CN112470442B - 向用户设备部署数据丢失防护策略 - Google Patents
向用户设备部署数据丢失防护策略 Download PDFInfo
- Publication number
- CN112470442B CN112470442B CN201980048648.7A CN201980048648A CN112470442B CN 112470442 B CN112470442 B CN 112470442B CN 201980048648 A CN201980048648 A CN 201980048648A CN 112470442 B CN112470442 B CN 112470442B
- Authority
- CN
- China
- Prior art keywords
- server
- dlp
- user device
- application
- dlp policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 42
- 230000002265 prevention Effects 0.000 claims abstract description 9
- 230000001360 synchronised effect Effects 0.000 claims abstract description 7
- 230000005055 memory storage Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- JLYFCTQDENRSOL-VIFPVBQESA-N dimethenamid-P Chemical compound COC[C@H](C)N(C(=O)CCl)C=1C(C)=CSC=1C JLYFCTQDENRSOL-VIFPVBQESA-N 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本文描述的示例包括向用户设备部署数据丢失防护(DLP)策略的系统和方法。示例方法可以包括:接收配置,该配置指定适用于应用的至少一个DLP策略,以及指定DLP策略应该应用到的用户或用户设备的分配组的指示。有关DLP策略和分配组的信息可被提供给身份服务,然后与管理该应用的第二服务器同步。该方法可以进一步包括:向用户设备供应应用程序,以及指示用户设备从第二服务器检索DLP策略并在执行供应的应用程序时实施该DLP策略。
Description
A.施罗特里;S.戴特
相关申请的交叉引用
本申请要求于2018年6月4日提交的、标题为“向用户设备部署数据丢失防护策略(DEPLOYING DATA-LOSS-PREVENTION POLICIES TO USER DEVICES)”的美国非临时专利申请No.15/997,322的优先权和权益,其全部内容通过引用并入本文。
背景技术
企业可以生成大量敏感数据,在许多情况下,需要以某种方式对其进行限制。这可以包括不应离开企业的机密业务信息,以及企业中只能特定个体能够访问的数据。例如,可以将包含机密法律信息的文档提供给法律部门的员工,而不提供给会计部门的员工。
许多当前可用的应用程序包括数据丢失防护(“DLP”)功能。DLP策略可以被实施为以通过识别某些类型的敏感信息并防止其以未经授权的方式共享来防止不想要的数据丢失的方式来限制应用程序。这些策略可以特定于一个应用程序或一组应用程序。他们可以建立触发规则的条件,以及满足这些条件时要采取的结果行动。例如,基于文本的文档的作者可以对该文档实施DLP策略,指定如果将该文档传输给另一个用户,则该用户应该不能从该文档复制和粘贴内容或打印该文档。
通常,通过访问应用程序供应商提供的用户界面来建立应用程序的DLP策略。对于企业管理员而言,此过程可能很麻烦,导致他们访问各种网络位置以设置或更改用于各种应用程序的DLP策略。与“用户组”或企业员工的子集打交道时,该过程也效率低下,它们之间应具有不同的DLP策略。第三方应用程序供应商通常不了解企业的用户组,并且不提供允许企业管理员方便地定义用于特定组的DLP策略的功能。
结果,需要用于基于分配的用户组向用户设备自动部署DLP策略的系统和方法。
发明内容
本文描述的示例包括向用户设备部署DLP策略的系统和方法。示例方法包括:在管理服务器处接收配置,该配置指定适用于至少一个应用程序的至少一个DLP策略。例如,可以由企业管理员使用与管理服务器通信的控制台来提供配置。该示例方法还可以包括:接收分配组的指示,该分配组指定DLP策略应该被应用于的多个用户或用户设备。相关的用户设备可以被注册到管理服务器并由所述管理服务器进行管理。
管理服务器可以将指令发送到第三方服务器,该指令使第三方服务器实施管理员指定的一个或更多个DLP策略。贯穿本公开,术语“第三方服务器”以严格示例性的方式使用,并且不旨在将本公开的任何部分限制为某种实际的“第三方”。换句话说,第三方服务器可以由创建DLP策略的同一公司或实体拥有、操作和管理。因此,术语“第三方”明确是非限制性的。在某些示例中,第三方服务器与管理服务器相关联、是管理服务器的一部分或与管理服务器相同。
该指令可以特定于先前指定的分配组。例如,该指令可以根据需要指示第三方服务器为第一组用户(或用户设备)实施一个DLP策略,为第二组用户(或用户设备)实施第二DLP策略。
第三方应用程序可以基于有关分配组的信息为该组实施DLP策略。可以通过提供用户标识和认证服务的身份服务使该信息可用。管理服务器和第三方服务器都可以访问身份服务。因此,第三方服务器可以访问身份服务并检索有关分配组的信息,例如分配组的标识以及组中的用户或用户设备。
该应用程序可以由第三方服务器管理。例如,应用程序可以实施第三方服务器指定的策略并执行指令。在某些示例中,第三方服务器可以管理一组或一套相关的应用程序。在第三方服务器管理多个应用程序的情况下,可以将DLP策略配置为在某些或所有这些应用程序上应用。
示例方法还可以包括:向用户设备提供相关应用程序。管理服务器可以将应用程序供应给用户设备以进行安装。供应还可包括:指示用户设备从第三方服务器检索DLP策略并在执行相关应用程序时实施该策略。在一些示例中,用户设备可以检索和实施DLP策略,而无需用户输入。
以上总结的示例可以被结合到具有指令的非暂时性计算机可读介质中,该指令在由与计算设备相关联的处理器执行时使处理器执行所描述的阶段。另外,以上概述的示例方法可以各自在包括例如存储器存储装置和计算设备的系统中实现,该计算设备具有执行指令以执行所描述的阶段的处理器。
前面的一般描述和下面的详细描述都仅仅是示例性和解释性的,并且不限制所要求保护的示例。
附图说明
图1是用于向用户设备部署DLP策略的示例方法的流程图。
图2是用于向用户设备部署DLP策略的示例方法的序列图。
图3是用于配置DLP策略并将其部署到用户设备的示例用户界面的图示。
图4是用于配置DLP策略并将其部署到用户设备的示例用户界面的图示。
图5是用于配置DLP策略并将其部署到用户设备的示例用户界面的图示。
图6是配置为执行本文提供的示例性方法的示例性系统的图示。
具体实施方式
现在将详细参考本示例,包括附图中示出的示例。在所有附图中,将尽可能使用相同的附图标记表示相同或相似的部件。
本文描述的示例包括用于向用户设备部署DLP策略的系统和方法。示例方法可以包括:接收指定适用于应用程序的至少一个DLP策略的配置,以及指定DLP策略应适用于的用户或用户设备的分配组的指示。可以将有关DLP策略和分配组的信息提供给身份服务,然后与管理该应用程序的第三方服务器同步。该方法可以进一步包括:将应用程序供应给用户设备;以及指示用户设备从第三方服务器检索DLP策略并在执行供应的应用程序时实施该DLP策略。
如上所解释的,术语“第三方服务器”以严格示例性的方式使用,并且不旨在将本公开的任何部分限制为某种实际的“第三方”。换句话说,第三方服务器可以由创建DLP策略的同一公司或实体拥有、操作和管理。因此,术语“第三方”明确地是非限制性的。在某些示例中,第三方服务器与管理服务器相关联、是管理服务器的一部分或与管理服务器相同。
图1提供了用于向用户设备部署DLP策略的示例方法的流程图。图2提供了用于部署DLP策略(包括与身份服务相交互)的更详细的示例方法的序列图。图3-5提供了示例性用户界面的图示,企业管理员可以使用该示例性用户界面来配置DLP策略并将其部署到用户设备。图6提供了用于执行所公开的方法的示例系统的图示。
转到图1的示例方法,阶段110可以包括接收指定用于应用程序的DLP策略的配置。如本文所使用的,“配置”可以是指令、指示、消息或传达一个或更多个配置细节的其他通信。配置详细信息可以包括一个或更多个DLP策略以及其他信息。例如,配置可以包括用户设备的标识、DLP策略的标识以及在执行相关应用程序时实施用于该用户设备的DLP策略的指令。
可以通过企业管理员访问与管理服务器通信的控制台或门户来生成配置。控制台或门户可以包括管理员用来创建配置的选项。管理服务器可以是单个服务器或服务器网络,并且可以利用一个或更多个处理器和处理器存储。它还可以存储有关注册到企业系统中的用户和用户设备,用户配置文件,合规性规则以及对特定用户、设备和应用程序的授权的信息。该信息可以存储在管理服务器上,也可以存储在管理服务器可访问的数据库中。具有足够凭证的企业管理员可以访问存储在管理服务器中或可供管理服务器访问的信息。管理员可以通过与管理服务器通信的Web门户或控制台访问该信息。
配置可以指定适用于一个或更多个应用程序的DLP策略。DLP策略可以包括一个或更多个DLP规则,其指定要在应用程序中实现的规则或限制。示例性DLP规则可以阻止文件备份。另一个示例性规则可以限制(restrict)特定应用程序之间的数据传输。在另一个示例中,DLP规则可以阻止应用程序的“另存为”功能。另一个示例性规则可以限制特定应用程序之间的剪切,复制和粘贴。另一个示例可以将Web内容限制为仅在托管(而不是未托管)Web浏览器中显示。在另一个示例中,DLP规则可以在特定时间(例如,设备被锁定时)对应用程序强制实施加密要求。
DLP策略可以应用于不止一个应用程序。例如,DLP策略可以应用于由同一第三方公司管理的多个第三方应用程序。DLP策略还可以应用于由多个各自的第三方公司管理的多个应用程序。此类第三方的一个示例是MICROSOFT,它提供OFFICE 365应用程序套件,其中包括WORD,EXCEL,POWERPOINT,ONENOTE,OUTLOOK,PUBLISHER和ACCESS。因此,DLP策略可以特定于第三方管理的一应用程序或一组应用程序。在某些示例中,DLP策略的可用性由第三方应用程序供应商确定,并且可以通过第三方Web门户进行配置。但是,通过第三方Web门户进行的配置选项通常缺少将DLP策略与在企业管理服务器上建立的特定分配组绑定的功能。
阶段120可以包括:接收分配组的指示,该分配组指定了要应用DLP策略的一个或更多个用户设备。分配组可以是标识一个或更多个用户或用户设备的任何组。分配组可以是已经存储在管理服务器上的组,例如包括部门中所有已注册用户的组。例如,“法律”组可以包括企业法务部门内的所有已注册用户,而“会计”组可以包括企业会计部门内的所有已注册用户。在另一个示例中,“android”组可以包括运行ADROID操作系统的所有已注册用户设备,而“iOS”组可以包括运行iOS操作系统的所有已注册用户设备。
除了以上标识的示例,分配组本质上也可以是颗粒状的(granular)。例如,分配组可以标识位于办公楼特定楼层或特定地理位置的用户。在另一个示例中,分配组可以标识运行特定版本的操作系统或特定应用程序的用户设备。分配组还可以包括手动选择的用户或用户设备。
分配组可以定向到用户、用户设备或两者。例如,分配组可以应用于属于企业部门内所有用户的所有已注册用户设备。或者,它可以应用于属于部门内用户的某些类型的已注册用户设备。分配组也可以以用户设备为目标,而无需考虑各个用户。因此,即使在仅提及用户或用户设备的示例中进行了描述,本文所使用的术语“分配组”也旨在广泛地应用于用户、用户设备或二者的组合。
可以在与管理服务器关联的控制台处选择分配组。在一个示例中,可以在管理服务器处与来自阶段110的配置同时地接收分配组的指示。例如,DLP策略可以绑定到分配组,并且当管理员将其选择保存在控制台时,该信息可以传输到管理服务器。
阶段130可以包括将提供的用户信息发送给与第三方服务器同步的身份服务。管理服务器可以在阶段110和120之前、之后或与其同时发送用户信息。身份服务可以将权限授予第三方服务器,以允许第三方服务器与身份服务同步。因此,第三方服务器可以维护相关企业的用户和用户组的最新目录。
在一些示例中,身份服务可以提供身份验证服务,例如单点登录(“SSO”)或其他与认证相关的服务。但是,在某些示例中,身份服务可以简单地提供目录。该目录可以包括已注册用户和任何相关用户组的列表。管理服务器可以定期或在管理服务器处进行更改时连续更新目录。同样,第三方服务器可以定期或在其收到目录已发生更改的指示时与目录同步。在一个示例中,身份服务是ACTIVE DIRECTORY服务。
阶段140可以包括发送指令,该指令使第三方服务器实施用于分配组中的用户设备的DLP策略。在一个示例中,该指令可以源自管理服务器。该指令可以包括第三方服务器可用的一个或更多个应用程序编程接口(“API”)调用。该指令还可以包括认证针对第三方服务的指令的认证凭证,其指示该指令源自管理服务器。认证凭证可以包括密码,令牌,签名和密钥对。可以使用公钥-私钥对或其他加密方法对指令进行加密。
第三方服务器可以使用身份服务来识别由在阶段120接收到的分配组所牵涉的用户或用户设备。例如,分配组可以指定DLP策略适用于会计组内的所有用户。第三方服务器可以接收会计分配组的指示,并引用身份服务来确定属于会计组的特定用户设备。
阶段150可以包括向用户设备供应DLP策略应用于的一个或更多个应用程序。供应可以包括使用户设备从管理服务器或从在线应用程序商店(例如GOOGLE PLAY或APPSTORE)下载相关应用程序。供应可以包括,例如,通过使应用程序可供下载来将应用程序发布到设备,以及将通知推送到设备,该通知指示该设备在管理服务器上登记(check in)并下载该应用程序。在接收到通知后,设备可以访问管理服务器并下载应用程序。
在一些示例中,管理服务器通过在用户设备上执行的管理代理与用户设备通信。管理代理可以是设备的操作系统的一部分,也可以在设备的应用程序层中运行。例如,管理代理可以是专用应用程序或可以监视和管理与用户设备相关联的数据、软件组件和硬件组件的其他软件。管理代理可以监视和控制用户设备上的功能以及其他托管应用程序。安装在用户设备上的管理代理可以包括用于利用特定于用户设备的组件的功能,例如GPS传感器、加速计或陀螺仪。管理代理可以具有与管理服务器进行通信的特权访问。
示例方法的阶段160可以包括指示用户设备从第三方服务器检索DLP策略并相应地实施它。该指令可以与在阶段140发送给用户设备的指令一起或作为其一部分来提供。响应于该指令,用户设备可以从第三方服务器请求DLP策略。第三方服务器可以将DLP策略下推到用户设备以进行实施。然后,当执行供应的应用程序或与DLP策略相关的任何其他应用程序时,用户设备可以实施DLP策略。
在某些情况下,DLP策略可以应用于在获取DLP策略之后下载的应用程序。如前所述,DLP策略可以应用于第三方提供或管理的多个应用程序。用户可以下载第一应用程序以及适用于多个应用程序的随附DLP策略。在安装了第一应用程序并应用了相关的DLP策略之后,用户设备可以下载也包含DLP策略的第二应用程序。在该示例中,当用户设备执行第二应用程序时,结合第一应用程序检索的DLP策略可以被应用于第二应用程序。DLP策略可以应用于的应用程序的数量没有限制。
图2是用于向用户设备部署DLP策略的示例方法的序列图。在阶段205,管理员可以在管理服务器上请求认证。该请求可以包括管理员的认证凭证,例如密码,令牌,证书,签名或密钥对。认证凭证可以确认管理员被授权访问管理服务器,例如通过使用与管理服务器通信的控制台。在图3-5中提供了示例性控制台界面。在阶段210,管理服务器可以认证管理员并允许访问。
在阶段215,管理员可以通过控制台将终端用户和用户组添加到系统中。添加终端用户可以包括,例如,将新的企业雇员输入系统,并为这些用户提供任何附带的信息,例如他们的部门,职位名称,电子邮件地址,授权和任何分配的设备。也可以在阶段215创建或修改用户组。用户组可以包括任何用户的分组。用户组可以包括代表由管理服务器管理的一组用户设备的数据。用户组可以对应于公司或企业的结构或层次结构。例如,企业可以具有各种组,例如工程团队、会计团队和市场营销团队。这些团队中的每个团队都可以对应于存储在管理服务器上的用户组。
除了对应于业务团队,用户组还可以对应于位于特定地理位置的用户设备。例如,一家企业可以有不同的企业位置,例如公共等候室、私人会议室、实验室、办公室和停车场。在此示例中,可以为公共等候室、私人会议室、实验室、办公室和停车场中的每个建立单独的组。可以将位于这些位置之一中的用户设备包括在相应的用户组中。
在阶段215创建或编辑的终端用户和用户组可以由管理服务器存储在服务器本身上,也可以存储在管理服务器可用的数据库或云存储位置上。在阶段220,管理服务器可以更新身份服务并与之同步。身份服务可以存储与管理服务器关联的用户和用户组的目录。每当管理服务器识别出其任何存储的用户或用户组中的变化时,阶段220都可以由管理服务器自动执行。还可以基于从先前同步开始经过的时间量来周期性地执行阶段220。
除了管理服务器可访问之外,身份服务还可被第三方服务器访问。在此示例中,第三方服务器由第三方管理或操作,该第三方在以后的步骤中提供要提供给用户设备的应用程序。在阶段225,第三方服务器可以与身份服务同步。在一些示例中,管理服务器向第三方服务器警告在身份服务处已进行了更改。在其他示例中,身份服务在检测到目录更改时向第三方服务器发出警报。无论哪种情况,在阶段225,第三方服务器都可以与身份服务同步。
在阶段230,未注册的用户设备可以将注册请求发送到管理服务器。该阶段可以在该方法的较早阶段执行,或者在已经注册用户设备的示例中,可以跳过该方法的该阶段。如果用户设备未注册,则它可以在阶段230开始注册过程。管理服务器可以包括注册组件和管理员组件,这两者都可以用于注册用户设备的过程。例如,用户设备可以在注册的初始阶段与注册组件进行通信。在一些示例中,注册组件可以向用户设备提供令牌,指示该用户设备已经被认证并且被允许与管理服务器通信和注册到管理服务器。管理服务器或注册组件可以向用户设备提供有关如何访问管理员组件并与其通信以继续注册过程的信息。
在一些示例中,管理员组件可以从用户设备请求令牌,指示该用户设备已经被认证并且被允许继续向管理员组件的注册过程。在接收到令牌后,管理员组件可以继续注册过程。管理员组件还可以为管理员提供控制台,以配置和监视用户设备的状态以及注册过程。在一些示例中,管理员组件可以专用于单个企业或一组企业,而注册组件可以在多个不同的企业之间共享。
作为注册过程的一部分,可以将管理代理提供给用户设备。如上所述,管理代理可以监视和控制用户设备上的功能以及其他托管应用程序。安装在用户设备上的管理代理可以包括用于利用特定于用户设备的组件的功能,例如GPS传感器、加速计或陀螺仪。管理代理可以具有与管理服务器进行通信的特权访问。
在230请求注册后,在阶段235用户设备可以接收成功注册的通知。
在阶段240,管理员可以在控制台处添加应用程序。添加应用程序可以包括,例如,从控制台提供的可用应用程序列表中选择一应用程序。可以从在线应用程序商店(例如GOOGLE PLAY或APP STORE)中选择应用程序。在控制台处添加应用程序可以指示管理服务器该应用程序可供选定的用户设备使用。在某些示例中,该应用程序可以对某些用户可用,而对其他用户则不可用。在阶段240处添加应用程序还可包括添加相关应用程序套件,例如来自MICROSOFT OFFICE 365应用程序套件的多个应用程序。
在阶段245,管理员可以设置分配组并为该分配组配置第三方DLP策略。分配组可以是应将特定DLP策略应用到的任何用户组或用户设备。在一些示例中,分配组是通过选择组中个体用户或用户设备来手动创建的。在其他示例中,通过选择在阶段215创建的一个或更多个用户组来创建分配组。在又一示例中,分配组是预先存在的用户组和管理员手动选择的组合。
在第一示例中,管理员可以通过选择所有企业用户并从执行组和法律组中排除(exempt)用户来创建第一分配组。因此,适用于第一分配组的DLP策略将适用于除执行和法律组中的那些用户之外的所有用户。在第二示例中,管理员可以通过选择会计组中的所有用户,但将用户从主要办公地点排除,来创建第二分配组。在该示例中,应用于第二分配组的DLP策略将仅应用于位于主要办公室位置以外的办公室位置的会计组中的用户。在第三示例中,管理员可以通过选择管理人员组中的用户但排除特定个人来创建第三分配组。在该示例中,仅管理人员的非排除用户将受制于绑定到第三任务组的DLP策略。
在阶段245还可以建立DLP策略。DLP策略可以包括一个或更多个DLP规则,这些规则指定要在应用程序中实现的规则或限制。示例性DLP规则可以阻止文件备份。另一个示例性规则可以限制特定应用程序之间的数据传输。在另一个示例中,DLP规则可以阻止应用程序的“另存为”功能。另一个示例性规则可以限制特定应用程序之间的剪切、复制和粘贴。另一个示例可以将Web内容限制为仅在托管(而不是未托管)Web浏览器中显示。在另一个示例中,DLP规则可以在特定时间(例如,设备被锁定时)对应用程序强制实施加密要求。
DLP策略可以应用于多个应用程序。例如,DLP策略可以应用于由同一第三方公司管理的多个第三方应用程序。此类第三方的示例是MICROSOFT,它提供OFFICE 365应用程序套件,其中包括WORD,EXCEL,POWERPOINT,ONENOTE,OUTLOOK,PUBLISHER和ACCESS。因此,DLP策略可以特定于第三方管理的一特定应用程序或一组应用程序。在某些示例中,DLP策略的可用性由第三方应用程序供应商确定,并且可以通过第三方Web门户进行配置。
在阶段250,管理服务器可以对第三方服务器进行一个或更多个API调用,以为相应的分配组配置DLP策略。操作第三方服务器的第三方可以发布API调用,其允许管理服务器传送DLP策略的详细信息,以及为每个DLP策略标识一个或更多个分配组。例如,管理服务器可以使用API调用来标识上面关于阶段245所述的第一、第二和第三分配组。对于每个组,API调用可以标识一个或更多个DLP策略。
在一个示例中,来自管理服务器的API调用标识了第一分配组和与该第一分配组相对应的第一DLP策略。第一DLP策略可以限制应用程序之间的剪切、复制和粘贴,并且可以在设备锁定时对应用程序强制施加加密要求。在另一个示例中,来自管理服务器的API调用可以标识第二分配组和与第二分配组相对应的第二DLP策略。第二DLP策略可以包括与第一DLP策略相同的限制,但是还可以包括阻止应用程序的“另存为”功能。在阶段250进行的API调用可以识别多个分配组及其对应的DLP策略。
在一些示例中,如果阶段250包括识别多个分配组和对应的DLP策略,则存在某些用户或用户设备属于具有不同DLP策略的一个以上分配组的可能性。该问题可以通过多种方式解决。在一个示例中,指示第三方服务器应用限制性最强的DLP策略,该策略可能适用于用户或设备。例如,如果用户1在第一分配组和第二分配组中,并且第二分配组的第二DLP策略更具限制性,则第三方服务器可以将第二DLP策略应用于用户1。在其他示例中,第三方服务器可以利用适用于用户的限制最少的DLP策略。
在阶段255,第三方服务器可以向管理服务器传送一个或更多个DLP策略已按照指示被保存和分配。
在阶段260,管理员可以向设备集合发布应用程序。管理员可以利用控制台选择要发布的一个或更多个应用程序。通过发布应用程序,管理员可以允许管理服务器在后续步骤中将应用程序供应给用户设备。阶段260可以包括选择可以下载发布的应用程序的设备集合。例如,管理员可以基于用户组、分配组或包括用户或用户设备的任何其他类型的分组来选择设备。如果管理员基于指定用户而不是用户设备的组来选择该设备集合,则管理服务器可以访问数据库以交叉引用分配给这些用户的用户设备,并将应用程序发布到那些设备。
在阶段265,管理服务器可以向用户设备发送命令,指示用户设备登记并下载已发布的应用程序。在一个示例中,该命令可以发送到用户设备上的管理代理。在另一个示例中,该命令指示设备显示用户可以选择下载应用程序的通知。在阶段265用户设备可以与管理服务器联系,并在阶段270下载该应用程序。在管理员批量发布多个应用程序的示例中,阶段270可以包括下载所有这些应用程序。阶段270还可以包括在用户设备上安装一个或更多个应用程序。
在阶段275,用户设备可以联系第三方服务器以检索与应用程序和设备有关的任何DLP策略。可以根据管理员、管理服务器、管理代理或应用程序本身提供的指令来执行阶段275。在一些示例中,管理服务器指示用户设备下载应用程序,然后向第三方服务器登记以获取DLP策略。在其他示例中,应用程序可以包括阻止应用程序特征(或阻止对应用程序的任何使用)的功能,直到第三方服务器确认任何所需的DLP策略到位为止。
在阶段280,将DLP策略推送到用户设备并应用。DLP策略可以存储在应用程序、管理代理或两者可访问的配置文件中。应用程序可以在打开时、执行时或两者时访问DLP策略。在一些示例中,应用程序可以按预定的时间间隔检查DLP策略更改。在其他示例中,当应用程序从第三方服务器接收到指示应用程序登记并下载更新的DLP策略的通信时,可以检查DLP策略更改。
图3提供了控制台界面300的示例说明,管理员可以使用控制台界面300来根据上述方法建立和实施DLP策略。可以在控制台处提供界面300,例如在与管理员相关联的计算设备上显示的网页。在图3的示例中,页面被显示为与“DLP设置”有关。管理员可以使用三个子类别:数据丢失防护页面305、分配组页面310和认证页面315。图3示出了选择了数据丢失防护页面305,而图4和图5分别示出了选择了分配组页面310和认证页面315。
提供了当前设置选择320,其允许管理员继承对数据丢失防护页面305选择或覆写(override)它们。尽管也可以使用其他选择机制,但是这可以使用与当前选择设置320相关联的按钮来选择。数据丢失防护页面305包括在界面300上显示的各种选择。这些选择是示例性的,并不代表可用选项的详尽列表。
选项325允许管理员防止备份与受到DLP策略的应用程序相关的文件、文档或对象。在图3的示例中,管理员已选择“是”按钮以防止备份。在右侧列中,管理员可以定制应用于特定的操作系统的限制。本示例显示选择了ANDROID,再加上一个未显示的对象。在示例中,附加操作系统可以是iOS。对于列出的任何选项325-355,可以单独配置每个选项所适用的操作系统。
选项330允许DLP适用的应用程序将数据传输到其他应用程序,而选项335允许DLP适用的应用程序从其他应用程序接收数据。在图3的示例中,选项330、335都被设置为“全部”,这意味着应用程序可以向所有其他应用程序传输数据或从所有其他应用程序接收数据。但是,管理员可以选择“无”以防止数据的任何传输或接收。管理员还可以选择“受限制的”以提供可用于传输到DLP适用的应用程序或从其接收的应用程序的受限制列表。在一些示例中,选择“受限制的”按钮将启动图形用户界面元素,其允许管理员选择或取消选择特定的应用程序。
选项340防止用户在DLP适用的应用程序中利用“保存为”功能。这样可以防止用户将应用程序保存到其设备上,并在未经许可的情况下对其进行进一步修改。在图3的示例中,该选项340被设置为“是”,从而防止利用“保存为”功能。
选项345可以限制从其他应用程序或向其他应用程序进行剪切、复制和/或粘贴。这可以防止在受限制的文档中未经授权地复制信息。尽管该选项345可以包括与选项330和335相关联的按钮,诸如“所有”、“受限制的”或“无”按钮,但是在该示例中,选项345与下拉列表相关联。下拉列表允许管理员选择“任何应用程序”或展开列表并选择一个或更多个个体应用程序。
选项350可以限制Web内容在托管浏览器外部显示。此选项可以通过确保企业用户仅在安全的管理器中查看Web内容来提高安全性。选择“是”按钮可以实施限制,要求Web内容显示在托管浏览器中。选择“否”按钮可以放弃限制。
选项355可以提供用于加密应用程序数据的要求。这可能导致应用程序以加密格式而不是未加密格式将所有数据存储在设备上。选项355可以包含一下拉列表,允许管理员在应用程序应该对其数据进行加密时在各种选择之间进行选择。这些选择可以包括例如“从不”,“始终”,“设备锁定时”,“设备空闲时”和“登录时”。在此示例中,选项355被设置为适用于iOS,但不适用于ANDROID。
要应用来自图3的选择以对用户分组,管理员可以选择分配组页面310。图4提供了在选择分配组页面310之后的用户界面300的图示。与数据丢失防护页面305一样,在该示例中仍然显示用于继承或覆写现有设置的选项420。还显示了用于搜索系统以寻找用户组的搜索栏430。搜索栏430可以搜索与管理服务器相关联的数据库中,以寻找与搜索栏430中提供的关键字匹配的任何组。
搜索结果可以显示在第一位置,例如搜索栏430正下方的框。管理员可以从搜索结果中选择一个或更多个组,然后选择“添加组”按钮440以将这些组添加到列表。该列表可以显示在“移除组”按钮450上方的框中。将一个组添加到列表后,管理员可以选择该组,然后使用“移除组”按钮450将其移除。
子权限选择460可以允许管理员指示对于子设备的权限应该是仅继承、仅覆写还是继承和覆写的组合。当管理员做出该选择并最终确定了通过“添加组”按钮440添加组时,管理员可以选择“保存和分配”按钮470。该按钮470可以将所有添加的组合并到分配组中并关联所选DLP策略到该分配组。
管理员然后可以在如图5所示的认证页面315处提供认证凭证。在选择了认证页面315之后,管理员可以在用户名字段530中提供用户名,并在密码字段540中提供密码。然后,管理员可以使用保存按钮550保存凭证。分配组页面310上显示的相同的子权限选择560可以在认证页面315上显示。还可以在认证页面315上显示“保存和分配”按钮570,从而允许管理员最终确定设置并分配DLP策略给相关的分配组。
图6提供了用于执行本文描述的任何方法的示例系统的图示。该系统可以包括管理服务器620。管理服务器620可以是单个服务器或服务器网络,并且可以利用一个或更多个处理器和存储器存储。它还可以存储有关注册到企业系统中的用户和用户设备,用户配置文件,合规性规则以及特定用户、设备和应用程序的授权的信息。该信息可以存储在管理服务器620处或存储在管理服务器620可访问的数据库622处。具有足够凭证的企业管理员可以访问存储在管理服务器中的信息或管理服务器可访问的信息。管理员可以通过与管理服务器620通信的Web门户或控制台610访问该信息。控制台610可以是独立的计算设备,也可以是显示在计算设备上的GUI。例如,控制台610可以是web门户。管理服务器620还可以包括注册组件624和管理员组件626,两者都可以用于将用户设备650注册到管理服务器620,如关于图2的阶段230所讨论的。
管理服务器620可以更新身份服务630并与身份服务630同步。身份服务可以存储与管理服务器620相关联的用户和用户组的目录632。在一些示例中,身份服务630可以提供身份验证服务,例如单点登录(“SSO”)或与认证相关的其他服务。然而,在一些示例中,身份服务630可以简单地提供目录632,目录632列出了用户及其伴随的用户组、用户设备、用户电子邮件和其他信息。
目录632可以包括注册用户和任何相关用户组的列表。该目录可以由管理服务器620定期地或在管理服务器620进行更改时连续地更新。在一个示例中,身份服务630是ACTIVE DIRECTORY服务。
图6的系统还可以包括第三方服务器640。除了管理服务器620可访问之外,身份服务630还可被第三方服务器640访问。在该示例中,第三方服务器640由提供要供应给用户设备650的应用程序的第三方进行管理或操作。第三方服务器640可以与身份服务630同步。在一些示例中,管理服务器620警告第三方服务器640已在身份服务630处进行了更改。在其他示例中,身份服务630在检测到目录632中的更改时向第三方服务器640发出警报。第三方服务器640可以定期地或当它接收到目录632已经发生改变的指示时与目录632进行同步。
第三方服务器640可以保持数据库642,该数据库642反映来自身份服务器630的目录632的信息。这可以允许第三方服务器640定期从目录632接收更新并将其本地保存在数据库642中,以便在操作期间更容易、更快地访问。第三方服务器640还可以存储从管理服务器620接收到的DLP策略644。DLP策略644可以包括分配组、DLP设置和相关的应用程序,如前所述。
图6的系统还可以包括从管理服务器620接收应用程序652的用户设备650。用户设备650可以包括管理代理654。管理代理654可以是设备650的操作系统的一部分,或者可以在设备650的应用程序层中运行。例如,管理代理654可以是专用应用程序或其他软件,其可以监视和管理与用户设备650相关联的数据、软件组件和硬件组件。管理代理654可以监视和控制用户设备650上的功能以及其他被管理的应用程序。安装在用户设备650上的管理代理654可以包括用于利用特定于用户设备650的组件的功能,例如GPS传感器、加速计或陀螺仪。管理代理可以具有与管理服务器620通信的特权访问。
用户设备650还可以存储与设备650相关的一个或更多个DLP策略656。在一个示例中,存储在设备650处的DLP策略656可以与存储在第三方服务器640中的DLP策略644匹配。管理代理654可以在设备650处强制实施DLP策略656。在其他示例中,应用程序652可以在设备650处强制实施DLP策略656。第三方服务器640可以指示应用程序652强制实施DLP策略656,如管理服务器620所指示的。
通过考虑本文公开的示例的说明书和实践,本公开的其他示例对于本领域技术人员将是显而易见的。尽管所描述的方法中的一些已经被呈现为一系列步骤,但是应当理解,一个或更多个步骤可以同时,以重叠的方式或以不同的顺序发生。呈现的步骤的顺序仅说明了可能性,并且那些步骤可以以任何合适的方式执行或执行。而且,这里描述的示例的各种特征不是互相排斥的。相反,这里描述的任何示例的任何特征可以被结合到任何其他合适的示例中。说明书和示例旨在仅被认为是示例性的,本公开的真实范围和精神由所附权利要求指示。
Claims (18)
1.一种向用户设备部署数据丢失防护(DLP)策略的方法,包括:
在管理服务器处接收配置,所述配置指定适用于至少一个应用程序的至少一个DLP策略;
在所述管理服务器处接收分配组的指示,所述分配组指定所述至少一个DLP策略应该被应用于的多个用户设备;
从所述管理服务器向第二服务器发送指令,使得所述第二服务器实现用于所述分配组中的所述多个用户设备的所述至少一个DLP策略;以及
向用户设备供应所述至少一个应用程序,其中供应包括:指示所述用户设备从所述第二服务器检索所述DLP策略并在执行所述供应的应用程序时实施所述DLP策略,
其中所述至少一个应用程序由所述第二服务器管理;
其中所述用户设备被注册到所述管理服务器并由所述管理服务器管理。
2.根据权利要求1所述的方法,还包括将用户信息提供给身份服务,其中所述身份服务与所述第二服务器同步。
3.根据权利要求1所述的方法,其中所述至少一个DLP策略应用于由所述第二服务器管理的多个应用程序。
4.根据权利要求1所述的方法,其中基于所述第二服务器将所述检索的用户设备识别为与所述分配组相关联,所述用户设备从所述第二服务器检索所述DLP策略。
5.根据权利要求1所述的方法,其中所述用户设备检索并实施所述DLP策略,而无需来自所述用户的关于所述DLP策略的输入。
6.根据权利要求1所述的方法,进一步包含:
通过所述管理服务器更新所述分配组的记录;以及
将所述分配组的记录与身份服务同步。
7.一种非暂时性计算机可读介质,包括指令,当所述指令由管理服务器的处理器执行时,使所述管理服务器执行向用户设备部署数据丢失防护(DLP)策略的阶段,所述阶段包括:
在所述管理服务器处接收配置,所述配置指定适用于至少一个应用程序的至少一个DLP策略;
在所述管理服务器处接收分配组的指示,所述分配组指定所述至少一个DLP策略应该被应用于的多个用户设备;
从所述管理服务器向第二服务器发送指令,使得所述第二服务器实施用于所述分配组中的所述多个用户设备的所述至少一个DLP策略;以及
向用户设备供应所述至少一个应用程序,其中供应包括:指示所述用户设备从所述第二服务器检索所述DLP策略并在执行所述供应的应用程序时实施所述DLP策略,
其中所述至少一个应用程序由所述第二服务器管理;
其中所述用户设备被注册到所述管理服务器并由所述管理服务器管理。
8.根据权利要求7所述的非暂时性计算机可读介质,所述阶段还包括:将用户信息提供给身份服务,其中所述身份服务与所述第二服务器同步。
9.根据权利要求7所述的非暂时性计算机可读介质,其中所述至少一个DLP策略应用于由所述第二服务器管理的多个应用程序。
10.根据权利要求7所述的非暂时性计算机可读介质,其中基于所述第二服务器将所述检索的用户设备识别为与所述分配组相关联,所述用户设备从所述第二服务器检索所述DLP策略。
11.根据权利要求7所述的非暂时性计算机可读介质,其中所述用户设备检索并实施所述DLP策略,而无需来自所述用户的关于所述DLP策略的输入。
12.根据权利要求7所述的非暂时性计算机可读介质,进一步包含:
通过所述管理服务器更新所述分配组的记录;以及
将所述分配组的记录与身份服务同步。
13.一种向用户设备部署数据丢失防护(DLP)策略的系统,包括:
存储器存储装置,所述存储器存储装置包括非暂时性计算机可读介质,所述非暂时性计算机可读介质包括指令;以及
计算设备,所述计算设备包括处理器,所述处理器执行所述指令以执行阶段,所述阶段包括:
在管理服务器处接收配置,所述配置指定适用于至少一个应用程序的至少一个DLP策略;
在所述管理服务器处接收分配组的指示,所述分配组指定所述至少一个DLP策略应该被应用于的多个用户设备;
从所述管理服务器向第二服务器发送指令,使得所述第二服务器实施用于所述分配组中的所述多个用户设备的所述至少一个DLP策略;以及
向用户设备供应所述至少一个应用程序,其中供应包括:指示所述用户设备从所述第二服务器检索所述DLP策略并在执行所述供应的应用程序时实施所述DLP策略,
其中所述至少一个应用程序由所述第二服务器管理;
其中所述用户设备被注册到所述管理服务器并由所述管理服务器管理。
14.根据权利要求13所述的系统,所述阶段还包括:将用户信息提供给身份服务,其中所述身份服务与所述第二服务器同步。
15.根据权利要求13所述的系统,其中所述至少一个DLP策略应用于由所述第二服务器管理的多个应用程序。
16.根据权利要求13所述的系统,其中基于所述第二服务器将所述检索的用户设备识别为与所述分配组相关联,所述用户设备从所述第二服务器检索所述DLP策略。
17.根据权利要求13所述的系统,其中所述用户设备检索并实施所述DLP策略,而无需来自所述用户的关于所述DLP策略的输入。
18.根据权利要求13所述的系统,进一步包含:
通过所述管理服务器更新所述分配组的记录;以及
将所述分配组的记录与身份服务同步。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/997,322 | 2018-06-04 | ||
| US15/997,322 US11012309B2 (en) | 2018-06-04 | 2018-06-04 | Deploying data-loss-prevention policies to user devices |
| PCT/US2019/034464 WO2019236357A1 (en) | 2018-06-04 | 2019-05-29 | Deploying data-loss-prevention policies to user devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112470442A CN112470442A (zh) | 2021-03-09 |
| CN112470442B true CN112470442B (zh) | 2023-06-02 |
Family
ID=68693253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980048648.7A Active CN112470442B (zh) | 2018-06-04 | 2019-05-29 | 向用户设备部署数据丢失防护策略 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11012309B2 (zh) |
| EP (1) | EP3791552B1 (zh) |
| CN (1) | CN112470442B (zh) |
| WO (1) | WO2019236357A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11102251B1 (en) | 2019-08-02 | 2021-08-24 | Kandji, Inc. | Systems and methods for deploying configurations on computing devices and validating compliance with the configurations during scheduled intervals |
| US11461459B1 (en) * | 2021-11-02 | 2022-10-04 | Kandji, Inc. | User device authentication gateway module |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8544060B1 (en) * | 2012-01-27 | 2013-09-24 | Symantec Corporation | Method and system for detecting and protecting against potential data loss from unknown applications |
| US8950005B1 (en) * | 2011-11-04 | 2015-02-03 | Symantec Corporation | Method and system for protecting content of sensitive web applications |
| US8990882B1 (en) * | 2011-12-30 | 2015-03-24 | Symantec Corporation | Pre-calculating and updating data loss prevention (DLP) policies prior to distribution of sensitive information |
| CN104471900A (zh) * | 2012-07-10 | 2015-03-25 | 微软公司 | 用于电子邮件的数据检测和保护策略 |
| CN104641377A (zh) * | 2012-10-19 | 2015-05-20 | 迈克菲股份有限公司 | 用于移动计算设备的数据丢失防护 |
| US9349016B1 (en) * | 2014-06-06 | 2016-05-24 | Dell Software Inc. | System and method for user-context-based data loss prevention |
| CN107111702A (zh) * | 2014-10-26 | 2017-08-29 | 微软技术许可有限责任公司 | 协同环境中针对数据丢失防护的访问阻止 |
| CN107409126A (zh) * | 2015-02-24 | 2017-11-28 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| CN107624238A (zh) * | 2015-05-19 | 2018-01-23 | 微软技术许可有限责任公司 | 对基于云的应用的安全访问控制 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8565108B1 (en) | 2010-09-28 | 2013-10-22 | Amazon Technologies, Inc. | Network data transmission analysis |
| US9311495B2 (en) | 2010-12-09 | 2016-04-12 | International Business Machines Corporation | Method and apparatus for associating data loss protection (DLP) policies with endpoints |
| US9237170B2 (en) | 2012-07-19 | 2016-01-12 | Box, Inc. | Data loss prevention (DLP) methods and architectures by a cloud service |
| US20160315930A1 (en) | 2015-04-24 | 2016-10-27 | Somansa Co., Ltd. | Cloud data discovery method and system for private information protection and data loss prevention in enterprise cloud service environment |
| US10148694B1 (en) | 2015-10-01 | 2018-12-04 | Symantec Corporation | Preventing data loss over network channels by dynamically monitoring file system operations of a process |
| US11019101B2 (en) | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
-
2018
- 2018-06-04 US US15/997,322 patent/US11012309B2/en active Active
-
2019
- 2019-05-29 WO PCT/US2019/034464 patent/WO2019236357A1/en unknown
- 2019-05-29 EP EP19814748.0A patent/EP3791552B1/en active Active
- 2019-05-29 CN CN201980048648.7A patent/CN112470442B/zh active Active
-
2021
- 2021-04-21 US US17/236,006 patent/US11743124B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8950005B1 (en) * | 2011-11-04 | 2015-02-03 | Symantec Corporation | Method and system for protecting content of sensitive web applications |
| US8990882B1 (en) * | 2011-12-30 | 2015-03-24 | Symantec Corporation | Pre-calculating and updating data loss prevention (DLP) policies prior to distribution of sensitive information |
| US8544060B1 (en) * | 2012-01-27 | 2013-09-24 | Symantec Corporation | Method and system for detecting and protecting against potential data loss from unknown applications |
| CN104471900A (zh) * | 2012-07-10 | 2015-03-25 | 微软公司 | 用于电子邮件的数据检测和保护策略 |
| CN104641377A (zh) * | 2012-10-19 | 2015-05-20 | 迈克菲股份有限公司 | 用于移动计算设备的数据丢失防护 |
| US9349016B1 (en) * | 2014-06-06 | 2016-05-24 | Dell Software Inc. | System and method for user-context-based data loss prevention |
| CN107111702A (zh) * | 2014-10-26 | 2017-08-29 | 微软技术许可有限责任公司 | 协同环境中针对数据丢失防护的访问阻止 |
| CN107409126A (zh) * | 2015-02-24 | 2017-11-28 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| CN107624238A (zh) * | 2015-05-19 | 2018-01-23 | 微软技术许可有限责任公司 | 对基于云的应用的安全访问控制 |
Non-Patent Citations (1)
| Title |
|---|
| 一种综合认证策略在企业信息资源单点登录技术中的应用;王娟;《池州学院学报》;20101228(第06期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019236357A1 (en) | 2019-12-12 |
| EP3791552B1 (en) | 2023-06-07 |
| CN112470442A (zh) | 2021-03-09 |
| US20210243085A1 (en) | 2021-08-05 |
| US11012309B2 (en) | 2021-05-18 |
| US20190372849A1 (en) | 2019-12-05 |
| EP3791552A4 (en) | 2022-03-02 |
| US11743124B2 (en) | 2023-08-29 |
| EP3791552A1 (en) | 2021-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3590065B1 (en) | Delegating security policy management authority to managed accounts | |
| CN113196724A (zh) | 用于应用预启动的系统和方法 | |
| US10911299B2 (en) | Multiuser device staging | |
| JP7076641B2 (ja) | Saasアプリケーションのためのプッシュ配信通知サービスのためのシステムおよび方法 | |
| EP3356978B1 (en) | Applying rights management policies to protected files | |
| JP2019514090A (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| US20100031352A1 (en) | System and Method for Enforcing Licenses During Push Install of Software to Target Computers in a Networked Computer Environment | |
| KR20120033820A (ko) | 서버 및 그 서비스 제공 방법 | |
| AU2022201363A1 (en) | A System and Method for Implementing a Private Computer Network | |
| US11874916B2 (en) | User device authentication gateway module | |
| US11743124B2 (en) | Deploying data-loss-prevention policies to user devices | |
| JP2022513596A (ja) | ライブsaasオブジェクトのためのシステムおよび方法 | |
| US11328096B2 (en) | Data bundle generation and deployment | |
| JP6994607B1 (ja) | Saasアプリケーションのためのインテリセンスのためのシステムおよび方法 | |
| US10447818B2 (en) | Methods, remote access systems, client computing devices, and server devices for use in remote access systems | |
| WO2014079489A1 (en) | Methods and systems for managing access to a location indicated by a link in a remote access system | |
| US11411813B2 (en) | Single user device staging | |
| US10284554B2 (en) | Systems for providing device-specific access to an e-mail server | |
| KR20120033943A (ko) | 사용자 단말 장치 및 그 서비스 제공 방법 | |
| Westfall et al. | Basic Linux Administration via GUI (Webmin) | |
| Copeland et al. | Identity Management with Azure Active Directory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: California, USA Patentee after: Weirui LLC Country or region after: U.S.A. Address before: California, USA Patentee before: VMWARE, Inc. Country or region before: U.S.A. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240912 Address after: California, USA Patentee after: Omnisa LLC Country or region after: U.S.A. Address before: California, USA Patentee before: Weirui LLC Country or region before: U.S.A. |