CN114175577A - 敏感信息的信息屏障 - Google Patents

敏感信息的信息屏障 Download PDF

Info

Publication number
CN114175577A
CN114175577A CN202080038364.2A CN202080038364A CN114175577A CN 114175577 A CN114175577 A CN 114175577A CN 202080038364 A CN202080038364 A CN 202080038364A CN 114175577 A CN114175577 A CN 114175577A
Authority
CN
China
Prior art keywords
data
account
sensitive information
message
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080038364.2A
Other languages
English (en)
Inventor
陈京华
A·G·皮莱
J·V·K·德瓦·萨哈亚姆·埃鲁尔·拉吉
D·拉朱
A·K·赛尔瓦纳亚加姆
K·K·帕塔萨拉蒂
S·查瓦立
D·S-L·桑托斯
V·吉雷本尼克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN114175577A publication Critical patent/CN114175577A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

公开了以被传送的信息的类型为条件的信息屏障的实施例。由所公开的实施例提供的信息屏障策略基于通信的内容的特性来选择性地允许账户或分组之间的通信。例如,营销部门与工程部门之间的通信可能以不包括任何敏感信息的通信为条件。关于通信是否包括敏感信息的确定被进一步设计为即使在场外或云环境中、维护大量数据部分的环境中也能提供良好的性能,在这些环境中,与搜索大型数据存储相关联的延迟可能令人望而却步。

Description

敏感信息的信息屏障
相关申请的交叉引用
本申请要求于2019年5月30日提交的题为“Data Protection in CloudEnvironments(云环境中的数据保护)”的美国临时申请第62/854,868号的优先权。本申请还要求于2019年5月30日提交的题为“Information Barriers Using Database Filters(使用数据库过滤器的信息障碍)”的美国临时申请第62/854,839号的优先权。这两个在先申请的内容被认为是本申请的部分,并且通过引用整体并入本文。
背景技术
随着诸如电子邮件、聊天、短信和基于web的共享等现代通信应用的出现,组织的成员彼此通信的能力已经大大增强。虽然这种交流在某些情况下可以提高组织的生产力,但信息共享能力的提高也带来了其相关风险。例如,机密信息有时会不恰当地与不必然了解保护信息所需要的注意事项的组织成员共享。然后该信息可能会以损害组织的方式被公开。类似地,一个组织(例如,销售)从另一组织(工程)获取的知识可能会以整个组织不期望并且对整个组织没有益处的方式改变该组织的行为。例如,如果销售组织得知即将推出的新产品,销售团队可能会因为期待新产品而不再强调现有产品,从而导致销售额下降。
数据保护产品降低了企业敏感数据在不适当情况下被传输到企业外部的风险。第一代数据保护服务通过将截获的网络传输与本地数据存储进行比较来标识敏感信息的传输。然后基于例如执行传输的账户和截获的数据的性质及其敏感程度对数据应用适当策略。随着企业将其数据迁移到云环境,鉴于企业数据的某些重要部分仅存在于基于云的数据存储中,因此将截获的数据与本地数据存储进行本地比较变得不那么有效。
附图说明
在不必然按比例绘制的附图中,相同的数字可以在不同的视图中描述相似的组件。具有不同字母后缀的相同数字可以代表相似组件的不同实例。附图通过示例而非限制的方式总体示出了本文档中讨论的各种实施例。
图1A是网络系统的概况,其至少部分由所公开的实施例中的一个或多个实施例实现。
图1B是网络系统的概况,其至少部分由所公开的实施例中的一个或多个实施例实现。
图1C是网络系统的概况,其至少部分由所公开的实施例中的一个或多个实施例实现。
图1D是示出信息屏障的示例实现的概况图。
图1E是示出信息屏障的示例实现的概况图。
图2A是示出图1B和1C的网络系统中所包括的组件的简化视图的框图。
图2B是示出由所公开的实施例中的一个或多个实施例实现的模块和通信流的一个组织的框图。
图2C示出了与(多个)通信服务器通信的两个客户端模块。
图3示出了在所公开的实施例中的一个或多个实施例中实现的索引数据存储的示例。
图4示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面
图5示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。
图6示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。
图7示出了由所公开的实施例中的一个或多个实施例中实现的示例用户界面。
图8示出了在所公开的实施例中的一个或多个实施例中实现的示例数据结构。
图9是用于管理企业环境内的敏感信息的示例方法的流程图。
图10是用于对从安全环境接收的数据的部分执行精确数据匹配的示例方法的流程图。
图11是用于管理新数据的受限访问直到新数据被上传到数据匹配系统的示例方法的流程图。
图12是用于基于对数据的访问是否受到限制来提供对所述数据的有条件访问的示例方法的流程图。
图13A示出了在实现所公开的实施例中的一个或多个实施例的设备之间交换的示例消息部分。
图13B是由所公开的实施例中的一些实施例实现的消息部分的示例。
图14A示出了由所公开的实施例中的一个或多个实施例实现的示例消息部分。
图14B是在所公开的实施例中的一个或多个实施例中实现的示例消息部分。
图15示出了在所公开的实施例中的一个或多个实施例中实现的示例数据结构。
图16示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。
图17示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。
图18示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。
图19是生成数据结构以支持信息屏障(IB)的方法的流程图。
图20是实施IB的方法的流程图。
图21是针对IB信息查询的响应方法的流程图
图22是针对IB信息查询的响应方法的流程图。
图23是应用关于敏感信息的IB策略的示例方法的流程图。
图24示出了本文中讨论的技术(例如,方法)中的任何一个或多个技术可以在其上执行的示例机器的框图。
具体实施方式
下面的描述和附图充分说明了特定实施例以使得本领域技术人员能够实践它们。其他实施例可以合并有结构、逻辑、电气、过程和其他变化。一些实施例的部分和特征被包括在其他实施例的部分和特征中或者替代它们。权利要求中阐述的实施例涵盖这些权利要求的所有可用等效物。
所公开的实施例提供信息屏障策略,该信息屏障策略管理以通信的性质为条件的两个账户或账户分组之间的通信。过去的信息屏障策略为信息屏障提供了“全有或全无”方法,其中允许或禁止账户和/或账户分组之间的通信。这提出了技术问题,因为不可能为两个账户或账户分组之间的通信管理提供灵活的方法。例如,在以前的解决方案中,为了防止账户或账户分组之间的某些类型的通信流,这些解决方案需要关闭所有通信。
所公开的实施例通过提供更细微的方法来解决该技术问题。所提出的技术解决方案允许账户或账户分组之间的特定类型的通信被允许,而其他类型的通信被禁止。这种联系类型可以是指通信中所包括的内容的特定分类。例如,在一些实施例中,禁止敏感信息(例如,第一类型)在两个个体或分组之间的传送,而允许非敏感信息(例如,第二类型)的传送。一些实施例提供被正在传送的信息的多个分类。例如,一些实施例将信息分类为敏感的(例如,第一类型)、机密的(例如,第二类型)、公开的(例如,第三类型)、财务相关的(例如,第四类型)、产品相关的(例如,第五类型)、或其他分类。所公开的实施例然后提供关于允许在账户或账户分组之间传送哪些类型的信息的选择性配置。
所公开的实施例中的一些实施例解决了与基于云的数据保护相关的附加技术问题。这些实施例提供了上述选择性通信,同时还改进了云环境中的数据保护。在一些方面,数据保护包括两个部分,第一部分是本地部分,第二部分是远程或基于云的部分。本地部分分析旨在在安全企业环境(例如,企业内部网)外部分发的网络数据。针对一个或多个试探法分析网络数据来检测敏感信息的指示。例如,一个试探法可以检测以可能是信用卡信息的方式所布置的数字。另一试探法可以检测与由企业维护的一个或多个数据库中所包括的模式相似的模式。由于企业数据的某些部分被维护在基于云的实现中,因此本地解决方案精确标识数据源可能不切实际。一旦经由本地扫描检测到网络数据中敏感信息的指示,包括该指示的网络数据的部分被发送到数据匹配服务(DMS)。以下对DMS的引用是指在计算机(诸如,计算设备)上运行的软件服务,或者是指软件服务和运行该软件服务的计算机两者。DMS可以访问更全面的企业数据集,该企业数据集可以包括主要位于基于云的实现中的数据,并且因此不是综合形式的本地数据。
在一些其他实施例中,试探法分析和精确数据匹配两者都是在场外(offpremise)执行的。在这些实施例中,试探法分析仍然在安全环境内执行,其中安全环境从本地环境延伸以包括试探法分析的位置。例如,安全环境的场外部分可以包括由企业使用的基于云的电子邮件解决方案。在这些实施例中,存储在基于云的电子邮件应用内的数据被认为仍然在安全环境内。
在接收到网络数据的部分时,DMS系统将该部分与更全面的企业数据集进行比较,并且利用关于是否标识出与该部分匹配的企业数据的指示来响应于本地组件。如果进行了标识,DMS进一步指示该部分是否包括企业认为敏感的信息。然后,本地组件选择性地允许将网络数据传输到外部。如果网络数据是敏感的,则安全的企业环境会阻止上述传输。
所公开的实施例中的一些实施例进一步考虑了最近在本地创建的数据。在一些实施例中,这样的数据被上传到场外DMS以在适当时提供该数据的标识。取决于实现,创建本地数据的时间与其到场外DMS环境的传输完成之间存在延迟。在该延迟时段期间,场外DMS环境没有新数据的副本,并且因此无法在请求时将新数据标识为敏感企业数据。因此,如果尝试将新数据传输到场外,在该延迟时段期间,EMDS环境将无法将数据标识为企业数据。为了避免这种脆弱性,所公开的实施例中的一些实施例可以最初限定新创建的本地数据以限制从场外传输。在新数据成功传输到DMS环境之前,该限制可以一直存在。
除了提供更灵活和文档特定的信息屏障方法以及云环境中的改进的数据保护之外,所公开的实施例中的一些实施例还提供段和信息屏障策略的静态配置。在静态配置期间,不评估限定段的查询,而是针对稍后执行而限定查询。
在配置段和信息屏障策略之后,执行查询以使用由相应查询选择的账户填充段。然后基于填充的段和信息屏障策略来限定针对每个账户的允许和排除账户列表。一旦允许和/或排除账户列表被填充,所公开的实施例然后可以以高效方式确定两个账户之间信息屏障的存在或不存在。
通过在将信息屏障策略应用于第一账户与第二账户之间的特定通信之前,通过填充针对每个账户的允许和排除账户列表,与查询是响应于特定通信而动态执行时相比,执行可以依赖于允许和/或排除列表来提供更高效的执行。
图1A是网络系统100A的概况,网络系统100A的至少部分由所公开的实施例中的一个或多个实施例实现。图1A示出了用户终端172A和用户终端172B。登录到用户终端172A中的第一账户可以访问数据存储104C。当生成要被发送到登录到用户终端172B的第二账户的消息时或要被发送到登录到外部设备172C的第三目的地账户的消息时,第一账户和用户终端172A访问数据存储104C。图1A的网络系统100A包括向用户终端172A至用户终端172B提供通信服务的应用服务器176。例如,在一些实施例中,应用服务器176运行电子邮件系统。在一个示例中,用户终端172A在用户终端172A上本地构造通信(诸如,电子邮件消息),并且然后将通信发送到应用服务器176用于进行进一步处理,这可以包括将通信转发到目的地账户,诸如登录到用户终端172B的第二账户或登录到外部设备172C的第三账户。
图1A示出了存在控制用户终端172A与用户终端172B之间的通信的信息屏障策略。信息屏障策略由屏障174A、174B和174C共同表示。在图1A的示例中,信息屏障策略指示可以在登录到用户终端172A和用户终端172B的账户之间传送一些数据,但是不能在这些账户之间传送敏感信息。如下面进一步讨论的,网络系统100A经由应用服务器176、过滤器107C、信息屏障控制器179和数据匹配分类器108C来实现这样的信息屏障策略。
用户终端172A构造通信并且将消息传输到应用服务器176。应用服务器176被配置为确定将被应用于登录到用户终端172A的第一账户与登录用户终端172B的第二账号之间的通信的信息屏障策略。为了确定信息屏障策略,应用服务器176被配置为与过滤器107C通信,过滤器107C与信息屏障控制器179进行接口。信息屏障控制器179基于信息策略数据存储178来确定要被应用于登录到用户终端172A的第一账户与登录到用户终端172B的第二账户之间的通信的适当策略。
如果策略指示不能在第一账户与第二账户之间传递敏感信息,但是可以传送非敏感信息,则过滤器和/或应用服务器176然后通知数据匹配分类器108C。数据匹配分类器108C对由第一账户发送到第二账户的消息运行一个或多个试探法(例如,正则表达式或机器学习模型)。如果试探法指示通信具有敏感信息的指示,则确定包括敏感信息的通信的概率高于零。但是,试探法通常也不能确定敏感信息的概率为100%。因此,至少在一些实施例中,执行附加处理以确定实际上通信是否具有100%的概率包括敏感信息。
因此,如果数据匹配分类器108C指示敏感信息,则指示敏感信息的通信的部分被提供给数据匹配服务114C。数据匹配服务将该部分与数据存储125C进行比较以确定是否存在匹配。如果该部分匹配数据存储125C中所包括的敏感信息,则数据匹配服务114C将匹配的指示提供回过滤器107C,过滤器107C对通信采取适当动作。该适当动作可以包括阻止、允许或匿名化通信的部分以从消息中消除敏感信息。
图1B是网络系统的概况,该网络系统的至少部分由所公开的实施例中的一个或多个实施例实现。网络系统100B包括企业103A以及诸如应用服务器116A等远程的基于云的IT资源。企业103A包括用户终端102A。用户终端102A可以访问企业数据,包括存储在数据存储104A中的敏感数据。如上所述,所公开的实施例提供对离开企业103A的数据的监测和控制。
用户终端102A向(多个)远程应用服务器116A发送网络数据105A。(多个)远程应用服务器116A包括过滤器107A,过滤器107A拦截发送到(多个)远程应用服务器116A的网络数据105A。用户终端102A可以针对多种原因而向(多个)远程应用服务器116A发送数据。例如,在一些实施例中,网络数据105A是电子邮件消息的至少部分,并且(多个)远程应用服务器116A可以实现电子邮件应用服务。网络数据105A可以备选地表示被上传到促进在多个用户之间共享数据的网站或远程存储的文档(例如,SharepointTM、BoxTM等)。在这些实施例中,网络数据105A被包括在一些实施例中的HTTP Post类型消息中。
一旦网络数据105A已经被传递到(多个)应用服务器116A,它就有被暴露在安全环境141A外部的风险。例如,在(多个)应用服务器116A实现电子邮件应用的情况下,用户终端102A可以尝试将网络数据105A作为电子邮件消息的部分发送到外部设备117A。在(多个)应用服务器116A实现具有共享能力的网站的情况下,一旦网络数据105A经由网站公开可用,它就有被外部设备117A查看的风险。
为了确定网络数据105A是否包括由企业103A认为敏感的数据,过滤器107A将网络数据105A传输到数据匹配分类器(DMC)108A。DMC 108A与策略数据存储110A咨询以对网络数据105A执行一个或多个筛选方法。
一个或多个筛选方法中的每个筛选方法标识网络数据105A是否具有敏感信息的一个或多个指示。筛选方法可以对网络数据执行各种分析,以确定网络数据是否包括敏感信息的指示。在一些实施例中,由DMC 108A运行的筛选方法可以对网络数据采用正则表达式评估和/或关键字匹配中的一个或多个。在一些实施例中,限定要在网络数据中所标识的正则表达式和/或关键字的信息由DMC 108A从配置信息中获取。在某些方面,正则表达式和/或关键字是特定于策略的。在一些实施例中,该策略基于一天中的时间、用户标识符、分组标识符或其他参数中的一个或多个。在一些实施例中,要应用于网络数据105A的策略是从策略数据存储110A中获取的。在一些实施例中,策略数据存储110A中所包括的策略信息是经由管理控制台113A来配置的。
所公开的实施例可以将网络数据分段成部分,并且确定每个个体部分是否包括敏感数据的指示。因此,例如,如果网络数据105A表示单个电子文档,则该文档在一些实施例中被分段成多个部分,并且DMC 108A可以确定多个部分中的每个部分是否包括敏感信息的指示。虽然筛选方法不能肯定地确定网络数据是否包括敏感信息,但是它们提供了敏感信息被包括在网络数据105A中的风险的指示。
在一些实施例中,网络数据105A的分段是使用多种技术来执行的,这些技术可以因实施例而不同。在一些实施例中,根据一些实施例中的特定段的大小来执行分段。例如,在这些实施例中,除了网络数据的最后一段之外,每个段在一些实施例中具有相等大小。其他实施例可以基于网络数据本身的上下文知识来分段数据。例如,如果网络数据表示电子文档,则一些实施例可以按照与电子文档的边界一致的方式对网络数据进行分段,诸如沿着页面边界、段落边界、电子表格单元、行或列边界、或者根据由网络数据编码的特定电子文档而变化的其他上下文边界。
如果网络数据105A的部分被确定为存在暴露敏感信息的风险,则DMC 108A将该部分经由诸如互联网的网络发送到DMS 114A。DMS 114A将所接收的部分与EDM搜索数据存储125A中的数据进行比较。
EDM搜索数据存储125A经由来自位于企业103A内的数据存储104A的数据流126A被填充。在一些实施例中,从数据存储104A到EDM搜索数据存储125A的数据在一些实施例中由数据上传系统130A来提供。例如,数据上传系统130A可以在将数据上传到企业数据存储140A之前将数据存储104A中的数据散列或加密。导入过程145A可以在填充EDM搜索数据存储125A之前进一步处理数据。在一些实施例中,将数据从企业数据存储140A导入到EDM搜索数据存储125A的导入过程145A由配置信息来控制,该配置信息被包括在精确数据匹配配置数据存储142A中,在一些实施例中,精确数据匹配配置数据存储142A经由显示在管理控制台113A上的用户界面来配置。
除了经由如上所述的一个或多个筛选方法分析网络数据105A之外,在一些实施例中,DMC 108A还被配置为确定网络数据105A是否正在等待上传到EDM搜索数据存储125A。例如,DMC 108A可以检查新数据队列132A以确定网络数据105A的上传是否未决。在这些实施例中,在企业103A内创建的新数据被添加到数据存储104A并且也在新数据队列132A中被指示。在一些实施例中,从数据存储104A到EDM搜索数据存储125A的上传是由数据上传系统130A通过新数据队列132A中的数据来驱动。在一些实施例中,数据上传系统130A周期性地或至少以离散间隔操作,该离散间隔在新数据最初创建的时间与该数据已经成功传输到EDM搜索数据存储125A的时间之间引入一些延迟。在该延迟期间,除非如本文所述采取补救措施,否则该新数据容易被用户终端102A暴露。
因此,DMC 108A可以检查新数据队列132A以确定网络数据105A是否已经被上传并且因此可以被DMS 114A成功检测,或者DMC 108A是否应当确保新数据不被用户终端102A暴露。为了确定新数据是否被限制由用户终端102A暴露,DMC 108A可以检查针对数据存储104A中包括的数据的指示符。例如,数据存储104A可以指示网络数据105A的特定部分是否被限制由用户终端102A暴露。如果网络数据105A被限制,则DMC 108A可以在不咨询DMS114A的情况下阻止网络数据105A在安全环境外部的传输。这种能力在下面至少关于图11至图12更详细地讨论。
图1C是网络系统的概况,该网络系统的至少部分由所公开的实施例中的一个或多个实施例实现。网络系统100C包括企业103B(本地)以及诸如应用服务器116B的远程、基于云的IT资源。企业103B(本地)包括用户终端102B。用户终端102B可以访问企业数据,包括存储在数据存储104B中的敏感数据。如上所述,所公开的实施例提供对离开企业103B的数据的监测和控制。
用户终端包括通信应用106。通信应用106可以包括过滤器107B。过滤器107B监测由通信应用106访问的数据。通信应用106可以尝试将数据发送到企业103B外部的设备,诸如外部设备117B。出于各种原因,通信应用106可以尝试将数据发送到外部设备117B。例如,在一些实施例中,数据是电子邮件消息的至少部分,并且在一些实施例中,外部设备117B是用于接收电子邮件的设备。数据可以备选地被表示正在上传到促进在多个用户之间共享数据的网站或远程存储的文档(例如,SharepointTM、BoxTM等)。在这些实施例中,数据被包括在HTTP Post类型的消息中。
在通信应用106向企业103B外部发送数据之前,数据被与通信应用106集成的过滤器107B拦截。过滤器107B将网络数据105B传输到数据匹配分类器(DMC)108B。DMC与策略数据存储110B咨询以对网络数据105B执行一个或多个筛选方法。
一个或多个筛选方法中的每个筛选方法标识网络数据105B是否具有敏感信息的一个或多个指示。筛选方法可以对网络数据执行各种分析,以确定网络数据是否包括敏感信息的指示。在一些实施例中,由DMC 108B运行的筛选方法可以对网络数据采用正则表达式评估和/或关键字匹配中的一个或多个。在一些实施例中,限定要在网络数据中所标识的正则表达式和/或关键字的信息由DMC 108B从配置信息中获取。在某些方面,正则表达式和/或关键字是特定于策略的。在一些实施例中,该策略基于一天的时间、用户标识符、分组标识符或其他参数中的一个或多个。在一些实施例中,要应用于网络数据105B的策略是从策略数据存储110B中获取的。在一些实施例中,策略数据存储110B中所包括的策略信息是经由管理控制台113B来被配置的。
所公开的实施例可以将网络数据分段成部分,并且确定每个个体部分是否包括敏感数据的指示。因此,例如,如果网络数据105B表示单个电子文档,则该文档在一些实施例中被分段成多个部分,并且DMC 108B可以确定多个部分中的每个部分是否包括敏感信息的指示。虽然筛选方法不能肯定地确定网络数据是否包括敏感信息,但是它们提供了敏感信息被包括在网络数据105B中的风险的指示。
网络数据的分段是使用多种技术来执行的,这些技术可以因实施例而不同。在一些实施例中,根据一些实施例中的特定段的大小来执行分段。例如,在这些实施例中,除了网络数据的最后一段之外,每个段在一些实施例中具有相等大小。其他实施例可以基于网络数据本身的上下文知识来分段数据。例如,如果网络数据表示电子文档,则一些实施例可以按照与电子文档的边界一致的方式对网络数据进行分段,诸如沿着页面边界、段落边界、电子表格单元、行或列边界、或者根据由网络数据编码的特定电子文档而变化的其他上下文边界。
如果网络数据105B的部分被确定为存在暴露敏感信息的风险,则DMC 108B将该部分经由诸如互联网的网络发送到DMS 114B。DMS 114B将所接收的部分与EDM搜索数据存储125B中的数据进行比较。
EDM搜索数据存储125B经由来自位于企业103B内的数据存储104B的数据流126B被填充。在一些实施例中,从数据存储104B到EDM搜索数据存储125B的数据在一些实施例中由数据上传系统130B提供。例如,数据上传系统130B可以在将数据上传到企业数据存储140B之前,将数据存储104B中的数据散列或加密。导入过程145B可以在填充EDM搜索数据存储125B之前进一步处理数据。在一些实施例中,将数据从企业数据存储140B导入到EDM搜索数据存储125B的导入过程145B由配置信息来控制,配置信息被包括精确数据匹配配置数据存储142B中,在一些实施例中,精确数据匹配配置数据存储142B经由显示在管理控制台113B上的用户界面来配置。
除了经由如上所述的一个或多个筛选方法来分析网络数据105B之外,在一些实施例中,DMC 108B还被配置为确定网络数据105B是否正在等待上传到EDM搜索数据存储125B。例如,DMC 108B可以检查新数据队列132B,以确定网络数据105B的上传是否未决。在这些实施例中,在企业103B内创建的新数据被添加到数据存储104并且也在新数据队列132B中被指示。在一些实施例中,从数据存储104B到EDM搜索数据存储125B的上传由数据上传系统130B通过新数据队列132B中的数据来驱动。在一些实施例中,数据上传系统130B周期性地或至少以离散间隔操作,该离散间隔在新数据最初创建的时间与该数据已经成功传输到EDM搜索数据存储125B的时间之间引入一些延迟。在该延迟期间,除非如本文所述采取补救措施,否则该新数据容易被用户终端102B暴露。
因此,DMC 108B可以检查新数据队列132B以确定网络数据105B是否已经被上传并且因此可以被DMS 114B成功检测,或者DMC 108B是否应当确保新数据不被用户终端102B暴露。为了确定新数据是否被限制由用户终端102B暴露,DMC 108B可以检查针对数据存储104B中包括的数据的指示符。例如,数据存储104B可以指示数据存储104B的特定部分是否被限制由用户终端102B暴露。如果网络数据105B被限制,则DMC 108B可以在不咨询DMS114B的情况下阻止网络数据105B在安全环境外部的传输。这种能力在下面至少关于图11至图12被更详细地讨论。
图1D是示出信息屏障的示例实现100D的概况图。图1D示出了三个用户终端162A至162C。三个用户终端被第一信息屏障160包围。第一信息屏障160防止用户终端与第一信息屏障160外部的设备通信。因此,用户终端162A与用户终端162B和/或162C中的一个或多个用户终端通信,而不受第一信息屏障160的干扰。类似地,用户终端162B在来自第一信息屏障160的干扰内与用户终端162A和/或162C中的一个或多个用户终端通信。用户终端162C与用户终端162A和/或162C中的任何一个用户终端通信,而不受第一信息屏障160的干扰。
图1D还示出了三个其他用户终端162D至162F。三个用户终端162D-F几乎完全被第二信息屏障164包围。第二信息屏障164允许三个用户终端162D至162F彼此通信,但通常阻止其他设备与三个用户终端162D至162F中的任何用户终端通信。类似地,第二信息屏障164防止三个用户终端162D至162F发起与除了三个用户终端162D至162F之外的其他设备的通信。
还示出了第三信息屏障174。第三信息屏障174提供三个用户终端162A至162C与用户终端162E之间的通信。因此,经由第三信息屏障174,用户终端162E可以与用户终端162A至162C中的任何用户终端通信,反之亦然。因此,虽然第一信息屏障160和第二信息屏障164通常阻止两分组用户终端162A至162C与第二信息屏障162D至第162F之间的通信,但是第三信息屏障174通过允许用户终端162E与用户终端162A至162C中的任何一个或多个用户终端之间的通信来提供这些屏障的例外。
图1E示出了信息屏障的第二示例实现100E。图1E示出了三分组用户终端,第一分组用户终端包括用户终端162A、用户终端162B和用户终端162C,第二分组设备包括设备162D、用户终端162E和用户终端162F,第三分组用户终端包括用户终端162G、用户终端162H和用户终端162I,前三分组用户终端中的每分组用户终端分别由信息屏障160A、信息屏障160B或信息屏障160C保护。第四信息屏障160D提供用户终端162C、162E和162I之间的通信。用户终端162C、162E和162I中的每个用户终端在单独的信息屏障160A至160C内,但是仍可以经由第四信息屏障160D进行通信。
所公开的实施例提供了图示的信息屏障。信息屏障限定两分组设备或用户终端如何彼此通信。两分组之间的信息屏障可以完全阻止这些设备之间的通信,或者可以限定可以被允许的选择性通信,前提是这些通信满足某个标准。因为信息屏障可能重叠,所以所公开的实施例中的一些实施例提供了最少限制性或最多限制性选项的配置。例如,如果配置了最少限制性选项,则设备之间的任何一个通信路径都允许这样的通信。如果配置了最多限制性选项,则阻止两个设备之间通信的任何信息屏障都足以阻止这些设备之间的通信,而不管可以促进这样的通信的其他信息屏障。某些方面可以提供信息屏障的优先级排序,使得较高优先级的屏障优先于具有较低优先级的其他屏障。
图2A是示出图1B的网络系统100B和/或图1C的网络系统100C中所包括的组件的简化视图的框图。图2A示出了过滤器模块202、DMC模块204、DMS模块206和管理用户界面模块208。过滤器模块202、DMC模块204、DMS模块206和管理用户界面模块208中的每个模块可以限定或包括用于硬件处理电路系统的指令,该指令将硬件处理电路系统配置为执行下面所讨论的并且归因于过滤器模块202、DMC模块204、DMS模块206和/或管理用户界面模块208中的每个模块的一个或多个功能。例如,过滤器模块202可以在上面分别关于图1B和1C讨论的过滤器107A或107B内执行。在一些方面,DMC模块204可以在如上面关于图1B或图1C讨论的DMC 108A或108B上执行。在一些方面,DMS模块206可以在DMS 114A或114B上执行。在一些方面,管理用户界面模块208可以在管理控制台113A和/或113B上执行。
与上面的图1B至图1C的讨论一致,图2A示出了从过滤器模块202被传输到DMC模块204的网络数据210。DMC模块204可以对网络数据210执行一个或多个筛选方法以确定网络数据210是否包括敏感信息的指示。在一些实施例中,如果筛选方法指示网络数据210中包括敏感信息,则DMC模块204将包括该指示的网络数据210的部分216发送到DMS模块206。DMS模块206执行与EDM搜索数据存储125A或125B的精确数据匹配搜索,以确定该部分是否包括组织的敏感信息。在一些实施例中,精确数据匹配搜索确定该部分是否由EDM搜索数据存储125A或125B的部分精确表示。换而言之,精确数据匹配搜索确定由DMS模块206接收的该部分的副本是否被包括在EDM搜索数据存储125A或125B中。在一些其他方面,精确数据匹配搜索可以确定该部分与EDM搜索数据存储125A或125B的部分之间的相似性得分。如果相似性得分满足标准,则标识出匹配。
如上所述,在一些方面,EDM搜索数据存储125A或125B包括散列的或加密的企业数据,并且因此在一些方面,DMS模块206可以在执行比较之前将部分216散列或加密。
在对部分216执行精确数据匹配比较之后,DMS模块206向DMC模块204发送响应218。响应218可以指示DMS模块206是否发现部分216与EDM搜索数据存储125A或125B中所包括的数据之间的精确数据匹配。如果标识出匹配,则响应218可以进一步指示EDM搜索数据存储125A或125B中的匹配数据的敏感度级别。
在从DMS模块206接收到响应218时,DMC模块204然后向过滤器模块202指示网络数据210是被允许传出受管理企业(例如,103)还是被阻止传输。该指示经由响应消息212被提供给过滤器模块202。
管理用户界面模块208包括用于实现一个或多个管理用户界面的指令,该管理用户界面提供策略信息(例如,存储在策略数据存储110中)和/或筛选信息的配置。
图2B是示出由所公开的实施例中的一个或多个实现的模块和通信流的一种组织220的框图。图2B示出了两个客户端模块222A和222B。客户端模块222A和222B中的每个客户端模块与IB服务224通信。IB服务224从IB数据存储226中读取数据。IB数据存储226存储限定由客户端模块222A至222B实施的信息屏障的配置信息。在一些实施例中,IB数据存储226中的配置信息经由管理UI模块228来建立。
客户端模块222A和222B中的每个客户端模块针对相应的第一计算机账户和第二计算机账户提供网络应用服务。例如,在一些实施例中,客户端模块222A和/或222B与即时消息应用、电子邮件应用、或针对计算机账户提供通信服务的其他通信应用集成。客户端模块222A和/或222B中的每个客户端模块与IB服务224进行接口以确定第一账户和第二账户中的每个账户可以与哪些其他账户通信。客户端模块222A在用户终端102A上执行,如上面关于图1D和1E所示的示例信息屏障实施例进行了讨论的。IB服务224可以从客户端模块222A接收第一请求240A,并且从客户端模块222B接收第二请求240B。每个请求标识相应计算机账户。第一请求240A和第二请求240B中的每个请求还指示针对相应客户端模块可以与其通信的其他账户的列表的请求。IB服务224然后可以咨询IB数据存储226以标识其他账户,并且经由消息将该信息提供给请求客户端模块,对于客户端模块222A和222B分别示出为消息242A和242B。在一些实施例中,信息屏障数据由管理UI模块228写入IB数据存储226。
从IB服务224接收的信息由客户端模块222A和222B中的每个客户端模块使用,以控制与其他客户端模块的通信。如图所示,客户端模块222A和222B中的每个客户端模块可以基于从IB服务224接收的信息来管理通信流242A至242B。例如,如果IB服务224指示由客户端模块222A管理的账户能够与由客户端模块222B管理的第二账户通信,则客户端模块222A至222B中的每个客户端模块可以彼此通信。否则,两个客户端模块222A至222B之间的通信基于从IB服务224接收的信息屏障信息被阻止。
图2C示出了与一个或多个通信服务器254通信的客户端模块252A和客户端模块252B的视图250。(多个)通信服务器254与信息屏障服务256通信。类似于上面关于图2B讨论的通信流,(多个)服务器254经由请求消息260从IB服务器256请求针对特定账户的信息屏障信息。在咨询IB数据存储258之后,IB服务器256经由响应消息262向(多个)服务器254提供信息以指示特定账户可以与哪些账户通信。在一些实施例中,IB数据存储258由管理UI模块265初始化或填充。
图3示出了在所公开的实施例中的一个或多个实施例中实现的索引数据存储的示例。如图3所示,散列或加密的企业数据经由数据流126A或数据流126B被接收并且被插入到EDM搜索数据存储125A或125B中。EDM搜索数据存储125A或125B包括多个数据存储条目,其中两个样本条目302A至302B被标识以保持图形清晰。每个条目包括散列数据310和敏感度指示符312。
图3还示出了针对EDM搜索数据存储125A或125B而生成的索引320。在一些方面,索引320由DMS模块206生成,如上面关于图2A讨论的。索引320包括诸如分别标识EDM搜索数据存储125A或125B或125C内的条目302A和302B的第一条目322A和第二条目322B的条目。精确数据匹配(EDM)查询324在搜索网络数据的部分(诸如,上面关于图2A讨论的部分216)时可以咨询索引320。注意,因为在图3的所示实施例中,EDM搜索数据存储125A或125B中所包括的数据被散列或加密,EDM查询324将提交加密的数据,该数据由索引320索引。
图4示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。在一些实施例中,图4所示的用户界面400由上面关于图2A讨论的管理用户界面模块208中包括的指令来实现。用户界面400提供用于应用特定策略的位置的限定。例如,用户界面400包括可选择控件402A、可选择控件402B和可选择控件402C,它们分别提供启用用于电子邮件、共享网站和共享存储设备的策略。对于每个位置,用户界面400提供要经由列404包括在策略中的分组或用户的配置,和要经由列406从策略中排除的分组或用户的配置。
图5示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。在一些方面,用户界面500由如上面关于图2A所讨论的管理用户界面模块208中包括的指令来实现。用户界面500提供经由UI部分502对被认为是敏感的数据的配置。UI部分502限定由DMS 114发现为敏感的数据,如上面关于图1讨论的。如图5所示,用户界面500显示如504所指示的关于信用卡信息的精确匹配将使包括匹配信用卡信息的数据的部分被认为是敏感的。UI部分502还提供实例计数506和匹配准确度508的配置。在一些实施例中,针对实例计数506和匹配准确度508中的每个的最小值和最大值经由用户界面部分502来配置。用户界面部分502还提供经由控件510对被应用条件的特定分组的配置。附加条件经由控件512被包括在策略中。
图6示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。在一些方面,用户界面600通过如上面关于图2A讨论的管理用户界面模块208中包括的指令来实现。图6的用户界面600提供用于选择策略操作模式的控件。如图所示,用户界面600提供经由控件602A立即开启的策略、经由控件602B在测试模式中的策略、或经由控件602C保持关闭的策略。
图7示出了由所公开的实施例中的一个或多个实施例实现的示例用户界面。在一些方面,用户界面700由如上面关于图2A讨论的管理用户界面模块208中包括的指令来实现。在一些方面,用户界面700被显示在上面关于图1A至1E讨论的任何用户终端上。在一些实施例中,当DMC 108A或108B确定用户终端已经尝试发送被视为敏感的数据时,用户界面700被显示。
图8示出了在所公开的实施例中的一个或多个实施例中实现的示例数据结构。而图8的数据结构在下面讨论为关系数据库表,但是技术人员会理解,在各种实施例中,下面讨论的数据结构的字段可以使用各种数据存储技术来实现,包括传统存储器结构,诸如链表、树、图或数组,或者可以使用非结构化数据存储来实现。图8示出了上面例如关于图1讨论的筛选数据存储112和策略数据存储110的示例实现。
筛选数据存储112包括标准表800。标准表包括标准标识符字段804和标准字段806。标准标识符804唯一地标识用于标识敏感数据的特定标准。在一些实施例中,标准标识符804与下面关于图8讨论的其他标准标识符交叉引用。标准字段806限定标准。在一些实施例中,字段806中存储的标准是经由上述用户界面500输入的。检测精确匹配数据的标准504是标准的一个示例,在一些实施例中,标准存储在标准表800中。在一些方面,筛选数据存储112在一些实施例中经由管理控制台113A或管理控制台113B来配置,如上面分别关于图1B和1C讨论的。
图8所示的策略数据存储110的实施例包括账户表810、分组表815、包括分组表820、排除分组表825、策略标准表830、包括账户表840和排除账户表850。账户表810包括账户标识符字段812和账户凭证字段813。账户标识符字段812唯一地标识特定(用户)账户。账户凭证字段813限定针对账户的认证凭证(诸如,账户名和/或密码)。分组表815包括分组标识符字段816和账户标识符字段818。分组标识符字段816唯一地标识分组账户。账户标识符字段818指示由分组标识符816所限定的分组中包括的一个账户。包括分组表820包括策略标识符822和包括分组标识符字段824。策略标识符字段822唯一地标识特定策略,在一些实施例中,该特定策略与关于图8所讨论的其他策略标识符字段交叉引用。包括分组标识符字段824标识要包括在由策略标识符字段822所标识的策略内的分组。排除分组表825包括策略标识符826和排除分组标识符字段828。策略标识符字段826唯一地标识特定策略,在一些实施例中,该特定策略与关于图8讨论的其他策略标识符字段交叉引用。排除分组标识符字段828标识要在由策略标识符字段826所标识的策略内被排除的分组。
策略标准表830包括策略标识符字段832和标准标识符字段834。策略标准表830限定用于确定数据是否敏感的策略(经由策略标识符字段832标识的)中包括的标准。包括账户表840限定被应用策略的账户并且包括策略标识符字段842和账户标识符844。由策略标识符字段842标识的策略被应用于由账户标识符字段844标识的账户。排除账户表850包括策略标识符字段852和排除账户标识符字段854。由策略标识符字段852标识的策略未被应用于由排除账户标识符字段854标识的账户。
图8还示出了如上面关于至少图1B讨论的数据存储104A的至少部分的实施例。图8所示的实施例包括数据表860和数据内容表870。数据表860包括数据标识符字段862和受限指示字段864。数据标识符字段862唯一地标识数据存储104A内的特定数据。在一些实施例中,数据标识符字段862可以标识文件、数据库、数据库表或其他数据结构。受限指示字段864指示由数据标识符字段862标识的数据是否受到限制。如上所述,并且关于下面的图11所述的,在创建数据之后,在一些配置中,它可以是默认的,使得在数据已经被上传到EDM搜索数据存储125A或125B之前不允许访客账户访问数据。一旦上传完成,本文中所描述的精确数据匹配方法能够检测与数据相关联的任何敏感度,并且然后对数据的访问可以通过例如下面关于图9讨论的过程900来提供。
数据内容表870包括数据标识符字段872和内容字段874。数据标识符字段872可以唯一地标识由所公开的实施例操纵和访问的数据集。数据标识符字段872可以标识例如电子文档、关系数据库中的行、或由所公开的实施例管理的任何其他数据集。内容字段874包括限定数据本身的数据。因此,如果数据标识符字段872标识电子表格文件或文档,则内容字段874包括电子表格本身的数据。内容字段874还可以限定与文件或文档相关联的元数据。
图9是用于管理企业环境内的敏感信息的示例方法的流程图。在一些方面,下面讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,在一些方面,存储器2404和/或2406中的指令2424将下面的图24的硬件处理器2402配置为执行下面关于图9讨论的功能中的一个或多个功能。在一些方面,下面关于图9讨论的功能中的一个或多个功能由上面关于图2A讨论的DMC模块204来执行。
在开始操作905之后,过程900移动到操作910。在操作910中,在安全环境内接收消息。在一些方面,从用户终端102A或102B接收消息。在一些方面,从诸如(多个)应用服务器116A、代理服务器、网络高速缓存、交换机、路由器或其他设备的网络设备接收消息。该消息在安全环境中接收。例如,在一些方面,该消息在企业103A或103B内接收。在一些方面,该消息在企业103A或103B的网络基础设施内的“DMZ”(也称为外围网络或屏蔽子网)内接收。
所接收的消息被寻址到安全环境外部的设备。例如,该消息可以包括标识安全环境外部的设备的目的地主机名或目的地互联网协议(IP)地址。例如,该消息可以标识外部设备117A或117B,如上面关于图1B至1C所讨论的。
在操作910中所接收的消息包括数据。例如,在一些实施例中,该数据被包括在电子文档中,诸如文字处理文档、文本数据、电子表格、演示文件、数据存储或其他数据。
在操作920中,确定数据的部分是否指示安全风险。如上面关于图1B和图1C讨论的,操作920可以对数据应用正则表达式或关键字匹配过程。在一些方面,操作920可以采用卡普(Rabin-Karp)方法、克努斯-莫里斯-普拉特(Knuth-Morris-Pratt)方法、博耶-摩尔(Boyer-Moore)字符串搜索方法或其他方法中的一个或多个方法来标识关于该部分包括敏感数据的一个或多个指示符。例如,某些方面可以试图标识该部分中的个人可标识信息或信用卡信息。在一些方面,企业内的敏感数据可以包括符合特定模式的一些数据。作为一个示例,数据存储记录(诸如,关系数据存储表)可以在组织内具有独特签名。
与操作920相关联的功能基于例如上面关于图8讨论的筛选数据存储112而变化,以搜索指示敏感信息风险的定制数据模式。在一些实施例中,这些定制模式通过经由管理控制台113A所呈现的配置界面来配置。注意,在一些实施例中,对在操作910中接收的消息中包括的数据的多个部分执行操作920。
决策操作925评估操作920是否确定该部分表示敏感数据的风险。如果在该部分中不存在敏感数据的风险,则过程900从决策操作925移动到操作943,在操作943中,该部分被允许传输。注意,在某些情况下,数据可以包括内聚数据集,诸如电子文档或数据存储中的数据,并且该部分可以表示少于整个电子文档或数据存储。因此,允许文档或数据存储的部分不必然会使该部分在企业外部被传输。相反,过程900可以确定作为整体是允许还是阻止诸如特定消息中所包括的所有数据或电子文档或数据存储中所包括的数据的内聚数据集的所有部分。
如果决策操作925确定该部分确实存在暴露敏感数据的风险,则过程900移动到操作930。在操作930中,将该部分传送到(DMS)。在一些实施例中,操作930的传输是请求DMS搜索与该部分匹配的数据的数据存储(例如,125A或125B)。在一些实施例中,精确数据匹配服务在物理上位于安全环境外部。因此,该部分的传输暴露该部分,该部分可以包括敏感信息。因此,在一些方面,该部分在被传输到EDM服务之前被加密。
在操作940中,接收来自EDM匹配服务的响应。响应指示该部分是否匹配数据存储(例如,125A或125B)内的数据。该响应还可以单独指示该部分是否包括敏感数据。因此,虽然操作920的确定提供该部分是否指示安全风险的指示,但它不必然确定该部分是否匹配组织(例如,企业103A或企业103B)内的已知敏感数据,诸如数据存储104A至104C中的一个数据存储中所包括的数据。
如果决策操作942确定该部分匹配EDM搜索数据存储125A或125B(和/或104)内的敏感数据,则过程900移动到操作945,操作945基于响应而阻止消息到设备的传输。在一些方面,操作945可以包括向防火墙、代理、高速缓存、或与DMC集成的其他网络设备发送状态信息,以指示网络设备应当阻止该消息。
如果决策操作942确定响应指示该部分与EDM搜索数据存储125A或125B(和/或104)中的数据不匹配并且不敏感,则过程900从决策操作942移动到操作943,操作943允许该部分。处理然后从操作943或操作945移动到结束操作975。
图10是用于对从安全环境接收的数据的部分执行精确数据匹配的示例方法的流程图。在一些方面,下面讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,在一些方面,存储器2404和/或2406中的指令2424将硬件处理器2402配置为执行下面关于图10讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程1000由上面关于图2A讨论的DMS模块206执行。
在开始操作1005之后,过程1000移动到操作1010。在操作1010中,接收指示数据的部分的消息,诸如电子文档或数据存储。在一些方面,该消息是从诸如DMC 108A或DMC 108B等DMC接收的,如上面关于图1B和1C讨论的。在一些实施例中,该消息是从DMC间接接收的,其中在DMC与执行过程1000的设备之间物理上至少有防火墙、高速缓存、代理、工作负载或其他网络组件。
在操作1020中,将该部分与存储在文档数据存储中的数据进行比较。例如,如上所述,过程1000可以尝试标识该部分的数据与存储在诸如EDM搜索数据存储125A或125B(和/或104)等数据存储中的数据之间的精确数据匹配。如上所述,在一些实施例中,EDM搜索数据存储125A或125B与存储在安全环境中的数据同步(例如,将EDM搜索数据存储125A或125B分别与数据存储104A或104B同步)。在一些方面,该部分当在操作1010中被接收到时被加密和/或散列。因此,在操作1020中执行的比较可以将散列的/加密的部分与EDM搜索数据存储(例如,125A或125B)中类似地散列/加密的部分进行比较。在一些方面,操作1020中的比较可以取决于针对数据存储的一个或多个索引,诸如上面关于图3讨论的索引320。
决策操作1030确定操作1020是否检测到该部分的精确匹配。如果不是,则过程1000从决策操作1030移动到操作1045,这表明该部分不敏感。
如果操作1020发现精确匹配,则过程1000从决策操作1030移动到决策操作1035,决策操作1035确定匹配部分是否敏感。在一些实施例中,该部分的敏感度在EDM搜索数据存储125A或125B中指示(例如,分别如图1B和1C的EDM搜索数据存储125A或125B的敏感度指示符312所示)。如果决策操作确定匹配部分不敏感,则过程1000从决策操作1035移动到操作1045。否则,过程1000从决策操作1035移动到操作1040,操作1040得出该部分是敏感的结论。在操作1050中,传输指示是否找到匹配和/或指示由决策操作1035确定的该部分的敏感度的响应。例如,如上面关于图2A讨论的,DMS模块206可以向DMC模块204发送指示部分的敏感度的响应218。过程1000然后移动到结束操作1060。
图11是用于管理新数据的受限访问直到新数据被上传到数据匹配系统的示例方法的流程图。在一些方面,下面讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,在一些方面,存储器2404和/或2406中的指令2424将硬件处理器2402配置为执行下面关于图11讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程1100由上面关于图2A讨论的DMC模块204执行。过程1100可以结合下面关于图12讨论的过程1200来操作。例如,过程1100描述了用于管理新创建的数据的受限设置的一个实施例。过程1200描述了一种基于受限设置来提供对新创建的数据的访问的实施例。
在开始操作1105之后,过程1100移动到创建新数据的操作1110。新数据是文件、数据表、数据库中的条目、或存储在非暂态介质上的任何其他数据中的任何数目。决策操作1115确定限制新数据是否是默认设置。换而言之,如上所述,显示在管理控制台113A上的管理用户界面可以提供网络系统100A至100E中的任何网络系统的配置,例如使得新创建的数据最初被设置为默认受限。当设置为受限时,例如网络系统100A至100E中的任何网路系统将不允许数据传递到企业103A或103B外部。如果数据默认受限,则过程1100从决策操作1115移动到操作1120。否则,处理从决策操作1115移动到操作1130。
在操作1120中,针对数据的受限指示符被设置以指示数据受限。例如,如上面关于数据表860讨论的,数据标识符字段862可以例如经由上面讨论的数据内容表870来标识新创建的数据。操作1120可以设置受限指示字段864以指示文件受限。
操作1125等待数据的上传完成。例如,如上面关于图1B和/或图1C讨论的,新数据被添加到新数据队列132A或132B。当数据在新数据队列132A或132B中等待时,在一些实施例中,它是受限的(例如,经由受限指示字段864)。在从新数据队列(和/或数据存储104A至104C中的任何数据存储)上传到EDM搜索数据存储125A或125B之后,如果尝试在企业103A或103B外部传输新数据,则DMS将能够检测到新数据的匹配项。
在上传完成之后,过程1100从操作1125移动到操作1130,操作1130设置指示符(例如,经由受限指示字段864)以指示在操作1110中所创建的新数据不再受限。过程1100然后移动到结束操作1135。
图12是用于基于对上述数据的访问是否受到限制来提供对数据的有条件访问的访问的示例方法的流程图。在一些方面,下面讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,在一些方面,存储器2404和/或2406中的指令2424将硬件处理器2402配置为执行下面关于图2讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程1200由上面关于图2A讨论的DMC模块204执行。过程1200可以结合下面关于图11所讨论的过程1100来操作。例如,过程1100描述了用于管理新创建的数据的受限设置的一个实施例。过程1200描述了基于受限设置来提供对新创建的数据的访问的实施例。
在开始操作1205之后,过程1200移动到操作1210。在操作1210中,接收访问数据的请求。例如,访问数据的请求由DMC 108A或108B接收。换而言之,用户终端102A或102B可以试图将数据发送到企业103A或103B外部,该数据被DMC 108A或108B拦截。
决策操作1215确定对数据的访问是否受到限制。在一些实施例中,决策操作1215可以搜索数据存储104以经由数据标识符字段862来标识数据。决策操作1215然后可以咨询受限指示字段864以确定数据是否受限。如果对数据的访问不受限制,则过程1200从决策操作1215移动到操作1230,操作1230允许对数据的访问。否则,过程1200从决策操作1215移动到决策操作1220,决策操作1220确定操作1210的访问请求是否由访客账户生成。
在一些方面,决策操作1220咨询以上讨论的访客账户指示符814以确定请求是否由访客账户生成。如果请求不是由访客账户生成,则过程1200从决策操作1220移动到操作1230。否则,过程1200从决策操作1220移动到决策操作1225,决策操作1225确定数据默认是否敏感。如果数据默认不敏感,则过程1200移动到操作1230,操作1230允许访问。否则,过程1200从决策操作1225移动到操作1235,操作1235拒绝对数据的访问。过程1200然后移动到结束操作1240。
图13A示出了在实现所公开的实施例中的一个或多个实施例的设备之间交换的示例消息部分。图13A示出了由图2C的客户端模块252A和/或客户端模块252B生成和/或传输的消息部分1300和/或上面关于图2C所讨论的IB服务256。
图13A示出了消息部分1300,消息部分1300包括消息标识符1302、源账户标识符1304和目的地账户标识符1306。消息标识符1302标识消息部分1300的类型。消息标识符1302可以存储指示消息部分1300的类型或格式的值。例如,存储在消息标识符1302中的值可以指示源账户id字段1304和/或目的地账户标识符字段1306的存在和大小。消息部分1300指示如下请求:请求确定由源账户id字段1304标识的第一账户是否可以基于(多个)信息屏障与由目的地账户标识符字段1306所标识的第二账户通信。
源账户标识符字段1304标识第一账户并且目的地账户标识符字段1306标识第二账户。
图13B是由所公开的实施例中的一些实施例实现的消息部分的示例。在一些方面,下面关于图13B讨论的消息部分1310由上面分别关于图2B和2C讨论的IB服务224和/或IB服务256生成和/或传输。
消息部分1310包括消息id字段1312和通信状态字段1314。在一些实施例中,响应于消息部分1300的接收,消息部分1310被传输。在一些方面,消息标识符字段1312存储指示消息部分1310的类型或格式的值,并且消息部分1310是对消息部分1300的响应。通信状态字段1314指示由源账户标识符字段1304所标识的第一账户与由目的地账户标识符字段1306所标识的第二账户之间的通信状态。例如,如果第一账户被允许与第二账户通信,则通信状态字段1314存储第一预定值,而如果第一账户不被允许与第二账户通信,则通信状态字段1314储存第二预定值。
图14A示出了由所公开的实施例中的一个或多个实施例实现的示例消息部分。在一些方面,下面关于图14讨论的消息部分1400由上面关于图2B讨论的客户端模块222A和/或222B和/或上面关于图2C讨论的(多个)通信服务器254生成和/或传输。
消息部分1400包括消息标识符1402和源账户标识符字段1404。消息标识符1402携带指示消息部分1400的格式或类型的值。例如,消息标识符1402的值可以指示消息部分1400、消息id字段1402和/或源账户标识符字段1404的存在和大小。消息部分1400指示标识账户的请求,由源账户标识符字段1404标识的账户可以与该账户通信。换言之,设备可能需要获取第一账户可以与其通信的账户列表。在一些实施例中,该列表用于在用户界面中显示账户列表,使得账户中的一个或多个账户被选择作为消息的目的地。在一些实施例中,该列表经由消息部分1400被请求。
图14B是在所公开的实施例中的一个或多个实施例中实现的示例消息部分。在一些方面,消息部分1410由上面分别关于图2B和2C讨论的IB服务224和/或IB服务256生成和传输。
图14B示出了包括消息标识符字段1412、通信状态字段1414和账户列表1416的消息部分1410。在一些实施例中,消息部分1400响应于消息部分1400而被发送,如上面关于14A讨论的。消息标识符1412标识消息部分1410的类型或格式。消息标识符1412被设置为标识消息部分1410的预定值。通信状态字段1414指示对消息部分1400的响应的状态。例如,通信状态字段1414可以经由第一预定值来指示由源账户标识符字段1404标识的账户是有效账户,而第二预定值指示源账户标识符字段1404指示无效账户标识符。账户列表1416标识了零个或多个账户,由源账户标识符字段1404标识的账户可以与该零个或多个账户通信。
图15示出了在所公开的实施例中的一个或多个实施例中实现的示例数据结构。虽然下面关于图15讨论的数据结构被描述为关系数据库表,但是技术人员会理解,所描述的数据可以使用各种数据结构来表示,包括非结构化数据存储、传统存储器结构,诸如链表、数组、队列、树或其他表示。在一些实施例中,下面讨论的数据结构被包括在上面分别关于图3和4讨论的IB数据存储226或IB数据存储258中。
图15示出了账户表1500、分组表1510、段表1520、地址簿策略表1530、信息屏障规则表1540和过滤器表1550。账户表1500包括账户标识符字段1502、账户凭证字段1504、地址簿策略标识符字段1505、段标识符字段1506、账户地址列表字段1507和一个或多个账户属性字段15081..n。在一些方面,账户表1500和/或分组表1510被包括在电子组织目录中,诸如实现目录服务的目录。在各种实施例中,目录服务是经由轻量级目录访问协议(LDAP)和/或微软活动目录TM技术提供的。
账户标识符字段1502唯一地标识账户。在一些实施例中,账户标识符字段1502与下面关于图15讨论的其他账户标识符字段和/或上面关于图13A至图14B讨论的其他账户标识符字段交叉引用。账户凭证字段1504可以存储由账户标识符字段1502标识的账户的一个或多个凭证。这可以包括例如账户的账户名称和/或密码。地址簿策略标识符字段1505标识要应用于由账户标识符1502标识的账户的地址簿策略。在一些实施例中,地址簿策略是Microsoft Active Directory地址簿策略。地址簿策略如下所述。段标识符字段1506标识账户被包括在其中的段。段在下面进一步描述。账户地址列表字段1507标识由账户标识符1502标识的账户所属的地址列表。例如,如果账户是“engineering”地址列表的部分,则“engineering”地址列表由字段1507标识。
账户属性15081..n存储账户的一个或多个属性的值。属性可以包括例如分配给账户的个体的头衔、账户的创建日期、账户的个体的家庭地理位置、或其他属性。
分组表1510包括账户标识符字段1512和分组标识符字段1514。账户标识符字段1512标识账户,而分组标识符字段1514标识账户(例如,1512)是其成员的分组。包括多个账户的分组可以出现在分组表1510的多个行中。
段表1520包括段标识符1522、段名称1524和过滤器标识符1526。段标识符1522唯一地标识段。段名称1524限定针对段的名称。在一些实施例中,段名称用于例如在用户界面中引用段。过滤器id 1526标识针对该段的过滤器。过滤器标识包括在段中或从段中排除的账户(例如,1522)。
地址簿策略表1530包括地址簿策略标识符字段1532、段标识符1533、信息屏障规则标识符字段1534、可访问地址列表标识符字段1536、不可访问地址列表标识符字段1538和过滤地址列表标识符字段1539。地址簿策略标识符字段1532唯一地标识地址簿策略并且在一些实施例中与地址簿策略标识符字段1505交叉引用。段标识符1533标识与经由1532所标识的特定地址簿策略相关联的段(例如,1520)。IB规则标识符字段1534标识要应用的IB规则。IB规则在信息屏障规则表1540中被限定,如下所述。可访问地址列表标识符字段1536标识零个或多个地址列表的访问列表,该地址列表标识可以与其通信的账户。不可访问地址列表标识符字段1538标识否定访问列表,该否定访问列表标识根据ADP策略不允许与其通信的账户。过滤地址列表标识符字段1539是过滤访问列表,该过滤访问列表标识地址列表,该地址列表标识与其的通信被ADP策略过滤的账户。例如,在一些实施例中,检查过滤地址列表上的账户的消息以确定该消息是否包括敏感信息。在一些实施例中,如果该消息中存在敏感信息,则该消息被策略阻止,否则该消息被允许。
信息屏障(IB)规则表1540包括IB规则标识符1542、IB规则名称字段1544、分配段标识符字段1546、段过滤字段1547、段阻止字段1548和段允许字段1549。IB规则标识符字段1542唯一地标识段,并且在一些实施例中与段标识符字段1522交叉引用。IB规则名称字段1544限定针对由策略标识符1542标识的IB规则的名称。IB规则名称字段1544可以存储用于在由所公开的实施例中的一个或多个实施例实现的一个或多个用户界面中指代IB规则的名称。分配段标识符字段1546标识被应用IB规则(由IB规则id 1542标识)的段。段过滤字段1547标识零个或多个段(例如,经由与段标识符1522交叉引用的零个或多个段标识符),该段的消息在确定是否允许与所标识的段(由分配段标识符字段1546标识)通信之前已经被过滤。
段阻止字段1548标识被阻止与由分配段标识符字段1546标识的段通信的零个或多个段(例如,经由与段标识符1522交叉引用的零个或多个段标识符)。段允许字段1549标识零个或多个段(经由与段标识符1522交叉引用的零个或多个段标识符),该段定义被阻止与由分配段标识符字段1546定义的账户通信的账户。注意,可以存在设备由段阻止字段1548和段允许字段1549两者标识。
过滤器表1550包括过滤器标识符字段1552和过滤器字段1554。过滤器标识符字段1552唯一地标识过滤器并且在一些实施例中与上面讨论的过滤器标识符字段1526交叉引用。过滤器字段1554存储过滤器。例如,过滤器字段1554可以存储标识账户表1500的一个或多个账户的查询。
地址列表表1560包括地址列表标识符1562和账户标识符1564。地址列表标识符1562唯一地标识地址列表。账户标识符1554标识地址列表中所包括的账户。
图16示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。图1600的示例用户界面被配置为列出针对给定租户或账户的信息屏障策略。如图16所示的示例将两个IB策略示出为1602A和1602B。
图17示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。图17的示例用户界面1700被配置为接收限定IB策略的输入。示例用户界面1700显示发送方分组过滤器名称1702、分组限定字段1704、接收方分组过滤器名称1706和分组限定1708。
图18示出了在所公开的实施例中的一个或多个实施例中实现的示例用户界面。图18的用户界面1800被配置为显示配置策略的租户范围应用的历史。策略应用的两个示例日志记录示出为1802A和1802B。
一些实施例可以提供用于初始化或设置上述数据结构中的值的命令行界面。例如,用于创建组织段的示例性的基于命令行的用户界面如下所示:
New-OrganizationSegment-Name″Sales″-UserGroupFilter″Department-eq′Sales″′
New-OrganizationSegment-Name″Research″-UserGroupFilter″Department-eq′Research″′
New-OrganizationSegment-Name″Engineering″-UserGroupFilter″Department-eq′Engineering″′
阻止从“sales”到“reserach”的通信的信息屏障策略的示例创建如下所示:
New-InformationBarrierPolicy-Name″Sales-Research″-AssignedSegment″Sales″-SegmentsBlocked″Research″-State Active
阻止从“research”到“sales”的通信的信息屏障策略的示例创建如下所示:
New-InformationBarrierPolicy-Name″Research-Sales″-AssignedSegment″Research″-SegmentsBlocked″Sales″-State Active
允许研究部门仅与工程通信的信息屏障策略的另一示例创建。注意,该策略不会对工程施加任何限制:
New-InformationBarrierPolicy-Name″Research-Engineering″-AssignedSegment″Research″-SegmentsAllowed″Engineering″-State Active
图19是生成数据结构以支持信息屏障的方法的流程图。在一些方面,下面关于图19和过程1900讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,下面讨论的存储器2404和/或2406中的指令2424可以将处理器2402配置为执行下面讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程1900由上面分别关于图2B和2C讨论的IB服务224或IB服务256执行。在一些方面,过程1900由上面关于图2B所讨论的客户端模块222A至222B中的任何客户端模块来执行。在一些方面,过程1900由上面关于图2C所讨论的(多个)通信服务器254执行。
如上所述,所公开的实施例可以生成用于提供两个账户之间的信息屏障的有效标识的数据结构。通过预先建立账户列表以限定哪些账户可以和不可以彼此通信,以一定配置为代价提高了运行时性能。配置很少被执行,而信息屏障策略的应用在大多数通信中执行,并且因此提供高效的运行时执行可能更为重要。
在开始框1905之后,过程1900移动到操作1910。在操作1910中,执行第一查询,第一查询基于第一账户的第一属性值来选择第一账户。例如,如上所述,在一些实施例中,通过选择具有一个或多个特定属性值(例如,15081..n)的账户的查询来限定段。
在操作1920中,基于第一查询来生成第一账户列表。作为上面所讨论的示例,在一些实施例中,基于查询来限定段。执行查询标识段中所包括的账户。如上面关于图15讨论的,基于查询或过滤器(例如,1526)来限定特定段(例如,1522)。执行或运行查询来标识段中所包括的账户。在上面的示例中,执行usergroupfilter“Department-eq‘sales’”可以查询针对“department”属性的值(例如,15081..n)。操作1920生成账户列表,该账户列表包括由查询所标识的账户。
在操作1930中,第二查询被执行,第二查询基于第二账户的第二属性值来选择第二账户。继续上面的示例,New-OrganizationSegment-Name"Research"-UserGroupFilter"Department-eq'Research'"限定具有部门属性值等于“Research”的账户的第二查询。相比之下,New-InformationBarrierPolicy-Name"Research-Engineering"-
在操作1940中,基于第二查询的结果来生成第二账户列表。第二账户列表包括从第二查询中所标识的账户。
在操作1950中,生成关于第二账户列表标识第一账户被允许与其通信的账户的指示。例如,如上所述,可以限定信息屏障策略。继续上面的示例“New-InformationBarrierPolicy-Name"Sales-Research"-AssignedSegment"Sales"-SegmentsBlocked"Research"”指示从“sales”段中所包括的账户到包括在“Research”段中所包括的账户的通信被阻止。AssignedSegment"Research"-SegmentsAllowed"Engineering"确定从“Research”段中所包括的账户到“engineering”中所包括的账户的通信被允许。如上面关于图15讨论的,在一个示例实施例中,在地址簿策略(例如,1532)中提供指示被包括和/或排除的账户(例如,1536和/或1538)的账户列表。在操作1950完成之后,过程1900移动到结束操作1960。
图20是实施信息屏障的方法的流程图。在一些方面,下面关于图20和过程2000讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,下面讨论的存储器2404和/或2406中的指令2424可以将处理器2402配置为执行下面讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程2000由上面分别关于图2B和2C讨论的IB服务224或IB服务256执行。在一些方面,过程2000由上面关于图2B讨论的客户端模块222A至222B中的任何客户端模块来执行。在一些方面,过程2000由上面关于图2C讨论的(多个)通信服务器254执行。
在开始操作2005之后,过程2000移动到操作2010,操作2010从第一账户接收去往第二账户的通信。在操作2020中,确定第二账户被包括在第一账户的允许账户列表中。例如,如上所述,在一些实施例中,一个或多个账户列表与账户相关联。如图15所示,该关联在某些方面是经由地址簿策略(例如,经由1536和/或1538),但是不必然是该情况。在一些方面,允许账户列表经由上述过程1900来生成。
在操作2030中,确定由于第二账户被包括在允许账户列表中,所以第一账户可以与第二账户通信。
在操作2040中,基于操作2030的确定将来自第一账户的通信转发到第二账户。在操作2040完成之后,过程2000移动到结束操作2050。
图21是针对信息屏障信息的查询的响应方法的流程图。在一些方面,下面关于图21和过程2100讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,下面讨论的存储器2404和/或2406中的指令2424可以将处理器2402配置为执行下面讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程2100由上面分别关于图2B和2C讨论的IB服务224或IB服务256执行。在一些方面,过程2100由上面关于图2B讨论的客户端模块252A和/或客户端模块252B中的任何客户端模块执行。在一些方面,过程2100由上面关于图2C讨论的(多个)通信服务器254执行。
在开始操作2105之后,过程2100移动到操作2110,操作2110接收针对第一账户与第二账户之间的通信状态的请求。如上所述,IB服务224和/或256可以实现提供两个账户之间的通信状态的休息接口。通信状态基于如上所述建立的信息屏障策略。该请求是例如从基于客户端的通信应用接收的,如上面关于图2B所述。备选地,该请求是从通信服务器接收的,诸如即时消息服务器,如上面在图2C的示例中所述。在一些方面,在操作2110中所接收的请求消息可以包括上面关于图13A讨论的字段中的一个或多个字段。
操作2120确定第二账户是否被包括在第一账户的允许账户列表(或排除账户列表)中。例如,如上所述,针对经由ADP策略ID 1532和1505(至少在一些实施例中)所标识的账户建立(例如,1536和/或1538)特定账户的一个或多个允许账户列表。
在操作2130中,基于该确定来提供对该请求的响应。例如,IB服务224和/或256可以在REST接口内响应以指示第一账户与第二账户之间的通信状态。客户端模块222A或客户端模块222B或在一个或多个通信服务器(例如,254)上运行的应用然后可以基于响应来允许或阻止从第一账户到第二账户的通信。在一些方面,提供响应包括:向发起操作2110的请求的设备传输包括响应的消息。在一些方面,在操作2130中提供的响应可以包括上面关于图13B讨论的字段中的一个或多个字段。在操作2130完成之后,过程2100移动到结束操作2150。
图22是对信息屏障信息的查询的响应方法的流程图。在一些方面,下面关于图22和过程2200讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,下面讨论的存储器2404和/或2406中的指令2424可以将处理器2402配置为执行下面讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程2200由上面分别关于图2B和2C讨论的IB服务224或IB服务256执行。在一些方面,过程2200由上面关于图2B讨论的客户端模块222A至222B中的任何客户端模块执行。在一些方面,过程2200由上面关于图2C讨论的(多个)通信服务器254执行。
在开始操作2205之后,过程2200移动到操作2210,操作2210接收针对第一账户的允许账户列表的请求。所接收的请求请求第一账户被允许与其通信的账户列表。在一些方面,账户列表被用于在用户界面中向第一账户指示这些账户的存在。
如上所述,IB服务224和/或256可以实现提供第一账户被允许与其通信的账户列表的休息接口。账户列表基于如上所述建立的信息屏障策略。该请求是例如从基于客户端的通信应用接收的,如上面关于图2B所述。备选地,该请求是从通信服务器被接收的,诸如即时消息服务器,如上面在图2C的示例中所述。在一些方面,在操作2210中接收的请求可以包括上面关于消息部分1400和图14A讨论的字段中的一个或多个字段。
操作2220确定针对第一账户的允许账户。例如,操作2220可以经由例如交叉引用与账户(例如,2205)相关联的地址簿策略标识符和地址簿策略数据存储(例如,2230)来经由地址簿策略来标识允许账户。一个或多个允许账户列表与地址簿策略(例如,2236)相关联。一个或多个禁止账户列表与地址簿策略(例如,2238)相关联。
在操作2230中,基于该确定来提供对该请求的响应。例如,IB服务224和/或256可以在REST接口内响应以指示针对第一账户的允许账户列表。客户端通信应用(例如,运行客户端模块222A或客户端模块222B)或通信服务器应用(例如,在(多个)通信服务器254上运行)然后可以在第一账户的用户界面中显示允许的账户列表。提供响应可以包括:生成响应和/或向发起操作2210的请求的设备传输响应。在各种方面,上面关于操作2230讨论的响应可以包括上面关于消息部分1410和图14B讨论的字段中的一个或多个字段。在操作2230完成之后,过程2200移动到结束操作2250。
图23是应用关于敏感信息的信息屏障策略的方法的流程图。在一些方面,下面关于图23和过程2300所讨论的功能中的一个或多个功能由硬件处理电路系统执行。例如,下面讨论的存储器2404和/或2406中的指令2424可以将处理器2402配置为执行下面讨论的功能中的一个或多个功能。在一些方面,下面讨论的过程2300由上面分别关于图2B和2C讨论的IB服务224或IB服务256执行。在一些方面,过程2300由上面关于图2B讨论的客户端模块222A至222B中的任何客户端模块执行。在一些方面,过程2300由上面关于图2C讨论的(多个)通信服务器254执行。
在操作2305中,接收第一消息。该消息指示第一源账户的源地址,并且被寻址到第一目的地账户。在至少一些实施例中,第一消息经由消息的“去往”字段被寻址到第一目的地账户。在一些实施例中,消息的“来自”字段指示第一源账户。第一消息包括第一数据。在一些实施例中,第一数据是第一消息的附件、第一消息的主体的至少部分或第一消息的另一部分。
在操作2310中,基于第一源账户和第一目的地账户来标识第一信息屏障策略。例如,如上面关于图15讨论的,一些实施例标识应用于特定账户(诸如,第一源账户)的策略。在一些实施例中,账户记录(例如,1500)标识要应用于该账户的策略(例如,经由ADP策略标识符字段1505)。在一些实施例中,该策略标识可访问账户(例如,经由字段1536)、不可访问账户(例如,经由1538)和过滤账户(例如,经由字段1539)。因此,在一些实施例中,标识第一信息屏障策略包括:标识第一目的地账户是否被包括在由字段1536、1538或1539标识的账户列表中的一个或多个账户列表中。
在操作2315中,确定第一源账户被禁止向第一目的地账户发送敏感信息。如上所述,在一些实施例中,操作2315包括标识第一目的地账户被包括在由字段1539标识的过滤地址列表中。其他实施例标识禁止经由备选技术向第一目的地账户发送敏感信息。例如,如果访问列表中不包括第一目的地账户,则第一源账户被禁止向第一目的地账户发送任何信息。在一些实施例中,访问列表是从地址簿策略中取回的。
在操作2320中,确定第一数据的至少部分包括敏感信息的指示。如上所述,一些实施例评估消息或消息的部分以确定该消息或该部分是否具有敏感信息的指示符。例如,一些实施例操作试探法以寻找敏感信息的指示。一些实施例评估关于消息部分(或整个消息)的一个或多个正则表达式以寻找敏感信息的指示。如上面例如关于图1B和/或图1C所述,在一些实施例中,采用DMC 108A或DMC 108B来检测敏感信息的指示。在一些实施例中,敏感信息的指示通常指示该消息或该部分包括敏感信息的概率。概率大于零,但是小于一。
因此,在一些实施例中,为了确定该部分或整个消息是否包括敏感信息,利用数据匹配服务,数据匹配服务对照已知敏感信息的数据库来检查该部分。一些实施例在将该部分发送到数据匹配服务之前加密或至少具有该部分。如果在该部分与由数据匹配服务使用的数据之间没有发现精确匹配,则一些实施例确定该消息不包括敏感信息。
在操作2325中,向数据匹配服务提供搜索请求。在一些实施例中,数据匹配服务物理上位于与执行操作2330的设备不同的设备上。在这种情况下,操作2330包括向数据匹配服务发送网络请求。在一些实施例中,向数据匹配服务提供搜索请求以在操作2320中所确定的敏感信息的指示为条件。在一些实施例中,提供搜索结果包括:向数据匹配服务传输指示搜索请求的网络消息。
在操作2330中,从数据匹配服务接收响应。该响应指示在由数据匹配服务(例如,EDM搜索数据存储125A或EDM搜索数据存储125B)用作基础的数据库中是否发现了该部分的精确匹配项。在一些实施例中,响应指示在该部分中不存在敏感信息。在其他实施例中,该响应指示该部分中确实包括敏感信息。
在操作2335中,对响应进行解码,以标识该部分确实包括敏感信息。换而言之,在一些实施例中,数据匹配服务在数据库中搜索与该部分匹配的数据。如果找到,则发送响应以指示这种情况。否则,响应指示未找到匹配项。在过程2300所描述的特定情况下,响应指示数据匹配服务发现匹配项。由于找到匹配项,操作2335确定该部分包括敏感信息。操作2335的其他实施例根据该响应来确定该部分中不存在敏感信息。
在操作2340中,基于响应来处理第一消息。特别地,如果响应指示第一消息不包括敏感信息,则一些实施例将第一消息传输到消息的目的地地址。如果响应指示第一消息包括敏感信息,则基于指示第一源账户被禁止向第一目的地账户传输敏感信息的信息屏障策略,一些实施例阻止或以其他方式抑制第一消息到第一目的地账户的发送。
在一些实施例中,如果响应指示第一消息包括敏感信息,则过程2300将第一消息匿名化。例如,在一些实施例中,响应具体指示该部分的哪个子部分是敏感信息。然后,在一些实施例中,过程2300将所标识的子部分匿名化。在这些实施例中,包括匿名化子部分的第一消息然后被发送到第一目的地账户。
过程2300的一些实施例包括:在安全环境内接收第二消息。第二消息以第一用户账户作为源账户,并且以第一目的地账户作为目的地账户。因此,第二消息被寻址到第一目的地账户。过程2300分析第二消息以标识敏感信息的任何可能指示。例如,如上所述,过程2300可以利用一个或多个试探法和/或正则表达式分析第二消息,以标识第二消息中包括的可能的敏感信息。如果发现敏感信息的指示,则过程2300调用数据匹配服务以确定敏感信息的指示是否标识实际敏感信息。备选地,敏感信息的指示可能是误报,这取决于第二消息的性质和/或所使用的试探法的准确性。如果指示为误报,则匹配服务将无法在其数据存储中定位匹配数据。来自数据匹配服务的第二响应将指示这种情况。
因此,基于第二响应,过程2300确定第二消息是否包括敏感信息。如果第二消息不包括敏感信息,则第二消息被传输或以其他方式被传送到第一目的地账户。注意,在这种情况下,第二消息的传送部分前提是经由信息屏障策略配置了第一源账户和第二目的地账户,使得从第一源账户到第一目的地账户的通信被禁止包括敏感信息,但在其他情况下这样的传送被允许。所公开的实施例考虑了第一源账户与第一目的地账户之间的其他信息策略。例如,备选策略可以指示这两个账户之间的通信不被允许,即使不存在敏感信息。另一备选策略可以允许通信,即使存在敏感信息。
在一些情况下,从第一源账户到第一目的地账户的第三消息不包括敏感信息的任何指示。例如,过程2300使用一个或多个试探法(诸如,正则表达式)评估第三消息,并且不标识敏感信息的任何指示。给定用于从第一源账户到第一目的地账户的通信的信息屏障策略,在这种情况下,过程2300将第三消息传送到第一目的地账户。
在一些实施例中,接收第四消息。第四消息来自第二源账户并且被寻址到(例如,经由“收件人”字段)到第二目的地账户。过程2300标识第二源账户与第二目的地账户之间的信息屏障策略,该信息屏障策略允许这两个账户之间的通信,即使包括敏感信息。例如,如果第二源账户是员工而第二目的地账户是员工的主管,则可以存在这样的策略。在这种情况下,在一些实施例中,过程2300不检查第四消息的敏感信息的指示。当信息屏障策略不基于消息是否包括敏感信息来选择如何处理消息时,这种对第四消息的评估的抑制导致至少处理器消耗的一些节省。此外,当信息屏障策略不以敏感信息为条件处理第四消息时,在处理(例如,转发到其目的地)第四消息之前,不需要与数据匹配服务的请求/响应通信。
过程2300的一些实施例基于第一源账户和/或第一目的地账户中的一个或多个的分组成员身份来确定第一信息屏障策略。例如,如上面关于图1D和/或1E讨论的,一些实施例可以包括允许或禁止组织的部门(例如,工程)与组织内的另一部门(例如,营销)通信的策略。如上所述,一些实施例维护个体账户(例如,第一源账户或第一目的地账户)与分组(例如,工程或营销)之间的映射。如上面关于图15讨论的,一个示例实施例维护分组表1510以存储这样的映射。
图24示出了本文中讨论的技术(例如,方法)中的任何一个或多个技术可以在其上执行的示例机器2400的框图。在备选实施例中,机器2400可以作为独立设备操作或者连接(例如,联网)到其他机器。在联网部署中,机器2400可以在服务器客户端网络环境中以服务器机器、客户端机器或这两者的能力操作。在一个示例中,机器2400可以在对等(P2P)(或其他分布式)网络环境中充当对等机器。机器2400是个人计算机(PC)、平板计算机、机顶盒(STB)、个人数字助理(PDA)、移动电话、智能电话、网络设备、网络路由器、交换机或网桥、服务器计算机、数据库、会议室设备、或能够执行指令(顺序或其他)的任何机器,该指令指定该机器要采取的动作。在各种实施例中,机器2400可以执行上面关于图1A至图23描述的过程中的一个或多个过程。此外,虽然仅示出了一个机器,但术语“机器”也应当被视为包括单独或联合执行一个指令(或多个指令集)以执行本文中讨论的方法中的任何一种或多种方法的机器的任何集合,诸如云计算、软件即服务(SaaS)、其他计算机集群配置。
如本文所述,示例可以包括逻辑或多个组件、模块或机制(在下文中均称为“模块”),或者可以对其进行操作。模块是能够执行指定操作的有形实体(例如,硬件),并且以某种方式配置或布置。在示例中,电路以特定方式布置(例如,在内部或相对于诸如其他电路等外部实体)作为模块。在示例中,一个或多个计算机系统(例如,独立的客户端或服务器计算机系统)或一个或多个硬件处理器的全部或部分由固件或软件(例如,指令、应用部分或应用)配置作为用于执行指定操作的模块。在示例中,软件可以驻留在非暂态计算机可读存储介质或其他机器可读介质上。在示例中,软件在由模块的底层硬件执行时使硬件执行指定操作。
因此,术语“模块”被理解为涵盖有形实体,该有形实体是物理构造、具体配置(例如,硬连线)或临时(例如,暂时)配置(例如,编程)为以指定方式操作或执行本文中描述的任何操作的部分或全部的实体。考虑其中临时配置模块的示例,不需要在任何时刻实例化每个模块。例如,在模块包括使用软件配置的通用硬件处理器的情况下,通用硬件处理器在不同时间被配置为相应不同模块。软件可以相应地将硬件处理器例如配置为在一个时刻构成特定模块并且在不同时刻构成不同模块。
机器(例如,计算机系统)2400可以包括硬件处理器2402(例如,中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核或其任何组合)、主存储器2404和静态存储器2406,其中一些或全部可以经由互连(例如,总线)2408彼此通信。机器2400还可以包括显示单元2410、字母数字输入设备2412(例如,键盘)和用户界面(UI)导航设备2414(例如,鼠标)。在示例中,显示单元2410、输入设备2412和UI导航设备2414是触摸屏显示器。机器2400可以附加地包括存储设备(例如,驱动单元)2416、信号生成设备2418(例如,扬声器)、网络接口设备2420和一个或多个传感器2421,诸如全球定位系统(GPS)传感器、指南针、加速度计或其他传感器。机器2400可以包括输出控制器2428,诸如串行(例如,通用串行总线(USB)、并行或其他有线或无线(例如,红外线(IR)、近场通信(NFC)等)连接),以通信或控制一个或多个外围设备(例如,打印机、读卡器等)。
存储设备2416可以包括机器可读介质2422,其上存储有体现本文中描述的技术或功能中的任何一个或多个或由其利用的一个或多个数据结构集或指令集2424(例如,软件)。指令2424在由机器2400执行期间还可以完全地或至少部分驻留在主存储器2404内、静态存储器2406内或硬件处理器2402内。在示例中,硬件处理器2402、主存储器2404、静态存储器2406或存储设备2416中的一个或任何组合可以构成机器可读介质。
虽然机器可读介质2422被示出为单个介质,但术语“机器可读介质”可以包括被配置为存储一个或多个指令2424的单个介质或多个介质(例如,集中式或分布式数据库、和/或相关联的高速缓存和服务器)。
术语“机器可读介质”可以包括能够存储、编码或携带由机器2400执行的指令并且使机器2400执行本公开的技术中的任何一个或多个技术的任何介质、或者能够存储、编码或携带由这样的指令使用或与这样的指令相关联的数据结构的任何介质。非限制性机器可读介质示例可以包括固态存储器以及光学和磁性介质。机器可读介质的具体示例可以包括:非易失性存储器,诸如半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))和闪存设备;磁盘,诸如内置硬盘和可移动磁盘;磁光盘;随机存取存储器(RAM);固态硬盘(SSD);以及CD-ROM和DVD-ROM磁盘。在一些示例中,机器可读介质可以包括非暂态机器可读介质。在一些示例中,机器可读介质可以包括不是暂态传播信号的机器可读介质。
指令2424可以进一步使用传输介质经由网络接口设备2420在通信网络2426上传输或接收。机器2400可以使用多种传输协议(例如,帧中继、网际协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等)中的任何传输协议与一个或多个机器通信。示例通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,互联网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络、和无线数据网络(例如,称为
Figure BDA0003370097520000441
的电气和电子工程师协会(IEEE)802.11标准系列、称为
Figure BDA0003370097520000442
的IEEE802.16标准系列),IEEE 802.15.4标准系列,长期演进(LTE)标准系列、通用移动电信系统(UMTS)标准系列、对等(P2P)网络等。在示例中,网络接口设备2420可以包括一个或多个物理插孔(例如,以太网、同轴或电话插孔)或一个或多个天线以连接到通信网络2426。在示例中,网络接口设备2420可以包括多个天线以使用单输入多输出(SIMO)、多输入多输出(MIMO)或多输入单输出(MISO)技术中的至少一个技术进行无线通信。在一些示例中,网络接口设备2420可以使用多用户MIMO技术进行无线通信。
如本文所述,示例可以包括逻辑或多个组件、模块或机制,或者可以对其进行操作。模块是能够执行指定操作的有形实体(例如,硬件),并且以某种方式配置或布置。在示例中,电路以特定方式布置(例如,在内部或相对于诸如其他电路等外部实体)作为模块。在示例中,一个或多个计算机系统(例如,独立的客户端或服务器计算机系统)或一个或多个硬件处理器的全部或部分由固件或软件(例如,指令、应用部分或应用)配置作为用于执行指定操作的模块。在示例中,软件可以驻留在机器可读介质上。在示例中,软件在由模块的底层硬件执行时使硬件执行指定操作。
示例1是一种非暂态计算机可读存储介质,包括在被执行时将硬件处理电路系统配置为执行操作的指令,操作包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第一消息,第一消息包括第一数据;基于第一源账户和第一目的地账户来标识第一信息屏障策略;基于第一信息屏障策略确定第一源账户被禁止向第一目的地账户发送敏感信息;确定第一数据的部分包括敏感信息的指示;基于敏感信息的指示和第一源账户被禁止向第一目的地账户发送敏感信息,向数据匹配服务设备传输部分;从数据匹配服务设备接收响应;基于响应来标识部分包括敏感信息;以及基于标识来处理第一消息。
在示例2中,示例1的主题可选地包括其中处理第一消息包括:基于标识来阻止第一消息到第一目的地账户的传输。
在示例3中,示例1至示例2中的任何一个或多个的主题可选地包括其中处理第一消息,处理第一消息包括:基于标识和第一信息屏障策略,将第一消息中的敏感信息匿名化;以及基于匿名化向第一目的地账户传输第一消息。
在示例4中,示例1至示例3中的任何一个或多个的主题可选地包括操作,该操作还包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第二消息,第二消息包括第二数据;确定第二数据的第二部分包括敏感信息的指示;基于敏感信息的指示和第一源账户被禁止向第一目的地账户发送敏感信息,向数据匹配服务设备传输第二部分;从数据匹配服务设备接收第二响应;基于第二响应来标识第二部分不包括敏感信息;以及基于第二部分不包括敏感信息,向第一目的地账户传输第二消息。
在示例5中,示例1至示例4中的任何一个或多个的主题可选地包括操作,该操作还包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第二消息,第二消息包括第二数据;确定第二数据中不存在敏感信息;基于不存在敏感信息,抑制第二数据到数据匹配服务设备的传输;以及基于不存在敏感信息,向第一目的地账户传输第二消息。
在示例6中,示例1至示例5中的任何一个或多个的主题可选地包括操作,该操作还包括:在安全环境内,接收来自第二源账户并且被寻址到第二目的地账户的第二消息,第二消息包括第二数据;基于第二源账户和第二目的地账户来标识第二信息屏障策略;基于第二信息屏障策略来确定第二源账户被允许向第一目的地账户发送敏感信息;基于第二源账户被允许向第二目的地账户发送敏感信息,抑制第二数据到数据匹配服务设备的传输;以及基于第二源账户被允许向第二目的地账户发送敏感信息,向第二目的地账户传输第二消息。
在示例7中,示例1至示例6中的任何一个或多个的主题可选地包括其中确定部分包括敏感信息的指示包括:评估关于部分的正则表达式,或者标识部分中的关键字。
在示例8中,示例1至示例7中的任何一个或多个的主题可选地包括其中数据匹配服务设备被配置为:将部分与数据存储中的第二数据进行比较,并且基于比较来确定部分包括敏感信息。
在示例9中,示例8的主题可选地包括其中数据匹配服务设备被配置为:如果一部分与第二数据精确匹配,则确定部分包括敏感信息。
在示例10中,示例1至示例9中的任何一个或多个的主题可选地包括操作还包括在向数据匹配服务设备传输部分之前散列或加密部分。
在示例11中,示例1至示例10中的任何一个或多个的主题可选地包括操作,该操作还包括:确定第一源账户的第一分组成员身份;确定第一目的地账户的第二分组成员身份,其中第一信息屏障策略基于第一分组成员身份和第二分组成员身份而被标识。
在示例12中,示例1至示例11中的任何一个或多个的主题可选地包括其中确定第一源账户被禁止向第一目的地账户发送敏感信息包括:确定第一目的地账户在第一源账户的访问列表上未被标识出。
在示例13中,示例12的主题可选地包括:其中访问列表是从地址簿策略中取回的。
在示例14中,示例13的主题可选地包括其中地址簿策略是微软活动目录地址簿策略。
示例15是一种系统,包括:硬件处理电路系统;一个或多个硬件存储器,存储在被执行时将硬件处理电路系统配置为执行操作的指令,操作包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第一消息,第一消息包括第一数据;基于第一源账户和第一目的地账户来标识第一信息屏障策略;基于第一信息屏障策略确定第一源账户被禁止向第一目的地账户发送敏感信息;确定第一数据的部分包括敏感信息的指示;基于敏感信息的指示和第一源账户被禁止向第一目的地账户发送敏感信息,向数据匹配服务设备传输部分;从数据匹配服务设备接收响应;基于响应来标识部分包括敏感信息;以及基于标识处理第一消息。
在示例16中,示例15的主题可选地包括其中处理第一消息包括:基于标识来阻止第一消息到第一目的地账户的传输。
在示例17中,示例15至示例16中的任何一个或多个的主题可选地包括其中处理第一消息,处理第一消息包括:基于标识和第一信息屏障策略,将第一消息中的敏感信息匿名化;以及基于匿名化,向第一目的地账户传输第一消息。
在示例18中,示例15至示例17中的任何一个或多个的主题可选地包括操作,该操作还包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第二消息,第二消息包括第二数据;确定第二数据的第二部分包括敏感信息的指示;基于敏感信息的指示和第一源账户被禁止向第一目的地账户发送敏感信息,向数据匹配服务设备传输第二部分;从数据匹配服务设备接收第二响应;基于第二响应来标识第二部分不包括敏感信息;以及基于第二部分不包括敏感信息,向第一目的地账户传输第二消息。
在示例19中,示例15至示例18中的任何一个或多个的主题可选地包括操作,该操作还包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第二消息,第二消息包括第二数据;确定第二数据中不存在敏感信息;基于不存在敏感信息,抑制第二数据到数据匹配服务设备的传输;以及基于不存在敏感信息,向第一目的地账户传输第二消息。
在示例20中,示例15至示例19中的任何一个或多个的主题可选地包括操作,该操作还包括:在安全环境内,接收来自第二源账户并且被寻址到第二目的地账户的第二消息,第二消息包括第二数据;基于第二源账户和第二目的地账户标识第二信息屏障策略;基于第二信息屏障策略确定第二源账户被允许向第一目的地账户发送敏感信息;基于第二源账户被允许向第二目的地账户发送敏感信息,抑制第二数据到数据匹配服务设备的传输;以及基于第二源账户被允许向第二目的地账户发送敏感信息,向第二目的地账户传输第二消息。
在示例21中,示例15至示例20中的任何一个或多个的主题可选地包括其中确定部分包括敏感信息的指示包括:评估关于部分的正则表达式,或者标识部分中的关键字。
在示例22中,示例15至示例21中的任何一个或多个的主题可选地包括其中数据匹配服务设备被配置为:将部分与数据存储中的第二数据进行比较,并且基于比较来确定部分包括敏感信息。
在示例23中,示例22的主题可选地包括其中数据匹配服务设备被配置为:如果部分与第二数据精确匹配,则确定部分包括敏感信息。
在示例24中,示例15至示例23中的任何一个或多个的主题可选地包括操作,该操作还包括:在向数据匹配服务设备传输部分之前将部分散列或加密。
在示例25中,示例15至示例24中的任何一个或多个的主题可选地包括操作,该操作还包括:确定第一源账户的第一分组成员身份;确定第一目的地账户的第二分组成员身份,其中第一信息屏障策略基于第一分组成员身份和第二分组成员身份而被标识。
在示例26中,示例15至示例25中的任何一个或多个的主题可选地包括其中确定第一源账户被禁止向第一目的地账户发送敏感信息包括:确定第一目的地账户在第一源账户的访问列表上未被标识出。
在示例27中,示例26的主题可选地包括其中访问列表是从地址簿策略中取回的。
在示例28中,示例27的主题可选地包括其中地址簿策略是微软活动目录地址簿策略。
示例29是一种方法,包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第一消息,第一消息包括第一数据;基于第一源账户和第一目的地账户来标识第一信息屏障策略;基于第一信息屏障策略来确定第一源账户被禁止向第一目的地账户发送敏感信息;确定第一数据的部分包括敏感信息的指示;基于敏感信息的指示和第一源账户被禁止向第一目的地账户发送敏感信息,向数据匹配服务设备传输部分;从数据匹配服务设备接收响应;基于响应来标识部分包括敏感信息;以及基于标识处理第一消息。
在示例30中,示例29的主题可选地包括其中处理第一消息,处理第一消息包括:基于标识来阻止第一消息到第一目的地账户的传输。
在示例31中,示例29-30中的任何一个或多个的主题可选地包括其中处理第一消息,处理第一消息包括:基于标识和第一信息屏障策略,将第一消息中的敏感信息匿名化;以及向第一目的地账户传输匿名化的敏感信息。
在示例32中,示例29至示例31中的任何一个或多个的主题可选地包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第二消息,第二消息包括第二数据;确定第二数据的第二部分包括敏感信息的指示;基于敏感信息的指示和第一源账户被禁止向第一目的地账户发送敏感信息,向数据匹配服务设备传输第二部分;从数据匹配服务设备接收第二响应;基于第二响应来标识第二部分不包括敏感信息;以及基于第二部分不包括敏感信息,向第一目的地账户传输第二消息。
在示例33中,示例29至示例32中的任何一个或多个的主题可选地包括:在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第二消息,第二消息包括第二数据;确定第二数据中不存在敏感信息;基于不存在敏感信息,抑制第二数据到数据匹配服务设备的传输;以及基于不存在敏感信息,向第一目的地账户传输第二消息。
在示例34中,示例29至示例33中的任何一个或多个的主题可选地包括:在安全环境内,接收来自第二源账户并且被寻址到第二目的地账户的第二消息,第二消息包括第二数据;基于第二源账户和第二目的地账户标识第二信息屏障策略;基于第二信息屏障策略来确定第二源账户被允许向第一目的地账户发送敏感信息;基于第二源账户被允许向第二目的地账户发送敏感信息,抑制第二数据到数据匹配服务设备的传输;以及基于第二源账户被允许向第二目的地账户发送敏感信息,向第二目的地账户传输第二消息。
在示例35中,示例29至示例34中的任何一个或多个的主题可选地包括其中确定部分包括敏感信息的指示包括:评估关于部分的正则表达式,或者标识部分中的关键字。
在示例36中,示例29至示例35中的任何一个或多个的主题可选地包括其中数据匹配服务设备被配置为:将部分与数据存储中的第二数据进行比较,并且基于比较来确定部分包括敏感信息。
在示例37中,示例36的主题可选地包括其中数据匹配服务设备被配置为:如果部分与第二数据精确匹配,则确定部分包括敏感信息。
在示例38中,示例29至示例37中的任何一个或多个的主题可选地包括:在向数据匹配服务设备传输部分之前,将部分散列或加密。
在示例39中,示例29至示例38中的任何一个或多个的主题可选地包括确定第一源账户的第一分组成员身份;确定第一目的地账户的第二分组成员身份,其中第一信息屏障策略基于第一分组成员身份和第二分组成员身份而被标识。
在示例40中,示例29至示例39中的任何一个或多个的主题可选地包括其中确定第一源账户被禁止向第一目的地账户发送敏感信息包括:确定第一目的地账户在第一源账户的访问列表上未被标识出。
在示例41中,示例40的主题可选地包括其中访问列表是从地址簿策略中取回的。
在示例42中,示例41的主题可选地包括其中地址簿策略是微软活动目录地址簿策略。
因此,术语“模块”被理解为涵盖有形实体,该有形实体是物理构造、具体配置(例如,硬连线)或临时(例如,暂时)配置(例如,编程)为以指定方式操作或执行本文中描述的任何操作的部分或全部的实体。考虑其中临时配置模块的示例,不需要在任何时刻实例化每个模块。例如,在模块包括使用软件配置的通用硬件处理器的情况下,通用硬件处理器在不同时间被配置为相应不同模块。软件可以相应地将硬件处理器例如配置为在一个时刻构成特定模块并且在不同时刻构成不同模块。
各种实施例完全或部分地以软件和/或固件实现。该软件和/或固件可以采用被包含在非暂态计算机可读存储介质中或上的指令的形式。这些指令然后可以由一个或多个处理器读取和执行以启用本文中所描述的操作的执行。指令是任何合适的形式,诸如但不限于源代码、编译代码、解释代码、可执行代码、静态代码、动态代码等。这样的计算机可读介质可以包括用于以由一个或多个计算机可读的形式存储信息的任何有形的非暂态介质,诸如但不限于只读存储器(ROM);随机存取存储器(RAM);磁盘存储介质;光存储介质;闪存;等等。

Claims (20)

1.一种非暂态计算机可读存储介质,包括指令,所述指令在被执行时将硬件处理电路配置为执行操作,所述操作包括:
在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第一消息,所述第一消息包括第一数据;
基于所述第一源账户和所述第一目的地账户来标识第一信息屏障策略;
基于所述第一信息屏障策略来确定所述第一源账户被禁止向所述第一目的地账户发送敏感信息;
确定所述第一数据的部分包括敏感信息的指示;
基于所述敏感信息的指示和所述第一源账户被禁止向所述第一目的地账户发送敏感信息,向数据匹配服务设备传输所述部分;
从所述数据匹配服务设备接收响应;
基于所述响应来标识所述部分包括敏感信息;以及
基于所述标识来处理所述第一消息。
2.根据权利要求1所述的非暂态计算机可读存储介质,其中处理所述第一消息包括:基于所述标识来阻止所述第一消息到所述第一目的地账户的传输。
3.根据权利要求1所述的非暂态计算机可读存储介质,其中处理所述第一消息包括:
基于所述标识和所述第一信息屏障策略,将所述第一消息中的所述敏感信息匿名化;以及
向所述第一目的地账户传输匿名化的所述敏感信息。
4.根据权利要求1所述的非暂态计算机可读存储介质,所述操作还包括:
在所述安全环境内,接收来自所述第一源账户并且被寻址到所述第一目的地账户的第二消息,所述第二消息包括第二数据;
确定所述第二数据的第二部分包括敏感信息的指示;
基于所述敏感信息的指示和所述第一源账户被禁止向所述第一目的地账户发送敏感信息,向所述数据匹配服务设备传输所述第二部分;
从所述数据匹配服务设备接收第二响应;
基于所述第二响应来标识所述第二部分不包括敏感信息;以及
基于所述第二部分不包括敏感信息,向所述第一目的地账户传输所述第二消息。
5.根据权利要求1所述的非暂态计算机可读存储介质,所述操作还包括:
在所述安全环境内,接收来自所述第一源账户并且被寻址到所述第一目的地账户的第二消息,所述第二消息包括第二数据;
确定所述第二数据中不存在敏感信息;
基于不存在敏感信息,抑制所述第二数据到所述数据匹配服务设备的传输;以及
基于不存在敏感信息,向所述第一目的地账户传输所述第二消息。
6.根据权利要求1所述的非暂态计算机可读存储介质,所述操作还包括:
在所述安全环境内,接收来自第二源账户并且被寻址到第二目的地账户的第二消息,所述第二消息包括第二数据;
基于所述第二源账户和所述第二目的地账户来标识第二信息屏障策略;
基于所述第二信息屏障策略来确定所述第二源账户被允许向所述第一目的地账户发送敏感信息;
基于所述第二源账户被允许向所述第二目的地账户发送敏感信息,抑制第二数据到所述数据匹配服务设备的传输;以及
基于所述第二源账户被允许向所述第二目的地账户发送敏感信息,向所述第二目的地账户传输所述第二消息。
7.根据权利要求1所述的非暂态计算机可读存储介质,其中确定所述部分包括所述敏感信息的指示包括:评估关于所述部分的正则表达式,或者标识所述部分中的关键字。
8.根据权利要求1所述的非暂态计算机可读存储介质,其中所述数据匹配服务设备被配置为:将所述部分与数据存储中的第二数据进行比较,并且基于所述比较来确定所述部分包括敏感信息。
9.根据权利要求8所述的非暂态计算机可读存储介质,其中所述数据匹配服务设备被配置为:如果所述部分与所述第二数据精确匹配,则确定所述部分包括敏感信息。
10.根据权利要求1所述的非暂态计算机可读存储介质,所述操作还包括:在向所述数据匹配服务设备传输所述部分之前,将所述部分散列或加密。
11.根据权利要求1所述的非暂态计算机可读存储介质,所述操作还包括:
确定所述第一源账户的第一分组成员身份;
确定所述第一目的地账户的第二分组成员身份,其中所述第一信息屏障策略基于所述第一分组成员身份和所述第二分组成员身份而被标识。
12.一种由硬件处理电路执行的方法,包括:
在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第一消息,所述第一消息包括第一数据;
基于所述第一源账户和所述第一目的地账户来标识第一信息屏障策略;
基于所述第一信息屏障策略来确定所述第一源账户被禁止向所述第一目的地账户发送敏感信息;
确定所述第一数据的部分包括敏感信息的指示;
基于所述敏感信息的指示和所述第一源账户被禁止向所述第一目的地账户发送敏感信息,向数据匹配服务设备传输所述部分;
从所述数据匹配服务设备接收响应;
基于所述响应来标识所述部分包括敏感信息;以及
基于所述标识来处理所述第一消息。
13.根据权利要求12所述的方法,还包括:
在所述安全环境内,接收来自所述第一源账户并且被寻址到所述第一目的地账户的第二消息,所述第二消息包括第二数据;
确定所述第二数据的第二部分包括敏感信息的指示;
基于所述敏感信息的指示和所述第一源账户被禁止向所述第一目的地账户发送敏感信息,向所述数据匹配服务设备传输所述第二部分;
从所述数据匹配服务设备接收第二响应;
基于所述第二响应来标识所述第二部分不包括敏感信息;以及
基于所述第二部分不包括敏感信息,向所述第一目的地账户传输所述第二消息。
14.根据权利要求12所述的方法,还包括:
在所述安全环境内,接收来自所述第一源账户并且被寻址到所述第一目的地账户的第二消息,所述第二消息包括第二数据;
确定所述第二数据中不存在敏感信息;
基于不存在敏感信息,抑制所述第二数据到所述数据匹配服务设备的传输;以及
基于不存在敏感信息,向所述第一目的地账户传输所述第二消息。
15.根据权利要求12所述的方法,还包括:
在所述安全环境内,接收来自第二源账户并且被寻址到第二目的地账户的第二消息,所述第二消息包括第二数据;
基于所述第二源账户和所述第二目的地账户来标识第二信息屏障策略;
基于所述第二信息屏障策略来确定所述第二源账户被允许向所述第一目的地账户发送敏感信息;
基于所述第二源账户被允许向所述第二目的地账户发送敏感信息,抑制第二数据到所述数据匹配服务设备的传输;以及
基于所述第二源账户被允许向所述第二目的地账户发送敏感信息,向所述第二目的地账户传输所述第二消息。
16.一种系统,包括:
硬件处理电路;
一个或多个硬件存储器,存储在被执行时使所述硬件处理电路执行操作的指令,所述操作包括:
在安全环境内,接收来自第一源账户并且被寻址到第一目的地账户的第一消息,所述第一消息包括第一数据;
基于所述第一源账户和所述第一目的地账户来标识第一信息屏障策略;
基于所述第一信息屏障策略来确定所述第一源账户被禁止向所述第一目的地账户发送敏感信息;
确定所述第一数据的部分包括敏感信息的指示;
基于所述敏感信息的指示和所述第一源账户被禁止向所述第一目的地账户发送敏感信息,向数据匹配服务设备传输所述部分;
从所述数据匹配服务设备接收响应;
基于所述响应来标识所述部分包括敏感信息;以及
基于所述标识来处理所述第一消息。
17.根据权利要求16所述的系统,其中确定所述部分包括所述敏感信息的指示包括:评估关于所述部分的正则表达式,或者标识所述部分中的关键字。
18.根据权利要求16所述的系统,其中所述数据匹配服务设备被配置为:将所述部分与数据存储中的第二数据进行比较,并且基于所述比较来确定所述部分包括敏感信息。
19.根据权利要求18所述的系统,其中所述数据匹配服务设备被配置为:如果所述部分与所述第二数据精确匹配,则确定所述部分包括敏感信息。
20.根据权利要求16所述的系统,所述操作还包括:
确定所述第一源账户的第一分组成员身份;
确定所述第一目的地账户的第二分组成员身份,其中所述第一信息屏障策略基于所述第一分组成员身份和所述第二分组成员身份而被标识。
CN202080038364.2A 2019-05-30 2020-05-15 敏感信息的信息屏障 Pending CN114175577A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201962854839P 2019-05-30 2019-05-30
US201962854868P 2019-05-30 2019-05-30
US62/854,868 2019-05-30
US62/854,839 2019-05-30
PCT/US2020/033267 WO2020242794A1 (en) 2019-05-30 2020-05-15 Information barriers for sensitive information

Publications (1)

Publication Number Publication Date
CN114175577A true CN114175577A (zh) 2022-03-11

Family

ID=70977587

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080038364.2A Pending CN114175577A (zh) 2019-05-30 2020-05-15 敏感信息的信息屏障

Country Status (4)

Country Link
US (1) US11341271B2 (zh)
EP (1) EP3963860A1 (zh)
CN (1) CN114175577A (zh)
WO (1) WO2020242794A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11196892B2 (en) 2019-05-30 2021-12-07 Microsoft Technology Licensing, Llc Use of client compute for document processing
WO2023043534A1 (en) * 2021-09-16 2023-03-23 Microsoft Technology Licensing, Llc. Moderated access to shared resources across segment boundaries in a segmented environment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101473625A (zh) * 2006-06-20 2009-07-01 阿尔卡特朗讯公司 安全域信息保护装置和方法
CN102833346A (zh) * 2012-09-06 2012-12-19 上海海事大学 基于存储元数据的云敏感数据安全保护系统及方法
US20170193249A1 (en) * 2016-01-05 2017-07-06 Nimrod Luria System and method for securing personal data elements
US20180293400A1 (en) * 2017-04-07 2018-10-11 International Business Machines Corporation System to prevent export of sensitive data

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030195811A1 (en) 2001-06-07 2003-10-16 Hayes Marc F. Customer messaging service
US7295556B2 (en) 2002-03-01 2007-11-13 Enterasys Networks, Inc. Location discovery in a data network
US7899867B1 (en) 2002-07-31 2011-03-01 FaceTime Communications, Inc, SpIM blocking and user approval techniques for real-time messaging networks
WO2006128273A1 (en) 2005-06-01 2006-12-07 Research In Motion Limited System and method for determining a security encoding to be applied to outgoing messages
US20070123287A1 (en) 2005-11-30 2007-05-31 Motorola, Inc. Method and apparatus for providing the status of a wireless communication device in a group network to other members in the group network
US9407662B2 (en) * 2005-12-29 2016-08-02 Nextlabs, Inc. Analyzing activity data of an information management system
AU2006235845A1 (en) 2006-10-13 2008-05-01 Titus Inc Method of and system for message classification of web email
US8068588B2 (en) 2007-06-26 2011-11-29 Microsoft Corporation Unified rules for voice and messaging
US7849213B1 (en) 2007-10-30 2010-12-07 Sendside Networks, Inc. Secure communication architecture, protocols, and methods
US7996373B1 (en) 2008-03-28 2011-08-09 Symantec Corporation Method and apparatus for detecting policy violations in a data repository having an arbitrary data schema
US20100186091A1 (en) 2008-05-13 2010-07-22 James Luke Turner Methods to dynamically establish overall national security or sensitivity classification for information contained in electronic documents; to provide control for electronic document/information access and cross domain document movement; to establish virtual security perimeters within or among computer networks for electronic documents/information; to enforce physical security perimeters for electronic documents between or among networks by means of a perimeter breach alert system
WO2010059747A2 (en) 2008-11-18 2010-05-27 Workshare Technology, Inc. Methods and systems for exact data match filtering
US20110055911A1 (en) 2009-08-28 2011-03-03 The Go Daddy Group, Inc. Business validation based social website account authentication
WO2011086787A1 (ja) 2010-01-13 2011-07-21 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US8667269B2 (en) 2010-04-02 2014-03-04 Suridx, Inc. Efficient, secure, cloud-based identity services
US9083557B2 (en) 2010-06-18 2015-07-14 International Business Machines Corporation User initiated rule-based restrictions on messaging applications
US8539597B2 (en) 2010-09-16 2013-09-17 International Business Machines Corporation Securing sensitive data for cloud computing
JP5517162B2 (ja) 2010-09-22 2014-06-11 インターナショナル・ビジネス・マシーンズ・コーポレーション 文書情報の機密ラベルを判定する方法、コンピュータ・プログラム、装置、及びシステム
US9197617B1 (en) 2010-12-15 2015-11-24 Amazon Technologies, Inc. Client device connectivity with integrated business rules
EP2695101B1 (en) 2011-04-04 2022-11-09 Nextlabs, Inc. Protecting information using policies and encryption
CN103765430A (zh) 2011-08-26 2014-04-30 惠普发展公司,有限责任合伙企业 数据泄漏防止系统和方法
US8990882B1 (en) 2011-12-30 2015-03-24 Symantec Corporation Pre-calculating and updating data loss prevention (DLP) policies prior to distribution of sensitive information
US9489657B2 (en) 2012-02-21 2016-11-08 Microsoft Technology Licensing, Llc Aggregation and visualization of multiple chat room information
US9251360B2 (en) 2012-04-27 2016-02-02 Intralinks, Inc. Computerized method and system for managing secure mobile device content viewing in a networked secure collaborative exchange environment
US9047463B2 (en) 2012-06-29 2015-06-02 Sri International Method and system for protecting data flow at a mobile device
US9237170B2 (en) 2012-07-19 2016-01-12 Box, Inc. Data loss prevention (DLP) methods and architectures by a cloud service
US20140032670A1 (en) 2012-07-30 2014-01-30 Google Inc. Access control in communication environments
US9166979B2 (en) 2012-10-01 2015-10-20 International Business Machines Corporation Protecting online meeting access using secure personal universal resource locators
US20140281519A1 (en) 2013-03-12 2014-09-18 Commvault Systems, Inc. Encrypted file backup
US8775815B2 (en) 2013-07-03 2014-07-08 Sky Socket, Llc Enterprise-specific functionality watermarking and management
US9177174B1 (en) 2014-02-06 2015-11-03 Google Inc. Systems and methods for protecting sensitive data in communications
US20150248384A1 (en) 2014-02-28 2015-09-03 Ricoh Company, Ltd. Document sharing and collaboration
US20150382197A1 (en) 2014-06-30 2015-12-31 Verizon Patent And Licensing Inc. Network-based restriction of sensitive communications
US9965627B2 (en) 2014-09-14 2018-05-08 Sophos Limited Labeling objects on an endpoint for encryption management
US9898619B1 (en) * 2014-10-22 2018-02-20 State Farm Mutual Automobile Insurance Company System and method for concealing sensitive data on a computing device
US9654510B1 (en) 2015-02-10 2017-05-16 Symantec Corporation Match signature recognition for detecting false positive incidents and improving post-incident remediation
US11423343B2 (en) 2015-03-25 2022-08-23 Kyndryl, Inc. Dynamic construction of cloud services
US9805204B1 (en) 2015-08-25 2017-10-31 Symantec Corporation Systems and methods for determining that files found on client devices comprise sensitive information
US20170359306A1 (en) 2016-06-10 2017-12-14 Sophos Limited Network security
US10462109B2 (en) * 2016-06-12 2019-10-29 Apple Inc. Secure transfer of a data object between user devices
US11595327B2 (en) 2016-10-14 2023-02-28 Salesforce, Inc. Method, apparatus, and computer program product for associating an identifier with one or more message communications within a group-based communication system
US10542006B2 (en) 2016-11-22 2020-01-21 Daniel Chien Network security based on redirection of questionable network access
US11631077B2 (en) * 2017-01-17 2023-04-18 HashLynx Inc. System for facilitating secure electronic communications between entities and processing resource transfers
US10721275B2 (en) 2017-01-23 2020-07-21 Fireeye, Inc. Automated enforcement of security policies in cloud and hybrid infrastructure environments
US9781581B1 (en) 2017-02-01 2017-10-03 Higher Ground Llc System and method for sending messages
US10397006B2 (en) * 2017-02-13 2019-08-27 Amazon Technologies, Inc. Network security with surrogate digital certificates
US10911233B2 (en) 2017-09-11 2021-02-02 Zscaler, Inc. Identification of related tokens in a byte stream using structured signature data
US10803204B2 (en) 2018-01-25 2020-10-13 Digital Guardian Llc Systems and methods for defining and securely sharing objects in preventing data breach or exfiltration
US11196892B2 (en) 2019-05-30 2021-12-07 Microsoft Technology Licensing, Llc Use of client compute for document processing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101473625A (zh) * 2006-06-20 2009-07-01 阿尔卡特朗讯公司 安全域信息保护装置和方法
CN102833346A (zh) * 2012-09-06 2012-12-19 上海海事大学 基于存储元数据的云敏感数据安全保护系统及方法
US20170193249A1 (en) * 2016-01-05 2017-07-06 Nimrod Luria System and method for securing personal data elements
US20180293400A1 (en) * 2017-04-07 2018-10-11 International Business Machines Corporation System to prevent export of sensitive data

Also Published As

Publication number Publication date
WO2020242794A1 (en) 2020-12-03
US11341271B2 (en) 2022-05-24
US20200380167A1 (en) 2020-12-03
EP3963860A1 (en) 2022-03-09

Similar Documents

Publication Publication Date Title
US11888864B2 (en) Security analytics mapping operation within a distributed security analytics environment
US8938775B1 (en) Dynamic data loss prevention in a multi-tenant environment
US10594730B1 (en) Policy tag management
US9948681B1 (en) Access control monitoring through policy management
CN109643358B (zh) 跨租户数据泄漏隔离
US10270781B2 (en) Techniques for data security in a multi-tenant environment
KR101699653B1 (ko) 민감 정보 누설 식별 및 방지
US11120154B2 (en) Large-scale authorization data collection and aggregation
AU2014209475B2 (en) Use of freeform metadata for access control
US20170085590A1 (en) Dynamic tuple for intrusion prevention systems
US20130014236A1 (en) Method for managing identities across multiple sites
US20120246719A1 (en) Systems and methods for automatic detection of non-compliant content in user actions
US20210141915A1 (en) System for automatic classification and protection unified to both cloud and on-premise environments
US11341271B2 (en) Information barriers for sensitive information
US9740876B1 (en) Securely storing and provisioning security telemetry of multiple organizations for cloud based analytics
US10013237B2 (en) Automated approval
CN114026822B (zh) 使用客户端计算进行文档处理
US10257139B2 (en) Facilitating access to resource(s) identified by reference(s) in electronic communications
US11734316B2 (en) Relationship-based search in a computing environment
US20220335143A1 (en) Systems and methods for data redaction
US20230421559A1 (en) Utilizing probability data structures to improve access control of documents across geographic regions
Pattabhi et al. Intent Based Access for Policy Control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination