CN104471900A - 用于电子邮件的数据检测和保护策略 - Google Patents
用于电子邮件的数据检测和保护策略 Download PDFInfo
- Publication number
- CN104471900A CN104471900A CN201380036798.9A CN201380036798A CN104471900A CN 104471900 A CN104471900 A CN 104471900A CN 201380036798 A CN201380036798 A CN 201380036798A CN 104471900 A CN104471900 A CN 104471900A
- Authority
- CN
- China
- Prior art keywords
- dlp
- policy
- template
- strategy
- dlp policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/234—Monitoring or handling of messages for tracking messages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/06—Message adaptation to terminal or network requirements
- H04L51/063—Content adaptation, e.g. replacement of unsuitable content
Abstract
揭示了用于部署和实现数据丢失防护(DLP)策略定义的系统和方法,它可封装要求,控制目标和指示,和/或如由规章策略直接或间接规定的敏感数据类型的定义。在一个实施例中,DLP策略可被组织标识以在一组电子文件系统(例如电子邮件系统、文件系统、web服务器等)的顶上运行。各组织及其管理员可实现从DLP策略模板中获取的DLP策略实例集。DLP策略模板可包括结构和含义两者——并且通过用期望的参数值代替参数化了的表达式可获得给定的DLP策略。在另一个实施例中,DLP策略实例的状态可根据策略实例部署的生存期来改变。
Description
背景
现代组织发现寻找、监视并保护(例如,电子形式的)敏感信息——诸如电子邮件中的PII、财务数据、知识产权,和健康数据——是期望的。为做到这一点,各组织试图对应当被保护的数据以及应当被应用到该数据的策略两者进行建模。对于电子邮件,管理员试图针对它们的策略(诸如发送方身份、接收方身份及其它)选择不同的定范围的机制。
此外,管理员试图选择并应用诸如审核、加密、需要TLS传输等的行动。此外,管理员试图采取与单个目标(诸如制定规章的目标)相关的策略,并试图将它们作为单个包进行管理,即使这些策略可能包含不同规则,并在单个行动中启用/禁用及测试策略。
概述
下面呈现了本发明的简化概述,以便提供此处所描述的某些方面的基本概念。此概述不是所要求保护的主题的详尽的概述。既不是要标识所要求保护的主题的要点或关键性元素,也不是要详细描述本发明的范围。唯一的目的是以简化形式呈现所要求保护的主题的某些概念,作为稍后呈现的比较详细的描述的前奏。
揭示了用于从策略对象模型中部署和实现数据丢失防护(DLP)策略实例的系统和/方法。在一个实施例中,DLP策略可被组织标识以在一组电子文件系统(例如电子邮件系统、文件系统、web服务器等)的顶上运行。各组织及其管理员可通过DLP策略模板的参数化来实现DLP策略实例集。DLP策略模板可包括结构和含义两者——并且可受到在由带有期望的参数值的经参数化的表达式的替代的策略创建时用部署指定环境配置代替一般策略配置的影响。在另一个实施例中,DLP策略实例的状态可根据策略实例部署的生存期来改变。
在一个实施例中,揭示了从策略模板集来实例化DLP策略的方法,该方法的步骤包括:标识期望的DLP策略要在其上受影响的电子文件系统;标识适合期望的DLP策略的DLP策略模板集;用期望的DLP策略专用数据来参数化DLP策略模板;以及将经参数化的DLP策略实例传播到电子文件系统。
在另一个实施例中,揭示了用于创建针对一组电子文件系统的至少一个DLP策略实例,包括:DLP策略模板集;每个DLP策略模板包括一组组件字段;DLP策略模板参数化模块,该模板参数化模块能够用期望的策略数据代替组件字段;以及DLP主策略模块,它能够从DLP策略模板集中为一组电子文件系统创建DLP策略实例。
当与本申请中呈现的附图结合阅读时,在下面的详细描述中呈现了本系统的其它特征和方面。
附图说明
示例性实施例在所参考的附图中示出。此处公开的实施例和附图旨在被认为是说明性而非限制性的。
图1描绘了根据本申请的原理作出的影响策略系统的系统的一个实施例。
图2描绘了根据本申请的原理作出的在电子邮件的上下文中的策略系统的实现和操作的一个实施例。
图3描绘了系统邮件服务器处理子系统的一个实施例,该子系统可与电子邮件上下文中的策略系统对接。
图4是一个示例DLP策略模板的一个实施例,因为它可以代表公认的消费者电子邮件系统。
具体实施方式
如在此使用的,术语“组件”、“系统”、“接口”等指的是计算机相关的实体,它们可以是硬件、软件(例如,执行中的)和/或固件。例如,组件可以是运行在处理器上的进程、处理器、对象、可执行码、程序、和/或计算机。作为说明,在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程中,组件可以位于一个计算机内和/或分布在两个或更多计算机之间。
现在参考附图来描述所要求保护的主题,所有附图中使用相同的附图标记来指代相同的元素。在以下描述中,为解释起见,阐明了众多具体细节以提供对本发明的全面理解。然而,很明显,所要求保护的主题可以在没有这些具体细节的情况下实施。在其他情况下,以框图形式示出了各个已知的结构和设备以便于描述本发明。
引言
本申请的若干实施例揭示了允许在单个操作中同时针对电子文件子系统(仅仅作为一个示例,电子邮件)创建策略并将它们建模成可被安装、移除、状态改变,并报告的一组相关对象系统、方法和机制。虽然当前的实施例更接近电子邮件系统的示例,应当理解在此描述的系统、方法和/或技术在宽泛意义上也适用于各种各样的电子文件系统——例如,文件系统、信息保护和协作(例如微软系统)、web服务器、应用服务器等。
如以下将更进一步详细讨论的,在许多实施例中,采用框架来将复杂工业规则或公司信息管理建模成策略可能是期望的。宽泛地说,这些策略——及其它们相关联的系统和方法——在数据丢失防护(DLP)的区域中被一般地描述。此区域中的申请可实现当其应用到以下项时执行的策略的处理的全部或部分组件:(1)管理策略生存期;(2)在策略实施点上实施并评估策略;(3)生成并查看报告以及(4)管理事件的违背。
一个实施例
图1是根据本申请的原理作出的策略系统的示意图。如在此实施例中可见,可以有可与跨给定组织设置的各种电子存储和/或服务器一起工作的若干通用策略模块。广泛而言,可以有用于分别设置和检测策略的策略管理系统、多个策略实施点,以及审核系统。
如图1中可见,策略管理系统100可包括策略撰写系统102、策略存储104、策略传播系统106。如在此将进一步仔细讨论的,这些策略模块可被采用来为组织设置和传播策略。策略可受各种策略翻译/映射系统108影响,策略翻译/映射系统108理解一般策略指示并将它们变换为策略实施点的上下文理解格式,所述策略翻译/映射系统108可与各电子数据子系统(例如邮件递送系统110、如微软系统112的邮件客户端系统,如微软系统114的信息管理系统、文件系统116、web服务器118或其它能够执行策略实施和应用的合适的电子数据子系统)对接。
在这些策略实施子系统内,可有在子系统内有效地实现策略的各模块。例如,这样的模块可以是策略消费,本地上下文处理,它还可以包括上下文策略评估、上下文策略实施,以及上下文策略呈现。
作为这些子系统的部分,期望具有上下文审核数据生成器。这些审核数据生成器可以与审核聚集系统122和审核呈现系统124通信。
应当理解,许多其它构架可能用于实现可与组织的软件套件(例如电子邮件、文件服务器、web界面等)接口的策略系统。此外,对于特定策略模块(例如,策略撰写和存储,以及审核功能)可能可以(并且可能是期望的)与组织间隔开地被托管并以其它方式提供(例如,服务器/客户机关系、基于云的服务等)。
一旦策略系统针对一组织被实现或以其他方式被配置,这样的策略系统采用运行时动态。图2描绘了运行时动态200的一个实施例,它可应用到示例电子邮件流策略应用。在策略系统的实现之前,组织通常具有其电子邮件系统和/或服务器202,策略系统将运行在电子邮件系统顶部或以其它方式与电子邮件系统协作。
策略系统可消费来自多个源的策略内容。一个这样的源可以如以自带(OOB)策略模板集的形式提供了系统本身,其可用作产品的部分并可由承租者系统管理员和/或其它合适的用户206获取并安装。另一个源可来自独立软件供应商(ISV)和产品合伙人以及提供供目标组织消费的自定义策略内容的顾问。204可向组织提供自定义DLP策略。在两种情形下,管理员206可执行DLP策略系统的特定配置-在此情况中,与组织者的电子邮件系统一起工作。除了策略的安装/创建,可能期望正在进行的策略维持和调整可被内部人员或外部承包人或供应商(诸如承租人管理员或ISV、合伙人、和/或顾问)来执行。这些可被多个操作,诸如206和204表示。
在操作中,策略指示可包括在信息工作者交互的上下文中(诸如Outlook210a或一般电子邮件客户端210b)的操作,它可导致对组织的用户的关于策略的主动的教导和/或通知。该策略指示将确定什么内容被认为是敏感的,并定义管理其使用/在组织内处理的规则。什么是敏感内容以及管理其使用的规则这两者可作为策略指示的部分被传播到终端用户。(例如,带有患者信息、商业秘密信息等的电子邮件)策略指示可允许发送此信息的用户不受限,需要明确知晓通信包含敏感信息,并且用户对其公开负责,或阻止完全共享。
一旦被接收,电子邮件服务器可根据用于策略考虑、顺应性的相同策略定义来处理电子邮件和/或直接处理(或策略系统可与服务器/客户端关系的电子邮件服务器分开操作等)。一旦扫描了电子邮件寻找到敏感内容,可采取附加的行动,诸如在将电子邮件发送到电子邮件服务器、组织等之外之前保持电子邮件。与策略的任何不顺从(或一般的顺从的电子邮件通信的周期性报告)可被发送到审核方212以跟踪。这样的跟踪可以用来再训练受影响的雇员-或者它可检测策略系统的动态流和/或操作中的一些错误。任何策略处理错误可被提交回系统管理员或ISV用于更正。邮件处理服务器将实施策略统一地应用,而不考虑使用什么客户端作为撰写体验的部分。如果策略需要发送方知晓,这些可被实施以存在否则邮件将被拒绝退回发送方。
图3是处理策略应用的详情的电子邮件服务器-例如交换服务器(图2中的框202)。图3描绘了系统邮件处理子系统300的一个可能的实施例,它可与策略系统对接。电子邮件服务器的策略处理可由在邮件处理各阶段激活的代理来执行。一个这样的代理可以是交换传输规则代理302,它可采用内容分析谓词处理302a结合内容分析谓词的方案318的处理。传输规则可被存储在316并且管理员/用户可用模块314b经由UI 314来编辑内容分析谓词。
代理可与消息内容和附件文本提取模块(在此称为“FIPS”)306以及内容分析模块对接以扫描寻找敏感内容。FIPS可假装成执行内容提取和到文本(例如邮件消息和附件两者)的转换并将提取的内容传递到分类引擎用于分析由策略指示定义的任何敏感内容的组件。FIPS可包括文本提取引擎306b和分别具有文本提取引擎和内容分析引擎的通信模块306a和306c。FIPS可以与DLP策略评估相同-例如它可以被构造为形成DLP策略评估模块的子组件-即执行文本提取接着将文本馈送到分类引擎用于分析寻找由DLP策略定义的任何敏感信息的那个。
文本提取模块(可能通过通信协议308)可与内容分析/扫描引擎/模块310对接,它可在以电子邮件正文和任何附件标识的文本上执行文本分析。文本分析引擎可基于已经被存储在内容规则存储312(诸如AD)中的策略信息来标识敏感内容。这样的规则可被管理员/用户通过模块314a经由UI 314来编辑。
数据检测和防护策略对象模型实施例
本系统、方法和/或机制可由对象模型方法实现。在一个这样的实施例中,规章策略的复杂性可通过策略模板概念来表示,它封装了策略指示并控制和提供用于它的生存期管理的方法。具有定义的和/或与对象模型相关联的允许方便实现的以下对象是期望的:(1)允许策略和所有相关联的对象的安装的策略模板对象;(2)跟踪共享元数据和状态的主策略对象;(3)映射到策略对象,将策略指示定义为每个策略的匹配条件和行为的策略规则对象集,以及(4)由策略和规章规范指定为敏感数据定义的,定义敏感数据的结构的数据分类规则对象。
对于这些各种对象,定义并实现作用在这些对象上的操作是期望的。例如,示例策略模板对象操作可包括:(1)安装,(2)实例化,和(3)移除。主策略对象的操作可包括:(1)从模板创建新策略对象;(2)创建新的、编辑、删除、并管理贯穿其生存期的状态改变。如此情况,这些操作的每一个可具有对与策略相关联的多个对象的影响,他们本身实现在任何可用策略实施点合适的策略指令。在电子邮件的策略系统的情况下,可存在跨包括以下的多个策略实施点的针对(可能受制于策略的)电子邮件的运行时行为:(1)电子邮件客户端(2)电子邮件服务器(3)电子邮件存储系统(4)电子邮件处理网关等。每一个策略实施点解释策略并根据其与策略部署生存期相关的策略的状态应用策略,所述策略部署生存期包括(1)策略的仅审核评估(2)策略的审核及通知评估以及(3)策略指令的完全实施。
DLP策略模板实施例
在一个实施例中,DLP策略模板是标识策略的特性以及它如何使用组件实现的组件描述,即组件的配置。这可以是非环境专用——例如用于创建部署专用版本的模版。此外,因为它只是个定义所以它可能不具有任何状态。此外,它可能提供非常简单的一组操作——诸如:导入、导出、删除和查询。在一个可能的实施例中,可使用如图4描绘的,可被用于以实现独立格式表达规章策略的完全构造的XML文档来撰写模板。
在此实施例中,导入操作可允许定义的导入。导入操作可被提供用于构建在系统里的“自带”(OOB)策略定义。此外,导入可被用来提供OOB策略模板的策略模板的更新版本。此外,导入可被用来结合到被提供以符合自定义规章目标或组织需求的系统附加策略定义中。这些附加策略定义可扩展内置策略定义或创建全新策略定义。
导出操作可允许策略定义的保存、备份以及离线更新。导出可提供对序列化版本模板的访问并可被用于将模板从一个环境迁移到另一个。
删除操作从部署环境移除策略定义。在一个实施例中,可能不期望对于OOB定义支持删除。查询操作可允许对用于OOB策略和已经被添加到系统中的任何附加策略两者的定义的发现。
示例DLP策略模板参数化
仅作为一个示例,图4描绘了公认的DLP策略模板组件集400,它可能基于指定规则,被实现以实行示例消费者电子邮件流顺应性。如可见的,DLP策略包括(具有相关联的结构402和含义404的)一组组件——例如发布方(406、408)、版本(410、412)、策略名(414、416)、描述(418、420)、元数据(422、424)、策略构造集(426、428)以及数据分类包集(430、432)。将注意,一组含义可以与这些组件相关联。在此示例中,管理DLP策略模板对象的接口可以是PowerShell或任何适合的web接口。
在一个实施例中,可能希望模板定义允许在模板被用来创建DLP策略实例时定义可被映射到部署值的属性。例如,利用以下这些能力的两个主属性可被定义:(1)可被映射到DLP部署内提供的默认分布列表(DL)的异常分布列表,以及(2)将可被用做任何策略违背检测的通知的目的地的DLP报告邮箱。
DLP策略模板参数化
在一个实施例中,简单的属性替换机制可被用来完成模板中字段的参数化。对替换机制,以下可能是期望的:(1)指定DLP模板中的DLP策略结构元素的经参数化表达的能力;(2)将参数值作为DLP模板实例化的一部分来传递的能力;(3)在OOB DLP策略模板和ISV创建的那些策略模板两者中使用经参数化的表达的能力;(4)对DLP策略模板定义中的Unicode串的支持以及作为替换字符输入;(4)API发现哪些属性在模板中被参数化的能力;(5)对模板中的经参数化的属性强测定类型的能力。
该机制可通过简单的在模板中寻找并替换姓名值对来实现。模板的DLP策略构造将允许要向其提供替代值的子站关键字的说明。例如,子站关键字可以是以下形式:%%keyName%%,其中关键字名(keyName)是标识符。接口可允许传递将提供每个关键字名到值的映射的姓名值对。
仅作为一个示例,可给出来自如图4所示的PCI-DSS DLP策略模板中的策略定义的以下摘录:
上面的示例可受到两个关键字的子站的影响:“%%ReportSeverity-1%%”和“%%ReportSeverity-2%l%”(如上面所给出的)作为来自该模板的使用以下样本语法的DLP策略创建的部分:
[PS]C:\>new-DLPPolicy–Template PII–State Audit–Parameters{“ReportSeverity-1”=”High”;“ReportSeverity-2”=”Low”}
这将导致结果策略指示的创建,可能通过交换传输规则(ETR)被实现,其中参数化关键字用来自“参数”变量的指定值替代。应当理解,这个机制将对DLP OOB模板以及来自ISV等的自定义模板两者可用。如果任何经参数化的属性不具有通过参数选项传入的对应的值,错误产生是合乎需要的。
DLP策略模板属性
以下表格给出了DLP策略模板对象和它们的相关联的属性的一些示例。将理解,其它模板组件可被类似地展开。
DLP策略模板操作
以下表格给出了DLP策略模板操作和它们的相关联的说明的一些示例。将理解,其它模板操作可被类似地展开。
DLP策略实例
DLP策略实例是从部署环境的模板中创建DLP策略对象的结果。它代表了实例化的组件对象集,它们被采用以在模板中实现策略定义(例如ETR、数据分类规则等)。实例是部署专用的——即它倾向于包含参考对消费者环境专用的组件和元素的定义,并因此它倾向于是跨部署非便携。
不像模板,DLP策略实例具有代表消费者的部署(例如,审核和启用)内的生存期状态的状态。DLP策略状态可被用来控制包括策略的组件的状态。DLP策略实例状态的改变,在由DLP策略控制的策略对象内应用对应的改变。代表消费者在实行他们的策略实现中的进展的一个策略,存在三个基本状态。以下的表格给出了DLP策略实例的状态表格的一个实施例:
在一个实施例中,在状态间移动方面没有限制。消费者可选择跳过任何策略或从任一个状态移到另一个。除了控制策略部署状态之外,策略还可以被禁用——这导致策略在策略实施点被忽视。
因为DLP策略被用来控制子组件的状态,代表各策略指示(例如ETR)的子组件可能具有不同于DLP策略的状态。例如,当向策略添加新指示时或当在策略的指示中进行故障诊断时——这可允许用户将策略的各策略指示改变为不同状态。每个策略指示还可维护它的映射到DLP策略状态的值的状态的对应的表示。这些状态还可在指示级被单独控制。例如,指示的审核状态可通过将指示设在禁用状态而被关闭。类似地,通知状态可针对指定指示关闭。
DLP策略属性
在一个实施例中,DLP策略可跟随跨包括应用区域(例如微软系统)的其它组件展示的通用属性集,并可包括以下属性:
DLP策略对象操作
在一个实施例中,主DLP策略对象可跟随跨包括应用区域(例如微软系统)的其它组件展示的通用操作集,并可包括以下操作:
在一个实施例中,单DLP策略实例可具有实现其行为的0到N个策略指示。这可通过例如微软传输规则来分发。传输规则可以是DLP策略实例的0或1部分。单个策略指示可允许定义跨任何数量的策略实施点,例如服务器侧邮件流处理指示和电子邮件客户端处理指示两者。
此外,单个DLP策略实例可具有绑定到它的0到N个数据分类对象。数据分类规范在策略的范围内定义什么被认为是敏感内容并且这个内容应当如何用电子邮件内容来标识。用于管理DLP策略实例对象的接口可以是PowerShell、web接口等。DLP策略可包括相同的或类似的,如上面给出的针对DLP策略操作所揭示的动词。
上文所描述的包括本发明的示例。当然,不可能出于描述所要求保护的主题的目的而描述组件或方法的每个可能的组合,但是,本领域技术人员可以认识到,本发明的许多进一步的组合和置换都是可以的。因此,所要求保护的主题旨在包含在所附权利要求书的精神和范围内的所有这样的更改、修改和变化。
具体来说,对于由上述组件、设备、电路、系统等等执行的各种功能,除非另外指明,否则用于描述这些组件的术语(包括对“装置”的引用)旨在对应于执行所描述的执行此处在所要求保护的主题的示例性方面所示的功能的所描述的组件的指定功能(例如,功能上等效)的任何组件,即使这些组件在结构上不等效于所公开的结构。关于这一点,还应认识到,本发明还包括了具有用于执行所要求保护的主题的各种方法的动作和/或事件的计算机可执行指令的系统以及计算机可读介质。
另外,尽管可相对于若干实现中的仅一个实现来公开本发明的一个特定特征,但是这一特征可以如对任何给定或特定应用所需且有利地与其它实现的一个或多个其它特征相组合。此外,就在说明书或权利要求书中使用术语“包括”和“含有”及其变体而言,这些术语旨在以与术语“包含”相似的方式为包含性的。
Claims (10)
1.一种用于从数据丢失防护(DLP)策略模板实现DLP策略的方法,所述DLP策略实例针对一组电子文件系统实现,所述电子文件系统包括一组文件服务器,所述文件服务器与一组客户端进行通信,所述客户端请求访问数据并将数据上传到所述文件服务器,所述方法的步骤包括:
标识用于实现至少一个期望的DLP策略的策略模板对象集;
创建DLP策略模板定义集;
创建主DLP策略对象,所述主DLP策略对象可从所述DLP策略模板定义集获取;
创建策略规则对象集,所述策略规则对象集定义能够从所述主DLP策略对象中获取的匹配条件和行动;以及
创建数据分类规则对象集,所述数据分类规则对象定义所述策略规则对象应用于其上的一组电子数据。
2.如权利要求1所述的方法,其特征在于,创建策略模板对象集的所述步骤还包括:
创建策略模板操作集,所述策略模板操作针对所述策略模板对象采取行动。
3.如权利要求2所述的方法,其特征在于,创建策略模板操作集,所述策略模板操作针对所述策略模板对象采取行动的所述步骤还包括:
创建策略模板操作集,所述策略模板操作包括一组中的一个,所述组包括:按照、移除、导入、导出、查询和删除。
4.如权利要求1所述的方法,其特征在于,创建主DLP策略对象,所述主DLP策略对象能够跟踪共享的元数据和状态的所述步骤还包括:
创建主DLP策略对象操作集,所述操作针对所述主DLP策略对象采取行动。
5.如权利要求4所述的方法,其特征在于,创建主DLP策略对象操作集,所述操作针对所述主DLP策略对象采取行动的所述步骤还包括:
创建主DLP策略对象操作集,所述DLP策略对象操作包括一组中的一个,所述组包括:(1)从模板创建新策略对象;(2)创建新的、编辑、删除、状态改变。
6.一种用于从策略模板集实例化DLP策略的方法,所述方法的步骤包括:
标识期望的DLP策略要在其上受影响的电子文件系统;
标识适合所述期望的DLP策略的DLP策略模板集;
用期望的DLP策略专用数据来参数化所述DLP策略模板;
将经参数化的DLP策略实例传播到所述电子文件系统。
7.如权利要求6所述的方法,其特征在于,参数化所述DLP策略模板的所述步骤还包括:
用期望的参数值代替在所述模板内的经参数化的表达式。
8.如权利要求7所述的方法,其特征在于,代替经参数化的表达式的所述步骤还包括:
将一般策略构建翻译成部署专用对象。
9.一种用于为一组电子文件系统创建至少一个DLP策略实例的系统,所述电子文件系统包括一组文件服务器,所述文件服务器与一组客户端进行通信,所述客户端请求访问数据并将数据上传到所述文件服务器:
一组DLP策略模板;每个所述DLP策略模板包括一组组件字段;
DLP策略模板参数化模块,所述模板参数化模块能够用期望的策略数据代替所述组件字段;以及
DLP主策略模块,所述DLP主策略模块能够从所述DLP策略模板集中为所述一组电子文件系统创建DLP策略实例。
10.如权利要求9所述的系统,其特征在于,用于创建至少一个DLP策略实例的所述系统还包括:
审核模块,所述审核模块根据DLP策略对象来生成审核信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810947780.9A CN109150695B (zh) | 2012-07-10 | 2013-07-09 | 用于从数据丢失防护策略模板实现数据丢失防护策略的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/545,864 | 2012-07-10 | ||
| US13/545,864 US9317696B2 (en) | 2012-07-10 | 2012-07-10 | Data detection and protection policies for e-mail |
| PCT/US2013/049815 WO2014011704A1 (en) | 2012-07-10 | 2013-07-09 | Data detection and protection policies for e-mail |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810947780.9A Division CN109150695B (zh) | 2012-07-10 | 2013-07-09 | 用于从数据丢失防护策略模板实现数据丢失防护策略的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104471900A true CN104471900A (zh) | 2015-03-25 |
| CN104471900B CN104471900B (zh) | 2018-09-07 |
Family
ID=48856980
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810947780.9A Active CN109150695B (zh) | 2012-07-10 | 2013-07-09 | 用于从数据丢失防护策略模板实现数据丢失防护策略的方法 |
| CN201380036798.9A Active CN104471900B (zh) | 2012-07-10 | 2013-07-09 | 用于从数据丢失防护策略模板实现数据丢失防护策略的方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810947780.9A Active CN109150695B (zh) | 2012-07-10 | 2013-07-09 | 用于从数据丢失防护策略模板实现数据丢失防护策略的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9317696B2 (zh) |
| EP (1) | EP2873203B1 (zh) |
| JP (1) | JP2015523661A (zh) |
| KR (1) | KR102056956B1 (zh) |
| CN (2) | CN109150695B (zh) |
| WO (1) | WO2014011704A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106068521A (zh) * | 2014-03-03 | 2016-11-02 | 微软技术许可有限责任公司 | 关于合规策略更新的应用的通信状态 |
| CN111753675A (zh) * | 2020-06-08 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种图片型垃圾邮件的识别方法和装置 |
| CN112470442A (zh) * | 2018-06-04 | 2021-03-09 | 威睿公司 | 向用户设备部署数据丢失防护策略 |
| CN114969218A (zh) * | 2022-06-01 | 2022-08-30 | 广东森克电子有限公司 | 一种工业计算机用数据防丢失系统 |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898779B1 (en) * | 2012-02-03 | 2014-11-25 | Symantec Corporation | Data loss prevention of information using structured document templates and forms |
| US9779260B1 (en) | 2012-06-11 | 2017-10-03 | Dell Software Inc. | Aggregation and classification of secure data |
| US9317696B2 (en) * | 2012-07-10 | 2016-04-19 | Microsoft Technology Licensing, Llc | Data detection and protection policies for e-mail |
| US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
| RU2013144681A (ru) | 2013-10-03 | 2015-04-10 | Общество С Ограниченной Ответственностью "Яндекс" | Система обработки электронного сообщения для определения его классификации |
| US9697349B2 (en) * | 2014-10-26 | 2017-07-04 | Microsoft Technology Licensing, Llc | Access blocking for data loss prevention in collaborative environments |
| US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
| US10454933B2 (en) * | 2015-01-21 | 2019-10-22 | Sequitur Labs, Inc. | System and methods for policy-based active data loss prevention |
| US10326748B1 (en) | 2015-02-25 | 2019-06-18 | Quest Software Inc. | Systems and methods for event-based authentication |
| US10417613B1 (en) | 2015-03-17 | 2019-09-17 | Quest Software Inc. | Systems and methods of patternizing logged user-initiated events for scheduling functions |
| US9990506B1 (en) | 2015-03-30 | 2018-06-05 | Quest Software Inc. | Systems and methods of securing network-accessible peripheral devices |
| US9842220B1 (en) | 2015-04-10 | 2017-12-12 | Dell Software Inc. | Systems and methods of secure self-service access to content |
| US9842218B1 (en) | 2015-04-10 | 2017-12-12 | Dell Software Inc. | Systems and methods of secure self-service access to content |
| US10536352B1 (en) | 2015-08-05 | 2020-01-14 | Quest Software Inc. | Systems and methods for tuning cross-platform data collection |
| US10157358B1 (en) | 2015-10-05 | 2018-12-18 | Quest Software Inc. | Systems and methods for multi-stream performance patternization and interval-based prediction |
| US10218588B1 (en) | 2015-10-05 | 2019-02-26 | Quest Software Inc. | Systems and methods for multi-stream performance patternization and optimization of virtual meetings |
| US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
| CN105337993B (zh) * | 2015-11-27 | 2018-09-07 | 厦门安胜网络科技有限公司 | 一种基于动静结合的邮件安全检测装置及方法 |
| US10142391B1 (en) | 2016-03-25 | 2018-11-27 | Quest Software Inc. | Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization |
| US10805311B2 (en) * | 2016-08-22 | 2020-10-13 | Paubox Inc. | Method for securely communicating email content between a sender and a recipient |
| US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
| US9762619B1 (en) * | 2016-08-30 | 2017-09-12 | Nicira, Inc. | Multi-layer policy definition and enforcement framework for network virtualization |
| US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
| US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
| US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
| US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
| US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
| US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
| US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
| EP3602377A1 (en) | 2017-03-30 | 2020-02-05 | McAfee, LLC | Secure software defined storage |
| US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
| US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
| US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
| CN108768820A (zh) * | 2018-03-15 | 2018-11-06 | 北京明朝万达科技股份有限公司 | 一种邮件安全分级管理方法及系统 |
| US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
| US11455407B2 (en) * | 2020-04-21 | 2022-09-27 | Zscaler, Inc. | Data loss prevention expression building for a DLP engine |
| US11314456B2 (en) | 2020-07-23 | 2022-04-26 | Micron Technology, Inc. | Memory device performance based on storage traffic pattern detection |
| US11379153B2 (en) | 2020-07-23 | 2022-07-05 | Micron Technology, Inc. | Storage traffic pattern detection in memory devices |
| US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
| US11790103B2 (en) * | 2020-09-29 | 2023-10-17 | Citrix Systems, Inc. | Adaptive data loss prevention |
| CN113284217B (zh) * | 2021-07-26 | 2021-11-23 | 北京优锘科技有限公司 | 一种实现半自动化绘图的方法、装置、设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1193925A2 (en) * | 2000-09-21 | 2002-04-03 | Siemens Information and Communication Networks Inc. | Processing electronic messages |
| US20060048224A1 (en) * | 2004-08-30 | 2006-03-02 | Encryptx Corporation | Method and apparatus for automatically detecting sensitive information, applying policies based on a structured taxonomy and dynamically enforcing and reporting on the protection of sensitive data through a software permission wrapper |
| US20090055427A1 (en) * | 2007-08-21 | 2009-02-26 | Alcatel Lucent | Cloning policy using templates and override cloned policy |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| US7159125B2 (en) * | 2001-08-14 | 2007-01-02 | Endforce, Inc. | Policy engine for modular generation of policy for a flat, per-device database |
| US8225371B2 (en) * | 2002-09-18 | 2012-07-17 | Symantec Corporation | Method and apparatus for creating an information security policy based on a pre-configured template |
| US7484237B2 (en) | 2004-05-13 | 2009-01-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
| JP4197311B2 (ja) * | 2004-06-22 | 2008-12-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体 |
| US8056114B2 (en) * | 2005-08-23 | 2011-11-08 | The Boeing Company | Implementing access control policies across dissimilar access control platforms |
| US7752487B1 (en) | 2006-08-08 | 2010-07-06 | Open Invention Network, Llc | System and method for managing group policy backup |
| US8418124B2 (en) * | 2006-10-20 | 2013-04-09 | Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada | Method and apparatus for software policy management |
| DE112007002682T5 (de) | 2006-11-06 | 2009-10-15 | Dell Marketing USA L.P., Round Rock | Ein System und Verfahren zum Verwalten von Daten über mehrere Umgebungen |
| US8024396B2 (en) | 2007-04-26 | 2011-09-20 | Microsoft Corporation | Distributed behavior controlled execution of modeled applications |
| US8141129B2 (en) | 2008-05-29 | 2012-03-20 | Microsoft Corporation | Centrally accessible policy repository |
| WO2010054258A1 (en) | 2008-11-06 | 2010-05-14 | Trust Digital | System and method for mediating connections between policy source servers, corporate repositories, and mobile devices |
| US8613040B2 (en) * | 2008-12-22 | 2013-12-17 | Symantec Corporation | Adaptive data loss prevention policies |
| CN101582883B (zh) * | 2009-06-26 | 2012-05-09 | 西安电子科技大学 | 通用网络安全管理系统及其管理方法 |
| US20120079275A1 (en) | 2010-09-23 | 2012-03-29 | Canon Kabushiki Kaisha | Content filtering of secure e-mail |
| US9317696B2 (en) | 2012-07-10 | 2016-04-19 | Microsoft Technology Licensing, Llc | Data detection and protection policies for e-mail |
-
2012
- 2012-07-10 US US13/545,864 patent/US9317696B2/en active Active
-
2013
- 2013-07-09 CN CN201810947780.9A patent/CN109150695B/zh active Active
- 2013-07-09 WO PCT/US2013/049815 patent/WO2014011704A1/en active Application Filing
- 2013-07-09 EP EP13740138.6A patent/EP2873203B1/en active Active
- 2013-07-09 JP JP2015521762A patent/JP2015523661A/ja active Pending
- 2013-07-09 KR KR1020157000611A patent/KR102056956B1/ko active IP Right Grant
- 2013-07-09 CN CN201380036798.9A patent/CN104471900B/zh active Active
-
2016
- 2016-03-09 US US15/064,871 patent/US10372916B2/en active Active
-
2019
- 2019-06-19 US US16/445,446 patent/US20190354691A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1193925A2 (en) * | 2000-09-21 | 2002-04-03 | Siemens Information and Communication Networks Inc. | Processing electronic messages |
| US20060048224A1 (en) * | 2004-08-30 | 2006-03-02 | Encryptx Corporation | Method and apparatus for automatically detecting sensitive information, applying policies based on a structured taxonomy and dynamically enforcing and reporting on the protection of sensitive data through a software permission wrapper |
| US20090055427A1 (en) * | 2007-08-21 | 2009-02-26 | Alcatel Lucent | Cloning policy using templates and override cloned policy |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106068521A (zh) * | 2014-03-03 | 2016-11-02 | 微软技术许可有限责任公司 | 关于合规策略更新的应用的通信状态 |
| CN106068521B (zh) * | 2014-03-03 | 2019-08-13 | 微软技术许可有限责任公司 | 关于合规策略更新的应用的通信状态 |
| CN112470442A (zh) * | 2018-06-04 | 2021-03-09 | 威睿公司 | 向用户设备部署数据丢失防护策略 |
| CN112470442B (zh) * | 2018-06-04 | 2023-06-02 | 威睿公司 | 向用户设备部署数据丢失防护策略 |
| US11743124B2 (en) | 2018-06-04 | 2023-08-29 | Vmware, Inc. | Deploying data-loss-prevention policies to user devices |
| CN111753675A (zh) * | 2020-06-08 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种图片型垃圾邮件的识别方法和装置 |
| CN111753675B (zh) * | 2020-06-08 | 2024-03-26 | 北京天空卫士网络安全技术有限公司 | 一种图片型垃圾邮件的识别方法和装置 |
| CN114969218A (zh) * | 2022-06-01 | 2022-08-30 | 广东森克电子有限公司 | 一种工业计算机用数据防丢失系统 |
| CN114969218B (zh) * | 2022-06-01 | 2023-04-18 | 广东森克电子有限公司 | 一种工业计算机用数据防丢失系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2873203B1 (en) | 2019-09-18 |
| JP2015523661A (ja) | 2015-08-13 |
| US10372916B2 (en) | 2019-08-06 |
| EP2873203A1 (en) | 2015-05-20 |
| US20140020045A1 (en) | 2014-01-16 |
| CN109150695A (zh) | 2019-01-04 |
| US20190354691A1 (en) | 2019-11-21 |
| KR20150032861A (ko) | 2015-03-30 |
| KR102056956B1 (ko) | 2019-12-17 |
| WO2014011704A1 (en) | 2014-01-16 |
| US20160203321A1 (en) | 2016-07-14 |
| US9317696B2 (en) | 2016-04-19 |
| CN109150695B (zh) | 2021-08-03 |
| CN104471900B (zh) | 2018-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104471900A (zh) | 用于电子邮件的数据检测和保护策略 | |
| US20200259868A1 (en) | Method and system for policy management, testing, simulation, decentralization and analysis | |
| US11347880B1 (en) | Applying an authorization policy across multiple application programs with requests submitted through an HTTP-based API | |
| US20240022607A1 (en) | Automated and adaptive model-driven security system and method for operating the same | |
| US11132459B1 (en) | Protecting documents with centralized and discretionary policies | |
| US9692792B2 (en) | Method and system for managing security policies | |
| US11853442B1 (en) | Protecting a document with a security overlay on a web browser | |
| Hu et al. | Guide to attribute based access control (abac) definition and considerations (draft) | |
| CN105659238B (zh) | 用于患者数据交换系统的数据驱动模式 | |
| US20080256593A1 (en) | Policy-Management Infrastructure | |
| US8572678B2 (en) | Security policy flow down system | |
| CN104471901A (zh) | 安全和信息保护的统一策略 | |
| Lazouski et al. | Stateful data usage control for android mobile devices | |
| US20110307963A1 (en) | Systems and methods for the secure control of data within heterogeneous systems and networks | |
| US20210192470A1 (en) | Blockchain for asset management | |
| Mohammadi | Trustworthy cyber-physical systems | |
| US20100131326A1 (en) | Identifying a service oriented architecture shared services project | |
| Buecker et al. | IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager | |
| Drogkaris et al. | Employing privacy policies and preferences in modern e–government environments | |
| Ramos et al. | Privacy AwarenessforIoT Platforms: BRAIN-IoT Approach | |
| EP2506519A1 (en) | Method for determining integrity in an evolutionary collabroative information system | |
| Gonçalves et al. | Olympus: A GDPR compliant blockchain system | |
| Wright | DAOs & ADSs | |
| Smolka et al. | UMLsec4Edge: Extending UMLsec to model data-protection-compliant edge computing systems | |
| Pasic et al. | Security and Dependability in the Evolving Service-Centric Architectures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171020 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |