CN118176505A - 用于计算机器上的资源子集的安全视觉和计算边界 - Google Patents

用于计算机器上的资源子集的安全视觉和计算边界 Download PDF

Info

Publication number
CN118176505A
CN118176505A CN202280068000.8A CN202280068000A CN118176505A CN 118176505 A CN118176505 A CN 118176505A CN 202280068000 A CN202280068000 A CN 202280068000A CN 118176505 A CN118176505 A CN 118176505A
Authority
CN
China
Prior art keywords
computing
supervised
computing resources
specified
resources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280068000.8A
Other languages
English (en)
Inventor
A·奥西波夫
J·卡扎克维奇
D·马塔隆
A·切尔米亚宁
A·谢杜诺夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WAYNE TECHNOLOGIES
Original Assignee
WAYNE TECHNOLOGIES
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WAYNE TECHNOLOGIES filed Critical WAYNE TECHNOLOGIES
Publication of CN118176505A publication Critical patent/CN118176505A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/106Enforcing content protection by specific content processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/106Enforcing content protection by specific content processing
    • G06F21/1063Personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

一种计算机在单个用户帐户内存储多个受监督计算资源和多个附加计算资源。多个受监督计算资源与安全策略相关联。计算机执行缺乏对多个受监督计算资源中的任何和全部受监督计算资源的读取访问权和写入访问权的指定应用的第一实例。计算机与第一实例同时执行访问多个受监督计算资源的至少一部分的指定应用的第二实例。计算机将来自安全策略的规则应用于指定应用的第二实例,同时放弃将来自安全策略的规则应用于指定应用的第一实例。

Description

用于计算机器上的资源子集的安全视觉和计算边界
相关申请的交叉引用
本申请要求于2021年8月19日提交的题为“SECURE COMPUTING ENVIRONMENT FORMIXED USE COMPUTER”的第63/260,408号美国临时专利申请和于2022年8月18日提交的题为“TRACKING COMPUTING ACTIVITY WITH A SUBSET OF RESOURCES”的第17/890,798号美国专利申请的优先权,其全部公开内容通过引用并入本文。
技术领域
实施例涉及计算机架构。一些实施例涉及用于混合用途计算机的安全计算环境。
背景技术
计算机的用户(诸如企业的员工)可以针对企业和个人用途使用同一计算机。计算机可以将企业应用或文件与个人应用或文件一起存储。如上所述,用于为混合用途计算机提供安全计算环境的技术是合乎需要的。
附图说明
图1是根据一些实施例的计算机器的框图。
图2示出了根据一些实施例的可以在其中使用混合用途计算机器的示例系统。
图3是根据一些实施例的与提供视觉跟踪指示符相关联的示例过程的流程图。
图4A-图4B示出了根据一些实施例的可视地指示被跟踪和未被跟踪资源的示例屏幕。
图5是根据一些实施例的与可视地指示被跟踪资源相关联的示例过程的流程图。
图6示出了根据一些实施例的可以在其中基于安全策略来限制操作的示例系统。
图7示出了根据一些实施例的可以由安全策略允许或阻止的操作的表。
图8示出了根据一些实施例的屏幕捕获操作的示例输入和输出。
图9是根据一些实施例的与基于安全策略的操作限制相关联的示例过程的流程图。
图10是根据一些实施例的具有工作区域的计算机器的框图。
图11是根据一些实施例的与用于个人和企业混合用途系统的安全计算环境相关联的第一示例过程的流程图。
图12是根据一些实施例的与用于混合用途系统的安全计算环境相关联的第二示例过程的流程图。
图13是根据一些实施例的与将安全策略应用于应用的运行实例的一部分相关联的示例过程的流程图。
图14是根据一些实施例的与在受监督和无监督区域中执行相同应用相关联的示例过程的流程图。
图15是根据一些实施例的与显示组织计算资源的组织指示符相关联的示例过程的流程图。
具体实施方式
以下描述和附图充分说明了特定实施例,以使得本领域技术人员能够实践这些实施例。其他实施例可以包括结构、逻辑、电气、过程和其他变化。一些实施例的部分和特征可以被包括在其他实施例的部分和特征中,或者替代其他实施例的部分和特征。权利要求中提出的实施例包含这些权利要求的所有可用等价物。
本技术的各方面可以被实现为计算机系统的一部分。计算机系统可以是一个物理机,或者可以分布在多个物理机之间,诸如按照角色或功能,或者在云计算分布式模型的情况下按照进程线程。在各种实施例中,该技术的各方面可以被配置为在虚拟机中运行,而虚拟机又在一个或多个物理机上执行。本领域技术人员将理解,该技术的特征可以通过各种不同的合适的机器实现来实现。
该系统包括各种引擎,每个引擎都被构造、编程、配置或以其他方式适配,以执行一个功能或一组功能。本文中使用的术语引擎是指使用硬件实现的有形设备、组件或组件布置,诸如通过专用集成电路(ASIC)或现场可编程门阵列(FPGA),或者作为硬件和软件的组合,诸如通过基于处理器的计算平台和将计算平台转换为专用设备以实现特定功能的一组程序指令。引擎也可以被实现为这两者的组合,其中某些功能由硬件单独实现,而其他功能由硬件和软件的组合来实现。
在一个示例中,软件可以以可执行或不可执行的形式驻留在有形的机器可读存储介质上。以不可执行形式驻留的软件可以在运行时之前或期间被编译、翻译或以其他方式转换为可执行形式。在一个示例中,软件在由引擎的底层硬件执行时引起硬件执行指定操作。因此,引擎被物理地构造、或具体地配置(例如,硬接线)、或临时配置(例如,编程)为以指定方式操作或执行本文中结合该引擎而描述的任何操作的部分或全部。
考虑到其中引擎是被临时配置的示例,引擎中的每个可以在不同时刻被实例化。例如,在引擎包括使用软件而配置的通用硬件处理器核的情况下,通用硬件处理器心可以在不同时间被配置为相应不同引擎。软件可以相应地配置硬件处理器核,例如,以在一个时刻构成特定引擎,而在不同时刻构成不同引擎。
在某些实现中,引擎的至少一部分、以及在某些情况下是所有引擎可以在执行操作系统、系统程序和应用程序的一个或多个计算机的(多个)处理器上执行,同时也可以在适当的情况下使用多任务、多线程、分布式(例如,集群、对等、云等)处理来实现引擎,或者其他这样的技术。因此,每个引擎可以以各种合适的配置来实现,并且通常不应当局限于本文中例示的任何特定实现,除非明确指出了这样的限制。
此外,一个引擎本身可以由多于一个子引擎组成,每个子引擎可以被视为一个引擎。此外,在本文中描述的实施例中,各种引擎中的每个对应于定义的功能;然而,应当理解,在其他设想的实施例中,每个功能可以分发给多于一个引擎。同样,在其他设想的实施例中,多个定义的功能可以由执行这些多个功能的单个引擎来实现,可能与其他功能一起实现,或者以不同于本文示例中具体示出的方式分布在一组引擎之间。
如本文中使用的,术语“模型”包含其简单和普通的含义。除其他外,模型可以包括一个或多个引擎,该引擎接收输入并且基于该输入计算输出。输出可以是分类。例如,图像文件可以被分类为描绘猫或不描绘猫。替代地,图像文件可以被分配数字得分,该数字得分指示图像文件是否描绘猫的可能性,并且得分超过阈值(例如,0.9或0.95)的图像文件可以被确定为描绘猫。
本文档可以引用特定数目的内容(例如,“六个移动设备”)。除非另有明确规定,否则所提供的数字仅为示例,并且可以替换为任何正整数、整数或实数,这对于给定情况是有意义的。例如,在替代实施例中,“六个移动设备”可以包括任何正整数个移动设备。除非另有说明,否则以单数形式提及的对象(例如,“计算机”或“该计算机”)可以包括一个或多个对象(例如,“该计算机”可以指一个或多个计算机)。
图1示出了根据一些实施例的计算机器100的电路框图。在一些实施例中,计算机器100的组件可以存储或集成到图1的电路框图中所示的其他组件中。例如,计算机器100的部分可以驻留在处理器102中,并且可以称为“处理电路系统”。处理电路系统可以包括处理硬件,例如,一个或多个中央处理单元(CPU)、一个或多个图形处理单元(GPU)等。在替代实施例中,计算机器100可以作为独立设备操作,或者可以连接(例如,联网)到其他计算机。在联网部署中,计算机器100可以在服务器客户端网络环境中以服务器、客户端或这两者的职责操作。在一个示例中,计算机器100可以充当对等(P2P)(或其他分布式)网络环境中的对等机器。在该文档中,短语P2P、设备到设备(D2D)和侧链可以互换使用。计算机器100可以是专用计算机、个人计算机(PC)、平板PC、个人数字助理(PDA)、移动电话、智能电话、网络设备、网络路由器、交换机或网桥、或者能够执行指定该机器要采取的动作的指令(顺序或其他)的任何机器。
如本文所述,示例可以包括逻辑或多个组件、模块或机制,也可以对其进行操作。模块和组件是能够执行指定操作的有形实体(例如,硬件),并且可以以某种方式来配置或布置。在一个示例中,电路可以以指定方式被布置为模块(例如,在内部或关于诸如其他电路等外部实体)。在一个示例中,一个或多个计算机系统/装置(例如,独立的客户端或服务器计算机系统)或一个或多个硬件处理器的全部或部分可以由固件或软件(例如,指令、应用部分或应用)配置为操作以执行指定操作的模块。在一个示例中,软件可以驻留在机器可读介质上。在一个示例中,软件在由模块的底层硬件执行时引起硬件执行指定操作。
因此,术语“模块”(和“组件”)被理解为包括有形实体,是指被物理地构造、专门地配置(例如,硬接线)或临时(例如,暂时)配置(例如,编程)为以指定方式操作或执行本文所述任何操作的部分或全部的实体。考虑到模块被临时配置的示例,模块中的每个不需要在任何一个时刻被实例化。例如,在模块包括使用软件而配置的通用硬件处理器的情况下,通用硬件处理器可以在不同时间被配置为相应不同模块。软件可以相应地配置硬件处理器,例如,在一个时刻构成特定模块,在不同时刻构成不同模块。
如本文中使用的,术语“应用”包含其简单和普通的含义。应用可以包括存储在计算机器处并且在该计算机器上执行的软件。应用可以包括在计算机器上执行但被远程存储或存储在云中的软件。应用可以包括网站,该网站包括存储在服务器处或云中用于在计算机器处执行的软件。在一些情况下,应用可以硬连线到计算机器或(多个)远程服务器中,而不是存储在软件中。
计算机器100可以包括硬件处理器102(例如,中央处理单元(CPU)、GPU、硬件处理器核或其任何组合)、主存储器104和静态存储器106,其中的一些或全部可以经由互连(例如,总线)108彼此通信。尽管未示出,但是主存储器104可以包含可移动存储和不可移动存储、易失性存储器或非易失性存储器中的任何一个或全部。计算机器100还可以包括视频显示单元110(或其他显示单元)、字母数字输入设备112(例如,键盘)和用户接口(UI)导航设备114(例如,鼠标)。在一个示例中,显示单元110、输入设备112和UI导航设备114可以是触摸屏显示器。计算机器100还可以包括存储设备(例如,驱动单元)116、信号生成设备118(例如,扬声器)、网络接口设备120和一个或多个传感器121,诸如全球定位系统(GPS)传感器、指南针、加速度计或其他传感器。计算机器100可以包括输出控制器128,诸如串行(例如,通用串行总线(USB))、并行或其他有线或无线(例如,红外(IR)、近场通信(NFC)等)连接,以通信或控制一个或多个外围设备(例如,打印机、读卡器等)。
驱动单元116(例如,存储设备)可以包括机器可读介质122,该机器可读介质上存储有一组或多组数据结构或指令124(例如,软件),该数据结构或指令体现本文中描述的技术或功能中的任何一种或多种,或者由其利用。在计算机器100对指令124的执行期间,指令124还可以完全或至少部分驻留在主存储器104内、静态存储器106内或硬件处理器102内。在一个示例中,硬件处理器102、主存储器104、静态存储器106或存储设备116中的一个或任何组合可以构成机器可读介质。
虽然机器可读介质122被示出为单个介质,但术语“机器可读介质”可以包括被配置为存储一个或多个指令124的单个介质或多个介质(例如,集中式或分布式数据库、和/或相关联的高速缓存和服务器)。
术语“机器可读介质”可以包括能够存储、编码或携带用于由计算机器100执行的指令并且引起计算机器100执行本公开的技术中的任何一个或多个、或者能够存储、编码或携带由这样的指令使用或与这样的指令相关联的数据结构的任何介质。非限制性机器可读介质示例可以包括固态存储器以及光学和磁性介质。机器可读介质的具体示例可以包括:非易失性存储器,诸如半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储(EEPROM))和闪存设备;磁盘,诸如内部硬盘和可移动磁盘;磁光盘;随机存取存储器(RAM);以及CD-ROM和DVD-ROM盘。在一些示例中,机器可读介质可以包括非暂态机器可读介质。在一些示例中,机器可读介质可以包括不是暂态传播信号的机器可读介质。
指令124还可以通过通信网络126使用传输介质经由网络接口设备120使用多种传输协议(例如,帧中继、互联网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等)中的任何一种来传输或接收。示例通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,互联网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络和无线数据网络(例如,称为的电气和电子工程师协会(IEEE)802.11标准族、称为/>的IEEE 802.16标准族)、IEEE 802.15.4标准族、长期演进(LTE)标准族、通用移动电信系统(UMTS)标准族、对等(P2P)网络等。在一个示例中,网络接口设备120可以包括一个或多个物理插孔(例如,以太网、同轴或电话插孔)或一个或多个天线以连接到通信网络126。
计算机的用户(诸如企业的员工)可以针对企业和个人用途使用同一计算机。计算机可以存储企业希望遵守其安全策略的企业应用或文件、以及用户不希望与企业共享的个人应用或档案。替代地,非企业计算机的用户可能希望隔离用于某些目的(例如,投资管理、家庭目的、约会等)的应用或文件,以针对安全策略进行不同的处理。如上所述,用于为混合用途计算机提供安全计算环境的技术是合乎需要的。
如本文中使用的,短语“混合用途计算机”(或者,替代地,混合用途计算机器、混合用途计算设备等)包含其简单和普通的含义。混合用途计算机可以存储计算资源(例如,应用、文件、云文件存储访问、电子邮件、视频、照片等),其中的一些与安全策略相关联,而另一些则不与安全策略相关联。例如,用户可以将计算机用于个人和企业用途这两者。计算机可以在相同的用户简档(例如,与登录标识符相关联的用户帐户,以及在某些情况下,用于访问计算机处的资源的密码)中存储企业计算资源(例如,专利申请、办公室动作响应、客户推介、和用户用于企业目的的企业电子邮件消息)以及个人计算资源(例如,个人电子邮件、个人信件、照片和视频)。企业可能希望对企业计算资源实施企业安全和跟踪策略,同时在个人计算资源中放弃应用企业安全策略并且确保用户的隐私。替代地,本发明可以用于分离安全策略不适用的任何类型的计算资源,而不一定是企业/个人计算资源。
如上所述,混合用途计算机可以存储个人和企业计算资源(例如,应用或文件)两者。告知用户哪些计算资源受到(或不受)安全策略的约束和/或受到(或不受)跟踪可以是可取的。
如本文中使用的,短语“安全策略”包含其简单和普通的含义。安全策略定义了关于一组计算资源(例如,企业计算资源或计算机器上的每一个计算资源)的授权和未授权动作,并且防止计算机器采取未授权动作。安全策略可以包括各种访问权限(例如,通过防病毒软件或其他软件)和计算资源共享权限。安全策略可以要求在访问安全策略所涵盖的计算资源之前或在共享(例如,经由消息传递服务)安全策略所涵盖的计算资源之前采取某些动作(例如,输入密码、通过指纹或面部扫描验证用户身份等等)。
在一些情况下,安全策略可以包括跟踪策略或监测策略。例如,跟踪策略或监测策略可以允许主管(例如,在远程计算机器处)监测计算机器的用户关于跟踪策略或监测策略所涵盖的计算资源的活动。跟踪策略或监测策略可以将计算机器的用户关于计算资源的活动的记录存储在主管可访问的服务器或数据存储库处。
安全策略所涵盖和未涵盖的计算资源(例如,企业和个人资源)可以以不同的方式进行隔离。例如,安全策略所涵盖的计算资源可以驻留在文件系统中与未被安全策略涵盖的资源不同的目录中。替代地,具有某些文件类型(例如,与文字处理器相关联的文件类型,诸如.docx文件)或已经由某些软件创建的计算资源可以被安全策略涵盖,而具有其他文件类型(例如,与照片相关联的文件类型,诸如.jpg文件)或已经由其他软件创建的文件可以未被安全策略涵盖,而与文件驻留在其中的目录无关。
一个计算机器可以具有多个安全策略。例如,计算机器可以针对计算机器上的每一个计算资源具有防病毒安全策略。计算机器还可以具有企业计算资源安全策略,该策略将某些规则应用于企业计算资源而不应用于其他计算资源。
计算资源可以包括例如文件、应用、网络接口覆盖(例如,网络隧道)、窗口等。计算资源可以存储在计算机器的存储器中。
图2示出了可以在其中使用混合用途计算机器的示例系统200。如图所示,系统200包括计算机器202和跟踪服务210。如图所示,计算机器202是膝上型计算机。然而,在替代实施例中,计算机器202可以是包括处理电路系统和存储器的任何计算机器,例如台式计算机、移动电话、平板计算机、智能手表、个人数字助理(PDA)等。计算机器202可以包括计算机器100的组件的全部或一部分。如图所示,跟踪服务210是云服务。跟踪服务210可以包括基于云的跟踪服务、一个或多个服务器、与在计算机器202处实施的安全策略相关联的管理员计算设备等中的一项或多项。
计算机器202可以存储多个个人计算资源和多个企业计算资源。这些资源中的一些(例如,个人计算资源208和企业计算资源204)可以经由计算机器202的显示单元(例如,屏幕或监测器)来显示。企业计算资源204和个人计算资源208两者都可以经由计算机器202的本机计算环境来显示,而不是通过访问远程虚拟机或物理机来显示。
个人计算资源和企业计算资源可以以不同的方式隔离。在一些实施例中,个人计算资源和企业计算资源驻留在文件系统的指定预定义位置中。例如,某些目录可以与企业计算资源相关联,而某些其他目录可以与个人计算资源相联系。在一些实施例中,个人计算资源与个人文件类型(例如,.jpg或.mp3)相关联,而企业计算资源与企业文件类型(例如,.doc或.xls)相关联。在一些实施例中,个人计算资源由某些应用(例如,相机应用)生成,而企业计算资源由特定其他应用(例如,文字处理器、电子表格程序或幻灯片演示程序)生成。
如本文中使用的,短语“本机计算环境”包括其简单和普通的含义。如果计算资源(例如,应用、文件或窗口)直接在操作系统中运行(例如,存储计算资源的物理计算机器的操作系统,没有任何外部软件层,并且不需要访问虚拟机或虚拟化软件,或者替代地,直接在虚拟机上运行),则计算资源在本机计算环境中运行。
在一些实施例中,可以在计算机器的本机计算环境中定义“受监督区域”(也称为“企业区域”或“工作区域”)。受监督区域可以包括驻留在计算机器或云存储单元的文件系统的一部分中的计算资源。受监督区域还可以包括用于接入网络的网络接口覆盖(例如,网络隧道)。受监督区域可以包括某些应用。在一些实施例中,安全策略可以被应用于受监督区域内的计算资源,但不被应用于受监督区域外部的计算资源。
计算机器202可以存储应用于企业计算资源但不应用于个人计算资源的安全策略。安全策略可以限制企业计算资源的屏幕捕获、企业计算资源的共享、从企业计算资源对数据的复制等等。安全策略还可以允许跟踪服务210跟踪计算机器202处的企业计算资源的使用。在实施安全策略的同时,跟踪服务210可以不跟踪计算设备处的个人计算资源的用户。
如图2所示,计算机器202在耦合的显示单元上显示企业计算资源204和个人计算资源208。与企业计算资源204相邻的视觉指示符206指示企业计算资源204受到安全策略的约束并且受到跟踪服务210的跟踪。个人计算资源208缺乏这样的视觉指示符,因为它不受安全策略的约束和跟踪服务210的跟踪。如图所示,视觉指示符206是边界。然而,在其他实施例中,视觉指示符206可以包括边界、标记等中的一项或多项。
在一些实施例中,视觉指示符206是边界。边界可以占据企业计算资源204外部的点,这些点在距企业计算资源204达n个或更少像素的距离内(其中n是正整数),除非这些像素被计算资源堆栈中比企业计算资源202更占主导地位的其他计算资源(例如,窗口)占据。例如,如果其他计算资源比企业计算资源204更加最近地被使用,则其他计算资源可以更占主导地位。这在例如图4A-图4B中示出,并且在下文中更详细地讨论。
如上所述,企业计算资源受到安全策略的约束和跟踪。个人计算资源不受安全策略的约束和跟踪。然而,在替代实施例中,可以使用不同于个人/企业的计算资源。例如,父母可以给孩子一台计算机器,该计算机器具有父母希望跟踪和/或管理的一些资源(例如,网络浏览器、视频播放器)和父母不希望跟踪和/或管理的其他资源(例如,存储在存储器中的文字处理器、下棋游戏应用)。替代地,投资者可能希望其财务顾问软件能够跟踪和/或管理用于投资管理目的的资源(例如,投资公司网站、投资公司应用)而不是其他资源(例如,其他网站、应用或文件)。
图3是与提供视觉跟踪指示符相关联的示例过程300的流程图。在一些实现中,图3的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图3的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图3的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图3所示,过程300可以包括在计算机器处存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联(框310)。例如,计算机器可以存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联,如上所述。
如图3中进一步所示,过程300可以包括经由计算机器的本机计算环境引起与计算机器耦合的显示单元同时显示指定的受监督计算资源的全部或一部分和指定的附加计算资源的全部或一部分(框320)。例如,计算机器可以经由计算机器的本机计算环境引起与计算机器耦合的显示单元同时显示指定的受监督计算资源的全部或一部分和指定的附加计算资源的全部或一部分,如上所述。
如图3中进一步所示,过程300可以包括将来自安全策略的安全规则应用于指定的受监督计算资源,其中应用安全规则包括至少促进跟踪计算机器关于指定的受监督计算资源的活动(框330)。例如,计算机器可以将来自安全策略的安全规则应用于指定的受监督计算资源,其中应用安全规则包括至少促进跟踪计算机器关于指定的受监督计算资源的活动,如上所述。
如图3中进一步所示,过程300可以包括放弃促进跟踪计算机器关于指定的附加计算资源以及关于计算机器上不与多个受监督计算资源中的一个或多个受监督计算资源相关联的活动的活动(框340)。例如,计算机器可以放弃促进跟踪计算机器关于指定的附加计算资源以及关于计算机器上不与多个受监督计算资源中的一个或多个受监督计算资源相关联的活动的活动,如上所述。
过程300可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
在第一实现中,附加计算资源包括个人计算资源,其中受监督计算资源包括企业计算资源,多个受监督计算资源和多个附加计算资源包括文件、云文件存储访问、应用或网站。云文件存储访问可以包括对基于网络的文件存储系统(例如,由华盛顿州雷德蒙德的微软公司开发的OneDrive for)的访问。
在第二实现中,过程300包括放弃将来自安全策略的安全规则应用于指定的附加计算资源。
在第三实现中,过程300包括与指定的受监督计算资源相关联地显示指示跟踪正在进行的视觉指示符。
在第四实现中,视觉指示符包括与显示单元的、由指定的受监督计算资源占据的区域相邻的标记或边界,视觉指示符是在受监督计算资源的启动时建立的,并且视觉指示符在从受监督计算资源退出或由计算机器的用户注销时被移除。例如,用户可以在网络浏览器中访问与他/她的雇主相关联的网页。在经由网页登录到帐户时,视觉指示符可以出现在网络浏览器周围。稍后,当用户经由网页从帐户注销或关闭网络浏览器时,视觉指示符可以被移除。
在第五实现中,计算机器关于指定的受监督计算资源的活动和计算机器关于指定的附加计算资源的活动包括网络业务。
在第六实现中,计算机器关于指定的受监督计算资源的活动和计算机器关于指定的附加计算资源的活动包括互联网浏览。
在第七实现中,计算机器关于指定的受监督计算资源的活动和计算机器关于指定的附加计算资源的活动包括相机或麦克风输入活动。
在第八实现中,过程300包括存储从计算机器传输到跟踪服务的信息;以及响应于用户请求,提供从计算机器传输到跟踪服务的信息的视觉表示以供显示。
在第九实现中,跟踪服务包括基于云的跟踪服务、一个或多个服务器、以及与安全策略相关联的管理员计算设备中的一项或多项。
在第十实现中,安全规则包括阻止从指定的受监督计算资源到指定的附加计算资源的操作集合的一个或多个规则,并且操作集合包括拖放操作、复制粘贴操作、剪切粘贴操作、密钥日志操作、文件下载操作、文件上传操作、文件附件操作、打印操作、打开特定网站操作、打开一类网站操作、应用启动操作或截屏操作中的至少一项。换言之,安全规则可以防止从指定的受监督计算资源到指定的附加计算资源的某些操作。例如,用户可能无法将内容从指定的受监督计算资源拖放、复制粘贴或剪切粘贴到指定的附加计算资源。用户可能无法在指定的受监督计算资源内实现密钥记录,并且无法从指定的附加计算资源访问记录的密钥。用户可能无法获取指定的受监督计算资源的截屏并且将该截屏放置到指定的附加计算资源中(或经由指定的附加计算资源查看截屏)。
在一个示例用例中,用户在其台式计算机上打开了工作文件(包括客户房地产购买合同草案的文字处理文档)和个人文件(包括给用户祖母的信的文字处理文件)。房地产购买合同被绿色边界包围,并且具有椭圆形标记,表明它是工作文件,该工作文件是受监督计算资源。给祖母的信并没有被这样的边界包围。用户试图将文本从房地产购买合同草案的一个部分复制到房地产购买合同草案的另一部分,并且能够这样做。然后,用户打开给祖母的信,并且按下快捷键进行粘贴(例如,CTRL+V)。然而,由于安全策略中的安全规则阻止这种粘贴,房地产购买合同草案中的文本没有粘贴到给祖母的信中。根据一些实现,安全策略与台式计算机的驱动程序通信,其实施安全规则以阻止将文本从房地产购买合同草案粘贴到给祖母的信中,因为房地产购买合同草案是受监督计算资源并且给祖母的信不是受监督计算资源。类似的技术可以用于防止从(多个)受监督计算资源到(多个)附加(无监督)计算资源的其他操作。
尽管图3示出了过程300的示例框,但在一些实现中,过程300可以包括与图3中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程300的两个或更多个框可以并行执行。
图4A-图4B示出了可视地指示被跟踪(例如,通过安全策略)和未被跟踪资源的示例屏幕400A和400B。虽然示出了屏幕400A和400B,但是应当注意,可以使用其他显示设备或显示单元(例如,投影仪、监测器等)来代替屏幕。
如图4A所示,屏幕400A显示企业计算资源402A和个人计算资源404A。企业计算资源402A基于相关联的企业的安全策略来跟踪,而个人计算资源404A不被跟踪并且不被安全策略涵盖。如图4A所示,企业计算资源402A是主导计算资源(例如,因为它是最后选择的计算资源),并且部分地遮挡个人计算资源404A。如图所示,企业计算资源402A被边界406A包围并且具有相邻标记408A。
如图4B所示,类似于图4A,屏幕400B显示企业计算资源402B和个人计算资源404B。然而,在屏幕400B中,个人计算资源404B是主导计算资源(例如,因为它是最后选择的计算资源),并且部分地遮挡企业计算资源404B。如图所示,企业计算资源402B被边界406B包围并且具有相邻标记408B。
在计算机器处打开的计算资源(例如,窗口)可以在支配堆栈中从最主导到最不主导布置(例如,在后进先出数据结构中,最后选择的计算资源是最主导的并且位于堆栈的顶部,第二到最后选择的计算资源是第二最主导的并且处于从堆栈的顶部起的第二位置,等等)。边界406A/406B和/或标记408A/408B在支配堆栈中可以具有与企业计算资源402A/402B相同的位置。因此,当企业计算资源402A覆盖个人计算资源404A时(例如,随着企业计算资源402A最近被选择,企业计算资源402A更接近堆栈的顶部),边界406A或标记408A也可以覆盖个人计算资源404A,如图4A所示。当个人计算资源404B覆盖企业计算资源402B时(例如,随着个人计算资源404B最近被选择,个人计算资源404B更接近堆栈的顶部),个人计算资源404B也可以覆盖边界406B或标记408B,如图4B所示。
企业计算资源402A/402B和个人计算资源404A/404B两者都可以与与屏幕400A/400B相关联的计算机器的本机计算环境相关联。
边界406A/406B和/或标记408A/408B指示安全策略适用于企业计算资源402A/402B。由于个人计算资源404A/404B缺乏边界和/或标记,屏幕400A/400B的观看者可以在视觉上确定安全策略不适用于个人计算资源404A/404B。
在屏幕400A中,边界406A遮挡个人计算资源404B,因为企业计算资源402A比个人计算资源404B更占主导地位(例如,在计算资源堆栈中,例如,某些操作系统中的窗口)。然而,在屏幕400B中,个人计算资源404B遮挡边界406B,因为个人计算资源404B比企业计算资源402B更占主导地位(例如,在计算资源堆栈中,例如,某些/>操作系统中的窗口)。
企业计算资源402A受安全策略(例如,与企业相关联)的约束,而个人计算资源404A/404B不受安全策略的约束。例如,企业可以是一家律师事务所,而企业计算资源可以是由该律师事务所的律师起草的合同。个人计算资源可以是律师家庭的个人照片。边界406A/406B标识受安全策略约束的计算资源。结果,屏幕400A/400B的用户可以快速地识别哪些显示的计算资源受到和不受安全策略的约束。
标记408A/408B在被选择时(例如,通过鼠标点击或触摸屏的触摸,或者替代地,在光标位于标记408/408B之上时通过点击鼠标)显示关于安全策略的信息(例如,屏幕400A/400B的用户被允许或不被允许对企业计算资源402A/402B执行哪些动作)。
在一些实施例中,边界406A/406B占据企业计算资源402A/402B外部的像素,该像素在距企业计算资源402A/402B的边缘的阈值距离(例如,n个像素,其中n是正整数)内,并且不被标记408A/408B占据。
在一些实施例中,显示在屏幕400A/400B上的企业计算资源402A/402B和个人计算资源404A/404B每个与显示优先级值相关联(例如,基于所显示的计算资源最后被选择的时间)。边界406A/406B包括一些像素,这些像素未被具有比企业计算资源402A/402B(例如,在指定的受监督计算资源的最后选择时间之后被选择的)的优先级值高的计算资源占据。例如,在屏幕400A中,企业计算资源402A具有比个人计算资源404A高的优先级值。结果,边界406A覆盖个人计算资源404A。相反,在屏幕400B中,企业计算资源402B具有比个人计算资源404B低的优先级值。结果,个人计算资源404B覆盖边界404B。
在一些实施例中,企业计算资源402A可以沿着屏幕400A被拖动。(例如,用户可以用鼠标选择企业计算资源402A的标题栏,并且沿着屏幕400A移动鼠标。替代地,如果屏幕400A是触摸屏,则用户可以用手指或触控笔在触摸屏400A上选择标题栏,并且沿着触摸屏400A移动手指或触控笔。)与屏幕400A相关联的计算机器中的处理电路系统可以每隔n毫秒一次以离散方式或者基于操作系统窗口事件重新计算边界406A和/或标记408A的位置,其中n是预定正数。因此,每当企业计算资源402A被拖动时,处理电路系统(例如,中央处理单元或图形处理单元)可以不会因边界406A和/或标记408A的位置计算而变得负担过重。
结合图4A-图4B,描述了一些实施例,其中企业计算资源受到安全策略的约束,而个人计算资源不受安全策略的约束。然而,任何预定义计算资源都可以取代受到安全策略约束的企业计算资源和不受安全策略约束的个人计算资源。
例如,父母可以使用屏幕共享技术从父母的观影计算设备向孩子播放电影,其中适合13岁以下儿童的电影没有被应用安全策略(如以上个人计算资源),而适合13-17岁儿童的电影被应用安全策略(如以上企业计算资源)。使用本文中公开的技术,父母可以能够在不受安全策略干扰的情况下向孩子播放适合13岁以下儿童的G级电影。当父母希望向孩子播放适合13-17岁儿童的PG-13级电影时,安全策略可以适用。例如,安全策略可以阻止播放PG-13级电影,当PG-13级电影被播放时通知另一家长,要求家长采取附加肯定步骤(例如,在弹出窗口中键入密码或播放PG-13级电影的原因)以播放PG-13电影。
如上所述,边界406A/406B和标记408A/408B指示与边界406A/406B和标记408A/408B相关联的资源由安全策略涵盖。然而,边界406A/406B和标记408A/408B可以用于隔离其他资源。例如,边界406A/406B和标记408A/408B可以用于隔离企业计算资源和个人计算资源,其中没有安全策略被应用于企业计算资源和个人计算资源两者。显示屏幕400A/400B的计算机器可以基于以下中的至少一项来将给定计算资源标识为个人计算资源或企业计算资源:计算资源在文件系统的目录中的位置、云存储位置、与计算资源相关联的应用、计算资源的文件类型、或计算资源的源(例如,电子邮件、浏览器、基于网络的存储等)。
图5是与可视地指示被跟踪资源相关联的示例过程的流程图。在一些实现中,图5的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图5的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图5的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图5所示,过程500可以包括在计算机器处存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联(框510)。例如,计算机器可以存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联,如上所述。
如图5中进一步所示,过程500可以包括经由计算机器的本机计算环境引起与计算机器耦合的显示单元在第一显示位置处显示多个受监督计算资源中的指定的受监督计算资源的全部或一部分(框520)。例如,计算机器可以经由计算机器的本机计算环境引起与计算机器耦合的显示单元在第一显示位置处显示多个受监督计算资源中的指定的受监督计算资源的全部或一部分,如上所述。
如图5中进一步所示,过程500可以包括引起显示单元在基于第一显示位置而计算的显示位置处显示指定的受监督计算资源与安全策略相关联的视觉指示符(框530)。例如,计算机器可以引起显示单元在基于第一显示位置而计算的显示位置处显示指定的受监督计算资源与安全策略相关联的视觉指示符,如上所述。
如图5中进一步所示,过程500可以包括将来自安全策略的安全规则应用于指定的受监督计算资源(框540)。例如,计算机器可以将来自安全策略的安全规则应用于指定的受监督计算资源,如上所述。
过程500可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
根据一些实施例,附加计算资源也可以在显示单元处被显示。附加显示单元可以缺乏视觉指示符。结果,计算机器的用户在观看显示单元时可以能够容易地确定哪些计算资源与安全策略相关联(或不与安全策略相关联)。
在第一实现中,附加计算资源包括个人计算资源,其中受监督计算资源包括企业计算资源,多个受监督计算资源和多个附加计算资源包括文件、云文件存储访问、应用或网站。
在第二实现中,附加计算资源包括第一类型的计算资源,其中受监督计算资源包括实体(例如,用户或组织)期望增强安全性的第二类型的计算资源,其中多个受监督计算资源和多个附加计算资源包括文件、云文件存储访问、应用或网站。
在第三实现中,视觉指示符包括靠近第一显示位置的边缘的标记,标记指示安全策略适用于指定的受监督计算资源。
在第四实现中,过程500包括接收表示标记的用户选择的信号;以及响应于标记的用户选择,引起显示单元显示关于适用于计算机器的安全策略的信息。
在第五实现中,视觉指示符包括边界,其中边界包括像素,该像素:在第一显示位置外部,在距第一显示位置的边缘的阈值距离内,并且未被与视觉指示符相关联的标记占据。
在第六实现中,多个计算资源被显示在显示单元上,其中每个显示的计算资源与基于所显示的计算资源最后被选择的时间的显示优先级值相关联,其中边界包括未被在指定的受监督计算资源的最后被选择的时间之后选择的计算资源占据的像素。
在第七实现中,过程500包括在计算机器的处理电路系统处接收表示沿着显示单元拖动指定的受监督计算资源的信号;使用处理电路系统每隔n毫秒一次以离散方式或者基于操作系统窗口事件重新计算边界的位置,其中n是预定正数。
在第八实现中,过程500包括由指定的受监督计算资源生成弹出窗口或显示警报;以及将边界显示在弹出窗口或显示警报的周围。
在第九实现中,过程500包括在计算机器处接收执行违反安全规则的动作的用户请求;以及响应于用户确认用户希望执行动作的附加肯定动作,基于与安全策略一起存储并且由安全策略的管理员提供的设置,允许用户执行违反安全规则的动作。
在第十实现中,过程500包括经由计算机器的本机计算环境,引起显示单元在第二显示位置处显示多个附加计算资源中的指定的附加计算资源的全部或一部分;放弃引起显示单元与指定的附加计算资源相关联地显示视觉指示符;以及放弃将来自安全策略的安全规则应用于指定的附加计算资源。
在第十一实现中,过程500包括经由计算机器的本机计算环境,引起与计算机器耦合的显示单元在预定义显示位置处显示在计算设备上打开的多个计算资源的记号,其中受监督计算资源的记号与指示受监督计算资源与安全策略相关联的视觉符号耦合。
在第十二实现中,附加计算资源的记号不与视觉符号耦合。
在第十三实现中,所显示的多个计算资源的记号包括任务栏或浮台(dock)。
尽管图5示出了过程500的示例框,但在一些实现中,过程500可以包括与图5中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程500的两个或更多个框可以并行执行。
在一些实施例中,与相同应用相关联的多个计算资源(例如,窗口或文件)可以同时打开。例如,具有单个文字处理器应用(例如,Microsoft或Apache OpenOffice)的计算机器的用户可以同时打开两个文字处理器文件——与企业安全策略(或任何其他安全策略)相关联的专利申请文档和不与企业安全策略相关联的个人信件文档。(例如,专利申请文档可以位于文件系统的企业目录内,而个人信件文档可以位于文件系统的个人目录内。)专利申请文档可以与视觉指示符(例如,边框或标记)耦合,而个人信件文档可以不与视觉指示符耦合。因此,用户可以能够容易地确定哪些安全设置应用于他/她在计算机器上打开的资源。通常,计算机器运行应用的单个实例。为了创建相同应用的单独实例,一些实施例迫使计算机器针对个人资源和企业资源分别模拟与应用相关联的所有操作系统进程和操作系统资源(例如,全局对象、远程过程调用等)。例如,这一点在图10中示出,其中使用模拟注册表和模拟全局对象来代替本机计算环境的默认注册表和工作区域内的全局对象。
在一些实施例中,企业计算资源和个人计算资源(或安全策略涵盖/未涵盖的其他计算资源)可以在视觉上隔离(以及根据一些实现,在文件系统中隔离)。例如,与计算机器耦合的显示单元可以显示企业视觉容器(例如,屏幕上的框),从该企业视觉容器,可以访问企业计算资源。个人计算资源可以显示在企业视觉容器外部,或者可以经由开始菜单、文件浏览器等进行访问。此外,在一些情况下,一些企业计算资源也可以经由开始菜单、文件浏览器等进行访问。这可以通过模拟旨在由所有用户模式应用共享的若干子系统来实现。通过创建在内核和用户模式级别未记录的模拟子系统、以及保持不同操作系统(例如,Microsoft)应用的多个年份的兼容性,企业计算资源与个人计算资源隔离,同时保留在与本机操作系统概念交互时熟悉的用户体验(即,当光标悬停在与文件相关联的图标上时,通过双击鼠标打开文件)。在一些实施例中,这里描述的操作以实时方式执行,而不影响应用的性能和用户体验、以及应用和操作系统的安全性。
图6示出了根据一些实施例的可以在其中基于安全策略来限制操作的示例系统600。系统600可以包括图1的计算机器100的组件的全部或一部分。
如图所示,系统600存储包括安全规则604的安全策略602。安全策略适用于受监督资源614(和其他受监督资源),但不适用于无监督资源616(和其他无监督资源)。受监督资源614和无监督资源616中的每个是计算资源。受监督资源614和/或无监督资源616可以是文件和/或应用。安全策略614可以使用安全策略实施引擎610来实施。如图6所示,该系统包括操作系统(OS)资源612。OS资源612可以包括与耦合到系统600的输入设备或输出设备相关联的控制器(例如,驱动器)。OS资源612可以是驱动器或其他硬件控制器,例如,键盘驱动器、鼠标驱动器、触摸屏驱动器、显示器驱动器等。OS资源可以是计算资源。
图6示出了对操作请求606和608的处理。如图所示,操作请求608与无监督资源616相关联,但不与任何受监督资源614相关联。操作请求608被直接提供给OS资源612和/或无监督资源616。
操作请求606与受监督资源614(在某些情况下,还与无监督资源616)相关联。基于操作请求606与受监督资源616相关联,操作请求606被安全策略实施引擎610拦截,并且在提供给OS资源612和/或受监督资源614(以及在某些情况下的无监督资源616)之前被修改。例如,如结合图8更详细地描述的,如果操作请求606是用于屏幕捕获(例如,屏幕共享或截屏)操作,则安全策略实施引擎610可以引起与受监督资源614相关联的屏幕的部分在屏幕捕获图像内被遮挡和/或加水印。
在一些实施例中,包括受监督资源614在内的受监督资源是企业资源。包括无监督资源616在内的无监督资源是个人计算资源。受监督资源和/或无监督资源包括文件和/或应用。来自安全策略602的安全规则604被应用于多个受监督资源,而不被应用于多个无监督资源。
受监督资源可以映射到文件系统内的某些文件类型、文件源或目录。无监督资源可以包括未映射到文件系统内的那些文件类型、文件源或目录的资源。安全策略602可以包括安全规则604,该安全规则防止系统600关于受监督资源采取某些动作(例如,在没有首先从系统600的用户接收到肯定批准(例如,经由弹出窗口)的情况下,受监督资源可能无法在屏幕捕获操作中被复制)。
系统600接收表示操作请求606或608的信号。该信号可以经由系统600的输入设备来接收,例如经由键盘、鼠标或触摸屏。替代地,该信号可以通过网络来接收。
系统600基于活跃计算资源和在信号被接收到时在计算机器处打开的其他计算资源来确定指定操作是否与多个受监督计算资源中的受监督计算资源614相关联。如果不是,则操作请求608在不访问安全策略实施引擎610的情况下被提供给OS资源612和/或无监督资源616。
响应于确定指定操作606与受监督计算资源614相关联,系统600向安全策略实施引擎610提供对指定操作606的请求。安全策略实施引擎610拦截该请求。安全策略实施引擎610在向OS资源612和/或受监督资源614提供请求之前,基于安全策略602中的安全规则604来调节操作请求606或受监督资源614的状态。
在一些情况下,操作请求606与受监督资源614和无监督资源616两者都相关联。系统600在调节操作请求606或包括受监督资源614在内的多个受监督资源中的一个或多个受监督资源的状态之后,向OS资源612、受监督资源612和无监督资源616提供该请求。
在一些实施例中,操作请求606用于复制操作。系统100处的活跃计算资源是受监督资源614。安全策略实施引擎610基于安全策略602中的安全规则604来引起通过复制操作被复制的数据被拦截。所拦截的数据可以经由多个受监督计算资源来访问,但不可以经由多个无监督计算资源来访问。
响应于后续粘贴操作,如果粘贴操作请求与多个受监督计算资源中的一个相关联,则系统600授予对所拦截的数据的访问以响应于粘贴操作请求。如果粘贴操作请求不与多个受监督计算资源中的任何一个相关联,则系统600拒绝对所拦截的数据的访问以响应于粘贴操作请求。
在一些实施例中,操作请求606用于键盘输入。活跃计算资源是受监督资源614。安全策略实施引擎610基于安全策略602中的安全规则604来阻止包括无监督资源616在内的无监督资源对提供给受监督资源616的键盘输入的访问。
在一些实施例中,操作请求606用于拖放操作。与拖放操作的启动相关联的活跃计算资源是受监督资源614。安全策略实施引擎610基于安全策略602中的安全规则604来引起通过拖放操作复制的数据可以经由多个受监督计算资源来访问,但是不可以经由多个无监督计算资源来访问。
拖放操作可以在目的地计算资源处终止。如果目的地计算资源是多个受监督资源中的一个,则安全策略实施引擎610授予访问以响应于拖放操作请求。如果目的地计算资源不是多个受监督资源中的一个,则安全策略实施引擎610拒绝访问以响应于拖放操作请求。
在一些实施例中,操作请求606用于屏幕捕获(例如,截屏或屏幕共享)操作。安全策略实施引擎610基于安全策略602中的安全规则604来阻止与受监督资源相关联的屏幕区域的屏幕捕获或对其加水印,同时允许不与受监督资源相关联的屏幕区域的屏幕捕获。加水印包括用安全策略的表示(例如,与安全策略相关联的企业的标志)覆盖与计算资源相关联的屏幕区域。
例如,安全策略实施引擎606确定要阻止屏幕捕获的受监督资源614是否利用图形处理单元(GPU)硬件加速。如果受监督资源614利用硬件加速,则安全策略实施引擎610引起GPU在屏幕捕获操作期间在耦合到系统600的显示单元上遮挡与受监督资源614相关联的区域或对其加水印。如果受监督资源614不利用硬件加速,则安全策略实施引擎610在屏幕捕获操作的输出内遮挡受监督资源614的表示或对其加水印。如果受监督资源614不利用硬件加速,则安全策略实施引擎610放弃遮挡显示单元上与受监督资源614相关联的区域并且放弃对其加水印。
如本文中使用的,短语“硬件加速”可以是指(多个)应用可以将某些计算任务转移到计算机系统内的专用硬件组件上的过程等,从而实现比单独在通用中央处理单元(CPU)上运行的软件更高的效率。例如,可视化过程可以被转移到GPU上,以便能够更快、更高质量地播放视频和游戏,同时还释放CPU以执行其他任务。
在一些实施例中,一些计算资源(例如,下载或电子邮件附件目录中的计算资源)可以被隔离(例如,以防止那些计算资源中的软件访问系统600中的其他计算资源,诸如受监督资源614和无监督资源616)。当操作请求试图访问隔离的计算资源时,该操作请求可以在提供给OS资源612和/或隔离的计算资源之前由安全策略实施引擎610处理。
图7示出了根据一些实施例的可以由安全策略允许或阻止的操作的表700。如图所示,表700应用于复制/粘贴或拖放操作。如图7所示,当源计算资源是受监督计算资源并且目的地计算资源是受监督计算资源时,该操作被允许。当源计算资源是受监督计算资源并且目的地计算资源是无监督计算资源时,该操作被阻止。当源计算资源是无监督计算资源并且目的地计算资源是受监督计算资源时,该操作被允许。当源计算资源是无监督计算资源并且目的地计算资源是无监督计算资源时,该操作被允许。
图8示出了根据一些实施例的屏幕捕获操作的示例输入和输出。如图所示,屏幕捕获操作的输入是屏幕800。屏幕800显示来自受监督计算资源802的视觉输出和来自无监督计算资源804的视觉输出。屏幕捕获操作产生图像806。如图所示,图像806包括与来自无监督资源804的视觉输出相对应的框810。框808对应于来自受监督计算资源802的视觉输出。如图所示,框808被遮挡或加水印。在一些实施例中,框808可以包括与来自受监督资源802的视觉输出不同的公司标志或其他视觉信息的全部或一部分。在一些实施例中,框808可以包括屏幕的背景,就好像受监督计算资源802没有在屏幕上打开一样。结果,可以防止用户从受监督资源进行截屏或屏幕共享数据。在一些情况下,用户能够撤销来自受监督资源的全部或部分的视觉输出的遮挡或水印。
图9是与基于安全策略的操作限制相关联的示例过程900的流程图。在一些实现中,图9的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图9的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图9的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图9所示,过程900可以包括在计算机器处存储多个受监督计算资源和多个无监督计算资源,其中多个受监督计算资源与安全策略相关联(框910)。例如,计算机器可以在计算机器处存储多个受监督计算资源和多个无监督计算资源,其中多个受监督计算资源与安全策略相关联,如上所述。
如图9中进一步所示,过程900可以包括在计算机器处接收表示对指定操作的请求的信号(框920)。例如,计算机器可以在计算机器处接收表示对指定操作的请求的信号,如上所述。
如图9中进一步所示,过程900可以包括基于活跃计算资源和在信号被接收到时在计算机器处打开的其他计算资源来确定指定操作是否与多个受监督计算资源中的受监督计算资源相关联(框930)。例如,计算机器可以基于活跃计算资源和在信号被接收到时在计算机器处打开的其他计算资源来确定指定操作是否与多个受监督计算资源中的受监督计算资源相关联,如上所述。
如图9中进一步所示,过程900可以包括响应于确定指定操作与受监督计算资源相关联,向安全策略实施引擎提供对指定操作的请求,其中安全策略实施引擎拦截该请求(框940)。例如,响应于确定指定操作与受监督计算资源相关联,计算机器可以向安全策略实施引擎提供对指定操作的请求,其中安全策略实施引擎拦截该请求,如上所述。
如图9中进一步所示,过程900可以包括在将该请求提供给操作系统资源或受监督计算资源之前,使用安全策略实施引擎并基于安全策略中的安全规则来调节对指定操作的请求或多个受监督计算资源中的一个或多个受监督计算资源的状态(框950)。例如,计算机器可以在将该请求提供给操作系统资源或受监督计算资源之前,使用安全策略实施引擎基于安全策略中的安全规则来调节对指定操作的请求或多个受监督计算资源中的一个或多个受监督计算资源的状态,如上所述。
如图9中进一步所示,过程900可以包括将该请求提供给操作系统资源或受监督计算资源(框960)。例如,计算机器可以将该请求提供给操作系统资源或受监督计算资源,如上所述。
过程900可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
在第一实现中,过程900包括受监督计算资源包括组织计算资源,无监督计算资源包括个人计算资源,多个受监督计算资源和多个无监督计算资源包括文件、云文件存储访问、应用或网站,并且来自安全策略的安全规则被应用于多个受监督计算资源,而不被应用于多个无监督计算资源。
在第二实现中,过程900包括响应于确定指定操作不与受监督计算资源相关联而放弃使用安全策略实施引擎来调节该请求。在一些情况下,过程900可以包括响应于确定指定操作不与受监督计算资源相关联而在不访问安全策略实施引擎的情况下直接向操作系统资源提供该请求。
在第三实现中,过程900包括确定指定操作与受监督计算资源和无监督计算资源相关联,以及响应于确定指定操作与受监督计算资源和无监督计算资源相关联,在由安全策略实施引擎调节对指定操作的请求或多个受监督计算资源中的一个或多个受监督计算资源的状态之后,将该请求提供给设备驱动程序、受监测计算资源和无监督计算资源。
在第四实现中,操作系统资源包括与耦合到计算机器的输入设备或输出设备相关联的控制器。
在一些实现中,安全规则包括阻止从指定的受监督计算资源到指定的附加计算资源的操作集合的一个或多个规则。操作集合包括以下中的至少一项:拖放操作、复制粘贴操作、剪切粘贴操作、密钥日志操作、文件下载操作、文件上传操作、文件附件操作、打印操作、打开特定网站操作、打开一类网站操作、应用启动操作或截屏操作。
在第五实现中,过程900包括指定操作包括复制操作,活跃计算资源是受监督计算资源,安全策略实施引擎基于安全策略中的安全规则来引起由复制操作复制的数据被拦截,并且所拦截的数据可以经由多个受监督计算资源来访问,但不可以经由多个无监督计算资源来访问。
在第六实现中,过程900包括基于安全策略中的安全规则并且响应于复制操作之后的粘贴操作请求,如果粘贴操作请求与多个受监督计算资源中的一个相关联(例如,响应于确定粘贴操作与多个受监督计算资源中的一个相关联),则授予访问所拦截的数据以响应于粘贴操作请求,和/或如果粘贴操作请求不与多个受监督计算资源中的任何一个相关联(例如,响应于确定粘贴操作请求不与多个受监督计算资源的任何一个相关联),则拒绝访问所拦截的数据以响应于粘贴操作请求。
在第七实现中,过程900包括,指定操作包括键盘输入,活跃计算资源是受监督计算资源,并且安全策略实施引擎基于安全策略中的安全规则来阻止无监督计算资源对提供给受监督计算资源的键盘输入的访问。
在第八实现中,过程900包括,指定操作包括拖放操作,与拖放操作的发起相关联的活跃计算资源是受监督计算资源,并且安全策略实施引擎基于安全策略中的安全规则来引起通过拖放操作复制的数据可经由多个受监督计算资源来访问,但经由多个无监督计算资源不可访问。
在第九实现中,拖放操作终止于目的地计算资源,该方法还包括:如果目的地计算资源是多个受监督计算资源中的一个(例如,响应于确定目的地计算资源是多个受监督计算资源中的一个),则授予访问以响应于拖放操作请求,和/或如果目的地计算资源不是多个受监督计算资源中的一个(例如,响应于确定目的地计算资源不是多个受监督计算资源中的一个),则拒绝访问以响应于拖放操作请求。
在第十实现中,过程900包括指定操作,其包括屏幕捕获操作,安全策略实施引擎基于安全策略中的安全规则来阻止与受监督计算资源相关联的屏幕区域的屏幕捕获或对其加水印,同时允许不与受监督计算资源相关联的屏幕区域的屏幕捕获,并且加水印包括用安全策略的表示覆盖与计算资源相关联的屏幕区域。
在第十一实现中,屏幕捕获操作包括截屏操作或屏幕共享操作。
在第十二实现中,过程900包括确定要为其阻止屏幕捕获的给定有监督计算资源是否利用图形处理单元(GPU)硬件加速。如果给定受监督计算资源利用GPU硬件加速(响应于确定给定受监督计算资源利用GPU硬件加速):过程900包括由安全策略实施引擎引起GPU在屏幕捕获操作期间在耦合到计算机器的显示单元上遮挡与给定受监督计算资源相关联的区域或对其加水印。如果给定受监督计算资源没有利用GPU硬件加速(响应于确定给定受监督计算资源没有利用GPU硬件加速):过程900包括在屏幕捕获操作的输出内遮挡给定受监督计算资源的表示或对其加水印;以及放弃遮挡在耦合到计算机器的显示单元上与给定受监督计算资源相关联的区域和放弃对其加水印。
尽管图9示出了过程900的示例框,但在一些实现中,过程900可以包括与图9中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程900的两个或更多个框可以并行执行。
图10是根据一些实施例的具有本机计算环境1002内的工作区域1004的计算机器1000的框图。如图所示,计算机器1000包括本机计算环境1004。本机计算环境1002的一部分是工作区域1004。如图所示,工作区域1004与安全策略1016相关联。安全策略应用于工作区域1004内的计算资源,但不应用于工作区域1004外部的计算资源。工作区域1004还包括工作网络接口引擎1018。工作网络接口引擎1018基于安全策略1016经由单独的隧道和/或单独的互联网协议(IP)地址来处理与工作区域1004相关联的网络访问请求。工作网络接口引擎1018可以为工作区域1004内的计算资源提供VPN以用于访问互联网。工作区域1004外部的计算资源可以不使用工作网络接口引擎1018的VPN。
如图所示,工作区域1004外部的本机计算环境1002包括应用,诸如所示的文字处理器应用1006.1和电子表格应用1008.1。当这些应用从工作区域1004被执行时,应用的单独实例被创建,诸如文字处理器应用1006.2和电子表格应用1008.2。计算机器1000在文字处理器应用1006.2和电子表格应用1008.2中的活动(例如,用户的活动)由安全策略1016监督。然而,文字处理器应用1006.1和电子表格应用1008.1中的计算机器的活动不受安全策略1016的监督。
如图所示,本机计算环境1002包括个人文件/文件夹1010.1和工作文件/文件夹1010.2。工作文件/文件夹1010.2驻留在工作区域1004中,并且受安全策略1016监督。个人文件/文件夹1010.1驻留在工作区域1004外部,并且不受安全策略1016的监督。根据一些实现,个人文件/文件夹1010.1和工作文件/文件夹1010.2可以对应于文件系统中的不同位置。例如,个人文件/文件夹1010.1可以位于C:/personal/*,而工作文件/文件夹1010.2可以位于C:/work/*,其中*对应于文件系统的文件地址字符串的一部分。工作区域1004可以包括工作文件/文件夹1010.2驻留在其中的文件系统的C:/work/*位置。
如图所示,本机计算环境1002包括工作区域1004外部的注册表1014.1。在工作区域1004内,注册表被模拟为模拟注册表1014.2。类似地,本机计算环境1002包括在工作区域1004外部的全局对象1012.1。在工作区域1004内,全局对象被模拟为模拟全局对象1012.2。当执行时,工作区域1004内的应用1006.2、1008.2使用模拟注册表1014.2和模拟全局对象1012.2,而不是注册表1014.1和全局对象1012.1。结果,由工作区域1004内的执行应用1006.2、1008.2访问的对象和注册表值由安全策略1016监督,并且应用1006、1008的单独实例在工作区域1004内部和外部被使用。
在一些实施例中,计算机器1000在单个用户帐户内存储多个受监督计算资源(例如,工作文件/文件夹1010.2)和多个附加计算资源(例如,个人文件/文件夹1010.1)。受监督计算资源与安全策略1016相关联,而无监督计算资源不与安全策略1016相关联。计算机器1000执行缺乏对多个受监督计算资源中的任何和全部受监督计算资源的读取访问权和写入访问权的指定应用(例如,文字处理器应用1006.1或电子表格应用1008.1)的第一实例。计算机器1000与第一实例同时执行访问多个受监督计算资源的至少一部分的指定应用(例如,文字处理器应用1006.2或电子表格应用1008.2)的第二实例。计算机器1000将来自安全策略1016的规则应用于指定应用的第二实例,同时放弃将来自安全策略1016的这些规则应用于特定应用的第一实例。
在一些实施例中,计算机器1000存储多个受监督计算资源(例如,工作文件/文件夹1010.2)和多个附加计算资源(例如,个人文件/文件夹1010.1)。多个受监督计算资源与安全策略1016相关联。多个受监督计算资源驻留在受监督区域(例如,工作区域1004)内。受监督区域包括与计算机器1000的本机计算环境1002相关联的数据的一部分。计算机器1000在监督区域外部执行指定应用(例如,文字处理器应用1006.1或电子表格应用1008.1)的第一实例。第一实例对受监督区域外部的数据具有读取访问权和写入访问权。第一实例缺乏对存储在受监督区域内的数据的读取访问权和写入访问权。计算机器1000与第一实例同时在受监督区域内执行指定应用(例如,文字处理器应用1006.2或电子表格应用1008.2)的第二实例。第二实例具有对受监督区域外部的数据的读取访问权,而缺乏对受监督区域外部的数据的写入访问权。第二实例具有对存储在受监督区域内的数据的读取访问权和写入访问权。第二实例与第一实例分开并且不同地运行。例如,第二实例可以利用工作区域1004的模拟注册表1014.2和模拟全局对象1012.1,而第一实例可以利用本机计算环境1002的注册表1014.1和全局对象1012.1。
如本文中使用的,企业可以包括企业、组织或任何其他实体类型。企业可以包括组织(例如,非营利组织或慈善机构)、政府实体(例如,机动车辆部或城镇税务局)或个人实体(例如,个人保姆实体或个人财务规划实体)。企业资源可以是期望由企业、组织、政府实体或个人实体(例如,想要隔离他/她的保姆或财务规划相关计算资源或隔离其他类型的计算资源的人)与个人资源隔离的任何资源。
图11是与个人和企业混合用途系统的安全计算环境相关联的示例过程1100的流程图。在一些实现中,图11的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图11的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图11的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图11所示,过程1100可以包括在计算机器处的单个用户帐户内存储多个无监督(例如,个人)计算资源和多个受监督(例如,组织或企业)计算资源,其中多个受监督计算资源与安全策略相关联(框1110)。例如,计算机器可以在计算机器处的单个用户帐户内存储多个无监督(例如,个人)计算资源和多个受监督计算资源,其中多个企业计算资源与安全策略(例如,组织安全策略或企业安全策略)相关联,如上所述。
如图11中进一步所示,过程1100可以包括从计算机器的用户接收访问多个受监督计算资源中的指定的受监督计算资源的请求(框1120)。例如,计算机器可以从计算机器的用户接收访问多个受监督计算资源中的指定的受监督计算资源的请求,如上所述。
如图11中进一步所示,过程1100可以包括提供在计算机器上在本地并且直接通过计算机器的本机计算环境对指定的受监督计算资源的访问(框1130)。例如,计算机器可以提供在计算机器上在本地并且直接通过计算机器的本机计算环境对指定的受监督计算资源的访问,如上所述。
如图11中进一步所示,过程1100可以包括引起显示单元在显示单元的与显示指定的企业计算资源的区域相关的显示位置处显示指定的受监督计算资源与安全策略相关联的指示符(框1140)。例如,计算机器可以引起显示单元在与显示指定的受监督计算资源的显示单元的区域相关的显示位置处显示指定的企业计算资源与安全策略相关联的指示符,如上所述。
如图11中进一步所示,过程1100可以包括将来自安全策略的安全规则应用于指定的受监督计算资源(框1150)。例如,计算机器可以将来自安全策略的安全规则应用于指定的受监督计算资源,如上所述。
过程1100可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
在第一实现中,过程1100包括从计算机器的用户接收访问多个无监督计算资源中的指定的无监督计算资源的请求,提供在计算机器上在本地并且直接通过计算机器的本机计算环境对指定的无监督计算资源的访问,放弃引起显示单元显示指定的无监督计算资源与企业安全策略相关联的指示符,以及放弃将来自安全策略的安全规则应用于指定的无监督计算资源。
在第二实现中,多个计算资源不与安全策略相关联。
在第三实现中,计算机器外部的管理员计算设备具有对驻留在计算机器处的多个受监督计算资源的访问权,而缺乏对驻留在计算机器处的多个无监督计算资源的访问权。
尽管图11示出了过程1100的示例框,但在一些实现中,过程1100可以包括与图11中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程1100的两个或更多个框可以并行执行。
图12是与用于混合用途系统的安全计算环境相关联的示例过程1200的流程图。在一些实现中,图12的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图12的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图12的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图12所示,过程1200可以包括经由计算机器处的用户帐户接收访问驻留在计算机器上的计算资源的请求(框1210)。例如,计算机器可以经由计算机器处的用户帐户接收访问驻留在计算机器上的计算资源的请求,如上所述。
如图12中进一步所示,过程1200可以包括提供在计算机器上在本地并且直接通过计算机器的本机计算环境对计算资源的访问(框1220)。例如,计算机器可以提供在计算机器上在本地并且直接通过计算机器的本机计算环境对计算资源的访问,如上所述。
如图12中进一步所示,过程1200可以包括确定计算资源与安全策略相关联,其中计算机器处的用户帐户与驻留在计算机器上的包括计算资源在内的多个计算资源相关联,多个计算资源的第一部分与安全策略相关联并且多个计算资源的第二部分不与安全策略相关联(框1230)。例如,计算机器可以确定计算资源与安全策略相关联,其中计算机器处的用户帐户与驻留在计算机器上的包括计算资源在内的多个计算资源相关联,多个计算资源的第一部分与安全策略相关联并且多个计算资源的第二部分不与安全策略相关联,如上所述。
如图12中进一步所示,过程1200可以包括:响应于确定计算资源与安全策略相关联,引起显示单元与显示单元的显示计算资源的区域相关联地显示计算资源与安全策略相关联的视觉指示(框1240)。例如,响应于确定计算资源与安全策略相关联,计算机器可以引起显示单元与显示单元的显示计算资源的区域相关联地显示计算资源与安全策略相关联的视觉指示,如上所述。
如图12中进一步所示,过程1200可以包括将来自安全策略的安全规则应用于计算资源(框1250)。例如,计算机器可以将来自安全策略的安全规则应用于该计算资源,如上所述。
过程1200可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
在第一实现中,计算资源是网站、应用或文件,其中计算机器是膝上型计算机、台式计算机、移动电话或平板计算机中的一种。
在第二实现中,安全策略是组织安全策略,其中计算机器存储与组织安全策略相关联的组织计算资源集合和不与组织安全策略相关联的个人计算资源集合。
在第三实现中,来自安全策略的安全规则包括以下中的一项或多项:阻止计算资源的共享、记录计算资源的共享的原因、在计算资源的共享之前接收用户确认、在计算资源被选择时记录击键、以及响应于计算机器空闲至少阈值时间段而锁定计算资源。
在第四实现中,共享包括打印、屏幕共享、经由电子邮件或消息传递服务进行传输、拖放、剪切和粘贴、下载、上传、附加、打印、访问特定网站、访问一类网站、启动应用或获取截屏中的一项或多项。
在第五实现中,过程1200包括响应于用户请求,关于计算资源停用来自安全策略的一个或多个安全规则;以及记录用户请求的原因。
在第六实现中,过程1200包括经由图形用户接口(GUI)接收视觉指示的选择的指示;以及响应于视觉指示的选择,提供关于计算机器的用户对计算资源的许可的信息或关于安全策略的信息以供显示。
在第七实现中,过程1200包括引起显示单元同时显示与安全策略相关联的计算资源和不与安全策略相关联的附加计算资源,计算资源和附加计算资源两者都通过计算机器的本机计算环境来执行。
在第八实现中,视觉指示符被显示在显示计算资源的显示单元的区域的边界上或附近。
尽管图12示出了过程1200的示例框,但在一些实现中,过程1200可以包括与图12中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程1200的两个或更多个框可以并行执行。
图13是与将安全策略应用于应用的运行实例的一部分相关联的示例过程1300的流程图。在一些实现中,图13的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图13的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图13的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图13所示,过程1300可以包括在计算机器处的单个用户帐户内存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联(框1310)。例如,计算机器可以在计算机器处的单个用户帐户内存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联,如上所述。
如图13中进一步所示,过程1300可以包括执行缺乏对多个受监督计算资源中的任何和全部受监督计算资源的读取访问权和写入访问权的指定应用的第一实例(框1320)。例如,计算机器可以执行缺乏对多个受监督计算资源中的任何和全部受监督计算资源的读取访问权和写入访问权的指定应用的第一实例,如上所述。
如图13中进一步所示,过程1300可以包括与第一实例同时执行访问多个受监督计算资源的至少一部分的指定应用的第二实例(框1330)。例如,计算机器可以与第一实例同时执行访问多个受监督计算资源的至少一部分的指定应用的第二实例,如上所述。
如图13中进一步所示,过程1300可以包括将来自安全策略的规则应用于指定应用的第二实例,同时放弃将来自安全策略的规则应用于指定应用的第一实例(框1340)。例如,计算机器可以将来自安全策略的规则应用于指定应用的第二实例,同时放弃将来自安全策略的规则应用于指定应用的第一实例,如上所述。
过程1300可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
在第一实现中,过程1300包括基于以下中的一项或多项将计算资源标识为受监督计算资源:计算资源在目录或文件系统中的位置、云存储位置、安全策略中的规则、进程名称或路径、统一资源定位符(URL)地址、以及计算资源是否是从与多个受监督计算资源相关联的应用启动器被启动的。
在第二实现中,附加计算资源包括个人计算资源,其中受监督计算资源包括组织计算资源,其中多个受监督计算资源和多个附加计算资源包括文件、云文件存储访问、应用或网站。
在第三实现中,指定应用的第一实例访问多个附加计算资源的至少一部分。
在第四实现中,指定应用的第二实例具有对多个附加计算资源的至少一部分的读取访问权,而缺乏对多个附加计算资源的至少一部分的写入访问权,其中当第二实例访问多个附加计算资源的至少一部分时,安全策略的应用基于与计算机器相关联的设置。
在第五实现中,过程1300包括使用指定应用的第三实例访问不安全计算资源;阻止指定应用的第三实例对多个受监督计算资源中的任何和全部受监督计算资源以及多个附加计算资源中的任何和全部附加计算资源的访问。
在第六实现中,过程1300包括基于不安全计算资源驻留在下载存储器区域、与电子邮件应用的附件相关联的存储器区域、或与网络浏览器相关联的存储器区域中来标识不安全计算资源。
在第七实现中,下载存储器区域包括下载文件夹,其中与网络浏览器相关联的存储器区域包括下载文件夹,其中与电子邮件应用的附件相关联的存储器区域包括附件文件夹。
尽管图13示出了过程1300的示例框,但在一些实现中,过程1300可以包括与图13中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程1300的两个或更多个框可以并行执行。
图14是与在受监督和无监督区域中执行相同应用相关联的示例过程1400的流程图。在一些实现中,图14的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图14的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图14的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
如图14所示,过程1400可以包括在计算机器处(例如,在单个用户帐户内)存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联,其中多个受监督计算资源驻留在受监督区域内,受监督区域包括与计算机器的本机计算环境相关联的数据的一部分(框1410)。例如,计算机器可以在计算机器处存储多个受监督计算资源和多个附加计算资源,其中多个受监督计算资源与安全策略相关联,其中多个受监督计算资源驻留在受监督区域内,受监督区域包括与计算机器的本机计算环境相关联的数据的一部分,如上所述。
如图14中进一步所示,过程1400可以包括在受监督区域外部执行指定应用的第一实例,其中第一实例具有对受监督区域外部的数据的读取访问权和写入访问权,其中第一实例缺乏对存储在受监督区域内的数据的读取访问权和写入访问权(框1420)。例如,计算机器可以在受监督区域外部执行指定应用的第一实例,其中第一实例具有对受监督区域外部的数据的读取访问权和写入访问权,其中第一实例缺乏对存储在受监督区域内的数据的读取访问权和写入访问权,如上所述。
如图14中进一步所示,过程1400可以包括与第一实例同时在受监督区域内执行指定应用的第二实例,其中第二实例具有对受监督区域外部的数据的读取访问权,而缺乏对受监督区域外部的数据的写入访问权,其中第二实例具有对存储在受监督区域内的数据的读取访问权和写入访问权,其中第二实例与第一实例分开并且不同地运行(框1430)。例如,计算机器可以与第一实例同时在受监督区域内执行指定应用的第二实例,其中第二实例具有对受监督区域外部的数据的读取访问权,而缺乏对受监督区域外部的数据的写入访问权,其中第二实例具有对存储在受监督区域内的数据的读取访问权和写入访问权,其中第二实例与第一实例分开并且不同地运行,如上所述。
过程1400可以包括附加实现,诸如下面和/或结合本文其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
在第一实现中,附加计算资源包括个人计算资源,其中受监督计算资源包括组织计算资源,其中多个受监督计算资源和多个附加计算资源包括文件、云文件存储访问、应用或网站。
在第二实现中,过程1400包括指定应用的第二实例经由受监督网络接口访问网络,安全策略指定可以经由受监督网络接口访问的网络或子网,并且受监督网络接口隔离与受监督区域相关联的域名系统(DNS)业务。
在第三实现中,过程1400包括指定应用的第一实例经由计算机器的本机网络接口而不是经由受监督网络接口访问网络,并且受监督网络接口限制驻留在受监督区域外部的多个附加资源访问与受监督区域相关联的网络资源。
在第四实现中,过程1400包括指定应用的第一实例访问计算机器的组件对象模型(COM),并且指定应用的第二实例访问与计算机器的COM不同的受监督区域的模拟COM。COM可以是分布式组件对象模型(DCOM)。
在第五实现中,过程1400包括指定应用的第一实例访问计算机器的远程过程调用(RPC)子系统以用于进程间通信,并且指定应用的第二实例访问受监督区域的模拟RPC子系统以用于进程间通信,受监督区域的模拟RPC子系统不同于计算机器的RPC子系统。
在一些实现中,指定应用的第一实例访问计算机器的通用应用(例如,华盛顿州雷德蒙德的微软公司开发的通用Windows平台(UWP))可用的通用应用平台应用程序编程接口(API)。指定应用的第二实例访问受监督区域的通用应用平台API,该通用应用API不同于可用于计算机器的通用应用的通用应用软件平台API。通用应用平台API可以包括外壳基础设施主机(sihost)、状态库服务、后台任务基础设施、用户管理器服务、Azure ActiveDirectory(AAD)代理和AAD凭据管理器中的至少一项。后台任务基础设施包括主机活动管理器。用户管理器服务包括应用激活管理器和视图管理器。
在第六实现中,过程1400包括计算机器在受监督区域外部存储全局对象集合,计算机器在受监督区域内存储模拟全局对象集合的模拟全局对象集合,指定应用的第一实例访问全局对象集合,并且指定应用的第二实例访问模拟全局对象集合。
在第七实现中,过程1400包括计算机器在受监督区域外部存储计算机器注册表,计算机器注册表表示设置,设置包括硬件设备配置、安装应用设置和操作系统设置,计算机器在受监督区域内存储模拟注册表,模拟注册表为在受监督区域内执行的应用模拟计算机器注册表,指定应用的第一实例访问计算机器注册表,并且指定应用的第二实例访问模拟注册表。
在第八实现中,过程1400包括,指定应用是文件管理器应用,第一实例用于对来自多个附加计算资源的文件的访问,并且第二实例用于对来自多个受监督计算资源的文件的访问和对多个附加计算资源的只读访问。第二实例用于对来自多个受监督计算资源的文件的访问,并且对多个附加计算资源的只读访问可以基于安全策略。
在第九实现中,过程1400包括经由计算机器的文件浏览器访问打开所选择的文件的请求,其中文件浏览器在受监督区域外部执行,其中文件具有相关联的应用,其中文件浏览器提供对受监督区域外部的文件和受监督区域内部的文件两者的访问;确定选择的文件是否来自多个受监督计算资源;在确定选择的文件来自多个受监督计算资源时:使用在受监督区域内执行的相关联的应用的实例来打开选择的文件;以及在确定选择的文件不是来自多个受监督计算资源时:使用未在受监督区域内执行的相关联的应用的实例来打开选择的文件。
在第十实现中,计算机器的操作系统缺乏对来自受监督区域外部的多个受监督计算资源的访问。
在第十一实现中,安全程序能够访问受监督区域和无监督区域两者,其中安全程序包括防病毒程序、反恶意软件程序或安全审计工具中的一项或多项。在一些情况下,计算机器基于存储已知安全程序的数据结构(例如,在数据库、另一数据存储库或计算机器的存储器中)并且基于与程序相关联的数字签名来将程序标识为安全程序。响应于数字签名与数据结构中的已知安全程序中的一个相关联,与该安全程序相关联的应用向计算机器的驱动程序传输指示该程序将能够访问受监督区域和无监督区域两者的消息。数据结构可以基于已知安全程序来动态更新,因为新的安全程序可以在安全策略首次在计算机器上被实现之后出现。
在第十二实现中,过程1400包括使用在受限区域中执行的指定应用的受限实例来访问不安全计算资源;阻止指定应用的受限实例对多个受监督计算资源中的任何和全部受监督计算资源以及多个附加计算资源中的任何和全部附加计算资源的访问。受限区域可以用于从互联网下载或作为电子邮件消息而接收的并且不知道是安全的计算资源(例如,文件、云文件存储访问、应用或网站)。受限区域可以限制受限区域中的计算资源对计算机器的某些软件或硬件的访问。在验证了计算资源是安全的之后,用户可以能够将计算资源从受限区域移动到无监督区域。
在第十三实现中,安全程序能够访问受监督区域、无监督区域和受限区域,其中安全程序包括反病毒程序、反恶意软件程序或安全审计工具中的一项或多项。
在第十四实现中,过程1400包括基于不安全计算资源驻留在下载存储器区域、与电子邮件应用的附件相关联的存储器区域、或与网络浏览器相关联的存储器区域中来标识不安全计算资源。
在第十五实现中,下载存储器区域包括下载文件夹,其中与网络浏览器相关联的存储器区域包括下载文件夹,并且其中与电子邮件应用的附件相关联的存储器区域包括附件文件夹。
在第十六实现中,计算机器经由第二实例打开与指定应用不同的附加应用或网站。计算机器在受监督区域内执行附加应用或网站。附加应用或网站具有对受监督区域外部的数据的读取访问权,而缺乏对受监督区域外部的数据的写入访问权。附加应用或网站具有对存储在受监督区域内的数据的读取访问权和写入访问权。
在第十七种实现中,计算机器经由第一实例打开与指定应用不同的附加应用或网站。计算机器在受监督区域外部执行附加应用或网站。附加应用或网站缺乏对存储在受监督区域内的数据的读取访问权和写入访问权。
在一个示例用例中,用户在受监督区域中启动电子表格应用以查看企业预算。用户还在受监督区域外部启动相同的电子表格应用以查看个人祖先表。打开电子表格应用的两个独立并且不同的实例——一个在受监督区域内部,另一个在受监督区域外部。企业预算包括为供应商采购产品的超链接。当用户选择超链接中的一个用于从供应商处购买产品时,计算机器在针对受监督区域的默认网络浏览器内打开受监督区域内的超链接。个人祖先表包括用户亲属的社交媒体网站的超链接。当用户为社交媒体网站选择超链接时,社交媒体页面将在针对无监督区域的默认网络浏览器中打开。受监督区域和无监督区域可以具有不同的默认网络浏览器。
替代地,受监督区域和无监督区域可以具有相同的默认网络浏览器。如果受监督区域和无监督区域可以具有相同的默认网络浏览器,则网络浏览器的两个不同窗口可以被打开。一个窗口(具有用于从供应商处购买产品的网站)可以在受监督区域内操作,一个窗口(具有社交媒体页面)可以在无监督区域内操作。具有用于从供应商处购买产品的网站的窗口可以具有可以用于购买产品的企业信用卡的存储版本(存储在受监督区域内、在钱包应用中或在网络浏览器内)。然而,具有社交媒体网站的窗口可以缺乏企业信用卡的存储版本,并且因此用户不会意外地将企业信用卡用于放置在无监督区域内的个人购买订单。
尽管图14示出了过程1400的示例框,但在一些实现中,过程1400可以包括与图14中所示的相比更多的框、更少的框、不同的框或不同地布置的框。另外地或替代地,过程1400的两个或更多个框可以并行执行。
图15是根据一些实施例的与显示组织计算资源的组织指示符相关联的示例过程1500的流程图。在一些实现中,图15的一个或多个过程框可以由计算机器(例如,计算机器100)执行。在一些实现中,图15的一个或多个过程框可以由与计算机器分离或包括计算机器的另一设备或一组设备执行。另外地或替代地,图15的一个或多个过程框可以由计算机器100的一个或多个组件执行,诸如处理器102、主存储器104、静态存储器106、网络接口设备120、视频显示器110、字母数字输入设备112、UI导航设备112、驱动单元116、信号生成设备118和输出控制器128。
在框1510,计算机器在计算机器的存储器(例如,本地存储器)中存储包括受监督计算资源(例如,组织或企业计算资源)的计算资源。计算机器可以存储受监督计算资源(例如,企业文件或企业软件)和无监督计算资源(例如,非组织或非企业计算资源,诸如个人文件或个人软件)。在一些示例中,计算机器的存储器存储受监督计算资源和无监督计算资源。在某些情况下,受监督计算资源和无监督计算资源是互斥的。
在框1520,计算机器接收显示存储在存储器中的计算资源中的计算资源的请求。例如,用户可以经由计算机器的图形用户接口请求打开文件以进行查看(在某些情况下,还可以进行编辑)。
在框1530,计算机器引起计算资源在显示设备的显示区域内的显示。显示区域可以包括显示设备的全部或一部分。显示区域可以包括显示设备上的显示空间的全部或一部分。显示区域可以包括由华盛顿州雷德蒙德的微软公司开发的某些操作系统中的窗口、或其他操作系统中类似的显示区域。
在框1540,计算机器基于标识标准(例如,组织标识标准或企业标识标准)来确定计算资源是否是受监督计算资源。标识标准可以包括以下中的至少一项:计算资源驻留在计算机器或云存储单元的文件系统中的目录中、计算资源的文件类型、与计算资源相关联的应用、与计算资源相关联的网站、或者计算资源由指定实体(例如,与组织或企业相关联的实体)提供给或安装在计算机器处。标识标准可以包括存储器的预定义区域(例如,存储器的组织区域或企业区域)内计算资源的存在。预定义区域具有至少一个安全策略,至少一个安全策略适用于预定义区域内的计算资源,而不适用于预定义区域外部的计算资源。在一些情况下,预定义区域具有至少一个网络接口,至少一个网络接口可访问预定义区域内的计算资源,而不可访问预定义区域外部的计算资源。在一些实现中,标识标准包括计算资源经由计算机器处的受监督启动器(例如,组织启动器或企业启动器)来访问、或者包括来自附加受监督计算资源的数据。附加受监督计算资源可以包括以下中的至少一项:文件、电子邮件、软件即服务(SaaS)应用或网站、或网络目的地或子网。如本文中使用的,术语“子网”包含其简单和普通的含义。子网可以包括作为另一网络的组件的子网。
如果计算资源是受监督计算资源,则过程1500继续到框1550。如果计算资源不是受监督资源,则过程1500继续到框1560。
在框1550,在确定计算资源是受监督计算资源时,计算机器引起与显示区域的边缘相邻的指示符(例如,组织指示符或企业指示符)的显示。该指示符指示该计算资源是受监督计算资源。指示符可以包括边界(例如,边界406A、406B),该边界占据显示区域外部的像素,该像素距显示区域的距离小于或等于n个像素,其中n是正整数,并且其中该边界具有预定义颜色或设计。指示符可以包括标记(例如,标记408A、408B),该标记具有覆盖显示区域的边缘的一部分的圆形或椭圆形形状。在框1550之后,过程1500结束。
在框1560,在确定计算资源不是受监督计算资源时,计算机器放弃引起受监督指示符的显示。在框1560之后,过程1500结束。
一些实施例被描述为编号示例(示例1、2、3等)。这些仅作为示例提供,并不限制本文中公开的技术。
示例1是一种方法,所述方法包括:在计算机器处存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联;经由所述计算机器的本机计算环境引起与所述计算机器耦合的显示单元同时显示指定的受监督计算资源的全部或一部分和指定的附加计算资源的全部或一部分;将来自所述安全策略的安全规则应用于所述指定的受监督计算资源,其中应用所述安全规则包括至少促进由跟踪服务跟踪所述计算机器关于所述指定的受监督计算资源的活动;以及放弃促进由所述跟踪服务跟踪所述计算机器关于所述指定的附加计算资源以及关于所述计算机器上不与所述多个受监督计算资源中的一个或多个受监督计算资源相关联的活动的活动。
在示例2中,示例1的主题包括,其中所述附加计算资源包括个人计算资源,其中所述受监督计算资源包括企业计算资源,所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
在示例3中,示例1至2的主题包括放弃将来自所述安全策略的安全规则应用于所述指定的附加计算资源。
在示例4中,示例1至3的主题包括与所述指定的受监督计算资源相关联地显示指示跟踪正在进行的视觉指示符。
在示例5中,示例4的主题包括,其中所述视觉指示符包括与所述显示单元的、由所述指定的受监督计算资源占据的区域相邻的标记或边界,其中所述视觉指示符是在所述受监督计算资源的启动时建立的,其中所述视觉指示符在从所述受监督计算资源退出或由所述计算机器的用户注销时被移除。
在示例6中,示例1至5的主题包括,其中所述计算机器关于所述指定的受监督计算资源的所述活动和所述计算机器关于所述指定的附加计算资源的所述活动包括网络业务。
在示例7中,示例1至6的主题包括,其中所述计算机器关于所述指定的受监督计算资源的所述活动和所述计算机器关于所述指定的附加计算资源的所述活动包括互联网浏览。
在示例8中,示例1至7的主题包括,其中所述计算机器关于所述指定的受监督计算资源的所述活动和所述计算机器关于所述指定的附加计算资源的所述活动包括相机或麦克风输入活动。
在示例9中,示例1至8的主题包括,存储从所述计算机器传输到所述跟踪服务的信息;以及响应于用户请求,提供从所述计算机器传输到所述跟踪服务的所述信息的视觉表示以供显示。
在示例10中,示例1至9的主题包括,其中所述跟踪服务包括基于云的跟踪服务、一个或多个服务器、以及与所述安全策略相关联的管理员计算设备中的一项或多项。
示例11是一种方法,所述方法包括:在计算机器处存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联;经由所述计算机器的本机计算环境引起与所述计算机器耦合的显示单元在第一显示位置处显示所述多个受监督计算资源中的指定的受监督计算资源的全部或一部分;引起所述显示单元在基于所述第一显示位置而计算的显示位置处显示所述指定的受监督计算资源与所述安全策略相关联的视觉指示符;以及将来自所述安全策略的安全规则应用于所述指定的受监督计算资源。
在示例12中,示例11的主题包括,其中所述附加计算资源包括个人计算资源,其中所述受监督计算资源包括企业计算资源,所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
在示例13中,示例11至12的主题包括,其中所述附加计算资源包括第一类型的计算资源,其中所述受监督计算资源包括实体期望增强安全性的第二类型的计算资源,其中所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
在示例14中,示例11至13的主题包括,其中所述视觉指示符包括靠近所述第一显示位置的边缘的标记,所述标记指示所述安全策略适用于所述指定的受监督计算资源。
在示例15中,示例14的主题包括:接收表示所述标记的用户选择的信号;以及响应于所述标记的所述用户选择,引起所述显示单元显示关于适用于所述计算机器的所述安全策略的信息。
在示例16中,示例11至15的主题包括,其中所述视觉指示符包括边界,其中所述边界包括像素,所述像素:在所述第一显示位置外部,在距所述第一显示位置的边缘的阈值距离内,并且未被与所述视觉指示符相关联的标记占据。
在示例17中,示例16的主题包括,其中多个计算资源被显示在所述显示单元上,其中每个显示的计算资源与基于所显示的计算资源最后选择的时间的显示优先级值相关联,其中所述边界包括未被在所述指定的受监督计算资源的最后选择时间之后选择的计算资源占据的像素。
在示例18中,示例16至17的主题包括在所述计算机器的处理电路系统处接收表示沿着所述显示单元拖动所述指定的受监督计算资源的信号;使用所述处理电路系统每隔n毫秒一次以离散方式或者基于操作系统窗口事件重新计算所述边界的位置,其中n是预定正数。
在示例19中,示例16至18的主题包括,由所述指定的受监督计算资源生成弹出窗口或显示警报;以及引起所述边界在所述弹出窗口或所述显示警报周围的显示。
在示例20中,示例11至19的主题包括在所述计算机器处接收执行违反安全规则的动作的用户请求;以及响应于所述用户确认所述用户希望执行所述动作的附加肯定动作,基于与所述安全策略一起存储并且由所述安全策略的管理员提供的设置,允许所述用户执行违反所述安全规则的所述动作。
在示例21中,示例11至20的主题包括,经由所述计算机器的所述本机计算环境,引起所述显示单元在第二显示位置处显示所述多个附加计算资源中的指定的附加计算资源的全部或一部分;放弃引起所述显示单元与所述指定的附加计算资源相关联地显示所述视觉指示符;以及放弃将来自所述安全策略的安全规则应用于所述指定的附加计算资源。
在示例22中,示例11至21的主题包括,经由所述计算机器的本机计算环境,引起与所述计算机器耦合的所述显示单元在预定义显示位置处显示在所述计算设备上打开的多个计算资源的记号,其中所述受监督计算资源的记号与指示所述受监督计算资源与所述安全策略相关联的视觉符号耦合。
在示例23中,示例22的主题包括,其中附加计算资源的记号不与所述视觉符号耦合。
在示例24中,示例22至23的主题包括,其中所述多个计算资源的所显示的记号包括任务栏或浮台。
示例25是一种方法,所述方法包括:在计算机器处的单个用户帐户内存储多个无监督计算资源和多个受监督计算资源,其中所述多个受监督计算资源与安全策略相关联;从所述计算机器的用户接收访问所述多个受监督计算资源中的指定的受监督计算资源的请求;提供在所述计算机器上在本地并且直接通过所述计算机器的本机计算环境对所述指定的受监督计算资源的访问;引起显示单元在与显示所述指定的受监督计算资源的所述显示单元的区域相关的显示位置处显示所述指定的受监督计算资源与所述安全策略相关联的指示符;以及将来自所述安全策略的安全规则应用于所述指定的受监督计算资源。
在示例26中,示例25的主题包括,从所述计算机器的所述用户接收访问所述多个无监督计算资源中的指定的无监督计算资源的请求;提供在所述计算机器上在本地并且直接通过所述计算机器的本机计算环境对所述指定的无监督计算资源的访问;放弃引起所述显示单元显示所述指定的无监督计算资源与所述安全策略相关联的所述指示符;以及放弃将来自所述安全策略的安全规则应用于所述指定的个人计算资源。
在示例27中,示例25至26的主题包括,其中所述多个无监督计算资源不与所述安全策略相关联。
在示例28中,示例25至27的主题包括,其中所述计算机器外部的管理员计算设备具有对驻留在所述计算机器处的所述多个受监督计算资源的访问权,而缺乏对驻留在所述计算机器处的所述多个无监督计算资源的访问权。
在示例29中,示例25至28的主题包括,其中所述安全策略包括所述安全规则限制所述计算机器的所述用户关于所述多个受监督计算资源的活动。
在示例30中,示例25至29的主题包括,其中所述安全策略包括监测策略允许远程计算设备监测所述计算机器的所述用户关于所述多个受监督计算资源的活动。
在示例31中,示例25至30的主题包括,其中所述多个无监督计算资源和所述多个受监督计算资源驻留在所述计算机器或云存储单元的文件系统的单独并且不同的目录中。
示例32是一种方法,所述方法包括:经由计算机器处的用户帐户接收访问驻留在所述计算机器上的计算资源的请求;提供在所述计算机器上在本地并且直接通过所述计算机器的本机计算环境对所述计算资源的访问;确定所述计算资源与安全策略相关联,其中在所述计算机器处的所述用户帐户与驻留在所述计算机器上的包括所述计算资源在内的多个计算资源相关联,所述多个计算资源的第一部分与所述安全策略相关联并且所述多个计算资源的第二部分不与所述安全策略相关联;响应于确定所述计算资源与所述安全策略相关联,引起显示单元与所述显示单元的区域显示所述计算资源相关联地显示所述计算资源与所述安全策略相关联的视觉指示;以及将来自所述安全策略的安全规则应用于所述计算资源。
在示例33中,示例32的主题包括,其中所述计算资源是网站、应用或文件,其中所述计算机器是膝上型计算机、台式计算机、移动电话或平板计算机中的一种。
在示例34中,示例32至33的主题包括,其中所述安全策略是组织安全策略,其中所述计算机器存储与所述组织安全策略相关联的组织计算资源集合和不与所述组织安全策略相关联的个人计算资源集合。
在示例35中,示例32至34的主题包括,其中来自所述安全策略的所述安全规则包括以下中的一项或多项:阻止所述计算资源的共享、记录所述计算资源的共享的原因、在所述计算资源的共享之前接收用户确认、在所述计算资源被选择时记录击键、以及响应于所述计算机器空闲至少阈值时间段而锁定所述计算资源。
在示例36中,示例35的主题包括,其中共享包括打印、屏幕共享、经由电子邮件或消息传递服务进行传输、拖放、剪切和粘贴、下载、上传、附加、打印、访问特定网站、访问一类网站、启动应用或获取截屏中的一项或多项。
在示例37中,示例32至36的主题包括,响应于用户请求,关于计算资源停用来自所述安全策略的一个或多个安全规则;以及记录所述用户请求的原因。
在示例38中,示例32至37的主题包括经由图形用户接口(GUI)接收所述视觉指示的选择的指示;以及响应于所述视觉指示的所述选择,提供关于所述计算机器的用户对所述计算资源的许可的信息或关于所述安全策略的信息以供显示。
在示例39中,示例32至38的主题包括,引起所述显示单元同时显示与所述安全策略相关联的所述计算资源和不与所述安全策略相关联的附加计算资源,所述计算资源和所述附加计算资源两者都通过所述计算机器的所述本机计算环境来执行。
在示例40中,示例32至39的主题包括,其中所述视觉指示符被显示在显示所述计算资源的所述显示单元的所述区域的边界上或附近。
示例41是一种方法,所述方法包括:在计算机器处的单个用户帐户内存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联;执行缺乏对所述多个受监督计算资源中的任何和全部受监督计算资源的读取访问权和写入访问权的指定应用的第一实例;与所述第一实例同时执行访问所述多个受监督计算资源的至少一部分的所述指定应用的第二实例;以及将来自所述安全策略的规则应用于所述指定应用的所述第二实例,同时放弃将来自所述安全策略的所述规则应用于所述指定应用的所述第一实例。
在示例42中,示例41的主题包括基于以下中的一项或多项将计算资源标识为受监督计算资源:所述计算资源在目录或文件系统中的位置、云存储位置、所述安全策略中的规则、进程名称或路径、统一资源定位符(URL)地址、以及所述计算资源是否是从与所述多个受监督计算资源相关联的应用启动器被启动的。
在示例43中,示例41至42的主题包括,其中所述附加计算资源包括个人计算资源,其中所述受监督计算资源包括组织计算资源,其中所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
在示例44中,示例41至43的主题包括,其中所述指定应用的所述第一实例访问所述多个附加计算资源的至少一部分。
在示例45中,示例41至44的主题包括,其中所述指定应用的所述第二实例具有对所述多个附加计算资源的至少一部分的读取访问权,而缺乏对所述多个附加计算资源的至少一部分的写入访问权,其中当所述第二实例访问所述多个附加计算资源的所述至少一部分时,所述安全策略的应用基于与所述计算机器相关联的设置。
在示例46中,示例41至45的主题包括使用所述指定应用的第三实例访问不安全计算资源;阻止所述指定应用的所述第三实例对所述多个受监督计算资源中的任何和全部受监督计算资源以及所述多个附加计算资源中的任何和全部附加计算资源的访问。
在示例47中,示例46的主题包括基于所述不安全计算资源驻留在下载存储器区域、与电子邮件应用的附件相关联的存储器区域、或与网络浏览器相关联的存储器区域中来标识所述不安全计算资源。
在示例48中,示例47的主题包括,其中所述下载存储器区域包括下载文件夹,其中与所述网络浏览器相关联的所述存储器区域包括所述下载文件夹,其中与所述电子邮件应用的所述附件相关联的所述存储器区域包括附件文件夹。
示例49是一种方法,所述方法包括:在计算机器处存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联,其中所述多个受监督计算资源驻留在受监督区域内,所述受监督区域包括与所述计算机器的本机计算环境相关联的数据的一部分;在所述受监督区域外部执行指定应用的第一实例,其中所述第一实例具有对所述受监督区域外部的数据的读取访问权和写入访问权,其中所述第一实例缺乏对存储在所述受监督区域内的数据的读取访问权和写入访问权;以及与所述第一实例同时在所述受监督区域内执行所述指定应用的第二实例,其中所述第二实例具有对所述受监督区域外部的数据的读取访问权,而缺乏对所述受监督区域外部的数据的写入访问权,其中所述第二实例具有对存储在所述受监督区域内的数据的读取访问权和写入访问权,其中所述第二实例与所述第一实例分开并且不同地运行。
在示例50中,示例49的主题包括,其中所述附加计算资源包括个人计算资源,其中所述受监督计算资源包括组织计算资源,其中所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
在示例51中,示例49至50的主题包括:所述指定应用的所述第二实例经由受监督网络接口访问网络,并且所述受监督网络接口隔离与所述受监督区域相关联的域名系统(DNS)业务。
在示例52中,示例51的主题包括:所述指定应用的所述第一实例经由所述计算机器的本机网络接口而不是经由所述受监督网络接口访问所述网络,并且所述受监督网络接口限制驻留在所述受监督区域外部的所述多个附加资源访问与所述受监督区域相关联的网络资源。
在示例53中,示例49至52的主题包括:所述指定应用的所述第一实例访问所述计算机器的组件对象模型(COM),并且所述指定应用的所述第二实例访问与所述计算机器的所述COM不同的所述受监督区域的模拟COM。
在示例54中,示例49至53的主题包括:所述指定应用的所述第一实例访问所述计算机器的远程过程调用(RPC)子系统以用于进程间通信,并且所述指定应用的所述第二实例访问所述受监督区域的模拟RPC子系统以用于进程间通信,所述受监督区域的所述模拟RPC子系统不同于所述计算机器的所述RPC子系统。
在示例55中,示例49至54的主题包括:所述计算机器在所述受监督区域外部存储全局对象集合,所述计算机器在所述受监督区域内存储模拟所述全局对象集合的模拟全局对象集合,所述指定应用的所述第一实例访问所述全局对象集合,并且所述指定应用的所述第二实例访问所述模拟全局对象集合。
在示例56中,示例49至55的主题包括,其中:所述计算机器在所述受监督区域外部存储计算机器注册表,所述计算机器注册表表示设置,所述设置包括硬件设备配置、安装应用设置和操作系统设置,所述计算机器在所述受监督区域内存储模拟注册表,所述模拟注册表为在所述受监督区域内执行的应用模拟所述计算机器注册表,所述指定应用的所述第一实例访问所述计算机器注册表,并且所述指定应用的所述第二实例访问所述模拟注册表。
在示例57中,示例49至56的主题包括:所述指定应用是文件管理器应用,所述第一实例用于对来自所述多个附加计算资源的文件的访问,并且所述第二实例用于对来自所述多个受监督计算资源的文件的访问和对所述多个附加计算资源的只读访问。
在示例58中,示例49至57的主题包括经由所述计算机器的文件浏览器访问打开所选择的文件的请求,其中所述文件浏览器在所述受监督区域外部执行,其中所述文件具有相关联的应用,其中所述文件浏览器提供对所述受监督区域外部的文件和所述受监督区域内部的文件两者的访问;确定所述选择的文件是否来自所述多个受监督计算资源;在确定所述选择的文件来自所述多个受监督计算资源时:使用在所述受监督区域内执行的相关联的应用的实例来打开所述选择的文件;以及在确定所述选择的文件不是来自所述多个受监督计算资源时:使用未在所述受监督区域内执行的相关联的应用的实例来打开所述选择的文件。
在示例59中,示例49至58的主题包括,其中所述计算机器的操作系统缺乏对来自所述受监督区域外部的所述多个受监督计算资源的访问。
在示例60中,示例49至59的主题包括,其中安全程序能够访问所述受监督区域和所述无监督区域两者,其中所述安全程序包括防病毒程序、反恶意软件程序或安全审计工具中的一项或多项。
在示例61中,示例49至60的主题包括使用在受限区域中执行的所述指定应用的受限实例来访问不安全计算资源;阻止所述指定应用的所述受限实例对所述多个受监督计算资源中的任何和全部受监督计算资源以及所述多个附加计算资源中的任何和全部附加计算资源的访问。
在示例62中,示例61的主题包括,其中安全程序能够访问所述受监督区域、所述无监督区域和所述受限区域,其中所述安全程序包括反病毒程序、反恶意软件程序或安全审计工具中的一项或多项。
在示例63中,示例61至62的主题包括基于所述不安全计算资源驻留在下载存储器区域、与电子邮件应用的附件相关联的存储器区域、或与网络浏览器相关联的存储器区域中来标识所述不安全计算资源。
在示例64中,示例63的主题包括,其中所述下载存储器区域包括下载文件夹,其中与所述网络浏览器相关联的所述存储器区域包括所述下载文件夹,并且其中与所述电子邮件应用的所述附件相关联的所述存储器区域包括附件文件夹。
示例65是一种方法,所述方法包括:在计算机器的存储器中存储包括受监督计算资源在内的计算资源;接收显示存储在所述存储器中的所述计算资源中的计算资源的请求;引起所述计算资源在显示设备的显示区域内的显示;基于标识标准来确定所述计算资源是否是所述受监督计算资源中的受监督计算资源;以及在确定所述计算资源是所述受监督计算资源时:引起与所述显示区域的边缘相邻的指示符的显示,其中所述指示符指示所述计算资源是所述受监督计算资源;或者在确定所述计算资源不是所述受监督计算资源时:放弃引起所述指示符的显示。
在示例66中,示例65的主题包括,其中所述标识标准包括以下中的至少一项:所述计算资源驻留在所述计算机器或云存储单元的文件系统中的目录中、所述计算资源的文件类型、与所述计算资源相关联的应用、与所述计算资源相关联的网站、或者所述计算资源由指定实体提供给或安装在所述计算机器处。
在示例67中,示例65至66的主题包括,其中所述标识标准包括所述存储器的预定义区域内所述计算资源的存在,其中所述预定义区域具有至少一个安全策略,所述至少一个安全策略适用于所述预定义组织区域内的所述计算资源,而不适用于所述预定义组织区域外部的所述计算资源。
在示例68中,示例65至67的主题包括,其中所述标识标准包括所述存储器的预定义区域内所述计算资源的存在,其中所述预定义区域具有至少一个网络接口,所述至少一个网络接口可访问所述预定义区域内的所述计算资源,而不可访问所述预定义区域外部的所述计算资源。
在示例69中,示例65至68的主题包括,其中所述标识标准包括计算资源经由所述计算机器处的受监督启动器来访问、或者包括来自附加受监督计算资源的数据。
在示例70中,示例69的主题包括,其中所述附加受监督计算资源包括文件、电子邮件、软件即服务(SaaS)应用或网站、或网络目的地或子网中的至少一项。
在示例71中,示例65至70的主题包括,其中所述指示符包括占据所述显示区域外部的像素的边界,所述像素距所述显示区域的距离小于或等于n个像素,其中n是正整数,其中所述边界具有预定义颜色或设计。
在示例72中,示例65至71的主题包括,其中所述指示符包括具有圆形或椭圆形形状的标记,所述标记覆盖所述显示区域的所述边缘的一部分。
在示例73中,示例65至72的主题包括,其中所述计算机器的所述存储器存储所述受监督计算资源和无监督计算资源,其中所述受监督计算资源和所述无监督计算资源是互斥的。
在示例74中,示例65至73的主题包括,其中所述显示区域包括所述显示设备上的显示空间的一部分。
示例75是至少一种机器可读介质,包括指令,所述指令在由处理电路系统执行时引起所述处理电路系统执行操作以实现示例1至74中的任一项。
示例76是一种装置,所述装置包括用于实现示例1至74中的任一项的部件。
示例77是一种系统,所述系统用于实现示例1至74中的任一项。
示例78是一种方法,所述方法用于实现示例1至74中的任一项。
尽管已经参考特定示例实施例描述了实施例,但很明显,在不偏离本公开的更广泛的精神和范围的情况下,可以对这些实施例进行各种修改和改变。因此,说明书和附图应当被视为说明性的,而不是限制性的。构成本文的一部分的附图通过说明而非限制的方式示出了可以实践本主题的具体实施例。充分详细地描述了所示的实施例,以使得本领域技术人员能够实践本文中公开的教导。可以利用其他实施例并且从中导出其他实施例,使得可以在不脱离本公开的范围的情况下进行结构和逻辑替换和改变。因此,本“具体实施方式”不应当被视为限制性的,并且各种实施例的范围仅由所附权利要求以及这些权利要求所享有的全部等同物范围来定义。
尽管本文中已经说明和描述了特定实施例,但是应当理解,为实现相同目的而计算的任何布置都可以代替所示的特定实施例。本公开旨在涵盖各种实施例的任何和全部适配或变化。以上实施例和本文中未具体描述的其他实施例的组合对于本领域技术人员在回顾以上描述之后将是很清楚的。
在本文档中,与专利文档中常见的一样,术语“一个”(“a”或“an”)用于包括一个或多于一个,独立于“至少一个”或“一个或多个”的任何其他实例或用法。在本文档中,术语“或”用于指代非排他性的或,因此“A或B”包括“A而非B”、“B而非A”和“A和B”,除非另有说明。在本文档中,术语“包括(including)”和“其中(in which)”用作相应术语“包括(comprising)”和“其中(wherein)”的简明英语等价物。此外,在以下权利要求中,术语“包括(including)”和“包括(comprising)”是开放式的,即包括除了在权利要求中的这样的术语之后列出的元件之外的元件的系统、用户设备(UE)、物品、组成、配方或过程仍然被认为落入该权利要求的范围内。此外,在以下权利要求中,术语“第一”、“第二”和“第三”等仅用作标签,并不旨在对其对象施加数字要求。
提供“公开内容”的“摘要”是为了符合《美国联邦法规》第37卷第1.72(b)条的规定,其要求提供一个摘要,以使读者能够快速确定技术公开的性质。提交本文档时有一项谅解,即本文档不用于解释或限制权利要求的范围或含义。此外,在前述“具体实施方式”中,可以看出,为了简化本公开的目的,在单个实施例中将各种特征分组在一起。该公开方法不应当被解释为反映所要求保护的实施例需要比每个权利要求中明确列举的更多特征的意图。相反,如以下权利要求所反映的,本发明的主题不在于单个公开的实施例的所有特征。因此,以下权利要求并入“具体实施方式”中,每个权利要求独立地作为单独的实施例。

Claims (15)

1.一种方法,包括:
在计算机器处存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联;
经由所述计算机器的本机计算环境引起与所述计算机器耦合的显示单元同时显示指定的受监督计算资源的全部或一部分和指定的附加计算资源的全部或一部分;
将来自所述安全策略的安全规则应用于所述指定的受监督计算资源,其中应用所述安全规则包括至少促进由监督服务跟踪所述计算机器关于所述指定的受监督计算资源的活动;以及
放弃促进由所述监督服务跟踪所述计算机器关于所述指定的附加计算资源以及关于所述计算机器上不与所述多个受监督计算资源中的一个或多个受监督计算资源相关联的活动的活动。
2.根据权利要求1所述的方法,其中所述附加计算资源包括个人计算资源,其中所述受监督计算资源包括企业计算资源,所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
3.根据权利要求1所述的方法,还包括:
放弃将来自所述安全策略的安全规则应用于所述指定的附加计算资源。
4.根据权利要求1所述的方法,还包括:
与所述指定的受监督计算资源相关联地显示指示跟踪正在进行的视觉指示符。
5.根据权利要求4所述的方法,其中所述视觉指示符包括与所述显示单元的、由所述指定的受监督计算资源占据的区域相邻的标记或边界。
6.根据权利要求1所述的方法,其中所述计算机器关于所述指定的受监督计算资源的所述活动和所述计算机器关于所述指定的附加计算资源的所述活动包括网络业务。
7.根据权利要求1所述的方法,其中所述计算机器关于所述指定的受监督计算资源的所述活动和所述计算机器关于所述指定的附加计算资源的所述活动包括互联网浏览。
8.根据权利要求1所述的方法,其中所述计算机器关于所述指定的受监督计算资源的所述活动和所述计算机器关于所述指定的附加计算资源的所述活动包括相机或麦克风输入活动。
9.根据权利要求1所述的方法,还包括:
存储从所述计算机器传输到所述监督服务的信息;以及
响应于用户请求,提供从所述计算机器传输到所述监督服务的所述信息的视觉表示以供显示。
10.根据权利要求1所述的方法,其中所述监督服务包括以下中的至少一项:基于云的监督服务、一个或多个服务器、或者与所述安全策略相关联的管理员计算设备。
11.根据权利要求1所述的方法,其中所述安全规则包括阻止从所述指定的受监督计算资源到所述指定的附加计算资源的操作集合的一个或多个规则,其中所述操作集合包括以下中的至少一项:拖放操作、复制粘贴操作、剪切粘贴操作、密钥日志操作、文件下载操作、文件上传操作、文件附件操作、打印操作、打开特定网站操作、打开一类网站操作、应用启动操作或截屏操作。
12.一种存储指令的机器可读介质,所述指令在由处理电路系统执行时引起所述处理电路系统执行操作,所述操作包括:
在计算机器处存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联;
经由所述计算机器的本机计算环境引起与所述计算机器耦合的显示单元同时显示指定的受监督计算资源的全部或一部分和指定的附加计算资源的全部或一部分;
将来自所述安全策略的安全规则应用于所述指定的受监督计算资源,其中应用所述安全规则包括至少促进由监督服务跟踪所述计算机器关于所述指定的受监督计算资源的活动;以及
放弃促进由所述监督服务跟踪所述计算机器关于所述指定的附加计算资源以及关于所述计算机器上不与所述多个受监督计算资源中的一个或多个受监督计算资源相关联的活动的活动。
13.根据权利要求12所述的机器可读介质,其中所述附加计算资源包括个人计算资源,其中所述受监督计算资源包括企业计算资源,其中所述多个受监督计算资源和所述多个附加计算资源包括文件、云文件存储访问、应用或网站。
14.根据权利要求12所述的机器可读介质,所述操作还包括:
放弃将来自所述安全策略的安全规则应用于所述指定的附加计算资源。
15.一种系统,包括:
处理电路系统;以及
存储器,存储指令,所述指令在由处理电路系统执行时引起所述处理电路系统执行操作,所述操作包括:
在计算机器处存储多个受监督计算资源和多个附加计算资源,其中所述多个受监督计算资源与安全策略相关联;
经由所述计算机器的本机计算环境引起与所述计算机器耦合的显示单元同时显示指定的受监督计算资源的全部或一部分和指定的附加计算资源的全部或一部分;
将来自所述安全策略的安全规则应用于所述指定的受监督计算资源,其中应用所述安全规则包括至少促进由监督服务跟踪所述计算机器关于所述指定的受监督计算资源的活动;以及
放弃促进由所述监督服务跟踪所述计算机器关于所述指定的附加计算资源以及关于所述计算机器上不与所述多个受监督计算资源中的一个或多个受监督计算资源相关联的活动的活动。
CN202280068000.8A 2021-08-19 2022-08-19 用于计算机器上的资源子集的安全视觉和计算边界 Pending CN118176505A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202163260408P 2021-08-19 2021-08-19
US63/260,408 2021-08-19
US17/890,798 2022-08-18
US17/890,798 US11687644B2 (en) 2021-08-19 2022-08-18 Secure visual and computational boundary for a subset of resources on a computing machine
PCT/US2022/040928 WO2023023352A1 (en) 2021-08-19 2022-08-19 Secure visual and computational boundary for a subset of resources on a computing machine

Publications (1)

Publication Number Publication Date
CN118176505A true CN118176505A (zh) 2024-06-11

Family

ID=85227929

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280068000.8A Pending CN118176505A (zh) 2021-08-19 2022-08-19 用于计算机器上的资源子集的安全视觉和计算边界

Country Status (9)

Country Link
US (9) US11687644B2 (zh)
EP (1) EP4388434A1 (zh)
JP (1) JP2024532180A (zh)
KR (1) KR20240049817A (zh)
CN (1) CN118176505A (zh)
AU (1) AU2022328557A1 (zh)
CA (1) CA3229304A1 (zh)
IL (1) IL310713B1 (zh)
WO (1) WO2023023352A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11921900B2 (en) * 2021-02-25 2024-03-05 Dell Products L.P. System and method for secure manageability of privacy mode
US11687644B2 (en) * 2021-08-19 2023-06-27 Venn Technology Corporation Secure visual and computational boundary for a subset of resources on a computing machine

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162719B2 (en) * 2001-01-18 2007-01-09 Sun Microsystems, Inc. Method and apparatus for aggregate resource management of active computing environments
US7437752B2 (en) * 2002-09-23 2008-10-14 Credant Technologies, Inc. Client architecture for portable device with security policies
US7779247B2 (en) * 2003-01-09 2010-08-17 Jericho Systems Corporation Method and system for dynamically implementing an enterprise resource policy
CA2504333A1 (en) * 2005-04-15 2006-10-15 Symbium Corporation Programming and development infrastructure for an autonomic element
US20070186274A1 (en) * 2006-02-07 2007-08-09 Matsushita Electric Industrial Co., Ltd. Zone based security model
US7801128B2 (en) * 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes
US7779363B2 (en) * 2006-12-05 2010-08-17 International Business Machines Corporation Enabling user control over selectable functions of a running existing application
US9183534B2 (en) * 2009-06-12 2015-11-10 Apple Inc. Devices with profile-based operating mode controls
US9552497B2 (en) * 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US9785341B2 (en) * 2009-12-31 2017-10-10 Verizon Patent And Licensing Inc. Inter-application navigation apparatuses, systems, and methods
US8584211B1 (en) 2011-05-18 2013-11-12 Bluespace Software Corporation Server-based architecture for securely providing multi-domain applications
US9529996B2 (en) 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
US9152223B2 (en) 2011-11-04 2015-10-06 International Business Machines Corporation Mobile device with multiple security domains
US9400893B2 (en) * 2011-12-15 2016-07-26 Facebook, Inc. Multi-user login for shared mobile devices
US9253209B2 (en) 2012-04-26 2016-02-02 International Business Machines Corporation Policy-based dynamic information flow control on mobile devices
US9047463B2 (en) * 2012-06-29 2015-06-02 Sri International Method and system for protecting data flow at a mobile device
US9461978B2 (en) * 2012-09-25 2016-10-04 Tata Consultancy Services Limited System and method for managing role based access controls of users
US10152197B1 (en) * 2015-02-02 2018-12-11 Symantec Corporation Dynamic indication of a status of an application
US11245725B2 (en) * 2015-04-24 2022-02-08 Matthew B. TREVATHAN Dynamically updating policy controls for mobile devices and applications
KR20170035294A (ko) 2015-09-22 2017-03-30 삼성전자주식회사 전자 장치 및 이의 보안을 제공하는 결제 방법
US11159569B2 (en) * 2018-08-20 2021-10-26 Cisco Technology, Inc. Elastic policy scaling in multi-cloud fabrics
US11315056B2 (en) * 2019-04-05 2022-04-26 International Business Machines Corporation Resource planning having improved visualization
US11704431B2 (en) * 2019-05-29 2023-07-18 Microsoft Technology Licensing, Llc Data security classification sampling and labeling
US11847240B2 (en) * 2020-12-04 2023-12-19 Vmware, Inc. System and method for matching, grouping and recommending computer security rules
US11902330B1 (en) * 2021-06-16 2024-02-13 Juniper Networks, Inc. Generating a network security policy based on a user identity associated with malicious behavior
US11687644B2 (en) * 2021-08-19 2023-06-27 Venn Technology Corporation Secure visual and computational boundary for a subset of resources on a computing machine

Also Published As

Publication number Publication date
IL310713B1 (en) 2024-10-01
EP4388434A1 (en) 2024-06-26
US20230058346A1 (en) 2023-02-23
US20230057378A1 (en) 2023-02-23
CA3229304A1 (en) 2023-02-23
JP2024532180A (ja) 2024-09-05
US11687644B2 (en) 2023-06-27
US20230059726A1 (en) 2023-02-23
US20230053983A1 (en) 2023-02-23
KR20240049817A (ko) 2024-04-17
AU2022328557A1 (en) 2024-02-29
US20230057286A1 (en) 2023-02-23
US20230056056A1 (en) 2023-02-23
IL310713A (en) 2024-04-01
US20240184883A1 (en) 2024-06-06
US20230054350A1 (en) 2023-02-23
WO2023023352A1 (en) 2023-02-23
US20230058203A1 (en) 2023-02-23

Similar Documents

Publication Publication Date Title
US11593055B2 (en) Selective screen sharing
US11704384B2 (en) Secure document sharing
US11182503B2 (en) Dynamic content redaction
US10747890B2 (en) System and method of controlling access to content using an accessibility API
CN118176505A (zh) 用于计算机器上的资源子集的安全视觉和计算边界
US20150237110A1 (en) Web-Based Interaction With A Local System
US8490861B1 (en) Systems and methods for providing security information about quick response codes
US10445514B1 (en) Request processing in a compromised account
US20180032748A1 (en) Mobile device photo data privacy
US8485428B1 (en) Systems and methods for providing security information about quick response codes
KR20210157329A (ko) 최종 사용자 디바이스 애셋의 제3자 액세스
Mueller Security for Web Developers: Using JavaScript, HTML, and CSS
US8464343B1 (en) Systems and methods for providing security information about quick response codes
US11461494B2 (en) Secure view of content on devices
US20240187414A1 (en) Data Segregation For Partially Supervised Computer
US20240184901A1 (en) Privacy Border For Partially Supervised Computer
US20230205897A1 (en) Application groups for enforcing data transfer controls
EP3379442B1 (en) System and method of controlling access to content using an accessibility api

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination