示从图3的方框304导出的数据/内容的分类。列404中列出发送者的上下文信息，而列406中列出目的地上下文信息。如先前所描述，在图3的方框305中产生发送者上下文信息和目的地上下文信息。图4的列408列出应用于所述表格的每一相应行的数据/内容的策略。举例来说，在行410中，数据/内容为商业数据，而发送者上下文信息指示用户A发送了所述信息，且目的地上下文信息指示数据将被发送到网络A。在此情况下，将应用的策略为报告用户A正试图将数据发送到网络A。行412和414展示类似情境，只是目的地上下文信息不同。具体地说，在行412中，允许传输数据/内容，而在行414中，数据/内容被阻断，因为所述数据/内容正被发送到可能与恶意站点相关联的IP地址3。因此，行410、412和414说明数据/内容相同且发送者相同，但策略基于目的地上下文信息而不同的实例。类似地，行416、418和420说明数据/内容相同且目的地上下文信息相同，但策略基于发送者上下文信息而改变的实例。所属领域的技术人员将认识到，可配置许多不同的策略，以便提供所要类型的安全性。通过对数据类型进行分类以及使用上下文信息，有可能产生更多的细致策略。此外，通过使用分类和上下文信息两者来促进报告、事故处理、别名使用以及优先权处理。

返回参看图3，在决策方框308中，策略/报告模块24确定是否应阻断所述数据。如果不应阻断数据20，那么在方框318中由强制执行模块28传输所述数据。然而，如果针对数据/内容的策略是阻断数据20或报告数据20，那么过程进行到方框310，借此确定是否应报告传输数据20的试图。如果不报告所述传输，那么过程进行到步骤316，其中数据20的传输由强制执行模块28阻断。然而，如果将报告所述传输，那么过程进行到步骤312，借此管理员或其它监督者可审阅所述数据、发送者和接收者信息，且确定是否要发送数据20。如果将发送数据20，那么过程进行到方框318，借此数据20被发送。然而，如果监督者或管理员相信发送所述数据是不合适的，那么过程进行到方框316，且不传输所述数据。将认识到，有可能省略手动审阅步骤312，且报告和阻断数据20的传输。

虽然已将方框308描述为阻断数据20，但将认识到，在方框306中已确定策略之后，其它类型的动作可发生。具体地说，方框308可基于方框306中所确定的策略而起始工作流程，借此对数据20进行进一步分析、分类、检查等。

虽然以上描述已展示、描述并指出了应用于各个实施例的本发明的新颖特征，但将理解，所属领域的技术人员可在不脱离本发明的精神和范围的情况下对所说明的装置或过程的形式和细节做出各种省略、替代和改变。

Claims

1.一种用于防止数据经由计算机网络的未经授权的传输的系统，所述系统包括：

网络网关装置，其连接到网络，所述网络网关装置经配置以接收在源与目的地之间的输送中的数据，其中所述源和所述目的地与所述网络通信，且其中所述网络网关装置包括：

分类模块，其经配置以确定接收到的数据是否包含被禁止的内容；

上下文信息模块，其经配置以产生与所述接收到的数据的所述源有关且与所述接收到的数据的所述目的地有关的上下文信息，其中所产生的与所述数据的所述目的地有关的信息包括所述目的地的分类，其中所述目的地的所述分类基于所述目的地所包含的内容；以及

强制执行模块，其经配置以基于所述分类模块的确定，且基于由上下文信息模块产生的上下文信息，而传输所述接收到的数据或阻断所述接收到的数据向所述目的地的传输，所述上下文信息包含基于目的地所包含的内容的目的地分类。

2.根据权利要求1所述的系统，其进一步包括通过类别进行分类的因特网协议地址数据库，其中所述目的地的所述分类进一步是基于与所述目的地相关联的因特网协议地址同所述因特网协议地址数据库的比较。

3.根据权利要求1所述的系统，其中与所述接收到的数据的所述源有关的所述上下文信息为所述源的IP地址、用户名或用户群组中的至少一者。

4.根据权利要求1所述的系统，其中所述目的地的所述分类进一步是基于所述目的地的网络。

5.根据权利要求1所述的系统，其中强制执行模块进一步经配置以报告所述源传输所述接收到的数据的试图。

6.根据权利要求5所述的系统，其中所述接收到的数据的所述源是电子装置。

7.根据权利要求1所述的系统，其进一步包括经配置以产生传输策略的策略／报告模块，其中所述传输策略包括指示所述强制执行模块是应传输所述接收到的数据还是阻断所述接收到的数据的传输的数据。

8.一种防止数据经由计算机网络的未经授权的传输的方法，所述方法包括：

在连接到所述网络的网络网关装置处接收在源与目的地之间的输送中的数据，其中所述源和所述目的地与所述网络通信；

对所述数据进行分类，以确定所述数据是否包含被禁止的内容；

其特征在于，所述方法包含：

产生与所述数据的所述源有关且与所述接收到的数据的所述目的地有关的上下文信息，其中所产生的与所述数据的所述目的地有关的上下文信息包括所述目的地的分类，其中所述目的地的所述分类基于所述目的地所包含的内容；以及

响应于所述数据的所述分类以及所产生的上下文信息而确定针对所述数据的传输策略，所产生的上下文信息包含基于目的地所包含的内容的目的地分类；以及

响应于所述传输策略而传输所述数据至目的地或阻断所述数据。

9.根据权利要求8所述的方法，其中由强制执行模块执行传输所述数据或阻断所述数据。

10.根据权利要求8所述的方法，其中对所述数据进行分类包括确定数据的类型。

11.根据权利要求8所述的方法，其中所述所产生的与所述数据的所述源有关的上下文信息包括所述数据的发送者的IP地址、所述发送者的用户名或所述用户的群组名中的至少一者。

12.根据权利要求8所述的方法，其中产生与所述目的地有关的所述数据进一步是基于与所述目的地相关联的因特网协议地址同因特网协议地址数据库的比较。

13.根据权利要求8所述的方法，其进一步包括报告所述源传输所述接收到的数据的试图。