CN107111702B - 协同环境中针对数据丢失防护的访问阻止 - Google Patents
协同环境中针对数据丢失防护的访问阻止 Download PDFInfo
- Publication number
- CN107111702B CN107111702B CN201580058141.1A CN201580058141A CN107111702B CN 107111702 B CN107111702 B CN 107111702B CN 201580058141 A CN201580058141 A CN 201580058141A CN 107111702 B CN107111702 B CN 107111702B
- Authority
- CN
- China
- Prior art keywords
- content
- access
- user
- dlp
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/103—Formatting, i.e. changing of presentation of documents
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Bioethics (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
数据丢失防护(DLP)***可以结合协同服务一起实现,所述协同服务可以与生产力服务集成在一起或者与其协调工作。管理员被使能在协同服务中配置DLP策略以减轻它们的组织的信息公开风险,并且检测和修复敏感信息。访问阻止可以是DLP***的一个特性,其中,对访问阻止的提供可以包括确定与由协同服务所处理的内容相关联的动作是否与由DLP策略规则所定义的访问阻止标准相匹配。响应于确定所述动作与由DLP策略规则所定义的至少一个访问阻止标准相匹配,可以激活与所述内容相关联的访问阻止标签、可以忽略或改变先前定义的与所述内容相关联的许可、并且对所述内容的访问可以限于多个预先定义的用户。
Description
背景技术
数据丢失防护(DLP)是帮助组织能够通过深度内容分析来识别、监测、和保护敏感信息的特征集。例如,DLP可以结合协同服务一起实现,所述协同服务可以与提供文字处理、电子表格、演示、通信、笔记记录、和类似的功能的生产力服务集成在一起或者与其协调工作。近年来,遵循标准化要求已经变成很多组织的热点话题,并且进而其也成为了生产力服务内的关键商业目标。针对遵循的驱动力使DLP成为用户需要的重要特征集。
发明内容
提供该摘要以用简化的形式引入在下文的具体实施方式中将进一步描述的这些概念的选择。该摘要不旨在排他地标识所要求保护的主题的关键特性或重要特性,也不旨在帮助确定所要求保护的主题的范围。
实施例针对在协同服务环境内作为数据丢失防护(DLP)的一部分来提供访问阻止。可以检测与由协同服务所处理的内容相关联的动作,并且对动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配进行确定。响应于确定该动作与由该DLP策略规则所定义的至少一个访问阻止标准相匹配,可以激活与所述内容相关联的阻止访问标签、可以忽略与所述内容相关联的先前定义的许可、并且对所述内容的访问可以限制于多个预先定义的用户。
这些和其他特性和优势将从对以下的详细描述的阅读和对相关联的图的回顾中变得显而易见。应当理解的是,前述一般性描述和以下的详细描述两者都是解释性的,而且不限制所要求保护的方面。
附图说明
图1包括示例网络环境,其中,访问阻止在服务器侧可以作为协同服务环境内的数据丢失防护(DLP)的一部分来提供;
图2示出了另一示例网络环境,其中,访问阻止在客户端侧可以作为协同服务环境内的DLP的一部分来提供;
图3示出了被实现为协同服务环境内的DLP的一部分的示例访问阻止过程;
图4A和4B示出了与访问阻止相关联的示例用户体验;
图5A-C示出了与访问阻止的用户覆盖相关联的示例用户体验;
图6A-C示出了与内容移除之后的访问阻止的用户重新分类相关联的示例用户体验;
图7示出了与用户共享具有访问阻止的内容相关联的示例用户体验;
图8是示例通用计算设备的框图,其可以用于将访问阻止提供为协同服务环境内的DLP的一部分;以及
图9示出根据实施例的用于在协同服务环境内作为DLP的一部分来提供访问阻止的方法的过程的逻辑流程图。
具体实施方式
如在上文中所简述的,数据丢失防护(DLP)***可以结合协同服务一起实现,所述协同服务可以与提供文字处理、电子表格、演示、通信、笔记记录、和类似的功能的生产力服务集成在一起或者与其协调工作。可以将DLP服务实现在静止数据(DAR)或传输数据(DIT)的场景中,并且允许管理员在协同服务中配置DLP策略以帮助减轻他们的组织的信息公开风险,并且进行敏感信息的检测和修复。加密、内容分类、策略管理、用户通知、事件报告生成、和访问阻止可以是结合协同服务一起实现的综合DLP***的特征中的一些特性。访问阻止的提供,例如可以包括确定检测到的与由协同服务所处理的内容相关联的动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配。响应于确定该动作与由一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,可以激活与所述内容相关联的阻止访问标签、可以忽略先前定义的与所述内容相关联的许可或者可以对所述许可应用额外的限制、并且对所述内容的访问可以限于多个预先定义的用户。
在以下的详细描述中,可以对形成了其一部分的附图进行参考,并且其中作为示图、具体实施例、或示例而进行示出。可以组合这些方面、可以利用其他方面、并且可以做出结构改变而不脱离本公开的范围。因此,以下的具体实施方式将不被看作是限制性意义,并且本发明的范围是由所附权利要求所限定的。
尽管将在结合在计算设备上的操作***上运行的应用程序而执行的程序模块的一般上下文中描述一些实施例,但本领域的技术人员将理解的是,也可以结合其他程序模块来实现这些方面。
通常而言,程序模块包括例程、程序、组件、数据结构、以及执行特定的任务或实现特定的抽象数据类型的其他类型的结构。此外,本领域技术人员将理解的是,可以利用包括手持设备、多处理器***、基于微处理器的或可编程的消费性电子产品、微型计算机、大型计算机、以及类似的计算设备在内的其他计算机***配置来实践实施例。还可以在其中由通过通信网络所链接的远程处理设备来执行任务的分布式计算环境中实现实施例。在分布式计算环境中,程序模块既可以位于本地的存储器存储设备中,也可以位于远程的存储器存储设备中。
可以将一些实施例实现为计算机实现的过程(方法)、计算***、或者诸如计算机程序产品或计算机可读介质之类的制品。计算机程序产品可以是这样一种计算机存储介质,其能够由计算机***读取并且对包括用于使得计算机或计算机***执行示例过程的指令的计算机程序进行编码。所述计算机可读存储介质是计算机可读存储器设备。计算机可读存储器设备可以例如是经由以下中的一个或多个来实现的:易失性计算机存储器、非易失性存储器、硬盘驱动器、闪速存储器、软盘、或者压缩盘、以及类似的硬件介质。
在该说明书通篇中,术语“平台”可以是用于将访问阻止提供为协同服务环境中的DLP实现的一部分的软件和硬件组件的组合。平台的示例包括但不限于:在多个服务器上执行的托管服务、在单个计算设备上执行的应用、以及类似的***。术语“服务器”通常是指通常在网络化环境中执行一个或多个软件程序的计算设备。然而,服务器还可以被实现为在被视为是网络上的服务器的一个或多个计算设备上执行的虚拟服务器(软件程序)。在下文中提供了关于这些技术和示例操作的更多的细节。
图1包括示例网络环境,其中,访问阻止在服务器侧可以作为协同服务环境内的DLP的一部分来提供。
在一个示例配置中,如示例网络环境100中所示的,一个或多个服务器可以向多个客户端或租户提供协同服务120。每个租户可以向它们的用户提供对在由协同服务120所提供的基础结构内执行的多个应用的访问。所述应用可以包括任何应用,例如文字处理应用、电子表格应用、演示应用、通信应用、图像应用、音频/视频处理应用、图形处理应用、和类似的应用。
如在图1中所示,所述协同服务环境可以是经托管的环境。然而,所述协同服务环境不限于该具体的示例。可替代地,所述协同服务环境可以包括一个或多个应用,或者用户能够通过其创建、编辑、预览、和/或共享内容的类似的环境。所述协同服务环境也可以是其中用户能够交换内容的任何类型的环境等。
在用户侧,用户112可以在它们的计算设备102的操作***104内执行瘦(例如,网络浏览器)或厚(例如,本地安装的客户端应用)的应用106,并且通过诸如网络130之类的一个或多个网络来访问由协同服务120所提供的服务及其相关联的应用。所述计算设备102可以包括台式计算机、膝上型计算机、平板计算机、车载计算机、智能电话、或可穿戴计算设备、以及其他类似设备。用户112可以是租户110下的示例用户。如上所讨论的,任何租户的基础结构内的任何数量的用户可以访问协同服务120的服务。用户112可以存储与在协同服务120的保护下所提供的一个或多个应用相关联的内容和文件,所述一个或多个应用是在本地存储108处本地地提供的、或者是在由协同服务120所管理的数据存储处远程地提供的、或者是由第三方服务所提供的。
协同服务120可以包括被配置为管理并实施DLP策略的DLP模块122等。例如,响应于由***服务120所处理的内容通过应用中的一个应用和/或在预先确定的时间间隔的结束处被打开、保存、删除、编辑、拷贝、移动、上传、下载、打印和/或共享,可以相对于由租户管理员所创建的一个或多个DLP策略规则来评估所述内容。在一些实施例中,可以检测与由所述协同服务所处理的内容相关联的动作,并且确定该动作是否与由DLP策略规则所定义的访问阻止标准相匹配。所述动作可以包括向所述内容中***诸如信用***和社会保险号之类的敏感信息。在一些实施例中,所述内容的整体可以包括敏感信息,例如专利文档或设计规范。在其他实施例中,所述内容的一部分可以包括敏感数据,例如包括信用***的支出报告。
响应于确定所述动作与由DLP策略规则所定义的至少一个访问阻止标准相匹配,可以激活与所述内容相关联的阻止访问标签、可以忽略先前定义的与所述内容相关联的许可、和/或可以应用对所述许可的额外约束,并且对所述内容的访问可以限于多个个预先定义的用户。所述预先定义的用户可以包括所述内容的所有者(例如,用户112)、管理员、和最后修改者,并且受限的访问可以包括例如读取许可、编辑许可、和共享许可。所述预先定义的用户还可以包括属于被定义以管理具有受限访问的内容的角色的一个或多个用户。在一些示例中,可以访问受限内容的预先定义的用户可以随着安全分组中预先定义的用户的成员身份的改变而改变。例如,所述一个或多个用户可以获得或失去作为管理员的状态,或者获得或失去向受限内容授权访问的一些其他角色中的成员身份。在其他实施例中,对所述内容的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。例如,DLP策略规则可以定义只有组织的内部雇员可以查看机密文档。如果内部雇员尝试将机密文档与其他内部雇员连同该组织的外部雇员分享,则与该机密文档相关联的访问阻止标准与所述尝试的与外部雇员的分享可以是匹配的。由此,对所共享的机密文档的访问可以限于其他内部雇员,而对所共享的机密文档的访问将针对外部雇员而被阻止。
在一些实施例中,可以通过协同服务120的用户体验向用户112提供通知以指示对所述内容的受限的访问。该通知可以包括到包括DLP策略规则的DLP策略文档的链接、到所述内容的位置的链接、以及各种控制元素,所述各种控制元素与用户112出于以下目的要实现的一个或多个动作相关联:为了去激活与所述内容相关联的阻止访问标签、恢复先前定义的与所述内容相关联的许可、和/或撤销对所述内容的受限的访问。用户112被使能通过以下中的一个或多个来与协同服务120的用户体验进行交互:触摸输入、手势输入、语音命令、眼睛跟踪、陀螺仪输入、笔输入、鼠标输入、和/或键盘输入。例如,用户112被使能覆盖对所述内容的受限的访问、报告与对应于至少一个访问阻止标准的信息相关联的误报(falsepositive)、和/或响应于通知而请求策略检查或重新分类以提示利用DLP策略规则对内容的另一次评估的通知。
额外地,用户112被使能从所述内容中移除与至少一个访问阻止标准相对应的信息。例如,用户112可以从所述内容中移除该敏感信息。此外,用户112被使能移除具有对内容的访问的违规用户。在一个示例中,如果用户112正在与包括违规用户在内的多个用户共享受限内容时,所述用户可以将该违规用户从要分享的列表中移除。在另一个示例中,如果用户112已经将受限内容保存到违规用户能够访问该受限内容的位置处,则用户112可以将该受限内容保存到新的位置,以使得该违规用户不再能够访问。
在一些实施例中,所述匹配、对所述内容受限访问、覆盖、以及所报告的误报可以被记录在与该协同服务相关联的日志或报告中。此外,与所述内容相关联的阻止访问标签可以被保存到该协同服务的索引中,以使得当不能够访问所述内容的外部用户在搜索该协同服务时,对所述内容的访问保持受限。例如,所述内容不会被显示在针对由不能够访问所述内容外部用户中的一个或多个外部用户发出的查询的结果中。额外地,可以在审计日志中生成条目以出于审计和报告的目的而指示所述内容何时是受限制的、所述内容何时是不受限制的、以及与所述内容相关联的限制是否被覆盖(利用额外的商业理由)、或者与至少一个访问阻止标准相关联的信息是否由预先定义的用户报告为误报。该审计日志中的条目还可以指示哪些DLP策略与对应的DLP策略规则被违反以调用对所述内容的受限访问。
在其他实施例中,访问受限内容可以包括各种版本,其中,所述版本可以遵循相似模式以就地保留。例如,可以将所述版本暂时地移动至站内的安全存档位置并且可以在那里保存预先确定数量的天数,其中,所述存档位置可以是仅能够由站点集合管理员或者属于针对管理这样的内容的目的而定义的角色的另一个用户访问。然而,所有者、管理员(例如,站点集合管理员)、和/或所述内容的最后修改者等可以在版本已经被存档时被通知。当一个或多个预先定义的用户将与访问阻止标准相对应的信息从所述内容中移除和/或移除违规访问所述内容的用户时,版本的存档可以发生。所有其他动作(例如,用于对所述内容的受限访问的覆盖和/或对与对应于访问阻止标准的信息相关联的误报的报告)可以不受多版本的影响,这是因为与至少一个访问阻止标准相对应的信息(例如,敏感信息)仍然在文档内。
如先前所讨论的,DLP是使得组织能够通过深度内容分析来识别、监测、和保护敏感信息的特征集,其中,DLP可以结合协同服务而被实现。将访问阻止作为DLP的一部分来提供可以通过限制对包括敏感信息的内容的访问来提高处理安全性,并且通过创建自动化任务来检测敏感内容和阻止对所述内容的访问来降低网络带宽。额外地,使得用户112能够与协同服务120的用户体验进行交互以执行与被阻止的访问相关联的一个或多个动作可以提高用户效率,并且提高用户交互性能。此外,使得用户112能够查看利用通过协同服务120的用户体验的通知所提供的链接可以关于组织来教育用户112,例如他们的工作地点、与该组织相关联的DLP策略、以及用户动作如何影响该组织。
图2示出了另一示例网络环境,其中,访问阻止在客户端侧可以作为协同服务环境内的DLP的一部分来提供。
如先前所讨论的,租户可以向它们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问。所述应用可以包括任何应用,例如文字处理应用、电子表格应用、演示应用、通信应用、图像应用、音频/视频处理应用、图形处理应用、和类似的应用。
在示例场景中,如在示例网络环境200中所示,租户管理员202可以通过与合规控制台(compliance console)206相关联的策略管理用户界面来创建一个或多个DLP策略规则204。例如,DLP策略规则204可以在文档包含***信息时阻止已经对外分享的任何文档的访问。DLP策略可以从DLP策略规则204被配置208,并且存储在策略存储210中以用于随后分配212至与所述租户相关联的一个或多个服务器214。与所述租户相关联的服务器214可以接着进一步将DLP策略216分配至与所述租户下的用户220相关联的客户端218。
客户端218包括分类引擎222和策略引擎228,其被配置为响应于文档224通过应用中的一个应用和/或在预先确定的时间间隔结束之后被打开、保存、删除、编辑、拷贝、移动、上传、下载、打印和/或共享,可以针对由租户管理员202所创建的DLP策略规则204来评估文档224。例如,在从与所述租户相关联的服务器214接收到DLP策略之后,客户端218可以被配置为将DLP策略规则204发送至策略引擎228。同时,分类引擎222可以被配置为分析文档224以检测与文档224相关联的动作,例如向该文档内***敏感信息。可以将检测到的动作,连同与文档224相关联的上下文数据226发送至策略引擎228,以确定所述动作是否与由DLP策略规则204所定义的访问阻止标准相匹配。响应于确定动作匹配230,则可以激活与文档224相关联的阻止访问标签、可以忽略先前定义的与文档224相关联的许可、或者可以对所述许可应用额外的约束、并且对文档224的访问可以限于多个预先定义的用户。在其他实施例中,对文档224的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。此外,包括通知的用户体验可以通过指示对文档224的受限访问的客户端218而被显示232给用户220。一旦已经阻止了对文档224的访问,只有上传文档224的作者/用户、文档224的修改者、以及管理员和其他所标识的预先定义的用户可以继续访问文档224。
在一些示例中,通知可以包括到包括DLP策略规则204的DLP策略文档的链接、到文档224的位置的链接、以及各种控制元素,所述各种控制元素与用户220出于以下目的要实现的一个或多个动作相关联:为了去激活与文档224相关联的阻止访问标签、恢复先前定义的与文档224相关联的许可、和/或撤销对文档的受限的访问。用户220被使能通过以下中的一个或多个来与用户体验进行交互:触摸输入、手势输入、语音命令、眼睛跟踪、陀螺仪输入、笔输入、鼠标输入、和/或键盘输入。
例如,用户220可以每天对具有***信息的文档(例如,文档224)进行工作。同时,用户220可以在文档224上与团队中的一个或多个成员协作,所述一个或多个成员也可以访问***信息。用户220可以保存文档224,以使得其被上传到协同服务站以与团队共享,而没有意识到外部用户也能够访问该位置。响应于所述保存,文档224可以针对由租户管理员202所创建的DLP策略规则204而被评估。用户220可以通过与所述协同服务相关联的用户体验来接收通知,所述通知指示文档224的上传已经被阻止,因为其可能包含***信息,这与DLP策略规则204的访问阻止标准相匹配,并且此外,文档224向其上传的位置能够由外部用户(例如,所述策略的违规用户)访问。根据实施例,与所述协同服务相关联的用户体验可以是同步或异步的。在一个示例中,与所述协同服务相关联的用户体验可以是同步的,并且因此当文档224的上传被阻止时可以向用户220实时地显示通知。可替代地,与所述协同服务相关联的用户体验可以是异步的,并且因此,其可以仅仅周期性地被更新或者根据需要被更新,这引起对用户220的关于指示文档224的上传已经被阻止的通知的显示出现潜在的延迟。例如,为了防止用户220可用的带宽量的减少,所述用户体验可以在与低数据传输相关联的安静时段(例如,午夜)内被更新。
作为响应,用户220被使能致动通知内的链接,其可以将用户220重新定向至所述协同服务中文档224的位置。可以在所述协同用户体验中采用文本方案、图形方案、音频方案、动画方案、着色方案、突出显示方案、和阴影方案以指示文档224已经被限制访问。例如,可以在协同服务中邻接着文档224和/或在文档224上显示图标,以提供文档现在被锁定的可视化指示。在其他示例中,用户220可以被使能制动通知内的链接,其可以将用户220重新定向至DLP策略文档,所述DLP策略文档包括DLP策略规则204以及用户220可以实现以执行以下操作的一个或多个动作:去激活与文档224相关联的阻止访问标签、恢复先前定义的与文档224相关联的许可、并且撤销对文档224的受限访问。例如,用户220可以从文档224移除与至少一个访问阻止标准相对应的信息、移除对文档224违规访问的用户、覆盖对所述内容的受限访问、报告与对应于至少一个访问阻止标准的信息相关联的误报、并且请求策略检查或重新分类中的一个。
在第一示例中,用户220可以从文档224移除与至少一个访问阻止标准相对应的信息。由此,该用户可以通过选择选项以在协同服务用户体验内“编辑”来编辑文档224以移除信用***。一旦该信用***被移除,文档224就不再违反该DLP策略(例如,该动作不再与DLP策略规则204所定义的访问阻止标准相匹配),并且在下一次策略评估时可以去激活或移除该阻止访问标签、恢复先前定义的与文档224相关联的许可、并且撤销对文档224的受限访问。在一些实施例中,许可的恢复可以基于许可的当前状态。例如,如果与文档224相关联的一个或多个许可在对文档224的访问受限时改变和/或被更新,则在撤销该限制之后,经改变和/或经更新的许可将会起作用。可以响应于文档224的打开、保存、删除、编辑、拷贝、移动、发布、上传、下载、打印、和/或共享,和/或在预先定义间隔超时之后而进行下一次策略评估。可替代地,用户220可以在通过协同用户体验移除了信用***之后请求策略检查或重新分类以提示下一次策略评估。
在第二示例中,用户220可以选择通过移除到文档224的任何访客链接来移除能够访问文档224的违规用户。用户220可以通过协同服务用户体验来选择查看文档224的属性并且随后去激活或移除至外部用户的链接。由此,具有访客链接的外部用户不再能够查看或编辑文档224。在下一次策略评估时,可以去激活或移除与文档224相关联的阻止访问标签、可以恢复先前定义的与文档224相关联的许可、并且可以撤销对文档224的受限访问,这是因为文档224不再违反DLP策略(例如,该动作不再与由DLP策略规则204所定义的访问阻止标准相匹配)。如先前在第一示例中所讨论的,用户220可以在通过协同用户体验移除了能够访问文档224的违规用户之后请求策略检查或重新分类以提示下一次策略评估。
在第三示例中,用户220可以选择覆盖对所述内容的受限访问。例如,可以存在用于访问文档224的针对外部供应商的证据(justification),这是因为它们需要数据。该用户可以通过在协同服务用户体验中所显示的“覆盖”控制元素来选择选项以覆盖对文档224的受限访问,并且随后通过经过协同服务用户体验所显示的用户体验实现(例如,弹出菜单或提示)来提供证据。用户220可以被通知覆盖将会被审计并且租户管理员202将能够查看所述证据。作为响应,可以去激活与文档224相关联的阻止访问标签、可以恢复先前定义的与文档224相关联的许可、并且可以撤销对文档224的受限访问。在一些示例中,为了审查和/或报告的目的,可以在审查和/或服务器日志内生成条目以指示何时对文档224的访问是受限制的、何时撤销对文档224的访问的限制、以及对所述内容的访问的限制的覆盖。在下一次策略评估时,策略引擎228可以感知到在文档224上存在阻止访问覆盖并且跳过额外的策略应用。然而,如果DLP策略规则204中的一个或多个DLP策略规则被改变,则覆盖和证据将被忽略或丢弃,并且对文档224的访问将再次受限。
在第四示例中,用户220可以选择报告与对应于至少一个访问阻止标准的信息相关联的误报。例如,在文档224中所检测到的与访问阻止标准相对应的敏感信息可以由于号码结构而似乎是信用***,然而,所述号码可以仅仅是与任何个人信息无关的随机标识码。该用户可以通过经过协同服务用户体验所显示的“报告”控制元素来选择选项报告误报、并且可以去激活或移除与文档224相关联的阻止访问标签、可以恢复先前定义的与文档224相关联的许可、并且可以撤销对文档224的受限访问。用户220可以被通知所述敏感信息已经被报告为误报,并且将被追踪以用于审查和/或报告的目的。在一些示例中,可以在审查和/或服务器日志内生成条目以指示何时对文档224的访问是受限制的、何时撤销对文档224的访问的限制、以及与所述敏感信息相关联的误报的报告。在下一次策略评估时,策略引擎228可以感知到文档224上存在所报告的误报并且跳过额外的策略应用。但是,如果一个或多个DLP策略规则204被改变,则所报告的误报将被忽略,并且对文档224的访问将再次受限。
图3示出了在协同服务环境内作为DLP的一部分来实现的示例访问阻止过程。租户可以向一个或多个用户提供在由协同服务所提供的基础结构内执行的多个应用的访问。所述应用可以包括任何应用,例如文字处理应用、电子表格应用、演示应用、通信应用、图像应用、音频/视频处理应用、图形处理应用、和类似的应用。所述应用可以使得用户能够打开、创建、编辑、保存、删除、移动、上传、下载、发布、打印、和共享诸如文档302之类的内容。此外,租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险,并且检测并修复敏感信息。
如在示例访问阻止过程300中所示出的,文档302可以由用户保存并上传至存储304的位置。接着,文档302可以针对由租户管理员所创建的DLP策略而被评估306,其中,该DLP策略包括一个或多个DLP策略规则。例如,在该评估中,可以检测与文档302相关联的动作,并且可以确定该动作是否与由DLP策略规则308所定义的访问阻止标准相匹配。响应于确定该动作与任何访问阻止标准310不匹配,可以终止访问阻止过程。响应于确定该动作与至少一个访问阻止标准312相匹配,可以激活与文档302相关联的访问阻止标签、可以忽略先前定义的与文档302相关联的许可或者可以应用对所述许的额外的约束、并且对文档302的访问可以限于314多个预先定义的用户。所述预先定义的用户可以包括例如上传了文档302所有者/用户、对文档302的最后修改者、管理员等。所述预先定义的用户还可以包括属于用于管理受限内容而定义的角色的其他用户。在其他实施例中,对所述内容的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。
此外,可以通过协同服务用户体验而向用户316提供通知,以指示对文档302的受限访问。该通知可以包括到包括DLP策略规则的DLP策略文档的链接、到文档302的位置的链接、以及与用户决策318的一个或多个动作相关联的各种控制元素,其可以被实现以便去激活与文档302相关联的阻止访问标签、恢复先前定义的与文档302相关联的许可、和/或撤销对文档302的受限访问。在一些实施例中,所述许可的恢复可以基于所述许可的当前状态。例如,如果与文档302相关联的一个或多个许可在对文档302的访问受限时改变和/或被更新,则在撤销该限制之后,经改变和/或经更新的许可将起作用。所述动作可以包括:从文档302移除与至少一个访问阻止标准相对应的信息(例如,敏感信息320)、移除能够访问文档302的违规访问用户322、以及覆盖对文档302的受限访问或者报告与对应于至少一个访问阻止标准324的信息相关联的误报。额外地或可替代的,用户可以选择对文档302什么都不做以使对文档302的受限访问持续、删除文档302、移动文档302、或者共享文档302等其他动作。
在下一次评估306时,可以确定所述动作是否与由DLP策略规则308所定义的访问阻止标准相匹配。如果所述动作不与访问阻止标准310相匹配,则可以去激活阻止访问标签、恢复先前定义的与文档302相关联的许可、和/或撤销对文档302的受限访问。在一些示例中,为了提示下一次评估306,用户可以在所述用户动作被执行之后立即通过协同服务用户体验来请求策略检查或重新分类。
在一些示例中,可以在协同服务中启用与文档302相关联的阻止访问标签,并且可以忽略所有先前的文档许可。此外,与所述内容相关联的阻止访问标签可以被保存到该协同服务的索引中,以使得当不能够访问所述内容的外部用户在搜索该协同服务时,对所述内容的访问保持受限。用户所报告的覆盖或误报可以使得所有先前的文档许再次可应用。
图4A和4B示出与访问阻止相关联的示例用户体验。如先前所讨论的,租户可以向他们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问,其中,所述应用可以是例如电子表格应用402。此外,租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险,并且检测并修复敏感信息。
如在图4A中的示例用户体验400A中所示,电子表格应用402可以使得用户能够通过与通过工具栏404所提供的一个或多个控制元素的交互来将数据输入到一个或多个列和行中,以使得该用户可以在电子表格文档406内以表格形式组织、分析、和存储数据。例如,用户可以将与健康保险理赔相关联的数据408输入到电子表格文档406中,其中,列分别表示日期、类型、和理赔金额,而行可以表示每个日期及其对应的类型和理赔金额。用户还可以将与理赔相关联的保险人员的个人健康信息(PHI)(例如,成员号码、出生日期、以及社会保险号码410),输入到电子表格文档406中。
响应于电子表格文档406向存储位置的隐含或显式保存,电子表格文档406可以针对由租户管理员所创建的一个或多个DLP策略规则而被评估。例如,在该评估中,可以在数据408内检测社会保险号码410的***,并且可以对社会保险号码410的***是否与由DLP策略规则所定义的访问阻止标准相匹配进行确定。在该场景中,社会保险号码410的***可以被视为是敏感信息的***,并且因此可以确定与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配,可以激活与电子表格文档406相关联的阻止访问标签、可以忽略先前定义的与电子表格文档406相关联的许可或者可以应用额外的限制、并且对电子表格文档406的访问可以限于多个预先定义的用户。
可以通过电子表格应用402的用户体验向用户提供通知412,以指示对电子表格文档406的受限访问。例如,可以向用户提供策略小提示,其指示该电子表格文档406似乎包含敏感信息。所述通知可以包括“忽略”控制元素414,如果用户希望关于对电子表格文档406的受限访问什么都不做则可以选择该控制元素。所述通知还包括链接416,用户可以选择418该链接以了解关于受限访问或者相关联的DLP策略或DLP策略规则的更多信息。
响应于对链接416的用户选择418,可以通过电子表格应用402的用户体验向用户呈现包括策略小提示菜单422的另一个视图,如在图4B中的示例用户体验400B的配置420中所示出的。尽管未示出,但是所述视图除了策略小提示菜单422之外还可以包括与电子表格应用402的其他能力相关联的各种其他菜单。策略小提示菜单422可以包括描述相匹配的至少一个访问阻止标准(例如,敏感数据)的文本424,以及电子表格文档406内与其对应的信息,例如,个人健康信息和社会保险号码。策略小提示菜单422还可以包括“策略小提示”控制元素426,以及链接428,其中当由用户430选择时,所述链接428可以将用户重新引导至包括该DLP策略规则的DLP策略文档。
用户还可以被使能将鼠标悬停在“策略小提示”控制元素426上和/或选择434“策略小提示”控制元素426,如在图4B中的示例用户体验400B的配置432中所示出的。在选择了“策略小提示”控制元素426之后,呈现包括针对用户动作的一个或多个选项的下拉菜单436。例如,所述用户动作可以包括忽略通知438、报告所发现的敏感信息是误报440、以及当检测到敏感信息(例如,社会保险号码)时管理针对未来的实例的通知442。
图5A-C示出了与访问阻止的用户覆盖相关联的示例用户体验。租户可以向它们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问,其中,所述应用可以是例如演示应用502。此外,租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险,并且检测并修复敏感信息。
如在图5A中的示例用户体验500A中所示出的,演示应用502可以使得用户能够通过与由演示应用502的用户体验上的工具栏504所提供的一个或多个控制元素的交互来创建、保存、编辑、和/或与其他用户分享内容。例如,用户可以创建包括多个幻灯片507的文档506,每个幻灯片与年度财务报告中的月度旅行花费相关联。文档506中的数据508可以分别包括日期、类型、和旅行花费的金额。用户还可以在文档506内包括与旅行花费相关联的***信息,例如信用***510、过期日期、和安全码。
在文档506的打开、保存、删除、编辑、拷贝、移动、发布、上传、下载、打印、和/或共享中的一个或多个之后的预先定义时间间隔超时的情况下,文档506可以针对由租户管理员所创建的一个或多个DLP策略而被评估。例如,可以在数据508内检测社会保险号码510的***,并且可以对社会保险号码510的***是否与由DLP策略规则所定义的访问阻止标准相匹配进行确定。在该场景中,社会保险号码510的***可以被视为是敏感信息的***,并且因此可以确定与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配,可以激活与文档506相关联的阻止访问标签、可以忽略先前定义的与文档506相关联的许可、并且对文档506的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括文档506的所有者(例如,该示例中的用户)、文档506的最后修改者、和/或诸如租户管理员之类的管理员等。
可以通过演示应用502的用户体验向用户提供通知512,以指示对文档506的受限访问。例如,可以向该用户提供指示文档506包含敏感信息的策略小提示。通知512可以包括“覆盖”控制元素514,其中如果用户希望覆盖对文档506的受限访问则可以选择该控制元素。所述通知还包括链接516,其中用户可以选择518该链接以了解关于受限访问的更多信息。
响应于对链接516的用户选择518,可以通过演示应用502的用户体验向用户呈现包括策略小提示菜单522的另一个视图,如在图5B中的示例用户体验500B的配置520中所示出的。尽管未示出,但是所述视图除了策略小提示菜单522之外还可以包括与演示应用502的其他能力相关联的各种其他菜单。策略小提示菜单522可以包括描述相匹配的至少一个访问阻止标准(例如,敏感数据)的文本524,以及与其对应的信息,例如,信用***码。策略小提示菜单522还可以包括“策略小提示”控制元素526,以及链接528,其中当由用户选择时,所述链接528可以将用户重新引导至包括该DLP策略规则的DLP策略文档。所述用户可以被使能悬停在“策略小提示”控制元素526上和/或选择530“策略小提示”控制元素526。
在选择了“策略小提示”控制元素526之后,可以呈现包括针对用户动作的一个或多个选项的下拉菜单543,如在图5B中的示例用户体验500B的配置532中所示出的。例如,所述用户动作可以包括覆盖536对文档506的受限访问、请求策略检查538以确认所发现的敏感信息、报告所发现的敏感信息为误报540、以及在检测到敏感信息(例如,信用***)时管理针对未来的实例的通知542。
响应于用于覆盖536对文档506的受限访问的用户选择544,可以通过演示应用502的用户体验来显示对话框546,如在图5C中的示例用户体验500C中所示出的。如果用户已经在先前的图5A中所描述的通知512内选择了“覆盖”控制元素514,则可以向该用户呈现类似的对话框。对话框546可以包括文本548提示用户证明该用户为什么想要覆盖该限制,并且指示所述证据受到例如该租户管理员的审阅。如果用户有针对覆盖的证据,则该用户可以选择选项550、在所提供的文本框552中输入该证据、并且选择确认556。接着,用户可以被通知覆盖将会被审计并被上报。如果用户相信文档506不包括敏感信息,并且因此想要报告误报,则用户可以选择选项554并选择确定556。接着,该用户可以被通知该报告将会被审计。如果该用户不再希望覆盖文档506或者报告误报,则该用户可以选择取消508。
图6A-C示出与在移除了内容之后的访问阻止的用户重新分类相关联的示例用户体验。租户可以向他们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问,其中,所述应用可以是例如电子表格应用602。此外,租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险,并且检测并修复敏感信息。
如在图6A中的示例用户体验600A中所示出的,电子表格应用602可以使得用户能够通过与通过工具栏604所提供的一个或多个控制元素的交互而将数据输入到一个或多个列和行中,以使得所述用户可以在电子表格文档606中以表格形式组织、分析、和存储数据。例如,用户可以将与近期员工雇佣相关联的数据608输入到电子表格文档606中,其中,列表示雇佣日期、被雇佣的员工的标识符、和被雇佣员工的社会保险号码610,而行可以表示员工的每个雇佣日期以及在该日期被雇佣的员工的对应的标识符和社会保险号码。
响应于用户打开电子表格文档606以查看和/或编辑文档,电子表格文档606可以针对由租户管理员所创建的一个或多个DLP策略规则而被评估。例如,可以检测在数据608内的社会保险号码610的包括、并且确定社会保险号码610的包括是否与由DLP策略规则所定义的访问阻止标准相匹配。在该场景中,社会保险号码610的包括可以被视为是敏感信息的***,并且因此可以确定与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配,可以激活与电子表格文档606相关联的阻止访问标签、可以忽略先前定义的与电子表格文档606相关联的许可、并且对电子表格文档606的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括电子表格文档606的所有者(例如,该示例中的用户)、电子表格文档606的最后修改者、和/或诸如租户管理员之类的管理员等。
可以通过电子表格应用602的用户体验来向用户提供通知612,以指示对电子表格文档606的受限访问。例如,可以向用户提供指示电子表格文档606包含敏感信息的策略小提示。所述通知还可以包括链接614,其中用户可以选择该链接以了解关于受限访问的更多信息。在接收到通知612之后,用户可以选择从数据608中移除敏感数据,以使得可以去激活或移除与电子表格文档606相关联的阻止访问标签、可以恢复先前定义的与电子表格文档606相关联的许可、和/或可以撤销对电子表格文档606的受限访问。因此,用户可以选择616社会保险号码610并且将它们从电子表格文档606中移除。
在从电子表格文档606中移除了社会保险号码610之后,新的数据618可以表示每个雇佣日期以及在每个日期所雇佣的员工的对应的标识符,如在图6B中的示例用户体验600B中所示出的。用户现在可以等待直到对电子表格文档606执行下一次策略评估为止,以用于去激活或移除与电子表格文档606相关联的阻止访问标签、恢复先前定义的与电子表格文档606相关联的许可、和/或撤销对电子表格文档606的受限访问。下一次策略评估可以是对保存电子表格文档606,共享电子表格文档606,预先定义的时间间隔超时,和/或改变电子表格文档606的内容、位置、和状态的多种其他动作的响应。可替代地,用户可以选择620链接614以提示下一次策略评估。
响应于对链接614的用户选择620,可以通过电子表格应用602的用户体验向用户呈现包括策略小提示菜单624的另一个视图,如在图6C中的示例用户体验600C的配置622中所示出的。尽管未示出,但是所述视图除了策略小提示菜单624之外还可以包括与电子表格应用602的其他能力相关联的各种其他菜单。策略小提示菜单624可以包括描述相匹配的至少一个访问阻止标准(例如,敏感数据)的文本424,以及与其对应的信息,例如,社会保险号码。策略小提示菜单624还可以包括“策略小提示”控制元素630,以及链接628,其中当由用户选择时,所述链接628可以将用户重新引导至包括该DLP策略规则的DLP策略文档。所述用户可以被使能悬停在“策略小提示”控制元素630上和/或选择632“策略小提示”控制元素630。
在选择了“策略小提示”控制元素630之后,可以呈现包括针对用户动作的一个或多个选项的下拉菜单636,如在配置634中所示出的。例如,所述用户动作可以包括重新分类638以针对敏感信息而重新检查所述文档、报告所发现的敏感信息为误报640、以及在检测到敏感信息(例如,社会保险号)时管理针对未来的实例的通知642。
响应于对重新分类638的用户选择644,可以执行另一个策略评估以针对DLP策略来评估电子表格文档606以确定是否存在与由DLP策略规则所定义的访问阻止标准的任何匹配。由于由用户移除了敏感信息,可以没有所确定的匹配,并且在重新分类之后,可以去激活或移除与电子表格文档606相关联的阻止访问标签、可以恢复先前定义的与电子表格文档606相关联的许可、和/或可以撤销对电子表格文档606的受限访问。
图7示出了与用户共享具有访问阻止的内容相关联的示例用户体验。租户可以向他们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问,其中,所述应用可以是例如文字处理应用702。此外,租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险,并且检测并修复敏感信息。
如示例用户体验700所示,文字处理应用702可以使得用户能够邀请704一个或多个其他用户708基于由所述用户设置的一个或多个许可716来查看和/或编辑在文字处理应用702内所创建的文档。向应用所述用户尝试与被邀请来查看和/或编辑所述文档的其他用户708共享706所述文档,所述文档可以针对由租户管理员所创建的一个或多个DLP策略而被评估。例如,可以检测所述文档内的敏感信息,并且确定所述文档内的敏感信息是否与由DLP策略规则所定义的访问阻止标准相匹配。在该场景中,敏感信息的包括可以是与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配,可以激活与所述文档相关联的阻止访问标签、可以忽略先前定义的与所述文档相关联的许可,并且对所述文档的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括所述文档的所有者(例如,该示例中的用户)、所述文档的最后修改者、和/或管理员等。
可以通过文字处理应用702的用户体验向用户提供通知710,以指示对所述文档的受限访问。例如,可以向该用户提供指示所述文档包含敏感信息的策略小提示。通知710可以包括“覆盖”控制元素712,其中如果用户希望覆盖对所述文档的受限访问而不用从所述文档中移除敏感信息,则可以选择该控制元素。所述通知还包括链接714,其用于了解关于受限访问的更多信息。
已经使用具体的网络环境、服务、应用、和用户体验描述了图1到7的示例以用于在协同服务环境内作为DLP的一部分来提供访问阻止。用于在协同服务环境内作为DLP的一部分来提供访问阻止的实施例不仅限于根据这些示例的具体的网络环境、服务、应用、和用户体验。
DLP是使得组织能够通过深度内容分析来识别、监测、和保护敏感信息的特征集,其中,DLP可以结合协同服务而被实现。将访问阻止作为DLP的一部分来提供可以通过限制对包括敏感信息的内容的访问来提高处理安全性。访问阻止的提供还可以通过创建将内容针对由组织的租户管理员所创建的一个或多个DLP策略来评估的自动化任务来降低网络带宽。例如,响应于对所述内容的打开、保存、删除、编辑、拷贝、移动、发布、上传、下载、打印、和/或共享、和/或在预先定义的时间间隔超时的情况下,可以评估所述内容、可以在内容内检测敏感信息、并且对所述内容的访问可以受限。
额外地,使得预先定义的用户能够与协同服务的用户体验进行交互以执行与所阻止的访问相关联的一个或多个动作可以有利地改进用户效率,并且提高用户交互性能。此外,使得用户能够致动并查看利用通过协同服务的用户体验的通知所提供的链接可以关于组织而对用户进行教育,例如他们的办公地点、与该组织相关联的DLP策略、以及用户动作可以如何影响该组织。
图8和相关联的讨论旨在提供对通用计算设备的简要的、一般性的描述,其可以用于在协同服务环境内作为DLP的一部分来提供访问阻止。
例如,计算设备800可以用作为服务器、台式机计算机、便携式计算机、智能电话、专用计算机、或类似的设备。在示例基本配置802中,计算设备800可以包括一个或多个处理器804和***存储器806。存储器总线808可以用于在处理器804与***存储器806之间进行通信。在图8中由内部虚线内的那些组件示出了基本配置802。
根据期望的配置,处理器804可以具有任何类型,包括但不限于:微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)、或其任何组合。处理器804可以包括一个以上层级的高速缓存,例如层级高速缓存存储器812、一个或多个处理器核心814、和寄存器816。示例处理器核心814可以(每个)包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核心(DSP核心)、或其任何组合。示例存储器控制器818还可以与处理器804一起使用,或者在一些实现中,存储器控制器818可以是处理器804的内部部件。
根据期望的配置,***存储器806可以具有任何类型,包括但不限于:易失性存储器(例如,RAM)、非易失性存储器(例如,ROM、闪速存储器等)、或其任何组合。***存储器806可以包括操作***820、通信应用822、和程序数据824。协同服务822可以包括DLP模块826和阻止访问模块827,其可以是协同服务822的集成模块或者是独立的应用。DLP模块826和阻止访问模块827可以执行与在本文中所描述的在协同环境中作为DLP的一部分来提供访问阻止相关联的任务。程序数据824可以包括与如在本文中所描述的受限内容相关的过程数据828等。
计算设备800可以具有额外的特征或功能,以及用于促进基本配置802与任何所期望设备和接口之间的通信的额外的接口。例如,总线/接口控制器830可用于促进基本配置802与一个或多个数据存储设备832之间经由存储接口总线834的通信。数据存储设备832可以是一个或多个可移动存储设备836、一个或多个不可移动存储设备838、或其组合。可移动存储设备和不可移动存储设备的示例可以包括:磁盘设备(例如,软盘驱动器和硬盘驱动器(HDD))、光盘驱动器(例如,压缩盘(CD)驱动器或数字通用盘(DVD)驱动器)、固态驱动器(SSD)、以及磁带驱动器等。示例计算机存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块、或其他数据之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。
***存储器806、可移动存储设备836、和不可移动存储设备838可以是计算机存储介质的示例。计算机存储介质可以包括但不限于:RAM、ROM、EEPROM、闪速存储器或其他存储器技术、CD-ROM、数字通用盘(DVD)、固态驱动器、或其他光存储、盒式磁带、磁带、磁盘存储设备或其他磁存储设备、或者可用于存储期望的信息并且可以由计算设备800来访问的任何其他介质。任何这样的计算机存储介质可以是计算设备800的一部分。
计算设备800还可以包括用于促进经由总线/接口控制器830从各种接口设备(例如,一个或多个输出设备842、一个或多个***接口844、以及一个或多个通信设备846)到基本配置802的通信的接口总线840。示例输出设备842中的一些输出设备可以包括图形处理单元848和音频处理单元850,它们可以被配置为经由一个或多个A/V端口852而与诸如显示器或扬声器之类的各种外部设备进行通信。一个或多个示例***接口844可以包括串行接口控制器854或并行接口控制器856,它们可以被配置为经由一个或多个I/O端口858而与诸如输入设备(例如,键盘,鼠标、笔、语音输入设备、触摸输入设备等)或其他***设备(例如,打印机、扫描仪等)之类的***设备进行通信。示例通信设备846可以包括网络控制器860,其可以被设置为促进经由一个或多个通信端口864在网络通信链路上与一个或多个其他计算设备862的通信。一个或多个其他计算设备862可以包括服务器、客户端装置、和类似设备。
网络通信链路可以是通信介质的一个示例。通信介质可以由计算机可读指令、数据结构、程序模块、或经调制的数据信号(例如载波或其他传输机制)中的其他数据来实施,并且可以包括任何信息传递介质。“经调制的数据信号”可以是具有经调制的数据信号的特征集合中的一个或多个特征,或者以关于将信息在信号中进行编码的方式而改变的信号。作为示例而非限制,通信介质可以包括有线介质(例如,有线网络或直接有线连接)和无线介质(例如,声学、射频(RF)、微波、红外(IR)和其他无线介质)。如在本文中所使用的术语计算机可读介质可以包括存储介质和通信介质两者。
计算设备800可以被实现为通用或专用服务器、大型计算机、或包括任何上述功能的类似计算机的一部分。计算设备800还可以被实现为包括膝上型计算机和非膝上型计算机配置两者的个人计算机。
示例实施例还可以包括用于在协同服务环境内作为DLP的一部分来提供访问阻止的方法。可以以包括在本文中所描述的结构的任何数量的方式来实现这些方法。一种这样的方式可以是通过使用在本公开中所描述的类型的设备的机器操作。另一种可选的方式可以是针对方法的独立操作中的一个或多个操作而结合执行一些操作的一个或多个人类操作者来执行,而其它操作由机器执行。这些人类操作者无需彼此处于同一位置,但每个操作者可以与执行程序的一部分的机器在一起。在其他实施例中,人类交互可以例如通过可以是机器自动化的预先选择的标准而是自动化的。
图9示出根据实施例的用于在协同服务环境内作为DLP的一部分来提供访问阻止的方法的过程900的逻辑流程图。过程900可以实现在服务器或其他***上。
过程900开始于操作910,其中,检测与由协同服务所处理的内容相关联的动作。所述动作可以包括内容内的敏感信息的***,例如信用***、社会保险号码、或者其他形式的敏感信息。
在操作920处,确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配。所述检测和确定可以由与服务器侧的环境中的协同服务相关联的DLP模块中的一个模块来进行,或者由分别与客户端侧的环境中的客户端相关联的分类引擎和策略引擎来进行。
在操作930处,响应于确定所述动作与由DLP策略规则所定义的至少一个访问阻止标准相匹配,可以激活与所述内容相关联的阻止访问标签、可以忽略先前定义的与所述内容相关联的许可或者对所述许可应用额外的限制,并且对所述内容的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括所有者、管理员、和最后修改者,并且对所述内容的受限访问可以包括读取、编辑、和共享许可。所述预先定义的用户还可以包括属于用于管理具有受限访问的内容的角色的一个或多个用户,或者在其他实施例中,对所述内容的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。可以向所述预先定义的用户中的一个或多个用户提供通知以指示对所述内容的受限访问,所述通知可以包括到包括一个或多个DLP策略规则的DLP策略文档的链接、到所述内容的位置的链接、检测到的敏感内容的具体细节、以及与与预先定义的用户要实现以便从限制中释放所述内容的一个或多个动作相关联的各种控制元素。
过程900中所包括的操作是出于解释说明的目的的。在协同服务环境内作为DLP的一部分来提供访问阻止可以通过具有更少或额外步骤的类似过程来实现,以及与使用在本文中所描述的原理的操作以不同顺序来实现。
用于在协同服务环境内作为DLP的一部分来提供访问阻止的单元可以包括这样的单元,其用于检测与由协同服务所处理的内容相关联的动作,确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配,以及响应于对确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配而:激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个个预先定义的用户。
根据一些示例,描述了一种用于在协同服务环境内作为数据丢失防护(DLP)的一部分来提供访问阻止的计算设备。示例计算设备包括被配置为存储指令的存储器和耦合至所述存储器的处理器。所述处理器被配置为执行以下动作,包括:检测与由协同服务所处理的内容相关联的动作;确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;以及响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。
在其他示例中,所述预先定义的用户包括所有者、管理员、和最后修改者。对所述内容的受限访问可以包括读取、编辑、和共享许可。检测到的动作可以包括将敏感信息***到所述内容中。所述动作被检测为响应于以下中的一个而对所述内容的评估的一部分:所述内容的打开、所述内容的编辑、所述内容的共享、所述内容的拷贝、所述内容的移动、所述内容的发布、所述内容的保存、所述内容的打印、所述内容的上传、所述内容的下载、以及预先定义的时间间隔的超时。
在其他示例中,通过所述协同服务的用户体验来向所述预先定义的用户提供通知以指示对所述内容的所述受限访问,所述通知包括到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与由所述预先定义的用户实现的一个或多个动作相关联的各种控制元素,其中实现所述一个或多个动作是为了去激活或移除与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的所述受限访问。所述计算设备与客户端相关联,并且所述处理器被配置为执行分类引擎和策略引擎中的一个或多个以执行所述一个或多个动作。
根据一些实施例,描述了一种用于在协同服务环境内作为数据丢失防护(DLP)的一部分来提供访问阻止的***。示例***包括:第一计算设备,其被配置为在所述协同服务内提供对一个或多个应用的访问;以及第二计算设备,其被配置为在所述协同服务内管理所述DLP。所述第二计算设备被配置为执行访问阻止模块,所述访问阻止模块配置为:检测与由所述协同服务所处理的内容相关联的动作;确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;以及响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。
在其他实施例中,所述第二计算设备还可以被配置为使得所述预先定义的用户能够:从所述内容中移除与所述至少一个访问阻止标准相对应的信息,移除能够访问所述内容的违规用户,覆盖对所述内容的受限访问并且提供针对所述覆盖的商业证据,报告与对应于来自所述内容的所述至少一个访问阻止标准的所述信息的误报关联,以及通过协同服务用户体验来请求策略检查和重新分类中的一个。所述第二计算设备还被配置为响应于以下中的一个或多个而去激活与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、和撤销对所述内容的所述受限访问:检测到从所述内容中移除了与所述至少一个访问阻止标准相对应的信息、检测到移除了能够访问所述内容的违规用户、以及检测到由所述预先定义的用户对所述内容的所述受限访问的覆盖和由所述预先定义的用户所报告的与所述敏感信息相关联的误报中的一个。
根据一些示例,提供了一种用于在协同服务环境内作为数据丢失防护(DLP)的一部分来提供访问阻止的方法。示例方法可以包括:在由所述协同服务所处理的内容内检测敏感信息;确定所述敏感信息是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;响应于确定所述敏感信息与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。所述方法还包括通过协同服务用户体验向所述预先定义的用户提供通知以指示对所述内容的受限访问。
在其他示例中,所述预先定义的用户可以被使能通过所述协同服务用户体验来覆盖对所述内容的受限访问。所述预先定义的用户可以被使能通过所述协同服务用户体验来报告与所述敏感信息相关联的误报。所述预先定义的用户可以被使能通过所述协同服务用户体验来共享所述内容。所述方法还包括:检测所述信息的移除、检测能够访问所述内容的违规用户的移除、和/或检测由所述预先定义的用户对所述内容的所述受限访问的覆盖和由所述预先定义的用户所报告的与所述敏感信息相关联的误报;以及去激活与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、和撤销对所述内容的所述受限访问。
在其他示例中,可以将来自文本方案、图形方案、音频方案、动画方案、着色方案、突出显示方案、和阴影方案的集合中的至少一种方案应用在所述协同服务用户体验中以指示具有受限访问的所述内容。可以将与所述内容相关联的所述阻止访问标签保存至所述协同服务的索引。
可以将匹配、对所述内容的所述受限访问、对所述内容的所述受限访问的覆盖、和所报告的与所述敏感信息相关联的误报中的一个或多个记录在与所述协同服务相关联的日志内。可以在审计日志和/或服务器日志内生成条目以指示所述内容何时是受限制的、对所述内容的所述受限访问何时被撤销、和/或对所述内容受限访问是否由所述预先定义的用户覆盖或者敏感信息是否由所述预先定义的用户报告为误报。
以上的说明书、示例、和数据提供对实施例的组成的制造和使用的完整描述。尽管已经用特定于结构特性和/或方法动作的语言描述了本主题,但应当理解的是,在所附权利要求中定义的主题不一定限于在上文中所描述的具体特征或动作。相反,在上文中所描述的具体特性和动作是作为实现权利要求和实施例的示例形式而公开的。
Claims (15)
1.一种用于在协同服务环境内作为数据丢失防护,DLP,的一部分来提供访问阻止的计算设备,所述计算设备包括:
被配置为存储指令的存储器;
耦合至所述存储器的处理器;其中,所述处理器被配置为执行以下操作,包括:
检测与由协同服务所处理的内容相关联的动作;
确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;
响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户,
响应于确定所述动作与所述访问阻止标准中的至少一个不匹配,通过所述协同服务的用户体验来向所述预先定义的用户提供通知,其中,所述通知包括以下中的一个或多个:到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与一个或多个动作相关联的控制元素;以及
使得所述用户中的一个或多个执行所述控制元素中的一个或多个,以去激活所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的受限访问。
2.根据权利要求1所述的计算设备,其中,所述预先定义的用户包括所有者、管理员、和最后修改者中的一个或多个。
3.根据权利要求1所述的计算设备,其中,对所述内容的受限访问包括读取、编辑、和共享许可中的一个或多个。
4.根据权利要求1所述的计算设备,其中,所检测的动作包括将敏感信息***到所述内容中。
5.根据权利要求1所述的计算设备,其中,所述动作作为响应于以下中的一个而对所述内容的评估操作的一部分被检测:所述内容的打开、所述内容的编辑、所述内容的共享、所述内容的拷贝、所述内容的移动、所述内容的发布、所述内容的保存、所述内容的打印、所述内容的上传、所述内容的下载、以及预先定义的时间间隔的超时。
6.根据权利要求1所述的计算设备,其中,所述通知用以指示对所述内容的所述受限访问。
7.根据权利要求1所述的计算设备,其中,所述计算设备与客户端相关联,并且所述处理器被配置为执行分类引擎和策略引擎中的一个或多个以执行所述一个或多个动作。
8.一种用于在协同服务环境内作为数据丢失防护,DLP,的一部分来提供访问阻止的***,所述***包括:
第一计算设备,其被配置为在所述协同服务内提供对一个或多个应用的访问;以及
第二计算设备,其被配置为在所述协同服务内管理所述DLP,其中,所述第二计算设备被配置为执行访问阻止模块,所述访问阻止模块配置为:
检测与由所述协同服务所处理的内容相关联的动作;
确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;
响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户,
响应于确定所述动作与所述访问阻止标准中的至少一个不匹配,通过所述协同服务的用户体验来向所述预先定义的用户提供通知,其中,所述通知包括以下中的一个或多个:到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与一个或多个动作相关联的控制元素;以及
使得所述用户中的一个或多个执行所述控制元素中的一个或多个,以去激活所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的受限访问。
9.根据权利要求8所述的***,其中,所述第二计算设备还被配置为使得所述预先定义的用户能够进行以下操作中的一个或多个操作:
从所述内容中移除与所述至少一个访问阻止标准相对应的信息,
移除能够访问所述内容的违规用户,
覆盖对所述内容的受限访问并且提供针对所述覆盖的商业证据,
报告与对应于来自所述内容的所述至少一个访问阻止标准的所述信息相关联的误报,以及
通过所述协同服务的用户体验来请求策略检查和重新分类中的一个。
10.一种用于在协同服务环境内作为数据丢失防护,DLP,的一部分来提供访问阻止的方法,所述方法包括:
在由所述协同服务所处理的内容内检测敏感信息;
确定所述敏感信息是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;
响应于确定所述敏感信息与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配,而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户;
响应于确定所述敏感信息与所述访问阻止标准中的至少一个不匹配,通过所述协同服务的用户体验向所述预先定义的用户提供通知,其中,所述通知包括以下中的一个或多个:到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与一个或多个动作相关联的控制元素;以及
使得所述用户中的一个或多个执行所述控制元素中的一个或多个,以去激活所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的受限访问。
11.根据权利要求10所述的方法,还包括:
使得所述预先定义的用户能够通过所述协同服务用户体验来共享所述内容。
12.根据权利要求10所述的方法,还包括:
以下中的一个或多个:检测所述敏感信息的移除、检测能够访问所述内容的违规用户的移除、以及检测由所述预先定义的用户对所述内容的所述受限访问的覆盖和由所述预先定义的用户所报告的与所述敏感信息相关联的误报中的一个;以及
以下中的一个或多个:去激活与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、和撤销对所述内容的所述受限访问。
13.根据权利要求10所述的方法,还包括:
将来自文本方案、图形方案、音频方案、动画方案、着色方案、突出显示方案、和阴影方案的集合中的至少一种方案应用在所述协同服务用户体验中以指示具有受限访问的内容。
14.根据权利要求10所述的方法,还包括:
将与所述内容相关联的所述阻止访问标签保存至所述协同服务的索引。
15.根据权利要求10所述的方法,还包括:
将匹配、对所述内容的所述受限访问、对所述内容的所述受限访问的覆盖、和所报告的与所述敏感信息相关联的误报中的一个或多个记录在与所述协同服务相关联的日志内。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462068728P | 2014-10-26 | 2014-10-26 | |
US201462068744P | 2014-10-26 | 2014-10-26 | |
US62/068,728 | 2014-10-26 | ||
US62/068,744 | 2014-10-26 | ||
US14/630,435 | 2015-02-24 | ||
US14/630,435 US9697349B2 (en) | 2014-10-26 | 2015-02-24 | Access blocking for data loss prevention in collaborative environments |
PCT/US2015/055619 WO2016069272A1 (en) | 2014-10-26 | 2015-10-15 | Access blocking for data loss prevention in collaborative environments |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107111702A CN107111702A (zh) | 2017-08-29 |
CN107111702B true CN107111702B (zh) | 2020-12-22 |
Family
ID=55792215
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580058141.1A Active CN107111702B (zh) | 2014-10-26 | 2015-10-15 | 协同环境中针对数据丢失防护的访问阻止 |
Country Status (4)
Country | Link |
---|---|
US (3) | US9697349B2 (zh) |
EP (1) | EP3210175A1 (zh) |
CN (1) | CN107111702B (zh) |
WO (1) | WO2016069272A1 (zh) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9697349B2 (en) * | 2014-10-26 | 2017-07-04 | Microsoft Technology Licensing, Llc | Access blocking for data loss prevention in collaborative environments |
US10114966B2 (en) * | 2015-03-19 | 2018-10-30 | Netskope, Inc. | Systems and methods of per-document encryption of enterprise information stored on a cloud computing service (CCS) |
US9716973B2 (en) * | 2015-05-28 | 2017-07-25 | International Business Machines Corporation | Mobile application volatility management for situational applications |
JP6600203B2 (ja) * | 2015-09-15 | 2019-10-30 | キヤノン株式会社 | 情報処理装置、情報処理方法、コンテンツ管理システム、およびプログラム |
US10079835B1 (en) * | 2015-09-28 | 2018-09-18 | Symantec Corporation | Systems and methods for data loss prevention of unidentifiable and unsupported object types |
US11256821B2 (en) | 2015-10-14 | 2022-02-22 | Minereye Ltd. | Method of identifying and tracking sensitive data and system thereof |
US10779166B2 (en) * | 2015-11-27 | 2020-09-15 | Orange | Technique for controlling access to a radio access network |
US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
US10985967B1 (en) | 2017-03-10 | 2021-04-20 | Loop Commerce, Inc. | Cross-network differential determination |
US10498767B1 (en) * | 2017-03-14 | 2019-12-03 | Symantec Corporation | Systems and methods for enforcing data loss prevention (DLP) policies during web conferences |
US10671753B2 (en) | 2017-03-23 | 2020-06-02 | Microsoft Technology Licensing, Llc | Sensitive data loss protection for structured user content viewed in user applications |
US10380355B2 (en) | 2017-03-23 | 2019-08-13 | Microsoft Technology Licensing, Llc | Obfuscation of user content in structured user data files |
US10410014B2 (en) | 2017-03-23 | 2019-09-10 | Microsoft Technology Licensing, Llc | Configurable annotations for privacy-sensitive user content |
WO2018182885A1 (en) * | 2017-03-30 | 2018-10-04 | Mcafee, Llc | Secure software defined storage |
US10713390B2 (en) * | 2017-07-17 | 2020-07-14 | Microsoft Technology Licensing, Llc | Removing sensitive content from documents while preserving their usefulness for subsequent processing |
US11005892B2 (en) * | 2017-09-17 | 2021-05-11 | Allot Ltd. | System, method, and apparatus of securing and managing internet-connected devices and networks |
WO2019101050A1 (zh) | 2017-11-27 | 2019-05-31 | 华为技术有限公司 | 多终端协同安全工作的方法和装置 |
US11012309B2 (en) * | 2018-06-04 | 2021-05-18 | Vmware, Inc. | Deploying data-loss-prevention policies to user devices |
US10803188B1 (en) * | 2018-06-25 | 2020-10-13 | NortonLifeLock, Inc. | Systems and methods for preventing sensitive data sharing |
CN109101574B (zh) * | 2018-07-18 | 2020-09-25 | 北京明朝万达科技股份有限公司 | 一种数据防泄漏***的任务审批方法和*** |
US11616782B2 (en) * | 2018-08-27 | 2023-03-28 | Box, Inc. | Context-aware content object security |
US20200067975A1 (en) | 2018-08-27 | 2020-02-27 | Box, Inc. | Ransomware remediation in collaboration environments |
CN109388642B (zh) * | 2018-10-23 | 2021-08-27 | 北京计算机技术及应用研究所 | 基于标签的敏感数据追踪溯源方法 |
US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
US11397803B2 (en) * | 2019-04-23 | 2022-07-26 | Cisco Technology, Inc. | Real-time video sharing data loss prevention |
US11431712B2 (en) * | 2019-05-29 | 2022-08-30 | International Business Machines Corporation | System and method for personalized passenger auditing in aircrafts |
CN113051603A (zh) * | 2020-09-07 | 2021-06-29 | 沈建锋 | 结合云计算和信息数字化的云业务交互方法及大数据平台 |
US11720706B2 (en) * | 2021-02-19 | 2023-08-08 | Slack Technologies, Llc | Inline data loss prevention for a group-based communication system |
US20220391073A1 (en) * | 2021-06-06 | 2022-12-08 | Apple Inc. | User interfaces for managing receipt and transmission of content |
US11475158B1 (en) | 2021-07-26 | 2022-10-18 | Netskope, Inc. | Customized deep learning classifier for detecting organization sensitive data in images on premises |
US20230131557A1 (en) * | 2021-10-25 | 2023-04-27 | Biamp Systems, LLC | Data collaboration application in a networked environment |
US20230246866A1 (en) * | 2022-01-28 | 2023-08-03 | Docusign, Inc. | Conferencing platform integration with information access control |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101763479A (zh) * | 2008-12-22 | 2010-06-30 | 赛门铁克公司 | 自适应数据丢失防护策略 |
CN101836185A (zh) * | 2007-10-25 | 2010-09-15 | 国际商业机器公司 | 用于企业搜索的实时交互式授权 |
Family Cites Families (75)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6735701B1 (en) | 1998-06-25 | 2004-05-11 | Macarthur Investments, Llc | Network policy management and effectiveness system |
US7627507B1 (en) | 1999-08-10 | 2009-12-01 | Fmr Llc | Providing one party access to an account of another party |
US8225371B2 (en) * | 2002-09-18 | 2012-07-17 | Symantec Corporation | Method and apparatus for creating an information security policy based on a pre-configured template |
US7472114B1 (en) * | 2002-09-18 | 2008-12-30 | Symantec Corporation | Method and apparatus to define the scope of a search for information from a tabular data source |
US7120785B1 (en) | 2002-11-25 | 2006-10-10 | Apple Computer, Inc. | Method and apparatus rendering user accounts portable |
US8141159B2 (en) | 2002-12-31 | 2012-03-20 | Portauthority Technologies Inc. | Method and system for protecting confidential information |
US9197668B2 (en) | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
DE102004009065A1 (de) | 2004-02-23 | 2005-09-08 | Stefan Kistner | Verfahren zur Verhinderung des Verlustes der Vertraulichkeit von Daten auf oder mit wechselbaren Speichermedien (Datenträgern) |
US8245049B2 (en) | 2004-06-14 | 2012-08-14 | Microsoft Corporation | Method and system for validating access to a group of related elements |
US20060075228A1 (en) | 2004-06-22 | 2006-04-06 | Black Alistair D | Method and apparatus for recognition and real time protection from view of sensitive terms in documents |
US7653893B2 (en) * | 2005-03-04 | 2010-01-26 | Microsoft Corporation | Methods and apparatus for implementing checkin policies in source code control systems |
US7401083B2 (en) * | 2005-05-23 | 2008-07-15 | Goldman Sachs & Co. | Methods and systems for managing user access to computer software application programs |
US9401900B2 (en) | 2005-07-01 | 2016-07-26 | Cirius Messaging Inc. | Secure electronic mail system with thread/conversation opt out |
US8677499B2 (en) | 2005-12-29 | 2014-03-18 | Nextlabs, Inc. | Enforcing access control policies on servers in an information management system |
US20130086699A1 (en) | 2006-06-27 | 2013-04-04 | Jared Polis | Aggregation system |
US7769731B2 (en) | 2006-10-04 | 2010-08-03 | International Business Machines Corporation | Using file backup software to generate an alert when a file modification policy is violated |
US9047465B2 (en) | 2006-11-22 | 2015-06-02 | At&T Intellectual Property I, L.P. | Methods and apparatus for automatic security checking in systems that monitor for improper network usage |
US8549409B2 (en) * | 2007-02-22 | 2013-10-01 | Microsoft Corporation | Customizable web application navigation |
US8533841B2 (en) | 2007-04-02 | 2013-09-10 | Microsoft Corporation | Deriving remediations from security compliance rules |
US8091138B2 (en) | 2007-09-06 | 2012-01-03 | International Business Machines Corporation | Method and apparatus for controlling the presentation of confidential content |
US8151200B2 (en) | 2007-11-15 | 2012-04-03 | Target Brands, Inc. | Sensitive information handling on a collaboration system |
US7913167B2 (en) | 2007-12-19 | 2011-03-22 | Microsoft Corporation | Selective document redaction |
US8060596B1 (en) | 2007-12-26 | 2011-11-15 | Symantec Corporation | Methods and systems for normalizing data loss prevention categorization information |
US7840690B2 (en) | 2008-02-01 | 2010-11-23 | The Go Daddy Group, Inc. | Internet portal for managing social websites |
US7996374B1 (en) * | 2008-03-28 | 2011-08-09 | Symantec Corporation | Method and apparatus for automatically correlating related incidents of policy violations |
US8763071B2 (en) | 2008-07-24 | 2014-06-24 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
US8955107B2 (en) | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
US8826443B1 (en) | 2008-09-18 | 2014-09-02 | Symantec Corporation | Selective removal of protected content from web requests sent to an interactive website |
JP4586913B2 (ja) | 2008-09-19 | 2010-11-24 | 富士ゼロックス株式会社 | 文書管理システム、文書利用管理装置、及びプログラム |
US8745191B2 (en) * | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
US20100251369A1 (en) | 2009-03-25 | 2010-09-30 | Grant Calum A M | Method and system for preventing data leakage from a computer facilty |
US8332350B2 (en) | 2009-04-08 | 2012-12-11 | Titus Inc. | Method and system for automated security access policy for a document management system |
US8752180B2 (en) | 2009-05-26 | 2014-06-10 | Symantec Corporation | Behavioral engine for identifying patterns of confidential data use |
US8499152B1 (en) * | 2009-05-28 | 2013-07-30 | Trend Micro, Inc. | Data positioning and alerting system |
US9195808B1 (en) | 2009-07-27 | 2015-11-24 | Exelis Inc. | Systems and methods for proactive document scanning |
US8356357B1 (en) | 2009-07-30 | 2013-01-15 | Symantec Corporation | Detecting tainted documents by tracking transformed confidential data |
US8111154B1 (en) * | 2009-09-14 | 2012-02-07 | Symantec Corporation | Systems and methods for monitoring a mobile-computing device using geo-location information |
CN102959558B (zh) | 2010-07-08 | 2018-12-14 | 惠普发展公司,有限责任合伙企业 | 用于文档策略实施的***和方法 |
US8365243B1 (en) * | 2010-07-14 | 2013-01-29 | Trend Micro, Inc. | Image leak prevention using geotagging |
US8565108B1 (en) * | 2010-09-28 | 2013-10-22 | Amazon Technologies, Inc. | Network data transmission analysis |
US9094291B1 (en) | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
US8849857B2 (en) | 2010-12-17 | 2014-09-30 | International Business Machines Corporation | Techniques for performing data loss prevention |
US8726405B1 (en) * | 2010-12-23 | 2014-05-13 | Emc Corporation | Techniques for providing security using a mobile wireless communications device having data loss prevention circuitry |
US8800031B2 (en) | 2011-02-03 | 2014-08-05 | International Business Machines Corporation | Controlling access to sensitive data based on changes in information classification |
US8347322B1 (en) | 2011-03-31 | 2013-01-01 | Zynga Inc. | Social network application programming interface |
US8656455B1 (en) | 2011-03-31 | 2014-02-18 | Emc Corporation | Managing data loss prevention policies |
EP2695101B1 (en) | 2011-04-04 | 2022-11-09 | Nextlabs, Inc. | Protecting information using policies and encryption |
US20130110748A1 (en) | 2011-08-30 | 2013-05-02 | Google Inc. | Policy Violation Checker |
US9183361B2 (en) | 2011-09-12 | 2015-11-10 | Microsoft Technology Licensing, Llc | Resource access authorization |
US9137262B2 (en) | 2011-10-11 | 2015-09-15 | Citrix Systems, Inc. | Providing secure mobile device access to enterprise resources using application tunnels |
US8544060B1 (en) | 2012-01-27 | 2013-09-24 | Symantec Corporation | Method and system for detecting and protecting against potential data loss from unknown applications |
US8880989B2 (en) * | 2012-01-30 | 2014-11-04 | Microsoft Corporation | Educating users and enforcing data dissemination policies |
US9225745B2 (en) | 2012-06-14 | 2015-12-29 | The One Page Company Inc. | Proposal system access policy enforcement |
CN103473225B (zh) * | 2012-06-06 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 页面显示方法和装置 |
US8832780B1 (en) | 2012-06-26 | 2014-09-09 | Symantec Corporation | Data loss prevention of a shared network file system |
US9230096B2 (en) | 2012-07-02 | 2016-01-05 | Symantec Corporation | System and method for data loss prevention in a virtualized environment |
US9438547B2 (en) * | 2012-07-10 | 2016-09-06 | Microsoft Technology Licensing, Llc | Uniform policy for security and information protection |
US9317696B2 (en) | 2012-07-10 | 2016-04-19 | Microsoft Technology Licensing, Llc | Data detection and protection policies for e-mail |
US9473532B2 (en) | 2012-07-19 | 2016-10-18 | Box, Inc. | Data loss prevention (DLP) methods by a cloud service including third party integration architectures |
US9959420B2 (en) | 2012-10-02 | 2018-05-01 | Box, Inc. | System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment |
US8789147B1 (en) | 2012-10-16 | 2014-07-22 | Google Inc. | Central account manager |
US8984650B2 (en) | 2012-10-19 | 2015-03-17 | Pearson Education, Inc. | Privacy server for protecting personally identifiable information |
CN104641377B (zh) | 2012-10-19 | 2018-02-23 | 迈克菲股份有限公司 | 用于移动计算设备的数据丢失防护 |
US9660993B2 (en) * | 2012-10-25 | 2017-05-23 | Facebook, Inc. | Event reporting and handling |
TWI474213B (zh) | 2013-01-09 | 2015-02-21 | Hope Bay Technologies Inc | 具攻擊防護機制的雲端系統及其防護方法 |
US20150127607A1 (en) * | 2013-01-10 | 2015-05-07 | Unicom Systems, Inc. | Distributed data system with document management and access control |
US8998725B2 (en) * | 2013-04-30 | 2015-04-07 | Kabam, Inc. | System and method for enhanced video of game playback |
US9912549B2 (en) | 2013-06-14 | 2018-03-06 | Catbird Networks, Inc. | Systems and methods for network analysis and reporting |
US20150222665A1 (en) | 2014-01-31 | 2015-08-06 | Peter Eberlein | Restricting user actions based on document classification |
US20160055343A1 (en) * | 2014-08-21 | 2016-02-25 | Microsoft Technology Licensing, Llc | Hierarchical privacy settings for comments and markups in a shared document |
US9436821B2 (en) * | 2014-09-10 | 2016-09-06 | Symantec Corporation | Systems and methods for detecting attempts to transmit sensitive information via data-distribution channels |
US20160080293A1 (en) | 2014-09-12 | 2016-03-17 | Microsoft Corporation | Accounts Control |
US9621588B2 (en) | 2014-09-24 | 2017-04-11 | Netflix, Inc. | Distributed traffic management system and techniques |
US9697349B2 (en) | 2014-10-26 | 2017-07-04 | Microsoft Technology Licensing, Llc | Access blocking for data loss prevention in collaborative environments |
US9992205B2 (en) * | 2015-06-02 | 2018-06-05 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Systems and methods for performing operations on a computing device |
-
2015
- 2015-02-24 US US14/630,435 patent/US9697349B2/en active Active
- 2015-02-26 US US14/633,097 patent/US9754098B2/en active Active
- 2015-10-15 CN CN201580058141.1A patent/CN107111702B/zh active Active
- 2015-10-15 EP EP15785019.9A patent/EP3210175A1/en active Pending
- 2015-10-15 WO PCT/US2015/055619 patent/WO2016069272A1/en active Application Filing
-
2017
- 2017-01-17 US US15/408,410 patent/US10216919B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101836185A (zh) * | 2007-10-25 | 2010-09-15 | 国际商业机器公司 | 用于企业搜索的实时交互式授权 |
CN101763479A (zh) * | 2008-12-22 | 2010-06-30 | 赛门铁克公司 | 自适应数据丢失防护策略 |
Also Published As
Publication number | Publication date |
---|---|
US20160117517A1 (en) | 2016-04-28 |
WO2016069272A1 (en) | 2016-05-06 |
EP3210175A1 (en) | 2017-08-30 |
US9697349B2 (en) | 2017-07-04 |
CN107111702A (zh) | 2017-08-29 |
US20160117495A1 (en) | 2016-04-28 |
US10216919B2 (en) | 2019-02-26 |
US9754098B2 (en) | 2017-09-05 |
US20170126697A1 (en) | 2017-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107111702B (zh) | 协同环境中针对数据丢失防护的访问阻止 | |
US10789204B2 (en) | Enterprise-level data protection with variable data granularity and data disclosure control with hierarchical summarization, topical structuring, and traversal audit | |
US10691505B2 (en) | Software bot conflict-resolution service agent | |
EP3133507A1 (en) | Context-based data classification | |
CN107113183B (zh) | 大数据的受控共享的***和方法 | |
US9697352B1 (en) | Incident response management system and method | |
US8539604B2 (en) | Method, system and program product for versioning access control settings | |
US11023432B2 (en) | Filter suggestion for selective data import | |
AU2017208203A1 (en) | Customizable secure data exchange environment | |
US10915662B2 (en) | Data de-identification based on detection of allowable configurations for data de-identification processes | |
US20090222879A1 (en) | Super policy in information protection systems | |
US9471665B2 (en) | Unified system for real-time coordination of content-object action items across devices | |
DE112019001433T5 (de) | Datenanonymisierung | |
US11985137B2 (en) | Real-time management of access controls | |
US11336628B2 (en) | Methods and systems for securing organizational assets in a shared computing environment | |
EP2667564A1 (en) | Method and system for enabling multi-level policies enforcement | |
US10095220B1 (en) | Modifying user tools to include control code for implementing a common control layer | |
US12041062B2 (en) | Systems for securely tracking incident data and automatically generating data incident reports using collaboration rooms with dynamic tenancy | |
US20230412611A1 (en) | Systems for Securely Tracking Incident Data and Automatically Generating Data Incident Reports Using Collaboration Rooms with Dynamic Tenancy | |
US20230421567A1 (en) | Systems for Securely Tracking Incident Data and Automatically Generating Data Incident Reports Using Collaboration Rooms with Dynamic Tenancy | |
US11469907B2 (en) | Systems and methods for collection of electronically signed data | |
EP2565814B1 (en) | Assigning access rights in enterprise digital rights management systems | |
Zhezhnych et al. | On restricted set of DML operations in an ERP System’s database |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |