DE202014102961U1 - A system and computer program product for automatically setting user device encryption policies - Google Patents

A system and computer program product for automatically setting user device encryption policies Download PDF

Info

Publication number
DE202014102961U1
DE202014102961U1 DE201420102961 DE202014102961U DE202014102961U1 DE 202014102961 U1 DE202014102961 U1 DE 202014102961U1 DE 201420102961 DE201420102961 DE 201420102961 DE 202014102961 U DE202014102961 U DE 202014102961U DE 202014102961 U1 DE202014102961 U1 DE 202014102961U1
Authority
DE
Germany
Prior art keywords
encryption
coefficient
criteria
devices
computer program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE201420102961
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from RU2013158123/08A external-priority patent/RU2562444C2/en
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of DE202014102961U1 publication Critical patent/DE202014102961U1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Abstract

System zur Festsetzung von Verschlüsselungsrichtlinien für eine Vorrichtung, wobei das System – einen Prozessor umfasst, der dazu konfiguriert ist, – ein Kriterium oder mehrere Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung zu bestimmen; – numerische Werte für jedes des einen Kriteriums oder der mehreren Kriterien zu bestimmen; – einen Koeffizienten für die Vorrichtung basierend auf den numerischen Werten zu bestimmen; – eine Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten zu bestimmen; und – die bestimmte Verschlüsselungsrichtlinie auf die Vorrichtung anzuwenden.A system for setting encryption policies for a device, the system comprising - a processor configured to - determine one or more criteria for the user device with respect to encryption requests of the user device; - determine numerical values for each of the one or more criteria; - determine a coefficient for the device based on the numerical values; - determine an encryption policy for the device based on the coefficient; and - apply the particular encryption policy to the device.

Description

Technologiegebiettechnology area

Die vorliegende Offenbarung betrifft im Allgemeinen das Gebiet Datenverschlüsselung und insbesondere Systeme und Computerprogrammprodukte zur automatischen Festsetzung von Verschlüsselungsrichtlinien für Benutzervorrichtungen.The present disclosure relates generally to the field of data encryption, and more particularly to systems and computer program products for automatically setting user device encryption policies.

Hintergrundbackground

Mit der immer größer werdenden Beliebtheit von Computern und persönlichen Kommunikationsvorrichtungen wachsen die Anzahl und die Vielfalt von im Unternehmensnetzwerk verwendeten Vorrichtungen schnell an. Während beispielsweise Unternehmensnetzwerke früher vielleicht auf stationäre Computer und Notebooks beschränkt waren, verwenden Angestellte neben stationären Computern und Notebooks nun Smartphones, Tablets und andere tragbare Kommunikationsbenutzervorrichtungen im Netzwerk. Für einen Administrator wird es deshalb schwierig, so viele Benutzervorrichtungen manuell zu verwalten.With the ever-increasing popularity of computers and personal communication devices, the number and variety of devices used in the enterprise network are rapidly growing. For example, while corporate networks used to be limited to stationary computers and notebooks, employees now use smartphones, tablets, and other wearable communication user devices on the network, in addition to stationary computers and notebooks. It is therefore difficult for an administrator to manually manage so many user devices.

Eine der Techniken zur Automatisierung der Verwaltung von mit dem Unternehmensnetzwerk verbundenen Benutzervorrichtungen ist ein Sortieren oder Klassifizieren von Vorrichtungen gemäß bestimmten Merkmalen oder Kriterien (z. B. gemäß dem Vorrichtungstyp, dem Benutzer der Vorrichtung, der auf der Vorrichtung installierten Software etc.), wobei eine solche Sortierung später verwendet wird, um verschiedene Netzwerkadministrationsprobleme zu lösen.One of the techniques for automating the management of user devices connected to the corporate network is sorting or classifying devices according to certain features or criteria (eg, according to the type of device, the user of the device, the software installed on the device, etc.) Such sorting will be used later to solve various network administration problems.

Einige derzeitige Lösungen sehen Verfahren vor, die es ermöglichen, die Sicherheit von Vorrichtungen und von einem Unternehmensnetzwerk, in dem diese Vorrichtungen verwendet werden, zu gewährleisten, aber diese Lösungen stellen für die Informationen, die auf den Benutzervorrichtungen gespeichert sind, keine angemessene Sicherheit für den Fall bereit, dass derartige Vorrichtungen aus den Grenzen des Unternehmensnetzwerks hinaus bewegt werden, und sie erlauben kein effizientes Ansprechen auf die Änderungen an der Konfiguration dieser Vorrichtungen.Some current solutions provide methods that enable the security of devices and of a corporate network in which these devices are used, but these solutions do not provide adequate security for the information stored on the user devices In the event such devices are moved out of the confines of the corporate network, they do not allow an efficient response to the changes in the configuration of those devices.

Kurzfassungshort version

Offenbart sind Systeme und Computerprogrammprodukte zur automatischen Festsetzung der Verschlüsselungsrichtlinien für Benutzervorrichtungen in einem lokalen Unternehmensnetzwerk basierend auf der Konfiguration dieser Vorrichtungen, ihren Betriebszuständen und anderen Kriterien.Disclosed are systems and computer program products for automatically setting user device encryption policies in a local corporate network based on the configuration of these devices, their operating conditions, and other criteria.

In einem Aspekt wird ein System zur Ausführung eines exemplarischen Verfahrens zur Festsetzung von Verschlüsselungsrichtlinien für eine Benutzervorrichtung bereitgestellt, das die Bestimmung eines Kriteriums oder mehrerer Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung; die Bestimmung numerischer Werte für jedes des einen Kriteriums oder der mehreren Kriterien; die Bestimmung eines Koeffizienten für die Vorrichtung basierend auf den numerischen Werten; die Bestimmung einer Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten; und die Anwendung der bestimmten Verschlüsselungsrichtlinie auf die Vorrichtung umfasst.In one aspect, a system is provided for executing an exemplary encryption policy establishment method for a user device that includes determining one or more criteria for the user device regarding encryption requirements of the user device; determining numerical values for each of the one or more criteria; the determination of a coefficient for the device based on the numerical values; determining an encryption policy for the device based on the coefficient; and the application of the particular encryption policy to the device.

In einem Aspekt umfassen das eine Kriterium oder die mehreren Kriterien, jedoch ohne Beschränkung darauf, Benutzer oder Besitzer der Vorrichtung; auf der Vorrichtung installierte Software; Hardware der Vorrichtung; auf der Vorrichtung gespeicherte Dateien; eine Mobilität der Vorrichtung; und einen Standort der Vorrichtung in einem Netzwerk.In one aspect, the one or more criteria include, but are not limited to, users or owners of the device; software installed on the device; Hardware of the device; files stored on the device; a mobility of the device; and a location of the device in a network.

In einem Aspekt kann die Bestimmung der numerischen Werte des einen Kriteriums oder der mehreren Kriterien durch einen oder beide von einem Steuerungsserver und der Vorrichtung selbst durchgeführt werden.In one aspect, the determination of the numerical values of the one or more criteria may be performed by one or both of a control server and the device itself.

In einem Aspekt kann die Bestimmung des Koeffizienten für die Vorrichtung durch Bestimmung einer gewichteten Summe der numerischen Werte durchgeführt werden.In one aspect, the determination of the coefficient for the device may be performed by determining a weighted sum of the numerical values.

In einem Aspekt können die Verschlüsselungsrichtlinien eines oder mehrere anzeigen aus: ob es notwendig ist, die Vorrichtung zu verschlüsseln; einen Platz der Vorrichtung in einer Verschlüsselungswarteschlange, die nach einem Sortieren von einer oder mehreren Vorrichtungen einschließlich der Vorrichtung basierend auf ihren jeweiligen Koeffizienten gebildet wurde; einen Verschlüsselungstyp für die Vorrichtung, der eine vollständige Plattenverschlüsselung oder eine Verschlüsselung von separaten Dateien anzeigt; und einen Verschlüsselungsalgorithmus für die Vorrichtung.In one aspect, the encryption policies may indicate one or more of: whether it is necessary to encrypt the device; a location of the device in an encryption queue formed after sorting one or more devices including the device based on their respective coefficients; an encryption type for the device that indicates full disk encryption or encryption of separate files; and an encryption algorithm for the device.

In einem Aspekt kann die Bestimmung des Koeffizienten für die Vorrichtung durch Verwendung einer Datenbank von unterschiedlichen Koeffizienten entsprechenden Verschlüsselungsrichtlinien durchgeführt werden.In one aspect, the determination of the coefficient for the device may be performed by using a database of encryption policies corresponding to different coefficients.

In einem Aspekt kann das Verfahren weiterhin die Bestimmung einer Anzahl notwendiger zu kaufender Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen umfassen.In one aspect, the method may further include determining a number of necessary licenses to purchase for encryption software based on the encryption policy for one or more devices.

In einem Aspekt kann das Verfahren weiterhin die Bestimmung eines Auftrags zur Verschlüsselung der einen oder mehreren Vorrichtungen unter Verwendung einer Anzahl von Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen umfassen.In one aspect, the method may further include determining an order to encrypt the one or more devices using a number of licenses for encryption software based on the encryption policy for one or more devices.

In einem Aspekt kann das Verfahren weiterhin eine periodische Neuberechnung des Koeffizienten für die Vorrichtung, und wenn sich der Koeffizient ändert, die Bestimmung neuer Verschlüsselungsrichtlinien für die Vorrichtung basierend auf dem Koeffizienten umfassen.In one aspect, the method may further include periodically recalculating the coefficient for the device, and as the coefficient changes, determining the device's new encryption policy based on the coefficient.

In einem weiteren Aspekt umfasst ein exemplarisches System zur Festsetzung von Verschlüsselungsrichtlinien für eine Vorrichtung einen Prozessor, der dazu konfiguriert ist, ein Kriterium oder mehrere Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung zu bestimmen; numerische Werte für jedes des einen Kriteriums oder der mehreren Kriterien zu bestimmen; einen Koeffizienten für die Vorrichtung basierend auf den numerischen Werten zu bestimmen; eine Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten zu bestimmen; und die bestimmte Verschlüsselungsrichtlinie auf die Vorrichtung anzuwenden.In another aspect, an exemplary encryption policy setting system for a device includes a processor configured to determine one or more criteria for the user device regarding encryption requirements of the user device; determine numerical values for each of the one or more criteria; determine a coefficient for the device based on the numerical values; determine an encryption policy for the device based on the coefficient; and apply the particular encryption policy to the device.

In einem weiteren Aspekt ist ein exemplarisches Computerprogrammprodukt auf einem nicht flüchtigen computerlesbaren Speichermedium gespeichert, wobei das Computerprogrammprodukt computerausführbare Anweisungen zur Festsetzung von Verschlüsselungsrichtlinien für eine Benutzervorrichtung umfasst, einschließlich Anweisungen für: die Bestimmung eines Kriteriums oder mehrerer Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung; die Bestimmung numerischer Werte für jedes des einen Kriteriums oder der mehreren Kriterien; die Bestimmung eines Koeffizienten für die Vorrichtung basierend auf den numerischen Werten; die Bestimmung einer Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten; und die Anwendung der bestimmten Verschlüsselungsrichtlinie auf die Vorrichtung.In another aspect, an exemplary computer program product is stored on a non-transitory computer-readable storage medium, the computer program product comprising computer-executable instructions for establishing encryption policies for a user device, including instructions for: determining one or more criteria for the user device regarding encryption requirements of the user device ; determining numerical values for each of the one or more criteria; the determination of a coefficient for the device based on the numerical values; determining an encryption policy for the device based on the coefficient; and the application of the particular encryption policy to the device.

Die obige vereinfachte Kurzfassung exemplarischer Aspekte dient dazu, für ein grundlegendes Verständnis der vorliegenden Offenbarung zu sorgen. Diese Kurzfassung ist kein umfassender Überblick über alle betrachteten Aspekte, und ist weder dazu bestimmt, wichtige oder kritische Elemente aller Aspekte zu identifizieren noch den Umfang irgendeines oder aller Aspekte der vorliegenden Offenbarung zu umreißen. Ihr einziger Zweck ist die Präsentation eines oder mehrerer Aspekte in vereinfachter Form als Einleitung für die folgende detailliertere Beschreibung der Offenbarung. Um das Vorgenannte zu erreichen, umfassen der eine oder die mehreren Aspekte der vorliegenden Offenbarung die beschriebenen und in den Schutzansprüchen besonders hervorgehobenen Merkmale.The above simplified summary of example aspects is provided to provide a basic understanding of the present disclosure. This summary is not a comprehensive overview of all aspects considered, and is not intended to identify key or critical elements of all aspects nor to outline the scope of any or all aspects of the present disclosure. Its sole purpose is to present one or more aspects in a simplified form as an introduction to the following more detailed description of the disclosure. To achieve the foregoing, the one or more aspects of the present disclosure include the features described and particularly pointed out in the claims.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

Die beigefügten Zeichnungen, die in diese Beschreibung eingeschlossen sind und einen Teil von ihr bilden, veranschaulichen einen oder mehrere exemplarische Aspekte der vorliegenden Offenbarung und dienen zusammen mit der detaillierten Beschreibung zur Erläuterung ihrer Prinziplien und Implementierungen.The accompanying drawings, which are incorporated in and constitute a part of this specification, illustrate one or more exemplary aspects of the present disclosure and, together with the detailed description, serve to explain its principles and implementations.

1 zeigt ein Beispiel für ein automatisches System zur Festsetzung von Verschlüsselungsrichtlinien für Benutzervorrichtungen gemäß einem exemplarischen Aspekt. 1 FIG. 12 shows an example of an automatic system for setting encryption policies for user devices according to an exemplary aspect. FIG.

2 ist ein Flussdiagramm eines exemplarischen Verfahrens zur Festsetzung von Verschlüsselungsrichtlinien für Benutzervorrichtungen gemäß einem exemplarischen Aspekt. 2 FIG. 10 is a flowchart of an exemplary method of setting encryption policies for user devices according to an exemplary aspect.

3 zeigt ein Beispiel für ein Allzweckcomputersystem, das zur Implementierung von Systemen und Verfahren zur Festsetzung von Verschlüsselungsrichtlinien für Benutzervorrichtungen gemäß verschiedenen exemplarischen Aspekten verwendet werden kann. 3 FIG. 12 shows an example of a general purpose computer system that may be used to implement systems and methods for setting user device encryption policies according to various exemplary aspects.

Detaillierte BeschreibungDetailed description

Hierin werden exemplarische Aspekte im Zusammenhang mit einem System und einem Computerprogramprodukt zur automatischen Festsetzung von Verschlüsselungsrichtlinien für Benutzervorrichtungen, wie etwa für mit einem Unternehmensnetzwerk verbundene Personalcomputer (PCs), Notebooks, Tablets, Smartphones und Flash-Cards, beschrieben. Der Durchschnittsfachmann erkennt, dass die folgende Beschreibung nur der Veranschaulichung dient und in keiner Weise beschränkend sein soll. Dem Fachmann werden leicht weitere Aspekte nahegelegt, die den Nutzen dieser Offenbarung aufweisen. Es wird nun detailliert Bezug auf Implementierungen der exemplarischen Aspekte genommen, wie sie in den beigefügten Zeichnungen veranschaulicht sind. Soweit möglich, werden überall in den Zeichnungen und der folgenden Beschreibung die gleichen Bezugszeichen verwendet, um auf die gleichen oder ähnliche Elemente zu verweisen.Described herein are exemplary aspects associated with a system and computer program product for automatically setting encryption policies for user devices, such as corporate network connected personal computers (PCs), notebooks, tablets, smart phones, and flash cards. One of ordinary skill in the art will recognize that the following description is illustrative only and not intended to be limiting in any way. Those skilled in the art will readily appreciate other aspects having the benefit of this disclosure. Reference will now be made in detail to implementations of the exemplary aspects as illustrated in the accompanying drawings. Wherever possible, the same reference numbers will be used throughout the drawings and the following description to refer to the same or similar elements.

Die Wahl einer Verschlüsselungsrichtlinie für Benutzervorrichtungen ist ein komplexes Problem für ein Unternehmensnetzwerk mit einer großen Anzahl an Vorrichtungen. Das Problem des Wählens einer Verschlüsselungsrichtlinie beinhaltet das Festsetzen geeigneter Richtlinien für die Vorrichtungen. Geeignete Richtlinien können sich auf die für die Erfordernisse einer Vorrichtung geeigneten Richtlinien beziehen; beispielsweise sollten die Richtlinien einerseits die Sicherheit der gespeicherten Daten gewährleisten, und andererseits sollten sie eine minimale Auswirkung auf die Produktivität der Vorrichtung haben. Um ein vollständiges Verständnis für eine Vorrichtung in einem Netzwerk zu erhalten, kann für eine flexiblere Auswahl der geeigneten Verschlüsselungsrichtlinien ein breiter Satz von Kriterien verwendet werden. Derartige Kriterien können, jedoch ohne Beschränkung darauf, die Benutzer der Vorrichtungen, die auf den Vorrichtungen installierte Software, die Hardware der Vorrichtungen, die auf der Vorrichtung gespeicherten Dateien und den Standort der Vorrichtung in einem lokalen Unternehmensnetzwerk einschließen.The choice of a user device encryption policy is a complex problem for a corporate network with a large number of devices. The problem of choosing an encryption policy involves setting appropriate policies for the devices. Appropriate guidelines may relate to the guidelines appropriate to the requirements of a device; For example, the guidelines should on the one hand ensure the security of the stored data and on the other hand they should have a minimal impact on the productivity of the device. To gain a complete understanding of a device in a network, a broad set of criteria may be used to more flexibly choose the appropriate encryption policies. Such criteria may include, but are not limited to, the users of the devices, the software installed on the devices, the hardware of the devices, the files stored on the device, and the location of the device in a local corporate network.

In einem exemplarischen Aspekt können Vorrichtungsstandortkriterien verwendet werden, um die Mobilität der Vorrichtung zu bestimmen, wie etwa beispielsweise, ob die Vorrichtung die Grenzen des lokalen Unternehmensnetzwerks verlässt, wo sich die Vorrichtung innerhalb des Unternehmensnetzwerks befindet etc. Statistiken bezüglich des Standorts können beispielsweise durch Analysieren der Zugangspunkte, mit denen die Vorrichtung verbunden ist, aus der Subnetzmaske oder durch Verwenden von Daten aus einem Geolokalisierungsmodul der Vorrichtung erhalten werden. Wenn festgestellt wird, dass die Vorrichtung in Bewegung ist, wird die Vorrichtung für ein Kriterium der Mobilität als mobil klassifiziert; andernfalls wird die Vorrichtung als nicht mobil (d. h. stationär) klassifiziert. Dieses Kriterium kann auch bestimmt werden, indem Daten über die Hardware der Vorrichtung analysiert werden; falls die Hardware einem Notebook oder einem Mobiltelefon entspricht, kann sie als mobil klassifiziert werden. In einigen Aspekten können nicht nur Mobiltelefone, Notebooks oder Tablets als mobil klassifiziert werden, sondern es können auch stationäre PCs herumbewegt werden, beispielsweise von einem Arbeitsplatz zu einem anderen reisen. In einigen exemplarischen Aspekten kann der Standort der Vorrichtungskriterien verwendet werden, um die folgenden Standorttypen zu bestimmen: die Vorrichtung bewegt sich nicht, die Vorrichtung bewegt sich innerhalb des Unternehmensnetzwerks oder die Vorrichtung verlässt die Grenzen des Unternehmensnetzwerks.In an exemplary aspect, device location criteria may be used to determine the mobility of the device, such as whether the device is leaving the boundaries of the local corporate network, where the device is within the corporate network, etc. Site statistics may be obtained, for example, by analyzing the location Access points to which the device is connected can be obtained from the subnet mask or by using data from a geolocation module of the device. If it is determined that the device is in motion, the device is classified as mobile for a criterion of mobility; otherwise, the device is classified as non-mobile (i.e., stationary). This criterion can also be determined by analyzing data about the hardware of the device; if the hardware corresponds to a notebook or a mobile phone, it can be classified as mobile. In some aspects, not only mobile phones, notebooks or tablets may be classified as mobile, but also stationary PCs may be moved around, for example traveling from one workstation to another. In some exemplary aspects, the location of the device criteria may be used to determine the following location types: the device does not move, the device moves within the corporate network, or the device leaves the boundaries of the corporate network.

In einem exemplarischen Aspekt identifizieren die Kriterien des Benutzers der Vorrichtungen die Besitzer der Vorrichtungen oder die Personen, die eine spezielle Vorrichtung zeitweise für die Arbeit verwenden. Diese Kriterien können entweder eine spezielle Person oder eine bestimmte Gruppe von Benutzern, wie etwa Administratoren, Senior Manager, Entwickler etc. anzeigen. Eine spezielle Person kann beispielsweise durch ihren Namen und die Stellenbezeichnung, die Identifikationsnummer (z. B. Sozialversicherungsnummer) oder den Kontensatz bestimmt werden. Diese Kriteriengruppe kann auch das Verhalten des Benutzers charakterisieren; in einem exemplarischen Aspekt können diese Kriterien verwendet werden, um die Verwendung von Wechseldatenmedien durch den Benutzer, das Arbeiten des Benutzers im Internet und die Installierung von Anwendungssoftware auf der Vorrichtung zu bestimmen.In an exemplary aspect, the criteria of the user of the devices identify the owners of the devices or the persons temporarily using a particular device for the work. These criteria may indicate either a specific person or group of users, such as administrators, senior managers, developers, etc. For example, a specific person may be designated by name and job title, identification number (eg, social security number) or account set. This set of criteria can also characterize the behavior of the user; In an exemplary aspect, these criteria may be used to determine the use of removable media by the user, the user's work on the Internet, and the installation of application software on the device.

In einem exemplarischen Aspekt können die Kriterien der Software die Software charakterisieren, die auf der Benutzervorrichtung installiert ist und die Vorrichtung steuert (z. B. das Betriebssystem und Komponenten, Anwendungen, Mikroprogramme etc.). In einem speziellen Aspekt können diese Kriterien spezifische Software anzeigen; beispielsweise zeigt das Kriterium KIS an, ob Kaspersky Internet Security (KIS) auf der Vorrichtung installiert worden ist. In einem weiteren speziellen Aspekt zeigen die Kriterien die Version der Software an, wie etwa das Kriterium KIS 2010, das anzeigt, ob die KIS Version 2010 auf der Vorrichtung installiert worden ist. Die Kriterien bestimmen auch die Zugehörigkeit der Software zu einer speziellen Gruppe, wie etwa Spielesoftware, Office-Programme, Browser, Antiviren-Software, Spezial-Software etc.. Spezialsoftware kann sich auf einen Satz Programme beziehen, die zur Lösung einer speziellen Klasse von Problemen verwendet werden, wie etwa die Software eines automatisierten Steuerungssystems für technologische Prozesse. Das Kriterium kann auch die Anfälligkeit der Software charakterisieren, z. B. indem es zeigt, wie sehr die gegebene Software die Sicherheit der Vorrichtung bedroht. Während des Sortierens zur Bestimmung der vorrangigen Vorrichtungen, die aktualisiert werden müssen, wird in einem speziellen Aspekt ein Kriterium für das Alter der Software verwendet, das anzeigt, wie alt die Software ist.In an exemplary aspect, the criteria of the software may characterize the software installed on the user device and controlling the device (eg, the operating system and components, applications, microprograms, etc.). In a specific aspect, these criteria may indicate specific software; For example, the criterion KIS indicates whether Kaspersky Internet Security (KIS) has been installed on the device. In another specific aspect, the criteria indicates the version of the software, such as the KIS 2010 criterion, which indicates whether the KIS 2010 version is installed on the device has been. The criteria also determine the affiliation of the software to a specific group, such as game software, office programs, browsers, antivirus software, specialized software, etc. Specialized software may refer to a set of programs that address a particular class of problems such as the software of an automated control system for technological processes. The criterion may also characterize the vulnerability of the software, e.g. By demonstrating how much the given software threatens the security of the device. During sorting to determine the priority devices that need to be updated, in a particular aspect, a criterion for the age of the software is used that indicates how old the software is.

In einem exemplarischen Aspekt können Dateikriterien die Dateien charakterisieren, die auf der Benutzervorrichtung gespeichert sind. Diese Kriterien können den Typ der gespeicherten Dokumente, die Anzahl dieser Dokumente, das Klassifizierungsniveau der Dokumente (z. B. eine spezielle Markierung, die den Geheimhaltungsgrad der auf ihrem Datenspeichermedium gespeicherten Information zeigt) oder ihre Vertraulichkeit (z. B. dass die in dem Dokument aufbewahrte Information öffentlich zugänglich ist oder der Zugang zu ihm auf eine Gruppe von Leuten beschränkt ist) betreffen. Diese Kriterien können verwendet werden, um die Benennung und die Verwendungszwecke der Vorrichtung, beispielsweise den Computer einer Sekretärin oder eines Entwicklers, einen Server mit einer Datenbank, die mobile Vorrichtung einer speziellen Person etc. zu bestimmen.In an exemplary aspect, file criteria may characterize the files stored on the user device. These criteria may include the type of documents stored, the number of such documents, the level of classification of the documents (eg, a particular mark indicating the degree of secrecy of the information stored on their data storage medium) or their confidentiality (e.g. Document stored information is public or access to it is limited to a group of people). These criteria may be used to determine the name and uses of the device, such as a secretary or developer's computer, a server with a database, a specific person's mobile device, and so on.

In einem exemplarischen Aspekt kann zum Erhalten der Werte der Kriterien ein Steuerungsagent auf der Vorrichtung verwendet werden, um die auf der Vorrichtung gespeicherten Dokumente zu sortieren und zu analysieren. Beispielsweise kann der Steuerungsagent den Typ der Dokumente, die Vertraulichkeit der Dokumente und das Klassifizierungsniveau bestimmen. Zur Bestimmung der Vertraulichkeit kann der Steuerungsagent in einem exemplarischen Aspekt die Verfahren zum Durchsuchen eines Wörterbuchs, Syntaxsortierung von Dokumentfragmenten durch ein Template und Technologien des digitalen Fingerabdrucks verwenden. Zur Bestimmung des Klassifierungsniveaus kann in einem exemplarischen Aspekt der Steuerungsagent die gleichen Verfahren und Technologien wie für die Bestimmung der Vertraulichkeit verwenden.In an exemplary aspect, to obtain the values of the criteria, a control agent on the device may be used to sort and analyze the documents stored on the device. For example, the control agent may determine the type of documents, the confidentiality of the documents, and the classification level. To determine confidentiality, in one exemplary aspect, the control agent may use the methods of searching a dictionary, syntacticizing document fragments with a template, and digital fingerprint technologies. To determine the classification level, in an exemplary aspect, the control agent may use the same methods and technologies as for the determination of confidentiality.

In verschiedenen exemplarischen Aspekten können diese Kriterien abhängig von den Zwecken des Sortierens sowohl boolesche Werte und bestimmte diskrete Werte annehmen. Beispielsweise kann das Kriterium der Anfälligkeit der Software in einem exemplarischen Aspekt Werte von 0 – anfällig oder 1 – keine in der gegebenen Software gefundenen Anfälligkeiten annehmen. In einem weiteren exemplarischen Aspekt nimmt dieses Kriterium Werte von 0 bis 5 an, wobei 0 Software charakterisiert, in der keine Anfälligkeit bekannt sind, während 5 Software charakterisiert, in der regelmäßig Anfälligkeiten gefunden werden.In various exemplary aspects, these criteria may take on both Boolean values and certain discrete values, depending on the purposes of the sorting. For example, in one exemplary aspect, the software susceptibility criterion may assume values of 0-susceptible or 1-no vulnerabilities found in the given software. In another exemplary aspect, this criterion assumes values from 0 to 5, where 0 characterizes software in which no vulnerability is known, while 5 characterizes software in which vulnerabilities are regularly found.

Abhängig von den Zwecken des Sortierens können unterschiedliche Kriterien gewählt werden. Das Sortieren der Vorrichtungen kann nach abnehmendem oder zunehmendem Koeffizienten der Vorrichtung durchgeführt werden, der auf der Basis der Kriterien erhalten wird. In einem exemplarischen Aspekt kann der Koeffizient der Vorrichtung beispielsweise unter Verwendung eines neuralen Netzwerks, von Fuzzylogik und/oder dem Aufaddieren mit einer Gewichtung der Signifikanz der Kriterien erhalten werden. In einem Beispiel kann der Koeffizient abhängig von den für das Punktezahlen verwendeten Kriterien und den Zwecken des Sortierens einen unterschiedlichen angewandten Wert aufweisen.Depending on the purposes of sorting, different criteria may be selected. The sorting of the devices may be performed by decreasing or increasing the coefficient of the device obtained on the basis of the criteria. In an exemplary aspect, the coefficient of the device may be obtained using, for example, a neural network, fuzzy logic, and / or summing with a weighting of the significance of the criteria. In one example, the coefficient may have a different applied value depending on the criteria used for scoring and the purposes of sorting.

1 zeigt ein exemplarisches System zur Festsetzung von Verschlüsselungsrichtlinien für Vorrichtungen gemäß hierin geoffenbarten Prinzipien. Das System umfasst die Benutzervorrichtung 100, für die die Festsetzung einer Verschlüsselungsrichtlinie notwendig ist. Die Benutzervorrichtung 100 kann ein PC, Notebook, Tablet, Smartphone, eine Flash-Card oder ein anderer Vorrichtungstyp sein, der Daten speichert und kommuniziert. Das System umfasst weiterhin einen Steuerungsserver 102, der über ein Netzwerk, wie etwa ein lokales Netzwerk, mit der Vorrichtung 100 verbunden ist. Der Server 102 umfasst ein Steuerungsmodul 101, das Koeffizienten für Vorrichtungen 100 berechnet, eine Datenbank 103, die Informationen über die Kriterien und die Verschlüsselungsrichtlinien speichert, und ein Analysemodul 106, das die Kriterien auswählt, deren Werte benötigt werden, um den Koeffizienten der Vorrichtung zu bestimmen. In einem exemplarischen Aspekt können die Kriterien von den derzeitigen Regeln erhalten werden, die zur Festsetzung der Verschlüsselungsrichtlinien aufgestellt wurden. Die Regeln werden in der Datenbank 103 aufbewahrt, und in einem speziellen Aspekt sind sie eine Auflistung von Kriterien. Nach dem Auswählen der Kriterien sendet das Analysemodul 106 die Kriterien an das Steuerungsmodul 101, das Steuerungsmodul 101 erhält die Werte dieser Kriterien für die Vorrichtung 100, und zum Erhalten der Kriterien fragt das Steuerungsmodul 101 die Vorrichtung 100 selbst und die Datenbank 103 ab. Unter Verwendung der erhaltenen Werte berechnet das Steuerungsmodul 101 den Koeffizienten der Vorrichtung 100. Nach Berechnung des Koeffizienten der Vorrichtung 100 sendet das Steuerungsmodul 101 den Wert des Koeffizienten zurück zu dem Analysemodul 106, das die in der Datenbank 103 gespeicherten Informationen verwendet und die Verschlüsselungsrichtlinien für die Vorrichtung 100 gemäß dem berechneten Koeffizienten festsetzt. In einem exemplarischen Aspekt sendet das Analysemodul 103 die Verschlüsselungsrichtlinien an das Steuerungsmodul 101, das die festgesetzten Richtlinien an den Steuerungsagenten 105 auf der Vorrichtung 100 weiterleitet. Der Steuerungsagent 105 empfängt die Richtlinien und wendet sie auf die Vorrichtung 100 an. 1 FIG. 12 shows an exemplary system for establishing encryption policies for devices according to principles disclosed herein. FIG. The system includes the user device 100 for which the establishment of an encryption policy is necessary. The user device 100 may be a PC, notebook, tablet, smartphone, flash card, or other type of device that stores and communicates data. The system also includes a control server 102 that is connected to the device via a network, such as a local area network 100 connected is. The server 102 includes a control module 101 , the coefficient for devices 100 calculates a database 103 , which stores information about the criteria and the encryption policies, and an analysis module 106 which selects the criteria whose values are needed to determine the coefficient of the device. In an exemplary aspect, the criteria may be obtained from the current rules established for setting the encryption policies. The rules are in the database 103 and in a specific aspect they are a list of criteria. After selecting the criteria, the analysis module sends 106 the criteria to the control module 101 , the control module 101 gets the values of these criteria for the device 100 and for obtaining the criteria, the control module asks 101 the device 100 itself and the database 103 from. Using the values obtained, the control module calculates 101 the coefficient of the device 100 , After calculation of the coefficient of the device 100 sends the control module 101 the value of the coefficient back to the analysis module 106 that in the Database 103 stored information is used and the encryption policies for the device 100 according to the calculated coefficient. In an exemplary aspect, the analysis module sends 103 the encryption policies to the controller module 101 that the set policies to the control agent 105 on the device 100 forwards. The control agent 105 receives the rules and applies them to the device 100 at.

In verschiedenen Aspekten können unterschiedliche Techniken verwendet werden, um den Koeffizienten der Benutzervorrichtung 100 zu erhalten. Beispielsweise kann ein Aufaddieren mit einer Gewichtung der Signifikanz der Kriterien erfolgen: Kf = X1·Kr1 + X2·Kr2 + X3·Kr3 + ... + Xn·Krn, wobei:

Kf
der Koeffizient der Vorrichtung ist;
Xn
der Signifikanzfaktor ist;
Krn
der Wert des Kriteriums ist.
In various aspects, different techniques may be used to increase the coefficient of the user device 100 to obtain. For example, a summation may be done with a weighting of the significance of the criteria: Kf = X 1 · Kr 1 + X 2 · Kr 2 + X 3 · Kr 3 + ... + X n · Kr n in which:
kf
the coefficient of the device is;
X n
the significance factor is;
Kr n
the value of the criterion is.

Der Signifikanzfaktor reflektiert die Wichtigkeit des erhaltenen Kriteriums und berücksichtigt Unterschiede in der Signifikanz der Kriterien; dieser Faktor kann variabel oder strikt zugeordnet sein.The significance factor reflects the importance of the criterion obtained and accounts for differences in the significance of the criteria; this factor can be variable or strictly assigned.

Basierend auf dem Koeffizienten der Benutzervorrichtung 100 kann die Verschlüsselungsrichtlinie für die Benutzervorrichtung 100 festgesetzt werden. Die Verschlüsselungsrichtlinie spezifiziert im Allgemeinen:

  • 1) das Erfordernis der Verschlüsselung, das anzeigt, ob es überhaupt notwendig ist, die Vorrichtung zu verschlüsseln;
  • 2) die Reihenfolge zur Verschlüsselung der gegebenen Vorrichtung, die den Platz in der Verschlüsselungswarteschlange anzeigt, und sie wird nach einem Sortieren der Vorrichtungen hinsichtlich der für die Vorrichtung erhaltenen Koeffizienten gebildet;
  • 3) der Verschlüsselungstyp spezifiziert die vollständige Plattenverschlüsselung der Vorrichtung oder die Verschlüsselung von separaten Dateien der Vorrichtung; und
  • 4) den Verschlüsselungsalgorithmus.
Based on the coefficient of the user device 100 may be the encryption policy for the user device 100 be fixed. The encryption policy generally specifies:
  • 1) the need for encryption, indicating whether it is even necessary to encrypt the device;
  • 2) the order of encryption of the given device indicating the location in the encryption queue and it is formed after sorting the devices with respect to the coefficients obtained for the device;
  • 3) the encryption type specifies the full disk encryption of the device or the encryption of separate files of the device; and
  • 4) the encryption algorithm.

In einem exemplarischen Aspekt wird die Datenbank 103 verwendet, um die Verschlüsselungsrichtlinie auf der Basis des Koeffizienten der Vorrichtung zu bilden. Nachstehend wird ein exemplarischer Aspekt der Datenbank gezeigt, in der die linke Spalte den Wert des Koeffizienten der Vorrichtung anzeigt und die rechte Spalte die entsprechende Richtlinie anzeigt. Tabelle 1 Koeffizient der Vorrichtung Verschlüsselungsrichtlinie für die Vorrichtungen Kf > 5 Vollständige Plattenverschlüsselung aller Sektoren der Datenmedien der Vorrichtung Kf > 4 Verschlüsselung aller Dateien auf der Vorrichtung außer ausführbaren Dateien und Komponentenbibliotheken Kf > 3 Verschlüsselung von vertraulichen, geheimen Dokumenten und allen Textdokumenten und Bildern Kf > 2 Verschlüsselung von vertraulichen, geheimen Dokumenten und allen Textdokumenten Kf > 1 Verschlüsselung von vertraulichen und geheimen Dokumenten Kf = 1, Kf < 1 Es erfolgt keine Verschlüsselung In an exemplary aspect, the database becomes 103 used to form the encryption policy based on the coefficient of the device. An exemplary aspect of the database is shown below in which the left column indicates the value of the coefficient of the device and the right column indicates the corresponding policy. Table 1 Coefficient of the device Encryption policy for the devices Kf> 5 Full disk encryption of all sectors of the data media of the device Kf> 4 Encrypt all files on the device except executables and component libraries Kf> 3 Encryption of confidential, secret documents and all text documents and images Kf> 2 Encryption of confidential, secret documents and all text documents Kf> 1 Encryption of confidential and secret documents Kf = 1, Kf <1 There is no encryption

In einem weiteren exemplarischen Aspekt kann die Datenbank die folgende Struktur aufweisen, in der die linke Spalte die Richtlinienelemente anzeigt und die rechte Spalte den Wert des Koeffizienten anzeigt, über dem das Element in der Richtlinie eingeschlossen ist. Tabelle 2 Richtlinienelement Koeffizient der Vorrichtung Vollständige Plattenverschlüsselung Kf > 5 Verschlüsselung von ausführbaren Dateien Kf > 4 Verschlüsselung von Bildern Kf > 3 Verschlüsselung von Textdokumenten Kf > 2 Verschlüsselung von vertraulichen Dokumenten Kf > 1 Verschlüsselung von geheimen Dokumenten Kf > 1 In another exemplary aspect, the database may have the following structure in which the left column indicates the policy elements and the right column indicates the value of the coefficient over which the element is included in the policy. Table 2 policy item Coefficient of the device Full disk encryption Kf> 5 Encryption of executables Kf> 4 Encryption of images Kf> 3 Encryption of text documents Kf> 2 Encryption of confidential documents Kf> 1 Encryption of secret documents Kf> 1

Auf diese Weise kann eine geeignete Verschlüsselungsrichtlinie für die Benutzervorrichtung 100 aus den Elementen gemäß dem berechneten Koeffizienten für die Benutzervorrichtung 100 zusammengestellt werden. In einem exemplarischen Aspekt können die Richtlinien starr festgelegt sein, und in einem weiteren exemplarischen Aspekt können die Richtlinien flexibel sein. In dem Fall, in dem die Richtlinie nicht starr ist, wie in Tabelle 1, sondern flexibel, wie in Tabelle 2, kann die Richtlinie gemäß einem berechneten Koeffizienten definiert werden, und in dem Fall, in dem der Koeffizient herabgesetzt/erhöht wird, können die Richtlinienposten dynamisch entfernt/hinzugefügt werden, ohne dass eine neue Richtlinie definiert werden muss, wie in Tabelle 1. Nach Definieren der Verschlüsselungsrichtlinie für die Vorrichtung 100 können diese Richtlinien durch auf der Benutzervorrichtung 100 installierte Steuerungsagenten 105 auf die Benutzervorrichtung 100 angewandt werden.In this way, a suitable encryption policy for the user device 100 from the elements according to the calculated coefficient for the user device 100 be compiled. In one exemplary aspect, the policies may be rigidly set, and in another exemplary aspect, the policies may be flexible. In the case where the directive is not rigid as in Table 1 but flexible as in Table 2, the directive may be defined according to a calculated coefficient and in the case where the coefficient is decreased / increased The policy posts are dynamically removed / added without the need to define a new policy, as in Table 1. After defining the encryption policy for the device 100 These rules can be applied by on the user device 100 installed control agents 105 on the user device 100 be applied.

Als Nächstes wird eine Berechnung des Koeffizienten für eine Benutzervorrichtung 100 unter Verwendung der oben geoffenbarten Methodik veranschaulicht. Für die Berechnung des Koeffizienten für eine mobile Vorrichtung, die einem Senior Manager gehört, auf der vertraulichte Dokumente gespeichert sind, können die folgenden Kriterien ausgewählt werden: Mobilität (X1), Vorhandensein von vertraulichen Dokumenten (X2), Stellenbezeichnung des Benutzers der Vorrichtung (X3). Die folgenden Werte werden für die Kriterien bestimmt: X1 = 1 (Vorrichtung ist mobil), X2 = 1 (Vorrichtung speichert vertrauliche Dokumente), X3 = 2 (Vorrichtung eines Managers). Der Koeffizient der Benutzervorrichtung kann wie folgt bestimmt werden: Kf = X1·Kr1 + X2·Kr2 + X3·Kr3 = 1,1·1 + 2·1 + 0,5·2 = 4,1 Next, a calculation of the coefficient for a user device 100 illustrated using the methodology disclosed above. For the calculation of the coefficient for a mobile device belonging to a senior manager on which confidential documents are stored, the following criteria can be selected: mobility (X 1 ), presence of confidential documents (X 2 ), job title of the user of the device (X 3 ). The following values are determined for the criteria: X 1 = 1 (device is mobile), X 2 = 1 (device stores confidential documents), X 3 = 2 (device of a manager). The coefficient of the user device can be determined as follows: Kf = X 1 × Kr 1 + X 2 × Kr 2 + X 3 × Kr 3 = 1.1 × 1 + 2 × 1 + 0.5 × 2 = 4.1

Basierend auf dem berechneten Wert des Koeffizienten Kf und gemäß Tabelle 1 sieht die festgesetzte Verschlüsselungsrichtlinie für die Vorrichtungen vor, dass alle Dateien auf der Vorrichtung außer den ausführbaren Dateien und Komponentenbibliotheken verschlüsselt werden müssen.Based on the calculated value of the coefficient Kf and Table 1, the set encryption policy for the devices dictates that all files on the device except the executable files and component libraries must be encrypted.

In einem exemplarischen Aspekt kann das beschriebene System die notwendige Anzahl zu kaufender Lizenzen für Software bestimmen, die die Verschlüsselung der Vorrichtungen ermöglicht. Dafür berechnet das oben beschriebene System den Koeffizienten der Vorrichtungen in dem Netzwerk und setzt die Verschlüsselungsrichtlinie für diese Vorrichtungen fest. Das Analysemodul 106, das die festgesetzten Richtlinien analysiert, bestimmt die Anzahl der Vorrichtungen, die verschlüsselt werden müssen, beispielsweise die Anzahl derartiger Vorrichtungen N, und bestimmt auch, welche dieser Vorrichtungen eine vollständige Plattenverschlüsselung benötigen, beispielsweise M Vorrichtungen, und welche dieser Vorrichtungen eine Dateiverschlüsselung benötigen, was N-M Vorrichtungen ist. Als Ergebnis ist die empfohlene Anzahl von zu kaufenden Lizenzen N, von denen M die Möglichkeit einer vollständigen Plattenverschlüsselung leisten sollten, während N-M Lizenzen eine Dateiverschlüsselung anwenden können. Zusätzlich führen einige exemplarische Aspekte eine Wiederholungsberechnung für die Vorrichtungen in dem Netzwerk durch, wie etwa einmal im Monat oder wenn neue Vorrichtungen mit dem Netzwerk verbunden werden. Eine derartige Neuberechnung erlaubt es dem Netzwerkadministrator, die Anzahl notwendiger Lizenzen in einem aktualisierten Status aufrechtzuerhalten.In an exemplary aspect, the described system may determine the necessary number of licenses to purchase for software that enables encryption of the devices. For this, the system described above calculates the coefficients of the devices in the network and sets the encryption policy for these devices. The analysis module 106 that analyzes the established policies determines the number of devices that need to be encrypted, such as the number of such devices N, and also determines which of those devices require full disk encryption, such as M devices, and which of these devices require file encryption, which NM devices is. As a result, the recommended number of licenses to purchase is N, of which M should be able to do full disk encryption, while NM licenses can use file encryption. In addition, some exemplary aspects perform a retry calculation for the devices in the network, such as once a month or when new devices are connected to the network. Such recalculation allows the network administrator to maintain the number of licenses required in an updated state.

In einem weiteren exemplarischen Aspekt kann das beschriebene System verwendet werden, um die Verschlüsselungsreihenfolge für eine begrenzte Anzahl von Lizenzen für Verschlüsselungssoftware zu bestimmen. Dafür kann das oben beschriebene System den Koeffizienten der Vorrichtungen berechnen, und das Steuerungsmodul 101 kann ein Sortieren der Vorrichtungen in der Reihenfolge abnehmender Koeffizienten durchführen. Die Verschlüsselungsrichtlinien können dann vorrangig auf Vorrichtungen mit dem höchsten Koeffizienten angewandt werden.In another exemplary aspect, the described system may be used to determine the encryption order for a limited number of licenses for encryption software. For this, the system described above can calculate the coefficients of the devices, and the control module 101 can perform sorting of the devices in the order of decreasing coefficients. The encryption policies can then be applied primarily to devices with the highest coefficient.

In noch einem weiteren exemplarischen Aspekt kann das beschriebene System eine periodische Neuberechnung des Koeffizienten der Vorrichtung für Vorrichtungen in dem Netzwerk durchführen, und wenn sich der Koeffizient der Vorrichtung ändert, kann automatisch eine neue Verschlüsselungsrichtlinie für diese Vorrichtung festgesetzt werden. In yet another exemplary aspect, the described system may perform a periodic recalculation of the device's coefficient for devices in the network, and as the coefficient of the device changes, a new encryption policy for that device may be automatically set.

2 zeigt ein exemplarisches Verfahren zur Festsetzung von Verschlüsselungsrichtlinien für Benutzervorrichtungen gemäß hierin geoffenbarten Prinzipien. Bei Schritt 201 werden Kriterien, die eine Benutzervorrichtung unter dem Gesichtspunkt des Erfordernisses einer Verschlüsselung charakterisieren, für die Benutzervorrichtung bestimmt. Beispielsweise können derartige Kriterien Kriterien zur Bestimmung der Mobilität der Vorrichtung, Kriterien zur Bestimmung der Besitzer der Vorrichtungen oder der Personen, die die gegebene Vorrichtung zeitweise für die Arbeit verwenden, und Kriterien zum Charakterisieren der auf der Vorrichtung aufbewahrten Dokumente umfassen. Diese Kriterien können für jede spezifische Sortierung basierend auf den aufgestellten Regeln in dem Netzwerk gewählt werden. Nachdem die Kriterien bestimmt worden sind, werden bei Schritt 202 Werte der Kriterien für die Vorrichtung erhalten, für die Richtlinien bestimmt werden müssen. Diese Werte können auf verschiedene Arten erhalten werden. In einem exemplarischen Aspekt kann ein Steuerungsagent (z. B. der Steuerungsagent 105 von 1) verwendet werden, um die Werte der Kriterien zu erhalten, und er schickt sie dann zu einem Steuerungsserver 102. In einem weiteren exemplarischen Aspekt erhält der Steuerungsserver 102 diese Werte selbstständig. Beispielsweise erhält der Steuerungsserver 102 zur Bestimmung des Standorts der Vorrichtung Daten von dem Steuerungsagenten 105, der wiederum die Daten von Geolokalisierungsdiensten erhält, und in einem weiteren exemplarischen Aspekt bestimmt der Steuerungsserver 102 das Subnetz, in dem die Vorrichtung arbeitet. In noch einem weiteren exemplarischen Aspekt kann ein gemischtes Verfahren verwendet werden, um die Werte der Kriterien zu erhalten, bei dem abhängig von den Situationen der Steuerungsagent 102 sowohl den Steuerungsagenten 105 und seine eigenen Dienste, wie etwa einen Port-Scanner, verwendet. Nach Erhalt der Werte der Kriterien werden bei Schritt 203 die erhaltenen Werte verarbeitet, um den Koeffizienten der Vorrichtung zu bestimmen. Basierend auf den Koeffizienten wird bei Schritt 204 eine geeignete Verschlüsselungsrichtlinie für die Benutzervorrichtung festgesetzt. 2 FIG. 12 illustrates an exemplary method of setting encryption policies for user devices in accordance with principles disclosed herein. FIG. At step 201 For example, criteria that characterize a user device from the viewpoint of requiring encryption are determined for the user device. For example, such criteria may include criteria for determining the mobility of the device, criteria for determining the owners of the devices or the persons temporarily using the given device for work, and criteria for characterizing the documents stored on the device. These criteria can be chosen for each specific sort based on the established rules in the network. After the criteria have been determined, at step 202 Obtain values of the criteria for the device for which guidelines must be determined. These values can be obtained in various ways. In an exemplary aspect, a control agent (eg, the control agent 105 from 1 ) are used to get the values of the criteria and then sent to a control server 102 , In another exemplary aspect, the control server receives 102 these values independently. For example, the control server gets 102 to determine the location of the device, data from the control agent 105 which in turn receives the data from geolocation services, and in another exemplary aspect, the control server determines 102 the subnet where the device works. In yet another exemplary aspect, a mixed method may be used to obtain the values of the criteria, with the control agent depending on the situations 102 both the control agent 105 and its own services, such as a port scanner. Upon receipt of the values of the criteria will be at step 203 the obtained values are processed to determine the coefficient of the device. Based on the coefficients will be at step 204 set an appropriate encryption policy for the user device.

3 zeigt ein Beispiel für ein Allzweckcomputersystem 20 (das ein Personal-Computer oder ein Server sein kann), das zur Implementierung von Aspekten des hierin geoffenbarten Systems und der hierin geoffenbarten Verfahren verwendet werden kann. Das Computersystem 20 umfasst eine zentrale Verarbeitungseinheit 21, einen Systemspeicher 22 und einen Systembus 23, der die verschiedenen Systemkomponenten, einschließlich des der zentralen Verarbeitungseinheit 21 zugeordneten Speichers, verbindet. Der Systembus 23 ist wie irgendeine aus dem Stand der Technik bekannte Busstruktur verwirklicht, die wiederum einen Busspeicher oder Busspeichercontroller, einen Peripheriebus und einen lokalen Bus enthält, der mit irgendeiner anderen Busarchitektur in Interaktion treten kann. Der Systemspeicher umfasst einen Permanentspeicher (ROM) 24 und einen Direktzugriffsspeicher (RAM) 25. Das Basis-Eingabe-/Ausgabesystem (BIOS) 26 umfasst die Basisprozeduren, die die Informationsübertragung zwischen Elementen des Personal-Computers 20 sicherstellen, wie etwa jene zum Zeitpunkt des Ladens des Betriebssystems unter Verwendung des ROMs 24. 3 shows an example of a general-purpose computer system 20 (which may be a personal computer or a server) that may be used to implement aspects of the system disclosed herein and the methods disclosed herein. The computer system 20 includes a central processing unit 21 , a system memory 22 and a system bus 23 containing the various system components, including that of the central processing unit 21 associated memory connects. The system bus 23 Like any prior art bus structure, which in turn includes a bus memory or bus memory controller, a peripheral bus, and a local bus that can interact with any other bus architecture. The system memory includes a non-volatile memory (ROM) 24 and random access memory (RAM) 25 , The basic input / output system (BIOS) 26 includes the basic procedures that involve the transfer of information between elements of the personal computer 20 ensure such as at the time of loading the operating system using the ROM 24 ,

Der Personal-Computer 20 wiederum umfasst eine Festplatte 27 zum Lesen und Schreiben von Daten, ein Magnetplattenlaufwerk 28 zum Lesen und Schreiben auf Wechselmagnetplatten 29 und ein optisches Laufwerk 30 zum Lesen und Schreiben auf optischen Wechselplatten 31, wie etwa einer CD-ROM, einer DVD-ROM und anderen optischen Informationsmedien. Die Festplatte 27, das Magnetplattenlaufwerk 28 und das optische Laufwerk 30 sind mit dem Systembus 23 über die Festplattenschnittstelle 32, die Magnetplattenschnittstelle 33 bzw. die Optiklaufwerkschnittstelle 34 verbunden. Die Laufwerke und die entsprechenden Computerinformationsmedien sind stromunabhängige Module zum Speichern von Computerbefehlen, Datenstrukturen, Programmmodulen und anderen Daten des Personal-Computers 20.The personal computer 20 in turn, includes a hard drive 27 for reading and writing data, a magnetic disk drive 28 for reading and writing on alternating magnetic disks 29 and an optical drive 30 for reading and writing on optical disks 31 such as a CD-ROM, a DVD-ROM and other optical information media. The hard disk 27 , the magnetic disk drive 28 and the optical drive 30 are with the system bus 23 via the hard disk interface 32 , the magnetic disk interface 33 or the optical drive interface 34 connected. The drives and the corresponding computer information media are power independent modules for storing computer instructions, data structures, program modules, and other personal computer data 20 ,

Die vorliegende Offenbarung sieht die Implementierung eines Systems vor, das eine Festplatte 27, eine Wechselmagnetplatte 29 und eine optische Wechselplatte 31 verwendet, aber es versteht sich, dass es möglich ist, andere Typen von Computerinformationsmedien 56 einzusetzen, die Daten in computerlesbarer Form speichern können (Solid-State-Drives, Flash-Speicherkarten, digitale Festplatten, Direktzugriffsspeicher (RAM) etc.) und die mit dem Systembus 23 über den Controller 55 verbunden sind.The present disclosure provides for the implementation of a system that includes a hard disk 27 , an alternating magnetic plate 29 and an optical disc 31 but it is understood that it is possible to use other types of computer information media 56 which can store data in computer-readable form (solid-state drives, flash memory cards, digital hard drives, random access memory (RAM), etc.) and those with the system bus 23 over the controller 55 are connected.

Der Computer 20 weist ein Dateisystem 36 auf, in dem das aufgezeichnete Betriebssystem 35 und auch zusätzliche Programmanwendungen 37, andere Programmmodule 38 und Programmdaten 39 aufbewahrt sind. Durch Verwendung von Eingabevorrichtungen (Tastatur 40, Maus 42) kann der Benutzer Befehle und Informationen in den Personal-Computer 20 eingeben. Es können andere Eingabevorrichtungen (nicht gezeigt) verwendet werden: Mikrofon, Joystick, Gamecontroller, Scanner etc. Solche Eingabevorrichtungen sind gewöhnlich über einen seriellen Port 46, der wiederum mit dem Systembus verbunden ist, in das Computersystem 20 eingesteckt, können aber auch auf andere Arten verbunden sein, beispielsweise mit Hilfe eines parallelen Ports, eines Gameports oder eines seriellen Universalbuses (USB). Außerdem ist ein Monitor 47 oder eine andere Art von Anzeigevorrichtung über eine Schnittstelle, wie etwa einen Videoadapter 48, mit dem Systembus 23 verbunden. Zusätzlich zu dem Monitor 47 kann der Personal-Computer mit anderen Peripherie-Ausgabevorrichtungen (nicht gezeigt), wie etwa Lautsprechern, einem Drucker etc., ausgestattet sein.The computer 20 has a file system 36 on where the recorded operating system 35 and also additional program applications 37 , other program modules 38 and program data 39 are stored. By using input devices (keyboard 40 , Mouse 42 ) allows the user commands and information in the personal computer 20 enter. Other input devices (not shown) may be used: microphone, joystick, game controllers, scanners, etc. Such input devices are usually via a serial port 46 which in turn is connected to the system bus into which computer system 20 plugged in, but can also be connected in other ways, for example by means of a parallel port, a game port or a universal serial bus (USB). There is also a monitor 47 or another type of display device via an interface, such as a video adapter 48 , with the system bus 23 connected. In addition to the monitor 47 For example, the personal computer may be equipped with other peripheral output devices (not shown) such as speakers, a printer, etc.

Der Personal-Computer 20 kann unter Verwendung einer Netzwerkverbindung mit einem oder mehreren entfernten Computern 49 in einer Netzwerkumgebung arbeiten. Der entfernte Computer (oder die entfernten Computer) 49 sind auch Personal-Computer oder Server, die den größten Teil oder alle der oben bei der Beschreibung der Beschaffenheit eines Personal-Computers 20 genannten Elemente, wie in 3 gezeigt, aufweisen. In dem Computernetzwerk können auch andere Vorrichtungen vorhanden sein, wie etwa Router, Netzwerkstationen, Peer-Vorrichtungen oder andere Netzwerkknoten.The personal computer 20 can be done using a network connection to one or more remote computers 49 work in a network environment. The remote computer (or the remote computers) 49 Also, personal computers or servers are the most or all of the above in describing the nature of a personal computer 20 mentioned elements, as in 3 shown have. Other devices may also be present in the computer network, such as routers, network stations, peer devices or other network nodes.

Netzwerkverbindungen können ein lokales Netzwerk (LAN) 50 und ein Weitverkehrsnetz (WAN) bilden. Derartige Netzwerke werden in Unternehmenscomputernetzwerken und firmeninternen Netzwerken verwendet, und haben im Allgemeinen Zugriff auf das Internet. In LAN- or WAN-Netzwerken ist der Personal-Computer 20 über einen Netzwerkadapter oder eine Netzwerkschnittstelle 51 mit dem lokalen Netzwerk 50 verbunden. Wenn Netzwerke verwendet werden, kann der Personal-Computer 20 ein Modem 54 oder andere Module zur Bereitstellung der Kommunikation mit einem Weitverkehrsnetz, wie dem Internet, einsetzen. Das Modem 54, das eine interne oder externe Vorrichtung ist, ist durch einen seriellen Port 46 mit dem Systembus 23 verbunden. Es sollte beachtet werden, dass die Netzwerkverbindungen nur Beispiele sind und nicht die exakte Konfiguration des Netzwerks abbilden müssen, d. h. dass es in der Realität andere Wege zum Herstellen einer Verbindung eines Computers mit einem anderen durch technische Kommunikationsmodule gibt.Network connections can be a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in enterprise computer networks and corporate networks, and generally have access to the Internet. In LAN or WAN networks, the personal computer is 20 via a network adapter or a network interface 51 with the local network 50 connected. If networks are used, the personal computer can 20 a modem 54 or other modules for providing communication with a wide area network, such as the Internet. The modem 54 , which is an internal or external device, is through a serial port 46 with the system bus 23 connected. It should be noted that the network connections are only examples and do not need to map the exact configuration of the network, that is, in reality there are other ways to connect one computer to another through technical communication modules.

In verschiedenen Aspekten können die hier beschriebenen Systeme und Verfahren in Hardware, Software, Firmware oder irgendeiner Kombination davon implementiert sein. Falls sie in Software implementiert sind, können die Verfahren als ein oder mehrere Befehle oder Codes auf einem nichtflüchtigen computerlesbaren Medium gespeichert sein. Ein computerlesbares Medium schließt eine Datenspeicherung ein. Beispielsweise, und nicht darauf beschränkt, kann ein solches computerlesbares Medium ein RAM, ROM, EEPROM, CD-ROM, Flashspeicher oder andere Typen eines elektrischen, magnetischen oder optischen Speichermediums, oder irgendein anderes Medium, umfassen, das verwendet werden kann, um einen gewünschten Programmcode in Form von Befehlen oder Datenstrukturen mitzuführen oder zu speichern, und auf das durch einen Prozessor eines Allzweckcomputers zugegriffen werden kann.In various aspects, the systems and methods described herein may be implemented in hardware, software, firmware, or any combination thereof. If implemented in software, the methods may be stored as one or more instructions or codes on a non-transitory computer-readable medium. A computer readable medium includes data storage. By way of example, and not limitation, such computer-readable medium may include a RAM, ROM, EEPROM, CD-ROM, flash memory, or other types of electrical, magnetic, or optical storage media, or any other medium that may be used to provide a desired Carry or store program code in the form of instructions or data structures and which can be accessed by a processor of a general purpose computer.

In verschiedenen Aspekten sind die Systeme und Verfahren in der vorliegenden Offenbarung in Form von Modulen beschrieben. Der Begriff ”Modul”, wie er hier verwendet wird, bezieht sich auf eine Vorrichtung, Komponente oder Anordnung von Komponenten der realen Welt, die unter Verwendung von Hardware implementiert ist, wie etwa beispielsweise durch eine anwendungsspezifische integrierte Schaltung (ASIC) oder eine im Feld programmierbare Gatter-Anordnung (FPGA), oder als eine Kombination von Hardware und Software, wie etwa durch ein Mikroprozessorsystem und einen Satz von Befehlen zur Implementierung der Funktionalität des Moduls, die (während sie ausgeführt werden) das Mikroprozessorsystem in eine Vorrichtung für einen speziellen Zweck umwandeln. Ein Modul kann auch als eine Kombination der beiden implementiert sein, wobei bestimmte Funktionen durch Hardware allein erleichtert werden, und andere Funktionen durch eine Kombination aus Hardware und Software erleichtert werden. In bestimmten Implementierungen kann wenigstens ein Teil des Moduls, und in einigen Fällen das gesamte Modul auf dem Prozessor eines Allzweckcomputers ausgeführt werden (wie etwa dem, der in 3 oben detaillierter beschrieben ist). Demgemäß kann jedes Modul in einer Vielfalt geeigneter Konfigurationen verwirklicht sein und sollte nicht auf irgendeine besondere Implementierung, die hier beispielhaft gezeigt ist, beschränkt werden.In various aspects, the systems and methods in the present disclosure are described in terms of modules. As used herein, the term "module" refers to a device, component or assembly of real-world components implemented using hardware, such as an application specific integrated circuit (ASIC) or field device programmable gate array (FPGA), or as a combination of hardware and software, such as a microprocessor system and a set of instructions to implement the functionality of the module, which (while executed) transforms the microprocessor system into a special purpose device convert. A module may also be implemented as a combination of the two, with certain functions facilitated by hardware alone, and other functions facilitated by a combination of hardware and software. In certain implementations, at least a portion of the module, and in some cases the entire module, may be executed on the processor of a general purpose computer (such as the one shown in FIG 3 described in more detail above). Accordingly, each module may be implemented in a variety of suitable configurations and should not be limited to any particular implementation exemplified herein.

Im Interesse der Klarheit sind nicht alle Standardmerkmale der Aspekte hier geoffenbart. Es wird darauf hingewiesen, dass bei der Entwicklung irgendeiner tatsächlichen Implementierung der vorliegenden Offenbarung zahlreiche implementierungsspezifische Entscheidungen getroffen werden müssen, um die spezifischen Ziele des Entwicklers zu erreichen und dass diese spezifischen Ziele für verschiedene Implementierungen und verschiedene Entwickler variieren. Es wird darauf hingewiesen, dass eine solche Entwicklungsanstrengung komplex und zeitraubend sein kann, aber nichtsdestotrotz eine routinemäßige Ingenieurarbeit für den Durchschnittsfachmann wäre, der den Nutzen dieser Offenbarung hätte.For the sake of clarity, not all standard features of the aspects are disclosed herein. It should be understood that in developing any actual implementation of the present disclosure, numerous implementation-specific decisions must be made to achieve the developer's specific goals and that these specific goals will vary for different implementations and different developers. It should be noted that such a development effort may be complex and time consuming, but nevertheless would be routine engineering work for one of ordinary skill in the art having the benefit of this disclosure.

Weiterhin versteht es sich, dass die hier verwendete Ausdrucksweise oder Terminologie zum Zweck der Beschreibung und nicht der Beschränkung dient, so dass die Terminologie oder Ausdrucksweise der vorliegenden Beschreibung vom Fachmann im Licht der hier präsentierten Lehren und Anleitung in Kombination mit dem Wissen des einschlägigen Fachmanns auszulegen ist. Außerdem ist es nicht beabsichtigt, dass irgendeinem Begriff in der Beschreibung oder den Ansprüchen eine ungewöhnliche oder spezielle Bedeutung zugeschrieben wird, außer sie ist ausdrücklich als solche dargelegt.Furthermore, it is to be understood that the phraseology or terminology used herein is for the purpose of description and not of limitation, so that the terminology or language of the present specification will be interpreted by those skilled in the light of the teachings and guidance presented herein in combination with the knowledge of those skilled in the art is. Furthermore, it is not intended that any term in the specification or claims be deemed to have any particular or particular meaning unless expressly stated as such.

Die hier geoffenbarten verschiedenen Aspekte umspannen derzeitige und zukünftige bekannte Äquivalente zu den bekannten Modulen, auf die hier zur Veranschaulichung Bezug genommen ist. Außerdem ist es für Fachmann, der den Nutzen dieser Offenbarung hat, ersichtlich, dass, obwohl Aspekte und Anwendungen gezeigt und beschrieben worden sind, viele Modifizierungen mehr als die oben genannten möglich sind, ohne von den hier geoffenbarten erfinderischen Konzepten abzuweichen.The various aspects disclosed herein encompass current and future known equivalents to the known modules, which are hereby incorporated by way of illustration. In addition, it will be apparent to those skilled in the art having the benefit of this disclosure that although aspects and applications have been shown and described, many modifications are possible above the above without departing from the inventive concepts disclosed herein.

Das System der vorliegenden Erfindung kann in den folgenden Verfahren angewandt werden:

  • a) Verfahren zur Festsetzung von Verschlüsselungsrichtlinien für eine Benutzervorrichtung, umfassend: – die Bestimmung eines Kriteriums oder mehrerer Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung; – die Bestimmung numerischer Werte für jedes des einen Kriteriums oder der mehreren Kriterien; – die Bestimmung eines Koeffizienten für die Vorrichtung basierend auf den numerischen Werten; – die Bestimmung einer Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten; und – die Anwendung der bestimmten Verschlüsselungsrichtlinie auf die Vorrichtung.
  • b) Verfahren nach Absatz a), wobei das eine Kriterium oder die mehreren Kriterien eines oder mehrere umfassen aus: – Benutzer oder Besitzer der Vorrichtung; – auf der Vorrichtung installierte Software; – Hardware der Vorrichtung; – auf der Vorrichtung gespeicherte Dateien; – eine Mobilität der Vorrichtung; und – einen Standort der Vorrichtung in einem Netzwerk.
  • c) Verfahren nach Absatz a) oder b), wobei die Bestimmung der numerischen Werte des einen Kriteriums oder der mehreren Kriterien durch einen oder beide von einem Steuerungsserver und der Vorrichtung selbst durchgeführt werden.
  • d) Verfahren nach einem der Absätze a) bis c), wobei die Bestimmung des Koeffizienten für die Vorrichtung durch Bestimmung einer gewichteten Summe der numerischen Werte durchgeführt wird.
  • e) Verfahren nach einem der Absätze a) bis d), wobei die Verschlüsselungsrichtlinien eines oder mehrere anzeigen aus: – ob es notwendig ist, die Vorrichtung zu verschlüsseln; – einen Platz der Vorrichtung in einer Verschlüsselungswarteschlange, die nach einem Sortieren von einer oder mehreren Vorrichtungen einschließlich der Vorrichtung basierend auf ihren jeweiligen Koeffizienten gebildet wurde; – einen Verschlüsselungstyp für die Vorrichtung, der eine vollständige Plattenverschlüsselung oder eine Verschlüsselung von separaten Dateien anzeigt; – und einen Verschlüsselungsalgorithmus für die Vorrichtung.
  • f) Verfahren nach einem der Absätze a) bis c) oder e), wobei die Bestimmung des Koeffizienten für die Vorrichtung durch Verwendung einer Datenbank von unterschiedlichen Koeffizienten entsprechenden Verschlüsselungsrichtlinien durchgeführt wird.
  • g) Verfahren nach einem der Absätze a) bis f), weiterhin umfassend: – die Bestimmung einer Anzahl notwendiger zu kaufender Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen.
  • h) Verfahren nach einem der Absätze a) bis g), weiterhin umfassend: – die Bestimmung eines Auftrags zur Verschlüsselung der einen oder mehreren Vorrichtungen unter Verwendung einer Anzahl von Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen.
  • i) Verfahren nach einem der Absätze a) bis h), weiterhin umfassend: – eine periodische Neuberechnung des Koeffizienten für die Vorrichtung, und – wenn sich der Koeffizient ändert, die Bestimmung neuer Verschlüsselungsrichtlinien für die Vorrichtung basierend auf dem Koeffizienten.
The system of the present invention can be used in the following methods:
  • a) A method of setting encryption policies for a user device, comprising: determining one or more criteria for the user device with respect to encryption requirements of the user device; The determination of numerical values for each of the one or more criteria; The determination of a coefficient for the device based on the numerical values; The determination of an encryption policy for the device based on the coefficient; and the application of the particular encryption policy to the device.
  • b) The method of paragraph a), wherein the one or more criteria comprises one or more of: - the user or the owner of the device; - software installed on the device; - Hardware of the device; - files stored on the device; A mobility of the device; and a location of the device in a network.
  • c) The method of paragraph a) or b), wherein the determination of the numerical values of the one or more criteria is performed by one or both of a control server and the device itself.
  • d) Method according to one of paragraphs a) to c), wherein the determination of the coefficient for the device is carried out by determining a weighted sum of the numerical values.
  • e) The method of any of paragraphs a) to d), wherein the encryption policies indicate one or more of: - whether it is necessary to encrypt the device; A location of the device in an encryption queue formed after sorting one or more devices including the device based on their respective coefficients; An encryption type for the device indicating full disk encryption or encryption of separate files; And an encryption algorithm for the device.
  • f) Method according to one of the paragraphs a) to c) or e), wherein the determination of the coefficient for the device is carried out by using a database of encryption policies corresponding to different coefficients.
  • g) The method of any of paragraphs a) to f), further comprising: - determining a number of necessary licenses to purchase for encryption software based on the encryption policy for one or more devices.
  • h) The method of any of paragraphs a) to g), further comprising: - determining an order to encrypt the one or more devices using a number of licenses for encryption software based on the encryption policies for one or more devices.
  • i) The method of any of paragraphs a) to h), further comprising: periodically recalculating the coefficient for the device, and, if the coefficient changes, determining new encryption policies for the device based on the coefficient.

Claims (18)

System zur Festsetzung von Verschlüsselungsrichtlinien für eine Vorrichtung, wobei das System – einen Prozessor umfasst, der dazu konfiguriert ist, – ein Kriterium oder mehrere Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung zu bestimmen; – numerische Werte für jedes des einen Kriteriums oder der mehreren Kriterien zu bestimmen; – einen Koeffizienten für die Vorrichtung basierend auf den numerischen Werten zu bestimmen; – eine Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten zu bestimmen; und – die bestimmte Verschlüsselungsrichtlinie auf die Vorrichtung anzuwenden.A system for setting encryption policies for a device, the system comprising - a processor configured to Determine one or more criteria for the user device with respect to encryption requirements of the user device; To determine numerical values for each of the one or more criteria; To determine a coefficient for the device based on the numerical values; To determine an encryption policy for the device based on the coefficient; and - apply the particular encryption policy to the device. System nach Anspruch 1, wobei das eine Kriterium oder die mehreren Kriterien eines oder mehrere umfassen aus: – Benutzer oder Besitzer der Vorrichtung; – auf der Vorrichtung installierte Software; – Hardware der Vorrichtung; – auf der Vorrichtung gespeicherte Dateien; – eine Mobilität der Vorrichtung; und – einen Standort der Vorrichtung in einem Netzwerk.The system of claim 1, wherein the one or more criteria comprises one or more of: - user or owner of the device; - software installed on the device; - Hardware of the device; - files stored on the device; A mobility of the device; and A location of the device in a network. System nach Anspruch 1 oder 2, wobei die numerischen Werte des einen Kriteriums oder der mehreren Kriterien durch einen oder beide von einem Steuerungsserver und der Vorrichtung selbst bestimmt werden.The system of claim 1 or 2, wherein the numerical values of the one or more criteria are determined by one or both of a control server and the device itself. System nach einem der Ansprüche 1 bis 3, wobei der Koeffizient für die Vorrichtung durch Bestimmung einer gewichteten Summe der numerischen Werte bestimmt wird.A system according to any one of claims 1 to 3, wherein the coefficient for the device is determined by determining a weighted sum of the numerical values. System nach einem der Ansprüche 1 bis 4, wobei die Verschlüsselungsrichtlinien eines oder mehrere anzeigen aus: – ob es notwendig ist, die Vorrichtung zu verschlüsseln; – einen Platz der Vorrichtung in einer Verschlüsselungswarteschlange, die nach einem Sortieren von einer oder mehreren Vorrichtungen einschließlich der Vorrichtung basierend auf ihren jeweiligen Koeffizienten gebildet wurde; – einen Verschlüsselungstyp für die Vorrichtung, der eine vollständige Plattenverschlüsselung oder eine Verschlüsselung von separaten Dateien anzeigt; – und einen Verschlüsselungsalgorithmus für die Vorrichtung.The system of any of claims 1 to 4, wherein the encryption policy comprises one or more of: - whether it is necessary to encrypt the device; A location of the device in an encryption queue formed after sorting one or more devices including the device based on their respective coefficients; An encryption type for the device indicating full disk encryption or encryption of separate files; And an encryption algorithm for the device. System nach einem der Ansprüche 1 bis 3 oder 5, wobei der Koeffizient für die Vorrichtung durch Verwendung einer Datenbank von unterschiedlichen Koeffizienten entsprechenden Verschlüsselungsrichtlinien bestimmt wird.A system according to any of claims 1 to 3 or 5, wherein the coefficient for the device is determined by using a database of encryption policies corresponding to different coefficients. System nach einem der Ansprüche 1 bis 6, wobei der Prozessor weiterhin dazu konfiguriert ist, – eine Anzahl notwendiger zu kaufender Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen zu bestimmen.The system of any one of claims 1 to 6, wherein the processor is further configured to: Determine a number of necessary licenses to purchase for encryption software based on the encryption policy for one or more devices. System nach den Ansprüchen 1 bis 7, wobei der Prozessor weiterhin dazu konfiguriert ist, – einen Auftrag zur Verschlüsselung der einen oder mehreren Vorrichtungen unter Verwendung einer begrenzten Anzahl von Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen zu bestimmen.The system of claims 1 to 7, wherein the processor is further configured to Determine an order to encrypt the one or more devices using a limited number of licenses for encryption software based on the encryption policy for one or more devices. System nach einem der Ansprüche 1 bis 8, wobei der Prozessor weiterhin dazu konfiguriert ist, – den Koeffizienten für die Vorrichtung periodisch neuzuberechnen, und – wenn sich der Koeffizient ändert, neue Verschlüsselungsrichtlinien für die Vorrichtung basierend auf dem Koeffizienten zu bestimmen.The system of any one of claims 1 to 8, wherein the processor is further configured to: Periodically recalculating the coefficient for the device, and If the coefficient changes, determine new encryption policies for the device based on the coefficient. Auf einem nicht flüchtigen computerlesbaren Speichermedium gespeichertes Computerprogrammprodukt, wobei das Computerprogrammprodukt computerausführbare Anweisungen zur Festsetzung von Verschlüsselungsrichtlinien für eine Benutzervorrichtung umfasst, einschließlich Anweisungen für: – die Bestimmung eines Kriteriums oder mehrerer Kriterien für die Benutzervorrichtung in Bezug auf Verschlüsselungsanforderungen der Benutzervorrichtung; – die Bestimmung numerischer Werte für jedes des einen Kriteriums oder der mehreren Kriterien; – die Bestimmung eines Koeffizienten für die Vorrichtung basierend auf den numerischen Werten; – die Bestimmung einer Verschlüsselungsrichtlinie für die Vorrichtung basierend auf dem Koeffizienten; und – die Anwendung der bestimmten Verschlüsselungsrichtlinie auf die Vorrichtung.A computer program product stored on a non-transitory computer-readable storage medium, the computer program product comprising computer-executable instructions for establishing encryption policies for a user device, including instructions for: The determination of one or more criteria for the user device with respect to encryption requirements of the user device; The determination of numerical values for each of the one or more criteria; The determination of a coefficient for the device based on the numerical values; The determination of an encryption policy for the device based on the coefficient; and The application of the particular encryption policy to the device. Computerprogrammprodukt nach Anspruch 10, wobei das eine Kriterium oder die mehreren Kriterien eines oder mehrere umfassen aus: – Benutzer oder Besitzer der Vorrichtung; – auf der Vorrichtung installierte Software; – Hardware der Vorrichtung; – auf der Vorrichtung gespeicherte Dateien; – eine Mobilität der Vorrichtung; und – einen Standort der Vorrichtung in einem Netzwerk. The computer program product of claim 10, wherein the one or more criteria comprises one or more of: - the user or the owner of the device; - software installed on the device; - Hardware of the device; - files stored on the device; A mobility of the device; and a location of the device in a network. Computerprogrammprodukt nach Anspruch 10 oder 11, wobei die numerischen Werte des einen Kriteriums oder der mehreren Kriterien durch einen oder beide von einem Steuerungsserver und der Vorrichtung selbst bestimmt werden.The computer program product of claim 10 or 11, wherein the numerical values of the one or more criteria are determined by one or both of a control server and the device itself. Computerprogrammprodukt nach einem der Ansprüche 10 bis 12, wobei der Koeffizient für die Vorrichtung durch Bestimmung einer gewichteten Summe der numerischen Werte bestimmt wird.The computer program product of any one of claims 10 to 12, wherein the coefficient for the device is determined by determining a weighted sum of the numerical values. Computerprogrammprodukt nach einem der Ansprüche 10 bis 13, wobei die Verschlüsselungsrichtlinien eines oder mehrere anzeigen aus: – ob es notwendig ist, die Vorrichtung zu verschlüsseln; – einen Platz der Vorrichtung in einer Verschlüsselungswarteschlange, die nach einem Sortieren von einer oder mehreren Vorrichtungen einschließlich der Vorrichtung basierend auf ihren jeweiligen Koeffizienten gebildet wurde; – einen Verschlüsselungstyp für die Vorrichtung, der eine vollständige Plattenverschlüsselung oder eine Verschlüsselung von separaten Dateien anzeigt; – und einen Verschlüsselungsalgorithmus für die Vorrichtung.The computer program product of any one of claims 10 to 13, wherein the encryption policy comprises one or more of: - whether it is necessary to encrypt the device; A location of the device in an encryption queue formed after sorting one or more devices including the device based on their respective coefficients; An encryption type for the device indicating full disk encryption or encryption of separate files; And an encryption algorithm for the device. Computerprogrammprodukt nach einem der Ansprüche 10 bis 12 oder 14, wobei der Koeffizient für die Vorrichtung durch Verwendung einer Datenbank von unterschiedlichen Koeffizienten entsprechenden Verschlüsselungsrichtlinien bestimmt wird.A computer program product according to any of claims 10 to 12 or 14, wherein the coefficient for the device is determined by using a database of encryption policies corresponding to different coefficients. Computerprogrammprodukt nach einem der Ansprüche 10 bis 15, wobei der Prozessor weiterhin dazu konfiguriert ist, – eine Anzahl notwendiger zu kaufender Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen zu bestimmen.The computer program product of any of claims 10 to 15, wherein the processor is further configured to: Determine a number of necessary licenses to purchase for encryption software based on the encryption policy for one or more devices. Computerprogrammprodukt nach einem der Ansprüche 10 bis 16, wobei der Prozessor weiterhin dazu konfiguriert ist, – einen Auftrag zur Verschlüsselung der einen oder mehreren Vorrichtungen unter Verwendung einer begrenzten Anzahl von Lizenzen für Verschlüsselungssoftware basierend auf den Verschlüsselungsrichtlinien für eine oder mehrere Vorrichtungen zu bestimmen.The computer program product of any one of claims 10 to 16, wherein the processor is further configured to: Determine an order to encrypt the one or more devices using a limited number of licenses for encryption software based on the encryption policy for one or more devices. Computerprogrammprodukt nach einem der Ansprüche 10 bis 17, wobei der Prozessor weiterhin dazu konfiguriert ist, – den Koeffizienten für die Vorrichtung periodisch neuzuberechnen, und – wenn sich der Koeffizient ändert, neue Verschlüsselungsrichtlinien für die Vorrichtung basierend auf dem Koeffizienten zu bestimmen.The computer program product of any one of claims 10 to 17, wherein the processor is further configured to: Periodically recalculating the coefficient for the device, and If the coefficient changes, determine new encryption policies for the device based on the coefficient.
DE201420102961 2013-12-27 2014-06-30 A system and computer program product for automatically setting user device encryption policies Active DE202014102961U1 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2013158123 2013-12-27
RU2013158123/08A RU2562444C2 (en) 2013-12-27 2013-12-27 Method and system for automatic assignment of coding policy to devices
US14/291,328 2014-05-30
US14/291,328 US9332034B2 (en) 2013-12-27 2014-05-30 System and methods for automatic designation of encryption policies for user devices

Publications (1)

Publication Number Publication Date
DE202014102961U1 true DE202014102961U1 (en) 2014-10-22

Family

ID=51863598

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201420102961 Active DE202014102961U1 (en) 2013-12-27 2014-06-30 A system and computer program product for automatically setting user device encryption policies

Country Status (1)

Country Link
DE (1) DE202014102961U1 (en)

Similar Documents

Publication Publication Date Title
DE102010023691B4 (en) Share dynamic content presets and behavior of computing devices
DE102018115440A1 (en) Techniques for training deep neural networks
DE202017105691U1 (en) Intelligent assistant for repeated actions
DE112016005555T5 (en) CAPTCHA image-based tasks
DE112006001378T5 (en) Automatic management of a memory access control
DE112016002708T5 (en) SCREEN ANALYSIS-BASED DEVICE ASSURANCE
DE112012003193T5 (en) Improved captcha program using image sequences
DE202014011086U1 (en) System for determining a trustworthiness category of applications that perform an interface overlay
DE102016204698A1 (en) Improving the detection of steganography at the perimeter
DE112011105481T5 (en) Enabling the use of another computing device by a computing device
DE102014114005A1 (en) Risk assessment of mobile application interactions based on reputation
DE112014000584T5 (en) Achieving storage efficiency with end-to-end encryption using downstream (downstream) decryptors
DE202017105834U1 (en) Manage application updates
DE202014011089U1 (en) System for copying files between encrypted and unencrypted data storage devices
DE112021000392T5 (en) POWERFUL COMMENTARY ON GROUND TRUTH
DE112020000927T5 (en) MANAGE SENSITIVE DATA
DE102016102295A1 (en) Secure authentication mechanism using quick-response codes
DE112011104787T5 (en) Use of content via personal clouds
DE102017005964A1 (en) Techniques for selecting objects in images
DE102021130396A1 (en) DATA ACCESS MONITORING AND CONTROL
DE102018010163A1 (en) Automatic generation of useful user segments
DE112018005018T5 (en) USER AUTHENTICATION CHECK ON MULTIPLE DEVICES
DE112021000689T5 (en) ATTESTATION OF NEURAL PROCESSES
DE112020002155T5 (en) CONSENT TO COMMON PERSONAL INFORMATION
DE202021004328U1 (en) Data Cloud Connected Applications

Legal Events

Date Code Title Description
R207 Utility model specification

Effective date: 20141127

R150 Utility model maintained after payment of first maintenance fee after three years
R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years