KR20150032861A - 이-메일에 대한 데이터 검출 및 보호 정책 - Google Patents

이-메일에 대한 데이터 검출 및 보호 정책 Download PDF

Info

Publication number
KR20150032861A
KR20150032861A KR20157000611A KR20157000611A KR20150032861A KR 20150032861 A KR20150032861 A KR 20150032861A KR 20157000611 A KR20157000611 A KR 20157000611A KR 20157000611 A KR20157000611 A KR 20157000611A KR 20150032861 A KR20150032861 A KR 20150032861A
Authority
KR
South Korea
Prior art keywords
policy
dlp
dlp policy
template
generating
Prior art date
Application number
KR20157000611A
Other languages
English (en)
Other versions
KR102056956B1 (ko
Inventor
린 아이레스
잭 카바트
비크람 카쿠마니
마슈리 리브만
벤자민 스툴
아나톨리 코레츠키
안드레이 슈르
조세프 슐맨
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20150032861A publication Critical patent/KR20150032861A/ko
Application granted granted Critical
Publication of KR102056956B1 publication Critical patent/KR102056956B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/234Monitoring or handling of messages for tracking messages
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/06Message adaptation to terminal or network requirements
    • H04L51/063Content adaptation, e.g. replacement of unsuitable content

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

요구사항들을 캡슐화하고, 규제 정책에 의해 직접적으로 또는 간접적으로 조작되는 바와 같이 목적 및 지시 및/또는 민감한 데이터 유형의 정의를 제어할 수 있는 데이터 손실 방지(data loss prevention: DLP) 정책 정의를 전개 및 구현하는 시스템 및/또는 방법이 개시된다. 일 실시예에서, DLP 정책은 전자 파일 시스템들의 집합(예를 들어, 이메일 시스템, 파일 시스템, 웹 서버 등)에 대해 실행되도록 조직에 의해 식별될 수 있다. 조직 및 이들의 관리자는 DLP 정책 템플릿들로부터 도출되는 DLP 정책 인스턴스들의 집합을 구현할 수 있다. DLP 정책 템플릿은 구조 및 의미 모두를 포함할 수 있고, 파라미터화된 표현을 소정의 파라미터 값으로 대체함으로써 주어진 DLP 정책을 획득할 수 있다. 또 다른 실시예에서, DLP 정책 인스턴스의 상태는 정책 인스턴스 전개의 라이프사이클에 따라 달라질 수 있다.

Description

이-메일에 대한 데이터 검출 및 보호 정책{DATA DETECTION AND PROTECTION POLICIES FOR E-MAIL}
현대의 조직들은 예를 들어 이-메일 내의 PLL, 금용 데이터, 지적 재산권 및 보건 데이터와 같은 (예를 들어, 전자 형식의) 민감한 정보를 발견하고, 모니터링하며 보호하는 것이 바람직한 것으로 여긴다. 이를 위해, 조직은 보호되어야 하는 데이터 및 데이터에 적용되어야 하는 정책 모두를 모델링하려 한다. 이-메일의 경우, 관리자들은 발신자 신원, 수신자 신원 등과 같은 그들의 정책에 대한 상이한 범위지정(scoping) 메카니즘을 선택하려 한다.
또한, 관리자는 감사(audit), 암호화, TLS 전송 요구 등과 같은 조치를 선택 및 적용하려고 시도한다. 또한, 관리자는 규제 목적과 같은 한가지 목적과 관련된 정책들을 취하려 시도하고, 정책들이 상이한 룰들을 포함하고 있을지라도 그 정책들을 단일 패키지로 관리하고, 단일 동작으로 정책을 인에이블/디스에이블 및 테스트하려 시도할 수 있다.
이하에서는 본 명세서에 기술된 몇몇 측면들의 기본적인 이해를 제공하기 위해 본 발명의 간단한 요약이 제공된다. 본 요약은 청구 대상의 광범위한 개요는 아니다. 본 요약은 청구 대상의 핵심 요소 또는 중요 요소를 확인하려는 것도 아니고 청구 대상의 범주를 기술하려는 것도 아니다. 본 요약의 유일한 목적은 청구 대상의 몇몇 개념들을 이후에 기술되는 보다 상세한 설명에 대한 서두로서 제공하려는 것이다.
정책 객체 모델로부터 데이터 손실 방지(data loss prevention: DLP) 정책 인스턴스를 전개 및 구현하는 시스템 및/또는 방법이 개시된다. 일 실시예에서, DLP 정책은 전자 파일 시스템들의 집합(예를 들어, 이메일 시스템, 파일 시스템, 웹 서버 등)에 대해 실행되도록 조직에 의해 식별될 수 있다. 조직 및 이들의 관리자는 DLP 정책 템플릿들의 파라미터화(parameterization)를 통해 DLP 정책 인스턴스의 집합을 구현할 수 있다. DLP 정책 템플릿은 구조 및 의미 모두를 포함할 수 있고, 파라미터화된 표현을 소정의 파라미터 값으로 대체함으로써 정책 생성시 일반적인 정책 구성을 전개 특정 환경 구성(deployment specfic environment configurations)으로 대체하는 것에 의해 영향을 받을 수 있다. 또 다른 실시예에서, DLP 정책 인스턴스의 상태는 정책 인스턴스 전개의 라이프사이클에 따라 달라질 수 있다.
일 실시예에서, 정책 템플릿들의 집합으로부터 DLP 정책을 인스턴스화하는 방법이 개시되는데, 이 방법의 단계들은 소정의 DLP 정책이 영향을 받게 될 전자 파일 시스템을 식별하는 단계와, 소정의 DLP 정책에 적합한 DLP 정책 템플릿들의 집합을 식별하는 단계와, DLP 정책 템플릿들을 소정의 DLP 정책 특정 데이터로 파라미터화하는 단계와, 파라미터화된 DLP 정책 인스턴스를 전자 파일 시스템으로 전파(disseminate)하는 단계를 포함한다.
또 다른 실시예에서, 전자 파일 시스템들의 집합에 대해 적어도 하나의 DLP 정책 인스턴스를 생성하는 시스템이 개시되는데, 이 시스템은 DLP 정책 템플릿들의 집합- 각 DLP 정책 템플릿은 컴포넌트 필드들의 집합을 포함함 -과, 컴포넌트 필드를 소정의 정책 데이터로 대체할 수 있는 DLP 정책 템플릿 파라미터화 모듈과, DLP 정책 템플릿들의 집합으로부터 전자 파일 시스템들의 집합에 대한 DLP 정책 인스턴스를 생성할 수 있는 DLP 메인 정책 모듈을 포함한다.
본 시스템의 다른 특징 및 측면은 본 출원 내의 도면과 연계하여 읽을 때 이하의 상세한 설명에 제공되어 있다.
예시적인 실시예들은 도면의 참조 번호로 설명된다. 본 명세서에 개시된 실시예 및 참조 번호는 제한적이기보다는 예시적인 것으로 간주되려 한다.
도 1은 본 발명의 원리에 따른, 정책 시스템에 영향을 미치는 시스템의 일 실시예를 나타낸다.
도 2는 본 발명의 원리에 따른, 이메일과 관련된 정책 시스템의 구현 및 동작의 일 실시예를 나타낸다.
도 3은 이메일과 관련하여 정책 시스템과 인터페이싱할 수 있는 시스템 메일 서버 프로세싱 서브시스템의 일 실시예를 나타낸다.
도 4는 추정되는 고객 이메일 시스템(putative customer email system)을 대표할 수 있는 하나의 예시적인 DLP 정책 템플릿의 일 실시예이다.
본 명세서에서 사용되는 바와 같이, "컴포넌트", "시스템", "인터페이스" 등의 용어는 컴퓨터 관련 엔티티, 즉 하드웨어, (예를 들어, 실행되는) 소프트웨어, 및/또는 펌웨어를 지칭하려 한다. 예를 들어, 컴포넌트는 프로세서에서 실행되는 프로세스, 프로세서, 객체, 실행파일, 프로그램, 및/또는 컴퓨터일 수 있다. 예시로서, 서버에서 실행되는 애플리케이션과 서버는 모두 컴포넌트일 수 있다. 하나 이상의 컴포넌트가 프로세스 내에 상주할 수 있고 하나의 컴포넌트가 하나의 컴퓨터 상에 로컬화될 수 있고 및/또는 둘 이상의 컴퓨터 사이에서 분산될 수 있다.
본 발명은 도면을 참조하여 설명되며, 이 도면에서 유사한 요소를 지칭하는데 유사한 참조번호가 사용된다. 이하의 설명에서, 설명을 목적으로, 본 발명의 완전한 이해를 제공하기 위해 여러 세부사항들이 설명된다. 그러나, 본 발명은 이들 세부사항없이도 실시될 수 있음은 자명하다. 다른 경우로서, 잘 알려져 있는 구조 및 장치는 본 발명의 설명을 용이하게 하기 위해 블록도 형태로 도시되어 있다.
소개
본 발명의 몇몇 실시예는 전자 파일 서브시스템(한가지 예를 든다면, 이메일)에 대한 정책들이 생성되게 하고 이들을 단일 동작에서 동시에 설치, 제거, 상태 변경 및 보고될 수 있는 관련 객체들의 집합으로서 모델링하는 시스템, 방법 및 메카니즘을 개시한다. 본 실시예들이 보다 이메일 시스템의 예에 관한 것이지만, 본 명세서에서 기술된 시스템, 방법 및/또는 기술은 또한 넓은 의미의 다양한 전자 파일 시스템, 예를 들어, 파일 시스템, 정보 보호 및 협업(예를 들어, 마이크로소프트 셰어포인트® 시스템), 웹 서버, 애플리케이션 서버 등에 적용될 수도 있음을 이해해야 한다.
이하에서 보다 자세히 설명되는 바와 같이, 여러 실시예에 있어서, 복잡한 산업 규제 또는 회사 정보 관리를 정책으로서 모델링하는 프레임워크를 이용하는 것이 바람직할 수 있다. 대략적으로, 이들 정책(및 이들의 연관된 시스템 및 방법)은 일반적으로 데이터 손실 보호(DLP)의 분야에서 설명된다. 이 분야에서의 애플리케이션은 정책 처리가 (1) 정책 라이프사이클의 관리, (2) 정책 집행 지점에서의 정책 집행 및 평가, (3) 보고의 생성 및 보기, (4) 사건 위반의 관리에 적용될 경우 그 정책 처리를 다루는 모든 또는 부분적인 컴포넌트를 구현할 수 있다.
실시예
도 1은 본 발명의 원리에 따라 이루어진 정책 시스템의 개략도이다. 이 실시예에서 알 수 있는 바와 같이, 주어진 조직에 걸쳐 설치될 수 있는 다양한 전자 저장소 및/또는 서버와 함께 동작할 수 있는 몇몇 일반적인 정책 모듈이 있을 수 있다. 대략적으로, 정책 관리 시스템, 다수의 정책 집행 지점, 및 정책의 설정 및 테스트를 위한 감사(audit) 시스템이 있을 수 있다.
도 1에서 알 수 있는 바와 같이, 정책 관리 시스템(100)은 정책 저작 시스템(102), 정책 저장소(104), 정책 전파 시스템(106)을 포함할 수 있다. 본 명세서에서 더 설명하는 바와 같이, 이들 정책 모듈은 조직을 위한 정책을 설정 및 전파하는데 이용될 수 있다. 정책은 다양한 정책 변환/맵핑 시스템(108)에 의해 영향을 받을 수 있는데, 이 시스템(108)은 일반적인 정책 지시들(directives)을 이해하고 이들을 정책 집행 지점에 의해 컨텍스트에 따라(contextually) 이해되는 포맷으로 변환하며, 이 정책 집행 지점은 다양한 전자 데이터 서브시스템, 예를 들어 메일 전달 시스템(110), 마이크로소프트 아웃룩® 시스템(112)과 같은 메일 클라이언트 시스템, 마이크로소프트 셰어포인트® 시스템(114)과 같은 정보 관리 시스템, 파일 시스템(116), 웹 서버(118) 또는 정책을 집행하고 적용할 수 있는 다른 적절한 전자 데이터 서브시스템과 인터페이싱할 수 있다.
이들 정책 집행 서브시스템 내에는, 그 서브시스템 내에서 정책을 효율적으로 구현하는 모듈들이 있을 수 있다. 예를 들어, 이러한 모듈들은 정책을 소비하고, 로컬 컨텍스추얼 처리를 할 수 있으며, 이들은 컨텍스추얼 정책 평가, 컨텍스추얼 정책 집행 및 컨텍스추얼 정책 프리젠테이션을 더 포함할 수 있다.
이들 서브시스템의 일부로서, 컨텍스추얼 감사 데이터 생성기를 구비하는 것이 바람직할 수 있다. 이들 감사 데이터 생성기는 감사 통합 시스템(122) 및 감사 프리젠테이션 시스템(114)과 통신할 수 있다.
조직의 소프트웨어 모음(예를 들어, 이메일, 파일 서버, 웹 인터페이스 등)과 인터페이싱할 수 있는 정책 시스템을 구현하기 위한 다른 다수의 아키텍처가 가능함을 이해해야 한다. 또한, 소정의 정책 모듈(예를 들어, 정책 저작 및 저장, 감사 기능)이 조직과는 별개로 호스팅되고 또한 달리 (예를 들어, 서버/클라이언트 관계, 클라우드 기반 서비스 등) 공급되는 것이 가능할 수 있다(어쩌면 바람직할 수 있다).
조직을 위한 정책 시스템이 구현 또는 구성된 경우, 이러한 정책 시스템은 런타임 다이나믹(runtime dynamic)을 채용한다. 도 2는 런타임 다이나믹(200)의 일 실시예를 나타내는데, 이는 예시적인 이메일 흐름 정책 애플리케이션에 적용될 수 있다. 조직은 전형적으로 이메일 시스템 위에서 동작하거나 또는 그와 협업하여 동작하게 될 정책 시스템의 구현에 앞서 조직의 이메일 시스템 및/또는 서버(202)를 구비할 것이다.
정책 시스템은 여러 소스로부터 정책 콘텐츠를 소비할 수 있다. 이러한 하나의 소스는 제품의 일부로서 이용가능한 정책 템플릿들의 OBB(out-of-box) 세트의 형태로 시스템 그 자체와 함께 공급될 수 있고 테넌트 시스템 관리자 및/또는 다른 적절한 사용자(206)에 의해 획득 및 설치될 수 있다. 또 다른 소스는 ISV(Independent Software Vendors) 및 제품 파트너, 및 타겟 조직에 의해 소비되는 맞춤 정책 콘텐츠를 제공하는 컨설턴트로부터 공급될 수 있다. 204는 조직에게 맞춤 DLP 정책을 공급할 수 있다. 어느 경우든, 관리자(206)는 DLP 정책 시스템의 특정 구성을 수행할 수 있고, 이 경우 조직의 이메일 시스템과 동작할 수 있다. 정책의 설치/생성 외에, 진행중인 정책 유지관리 및 조정이 내부 직원 또는 외부 계약자 또는 판매자, 예를 들어, 테넌트 관리자에 의해, 또는 ISV, 파트너 및/또는 컨설턴트에 의해 수행될 수 있다. 이들은 206 및 204와 같은 여러 동작으로 표현될 수 있다.
동작시, 정책 지시들은 정보 작업자가 예를 들어 아웃룩(210a) 또는 일반적인 이메일 클라이언트(210b)와 상호작용하여 조직의 사용자에 대한 정책의 능동적인 교육 및/또는 통보를 야기할 수 있는 상황의 동작들을 포함할 수 있다. 정책 지시는 어떤 콘텐츠가 민감한 것으로 간주되는지를 판정할 수 있고 조직 내에서의 그의 사용/취급을 통제하는 룰을 정의할 수 있다. 무엇이 민감한 콘텐츠인지와 이의 사용을 통제하는 룰 모두는 정책 지시의 일부로서 최종 사용자에게 전파될 수 있다(예를 들어, 환자 정보, 거래 보안 정보 등을 갖는 이메일). 정책 지시는 사용자가 이러한 정보를 제약받지 않고 전송할 수 있도록 하고, 통신이 민감한 정보를 포함하고 있고 사용자가 그의 노출, 또는 노골적인 공유의 방지에 대한 책임을 진다는 명시적인 확인을 요구할 수 있다.
일단 수신되면, 이메일 서버는 정책 고려사항, 준수 및/또는 처리에 대한 동일한 정책 정의에 따라 이메일을 직접 처리할 수 있다(또는 정책 시스템은 서버/클라이언트 관계 등으로 이메일 서버와는 별개로 동작할 수 있다). 이메일이 민감한 콘텐츠에 대해 스캐닝되면, 예를 들어 이메일을 이메일 서버, 조직 등 밖으로 전송하기에 앞서 그 이메일을 보류하는 것과 같은 추가의 동작이 취해질 수 있다. 정책에 대한 임의의 비-준수(또는 대체로 준수하는 이메일 트래픽의 주기적인 보고)가 후속 조치를 위해 감사자(auditor)(212)에게 전송될 수 있다. 이러한 후속 조치는 영향을 받는 고용인(affected employees)을 재교육하기 위한 것일 수 있거나, 또는 정책 시스템의 동적 흐름 및/또는 동작에서의 일부 에러를 검출할 수 있다. 임의의 정책 처리 에러는 교정을 위해 시스템 관리자 또는 ISV로 제공될 수 있다. 메일 처리 서버는 어떠한 클라이언트가 저작 경험의 일부로서 사용되었다 하더라도 정책이 일률적으로 적용되도록 할 것이다. 정책이 송신자 확인을 요구하는 경우, 이들은 송신자의 존재에 대해 실시되거나 또는 메일이 송신자에게 거절될 것이다.
도 3은 정책 적용의 세부사항을 처리하는 이메일 서버, 예를 들어 익스체인지 서버(도 2의 박스(202))이다. 도 3은 정책 시스템과 상호작용하는 경우의 시스템 메일 처리 서브시스템(300)의 하나의 가능한 실시예를 나타낸다. 이메일 서버의 처리는 메일 처리의 다양한 단계에서 활성화되는 에이전트에 의해 수행될 수 있다. 그러한 하나의 에이전트는 콘텐츠 분석 프레디켓에 대한 스키마(schema for content analysis predicates)(318)와 연계하여 콘텐츠 분석 프레디켓(302a)의 처리를 이용할 수 있는 익스체인지 트랜스포트 룰 에이전트(302)일 수 있다. 트랜스포트 룰은 316에 저장될 수 있고 관리자/사용자는 UI(314)를 통해 모듈(314b)을 이용하여 콘텐츠 분석 프레디켓을 편집할 수 있다.
에이전트는 메시지 콘텐츠 및 첨부 텍스트 추출 모듈(본 명세서에서는 "FIPS"로 지칭됨)(306) 및 콘텐츠 분석 모듈과 상호작용하여 민감한 정보에 대해 스캐닝할 수 있다. FIPS는 콘텐츠 추출 및 텍스트(예를 들어, 메일 메시지 및 첨부물)로의 변환을 행하고 추출된 콘텐츠를 정책 지시에 의해 정의된 임의의 민감한 콘텐츠의 분석을 위해 분류 엔진으로 전달할 수 있는 컴포넌트로서 영향을 받을 수 있다. FIPS는 텍스트 추출 엔진(306b) 및 텍스트 추출 엔진을 이용하는 통신 모듈(305a) 및 콘텐츠 분석 엔진(306c)을 포함할 수 있다. FIPS는 DLP 정책 평가 모듈과 동일할 수 있는데, 예를 들어 FIPS는 DLP 정책 평가를 행하는 서브-컴포넌트, 즉 DLP 정책에 의해 정의된 임의의 민감한 정보에 대한 분석을 위해 분류 엔진으로 공급될 텍스트 추출을 행하는 것으로서 구성될 수 있다.
텍스트 추출 모듈은 이메일 본문 및 임의의 첨부물로 확인된 텍스트에 대한 텍스트 분석을 수행할 수 있는 콘텐츠 분석/스캐닝 엔진/모듈(310)과 (아마도 통신 프로토콜(308)을 통해) 인터페이싱할 수 있다. 텍스트 분석 엔진은 AD와 같은 콘텐츠 룰 저장소(312)에 저장된 정책 정보에 기초하여 민감한 콘텐츠를 식별할 수 있다. 이러한 룰은 UI(314)를 통해 모듈(314a)을 이용하여 관리자/사용자에 의해 편집될 수 있다.
데이터 검출 및 방지 정책 객체 모델 실시예
본 시스템, 방법 및/또는 메카니즘은 객체 모델 접근방식에 의해 구현될 수 있다. 이러한 하나의 실시예에서, 규제 정책의 복잡성은 정책 지시 및 제어를 캡슐화하고 그의 라이프사이클 관리를 위한 방법을 제공하는 정책 템플릿 개념을 통해 표현될 수 있다. 구현을 용이하게 하기 위해 후속하는 객체를 정의하고 및/또는 객체 모델과 연관시키는 것이 바람직할 수 있는데, 이 후속하는 객체는 (1) 정책의 설치를 가능하게 하는 정책 템플릿 객체 및 모든 연관된 객체, (2) 공유되는 메타데이터 및 상태를 추적하는 메인 정책 객체, (3) 정책 지시를 각 정책에 대한 일치 조건 및 동작으로서 정의하는, 정책 객체에 맵핑되는 정책 룰 객체들의 집합, 및 (4) 정책 및 규제 세부사항이 민감한 데이터 정의로서 지정하는 민감한 데이터의 구조를 정의하는 데이터 분류 룰 객체이다.
이들 다양한 객체에 대해, 이들 객체에 대해 취하는 동작들을 정의 및 구현하는 것이 바람직할 수 있다. 예를 들어, 예시적인 정책 템플릿에 대해 객체 동작은 (1) 설치 동작, (2) 인스턴스화 동작 및 (3) 제거 동작을 포함할 수 있다. 메인 정책 객체에 대한 동작들은 (1) 템플릿으로부터 새로운 정책 객체를 생성하는 동작, (2) 그의 라이프사이클을 통해 새로운 것을 생성하고, 편집하고, 삭제하며 상태 변경을 관리하는 동작을 포함할 수 있다. 그러한 경우에서와 같이, 이들 동작들 각각은 적용가능한 임의의 정책 집행 지점에서 정책 지시를 적절하게 구현하는 정책과 연관된 다수의 객체들에 영향을 미칠 수 있다. 이메일에 대한 정책 시스템의 경우, (1) 이메일 클라이언트, (2) 이메일 서버, (3) 이메일 저장 시스템 및 (4) 이메일 처리 게이트웨이 등을 포함할 수 있는 다수의 정책 집행 지점에 걸쳐 (정책 하에 놓일 수 있는) 이메일에 대한 런타임 행위가 있을 수 있다. 정책 집행 지점 각각은 (1) 정책의 감사 전용 평가(audit only evaluation of the policy), (2) 정책의 감사 및 통보 평가 및 (3) 정책 지시의 완전한 집행을 포함할 수 있는 정책 전개 라이프사이클에 관련된 경우 정책의 상태에 따라 정책을 해석 및 적용한다.
DLP 정책 템플릿 실시예
일 실시예에서, DLP 정책 템플릿은 정책의 특징 및 그것이 컴포넌트들을 사용하여 어떻게 구현되지를 식별하는 컴포넌트 설명, 즉 컴포넌트들에 대한 구성이다. 그것은 비-환경 특정적일 수 있는데, 예를 들어 전개 특정 버전(deployment specific version)을 생성하는데 사용된 스텐실(stencil)일 수 있다. 또한, DLP 정책 템플릿은 단지 정의이기 때문에 어떠한 상태도 가지지 않을 수 있다. 또한, 그것은 예를 들어 불러오기(Import), 보내기(Export), 삭제(Deletion) 및 질의(Query)와 같은 매우 간단한 동작 집합들을 제공할 수 있다. 이러한 하나의 실시예에서, 템플릿은 규제 정책의 전체 구성을 도 4에 도시되어 있는 바와 같이 구현 독립적인 포맷으로 표현하는데 사용될 수 있는 XML 문서를 사용하여 작성될 수 있다.
이 실시예에서, 불러오기 동작은 정의의 불러오기를 허용할 수 있다. 이 불러오기 동작은 시스템 내에 내장되는 "OOB(out of the box)" 정책 정의를 위해 제공될 수 있다. 또한, 불러오기는 OOB 정책 템플릿을 위한 정책 템플릿의 업데이트 버전을 제공하는데 사용될 수 있다. 또한, 불러오기는 맞춤 규제 목적 또는 조직의 필요를 충족시키기 위해 제공되는 추가의 정책 정의를 시스템 내에 통합시키는데 사용될 수 있다. 이들 추가의 정책 정의는 내장 정책 정의를 확장시킬 수 있거나 완전 새로운 정책 정의를 생성할 수 있다.
보내기 동작은 정책 정의의 저장, 백업 및 오프라인 업데이트를 가능하게 할 수 있다. 보내기는 템플릿의 직렬화된 버전에 대한 액세스를 제공할 수 있고 하나의 환경에서 또 다른 환경으로 템플릿을 이동시키는데 사용될 수 있다.
삭제 동작은 전개 환경으로부터 정책 정의를 제거한다. 일 실시예에서, OOB 정의에 대해 삭제가 지원되는 것은 바람직하지 않을 수 있다. 질의 동작은 OOB 정책 및 시스템에 추가된 임의의 추가 정책 모두에 대한 정의의 발견을 가능하게 할 수 있다.
예시적인 DLP 정책 템플릿 파라미터화
단지 하나의 예로서, 도 4는 가능하면 특정 규제에 기초하여 예시적인 고객 이메일 흐름 준수를 실현하기 위해 구현될 수 있는 DLP 정책 템플릿 컴포넌트(400)의 하나의 추정되는 집합을 나타낸다. 알 수 있는 바와 같이, DLP 정책은 (연관된 구조(402) 및 의미(404)를 갖는) 컴포넌트들의 집합, 예를 들어 발행자(406,408), 버전(410,412), 정책 이름(414,416), 설명(418,420), 메타데이터(422,424), 정책 구성의 집합(426,428) 및 데이터 분류 패키지의 집합(430,432)을 포함한다. 의미들의 집합은 이들 컴포넌트들과 연관될 수 있음을 인지해야 한다. 이 예에서, DLP 정책 템플릿 객체를 관리하는 인터페이스는 파워셸(PowerShell) 또는 임의의 적절한 웹 인터페이스일 수 있다.
일 실시예에서, 템플릿 정의는 템플릿이 DLP 정책 인스턴스를 생성하는데 사용될 때 전개 값에 맵핑될 수 있는 속성을 정의하는 것을 가능하게 하는 것이 바람직할 수 있다. 예를 들어, 이 성능, 즉 (1) DLP 전개 내에 마련된 디폴트 DL에 맵핑될 수 있는 예외 분배 리스트(DL) 및 (2) 임의의 정책 위반 검출의 통보에 대한 목적지로서 사용될 DLP 보고 메일박스를 이용하는 두 개의 메인 속성이 정의될 수 있다.
DLP 정책 템플릿 파라미터화
일 실시예에서, 템플릿에서 필드들의 파라미터화를 달성하기 위해 간단한 속성 대체 메카니즘이 사용될 수 있다. 대체 메카니즘을 위해 (1) DLP 템플릿에서 DLP 정책 구성 요소를 위한 파라미터화된 표현을 지정하는 능력, (2) DLP 템플릿 인스턴스화의 일부로서 파라미터 값을 전달하는 능력, (3) OOB DLP 정책 템플릿과 ISV가 생성한 것들 모두에서 파라미터화된 표현을 사용할 수 있는 능력, (4) DLP 정책 템플릿 정의에서 그리고 대체 문자 입력으로서의 유니코드 스트링에 대한 지원, (4) API가 템플릿에서 어떤 속성이 파라미터화되어 있는지를 발견하는 능력, (5) 템플릿에서 파라미터화된 속성들을 강력하게 분류(strong type)하는 능력이 바람직할 수 있다.
이 메카니즘은 템플릿에서 이름 값 쌍들의 간단한 발견 및 대체에 의해 구현될 수 있다. 템플릿의 DLP 정책 구성은 대체 값이 제공될 수 있는 대체 키의 세부사항을 가능하게 할 수 있다. 예를 들어, 대체 키는 %%keyName%%의 형태를 가질 수 있는데, 여기서 keyName은 식별자이다. 인터페이스는 이름 값 쌍의 전달을 가능하게 할 수 있으며 이는 소정의 값에 대한 각 keyName의 맵핑을 제공할 것이다.
단지 하나의 예로서, 도 4에 도시되어 있는 바와 같은 PCI-DSS DLP 정책 템플릿에서 정책 정의로부터의 아래의 발췌부분이 주어질 수 있다.
Figure pct00001
Figure pct00002
Figure pct00003
위의 예는 아래의 두 개의 키워드의 대체에 의해 영향을 받을 수 있다.
Figure pct00004
이것은 가능하면 익스체인지 트랜스포트 룰(ETR)을 통해 구현되는 결과적인 정책 지시의 생성을 야기할 수 있으며, 파라미터화된 키는 "파라미터" 인수로부터의 지정된 값으로 대체된다. 이 메카니즘은 DLP OOB 템플릿, 및 ISV 등으로부터의 맞춤 템플릿 모두에 이용가능할 수 있음을 이해해야 한다. 임의의 파라미터화된 속성이 파라미터 옵션을 통해 전달된 대응하는 값을 가지고 있지 않은 경우, 에러가 생성되는 것이 바람직할 수 있다.
DLP 정책 템플릿 속성
후속하는 표는 DLP 정책 템플릿 객체 및 이들의 연관된 속성의 몇몇 예를 제공한다. 다른 템플릿 컴포넌트들도 유사하게 설정될 수 있음이 이해될 것이다.
Figure pct00005

DLP 정책 템플릿 동작
후속하는 표는 DLP 정책 템플릿 동작 및 이들의 연관된 설명의 몇몇 예를 제공한다. 다른 템플릿 동작들도 유사하게 설정될 수 있음이 이해될 것이다.
Figure pct00006

DLP 정책 인스턴스
DLP 정책 인스턴스는 전개 환경에서 템플릿으로부터 DLP 정책 객체를 생성하는 결과이다. 그것은 템플릿에 정책 정의(예를 들어, ERT, 데이터 분류 룰 등)를 구현하기 위해 사용된 인스턴스화된 컴포넌트 객체들의 집합을 나타낸다. 인스턴스는 전개 특정적인데, 즉 인스턴스는 고객 환경에 특정적인 컴포넌트들 및 요소들을 참조하는 정의를 포함하는 경향이 있고 따라서 전개에 걸쳐 이동이 용이하지 않은(non-portable) 경향이 있다.
템플릿과 달리, DLP 정책 인스턴스는 고객의 전개 내에서 라이프사이클 상태를 나타내는 상태를 갖는다(예를 들어, 감사 또는 인에이블). DLP 정책 상태는 정책을 포함하는 컴포넌트들의 상태를 제어하는데 사용될 수 있다. DLP 정책 인스턴스 상태의 변화는 DLP 정책에 의해 제어되는 정책 객체 내에 대응하는 변화를 적용한다. 정책 구현을 실현하는데 있어 고객의 진행을 나타내는, 정책에 대한 세 개의 기본적인 상태가 존재한다. 아래의 표는 DLP 정책 인스턴스의 상태 표의 하나의 실시예를 제공한다.
Figure pct00007
일 실시예에서, 상태들 간의 이동과 관련하여 어떠한 제한도 없는 것이 바람직할 수 있다. 고객은 임의의 정책을 건너뛰거나 임의의 하나의 상태로부터 다른 상태로 이동하는 것을 선택할 수 있다. 정책 전개 성태를 제어하는 것 외에, 정책은 또한 디스에이블링될 수 있는데, 이는 정책이 정책 집행 지점에서 무시되게 할 수 있다.
DLP 정책이 서브-컴포넌트들의 상태를 제어하는데 사용되는 동안, 개개의 정책 지시(예를 들어, ETR)를 나타내는 서브-컴포넌트들이 DLP 정책과 다른 상태를 가지는 것이 가능하다. 이것은 예를 들어 새로운 지시를 정책에 추가하거나 정책의 지시를 조율하는 경우 사용자가 다른 상태를 갖도록 정책의 개개의 정책 지시를 변경할 수 있게 해준다. 각 정책 지시는 DLP 정책 상태의 값에 맵핑되는 그의 상태의 대응하는 표현을 유지할 수 있다. 이들 상태는 또한 지시 레벨에서 독립적으로 제어될 수 있다. 예를 들어, 지시에 대한 감사 상태는 지시를 디스에이블 상태로 설정함으로써 턴오프될 수 있다. 유사하게, 통지 상태는 특정 지시에 대해 턴오프될 수 있다.
DLP 정책 속성
일 실시예에서, DLP 정책은 애플리케이션 영역, 예를 들어 마이크로소프트 익스체인지® 시스템을 포함하는 다른 컴포넌트에 걸쳐 노출되는 속성들의 공통 집합을 따를 수 있고 아래와 같은 속성을 포함할 수 있다.
Figure pct00008

DLP 정책 객체 동작
일 실시예에서, 메인 DLP 정책 객체는 애플리케이션 영역, 예를 들어 마이크로소프트 익스체인지® 시스템을 포함하는 다른 컴포넌트에 걸쳐 노출되는 동작들의 공통 집합을 따를 수 있고 아래와 같은 동작을 포함할 수 있다.
Figure pct00009
일 실시예에서, 단일 DLP 정책 인스턴스는 그의 행위를 구현하는 0 내지 N개의 정책 지시를 가질 수 있다. 이것은 마이크로소프트 익스체인지® 트랜스포트 룰을 통해 전달될 수 있다. 트랜스포트 룰은 0 또는 1 DLP 정책 인스턴스의 일부일 수 있다. 단일 정책 지시는 예를 들어 서버측 메일 흐름 프로세싱 지시와 이메일 클라이언트 프로세싱 지시 모두에 대해 임의의 개수의 정책 집행 지점에 걸쳐 정의를 허용할 수 있다.
또한, 단일 DLP 정책 인스턴스는 그에 귀속된 0 내지 N개의 데이터 분류 객체를 가질 수 있다. 데이터 분류 사양은 무엇이 정책의 범위 내에서 민감한 콘텐츠로 고려되는지 및 이 콘텐츠가 어떻게 이메일 콘텐츠로 확인되어야 하는지를 정의한다. DLP 정책 인스턴스 객체를 관리하는 인터페이스는 파워셸, 웹 인터페이스 또는 그 밖의 것일 수 있다. DLP 정책은 앞서와 같이 DLP 정책 동작에 대해 설명한 것과 동일한 또는 유사한 동사를 포함할 수 있다.
전술한 내용들은 본 발명의 예를 포함한다. 물론, 본 발명을 설명하기 위한 목적으로 컴포넌트들 또는 방법들의 모든 인지가능한 조합을 설명할 수 없지만, 당업자라면 본 발명의 다수의 추가 조합 및 순열이 가능함을 알 수 있을 것이다. 따라서, 본 발명은 청부한 청구항의 사상 및 범주 내의 모든 변경, 수정 및 변형을 포함하려 한다.
특히, 전술한 컴포넌트, 장치, 회로, 시스템 등에 의해 수행된 다양한 기능과 관련하여, 이러한 컴포넌트를 설명하기 위해 사용된 ("수단"에 대한 참조를 포함하는) 용어들은 달리 특별히 표시하지 않으면, 본 명세서에서 기술한 본 발명의 예시적인 측면 내의 기능을 수행하는 개시된 구조와 구조적으로 등가이지 않을지라도 기술한 컴포넌트의 특정 기능을 수행하는 임의의 컴포넌트(예를 들어, 기능적 등가물)에 대응하려 한다. 이와 관련하여, 본 발명은 본 발명의 다양한 방법의 동작 및/또는 이벤트를 수행하는 컴퓨터 실행가능 명령어들을 갖는 컴퓨터 판독가능 매체 및 시스템을 포함함을 알 수 있을 것이다.
또한, 본 발명의 특정 특징은 몇몇 구현들 중 하나와 관련하여 설명되었지만, 이러한 특징은 임의의 주어진 또는 특정 애플리케이션에 바람직하고 유리하다면 다른 구현의 하나 이상의 다른 특징과 결합될 수 있다. 또한, "포함한다(includes)" 및 "포함하는"이라는 용어 및 이들의 변형이 상세한 설명 또는 청구항에 사용됨에 있어, 이들 용어는 "포함하는(comprising)"이라는 용어와 유사하게 포함을 의미한다.

Claims (10)

  1. 데이터 손실 방지(DLP) 정책을 DLP 정책 템플릿으로부터 구현하는 방법으로서,
    상기 DLP 정책 인스턴스는 전자 파일 시스템들의 집합에 대해 구현되고, 상기 전자 파일 시스템들은 파일 서버들의 집합을 포함하며, 상기 파일 서버들은 클라이언트들의 집합과 통신하고, 상기 클라이언트들은 데이터에 대한 액세스를 요청하고 데이터를 상기 파일 서버들에 업로딩하며,
    상기 방법은
    적어도 하나의 특정 DLP 정책을 구현하기 위한 정책 템플릿 객체들의 집합을 식별하는 단계와,
    DLP 정책 템플릿 정의들의 집합을 생성하는 단계와,
    상기 DLP 정책 템플릿 정의들의 집합으로부터 도출가능한 메인 DLP 정책 객체를 생성하는 단계와,
    상기 메인 DLP 정책 객체로부터 도출가능한 일치 조건 및 동작(match condition and actions)을 정의하는 정책 룰 객체들의 집합을 생성하는 단계와,
    상기 정책 룰 객체들이 적용되는 전자 데이터의 집합을 정의하는 데이터 분류 룰 객체들의 집합을 생성하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 정책 템플릿 객체들의 집합을 생성하는 단계는 상기 정책 템플릿 객체들에 대해 작용하는 정책 템플릿 동작들의 집합을 생성하는 단계를 더 포함하는 방법.
  3. 제2항에 있어서,
    상기 정책 템플릿 객체들에 대해 작용하는 정책 템플릿 동작들의 집합을 생성하는 단계는 설치, 제거, 불러오기, 보내기, 질의 및 삭제를 포함하는 그룹 중 하나를 포함하는 정책 템플릿 동작들의 집합을 생성하는 단계를 더 포함하는 방법.
  4. 제1항에 있어서,
    상기 메인 DLP 정책 객체를 생성하는 단계- 상기 메인 DLP 정책 객체는 공유 메타데이터 및 상태를 추적할 수 있음 -는 상기 메인 DLP 정책 객체에 대해 작용하는 메인 DLP 정책 객체 동작들의 집합을 생성하는 단계를 더 포함하는 방법.
  5. 제4항에 있어서,
    상기 메인 DLP 정책 객체에 대해 작용하는 메인 DLP 정책 객체 동작들의 집합을 생성하는 단계는 (1) 템플릿으로부터 새로운 정책 객체를 생성하는 동작, (2) 새로운 것을 생성하고, 편집하고, 삭제하며, 상태 변경하는 동작을 포함하는 그룹 중 하나를 포함하는 메인 DLP 정책 객체 동작들의 집합을 생성하는 단계를 더 포함하는
    방법.
  6. 정책 템플릿들의 집합으로부터 DLP 정책을 인스턴스화하는 방법으로서,
    특정 DLP 정책이 영향을 받게 될 전자 파일 시스템을 식별하는 단계와,
    상기 특정 DLP 정책에 적합한 DLP 정책 템플릿들의 집합을 식별하는 단계와,
    상기 DLP 정책 템플릿들을 특정 DLP 정책 특정 데이터로 파라미터화하는 단계와,
    상기 파라미터화된 DLP 정책 인스턴스를 상기 전자 파일 시스템으로 전파하는 단계
    를 포함하는 방법.
  7. 제6항에 있어서,
    상기 DLP 정책 템플릿들을 파라미터화하는 단계는 상기 템플릿들 내의 파라미터화된 표현들을 특정 파라미터 값으로 대체하는 단계를 더 포함하는 방법.
  8. 제7항에 있어서,
    상기 파라미터화된 표현을 대체하는 단계는 일반적인 정책 구성을 전개 특정 객체(deployment specific objects)로 변환하는 단계를 더 포함하는 방법.
  9. 전자 파일 시스템들의 집합에 대한 적어도 하나의 DLP 정책 인스턴스를 생성하는 시스템으로서,
    상기 전자 파일 시스템들은 파일 서버들의 집합을 포함하고, 상기 파일 서버들은 클라이언트들의 집합과 통신하고, 상기 클라이언트들은 데이터에 대한 액세스를 요청하고 데이터를 상기 파일 서버들에 업로드하며,
    상기 시스템은
    DLP 정책 템플릿들의 집합- 상기 DLP 정책 템플릿들 각각은 컴포넌트 필드들의 집합을 포함함 -과,
    DLP 정책 템플릿 파라미터화 모듈- 상기 템플릿 파라미터화 모듈은 상기 컴포넌트 필드들을 특정 정책 데이터로 대체할 수 있음 -과,
    상기 DLP 정책 템플릿들의 집합으로부터 상기 전자 파일 시스템들의 집합에 대한 DLP 정책 인스턴스를 생성할 수 있는 DLP 메인 정책 모듈
    을 포함하는 시스템.
  10. 제9항에 있어서,
    적어도 하나의 DLP 정책 인스턴스를 생성하는 상기 시스템은 DLP 정책 객체에 따라 감사 정보(auditing information)를 생성하는 감사 모듈을 더 포함하는 시스템.
KR1020157000611A 2012-07-10 2013-07-09 이-메일에 대한 데이터 검출 및 보호 정책 KR102056956B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/545,864 2012-07-10
US13/545,864 US9317696B2 (en) 2012-07-10 2012-07-10 Data detection and protection policies for e-mail
PCT/US2013/049815 WO2014011704A1 (en) 2012-07-10 2013-07-09 Data detection and protection policies for e-mail

Publications (2)

Publication Number Publication Date
KR20150032861A true KR20150032861A (ko) 2015-03-30
KR102056956B1 KR102056956B1 (ko) 2019-12-17

Family

ID=48856980

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157000611A KR102056956B1 (ko) 2012-07-10 2013-07-09 이-메일에 대한 데이터 검출 및 보호 정책

Country Status (6)

Country Link
US (3) US9317696B2 (ko)
EP (1) EP2873203B1 (ko)
JP (1) JP2015523661A (ko)
KR (1) KR102056956B1 (ko)
CN (2) CN109150695B (ko)
WO (1) WO2014011704A1 (ko)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8898779B1 (en) * 2012-02-03 2014-11-25 Symantec Corporation Data loss prevention of information using structured document templates and forms
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
US9317696B2 (en) 2012-07-10 2016-04-19 Microsoft Technology Licensing, Llc Data detection and protection policies for e-mail
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
RU2013144681A (ru) 2013-10-03 2015-04-10 Общество С Ограниченной Ответственностью "Яндекс" Система обработки электронного сообщения для определения его классификации
US9432405B2 (en) 2014-03-03 2016-08-30 Microsoft Technology Licensing, Llc Communicating status regarding application of compliance policy updates
US9697349B2 (en) * 2014-10-26 2017-07-04 Microsoft Technology Licensing, Llc Access blocking for data loss prevention in collaborative environments
US10606626B2 (en) 2014-12-29 2020-03-31 Nicira, Inc. Introspection method and apparatus for network access filtering
US10454933B2 (en) * 2015-01-21 2019-10-22 Sequitur Labs, Inc. System and methods for policy-based active data loss prevention
US10326748B1 (en) 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US9842220B1 (en) * 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9842218B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
CN105337993B (zh) * 2015-11-27 2018-09-07 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US10805311B2 (en) * 2016-08-22 2020-10-13 Paubox Inc. Method for securely communicating email content between a sender and a recipient
US9762619B1 (en) * 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
WO2018106612A1 (en) 2016-12-06 2018-06-14 Nicira, Inc. Performing context-rich attribute-based services on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10802858B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Collecting and processing contextual attributes on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
WO2018182885A1 (en) 2017-03-30 2018-10-04 Mcafee, Llc Secure software defined storage
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
CN108768820A (zh) * 2018-03-15 2018-11-06 北京明朝万达科技股份有限公司 一种邮件安全分级管理方法及系统
US11012309B2 (en) * 2018-06-04 2021-05-18 Vmware, Inc. Deploying data-loss-prevention policies to user devices
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11455407B2 (en) * 2020-04-21 2022-09-27 Zscaler, Inc. Data loss prevention expression building for a DLP engine
CN111753675B (zh) * 2020-06-08 2024-03-26 北京天空卫士网络安全技术有限公司 一种图片型垃圾邮件的识别方法和装置
US11379153B2 (en) 2020-07-23 2022-07-05 Micron Technology, Inc. Storage traffic pattern detection in memory devices
US11314456B2 (en) 2020-07-23 2022-04-26 Micron Technology, Inc. Memory device performance based on storage traffic pattern detection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US11790103B2 (en) * 2020-09-29 2023-10-17 Citrix Systems, Inc. Adaptive data loss prevention
CN113284217B (zh) * 2021-07-26 2021-11-23 北京优锘科技有限公司 一种实现半自动化绘图的方法、装置、设备和存储介质
CN114969218B (zh) * 2022-06-01 2023-04-18 广东森克电子有限公司 一种工业计算机用数据防丢失系统

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6678827B1 (en) 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US7958213B1 (en) 2000-09-21 2011-06-07 Siemens Enterprise Communications, Inc. Processing electronic messages
US7159125B2 (en) * 2001-08-14 2007-01-02 Endforce, Inc. Policy engine for modular generation of policy for a flat, per-device database
US8225371B2 (en) * 2002-09-18 2012-07-17 Symantec Corporation Method and apparatus for creating an information security policy based on a pre-configured template
US7484237B2 (en) 2004-05-13 2009-01-27 Hewlett-Packard Development Company, L.P. Method and apparatus for role-based security policy management
JP4197311B2 (ja) * 2004-06-22 2008-12-17 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体
US20060048224A1 (en) 2004-08-30 2006-03-02 Encryptx Corporation Method and apparatus for automatically detecting sensitive information, applying policies based on a structured taxonomy and dynamically enforcing and reporting on the protection of sensitive data through a software permission wrapper
US8056114B2 (en) * 2005-08-23 2011-11-08 The Boeing Company Implementing access control policies across dissimilar access control platforms
US7752487B1 (en) 2006-08-08 2010-07-06 Open Invention Network, Llc System and method for managing group policy backup
CA2667172C (en) * 2006-10-20 2013-01-08 Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada Method and apparatus for software policy management
WO2008057528A2 (en) 2006-11-06 2008-05-15 Dell Marketing Usa L.P. A system and method for managing data across multiple environments
US8024396B2 (en) 2007-04-26 2011-09-20 Microsoft Corporation Distributed behavior controlled execution of modeled applications
US8301741B2 (en) 2007-08-21 2012-10-30 Alcatel Lucent Cloning policy using templates and override cloned policy
US8141129B2 (en) 2008-05-29 2012-03-20 Microsoft Corporation Centrally accessible policy repository
EP2345205B1 (en) 2008-11-06 2016-04-27 McAfee, Inc. Apparatus and method for mediating connections between policy source servers, corporate repositories, and mobile devices
US8613040B2 (en) * 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
CN101582883B (zh) * 2009-06-26 2012-05-09 西安电子科技大学 通用网络安全管理系统及其管理方法
US20120079275A1 (en) 2010-09-23 2012-03-29 Canon Kabushiki Kaisha Content filtering of secure e-mail
US9317696B2 (en) 2012-07-10 2016-04-19 Microsoft Technology Licensing, Llc Data detection and protection policies for e-mail

Also Published As

Publication number Publication date
US20160203321A1 (en) 2016-07-14
US9317696B2 (en) 2016-04-19
US20140020045A1 (en) 2014-01-16
EP2873203A1 (en) 2015-05-20
JP2015523661A (ja) 2015-08-13
WO2014011704A1 (en) 2014-01-16
KR102056956B1 (ko) 2019-12-17
US10372916B2 (en) 2019-08-06
CN104471900A (zh) 2015-03-25
CN109150695A (zh) 2019-01-04
CN109150695B (zh) 2021-08-03
EP2873203B1 (en) 2019-09-18
CN104471900B (zh) 2018-09-07
US20190354691A1 (en) 2019-11-21

Similar Documents

Publication Publication Date Title
KR102056956B1 (ko) 이-메일에 대한 데이터 검출 및 보호 정책
US11887055B2 (en) System and method for forming, storing, managing, and executing contracts
US10348774B2 (en) Method and system for managing security policies
US10467426B1 (en) Methods and systems to manage data objects in a cloud computing environment
EP2873202B1 (en) Uniform policy for security and information protection
JP2011501854A (ja) モデル・ベースのコンポジット・アプリケーション・プラットフォーム
US11487546B2 (en) Change management of services deployed on datacenters configured in cloud platforms
US9104884B2 (en) Implementing role based security in an enterprise content management system
Wada et al. A model-driven development framework for non-functional aspects in service oriented architecture
Chollet et al. An extensible abstract service orchestration framework
US20120167200A1 (en) System and method for a business data provisioning for a pre-emptive security audit
Hafner et al. Towards a MOF/QVT-based domain architecture for model driven security
Müller et al. A conceptual framework for unified and comprehensive SOA management
Field et al. A framework for obligation fulfillment in REST services
Bouain et al. Integration of non-functional requirements in a service-oriented and model-driven approach
Phan et al. Quality-driven business policy specification and refinement for service-oriented systems
Tarkhanov Access Control Model for Collaborative Environments in ECM
Kashmar et al. Instantiation and Implementation of HEAD Metamodel in an Industrial Environment: Non-IoT and IoT Case Studies. Electronics 2023, 12, 3216
Ridlon Managing and Administering Security Infrastructure Controls via Policy
Martens et al. Business Control Management–A Discipline to Ensure Regulatory Compliance of SOA Applications
Chaki et al. Standards-Based Automated Remediation: A Remediation Manager Reference Implementation
Benameur Technical Architecture arising from the
Kazi et al. DISTRIBUTION OF BUSINESS RULES IN SOFTWARE PROJECT MANAGEMENT

Legal Events

Date Code Title Description
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant