DE112011100626T5 - Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA) - Google Patents

Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA) Download PDF

Info

Publication number
DE112011100626T5
DE112011100626T5 DE112011100626T DE112011100626T DE112011100626T5 DE 112011100626 T5 DE112011100626 T5 DE 112011100626T5 DE 112011100626 T DE112011100626 T DE 112011100626T DE 112011100626 T DE112011100626 T DE 112011100626T DE 112011100626 T5 DE112011100626 T5 DE 112011100626T5
Authority
DE
Germany
Prior art keywords
policy
communication
content
participant
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE112011100626T
Other languages
English (en)
Inventor
Kevin J. Kennedy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Inc
Original Assignee
Avaya Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Inc filed Critical Avaya Inc
Publication of DE112011100626T5 publication Critical patent/DE112011100626T5/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Game Theory and Decision Science (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Es werden ein System und ein Verfahren bereitgestellt, um mögliche Verletzungen von Unternehmensrichtlinien und/oder -regeln durch Teilnehmer zu überwachen und zu verhindern.

Description

  • QUERVERWEIS AUF VERWANDTE ANMELDUNG
  • Diese Anmeldung beansprucht die Vorteile der vorläufigen US-Patentanmeldung Nr. 61/306,685, eingereicht am 22. Februar 2010 unter demselben Titel, die durch diesen Verweis in ihrer Gesamtheit hierin einbezogen wird.
  • GEBIET
  • Die Offenbarung betrifft im Allgemeinen Unternehmensnetze und insbesondere die automatisierte Richtlinienerzeugung, -überwachung, -verfolgung, -durchsetzung und die Korrektur von Richtlinienverletzungen.
  • ALLGEMEINER STAND DER TECHNIK
  • Die Kontrolle von sensiblem Kommunikationsverkehr, Dateien und anderem Inhalt ist ein allgemein bekanntes Problem. Es gibt viele Produkte, die sich eines Teils des Problems annehmen. Eine vollständig sichere, vollkommen erweiterbare Lösung ist nicht bekannt und mag nie verfügbar sein. Dies liegt an den fotografischen, Papierkopie-, mündlichen und anderen schwer zu kontrollierenden Informationsverteilungsmechanismen.
  • Virtuelle Private Netze („VPN”) gewährleisten Kommunikationsverbindungen innerhalb einer beschränkten Gruppe über ein logisches Overlay auf einem vorhandenen Netz. Tunnel oder sichere Verbindungen zwischen den Knoten des VPN werden durch das vorhandene Netz geschaffen. Während VPN mit Authentifizierung und Verschlüsselung arbeiten, sind solche Merkmale nicht zwingend notwendiger Bestandteil eines solchen Systems.
  • Es gibt zwei Hauptvariationen zum Thema VPN. Ein „Sicheres VPN” begrenzt den Zugang zu Kommunikationsverbindungen innerhalb der beschränkten Gruppe mit eindeutiger Authentifizierung und Dateiverschlüsselung unter Verwendung solcher Protokolle wie Internet Protocol Security („IPSec”), Point-to-Point-Tunneling Protocol („PPTP”) und Secure Sockets Layer („SSL”). Sichere VPN sind der faktische Standard für Offsite-Kommunikationsverbindungen für Unternehmen und andere Organisationen, die Sicherheitsmerkmale benötigen, während das Internet verwendet wird. Die andere Form eines VPN ist das „Verschlüsselte VPN”, das typischerweise eine bestimmte Dienstgüte (Quality of Service – „QoS”) garantiert. Protokolle für verschlüsselte VPN schließen Asynchronous Transfer Mode („ATM”), Frame Relay und MultiProtocol Label Switching („MPLS”) ein, sind aber nicht darauf begrenzt. Sichere VPN beschäftigen sich nicht mit Kommunikations- und Anhangverteilung, Zugriffskontrolle, Verwendung, Verfolgung, kontrollierter externer Freigabe von bestimmten Informationen oder zeitgesteuerter Verteilung unter Berücksichtigung anderer zeitlicher Ereignisse. Sichere VPN lassen sich nicht leicht um Teilnehmer außerhalb des VPN-Vertrauenskreises (außerhalb der Firewall) erweitern, ohne zusätzliche Sicherheitsrisiken einzugehen. VPN berücksichtigen nicht die Beschaffenheit von Bedrohungen oder Informationslecks, die für bestimmte Kommunikationsmodi oder -medien spezifisch und einzigartig unter denselben sind. Ferner sind VPN nicht auf alle Formen von Kommunikationsverbindungen anwendbar.
  • Dokumentenkontrollsysteme versuchen, eine einzige Quelldokument-Hinterlegungsstelle mit Veränderungsverwaltung und Versionskontrolle bereitzustellen. Einige der Dokumente sind nur für ein kontrolliertes Publikum innerhalb einer Unternehmensfirewall zugänglich, während andere für alle Unternehmensgeschäftspartner zugänglich sind und noch andere öffentlich zugänglich sein können. Ein solches System hilft bei Dokumentationskonformitätsproblemen wesentlich, kann aber nicht bei der Gesamtkontrolle von sensiblem Kommunikationsverkehr und -inhalt innerhalb einer kontrollierten Gruppe helfen, weil es nicht auf den Kommunikationsverkehr erweitert werden kann. Ferner gibt es keine Verfolgung von Dokumenten, sobald sie aus dem Dokumentenkontrollsystem kopiert sind.
  • Es gibt Unternehmen, die sich auf den Schutz vor Datenverlust (Data Loss Protection – „DLP”) spezialisiert haben, wie Sophos (Ultimaco). Sophos bietet ein unternehmensweites Sicherheitssystem, genannt SafeGuard Enterprise 5.40TM, das DLP, Geräteverschlüsselung (einschließlich Wechselmedien), Datenaustausch, Konfigurationsschutz, Partnerverbindungsfähigkeiten, File-Sharing sowie Zugriff und Nutzung von verschlüsselten Daten durch Telearbeiter ermöglicht, alles konfiguriert um einen zentralisierten Verwaltungszentralen-Verteiler, der rollenbasierte Richtliniendurchsetzung, zentralisierte Verwaltung und Datenberichterstattung durchführen kann. Sophos bietet ebenfalls LANCryptTM, das die Erweiterung des Schutzes von vertraulichen Daten auf Dateiserver und Netzfreigaben ermöglicht. Sophos bietet diese Fähigkeiten durch das Laden von Software auf mobile und stationäre Geräte und die Durchführung der Verschlüsselung aller Dateien, die auf solchen Geräten enthalten sind. Daher ist es im Wesentlichen ein Endpunkt- oder gerätebasiertes Datensicherheitssystem, das über zusätzliche Software-Erzeugnisse auf Server und E-Mail erweitert werden kann. Es hat den Nachteil, der mit einer vollen Verschlüsselung verknüpft ist, nämlich eine beträchtliche Verarbeitungslast, die für das gesamte Unternehmen hinzugefügt wird. Es hat den Vorteil, dass es sich mit in der Industrie führenden Merkmalen von Betriebssystem-/Arbeitsplatzrechner-Sicherheitsmerkmalen („OS/PC”), wie beispielsweise der Laufwerksverschlüsselung von Microsoft („MS”) Windows VistaTM und Win7 BitLockerTM oder der Lenovo ThinkVantageTM-Sicherheit, integrieren lässt. Sophos hat ebenfalls eine sichere Speicherung, Austausch und Wiederherstellung von verschlüsselten Daten über gemischte Geräte- und Betriebssystemumgebungen durch übergeordnete Schlüsselverwaltung. Sophos bietet die SafeGuard PrivateCryptoTM. Funktionalität, die einen sicheren Austausch von Daten und E-Mail-Anhängen mit Firmenanwendergruppen ermöglicht, ohne zusätzliche Passworte zu erfordern.
  • Während die Sophos-Suite mit den Sicherheitsmerkmalen das in der Industrie führende Paket ist, hat sie einen bedeutsamen Mehraufwand in Bezug auf die Zeit, die erforderlich ist, um die Software zu laden, die Dateien zu verschlüsseln und alle Endpunkte zu verwalten. Sie ist nicht leicht auf dienstorientierte Architekturen (Service-Oriented Architectures – „SOA”) und die sich dort entwickelnden Standards zu erweitern. Sie ist mehr für die Handhabung von äußeren Bedrohungen (Eindringen in das Unternehmen und Einführen von Schadsoftware) und Geräteverlust ausgelegt als für eine koordinierte, sichere, richtlinienbasierte Kommunikationsumgebungsanwendung mit gemischten Medien und der vollen Skala von Zusammenarbeitsmechanismen. Sie erreicht ebenfalls keine vollständige Unternehmenssicherheitsanwendung dadurch, dass sie nicht alle Formen von Sprach- und Video-, Sozialnetz-, Blog-/Mikroblog- und anderen nicht E-Mail-basierten Kommunikationsverbindungen abdeckt. Daher stellt sie, obwohl sie eine leistungsstarke Produkt-Suite ist, kein System bereit, das sicher ist, wenn alle Kommunikationsmedien, -modalitäten und -architekturen vollständig berücksichtigt werden. Schließlich lässt es sich nicht in vorhandene Dokumentenkontrollsysteme und Sprachverschlüsselungssysteme einbinden.
  • Es sind ebenfalls Echtzeit- und paketbasierte Sprachkommunikationssicherheitssysteme bekannt. Sie erfordern entweder anwendereigene Hardware oder Software-Installation. Einige sind halbduplex, und andere sind vollduplex. Sie können sich an das drahtgebundene öffentliche Fernsprechwählnetz (Public Switch Telephone Network – „PSTN”), das drahtlose PSTN oder funkbasierte Standards richten. Einige nutzen Echtzeit (Time Division Multiplexing („TDM”) oder andere Modulationsschemata), während andere auf Voice over Internet Protocol („VoIP”) und sonstige Nicht-Echtzeit-Sprachkommunikationen zugreifen. Keines der öffentlich verfügbaren Systeme überprüft und verfolgt solche Kommunikationssitzungen oder authentifiziert alle Teilnehmer in einer komplexen Echtzeit-Sitzung, wie beispielsweise einer Konferenzverbindung mit mehreren Standorten und mehreren Teilnehmern an jedem Standort. Kein bekanntes Sprachverschlüsselungssystem lässt sich mit anderen Sicherheitserzeugnissen koordinieren, um eine Kommunikationsgesamtsicherheit durchzusetzen.
  • Dienstorientierte Architekturen (Service-Oriented Architectures – „SOA”) ermöglichen unterschiedliche Wege zum Entwickeln von Anwendungen durch das Kombinieren von Diensten. Das Grundprinzip der SOA liegt in der Beseitigung von Anwendungsgrenzen und Technologie-Unterschieden. Wenn Anwendungen erweitert werden, wird Sicherheit jedoch zu einem Problem. Herkömmlicherweise sind Sicherheitsmodelle fest in Anwendungen einprogrammiert worden, und wenn die Fähigkeiten einer Anwendung für eine Verwendung durch andere Anwendungen geöffnet werden, mögen die in jede Anwendung eingebauten Sicherheitsmodelle nicht gut genug sein. Mehrere sich entwickelnde Technologien und Standards versuchen, sich mit unterschiedlichen Aspekten des Problems der Sicherheit in SOA zu beschäftigen. Standards wie beispielsweise Web Service Security („WS-Security”), Security Assertion Markup Language (”SAML”), Web Service Trust (”WST”), Web ServiceSecureConversation und Web Service SecurityPolice konzentrieren sich auf die Sicherheits- und Identitätsverwaltungsaspekte der SOA-Umsetzungen, die Webdienste verwenden. Technologien wie beispielsweise die virtuelle Organisation von Grid-Computing, anwendungsorientierte Vernetzung (Application-oriented networking – „AON”) und Gateways für erweiterbare Auszeichnungssprache (extensible markup language – „XML”) beschäftigen sich ebenfalls in dem größeren Zusammenhang mit dem Problem der SOA-Sicherheit. XML-Gateways sind hardware- oder softwarebasierte Lösungen für das Durchsetzen von Identität und Sicherheit für Webdienste auf der Grundlage von Simple Object Access Protocol („SOAP”), XML und Representation State Transfer („REST”), üblicherweise an der äußeren Netzbegrenzung. Ein XML-Gateway ist eine dedizierte Anwendung, die eine zentralisiertere Herangehensweise an die Durchsetzung von Sicherheit und Identität ermöglicht, ähnlich wie eine Protokoll-Firewall an der äußeren Begrenzung eines Netzes für eine zentralisierte Zugriffskontrolle auf den Ebenen von Verbindung und Port eingesetzt wird. XML-Gateway-SOA-Sicherheitsmerkmale schließen Private Key Infrastructure („PKI”), digitale Signatur, Verschlüsselung, XML-Schemenüberprüfung, Virenschutz und Mustererkennung ein. Eine regulierende Zertifizierung für XML-Gateway-Sicherheitsmerkmale wird durch den Federal Information Processing Standard („FIPS”) und das Verteidigungsministerium (Department of Defense – „DoD”) bereitgestellt. Während für die SOA-Sicherheit spezifische Themen berücksichtigt und als Standards vorgeschlagen werden, gibt es keinen Vorschlag für eine Integration solcher Protokolle und Standards in das Gesamtgewebe von Kommunikationssicherheit oder das Rationalisieren der Unterschiede, die von SOA verlangt werden, wenn die volle Skala von Medien, Modus, Örtlichkeit und dergleichen berücksichtigt wird.
  • Wenn die Sicherheitsauswirkungen von fortgeschrittenen Kommunikations- und Zusammenarbeitsparadigmen, wie beispielsweise Google WaveTM, berücksichtigt werden, wird das gesamte Sicherheitsproblem sogar noch komplexer. Der Grund dafür ist, das Wave-Anwender Dokumente anhängen können, von denen einige geschützt sein mögen und andere nicht. Alle solche Anhänge werden für die Angehörigen der Wave zugänglich gemacht. Google Wave setzt Sicherheit über ein Einladungs- oder Beteiligungsparadigma durch, wobei die Handlung des Hinzufügens eines Teilnehmers zu einer Wave oder einem Wavelet diesen Teilnehmer dazu berechtigt, Zugang zu dem Inhalt darin zu haben und dazu beizutragen. Durch die Beschaffenheit als ein Einladungs- oder Beteiligungssicherheitssystem werden Abbrüche mit anderen Sicherheitssystemen, die verwaltungs- oder kontrollbasiert sind, erzeugt. Zusätzlich gewährleistet Google Waves wenig Schutz vor denjenigen Teilnehmern, die sich nicht an Sicherheitsrichtlinien des Unternehmens oder der anderen Organisation halten. Im Ergebnis dessen bietet Google Waves ein weiteres unzusammenhängendes Sicherheitssystem dar, das nicht unter laufender zentralisierter Kontrolle steht.
  • KURZDARSTELLUNG
  • Diesem und anderem Bedarf wenden sich die verschiedenen Aspekte, Ausführungsformen und/oder Konfigurationen der vorliegenden Offenbarung zu. Die vorliegende Offenbarung betrifft die Überwachung und/oder Durchsetzung von Richtlinienkonformität, insbesondere in Unternehmensnetzen.
  • Bei einer Ausführungsform hat ein Unternehmensnetz eine Vielzahl von Teilnehmern, eine Vielzahl von Knoten und einen Richtlinien-Enforcement-Server, um Richtlinien und/oder Regeln eines Unternehmens, das dem Unternehmensnetz entspricht, durchzusetzen. Jeder Knoten schließt einen jeweiligen Richtlinienagenten zum Überwachen und/oder Verfolgen des Verhaltens des entsprechenden Knotens und/oder eines mit dem entsprechenden Knoten verknüpften Teilnehmers ein. Ein erster Richtlinienagent von der Vielzahl von Richtlinienagenten entspricht einem ersten Knoten und einem ersten Teilnehmer und identifiziert einen Verhaltensvorgang, der möglicherweise für eine Richtlinie und/oder Regel relevant ist. Der erste Richtlinienagent benachrichtigt den Richtlinien-Enforcement-Server über den festgestellten Verhaltensvorgang und der Richtlinien-Enforcement-Server wendet eine Richtlinie und/oder eine Regel auf den festgestellten Verhaltensvorgang an, wodurch eine Richtlinienmaßnahme umgesetzt wird.
  • In einer Konfiguration wird für die Richtliniendurchsetzung ein Richtlinien-Tag verwendet. Das Richtlinien-Tag kann eine Vielzahl von unterschiedlichen Arten von Informationen einschließen, wie beispielsweise eines oder mehrere von dem Folgenden:
    eine Persönlichkeit und/oder Rolle des ersten Teilnehmers,
    eine Persönlichkeit und/oder Rolle von einem oder mehreren ausgewählten Teilnehmern, einen Grad des Vertrauens des Unternehmensnetzes zu einem oder mehreren ausgewählten Teilnehmern,
    eine Fähigkeit, Bereitstellung und/oder Präferenz eines Kommunikationsgeräts des ersten Teilnehmers und/oder von einem oder mehreren ausgewählten Teilnehmern,
    einen Kontext des ersten Teilnehmers und/oder von einem oder mehreren ausgewählten Teilnehmern,
    einen Kontext des Kommunikationsgeräts des ersten Teilnehmers und/oder von einem oder mehreren ausgewählten Teilnehmern,
    eine vorhandene Richtlinienmaßnahme, ausgewählt durch den ersten Teilnehmer für eine oder mehrere der ausgewählten Kommunikationen und den Inhalt,
    eine Örtlichkeit für eine oder mehrere der ausgewählten Kommunikationen und den Inhalt, um sie für den einen oder die mehreren ausgewählten Teilnehmer zugänglich zu machen, eine Beschreibung von einer oder mehreren der ausgewählten Kommunikationen und dem Inhalt,
    einen Kontext von einer oder mehreren der ausgewählten Kommunikationen und/oder dem Inhalt,
    eine Richtlinie und/oder eine Regel, die für eine oder mehrere der ausgewählten Kommunikationen und den Inhalt relevant sind.
  • In einer Konfiguration wird eine Richtlinienmaßnahme, typischerweise empfangen von dem Richtlinien-Enforcement-Server, dazu verwendet, sich mit einer tatsächlichen oder möglichen Richtlinien- oder Regelverletzung zu beschäftigen. Die Richtlinienmaßnahme schließt gewöhnlich eines oder mehreres von dem Folgenden ein:
    die Modifikation einer vorhandenen Sicherheitsmaßnahme für eine oder mehrere der ausgewählten Kommunikationen und/oder den Inhalt,
    die Umsetzung einer neuen und/oder einer zusätzlichen Sicherheitsmaßnahme für die ausgewählte Kommunikation und/oder den Inhalt,
    die Verwendung eines anderen Netzpfades und/oder Kanals als des gegenwärtig ausgewählten, um die Übermittlung oder Übertragung von einer oder mehreren der ausgewählten Kommunikationen und dem Inhalt zu veranlassen,
    das Blockieren, Verzögern und/oder Puffern von einer oder mehreren der ausgewählten Kommunikationen und dem Inhalt,
    das Einbetten eines Flags, das einen Bereich von redundanter oder prozessorintensiver Verschlüsselung oder Sicherheitstranscodierung anzeigt,
    das Verhindern eines Zugriffs auf eine oder mehrere der ausgewählten Kommunikationen und den Inhalt durch einen oder mehrere ausgewählte Teilnehmer,
    das Verhindern, dass ein Teilnehmer den ausgewählten Inhalt in eine Kommunikation wählt, das Gewährleisten eines Nur-Lese-Zugriffs auf eine oder mehrere der ausgewählten Kommunikationen und den Inhalt,
    das Festsetzen einer Sprungbeschränkung auf eine oder mehrere der ausgewählten Kommunikationen und/oder den Inhalt, wodurch, wenn die Sprungbeschränkung erfüllt oder überschritten wird und/oder ein Sprungzähler bis zu einem ausgewählten Wert heraufgezählt oder heruntergezählt wird, dass eine oder die mehreren der ausgewählten Kommunikationen und der Inhalt gesperrt oder auf andere Weise an der Weitersendung an einen vorgesehenen Empfänger gehindert werden,
    das Abbrechen eines Kommunikationskanals vor der Übermittlung von einer oder mehreren der ausgewählten Kommunikationen und dem Inhalt,
    das Umleiten von einer oder mehreren der ausgewählten Kommunikationen und des Inhalts zu einem anderen Ziel,
    das Anzeigen unterschiedlicher Teile von einer oder mehreren der ausgewählten Kommunikationen und dem Inhalt für unterschiedliche Teilnehmer auf der Grundlage eines jeweiligen Grades von Vertrauen oder Berechtigung jedes Teilnehmers.
  • Bei einer Ausführungsform stellt ein Unternehmensknoten fest, dass ein ausgewählter Anreiz aufgetreten ist, wobei der Anreiz einem oder mehreren Abläufen eines ausgewählten Zeitintervalls und dem Auftreten eines Ereignisses entspricht, das für einen Sensitivitätsgrad von einer ausgewählten Kommunikation und/oder einem Inhalt für ein Unternehmen, das dem Unternehmensnetz entspricht, relevant ist, und als Reaktion darauf eine Sicherheitsanforderung, die mit der ausgewählten Kommunikation und/oder dem Inhalt verknüpft ist, verändert.
  • Die Sicherheitsanforderung kann eine oder mehrere einer Authentifizierungsanforderung sein, um auf die ausgewählte Kommunikation und/oder den Inhalt zuzugreifen, einer Begrenzung auf mögliche Empfänger von der ausgewählten Kommunikation und/oder dem Inhalt und einer Kryptografieanforderung sein.
  • Beispiele von Sicherheitsanforderungen schließen Folgendes ein:
    ob eine Authentifizierung erforderlich ist,
    welche(r) Grad und/oder Typ(en) einer Authentifizierung erforderlich sind,
    ob eine schwarze Liste zu verwenden ist,
    was für eine schwarze Liste zu verwenden ist,
    ob eine weiße Liste zu verwenden ist,
    welche weiße Liste zu verwenden ist,
    ob eine Zugriffskontrolle zu verwenden ist,
    welche Zugriffskontrolle zu verwenden ist,
    ob Verschlüsselung zu verwenden ist,
    eine zu verwendende Verschlüsselungsebene und/oder -stärke,
    welcher Verschlüsselungsalgorithmus zu verwenden ist,
    ein zu verwendendes Kommunikationsmedium,
    ein zu verwendender Kommunikationspfad und/oder
    eine zu verwendende Kommunikationsmodalität.
  • Bei einer Ausführungsform filtert ein Knoten Anforderungen, eine ausgewählte Kommunikation und/oder einen Inhalt zu senden und/oder einen Nichtteilnehmer mit Zugriff auf die ausgewählte Kommunikation und/oder den Inhalt zu versorgen, gegenüber einer Vielzahl von vertrauenswürdigen Gruppierungen, um festzustellen, ob der Nichtteilnehmer ein Angehöriger einer vertrauenswürdigen Gruppe ist. Der Nichtteilnehmer wird mit der ausgewählten Kommunikation und/oder dem Inhalt versorgt, wenn er ein Angehöriger einer vertrauenswürdigen Gruppe ist, und wird davon eingeschränkt, wenigstens einen Teil von der ausgewählten Kommunikation und/oder dem Inhalt zu empfangen und/oder darauf zuzugreifen, wenn er nicht in der vertrauenswürdigen Gruppe ist oder in einer vertrauenswürdigen Gruppe ist, die nicht dazu berechtigt ist, die Informationen zu empfangen. Der Nichtteilnehmer kann ein Angehöriger von mehreren vertrauenswürdigen Gruppen sein, auf der Grundlage der Beschaffenheit der Beziehung des Nichtteilnehmers mit dem Unternehmen. Beispiele solcher Beziehungen schließen die Beteiligung an einer Geschäftseinrichtung, einem Projektteam, einem Vorstand, einem Gremium, der Arbeitsgruppe, einem Geschäftsteam und einem Handelskonzern ein.
  • Vertrauenswürdige Gruppen werden typischerweise auf der Grundlage von einem oder mehreren von einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einer Firewall, einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einem Gateway, einer Definition und/oder einer Konfiguration des virtuellen privaten Netzes, einem elektronischen Verzeichnis für Telefonnummern, einem elektronischen Verzeichnis für E-Mail, einem elektronischen Unternehmensverzeichnis, einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einer Abwicklungsanwendung, einer Aufzeichnung des Unternehmenspersonals, einem Gehaltsabrechnungssystem des Unternehmens, einem Sicherheitsberechtigungsnachweis von einer internen und/oder Unternehmensnetzquelle, einem Identitätsserver, einer weißen Liste, einer schwarzen Liste, einer Zugriffskontrollliste und einer administrativen Einstellung gebildet.
  • In einer Konfiguration hat jeder Angehörige einer vertrauenswürdigen Gruppe einen jeweiligen Grad der durch das Unternehmen definierten Vertrauenseinstufung, derart, dass zwei oder mehr Angehörige der vertrauenswürdigen Gruppe unterschiedliche jeweilige Grade der Vertrauenseinstufung haben. Jede vertrauenswürdige Gruppe kann ebenfalls einen jeweiligen Grad der Vertrauenseinstufung durch das Unternehmen haben derart, dass sie eine bestimmte Art von sensiblen Informationen empfangen kann, aber andere Arten nicht.
  • In einer Konfiguration ist die Lebensdauer der vertrauenswürdigen Gruppen zeitlich definiert oder ereignisbasiert. Die vertrauenswürdige Gruppe würde nach dem Auftreten eines Anreizes, nämlich (a) eines vorbestimmten Ereignisses, das einen Grad des Vertrauens zwischen dem Unternehmen und dem Nichtteilnehmer nachteilig beeinflusst, und/oder (b) dem Ablauf eines bestimmten Zeitraums, anerkannt werden oder nicht mehr anerkannt werden. Falls die vertrauenswürdige Gruppe endet oder ein Angehöriger der vertrauenswürdigen Gruppe ausscheidet, bestünde ein Sicherheitsmechanismus entweder für alle Gruppenangehörigen oder für den ausgeschiedenen Angehörigen wenigstens in einer von gelöschter, deaktivierter und verweigerter Berechtigung zur Ausführung. Für den Fall, dass die vertrauenswürdige Gruppe geschaffen wird oder ein neuer Angehöriger zu der Gruppe hinzugefügt wird, bestünde ein Sicherheitsmechanismus entweder für alle Gruppenangehörigen oder den neuen Angehörigen wenigstens in einer von geschaffener, aktivierter und erteilter Berechtigung zur Ausführung.
  • Die offenbarten Aspekte, Ausführungsformen und/oder Konfigurationen können eine übergreifende Überwachung und Durchsetzung von Richtlinien- und Regelkonformität, insbesondere eine Kommunikationssicherheitskontrolle sowohl für die Fernsprech- als auch für die Datenverarbeitungswelt bereitstellen. Die übergreifende Kommunikationssicherheitskontrolle könnte ein einzelner Prozessorkomplex oder eine Kombination von vorhandenen Prozessoren sein, die unter Verwendung von geeigneten Protokollen, wie beispielsweise XML, SIP und anderen, zusammenarbeiten. Sie könnte aus zentralisierten, hierarchischen oder verteilten gleichwertigen Knoten bestehen. Dies kann durchgeführt werden mit einem Sicherheitszusammenschluss durch das Bilden von vertrauenswürdigen Datenverarbeitungsgruppen für mehrere Domänen (logisch oder physikalisch), wobei jede andere Sicherheitsanforderungen oder -parameter hat. Der Zusammenschluss erfordert eine gemeinsame Sprache, um die Merkmale zu beschreiben, und die Fähigkeit, entweder die Kommunikationsverbindungen für das Netz, die Anwendung oder die Architektur zu verarbeiten oder alternativ dazu zu ermöglichen, dass der Absender dies tut, über eine Eingabe während der Zusammenstellung der ausgewählten Kommunikation und/oder des Inhalts.
  • Der Richtlinien-Enforcement-Server kann zuvor nicht kompatible Sicherheitsschemata, wie beispielsweise diejenigen für SOA, Google WaveTM und andere, erkennen und (über Richtlinien- und Sicherheitstranscodierung) rationalisieren. Der Richtlinien-Enforcement-Server würde durch die Unternehmensstruktur oder den Zusammenschluss das zugrunde liegende Sicherheitsverfahren des Netzes, der Anwendung oder der Architektur kennen. Auf der Grundlage einer Anzahl von Faktoren, wie beispielsweise der Netzgrenzüberschreitung und der Identitäten des Absenders und des/der Empfänger, kann der Richtlinien-Enforcement-Server feststellen, ob Verschlüsselung, Löschung (der Kommunikation und/oder ausgewählter Anhänge), Vermeidung von redundanter Sicherheitstranscodierung oder eine andere Handlung erforderlich ist.
  • Die vorliegende Offenbarung kann in Abhängigkeit von dem bestimmten Aspekt, der Ausführungsform und/oder der Konfiguration eine Anzahl von anderen Vorteilen bereitstellen. Zum Beispiel kann sich der Richtlinien-Enforcement-Server mit Kommunikations- und Anhangverteilung, Zugriffskontrolle, Verwendung, Verfolgung, kontrollierter externer Freigabe von bestimmten Informationen oder zeitgesteuerter Verteilung unter Berücksichtigung anderer zeitlicher Ereignisse beschäftigen. Der Richtlinien-Enforcement-Server kann die Beschaffenheit von Bedrohungen oder Informationslecks, die für bestimmte Kommunikationsmodi oder -medien spezifisch und einzigartig unter denselben sind, berücksichtigen. Der Richtlinien-Enforcement-Server kann die Beschaffenheit der Bedrohung abtasten und bewerten und über die besten Medien und auf der Grundlage der Anwesenheit und des Standortes des Anwenders Rundsendungsankündigungen in dem Format weiterleiten, um den Anwender zu warnen. Falls zum Beispiel eine Bedrohung in dem/den E-Mail-Server(n) erkannt wird und ein bestimmter Anwender über die Anwesenheit an einem Mobiltelefon erkannt wird, kann es ein Anruf bei dieser Mobiltelefonnummer ermöglichen, dass der Anwender reagiert und die angemessenen Maßnahmen in Bezug auf seine E-Mail ergreift, bevor er von der Bedrohung getroffen wird. Eine offenbarte Ausführungsform kann es ermöglichen, dass Sicherheitsmechanismen leicht auf Teilnehmer außerhalb eines VPN-Vertrauenskreises (außerhalb der Firewall) erweitert werden, ohne zusätzliche Sicherheitsrisiken einzugehen.
  • Diese und noch weitere Vorteile werden offensichtlich aus der Offenbarung.
  • Die Wendungen „wenigstens ein”, „ein oder mehr” und „und/oder” sind offene Ausdrücke, die in der Funktion sowohl verbindend als auch trennend sind. Zum Beispiel bedeutet jeder der Ausdrücke „wenigstens eines von A, B und C”, „wenigstens eines von A, B oder C”, „eines oder mehrere von A, B und C”, „eines oder mehrere von A, B oder C und „A, B und/oder C” A allein, B allein, C allein, A und B zusammen, A und C zusammen, B und C zusammen oder A, B und C zusammen.
  • Der Begriff „ein” oder „eine” Einheit bezieht sich auf eine oder mehrere dieser Einheit. Daher können die Begriffe „ein” (oder „eine”), „ein und mehr” und „wenigstens ein” hierin gegenseitig austauschbar verwendet werden. Es ist ebenfalls zu bemerken, dass die Begriffe „umfassend”, „einschließlich” und „aufweisend” gegenseitig austauschbar verwendet werden können.
  • Die Begriffe „Anwendung”, „Anwendungsprogramm” und „Softwareanwendung” beziehen sich auf Software, die für Geschäft oder Unterhaltung verwendet wird. Der Begriff bezieht sich auf praktisch jegliche Art von Programm, einschließlich von Tabellenkalkulationen wie beispielsweise ExcelTM, Textverarbeitungen wie beispielsweise WordTM, Kommunikationsmodulen wie beispielsweise Avaya SoftphoneTM, Nachrichtensofortversand-Plattformen und E-Mail-Plattformen, persönliche Datenmanager, Medienabspielprogramme wie beispielsweise iTunesTM, Web-Browsern wie beispielsweise Internet ExplorerTM und Spielen der virtuellen Realität wie beispielsweise Second LifeTM. Jedoch schließt der Begriff wesentliche Steuerungssoftware, wie beispielsweise das Betriebssystem, aus.
  • Der Begriff „automatisch” und Variationen desselben, wie sie hierin verwendet werden, beziehen sich auf jeglichen Vorgang oder jegliche Operation, die ohne eine wesentliche menschliche Eingabe auskommt, wenn der Vorgang oder die Operation ausgeführt wird. Jedoch kann ein Vorgang oder eine Operation automatisch sein, selbst wenn die Durchführung des Vorgangs oder der Operation eine wesentliche oder unwesentliche menschliche Eingabe verwendet, falls die Eingabe vor der Durchführung des Vorgangs oder der Operation empfangen wird. Eine menschliche Eingabe ist als wesentlich zu betrachten, falls eine solche Eingabe beeinflusst, wie der Vorgang oder die Operation durchgeführt wird. Eine menschliche Eingabe, die der Durchführung des Vorgangs oder der Operation zustimmt, ist nicht als „wesentlich” zu betrachten.
  • Der Begriff „Anrufprotokoll” bezieht sich auf eine Sammlung oder Liste von ankommenden und/oder abgehenden Anrufen. Ein Anruf wird typischerweise durch Zeitstempel (z. B. Datum und Zeitpunkt des Anrufaufbaus, der Beendigung oder des Empfangs), Anrufdauer, angerufene Nummer, anrufende Nummer, Identität des Angerufenen und/oder Identität des Anrufenden beschrieben.
  • Ein „Klassentreiber” ist eine Art von Treiber, der eine große Anzahl von unterschiedlichen Geräten von einer weitgehend ähnlichen Art betreiben kann. Zum Beispiel kann er eine Basis- oder Vorgängerklasse für spezifische Treiber sein, die eine geringfügig unterschiedliche oder erweiterte Funktionalität haben müssen, die aber Nutzen aus dem Großteil der durch den Klassentreiber bereitgestellten Funktionalität ziehen können.
  • Die Wendung „Kommunikationsmodus” oder „Kommunikationsmodalität” bezieht sich auf eine bestimmte Weise des Kommunizierens. Zum Beispiel ist E-Mail ein erster Kommunikationsmodus, Nachrichten-Sofortversand ein zweiter, digitale Sprachübertragung ein dritter, Voice over IP ein vierter, Fax ein fünfter und Tweeten ein sechster.
  • Der Begriff „rechnerlesbares Medium”, wie er hierin verwendet wird, bezieht sich auf jegliches dingliche Speicher- und/oder Übertragungsmedium, das daran beteiligt ist, für einen Prozessor Anweisungen zur Ausführung bereitzustellen. Ein solches Medium kann viele Formen annehmen, insbesondere die Form nicht flüchtiger Medien, flüchtiger Medien und Übertragungsmedien. Nicht flüchtige Medien schließen zum Beispiel NVRAM oder magnetische oder optische Platten ein. Flüchtige Medien schließen dynamischen Speicher, wie beispielsweise Hauptspeicher, ein. Verbreitete Formen von rechnerlesbaren Medien schließen zum Beispiel eine Floppy-Disk, eine flexible Platte, eine Festplatte, ein Magnetband oder ein beliebiges anderes magnetisches Medium, magneto-optisches Medium, eine CD-ROM, ein beliebiges anderes optisches Medium, Lochkarten, Papierband, ein beliebiges anderes physisches Medium mit Lochmustern, ein RAM, einen PROM und EPROM, einen FLASH-EPROM, ein Festkörper-Medium wie eine Speicherkarte, eine(n) beliebige(n) andere(n) Speicherchip oder -kassette, eine Trägerwelle, wie im Folgenden beschrieben, oder ein beliebiges anderes Medium, von dem ein Rechner lesen kann, ein. Ein digitaler Dateianhang an eine E-Mail oder ein anderes in sich geschlossenes Informationsarchiv oder eine Menge von Archiven wird als ein Verteilungsmedium betrachtet, das einem dinglichen Speichermedium gleichwertig ist. Wenn die rechnerlesbaren Medien als eine Datenbank konfiguriert sind, versteht es sich, dass die Datenbank eine beliebige Form von Datenbank, wie beispielsweise relational, hierarchisch, objektorientiert und/oder dergleichen, sein kann. Dementsprechend wird davon ausgegangen, dass die Erfindung ein dingliches Speichermedium oder Verteilungsmedium und nach dem Stand der Technik anerkannte Äquivalente und Nachfolgemedien, in denen die Software-Umsetzungen der vorliegenden Erfindung gespeichert sind, einschließt. Der Begriff „Rechnersicherheit” bezieht sich auf das Sicherstellen der Verfügbarkeit und des richtigen Betriebs eines Rechnersystems, ohne Sorge um die auf dem Rechner gespeicherten oder verarbeiteten Informationen.
  • Der Begriff „Kommunikation” bezieht sich auf jegliche elektronische Sprach-, Text- und/oder Video-Kommunikation, wie beispielsweise einen Sprachanruf, eine E-Mail, eine Sofortnachricht, einen Text-Chat, einen VoIP-Anruf und dergleichen.
  • Die Begriffe „bestimmen”, „berechnen” und „ausrechnen” und Variationen derselben, wie sie hierin verwendet werden, werden gegenseitig austauschbar verwendet und schließen jegliche Art von Methodologie, Verfahren, mathematischer Operation oder Technik ein.
  • Der Begriff „Treiber” bezieht sich auf Logik (typischerweise als Software umgesetzt), die es einem Rechnerprogramm einer höheren Ebene ermöglicht, mit einem Hardwaregerät in Wechselwirkung zu treten. Ein Treiber kommuniziert typischerweise durch einen Rechnerbus oder ein Kommunikationssubsystem, mit dem die Hardware verbunden ist, mit dem Gerät. Wenn ein anrufendes Programm eine Routine in dem Treiber aufruft, gibt der Treiber eine Anweisung an das Gerät aus. Sobald das Gerät Daten zurück an den Treiber sendet, kann der Treiber Routinen in dem ursprünglich anrufenden Programm aufrufen. Der Begriff „elektronische Adresse” bezieht sich auf jegliche kontaktierbare Adresse, einschließlich einer Telefonnummer, einer Sofortnachrichtenkennung, einer E-Mail-Adresse, eines Universal Resource Locators („URL”), eines Universal Resource Identifiers („URI”), einer Address of Record („AoR”), eines elektronischen Pseudonyms in einer Datenbank, wie Adressen, und Kombinationen derselben.
  • Der Begriff „Maschine” bezieht sich auf ein Programm, das eine Kern- oder wesentliche Funktion für andere Programme ausführt. Er wird ebenfalls dafür verwendet, ein Spezialprogramm zu beschreiben, das einen Algorithmus enthält, der manchmal verändert werden kann. Zum Beispiel kann eine Maschine ein zentrales oder im Brennpunkt stehendes Programm in einem Betriebssystem, einem Subsystem oder einem Anwendungsprogramm sein, das den Gesamtbetrieb von anderen Programmen koordiniert. Die am besten bekannte Verwendung ist der Begriff „Suchmaschine”, die einen Algorithmus dafür verwendet, einen Index von Gegenständen zu durchsuchen, wenn ein Suchparameter gegeben ist. Eine Suchmaschine ist so ausgelegt, dass ihre Herangehensweise an das Durchsuchen des Indexes verändert werden kann, so dass sie neue Regeln zum Finden und Priorisieren von Treffern in dem Index wiederspiegelt. In der künstlichen Intelligenz wird das Programm, das Regeln der Logik dafür verwendet, eine Ausgabe aus einer Wissensbasis abzuleiten, eine „Inferenzmaschine” genannt.
  • Der Begriff „Unternehmensnetz” bezieht sich auf ein typischerweise geografisch verteiltes Rechnernetz unter der Zuständigkeit oder Kontrolle einer Organisation. Es schließt häufig mehrere unterschiedliche Arten von Netzen und Rechnersystemen von unterschiedlichen Lieferanten ein.
  • Der Begriff „Hyperlink” bezieht sich auf einen Verweis auf ein Dokument, dem der Leser unmittelbar folgen kann oder dem automatisch gefolgt wird. Der Verweis weist auf ein ganzes Dokument oder auf ein spezifisches Element innerhalb eines Dokuments hin. Hypertext ist Text mit Hyperlinks. Ein solcher Text wird üblicherweise mit einem Rechner betrachtet. Ein Hyperlink hat einen Anker, der eine Position innerhalb eines Dokuments ist, von der aus dem Hyperlink gefolgt werden kann; dieses Dokument ist als sein Ursprungsdokument bekannt. Das Ziel eines Hyperlinks ist das Dokument oder die Position innerhalb eines Dokuments, wohin der Hyperlink führt. Der Anwender kann dem Link folgen, wenn sein Anker gezeigt wird, durch das Aktivieren desselben. Durch das Folgen wird das Ziel angezeigt, häufig mit Kontext. In einigen Hypertexten können Hyperlinks bidirektional sein; das heißt, ihnen kann in zwei Richtungen gefolgt werden, so dass beide Punkte als Anker und als Ziele agieren. Es gibt komplexere Anordnungen, wie beispielsweise Many-to-Many-Links.
  • Der Begriff „Informationssicherheit” bedeutet das Schützen von Informationen und Informationssystemen vor Zugriff, Verwendung, Offenbarung, Störung, Modifikation, Durchsicht, Prüfung, Aufzeichnung oder Zerstörung, die nicht genehmigt sind.
  • Die Begriffe „Sofortnachricht” und „Nachrichten-Sofortversand” beziehen sich auf eine Form der Echtzeit-Textkommunikation zwischen zwei oder mehr Menschen, typischerweise auf der Grundlage von eingetipptem Text. Die Sofortnachricht wird durch ein Nachrichten-Sofortversand-Programm befördert, das durch einen Dienst, wie beispielsweise AOLTM MSN MessengerTM, Yahoo! MessengerTM, Live MessengerTM und Apples iChatTM angeboten wird. Im Allgemeinen ist in der Nachrichten-Sofortversand-Software die Fähigkeit eingeschlossen zu sehen, ob ein ausgewählter Freund, Mitarbeiter oder eine andere ausgewählte Person (bekannt als ein „Buddy”) online und durch den ausgewählten Dienst verbunden ist. Der Nachrichten-Sofortversand unterscheidet sich von gewöhnlicher E-Mail in der Unmittelbarkeit des Nachrichtenaustauschs und macht ebenfalls einen fortgesetzten Austausch einfacher als das Versenden von E-Mail hin und her. Der Nachrichten-Sofortversand ist ebenfalls, anders als E-Mail, im Allgemeinen zustandslos. Die meisten Austausche sind nur Text, obwohl einige Dienste jetzt Sprachnachrichtenversand, File-Sharing und sogar Video-Chat (wenn beide Anwender Kameras haben) ermöglichen. Damit der Nachrichten-Sofortversand funktioniert, müssen beide Anwender zur gleichen Zeit online sein, und der vorgesehene Empfänger muss gewillt sein, Sofortnachrichten anzunehmen. Ein Versuch, jemandem, der nicht online ist (oder offline ist) oder der nicht gewillt ist, Sofortnachrichten anzunehmen, eine Sofortnachricht zu schicken, wird zu einer Mitteilung führen, dass die Übertragung nicht durchgeführt werden kann. Falls die Online-Software eingestellt ist, Sofortnachrichten anzunehmen, macht sie den Empfänger mit einem markanten Klang aufmerksam und stellt ein Fenster bereit, das zugleich anzeigt, dass eine Sofortnachricht angekommen ist. Das Fenster ermöglicht es dem Empfänger die ankommende Sofortnachricht anzunehmen oder abzuweisen. Es wird davon ausgegangen, dass eine Sofortnachrichtensitzung sich trennt oder getrennt wird, wenn der Anwender offline geht, es ablehnt, eine Sofortnachricht anzunehmen, oder ausgesetzt wird dadurch, dass der Anwender nach einem vorbestimmten Zeitraum, nachdem eine Sofortnachricht gesendet und/oder empfangen wird, nicht auf eine Sofortnachricht antwortet. Es wird davon ausgegangen, dass eine Sofortnachrichtensitzung wieder hergestellt wird (oder es wird davon ausgegangen, dass ein Rückruf erfolgt), wenn der Anwender die Nachrichten-Sofortversandsitzung, wie beispielsweise durch das Antworten auf eine ausstehende Sofortnachricht, wieder aufnimmt.
  • Der Begriff „Link” bezieht sich auf einen Verweis von einer Position auf eine andere Position. Die Position kann zum Beispiel eine elektronische Adresse, eine Datenspeicheradresse, ein Universal Resource Locator, ein Universal Resource Indicator und dergleichen sein. Allgemeine Beispiele von Links schließen Hyperlinks ein.
  • Der Begriff „Symboltelefon” bezieht sich auf einen Verweis auf ein Kommunikationsgerät, das eine symbolische Abbildung eines ausgewählten Objekts, wie beispielsweise einer Gerätefähigkeit, eines Kommunikationsmediums, eines virtuellen oder geografischen Standorts und dergleichen, anzeigt. Ein Beispiel ist, wenn ein Kommunikationsgerät eine Konferenz durch die Kommunikationsfähigkeiten und -begrenzungen jedes teilnehmenden Knotens reichhaltig anzeigt.
  • Der Begriff „Modul”, wie er hierin verwendet wird, bezieht sich auf jegliche bekannte oder später entwickelte Hardware, Software, Firmware, künstliche Intelligenz, unscharfe Logik oder Kombination von Hardware und Software, die dazu in der Lage ist, die mit diesem Element verbundene Funktionalität zu leisten. Außerdem sollte, während die Ausführungsformen bezogen auf Beispiele beschrieben werden, zu erkennen sein, dass einzelne Aspekte der Ausführungsformen gesondert beansprucht werden können.
  • Der Begriff „Anwesenheitsinformationen” bezieht sich auf jegliche Informationen, die mit einem Netzknoten und/oder einem Endgerät, wie beispielsweise einem Kommunikationsgerät, verknüpft sind, der/das wiederum mit einer Person oder Identität verknüpft ist. Eine verbreitete Form von Anwesenheitsinformationen ist ein Zustandsanzeiger der Anwesenheit des Anwenders. Der Zustandsanzeiger ist in dem Erreichbarkeitsdatensatz (Presentity genannt) des Anwenders gespeichert und wird für andere Anwender zugänglich gemacht, um seine Erreichbarkeit für eine Kommunikation zu übertragen. Anwesenheitsinformationen können einen Anwenderzustand (z. B. online oder offline), die Anwendererreichbarkeit (z. B. erreichbar, beschäftigt, am Telefon oder weg zum Mittagessen), das gewünschte Kontaktmittel des Anwenders (z. B. Nachrichten-Sofortversand, leitungsvermitteltes Telefon, paketvermitteltes Telefon, Mobiltelefon, Anrufmelder usw.), das sich je nach Identität des Kontaktierenden und/oder die Kontaktzeit verändern kann, anzeigen und an welchem Endpunkt ein Kontaktierender am wahrscheinlichsten den Anwesenheitsdienst-Teilnehmer erfolgreich erreicht. Die Anwesenheitsinformationen können sich über eine Anzahl von unterschiedlichen Kommunikationskanälen erstrecken. Die gesammelte Übersicht der Anwesenheit eines Anwenders (das heißt, die Erreichbarkeit über alle SIP-fähigen Geräte eines Individuums) wird Mehrfach-Einwählknoten (Multiple Points of Presence) oder MPOP genannt. Beispiele von Informationen, die nützlich sind beim Bestimmen der Anwesenheit und Erreichbarkeit eines Anwenders schließen Informationen bezüglich der Erreichbarkeit des Endgeräts, der Aktualität der Verwendung des Endgeräts durch die Person, der Aktualität der Authentifizierung durch die Person bei einem Netzbestandteil, der Aktualität der Registrierung eines Endgeräts, eines Endpunkts, der Anwesenheitsinformationen veröffentlicht, durch einen Anwenderagenten in dem Endgerät des Anwenders erzeugter ANMELDUNGs-Anforderungen, des geografischen Standorts des Anwenders unter Verwendung von Mobilgerät-Standortinformationen, geplanter Aktivitäten im Kalender des Anwenders, Hinweise darauf, ob ein Anwender E-Mail gelesen oder gesendet hat oder nicht, und einen Hinweis darauf, ob die E-Mail-Anwendung des Anwenders eine Abwesenheitseinstellung hat oder nicht, ein. Eine Anwesenheitsinformation kann zum Beispiel die elektronische Adresse eines Geräts sein, von dem anzunehmen ist, dass der Dienstteilnehmer daran anwesend und/oder erreichbar ist.
  • Die Begriffe „Online-Gemeinschaft”, „E-Gemeinschaft” oder „virtuelle Gemeinschaft” bedeuten eine Gruppe von Menschen, die zu sozialen, beruflichen, erzieherischen oder anderen Zwecken hauptsächlich über ein Rechnernetz statt von Angesicht zu Angesicht in Interaktion treten. Die Interaktion kann eine Vielzahl von Medienformaten, einschließlich von Wikis, Chatrooms, Internetforen, Nachrichten-Sofortversand, E-Mail und anderen Formen elektronischer Medien, verwenden. Viele Medienformate werden in sozialer Software gesondert oder in Kombination verwendet, einschließlich von textbasierten Chatrooms und Foren, die Sprache, Videotext oder Avatare verwenden.
  • Der Begriff „Sicherheit” bezieht sich sowohl auf Informations- als auch auf Rechnersicherheit.
  • Der Begriff „dienstorientierte Architektur” oder „SOA” bezieht sich auf eine Sammlung von Diensten. Diese Dienste kommunizieren miteinander. Die Kommunikation kann entweder einfache Datenübergabe und/oder zwei oder mehr Dienste, die eine Aktivität koordinieren, einschließen.
  • Der Begriff „sozialer Netzdienst” bezeichnet einen Dienstanbieter, der Online-Gemeinschaften von Menschen aufbaut, die Interessen und/oder Aktivitäten teilen oder die daran interessiert sind, die Interessen und Aktivitäten anderer zu erkunden. Die meisten sozialen Netzdienste sind webbasiert und stellen eine Vielzahl von Wegen, damit Anwender in Interaktion treten, wie beispielsweise E-Mail- und Nachrichten-Sofortversand-Dienste, bereit.
  • Der Begriff „soziales Netz” bezieht sich auf ein webbasiertes soziales Netz.
  • Der Begriff „Teilnehmer” bezeichnet ein Individuum, das sich normalerweise in einem Vertrauensverhältnis mit einem Unternehmen befindet, das es ihm ermöglicht, Zugriff auf das Unternehmensnetz zu haben und in demselben zu interagieren, und/oder das normalerweise eine bestimmte Zugriffsebene auf sensible Unternehmensinformationen erhält, versorgt über ein(en) oder mehrere Kommunikationsmedien/-modi, die durch das Unternehmen bereitgestellt und/oder verwendet werden und die ein Vertrauensverhältnis mit dem Unternehmen erfordern. Normalerweise bezieht sich ein Teilnehmer auf eine Person, die ein oder mehrere Kommunikationsgeräte hat, die durch ein Unternehmensnetz kontrolliert werden. „Kontrolle” schließt, ohne Begrenzung, eine oder mehrere von Diensthandlungen durch das Unternehmensnetz, Registrierung bei demselben und Anmeldung bei demselben ein. Normalerweise hat ein Teilnehmer ein Kommunikationsgerät, das sich innerhalb einer logischen und/oder physischen Vertrauensgrenze des Unternehmensnetzes befindet. Die Vertrauensgrenze kann durch eines oder mehrere von einer Firewall, einem Gateway, einer Definition und/oder Konfiguration eines lokalen Netzes, einer Definition und/oder Konfiguration eines virtuellen privaten Netzes, einer demilitarisierten Zone, einer Definition und/oder Konfiguration eines Eingrenzungsnetzes und dergleichen definiert sein.
  • Der Begriff „synchronisiert” bedeutet im Zusammenhang von Datenbanken das zeitweilige Halten von ausgewählten Feldern in den Aufzeichnungen der einen Datenbank auf dem aktuellen Stand in Bezug auf Veränderungen bei den durch die andere Datenbank in den ausgewählten oder gleichwertigen Feldern gespeicherten Daten.
  • Der Begriff „Token” oder „Kennzeichen” bezieht sich auf einen Behälter von Informationen, der zwischen Datenverarbeitungsknoten übermittelt werden kann und/oder mit einer Menge von Informationen, wie beispielsweise einem Dokument, einer Kommunikation, einer Datei, einer Verknüpfung, einer Anwendung, einem Sharepoint, einem Blog, einem Mikroblog, einem Really-Simple-Syndicated-(„RSS”-)Feed und dergleichen verknüpft werden kann. Kennzeichen sind üblicherweise eine Art von Metadaten, die beschreibend für selektive Informationen sind. Kennzeichen haben normalerweise die Form einer erweiterbaren Auszeichnungssprache (Extensible Markup Language – „XML”) oder einer anderen Auszeichnungssprache.
  • Der Begriff „VoIP” bezieht sich auf eine Familie von Übertragungstechnologien zum Übermitteln von paketierten Sprachmitteilungen über IP-Netze, wie beispielsweise das Internet oder andere paketvermittelte Netze anstatt des öffentlichen Fernsprechwählnetzes (public switched telephone network – PSTN). Andere Begriffe, die häufig zu finden und synonym zu VoIP sind, sind IP-Fernsprechen, Internet-Fernsprechen, Sprache-über-Breitband (voice over broadband – VOBB), Breitband-Fernsprechen und Breitband-Telefon. Verbreitete Protokolle für VoIP schließen H.323 und das Session Initiation Protocol ein.
  • Das Vorstehende ist eine vereinfachte Zusammenfassung der Offenbarung, um ein Verständnis einiger Aspekte der Offenbarung zu gewährleisten. Diese Zusammenfassung ist weder eine umfassende noch eine vollständige Übersicht der Offenbarung und ihrer verschiedenen Ausführungsformen. Sie ist weder dafür vorgesehen, entscheidende oder wesentliche Elemente der Offenbarung zu identifizieren, noch dafür, den Rahmen der Offenbarung zu umreißen, sondern dafür, ausgewählte Konzepte der Offenbarung in einer vereinfachten Form als eine Einführung zu der weiter unten dargestellten ausführlicheren Beschreibung zu geben. Wie zu erkennen sein wird, sind unter Benutzung eines oder mehrerer der weiter oben dargelegten oder weiter unten ausführlich beschriebenen Merkmale andere Aspekte, Ausführungsformen und/oder Konfigurationen der Offenbarung allein oder in Kombination möglich.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockdiagramm einer Netzarchitektur nach einer Ausführungsform,
  • 2 bildet einen Richtlinienagenten nach einer Ausführungsform ab,
  • 3 bildet ein Ablaufdiagramm nach einer Ausführungsform ab, und
  • 4 bildet ein Ablaufdiagramm nach einer Ausführungsform ab,
  • 5 bildet ein Ablaufdiagramm nach einer Ausführungsform ab,
  • 6 bildet ein Ablaufdiagramm nach einer Ausführungsform ab, und
  • 7 bildet ein Ablaufdiagramm nach einer Ausführungsform ab.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Übersicht der Systemarchitektur
  • Die Offenbarung stellt in verschiedenen Aspekten, Ausführungsformen und Konfigurationen, ein System und ein Verfahren zum Ausführen einer Vielfalt von Operationen, die weiter unten ausführlicher erörtert werden, bereit. Die verschiedenen Aspekte, Ausführungsformen und Konfigurationen betreffen die automatische Richtlinien- und/oder Regelerzeugung, die Richtlinienüberwachung, -verfolgung und -durchsetzung und die Korrektur von Richtlinienverletzungen. In einem Aspekt organisiert und koordiniert ein umfassendes Kommunikationssicherheitssystem eine Unzahl von gegenwärtig nicht kompatiblen Sicherheitsverfahren und -systemen innerhalb einer komplexen multimedialen, multimodalen und/oder multilokalen Kommunikationsumgebung, um eine ausgewählte Kommunikation und/oder einen Inhalt zu sichern. Im Einzelnen wird eine Kombination von spezialisierten, hoch intelligenten Kommunikationsprozessoren (wie beispielsweise der Avaya Aura Communications ManagerTM und/oder der Avaya Aura Session ManagerTM), Unternehmens-E-Mail-Anwendungen (wie beispielsweise Microsoft OutlookTM oder dergleichen), anderen anwendungsspezifischen Nachrichtenversand-Anwendungen (wie beispielsweise Avaya Modular MessagingTM) über eine Anwendung und/oder Hardware miteinander verbunden, um übergreifende Kommunikationssicherheit intelligent durchzusetzen. Erweiterbare Auszeichnungssprachen (Extensible Markup Languages – „XML”) sind in vielen Formen nahezu ein faktischer Standard für das Rationalisieren von unterschiedlichen Kommunikationseinrichtungen und -protokollen. Wenn sie in Verbindung mit dem Richtlinien-Enforcement-Server verwendet werden, können XML und ihre vielen Variationen es ermöglichen, dass Architekturen mit gemischten Lieferanten, wie beispielsweise Avaya AuraTM eine übergreifende Sicherheitsstruktur für alle Kommunikationsverbindungen anbieten.
  • Bei einer Umsetzung überwacht, verfolgt und vermeldet der Richtlinien-Enforcement-Server systemweite Kommunikationsverbindungen, strukturiert Teilnehmer als innerhalb oder außerhalb eines Unternehmensnetzes befindlich, ermöglicht mehrere Ebenen anderer Gruppierungen, wie beispielsweise Organisationen, Projektteams, Strukturebenen, Sicherheitsgenehmigungen, Teilnehmer mit einem Bedarf, bestimmte Informationen zu kennen, und dergleichen, empfängt Eingaben von externen Quellen, wie beispielsweise Online-Gemeinschaften, sozialen Netzen, Anwesenheitsdiensten und dergleichen, um zusätzliche Struktureinzelheiten und andere Ad-hoc-Gruppierungs- oder Zusammenarbeitsinformationen bereitzustellen, bestimmt und analysiert Kommunikationssicherheitsanforderungen ungeachtet der Form der ausgewählten Kommunikation, stellt fest, ob vorhandene Sicherheitsmaßnahem oder Dateischutzprotokolle für die ausgewählte Kommunikation und/oder den Inhalt angemessen sind, bestimmt ein optimales Netz, um eine Übertragung zu bewirken, auf der Grundlage von Faktoren, welche die Sicherheitsanforderungen für die ausgewählte Kommunikation und/oder den Inhalt einschließen, stellt fest, ob die vorgesehenen Empfänger alle dazu berechtigt sind, die ausgewählte Kommunikation und/oder den Inhalt zu empfangen, unabhängig davon, ob der Empfänger ein Individuum oder ein Gruppenangehöriger ist, vergleicht das Datum, die Zeit und den Inhalt der ausgewählten Kommunikation mit bestimmten zeitlichen Faktoren, die als Pforten für den Empfängerzugriff auf die Kommunikation und/oder den Inhalt agieren können, berücksichtigt die vorgesehene Örtlichkeit der ausgewählten Kommunikation beim Erlauben oder Sperren einer Veröffentlichung an der Örtlichkeit, erzeugt auf intelligente Weise Richtlinien und Regeln durch das Beobachten von System- und Anwenderverhalten, erlaubt oder ermöglicht das Senden von sensiblen Informationen an einen Teilnehmer außerhalb einer normalen Vertrauenssphäre oder der Umgrenzung des Unternehmensnetzes, ohne Firewall-Berechtigungen oder eine dauerhafte Sicherheitsanwendung auf den Empfänger zu erweitern, bietet Rundsendungswarnungen an die Angehörigen einer definierten Gruppe als Reaktion auf erkannte Richtlinienverletzungen, verknüpft zu anderen Servern, anwendungsspezifischen Prozessoren, Nachrichtenversandsystemen, Speicher- und anderen solchen Systemen, um die Sicherheit zu koordinieren, unterbricht und löscht oder markiert einen Teil oder die Gesamtheit einer Kommunikation und/oder eines Inhalts auf der Grundlage der Richtlinien und/oder kennzeichnet Bereiche von redundanter und prozessorintensiver Verschlüsselung oder Sicherheitstranscodierung.
  • Bei Sicherheitsanwendungen kann eine ausgewählte Kommunikation und/oder ein Inhalt viele Formen annehmen, die ohne Begrenzung eine Software-Anwendung, eine elektronische Kalkulationstabelle, eine elektronische Datei, eine Aufzeichnung oder ein Dokument (z. B. ein Textverarbeitungsdokument, Notizen von früheren Treffen und dergleichen), ein Bild, eine Web-Verknüpfung oder -Seite, einen Sharepoint, einen Blog, einen Mikroblog, ein Really-Simple-Syndication-(„RSS”-)Feed, eine Einzel- und/oder Multimedia-Kommunikation (z. B. Sprachmails, E-Mails, Sofortnachrichten und dergleichen), Kommunikationsgeschichten und andere elektronische Formen von Informationen einschließen.
  • Eine Vielzahl von Richtlinienagenten, die über eine Vielzahl von Unternehmensnetzknoten, wie beispielsweise Kommunikationsgeräte, Firewalls und Gateways, Anwendungsserver, verteilt sind, verfolgt, definiert und überwacht das Anwender- und/oder das Systemverhalten. Solche Richtlinienagenten überprüfen und kennzeichnen zum Beispiel Kommunikationen und anderen Inhalt und stellen die Richtlinien-Tag wahlweise mit der entsprechenden Kommunikation und/oder dem Inhalt für den Richtlinien-Enforcement-Server bereit.
  • In einer Konfiguration weist ein Richtlinienagent einen Erstellungsmodus oder alternativ dazu einen Puffer auf, so dass Sicherheitsrückmeldung, wie beispielsweise Warnungen bei einem Verstoß gegen die Richtlinien, Verschlüsselung, Formatänderung (Sicherheitstranscodierung) und/oder Berechtigungen bereitgestellt werden. Der Richtlinienagent kann eine Richtliniendurchsetzung ausführen, wie beispielsweise Kommunikationen vor der Übermittlung oder Verbindung puffern, während der Richtlinien-Enforcement-Server die passende(n) Richtlinienmaßnahme(n) bestimmt. Solche Fähigkeiten sind zuvor bei Echtzeit-Kommunikationsverbindungen auf Grund des normalen Wählplans nicht möglich gewesen. Einige spezialisierte sichere Telefone und sichere Leitungen mögen Sicherheitsfähigkeiten geboten haben, aber dies war nicht weithin verfügbar für alle Angehörigen einer Gruppe, insbesondere bei Verwendung von generischer und allgemein verfügbarer Hardware. Mit der Einführung von Geräten mit grafischen Wählsymbolen ist es möglich, eine Rückmeldung oder eine Eingabe bereitzustellen, bevor der Anruf oder eine andere Kommunikationssitzung ausgelöst wird. Da solche neuen grafischen Telefone mehr Verarbeitungsleistung als herkömmliche Telefone (Plain Old Telephones – „POTs”) haben, sind sie dazu in der Lage, hoch in zentralisierte Fernsprechprozessoren für Merkmale, Koordination und Zusammenarbeit integriert zu werden. Im Gegensatz zu herkömmlichen Telefonen, die spezialisierte sichere Telefone und Leitungen erfordern, sind Symboltelefone mit grafischer Wahl leicht für alle Angehörigen einer Gruppe oder eines Unternehmens verfügbar. In einer Konfiguration sind Richtlinienagenten in einem Treiber, häufig in einem Klassentreiber, umgesetzt, um dieses Niveau an Kontrolle zu ermöglichen. Das Klassentreiberverhalten kann sich auf der Grundlage einer Kommunikation mit dem Richtlinien-Enforcement-Server verändern. Dies würde es ermöglichen, dass der Kontext, der Inhalt und die erweiterte globale Adressenliste in den Filterungsmechanismus eingebunden werden. Zum Beispiel könnte die Anwenderschnittstelle im Fall einer möglichen Richtlinien- oder Regelverletzung die Nachricht sperren oder den Anwender warnen.
  • Die verschiedenen Aspekte, Ausführungsformen und Konfigurationen in dieser Offenbarung werden weiter unten in Verbindung mit einem beispielhaften Kommunikationssystem illustriert. Obwohl sie gut für eine Verwendung z. B. mit einem System geeignet ist, das (einen) Server und/oder (eine) Datenbank(en) verwendet, ist die vorliegende Offenbarung nicht auf eine Verwendung mit irgendeiner bestimmten Art von Kommunikationssystem oder Konfiguration von Systemelementen begrenzt. Die Fachleute auf dem Gebiet werden erkennen, dass die offenbarten Techniken in jeder beliebigen Anwendung verwendet werden können, bei der es wünschenswert ist, verbundene und sich zeitlich verändernde Multimedia-Informationen für eine Darstellung für einen Anwender zu sammeln und zu verknüpfen.
  • 1 bildet ein System 100 nach einer Ausführungsform ab. Unter Bezugnahme auf 1 steht ein Unternehmensnetz 104 über ein externes Netz 108 in Kommunikation mit einem Anwesenheitsdienst 112, einem oder mehreren externen Kommunikationsgerät(en) 116, einem sozialen Netz 124, (einer) Web-Suchmaschine(n) 130, anderen Unternehmensnetzen 134 und anderen über das Web erreichbaren Ressourcen 132.
  • Das externe Netz 108 kann eine beliebige Art von externem Netz sein, insbesondere leistungs- oder paketvermittelt, öffentlich und nicht vertrauenswürdig, privat oder VPN-basiert usw. Das externe Netz 108 ist vorzugsweise ein öffentliches paketvermitteltes und/oder leitungsvermitteltes Netz oder eine Reihe von Netzen. Bei einer Konfiguration ist das externe Netz 108 ein öffentliches Netz, das TCP/IP-Protokolle unterstützt.
  • Der Anwesenheitsdienst 112 schließt einen Anwesenheitsserver 160 und eine zugeordnete Anwesenheitsinformationsdatenbank 164 ein, die durch das Unternehmensnetz 104 betrieben werden können oder nicht (oder außerhalb desselben liegen können). Der Anwesenheitsserver 160 und die Anwesenheitsinformationsdatenbank 164 verfolgen zusammen die Anwesenheit und/oder die Erreichbarkeit von Anwesenheitsdienst-Teilnehmern und/oder deren Kommunikationsgeräten und stellen aktuelle Anwesenheitsinformationen bezüglich ausgewählter Anwesenheitsdienst-Teilnehmer für anfordernde Instanzen bereit. Die Anwesenheit kann die physische Standortverfolgung einer Person und/oder des zugeordneten Datenverarbeitungs- oder Kommunikationsgeräts der Person, wie beispielsweise durch ein Satelliten-Ortungssystem, einschließen. Beispiele von Satelliten-Ortungssystemen schließen das Global Positioning System („GPS”), das Compass Navigation System und das Galileo Positioning System ein. Wie zu erkennen sein wird, sind, wenn der Anwesenheitsdienst 112 außerhalb des Unternehmens liegt, die Anwesenheitsdienst-Teilnehmer von den Unternehmensteilnehmern unterschieden.
  • Das/die externe(n) Kommunikationsgerat(e) 116 kann/können ein beliebiges geeignetes leitungs- oder paketvermitteltes oder digitales (z. B. TDM-fähiges) Kommunikationsgerät sein. Beispiele schließen drahtgebundene und drahtlose Telefone, Mobiltelefone, Persönliche Digitale Assistenten oder PDA, Arbeitsplatzrechner oder PC, Laptops, paketbasierte H.320-Videotelefone und -konferenzgeräte, paketbasierte Sprach-Nachrichtensofortversand- und -beantwortungsfunktionen, Peer-to-Peer-basierte Kommunikationsgeräte, Symboltelefone mit grafischer Wahl und paketbasierte herkömmliche Rechner-Fernsprechassistenten ein.
  • Das soziale Netz 124 kann ein beliebiger sozialer Netzverbunddienst, einschließlich der weiter oben definierten, sein.
  • Die Web-Suchmaschinen 130 suchen im externen Netz 108 nach Informationen, einschließlich solchen, die durch die über das Web erreichbaren Ressourcen 132 bereitgestellt werden. Die Informationen können aus Webseiten, Bildern, Informationen und anderen Arten von Dateien bestehen. Einige Suchmaschinen durchsuchen auch Daten, die in Datenbänken oder offenen Verzeichnissen verfügbar sind. Anders als Webverzeichnisse, die durch menschliche Editoren verwaltet werden, arbeiten Suchmaschinen algorithmisch oder sind eine Mischung aus algorithmischer und menschlicher Eingabe. Die Web-Suchmaschinen 130 arbeiten typischerweise den Sequenzbetrieb von Durchforsten, Indexieren und Suchen ab. Zu den beispielhaften Suchmaschinen gehören Yahoo!TM GoogleTM, Internet ExplorerTM, BingTM, BaiduTM, AOLTM und NetscapeTM.
  • Die über das Web erreichbaren Ressourcen 132 beziehen sich auf jegliche indizierten oder auf andere Weise suchbaren Informationen oder Dienstleistungen, die im externen Netz 108 verfügbar sind. Die über das Web erreichbaren Ressourcen 132 schließen Informationen ein, die auf Web-Seiten, in Blogs, RSS-Feeds und dergleichen verfügbar sind.
  • Die anderen Unternehmensnetze 134 können anwendereigene Netze anderer Unternehmen und/oder geografisch abgelegene Unternetze des gleichen Unternehmens sein, die mit dem Unternehmensnetz 104 verknüpft sind.
  • Das Unternehmensnetz 104 umfasst einen Richtlinien-Enforcement-Server 136, einen Telekommunikationsswitch oder -server 140, ein Gateway 144 (das wahlweise eine Firewall-Funktionalität einschließt), ein Internet-Suchmodul 148, eine Unternehmensaufzeichnungssuchmaschine 152, einen oder mehrere Messaging Server 156 (wie beispielsweise einen (Unified) Messaging Server, Instant Messaging Server, E-Mail-Server und dergleichen), eine Unternehmensdatenbank 160, einen persönlichen Datenmanager 164, eine Vielzahl aus erstem, zweitem, ... p-tem Rechner 168a–p und eine Vielzahl aus erstem, zweitem, n-tem Kommunikationsgerät 172a–n, die durch ein (vertrauenswürdiges oder sicheres oder privates) internes Netz 178 miteinander verbunden sind.
  • Der Richtlinien-Enforcement-Server 136 überwacht das Verhalten des Unternehmensnetzes 104 und setzt Unternehmensrichtlinien und -regeln durch. Zum Beispiel können Richtlinien und/oder Regeln Sicherheitsregeln, Inhaltssicherheitshinweise, Konformitätskoordination, Zugriffsberechtigungen und dergleichen definieren.
  • Der Telekommunikationsswitch und/oder -server 140 kann eine Nebenstellenanlage, einen Unternehmensswitch, einen Unternehmensserver oder eine andere Art von Telekommunikationsswitch oder -server einschließen. Der Kommunikationsserver 140 ist vorzugsweise dafür konfiguriert, Telekommunikationsanwendungen, wie beispielsweise die Suites von MultiVantageTM- oder AuraTM-Anwendungen der Avaya, Inc., einschließlich Communication ManagerTM, Aura Communication ManagerTM, Avaya IP OfficeTM und MultiVantage ExpressTM, auszuführen. In dem Speicher des Telekommunikationsswitchs und/oder -servers 140 sind Anrufprotokolle (nicht gezeigt) eingeschlossen.
  • Der (Unified) Messaging Server 156 kann Merkmale bereitstellen, um Echtzeit-Sprach-, Video- und Textkommunikationsdienste, wie beispielsweise Nachrichtensofortversand, Chat, Telefonie (einschließlich IP-Telefonie) und Videokonferenz, mit Nicht-Echtzeit-Kommunikationsdiensten, wie beispielsweise Sprachnachrichten, E-Mail, SMS und Fax, zu integrieren.
  • Der persönliche Datenmanager 164 enthält, organisiert und/oder synchronisiert die persönlichen Daten des Teilnehmers, wie beispielsweise Kontaktinformationen oder Adressbücher, elektronische Kalender, persönliche Notizen, Listen (z. B. Aufgabenlisten), Erinnerungen, Textnachrichtenarchive, RSS-/Atom-Feeds, Warnungen und Projektmanagement. Ein beispielhafter persönlicher Datenmanager 164 ist OutlookTM der Microsoft, Inc. Ein elektronischer Kalender schließt, wie zu erkennen sein wird, geplante Ereignisse ein, die durch Datum und Zeit indiziert sind.
  • Der erste, zweite, ... p-te Rechner 168a–p können beliebige Rechnergeräte sein, wobei Arbeitsplatzrechner und Laptops zur Illustration dienen.
  • Das erste, zweite, ... n-te Kommunikationsgerät 172a–n kann den externen Kommunikationsgeräten 116 ähnlich sein. Bei einigen Ausführungsformen können die Kommunikationsgeräte 172a–n IP-fähige, SIP-fähige, digitale und/oder analoge Geräte sein. Beispiele geeigneter modifizierter IP-Telefone schließen die Telefone 1600TM, 2400TM 4600TM, 5400TM, 5600TM, 9600TM, 9620TM, 9630TM, 9640TM, 9640GTM, 9650TM und Quick EditionTM, drahtlose IP-Telefone (wie beispielsweise die IP-DECTTM-Telefone der Avaya, Inc.), Videotelefone (wie beispielsweise das VideophoneTM der Avaya, Inc.), Symboltelefone und Softphones der Avaya, Inc., ein. Andere Arten von geeigneten Kommunikationsgeräten 172a–n schließen, ohne Begrenzung, Mobiltelefone, analoge Telefone, digitale Telefone usw. ein.
  • Bei der anschließenden Erörterung bezieht sich „Unternehmenskommunikationsknoten” auf einen beliebigen Knoten im Unternehmensnetz 104, insbesondere auf den Telekommunikationsswitch und/oder -server 140, das Gateway 144, das Internet-Suchmoduls 148, die Unternehmensaufzeichnungssuchmaschine 152, den/die Nachrichtenversandserver 156, jeden vom ersten ... p-ten Rechner 168a–p und/oder das erste ... n-ten Kommunikationsgerät 172a–n.
  • Die Unternehmensdatenbank 160 enthält Unternehmensteilnehmer-Informationen, wie beispielsweise Name, Stellenbezeichnung, elektronische Adressinformationen (z. B. Telefonnummer, E-Mail-Adresse, Nachrichtensofortversand-Zugriffsnummer, Durchwahl-Nebenanschluss und dergleichen), Teilnehmer-Kontaktlisten (z. B. Kontaktname und elektronische Adressinformationen), andere Beschäftigtenaufzeichnungen, Suchergebnisse und dergleichen. Bei einer Konfiguration ist die Unternehmensdatenbank 160 entsprechend dem Lightweight-Directory-Access-Protocol konfiguriert.
  • Das Internet-Suchmodul 148 ist mit einer Web-Suchmaschine 130 verknüpft, um ein oder mehrere soziale Netze 124 und andere über das Web erreichbare Ressourcen 132 zum Beispiel nach Faktoren und Ereignissen in Bezug auf Richtlinien und/oder Regeln zu durchsuchen.
  • Die Unternehmensaufzeichnungssuchmaschine 152 indiziert und durchsucht Unternehmensaufzeichnungen und andere Informationsquellen zum Beispiel nach Faktoren und Ereignissen in Bezug auf Richtlinien und/oder Regeln. Beispiele von Informationsquellen auf Unternehmensebene und lokal gespeichert schließen den/die Nachrichtenversandserver 156, Anrufprotokolle, den ersten ... p-ten Rechner 168a–p, das erste ... n-te Kommunikationsgerät 172a–n, die Unternehmensdatenbank 160 und den persönlichen Datenmanager 164 ein. Die Unternehmensaufzeichnungssuchmaschine 152 kann auf eine ähnliche Weise wie eine Web-Suchmaschine konfiguriert sein. Mit anderen Worten, die Unternehmensaufzeichnungssuchmaschine 152 kann indizierte Informationen über mehrere Aufzeichnungen durch ein Webcrawler- oder spiderartiges Modul speichern (zum Beispiel werden mit den Aufzeichnungen verknüpfte Worte aus den Titeln, Überschriften oder Meta-Tags herausgezogen). Das Suchen wird anhand des Indexes durchgeführt.
  • Das Internet-Suchmodul 148 und die Unternehmensaufzeichnungssuchmaschine 152 können zum Beispiel nach diskreten Kommunikationen suchen und dieselben identifizieren, die ein Teil eines gemeinsamen Strangs sind, der einen oder mehrere Kommunizierende und/oder Kommunikationsgeräte einbezieht und mehrere Medien und Modalitäten überspannt, Kommunikationen und/oder anderen Inhalt identifizieren, die mit einem definierten Gegenstand oder Thema verbunden sind und/oder ein oder mehrere ausgewählte Individuen und/oder Kommunikationsgeräte einbeziehen, und andere Informationen identifizieren, die für einen oder mehrere ausgewählte Faktoren und Ereignisse relevant sind.
  • Der Richtlinien-Enforcement-Server
  • In dem Speicher des Richtlinien-Enforcement-Servers 136 sind eine Sicherheitsrichtlinien-Maschine 176, ein Steuerungsmodul 172, ein Verwaltungsmodul 180 und ein Analysemodul 184 eingeschlossen.
  • Die Sicherheitsrichtlinien-Maschine 176 empfängt Richtlinien und/oder Regeln von Administratoren, schafft, definiert oder erzeugt Richtlinien und/oder Regeln durch das intelligente (wie beispielsweise durch ein neuronales Netz) Überwachen von Anwender-, Unternehmens- und Unternehmensnetzverhalten und konfiguriert Gruppen von Ausdrücken, die den Richtlinien und/oder Regeln entsprechen. Die Gruppe von Ausdrücken, die einer ausgewählten Richtlinie und/oder Regel entspricht, definiert den oder die anwendbaren Faktoren und/oder Ereignisse, für welche die Richtlinie oder Regel gelten, und zählt die entsprechende(n) Maßnahme(n) auf, die auf das Erkennen eines Auftretens des oder der Faktoren und/oder Ereignisse hin zu ergreifen ist/sind. Die entsprechenden Maßnahmen betreffen eines oder mehrere von Richtlinien- oder Regelkonformität und Korrektur einer Richtlinien- oder Regelverletzung. Beispielhafte Richtlinien betreffen die Sicherheit, um die Vertraulichkeit, Integrität, Authentizität und/oder Verfügbarkeit von Unternehmensinformationen zu schützen, die Gesetzes- und/oder Regelkonformität (z. B. Ausfuhr- oder Einfuhrbeschränkungen), Vertragskonformität (z. B. die Konformität mit den Allgemeinen Geschäftsbedingungen des Vertrages), Inhaltssicherheitshinweise, Konformitätskoordination, Zugriffsberechtigungen und öffentliche oder halböffentliche Ankündigungen.
  • Eine verbreitete Art von Unternehmensrichtlinie und/oder -regel betrifft die Sicherheit. Sicherheitsrichtlinien und/oder -regeln für definierte Informationen könnten in der Form von Authentifizierung, Zugriffskontroll-Listen (z. B. weiße Listen, schwarze Listen, graue Listen usw.), nach dem Prinzip der geringsten Rechte, von Sicherheitsklassifizierungen von Personen und/oder Informationen (z. B. öffentlich, sensibel, privat, vertraulich, nicht klassifiziert, sensibel, aber nicht klassifiziert, eingeschränkt, vertraulich, geheim und streng geheim) und Kryptografie-Anforderungen (z. B. Nachrichten-Digests, digitale Signaturen, Nichtabstreitbarkeit und Verschlüsselung) ausgedrückt werden. Beispielhafte Richtlinien oder Regeln beinhalten Grenzen für die Darstellung der ausgewählten Kommunikation und/oder des Inhalts auf der Grundlage eines virtuellen oder räumlichen Standorts des Anwenders, der Anwenderrolle, -ebene oder -persönlichkeit und/oder des bestimmten Kommunikationsknotens, der sich gegenwärtig in Benutzung durch den Anwender befindet. Falls der Anwender zum Beispiel geschäftlich sensible Informationen an einem öffentlichen Ort zu betrachten versucht, würde eine Verwendungsbeschränkung den Zugriff auf die Informationen verhindern oder sperren, während sich der Anwender an dem öffentlichen Ort befindet. Bei einem anderen Beispiel würde, falls der Anwender versucht, geschäftlich sensible Informationen von seinem häuslichen Rechner aus zu betrachten, eine Verwendungsbeschränkung den Zugriff auf die Informationen verhindern oder sperren, während der Anwender durch seine Persönlichkeit „zu Hause” definiert ist. Bei einem anderen Beispiel würde eine Anwenderberechtigung einer Vielzahl von Angehörigen einer Arbeitsgruppe erlauben, auf die ausgewählte Kommunikation und/oder den Inhalt zuzugreifen.
  • Die Faktoren und Ereignisse, die beim Anwenden von Sicherheitsrichtlinien und/oder -regeln berücksichtigt werden, umfassen Teilnehmerpersönlichkeit und/oder -rolle, Persönlichkeit und/oder Rolle eines/von anderen Kommunizierenden und/oder Rolle, Vertrauensgrad, Gerätefähigkeiten, -bereitstellung und -präferenzen des Teilnehmers und/oder eines/von anderen Kommunizierenden, Teilnehmergerätekontext, vorhandene Richtlinienkonformitätsmaßnahmen, Örtlichkeit, Kontext des Teilnehmers und/oder eines/von anderen Kommunizierenden, Inhaltsbeschreibung, Kommunikations- und/oder Inhaltskontext, erkannte relevante Richtlinien und/oder Regeln, Empfehlung/Entscheidung und Verwendungsbeschränkungen und/oder -berechtigungen. Diese Faktoren werden weiter unten ausführlich beschrieben.
  • Das Steuerungsmodul 172 wendet die Richtlinien- und Regelausdrücke auf erkannte Vorkommen von Faktoren und Ereignissen an. Bei Sicherheitsanwendungen bestimmt das Steuerungsmodul 172 zum Beispiel Anforderungen für ausgewählten Inhalt und/oder Kommunikationen und schafft und aktualisiert Richtlinien-Tags, die an den ausgewählten Inhalt und/oder die Kommunikationen angehängt, in dieselben eingebettet oder auf andere Weise mit denselben verknüpft werden. Diese Feststellung schließt zum Beispiel das Feststellen der Angemessenheit von vorhandenen Sicherheitsmaßnahmen, das Bestimmen des erwünschten Verkehrsnetzes für die ausgewählte Kommunikation, das Rationalisieren (z. B. über Richtlinien- und Sicherheitstranscodierung) von nicht kompatiblen Sicherheitsschemata oder -maßnahmen und das Koordinieren von Sicherheitsmaßnahmen mit anderen Unternehmensnetzen 134 ein. Die Angemessenheit von vorhandenen Sicherheitsmaßnahmen kann unter Verwendung einer einfachen Regelmaschine, einer Regelmatrix, die Zeilen und Spalten von Sicherheitsschnittpunkten auflistet, und/oder einer künstlich intelligenten Maschine festgestellt werden.
  • Das Verwaltungsmodul 180 überwacht, verfolgt und vermeldet systemweite Kommunikationen und empfängt von dem Steuerungsmodul 172, protokolliert Vorkommen von Richtlinien- und/oder Regelverletzungen und sendet Mitteilungen darüber an festgelegte Empfänger. Beispielhafte Empfänger schließen die Sicherheitsrichtlinien-Maschine 176 (für eine künstlich intelligente Maschine 176), Teilnehmer, (einen) ausgewählte(n) Kommunikationsabsender und/oder -empfänger und Inhaltsanwender (ob Teilnehmer oder Nichtteilnehmer) und Verwaltungs- und/oder Informatikpersonal ein. In einer Konfiguration verfolgt das Verwaltungsmodul 180 nicht nur die Übermittlungsgeschichte von Kommunikationen, sondern ebenfalls die Übermittlungs- und Anwenderzugriffsgeschichte von Anhängen an Kommunikationen, die Erzeugungs-, Bearbeitungs- und/oder Zugriffsgeschichte von ausgewähltem Inhalt. Zur Veranschaulichung würde(n) das Verwaltungsmodul 180 und/oder das Analysemodul 184 die Handlung eines Teilnehmers A (der die Berechtigung hat, auf ein ausgewähltes sensibles Dokument zuzugreifen) verfolgen, der das sensible Dokument als E-Mail-Anhang an einen gleichermaßen berechtigten Teilnehmer B schickt, der den Anhang aus der E-Mail herauszieht und ihn an einen nicht berechtigten Teilnehmer C weiterleitet. In einer Konfiguration werden die Richtlinien- und/oder Regelverletzungsmitteilungen an ein oder mehrere ausgewählte Medien (die sich von dem der Verletzung ausgesetzten Medium unterscheiden können) gesendet. In einer Konfiguration leitet das Verwaltungsmodul 180 Berichte über vermutete Übergriffe und Konformitätsprobleme an Sicherheitspersonal weiter. In einer Konfiguration protokolliert das Verwaltungsmodul 180 eine Kennung oder ein Attribut der ausgewählten Kommunikation und/oder des Inhalts, einen jeweiligen Zeitstempel, der mit der Überprüfung, der Analyse und/oder der richtlinien- oder regelbasierten Entscheidung in Bezug auf die ausgewählte Kommunikation und/oder den Inhalt verknüpft ist, einen Grund hinter der richtlinien- oder regelbasierten Entscheidung oder Reaktion auf die ausgewählte Kommunikation und/oder den Inhalt, die Beschaffenheit der richtlinien- oder regelbasierten Entscheidung oder Reaktion auf die ausgewählte Kommunikation und/oder den Inhalt, ausgewählten Inhalt des Richtlinien-Tags 300 und/oder einen Pointer, eine Verknüpfung oder einen anderen Verweis auf den relevanten Richtlinien-Tag 300 und/oder die ausgewählte Kommunikation und/oder den Inhalt. Diese Informationen können durch Musteranalyse und andere bekannte Techniken Teilnehmer identifizieren, die wiederholt eine Richtlinie oder Regel verletzen, so dass eine korrigierende, strafende oder disziplinarische Maßnahme ergriffen werden kann. Das Analysemodul 184 analysiert ausgewählte Kommunikationen und Inhalt, um das Auftreten von vorher bestimmten Faktoren und Ereignissen zu identifizieren, wahlweise mögliche Richtlinien- und/oder Regelverletzungen zu identifizieren, wahlweise empfohlene Richtlinien- oder Regelmaßnahmen zu bestimmen und Richtlinien-Tags zu schaffen und zu aktualisieren, die an den ausgewählten Inhalt und/oder die Kommunikationen angehängt, in dieselben eingebettet oder auf andere Weise mit denselben verknüpft werden. Das Analysemodul 184 leitet den erstellten oder aktualisierten Richtlinien-Tag und wahlweise die ausgewählte Kommunikation und/oder den Inhalt an das Steuerungsmodul 172 zur Anwendung von Richtlinien und/oder Regeln weiter.
  • Der Richtlinienagent
  • In den Speichern von mehreren Kommunikationsknoten sind Richtlinienagenten 190 eingeschlossen. Die Richtlinienagenten 190 überwachen die Aktivitäten, die durch den entsprechenden Kommunikationsknoten ausgeführt werden, um das Auftreten von Faktoren und Ereignissen zu identifizieren. Für Kommunikationsknoten wie beispielsweise das Gateway 144 und die Nachrichtenversandserver 156 überwacht der Richtlinienagent 190 die Verarbeitung oder Behandlung von ankommenden und abgehenden Signalen, insbesondere Text- und Sprachnachrichten und Sprachsignale. Für Kommunikationsknoten wie beispielsweise den ersten ... p-ten Rechner 168a–p und das erste ... n-te Kommunikationsgerät 172a–n überwacht der Richtlinienagent 190 die Operationen der Schnittstelle zwischen dem Anwender und dem entsprechenden Gerät und stellt einen Erstellungsmodus für die ausgewählte Kommunikation und/oder den Inhalt bereit. In dem Erstellungsmodus überwacht der Richtlinienagent 190 die Teilnehmererstellung (z. B. Erzeugung oder Bearbeitung) einer ausgewählten Kommunikation und/oder eines Inhalts, um auf Richtlinien- und/oder Regelverletzungen zu überwachen.
  • Die überwachten Aktivitäten können jegliche ausgewählte Aktivität sein, die mit einer Richtlinie oder Regel verbunden ist, wie beispielsweise eine Kommunikation mit einem oder mehreren anderen Teilnehmern und die Vorbereitung eines Dokuments. Zum Beispiel kann der Richtlinienagent 190 gesendete E-Mail, gesendete Sofortnachrichten, gesendete Sprachkommunikationen, gesendete Sprachnachrichten, überarbeitete, erstellte und/oder aufbereitete Dokumente, Browser-Sitzungen und eine beliebige andere Form von Kommunikation überprüfen, deren Inhalt elektronisch erkannt werden kann. Die Überprüfung kann unter Verwendung von ausgewählten Schlüsselwörtern oder Sammlungen von Schlüsselwörtern, wobei jedes derselben verbunden ist mit einem vorbestimmten Gebiet, Thema oder Gegenstand, einem ausgewählten Symbol oder einer Menge von Symbolen, einem Wert oder einer Menge von Werten, einem Zeichen und/oder einer Menge von Zeichen zum Identifizieren von ausgewählter Grammatik, Syntax, Sprache, ausgewähltem Protokoll, ausgewählter Einstellung, ausgewähltem Merkmal und/oder ausgewählter Anwendung und/oder Unterbestandteil oder Funktion davon, einer ausgewählten Menge von Analyseregeln oder Logik zum Identifizieren des Kontextes, des Inhalts und/oder der Kommunikationsmodalität eines Signals. In einer Konfiguration können die Schüsselwörter durch einen Anwender und/oder ein Unternehmen ausgewählt werden.
  • Unter Bezugnahme auf 2 umfasst ein Richtlinienagent 190 ein Such-, Analyse- und Tagging-Modul 200 zum Durchsuchen und Analysieren von ausgewählten Kommunikationen und Inhalt, Verfolgen von Kommunikationen und ausgewähltem Inhalt auf der Geräteebene (einschließlich des Verfolgens von Kommunikationssträngen und Dokumentversionen) und Erzeugen von Richtlinien-Tags, welche die Ergebnisse enthalten, ein Warnmodul 204 zum Erzeugen und Übermitteln von Mitteilungen an den Richtlinien-Enforcement-Server 136 und andere vorher bestimmte Empfänger über Richtlinien- und/oder Regelverletzungen, identifiziert durch das Such-, Analyse- und/oder Tagging-Modul 200 und/oder das Richtlinien-Durchsetzungsmodul 208, wobei das Richtlinien-Durchsetzungsmodul 208 die getaggte Kommunikationen und/oder Inhalt an den Richtlinien-Enforcement-Server 136 weiterleiten oder von ihm empfangen soll, Identifizieren und Benachrichtigen des Warnmoduls 204 und/oder des Richtlinien-Enforcement-Servers 136 von möglichen Richtlinien- oder Regelverletzungen und Empfangen und Umsetzen von Kommandos von dem Richtlinien-Enforcement-Server 136 und der Nachrichtenversand-Schnittstelle 212.
  • Als Reaktion auf das Identifizieren oder das Empfangen Mitteilungen vom Richtlinien-Enforcement-Server 136 über das Auftreten oder Vorkommen von vorher bestimmten Faktoren und/oder Ereignissen erstellt oder aktualisiert der Richtlinienagent 190 Richtlinien-Tags und leitet die Richtlinien-Tags allein oder als Teil der entsprechenden Kommunikation und/oder des Inhalts an das Analysemodul 184 des Richtlinien-Enforcement-Servers 136 weiter. Die vorher bestimmten Faktoren und/oder Ereignisse enthalten eine oder mehrere von einer Identifizierung einer anwendbaren Richtlinie oder Regel, das Vorkommen einer Richtlinien- oder Regelverletzung, vorhandenen Richtlinienkonformitätsmaßnahmen, Inhaltsbeschreibung, Teilnehmerpersönlichkeit oder -rolle, Persönlichkeit oder Rolle eines/weiterer Kommunizierenden (ob Absender oder Empfänger), Vertrauensgrad, Gerätefähigkeiten, -bereitstellung und -präferenzen des Teilnehmers und/oder eines/weiterer Kommunizierenden, Örtlichkeit für die ausgewählte Kommunikation und/oder Inhalt und Kommunikations- und/oder Inhaltskontext.
  • Wenn ein Eingreifen erforderlich ist, leitet das Steuerungsmodul 172 einen Eingriffsbefehl an das Richtlinien-Durchsetzungsmodul 208 weiter. Eingriffsbefehle umfassen eine oder mehrere der folgenden Maßnahmen: Puffern der ausgewählten Kommunikation vor der Übermittlung oder Verbindung, Sperren des Zugriffs auf die ausgewählte Kommunikation und/oder den Inhalt durch das Aushandeln von unterschiedlichen Sicherheitsmaßnahmen mit einem internen oder externen Gerät, Umleiten der ausgewählten Kommunikation zu einem anderen Ziel (wie beispielsweise Verwaltungs- oder Informatikpersonal), Umleiten der ausgewählten Kommunikation über ein anderes Kommunikationsverfahren, Sperren der Übermittlung oder des Zugriffs auf die ausgewählte Kommunikation und/oder den Inhalt durch alle oder eine Teilmenge der möglichen Empfänger oder Anwender, Neukonfigurieren, Neudefinieren und/oder Transcodieren von Sicherheitsmaßnahmen für die ausgewählte Kommunikation und/oder den Inhalt, Bereitstellen einer Warnung vor einer Richtlinien- oder Regelverletzung, Anfordern von Verschlüsselung, Anfordern einer Formatänderung (Sicherheitstranscodierung), Anfordern, Definieren oder Beschränken von Berechtigungen und Bereitstellen einer visuellen oder hörbaren Warnung des Anwenders vor einer möglichen Richtlinien- oder Regelverletzung. Wie zu erkennen sein wird, bezieht sich das Transcodieren auf das Verändern oder Umwandeln von Format, Verschlüsselung oder anderen Sicherheitsmaßnahmen, um den kleinsten gemeinsamen Nenner der verschiedenen Knotenfähigkeiten entlang des Übermittlungspfades oder -kanals, einschließlich der Kommunikationsendpunkte, zu erfüllen.
  • In einer Konfiguration analysiert der Richtlinienagent 190 die identifizierten Vorkommen von Faktoren und/oder Ereignissen und weist ein Vertrauensniveau zu, aktualisiert und/oder erzeugt dasselbe, so dass die zugeordnete Nachricht oder der Inhalt relevant für eine Richtlinie oder Regel ist. Das auf die Schlüsselwortvorkommen angewendete Vertrauensniveau kann auf einer Anzahl von Faktoren beruhen, welche die Anzahl oder Häufigkeit von identifizierten Vorkommen des ausgewählten Faktors oder Ereignisses und die Identitäten der identifizierten Faktoren oder Ereignisse einschließen.
  • Der Richtlinienagent 190 kann auf eine Vielzahl von Weisen umgesetzt werden. Zum Beispiel kann der Richtlinienagent 190 als eine Thick-Client-Software-Anwendung, eine Browser-basierte Thin-Client-Anwendung oder eine andere Webdienst-orientierte Anwendung, einschließlich von sprachportalgesteuerten Anwendungen, umgesetzt werden. Er könnte eine eingebettete Fähigkeit in einem IP-Telefongerät oder eine in diese Art von Kommunikationsgerät eingespeicherte Anwendung, wie beispielsweise in der Form eines Servlets oder Applets, sein. Es ist vorgesehen, dass jedes der für Teilnehmer verfügbaren Anwendungszugriffsverfahren mit (einer) Webserver-basierten Anwendung(en) der Archivierungsserver-Bestandteile in Wechselwirkung treten wird. Es wird davon ausgegangen, dass auf die Webserver-basierten Anwendungen über standardmäßige http-Protokolle von einer beliebigen Anzahl von Fernanwendungen zugegriffen werden kann, wobei Common-Gateway-Interface-(CGI-)Skripts notwendig sind, um Metadaten zu lesen/zu schreiben und Dateien in den verschiedenen Ablagen (oder Datenbanken) zu archivieren.
  • In einer Konfiguration ist der Richtlinienagent 190 in dem Kommunikationsstapel auf der Klassentreiberebene so angeordnet, dass jeder Vorgang eines Zugriffs auf das interne oder das externe Netz 178 oder 108 notwendigerweise über den Richtlinienagenten 190 erfolgt. Da der Klassentreiber auftritt, bevor die Informationen paketiert werden, und da sich der Richtlinienagent 190 auf dem System befindet, aus dem die Kommunikation stammt, sollte es ausreichende Informationen geben, um auf der Grundlage des Kontextes und des Inhalts die Bestimmung vorzunehmen, ob die Kommunikation stattfinden kann oder nicht.
  • Der Richtlinien-Enforcement-Server 136 lokalisiert und analysiert Informationen auf der Unternehmensnetzebene, während der Richtlinienagent 190 lokal verfügbare Informationen lokalisiert und analysiert. Als Beispiel lokalisiert der Richtlinien-Enforcement-Server 136, anders als der Richtlinienagent 190, in Eigeninitiative Informationen nicht nur in Unternehmensaufzeichnungen, sondern ebenfalls auf dem externen Netz 108. Während das Such-, Analyse- und/oder Tagging-Modul 200 auf lokal gespeicherte Kommunikationen und Inhalte zugreift, greift der Richtlinien-Enforcement-Server 136 auf Richtlinien-Tags 300, Kommunikationen und Inhalt zu, die an mehreren Unternehmenskommunikationsknoten verfügbar sind. Während das Such-, Analyse- und/oder Tagging-Modul 200 Faktoren, Ereignisse und Informationen korreliert, die lokal verfügbar sind, korreliert der Richtlinien-Enforcement-Server 136 Faktoren, Ereignisse und Informationen, die von mehreren Richtlinienagenten 190 an mehreren Unternehmenskommunikationsknoten verfügbar sind.
  • Das Richtlinien-Tag
  • Unter Bezugnahme auf 3 ist ein Richtlinien-Tag 300 ein portabler Container mit richtlinienbezogenen Informationen, die für Richtlinien- oder Regelkonformität relevant sind.
  • Ein veranschaulichender Richtlinien-Tag 300 umfasst eine Anzahl von Datensätzen, einschließlich von Tag-Kennung 304, Inhaltskennung 308, Stimulus/Stimuli 312, Authentifizierungsinformationen 320, Teilnehmerpersönlichkeit und/oder -rolle 324, Persönlichkeit und/oder Rolle 328 eines/von anderen Kommunizierenden, Vertrauensgrad 332, Gerätefähigkeiten, -bereitstellung und -präferenzen 336 des Teilnehmers und/oder eines/von anderen Kommunizierenden, Teilnehmergerätekontext 342, vorhandene Richtlinienkonformitätsmaßnahmen 346, Örtlichkeit 340, Kontext 344 des Teilnehmers und/oder eines/von anderen Kommunizierenden, Inhaltsbeschreibung 348, Kommunikations- und/oder Inhaltskontext 352, erkannte relevante Richtlinien und/oder Regeln 356, Empfehlung/Entscheidung 360 und Verwendungsbeschränkungen und/oder -berechtigungen 364.
  • Die Tag-Kennung 304 kann eine beliebige numerische, alphabetische oder alphanumerische Kennung sein, die das jeweilige Richtlinien-Tag 300 eindeutig kennzeichnet. Beispiele von Tag-Kennungen 304 schließen Schlüsselwort, Name, Kommunikations-, Nachrichten- oder Sitzungskennung, Datei- oder Verzeichnisname oder -erweiterung, Beschäftigtenkennung, Projektname, elektronische Adresse und dergleichen ein. In einer Konfiguration wird die Tag-Kennung 304 durch einen Zufalls- oder Pseudozufallszahlengenerator erzeugt.
  • Die Inhaltskennung 308 kann eine beliebige numerische, alphabetische oder alphanumerische Kennung sein, welche die entsprechende Kommunikation, das Dokument oder anderen Inhalt eindeutig kennzeichnet. Beispiele von Inhaltskennungen 308 schließen einen Pointer, eine Verknüpfung oder eine andere elektronische Speicheradresse ein. In einer Konfiguration wird die Inhaltskennung 308 durch einen Zufalls- oder Pseudozufallszahlengenerator erzeugt. Die Inhaltskennung 308 kann die gleiche Kennung sein, die für die Tag-Kennung 304 verwendet wird, oder nicht.
  • Stimulus/Stimuli 312 bezieht sich auf den Anreiz oder Anreize (einschließlich eines zugeordneten Zeitstempels), welche die Erzeugung des Richtlinien-Tags 300 bewirken. Beispiele schließen ankommenden oder abgehenden Nachrichtenempfang, Dokumenterzeugung, Blog- oder Mikroblog-Posting, Empfang eines RSS-Feeds, Datei- oder Datensatz-Wiedergewinnung, Browser-Sitzung und dergleichen ein.
  • Die Authentifizierungsinformationen 320 beziehen sich auf die Informationen, die es dem Richtlinien-Enforcement-Server 136 ermöglichen, auf eine entsprechende Kommunikation und/oder einen Inhalt zuzugreifen. Beispiele der Authentifizierungsinformationen 320 schließen Berechtigungsnachweise, wie beispielsweise Anwendernamen, Login-Namen, PINs und Passwörter, Biometrie, digitale Zertifikate, Sicherheitstoken, Dongles, Schlüssel, Sozialversicherungsnummern, Fahrerlaubnisnummern, Mitgliedsnummern, Personalnummern, Reisepassnummern, Kundennummern und andere Authentifizierungs- und/oder Autorisierungsattribute ein. Die Authentifizierungsinformationen 320 sind typischerweise mit dem Teilnehmer verknüpft, der einer jeweiligen Kommunikation und/oder einem Inhalt entspricht. Zum Beispiel können die Authentifizierungsinformationen 320 ein Passwort sein, um auf ein passwortgeschütztes Dokument zuzugreifen, oder ein Anmeldenamen und ein Passwort, um eine Sitzung mit einer Internetseite (wieder-)aufzunehmen.
  • Die Teilnehmerpersönlichkeit(en) 324 bezieht/beziehen sich auf die verschiedenen kontextgebundenen Profile des Teilnehmers als Erzeuger, Urheber, Bearbeiter, Empfänger und/oder Absender der entsprechenden Kommunikation und/oder des Inhalts. Das Charakterisieren von Persönlichkeit oder Rolle wird kompliziert gemacht durch die Tatsache, dass der Anwender Gebrauch von einer Vielzahl von festen und mobilen Geräten machen kann, um solche Aktivitäten auszuführen. Obwohl der Teilnehmer normalerweise der Unternehmensteilnehmer ist, der mit dem Unternehmenskommunikationsknoten verknüpft ist, der dem meldenden Richtlinienagenten 190 entspricht, kann dieses Feld die Persönlichkeit(en) oder Rolle(n) von anderen Teilnehmern einschließen, welche die entsprechende Kommunikation und/oder den Inhalt erzeugen, schaffen, empfangen, bearbeiten oder absenden. Zum Beispiel kann ein Teilnehmer das Firmengeschäft von zu Hause aus führen oder muss alternativ dazu dringende persönliche Geschäfte von der Arbeit aus führen. Folglich würde der Teilnehmer ein „geschäftliches Profil” haben, das definiert wird durch geschäftsbezogene Informationen, wie beispielsweise Name des Arbeitgebers, Anwenderniveau, Anwenderorganisation, die geschäftsbezogenen elektronischen Adressen des Teilnehmers (z. B. Mobiltelefonnummer, Tischtelefonnummer, E-Mail-Adresse, Sofortnachrichten-Handle und dergleichen), satellitenbasierte physische Standortkoordinaten, die mit einem geschäftlichen Standort verknüpft sind (der gegenwärtige Standort kann unter anderem durch Mobiltelefon-Ortungstechniken bestimmt werden), besuchte URLs, die mit geschäftlichen Interessen übereinstimmen, Tageszeiten oder Wochentage, die mit der Geschäftszeit verknüpft sind, Kontaktlisten von geschäftlichen Partnern, Klienten, Lieferanten, Kunden und/oder anderen geschäftsbezogenen Kontakten und dergleichen. Der Teilnehmer kann ebenfalls ein „privates (nicht geschäftliches) Profil” haben, das definiert wird durch persönliche Informationen, wie beispielsweise Namen von Familienangehörigen, die persönlichen elektronischen Adressen des Teilnehmers (z. B. Mobiltelefonnummer, Tischtelefonnummer, E-Mail-Adresse, Sofortnachrichten-Handle und dergleichen), satellitenbasierte physische Standortkoordinaten, die mit einem persönlichen Standort (z. B. dem Zuhause oder einem anderen Wohnsitz) verknüpft sind, besuchte URLs, die mit persönlichen Interessen übereinstimmen, Tageszeiten oder Wochentage, die mit der persönlichen Zeit verknüpft sind, Kontaktlisten von Freunden, Familienangehörigen, Hobbylieferanten, wohltätigen Organisationen und anderen freiwilligen Tätigkeiten und/oder anderen persönlichen Kontakten und dergleichen. Die Persönlichkeiten und Rollen und ihre jeweiligen Beschreibungen können aus dem Unternehmensnetz (wie beispielsweise von der Unternehmensaufzeichnungssuchmaschine 152), dem Internet-Suchmodul 148 durch einen Zugriff auf ein Profil des/der Kommunizierenden, das auf einem sozialen Netz 124 oder einer anderen über das Web erreichbaren Ressource 132 verfügbar ist, und/oder dem mit dem Teilnehmer verknüpften Anwesenheitsdienst 112 gezogen werden. Zum Beispiel kann der Richtlinien-Enforcement-Server 136 über reichhaltige Anwesenheits- und Persönlichkeitserkennung wenigstens einen Teil der Zeit bestimmen, wenn gerade Unternehmens- oder Gruppengeschäfte geführt werden. Dies kann ausgeführt werden, wenn der Telekommunikationsswitch/-server 140 mit dem Endpunkt verbunden ist. Wenn der Endpunkt nicht Teil des Unternehmensnetzes 104 ist und einen anderen Anwesenheitsdienst 112 verwendet, würde der Verkehr durch das Unternehmensnetz 104 gesendet werden, so dass der Telekommunikationsswitch/-server 140 Zugriff auf den Verkehr hätte, um die Richtlinien und Regeln durchzusetzen.
  • Die Persönlichkeit und/oder Rolle 328 eines/von anderen Kommunizierenden beziehen sich auf die Persönlichkeit oder Rolle des Teilnehmers/der anderen Teilnehmer als Erzeuger, Urheber, Bearbeiter, Empfänger und/oder Absender der entsprechenden Kommunikation und/oder des Inhalts. Die Persönlichkeit oder Rolle kann auf eine beliebige geeignete Weise, einschließlich der weiter oben in Verbindung mit der Teilnehmerpersönlichkeit und/oder -rolle 324 dargelegten Weise, definiert werden. Diese Informationen können aus dem Unternehmensnetz 104, das mit dem/den anderen Kommunizierenden verknüpft ist, dem persönlichen Datenmanager 164 des Teilnehmers (der ein Kontaktprofil des anderen Kommunizierenden hat), dem Internet-Suchmodul 148 durch einen Zugriff auf ein Profil des/der Kommunizierenden, das auf einem sozialen Netz 124 oder einer anderen über das Web erreichbaren Ressource 132 verfügbar ist, und/oder dem mit dem Teilnehmer verknüpften Anwesenheitsdienst 112 gezogen werden.
  • Der Vertrauensgrad 332 bezieht sich auf den wahrnehmbaren Vertrauensgrad und/oder die Beschaffenheit der vertrauenswürdigen Beziehung (z. B. die Rolle der Person im operativen Unternehmensgeschäft) des Teilnehmers mit jeder Person oder Datenverarbeitungsinstanz, die dafür vorgesehen ist, Zugriff auf die ausgewählte Kommunikation und/oder den Inhalt zu haben. Solche Personen schließen die vorgesehenen Empfänger, den Absender, Urheber, Prüfer, Bearbeiter und dergleichen ein. Der Vertrauensgrad kann durch das Unternehmen eingestuft, quantifiziert oder auf andere Weise definiert werden, so dass jeder Angehörige einer vertrauenswürdigen Gruppe einen jeweiligen, möglicherweise unterschiedlichen Vertrauensgrad hat, der durch das Unternehmen definiert ist. Jede vertrauenswürdige Gruppe kann eine jeweilige Vertrauensgradeinstufung durch das Unternehmen haben, so dass sie bestimmte Arten von sensiblen Informationen empfangen kann, aber andere Arten nicht.
  • Eine Person kann ein Angehöriger mehrerer Gruppen sein. Die Gruppenangehörigen können durch eine universelle Kennung, wie beispielsweise einen Namen, eine E-Mail-Adresse, ein Sofortnachrichten-Handle und dergleichen, die zwischen mehreren Geräten portierbar ist, und/oder durch eine Adresse eines spezifischen Kommunikationsgerätes identifiziert werden.
  • Dieses Feld ermöglicht, dass Instanzen innerhalb und/oder außerhalb des Unternehmens Teilnehmer als entweder innerhalb oder außerhalb des Unternehmens befindlich strukturieren. Dieses Feld kann ebenfalls mehrere Ebenen von anderen Gruppierungen, wie beispielsweise Geschäftsorganisation (z. B. Abteilung und Geschäftseinrichtung), ein Projektteam, einen Vorstand, ein Gremium, eine Arbeitsgruppe, ein Geschäftsteam, einen Handelskonzern, strukturelle Ebenen, Sicherheitsberechtigungen, Teilnehmer mit einem Bedarf, bestimmte Informationen zu kennen, und dergleichen, ermöglichen. Das Analysemodul 184 kann vertrauenswürdige Gruppen bilden auf der Grundlage einer verbindlichen oder vertrauenswürdigen Eingabe von Richtlinienagenten 190 innerhalb von Firewalls und Gateways, von Definitionen und/oder Konfigurationen von virtuellen privaten Netzen, einer Definition und/oder Konfiguration eines lokalen Netzes, einer Definition und/oder Konfiguration einer demilitarisierten Zone, einer Definition und/oder Konfiguration eines Eingrenzungsnetzes, einer Aufzeichnung der Unternehmensdatenbank 160, wie beispielsweise ein elektronischen Verzeichnisses für Telefonnummern, eines elektronischen Verzeichnisses für E-Mail, eines elektronischen Unternehmensverzeichnisses und/oder einer verbindlichen und/oder vertrauenswürdigen Eingabe von einer Abwicklungsanwendung, wie beispielsweise Lightweight Directory Access Protocol („LDAP”), Post System Application and Products („SAP”), einer Arbeitskräfte-Aufzeichnung, wie beispielsweise einer Aufzeichnung des Unternehmenspersonals, einem Gehaltsabrechnungssystem, Sicherheitsberechtigungsnachweisen von einer internen und/oder Unternehmensnetz-Quelle, einem Identitätsserver, einem Weißbuch und/oder einer schwarzen Liste am Gateway 144, einer Zugriffskontroll-Liste, einer administrativen Einstellung und beliebiger anderer solcher Informationen, die dazu verwendet werden können, ein vollständiges Bild von interner gegenüber externer Identität zusammenzubringen. Die Gruppierungsdefinitionen können ebenfalls oder alternativ dazu auf einer Eingabe von sozialen Netzen 124 (wie beispielsweise Linkedln, Facebook, Twitter und dergleichen) beruhen, die zusätzliche Projektstruktureinzelheiten und andere Ad-hoc-Gruppierungs- oder Zusammenarbeitsinformationen liefern. Bei sozialen Medien muss festgestellt werden, ob das soziale Netz 124 eine vertrauenswürdige Quelle ist, wie beispielsweise ein soziales Firmennetz, oder ob das soziale Netz 124 ein öffentliches soziales Netz ist, bei dem eine Feststellung der Zuverlässigkeit des Inhalts getroffen werden muss. Normalerweise werden nur Informationen verwendet, die als verbindlich zu betrachten sind. Jede der oben aufgelisteten Gruppierungen kann ebenfalls zusätzlich auf anderen Feldern in dem Richtlinien-Tag 300, wie beispielsweise Kontext 344 des Teilnehmers und/oder eines/von anderen Kommunizierenden, Persönlichkeit oder Rolle 324 oder 328 des Teilnehmers und/oder eines/von anderen Kommunizierenden, Inhaltsbeschreibung 348 und dergleichen, gefiltert werden.
  • Die Gerätefähigkeiten, Bereitstellung und Präferenzen 336 des Teilnehmers und/oder eines/von anderen Kommunizierenden beziehen sich auf eine beliebige Menge von Kommunikationsknotenfähigkeiten, bereitgestellten Merkmalen und Anwenderpräferenzen. Gerätefähigkeiten, Bereitstellung und Präferenzen schließen zum Beispiel Bildschirmgröße, CPUs, Kapazität des Direktzugriffsspeichers, Kapazität des flüchtigen Speichers, Kapazität des nichtflüchtigen Speichers, gesamte Speicherkapazität, kompatible und/oder gehostete Kommunikationsanwendungen, Port-Konfigurationen, Drahtlos-Kommunikationsfähigkeiten, kompatible drahtgebundene und drahtlose Kommunikations- und Datenprotokolle, Codecs und andere Sicherheits- oder Verschlüsselungsfähigkeiten, Bandbreite, Sprachfähigkeiten, Videofähigkeiten, Textfähigkeiten, Web-Fähigkeiten und Bildschirm-Seitenverhältnis, Symbol positionierung, Dateneingabefähigkeiten, Wechselspeicher usw. ein.
  • Der Gerätekontext 342 des Teilnehmers und eines/von anderen Kommunizierenden bezieht sich auf eine Beschreibung von gegenwärtigem Zustand, Einstellungen, Merkmalen und Konfiguration des/der Geräte(s), welche(s) die ausgewählte Kommunikation und/den Inhalt empfängt, sendet oder auf andere Weise Zugriff darauf hat/haben.
  • Die vorhandenen Richtlinienkonformitätsmaßnahmen 346 beschreiben die gegenwärtig bestehenden Maßnahmen, falls vorhanden, damit die ausgewählte Kommunikation und/oder der Inhalt die relevanten Richtlinien und/oder Regeln einhalten. Dieses Feld schließt eine Beschreibung von gegenwärtig wirksamen Sicherheitsmaßnahmen in Bezug auf die entsprechende Kommunikation und/oder den Inhalt, wie beispielsweise logischen Kontrollen (z. B. Berechtigungsnachweisen (wie beispielsweise Passwörter), Datenverschlüsselung und andere kryptografische Maßnahmen) und Authentifizierungstechniken, ein. Dieser Faktor ermöglicht es dem Richtlinien-Enforcement-Server 136 zum Beispiel festzustellen, ob ein vorhandenes Sicherheitssystem oder Dateischutzprotokoll für die ausgewählte Kommunikation und/oder den Inhalt angemessen ist.
  • Die Gerätefähigkeiten, Bereitstellung und Präferenzen 336 des Teilnehmers und/oder eines/von anderen Kommunizierenden, der Gerätekontext 342 des Teilnehmers und/oder eines/von anderen Kommunizierenden und die vorhandenen Richtlinienkonformitätsmaßnahmen 346 können zu weniger Feldern verschmolzen werden. Obwohl die Felder die Gerätefähigkeiten, Bereitstellung, Präferenzen und den Kontext der Geräte des Teilnehmers und/oder eines/von anderen Kommunizierenden, welche(s) die ausgewählte Kommunikation und/oder den Inhalt empfängt, sendet oder auf andere Weise Zugriff darauf hat/haben, enthalten können, schließen sie normalerweise nur die Gerätefähigkeiten, Bereitstellung und Präferenzen des Geräts ein, das mit dem meldenden Richtlinienagenten 190 verknüpft ist. Das Analysemodul 184 kann das Feld mit den Fähigkeiten, Bereitstellung und Präferenzen von anderen Teilnehmergeräten belegen oder kann einfach mehrere Richtlinien-Tags an die ausgewählte Kommunikation und/oder den Inhalt anhängen, darin einbetten oder auf andere Weise darauf verweisen.
  • Die Örtlichkeit 340 bezieht sich auf den Grad der öffentlichen Preisgabe des vorgesehenen Ziels oder des Empfängers/der Empfänger der ausgewählten Kommunikation und/oder des Inhalts. Beispiele einer Örtlichkeit schließen ein, dass das vorgesehene Ziel oder der/die Empfänger der ausgewählten Kommunikation und/oder des Inhalts öffentlich ist, das vorgesehene Ziel oder der/die Empfänger der ausgewählten Kommunikation und/oder des Inhalts privat, Blog, Mikroblog, RSS-Feed, Chatroom, Posting im sozialen Netz 124 und Nachrichtenaggregator ist. Die Örtlichkeit 340 beeinflusst die Angemessenheit oder Erwünschtheit der gemeinsamen Nutzung der ausgewählten Kommunikation und/oder des Inhalts.
  • Der Kontext 344 des Teilnehmers und eines/von anderen Kommunizierenden ist eine Beschreibung des Kontextes des Teilnehmers und eines/von anderen Kommunizierenden, welche(r) die ausgewählte Kommunikation und/den Inhalt empfangen/empfängt, senden/sendet oder auf andere Weise Zugriff darauf haben/hat. „Kontext” kann ein beliebiger Indikator, ein Attribut oder eine Beschreibung einer Art und/oder Beschaffenheit einer Aktivität eines Anwenders, einer Anwenderebene, eines Umstandes des Anwenders, einer Umgebung des Anwenders und eines Umfeldes des Anwenders sein. Der Kontext schließt zum Beispiel die Anwesenheit des Teilnehmers, die Anwesenheit des/der anderen Kommunizierenden, den physischen, logischen und/oder politischen (z. B. das Land) Standort des Teilnehmers, den physischen, logischen und/oder politischen Standort des/der anderen Kommunizierenden, die an der Prüfung, Übermittlung und Erzeugung und/oder Bearbeitung der ausgewählten Kommunikation und/oder des Inhalts beteiligte Anwendung ein. Falls sie nicht bereits in der ausgewählten Kommunikation und/oder dem Inhalt eingeschlossen sind, kann der Kontext 344 des Teilnehmers und eines/von anderen Kommunizierenden die Identitäten und/oder Adressen der vorgesehenen Nachrichtenempfänger und die Identität und/oder die Universal-Resource-Locator-(„URL”-)Adresse (z. B. einen Link oder Hyperlink) einer über das Web erreichbaren Ressource, um die ausgewählte Kommunikation und/oder den Inhalt zu empfangen, einschließen.
  • Die Inhaltsbeschreibung 348 beschreibt die ausgewählte Kommunikation und/oder den Inhalt, typischerweise unter Verwendung von Symbolen oder Zeichen, auf die in einer oder mehreren anwendbaren Richtlinien und/oder Regeln verwiesen wird. Die Inhaltsbeschreibung 348 kann viele Formen annehmen. Zum Beispiel kann die Inhaltsbeschreibung 348 ein Schlüsselwort oder einen Satz oder eine Menge von Schlüsselwörtern oder Sätzen, einen Erzeugniscode, eine Seriennummer, Kommunikationskennung, Sitzungskennung, Kontonummer, einen Projektnamen oder eine Projektkennung, (eine) Beschäftigtenkennung(en) und einen Teamnamen oder eine -kennung einschließen. In einer Konfiguration ist das Richtlinien-Tag getrennt von der ausgewählten Kommunikation und/oder dem Inhalt, und dieses Feld schließt einen Zeiger, Indikator, Verweis, Link oder eine andere Art von elektronischer Adresse zu der ausgewählten Kommunikation und/oder dem Inhalt ein. Die Inhaltsbeschreibung 348 kann unter Verwendung eines oder mehrerer Richtlinien-Tags 300 ebenfalls die unterschiedlichen Fassungen der ausgewählten Kommunikation und/oder des Inhalts einschließen oder verfolgen. Wie zu erkennen sein wird, können unterschiedliche Fassungen eines Dokument ein unterschiedliches Sensibilitätsmaß haben, was es vorteilhaft machen würde, dass jede Fassung ein unterschiedliches Tag hat, da unterschiedliche Richtlinien- oder Regelmaßnahmen erforderlich sein können.
  • Der Kommunikationskontext 352 bezieht sich auf den Kontext der ausgewählten Kommunikation und/oder des Inhalts oder definiert denselben. Der Kommunikationskontext 352 umfasst ohne Begrenzung einen für die Übermittlung der Kommunikation ausgewählten Kommunikationsmodus oder eine -modalität, einen mit dem Empfang, der Erzeugung und/oder Bearbeitung der ausgewählten Kommunikation und/oder des Inhalts verknüpften Zeitstempel, die Identitäten und/oder Adressen der vorgesehenen Nachrichtenempfänger und die Identität und/oder die Universal-Resource-Locator-(„URL”-)Adresse (z. B. einen Link oder Hyperlink) einer über das Web erreichbaren Ressource, um die ausgewählte Kommunikation und/oder den Inhalt zu empfangen.
  • Die erkannten relevanten Richtlinien und/oder Regeln 356 schließen einen Zeiger, Indikator, Verweis oder Link oder eine andere Art von elektronischer Adresse der Richtlinien und/oder Regeln ein, die möglicherweise durch die ausgewählte Kommunikation und/oder den Inhalt betroffen sind oder dieselben kontrollieren. Das Feld kann ferner eine Anzeige, ob die Richtlinie oder Regel verletzt worden ist, und einen oder mehrere Zeitstempel, die jedes Vorkommen einer Richtlinien- oder Regelverletzung anzeigt, einschließen.
  • Das Feld 360 der Empfehlung und/oder Entscheidung zeigt eine empfohlene Maßnahme, die durch das Steuerungsmodul 172 zu ergreifen ist, und/oder eine durch das Steuerungsmodul 172 festgelegte Maßnahme, die zu ergreifen ist, als Reaktion auf die ausgewählte Kommunikation und/oder den Inhalt an. Das Feld kann ebenfalls eine Begründung oder einen Grund für die Empfehlung und/oder Entscheidung einschließen. Die Empfehlung oder Entscheidung kann zum Beispiel sein, welche Maßnahmen zu ergreifen sind, um die relevanten Richtlinien und/oder Regeln einzuhalten, oder welche Maßnahmen zu ergreifen sind, wenn eine relevante Richtlinie oder Regel verletzt worden ist. Bei Sicherheitsanwendungen kann die Empfehlung oder Entscheidung zur Veranschaulichung einen Befehl enthalten, vorhandene Sicherheitsmaßnahmen für die ausgewählte Kommunikation und/oder den Inhalt zu modifizieren, neue oder zusätzliche Sicherheitsmaßnahmen für die ausgewählte Kommunikation und/oder den Inhalt umzusetzen, ein bestes Netz (das sich von dem bereits durch die ausgewählte Kommunikation und/oder den Inhalt angegebenen Netz unterscheiden kann) zu verwenden, um die Übermittlung oder Übertragung der ausgewählten Kommunikation und/oder des Inhalts zu bewirken oder auf andere Weise notwendige Sicherheitsanforderungen zu erfüllen, eine zu ergreifende Maßnahme umzusetzen, um eine vorherige Richtlinien- oder Regelverletzung zu korrigieren, die ausgewählte Kommunikation und/oder den Inhalt zu sperren, zu verzögern oder zu puffern, vor einem Zugriff durch einen oder mehrere andere Teilnehmer einen Abschnitt der ausgewählten Kommunikation und/oder des Inhalts zu markieren oder zu löschen, eine Mitteilung über eine Richtlinien- und/oder Regelverletzung an ein oder mehrere ausgewählte Ziele zu senden, zur Prozessverbesserung ein Flag, das einen Bereich von redundanter oder prozessorintensiver Verschlüsselung oder Sicherheitstranscodierung für Informatikpersonal anzeigt, einzubetten, den Teilnehmer, der die Richtlinie und/oder Regel möglicherweise oder tatsächlich verletzt, zu warnen, zu disziplinieren und/oder zu schulen, einen Zugriff auf eine ausgewählte Kommunikation und/oder einen Inhalt durch einen nicht berechtigten Anwender zu verhindern, zu verhindern, dass der Teilnehmer beispielsweise durch Ziehen und Ablegen den ausgewählten Inhalt in einer Kommunikation auswählt, einen Nur-Lese-Zugriff auf die ausgewählte Kommunikation und/oder den Inhalt bereitzustellen, eine Sprungbeschränkung auf eine ausgewählte Kommunikation und/oder einen Inhalt festzusetzen, so dass, wenn die Sprungbeschränkung erreicht oder überschritten wird oder ein Sprungzähler bis zu einem ausgewählten Wert heraufgezählt oder heruntergezählt wird, die ausgewählte Kommunikation und/oder der Inhalt gesperrt oder auf andere Weise an der Weitersendung an einen vorgesehenen Empfänger gehindert wird, einen Kommunikationskanals vor der Übermittlung der ausgewählten Kommunikation und/oder des Inhalts abzubrechen, die ausgewählte Kommunikation und/oder den Inhalt zu einem anderen Ziel umzuleiten, unterschiedliche Teile der ausgewählten Kommunikation und/oder des Inhalts für unterschiedliche Teilnehmer auf der Grundlage der Grade von Vertrauen oder Berechtigung jedes Teilnehmers oder Anwenders anzuzeigen und den/die Empfänger erfolgreich zu authentifizieren und/oder zu überprüfen, bevor der Zugriff erlaubt wird.
  • Die Anwenderbeschränkung(en) und/oder -berechtigung(en) 364 beziehen sich auf (eine) richtlinien- oder regelbasierte Beschränkung(en) und/oder Berechtigung(en), die Gesamtheit oder einen Teil des Richtlinien-Tags 300 zu empfangen. Zum Beispiel könnte, während auf bestimmte Teile des Richtlinien-Tags 300 durch den Rechner 168 oder das Kommunikationsgerät 172 des Teilnehmers zugegriffen werden kann, auf andere Teile nur durch den Richtlinien-Enforcement-Server 136 und/oder spezifiziertes Verwaltungspersonal zugreifen. Auf diese Weise könnte ein nicht berechtigter Teilnehmer oder ein anderer Anwender nicht über einen entsprechenden Richtlinienagenten 190 auf sensible Teile des Richtlinien-Tags 300 zugreifen.
  • In anderen Konfigurationen schließt ein mit einem Dokument verknüpftes Richtlinien-Tag 300 die Sicherheitsvorkehrungen des eigenen Systems, wie beispielsweise eines Dokumentenkontrollsystems, ein und befördert die Vorkehrungen zusammen mit dem Dokument, wenn das Dokument verwendet wird. Zum Beispiel kann ein Anwender die Berechtigung haben, auf ein Dokument zuzugreifen, aber bestimmte Verwendungen innerhalb des Unternehmens können dadurch gesperrt werden, dass die Berechtigungs- und Sicherheitsinformationen zusammen mit dem Dokument befördert werden. Während das Dokumentbeispiel ein erläuterndes ist, kann dies offenkundig auf andere Datei-, Anhang- oder Kommunikationsnutzinformationstypen erweitert werden. Dies könnte über eine Form von Steganographie getan werden, die entweder durch das Kommunikationssubsystem oder das Datei-Subsystem durchgesetzt werden könnte.
  • Beispiele
  • Um die Funktionsweise des Richtlinien-Enforcement-Servers 136, des Richtlinienagenten 190 und des Richtlinien-Tags 300 zu illustrieren, wird nun eine Anzahl von Beispielen dargeboten. Die Beispiele gehen davon aus, dass der Richtlinien-Enforcement-Server 136 eine zentralisierte Intelligenz (ein Prozessor, mehrere Prozessoren mit einer Befehlsstruktur oder ein Äquivalent) ist, welche die übergreifende Kommunikationssicherheit koordiniert.
  • In einem ersten Beispiel berücksichtigt der Richtlinien-Enforcement-Server 136 Kommunikationssicherheitsanforderungen ungeachtet der Form der Kommunikation, zum Beispiel Anhänge, Chat, E-Mail, IM, Echtzeit- und Paketsprache, Echtzeit- und Paketvideo, eingebettete Links, Zugriff auf Informationen an Örtlichkeiten, Zugriff auf Werkzeuge und dergleichen, weil die Richtlinie und/oder Regel eines oder beides von der Tatsache, dass die Kommunikation stattfindet und/oder wie die Kommunikation stattfindet, regulieren kann. Diese Berücksichtigung wird vorgenommen auf der Grundlage der in der ausgewählten Kommunikation gesendeten Informationen und des Netzes, auf dem sie gesendet wird. Das Richtlinien-Tag 300 würde beschreiben, welche Kontrollen oder Sicherheitsmerkmale zuvor als angemessen angesehen wurden. Die ausgewählte Kommunikation würde durch einen Richtlinienagenten 190 in einem dazwischenliegenden oder hervorbringenden Unternehmenskommunikationsknoten abgefangen, überprüft und richtliniengefiltert werden,. Zur Veranschaulichung kann es eine Regierungsrichtlinie oder -regel einem Beschäftigten erlauben, sensible Informationen durch einen sicheren Sprachkanal zu kommunizieren, es dem Beschäftigten aber verbieten, die Informationen durch einen Textkanal, wie beispielsweise E-Mail oder Nachrichten-Sofortversand, zu kommunizieren. In bestimmten Fällen würde das Abfangen in einem Verfahren mit niedriger Latenz vorgenommen werden, das denjenigen, die an dem Austausch der ausgewählten Kommunikation und/oder des Inhalts beteiligt sind, die vorgenommene Überprüfung und Richtlinienfilterung nicht enthüllt. In einem zweiten Beispiel sind die ausgewählte Kommunikation und/oder der Inhalt multimedial, wobei jedes Medium unterschiedliche Sicherheitsherausforderungen darbietet. Zum Beispiel kann die ausgewählte Kommunikation Sprache, Text und Bilder einschließen, die durch einen abfangenden Richtlinienagenten 190 zu analysieren sind. Automatische Spracherkennung, kombiniert mit einem Lexikon von problematischen Schlüsselwörtern, würde den Sprachteil in äquivalenten Text umsetzen, um zu ermöglichen, dass der Richtlinien-Enforcement-Server 136 mögliche Richtlinien- und/oder Regelverletzungen identifiziert. Diese Feststellung kann durch einen Richtlinienagenten 190 in Echtzeit- oder Nahe-Echtzeit-Sprachkommunikationen vorgenommen werden.
  • In einem dritten Beispiel stellt der Richtlinienagent 190 auf der Grundlage des/der entsprechenden Richtlinien-Tag(s) 300 fest, ob eines oder alle von der ausgewählten Kommunikation und/oder dem Inhalt und den Anhängen an denselben verschlüsselt, passwort- oder auf andere Weise sicherheitsgeschützt sind oder beeinträchtigt worden sind, und wahlweise, ob die Verschlüsselung, Authentifizierung oder der Sicherheitsschutz und/oder das Protokoll konform zu den Richtlinien und/oder Regeln ist. Diese Feststellung kann zum Beispiel das Markieren von Dateien unter Verwendung von einfachen Mechanismen, wie beispielsweise falsch geschriebenen Wörtern in jeder Kopie, um die Quelle eines vermuteten Lecks festzustellen, einschließen. In einer Konfiguration wird den vorhandenen Sicherheitsmaßnahmen eine Sicherheitseinstufung zugewiesen, um ein Niveau oder eine Wirksamkeit der Sicherheit anzugeben. Die Einstufung kann auf einer beliebigen geeigneten Metrik, wie beispielsweise Sicherheitsfähigkeiten, Verschlüsselungsstärke, Version oder Identität der Sicherheitsanwendung und/oder Mischungen derselben beruhen. Dies ermöglicht es, dass eine Mischung von Sicherheitsmaßnahmen mit einem in einer Richtlinie oder Regel niedergelegten Richtschwellenwert verglichen wird.
  • In einem vierten Beispiel bestimmt der Richtlinien-Enforcement-Server 136 auf der Grundlage des/der entsprechenden Richtlinien-Tag(s) 300 und wählt auf der Grundlage von Richtlinien- oder Regelanforderungen ein bestes (Transport-)Netz und/oder einen Kommunikationsmodus aus, um die Übertragung auf der Grundlage der Sicherheitsanforderungen der Kommunikation und/oder des Inhalts zu bewirken. Dies geht davon aus, dass ein Router mehrere Pfade hat oder die ausgewählte Kommunikation und/oder der Inhalt durch mehrere Kommunikationsmodi versendet werden können, jeweils mit einem dazugehörigen Sicherheitsaufwand oder einer entsprechenden Sicherheitseinstufung. Dieser Parameter würde wirksam ermöglichen, dass die Informationen auf der Grundlage der in der Richtlinie oder Regel niedergelegten Sicherheitsanforderungen der tatsächlichen Sicherheit des Kanals und Abwägungen in Bezug auf andere Kommunikationsfähigkeiten auf dem richtigen Kommunikationskanal übermittelt werden. Zum Beispiel kann die Auswahl durch das Vergleichen eines Sicherheitsaufwandes und/oder einer -einstufung, die mit einer Vielzahl von möglichen Kanälen und/oder Kommunikationsknoten verbunden sind, mit den Richtlinien- oder Regelanforderungen erfolgen, um einen optimalen Kanal und/oder Kommunikationsknoten zu bestimmen. Eine Textnachricht kann zu Sprache umgewandelt und über einen digitalen (leitungsvermittelten) Sprachkanal, über E-Mail oder über Nachrichten-Sofortversand versendet werden. IP-Telefonie kann äußerst reich an Merkmalen sein, kann aber als eine suboptimale Wahl für bestimmte hoch sensible Informationen betrachtet werden, wo eine verschlüsselte Übermittlung über das öffentliche Fernsprechwählnetz (Public Switched Telephone Network – „PSTN”) Vorteile bieten könnte. Mit einer übergreifenden Sicherheitskontrollstruktur ist es möglich, ein Transportnetz nicht nur auf der Grundlage von Aufwand, Zuverlässigkeit, Bandbreite und anderen bekannten Kriterien, sondern ebenfalls von anderen Informationen des Richtlinien-Tags 300, wie beispielsweise Sicherheitsanforderungen, Fähigkeiten der Endpunkte sowie Identität, Inhalt und Kontext des kommunizierenden Teilnehmers, auszuwählen.
  • In einem fünften Beispiel erwägt der Richtlinien-Enforcement-Server 136 auf der Grundlage des/der entsprechenden Richtlinien-Tag(s) 300, ob die Adressaten berechtigt sind, die Kommunikationen oder den Inhalt zu empfangen, unabhängig davon, ob die Adressaten ein Individuum oder eine Gruppe sind. Der Richtlinien-Enforcement-Server 136 bestimmt, ob der vorgesehene Empfänger oder die vorgeschlagene Anwenderzugriffsauflistung, ob ein Individuum oder eine Gruppe berechtigt oder vertrauenswürdig genug sind, um die ausgewählte Kommunikation und/oder den Inhalt zu empfangen. Dies kann durch einen einfachen Mapping-Vorgang erfolgen, wobei der Empfänger oder die Zugriffsliste oder die Beschreibung oder Attribute derselben mit einer Liste von Berechtigten oder Empfängern oder Zugriffsberechtigten oder einer Beschreibung oder Attributen derselben abgeglichen werden. Falls ein oder mehrere Angehörige der Gruppe nicht berechtigt sind, die ausgewählte Kommunikation und/oder den Inhalt zu empfangen oder darauf zuzugreifen, kann die Übermittlung oder der Zugriff auf nur die berechtigten Angehörigen der Gruppe begrenzt werden oder die Übermittlung oder der Zugriff kann für alle Gruppenangehörigen mit Ausnahme des Urhebers/Absenders gesperrt werden.
  • In einem sechsten Beispiel gründet der Richtlinien-Enforcement-Server 136 die Sicherheitsanforderungen für eine ausgewählte Kommunikation und/oder einen Inhalt auf einen Stimulus (z. B. Zeit oder Auftreten eines Ereignisses). Die Sicherheitsanforderung kann eines oder mehrere von einer Authentifizierungsanforderung sein, um auf die ausgewählte Kommunikation und/oder den Inhalt zuzugreifen (z. B. ob eine Authentifizierung erforderlich ist und welcher Grad und/oder welche(r) Typ(en) von Authentifizierung erforderlich sind), eine Begrenzung auf mögliche Empfänger der ausgewählten Kommunikation und/oder des Inhalts (z. B. ob eine schwarze Liste, eine Positiv-Liste oder eine Zugriffskontrolle erforderlich sind und, falls sie erforderlich sind, die Definition der Liste) und eine kryptografische Anforderung (z. B. ob Kryptografie erforderlich ist und, falls ja, die spezifische(n) kryptografische(n) Anforderung(en), wie beispielsweise eines oder mehrere von Kryptografie mit symmetrischem Schlüssel (wie beispielsweise Block- oder Stromchiffren), Kryptografie mit asymmetrischen Schlüssel (wie beispielsweise Kryptografie mit öffentlichem Schlüssel), kryptografische Streuwertfunktion, Nachrichtenauthentifizierungscode, kryptografisches Primitiv, Kryptosystem und Verschlüsselungsniveau und/oder -stärke). Andere durch Stimuli ausgelöste Sicherheitsanforderungen schließen die Erfüllung und/oder Nichterfüllung der an anderer Stelle in dieser Offenbarung erwähnten Richtlinienmaßnahmen ein.
  • Zur Veranschaulichung würde der Richtlinien-Enforcement-Server 136 das Datum, die Zeit und den Inhalt einer Kommunikation mit bestimmten zeitlichen Faktoren vergleichen, die als Pforten für eine Übermittlung, Verbreitung, Veröffentlichung der ausgewählten Kommunikation und/oder des Inhalts oder einen Zugriff darauf agieren. In einer weiteren Veranschaulichung würde der Richtlinien-Enforcement-Server 136 Sicherheitsbeschränkungen für die ausgewählte Kommunikation und/oder den Inhalt aufheben, falls sie sich an einer öffentlich zugänglichen Örtlichkeit im Internet befinden würden. Mit anderen Worten, der Grad der Sicherheit oder der Sicherheitsmaßnahmen ist zeit- oder ereignisbasiert oder -abhängig. Übermittlung, Verbreitung, Veröffentlichung der ausgewählten Kommunikation und/oder des Inhalts oder ein Zugriff darauf können eingeschränkt oder verhindert werden, bis ein zeitlicher Auslöser oder ein Datum und ein Zeitpunkt oder ein Ereignis eintreten, wonach die Übermittlung, Verbreitung, Veröffentlichung der ausgewählten Kommunikation und/oder des Inhalts oder ein Zugriff darauf unterschiedlichen (üblicherweise geringeren) Einschränkungen unterworfen wird. Zur Veranschaulichung werden vor einer Freigabe eines Erzeugnisses bestimmte Informationen über das Erzeugnis vertraulich gehalten und würden so durch den Richtlinien-Enforcement-Server 136 gehalten werden, aber nach dem Freigabedatum des Erzeugnisses werden die gleichen Informationen nicht mehr vertraulich gehalten und ihre Verbreitung und Verteilung würde durch den Richtlinien-Enforcement-Server 136 nicht eingeschränkt werden. In einer weiteren Veranschaulichung würde die Freigabe eines Benutzerhandbuchs vor, aber nicht nach der Ankündigung der Erzeugnisverfügbarkeit gesperrt werden. In diesen Veranschaulichungen werden projektgebundene zeitliche Informationen von Projektmanagement-Anwendungen, persönliche zeitliche Informationen von Planungsanwendungen und dergleichen miteinander verknüpft, um festzustellen, wann die Freigabe von bestimmten Informationen verfrüht oder rechtzeitig ist.
  • In einem siebten Beispiel würde der Richtlinien-Enforcement-Server 136 die vorgesehene Örtlichkeit der ausgewählten Kommunikation und/oder des Inhalts und den Örtlichkeitskontext abwägen, da dies die Angemessenheit der gemeinsamen Nutzung von Kommunikation und/oder Kontext beeinflusst. Die Örtlichkeit wäre abhängig von vielen Faktoren, wie beispielsweise der öffentlichen Zugänglichkeit der Örtlichkeit und der Vertrauenswürdigkeit des Übermittlungskanals für die ausgewählte Kommunikation und/oder den Inhalt. Zur Veranschaulichung würde der Richtlinien-Enforcement-Server 136, falls durch den Richtlinienagenten 190 ein Anwender-Erstellungsmodus angeboten wird, den Inhalt gegenüber der Örtlichkeit abwägen, bevor er erlaubt, dass die Informationen gepostet werden, und falls notwendig, verhindern, dass ein Teilnehmer die ausgewählte Kommunikation und/oder den Inhalt auf einem sozialen Netz 124 oder einer anderen durch das Web erreichbaren Ressource 132, wie beispielsweise einem Blog oder Mikroblog, postet. Dies ist besser als die Verwendung von Web-Scapern, um ein Posting zu erkennen, das nicht zum Besten einer Organisation ist. Die Konfiguration des Richtlinienagenten 190 in einem Treiber kann in diesem Beispiel ein sehr wirksamer Durchsetzungsmechanismus sein.
  • In einem achten Beispiel sendet der Richtlinien-Enforcement-Server 136 bedingt unter Verwendung von stimulusbasierten (z. B. zeitlich begrenzten oder ereignisbasierten) Definitionen von vertrauenswürdigen Gruppen sensible Informationen an einen Beteiligten außerhalb der normalen Vertrauenssphäre (z. B. des Unternehmensgeländes), ohne (dauerhaft) vorhandene Firewall-Berechtigungen oder eine dauerhafte Sicherheitsanwendung auf einen solchen Beteiligten zu erweitern, oder erhöht oder vermindert eine Sicherheitsanforderung, die mit einer ausgewählten Kommunikation und/oder einem Inhalt verknüpft ist. Dies setzt voraus, dass der Teilnehmer und/oder das Unternehmen bereits eine vertrauenswürdige Beziehung mit dem Beteiligten hat, z. B. auf Grund einer Geheimhaltungs- oder Vertraulichkeitsvereinbarung oder einer anderen Vereinbarung mit dem Beteiligten. Die Definition einer vertrauenswürdigen Gruppe kann zum Beispiel zeitweilig zu einem spezifizierten Datum oder Zeitpunkt verändert (z. B. begrenzt, ausgeweitet, geschaffen oder aufgelöst) werden oder ereignis- und/oder themenbasiert, wie in Bezug auf Erfüllung, Beendigung oder Ablauf einer Vereinbarung oder einer Frist oder Bedingung derselben, ein Projekt, Verwirklichung eines Projektziels und dergleichen, sein. Diese Operation erweitert nur eine zeitgebundene Verknüpfung auf den Beteiligten bis zum Ablauf und/oder zur Löschung der an den Beteiligten gesendeten oder für denselben verfügbaren Informationen. Zum Beispiel könnten die beiden Enden (oder Endknoten) der bedingten Erweiterung Authentifizierung und Verschlüsselung aufweisen und würden Kommunikationen und Inhalt auf der Grundlage von einigen vordefinierten Parametern zum Zeitpunkt der Einrichtung einschleusen. Es wird eine zeit- und/oder themengebundene Einspeicherung von Software an den Partner vorgenommen. Sobald das Thema abgewickelt ist oder sobald der Zeitgeber abgelaufen ist, löst ein Takt, der den Sicherheitsmechanismus (der Software) offengehalten hat, eine automatische Löschfunktion in der Anwendungssoftware aus oder deaktiviert die Software auf andere Weise. Es können andere lizensierungsartige Mechanismen eingesetzt werden. Die Mechanismen würden zum Beispiel erfordern, dass die Software periodisch den Richtlinien-Enforcement-Server 136 um Erlaubnis zum Ausführen ersucht. Wenn der jeweilige vertrauenswürdige Gruppenangehörige nicht mehr berechtigt wäre, auf die ausgewählte Kommunikation und/oder den Inhalt und daher die Software zuzugreifen, würde der Richtlinien-Enforcement-Server 136 die Erlaubnis unter Verwendung von Sicherheitsmechanismen, die beim Lizensieren bekannt sind, zum Ausführen verweigern. Infolgedessen müsste man sich nicht um die Verwaltung des zeitweiligen Zugriffs auf das virtuelle private Netz und/oder nachträgliche Überprüfungen, um Zugriffsfähigkeiten zu entfernen, kümmern. Es könnte die Möglichkeit geben, einen solchen Zugriff vorzeitig zu beenden, falls Mitarbeiter, die mit dem Partner arbeiten, und/oder Sicherheitspersonal feststellen, dass eine Gefahr besteht. Dies kann unter Verwendung von zwei Security Controllern zum Aushandeln der Zugriffskontrolle oder durch das Vorsehen des entfernten Partners in einer erweiterten globalen Adressenliste erfolgen. Das letztere Verfahren würde eine Aufhebung durch das Kontrollieren des Ablaufdatums von bestimmtem Kontext sowie bestimmtem Inhalt leichter ermöglichen.
  • In einem neunten Beispiel sendet der Richtlinien-Enforcement-Server 136 Warnungen an die Angehörigen einer definierten Gruppe, wenn Eingriffsbedrohungen oder Schadsoftware innerhalb oder außerhalb der Firewall erkannt werden, und stellt die Warnungen über den effizientesten Modus und/oder die effizientesten Medien bereit. Dies kann durch das Integrieren von Zugriffskontrollsystemen mit Firewall-Verletzungserkennung in den Kontrollablauf der Kommunikationen, wie beispielsweise durch das Integrieren dieser Art von System in einen Richtlinienagenten 190 in einer Firewall oder einem Gateway 144, erfolgen.
  • In einem zehnten Beispiel erkennt der Richtlinien-Enforcement-Server 136 eine Schadsoftware oder eine Eingriffsbedrohung in einer E-Mail. Während er per E-Mail eine Rundsendungsmitteilung oder -warnung an die Empfänger senden kann, dass die identifizierte E-Mail eine Schadsoftware oder eine Eingriffsbedrohung enthält, kann sich die E-Mail bereits in dem Kommunikationsstapel befinden, und eine solche Warnung würde den Anwender nicht rechtzeitig benachrichtigen. Um dieses Problem zu vermeiden, kann der Richtlinien-Enforcement-Server 136 die Mitteilung oder Warnung über ein Transportnetz mit einer anderen Kommunikationsmodalität und/oder einem anderen Kommunikationskanal, wie beispielsweise Sprachmail, Sofortnachricht und dergleichen, senden. Die Entscheidung darüber, welche Kommunikationsmodalität, welches Transportnetz oder welcher Kanal zu verwenden ist, kann auf der Grundlage der Anwesenheit der möglicherweise betroffenen Anwender, der Zeitzonenunterschiede zwischen den physischen Standorten der betroffenen Anwender und dergleichen getroffen werden. Falls zum Beispiel ein möglicherweise betroffener Anwender gegenwärtig an seinem digitalen Sprachtelefon anwesend ist und der Virus, die Schadsoftware oder Bedrohung über E-Mail versendet wurde, kann der Richtlinien-Enforcement-Server 136 durch eine automatisierte Sprachnachricht oder einen Anruf die Mitteilung oder Warnung an das Tischtelefon senden. Die Mitteilung oder Warnung würde die E-Mail durch die Kopfzeile, wie beispielsweise durch die Empfangszeit, die Absendezeit, den Absender, den/die Empfänger, die betreffende Leitung und dergleichen beschreiben. Alternativ dazu könnte die E-Mail unter Quarantäne gestellt werden.
  • In einem abschließenden Beispiel markiert der Richtlinien-Enforcement-Server 136 Bereiche von redundanter oder prozessorintensiver Verschlüsselung, Sicherheitstranscodierung oder anderen Sicherheitsmaßnahmen für Informatikpersonal zur Verbesserung oder Modifikation von Sicherheitsmaßnahmen. Dies könnte umgesetzt werden unter Verwendung von Richtlinienagenten 190 in jedem dazwischenliegenden Router und anderen Knoten (wie beispielsweise dem Gateway 144 (oder der Firewall) und dem Telekommunikationsswitch/-server 140) und den Endpunkten. Wenn an der ausgewählten Kommunikation eine grundlegende Arbeit ausgeführt wird, um die Kommunikation zu übermitteln, wird das Tag aktualisiert, um die Art der grundlegenden Arbeit widerzuspiegeln. Das Tag könnte ein speziell für diesen Zweck vorgesehenes Feld einschließen. Der Richtlinien-Enforcement-Server 136 würde dieses Feld überprüfen und passende Veränderungen an den Sicherheitsmaßnahmen vornehmen, um das Niveau der grundlegenden Arbeit zu verringern. Die Arbeit könnte mit einer geeigneten Terminologie oder Metrik, wie beispielsweise als Benutzung von Datenverarbeitungsressourcen (z. B. CPU, Netzbandbreite und/oder Speicherverwendung oder -anforderungen), beschrieben werden. Die Sicherheitsverbesserung oder -modifikation könnte durch Neuaushandlung der angewendeten Sicherheitsmaßnahme(n) über die Gesamtheit oder einen Teil des Kanals erfolgen.
  • Die obige Liste von Beispielen ist weder erschöpfend noch begrenzend. Wie zu erkennen sein wird, kann das oben erörterte System 100 eine endlose Vielfalt von Funktionen oder Aktivitäten ausüben, von denen die obigen Beispiele nur einen Teil darstellen.
  • Wie zu erkennen sein wird, können alle dieser Module oder Daten alternativ, teilweise oder in Kombination innerhalb des internen Netzes 178, in Speichern des ersten, zweiten ... p-ten Rechners 168a–p und/oder des ersten, zweiten ... n-ten Kommunikationsgeräts 172a–n und innerhalb des externen Netzes 108 auf einem oder mehreren Knoten befindlich sein.
  • Operationen des Richtlinien-Enforcement-Servers und der Richtlinienagenten
  • Es werden nun unter Bezugnahme auf 47 die Operationen des Richtlinien-Enforcement-Servers 136 und der Richtlinienagenten 190 erörtert.
  • Unter Bezugnahme auf 4 initiiert der Richtlinienagent 190 in Schritt 400 auf das Erkennen eines Stimulus, wie beispielsweise eines Empfangs oder einer Auswahl (versuchter Zugriff oder Anfügung) einer ankommenden Kommunikation und/oder eines Anhangs an derselben durch einen Teilnehmer, der dem Gerät entspricht, das den Richtlinienagenten 190 enthält, der Erzeugung oder der versuchten Übermittlung einer Kommunikation und/oder eines Anhangs an derselben durch den Teilnehmer, der Erzeugung, Modifikation und/oder Auswahl (eines versuchten Zugriffs oder einer Anfügung) von ausgewählten Inhalt oder dergleichen, den Betrieb.
  • Als Reaktion analysiert in Schritt 404 das Such-, Analyse- und/oder Tagging-Modul 200 die ausgewählte Kommunikation und/oder den Inhalt und den Kontext derselben.
  • In Schritt 408 identifiziert das Such-, Analyse- und/oder Tagging-Modul 200 angemessene Richtlinienfaktoren und Metadaten in Bezug auf die ausgewählte Kommunikation und/oder den Inhalt.
  • In Schritt 412 aktualisiert und/oder erzeugt das Such-, Analyse- und/oder Tagging-Modul 200 Richtlinien-Tags 300 für die ausgewählte Kommunikation und/oder den Inhalt.
  • In Schritt 416 leitet das Such-, Analyse- und/oder Tagging-Modul 200 die gekennzeichnete Kommunikation und/oder den Inhalt und andere Informationen über die Nachrichtenversand-Schnittstelle 212 an den Richtlinien-Enforcement-Server 136 weiter.
  • Unter Bezugnahme auf 5 empfängt das Analysemodul 184 in dem Richtlinien-Enforcement-Server 136 die getaggte Kommunikation und/oder den Inhalt und die anderen Informationen, wobei der Empfang die Erkennung des Stimulus in Schritt 500 ist.
  • In Schritt 504 analysiert das Analysemodul 184 die ausgewählte Kommunikation und/oder den Inhalt und das angehängte Richtlinien-Tag 300.
  • In Schritt 508 bestimmt das Analysemodul 184 Metadaten in Bezug auf die ausgewählte Kommunikation und/oder den Inhalt.
  • In Schritt 512 identifiziert das Analysemodul 184 angemessene Richtlinienfaktoren in Bezug auf die ausgewählte Kommunikation und/oder den Inhalt. Dieser Schritt kann ferner eine Suche durch das Analysemodul 184 nach anderen ähnlichen Richtlinien-getaggten Kommunikationen oder Inhalt von denselben oder anderen Teilnehmern in dem Unternehmensnetz 104 einschließen.
  • In Schritt 516 aktualisiert oder erzeugt das Analysemodul 184 ein oder mehrere Richtlinien-Tags 300 an der ausgewählten Kommunikation und/oder dem Inhalt.
  • In Schritt 520 leitet das Analysemodul 184 die gekennzeichnete Kommunikation und/oder den Inhalt und andere Informationen an das Steuerungsmodul 172 weiter.
  • Unter Bezugnahme auf 6 empfängt das Steuerungsmodul 172 die Richtlinien-getaggte Kommunikation und/oder den Inhalt und andere Informationen, wobei der Empfang die Erkennung des Stimulus in Schritt 600 ist.
  • In Schritt 604 ruft das Steuerungsmodul 172 von der Sicherheitsrichtlinienmaschine 176 gegebenenfalls geeignete Richtlinien und Regeln ab.
  • In Schritt 608 bildet das Steuerungsmodul 172 die relevanten Richtlinien und Regeln auf identifizierte Richtlinienfaktoren in dem oder den Richtlinien-Tags 300 ab, um vorgeschlagene Richtlinienmaßnahmen zu bestimmen. Dieser Schritt kann ferner eine Suche durch das Steuerungsmodul 172 nach anderen ähnlichen Richtlinien-getaggten Kommunikationen oder Inhalt von demselben oder anderen Teilnehmern in dem Unternehmensnetz 104 einschließen, um ein Verhaltensmuster zu untersuchen.
  • In der Entscheidungsraute 612 stellt das Steuerungsmodul 172 fest, ob die ausgewählte Kommunikation und/oder der Inhalt vorhandene oder vorgeschlagene Richtlinienmaßnahmen hat.
  • Wenn die ausgewählte Kommunikation und/oder der Inhalt keine vorhandene oder von dem Anwender vorgeschlagene Richtlinienmaßnahme haben, wendet das Steuerungsmodul 172 in Schritt 616 durch den Richtlinien-Enforcement-Server 136 vorgeschlagene Richtlinienmaßnahmen an.
  • Wenn die ausgewählte Kommunikation und/oder der Inhalt eine vorhandene oder von dem Anwender vorgeschlagene Richtlinienmaßnahme haben, stellt das Steuerungsmodul 172 in der Entscheidungsraute 620 fest, ob die vorhandenen oder von dem Anwender vorgeschlagenen Richtlinienmaßnahmen angemessen sind. Falls nicht, schreitet das Steuerungsmodul 172 zu Schritt 616 fort. Falls ja, oder nach der Durchführung von Schritt 616, schreitet das Steuerungsmodul 172 zu Schritt 624 fort.
  • In Schritt 624 benachrichtigt das Steuerungsmodul 172 unmittelbar oder mittelbar das Richtlinien-Durchsetzungsmodul 208 in dem meldenden Richtlinienagenten 190 über jegliche vorgeschlagene Richtlinienmaßnahme. Als Reaktion darauf setzt das Richtlinien-Durchsetzungsmodul 208 die Richtlinienmaßnahme(n) um.
  • In Schritt 628 benachrichtigt das Steuerungsmodul 172 das Verwaltungsmodul 180 über jegliche Richtlinien- und/oder Regelverletzung.
  • Unter Bezugnahme auf 7 empfängt das Verwaltungsmodul 180 den Befehl von dem Steuerungsmodul 172, wobei der Empfang als der Stimulus in Schritt 700 wirkt.
  • In Schritt 704 bestimmt das Verwaltungsmodul 180 die relevanten Richtlinien und/oder Regeln für die Richtlinien- und/oder Regelverletzung und bildet dieselben ab, um eine Reaktion zu bestimmen.
  • In Schritt 708 protokolliert das Verwaltungsmodul 180 die Richtlinienverletzung und die festgelegte Reaktion.
  • In Schritt 712 setzt das Verwaltungsmodul 180 die festgelegte Reaktion um.
  • Die beispielhaften Systeme und Verfahren dieser Offenbarung sind in Bezug auf ein verteiltes Verarbeitungsnetz beschrieben worden. Jedoch lässt die vorliegende Beschreibung eine Anzahl von bekannten Strukturen und Geräten weg, um ein unnötiges Verunklaren der vorliegenden Offenbarung zu vermeiden. Dieses Weglassen ist nicht als eine Begrenzung des Umfangs der Ansprüche zu deuten. Es werden spezifische Einzelheiten dargelegt, um ein Verständnis der vorliegenden Offenbarung zu gewährleisten. Es sollte jedoch zu erkennen sein, dass die vorliegende Offenbarung in einer Vielzahl von Weisen über die hierin dargelegte Einzelheit hinaus umgesetzt werden kann.
  • Ferner können, während die hierin illustrierten beispielhaften Aspekte, Ausführungsbeispiele und/oder Konfigurationen die verschiedenen Bestandteile des Systems zusammen angeordnet zeigen, bestimmte Bestandteile des Systems voneinander entfernt, an entfernten Abschnitten eines verteilten Netzes, wie beispielsweise eines LAN und/oder des Internets, oder innerhalb eines dedizierten Systems angeordnet sein. Es sollte folglich zu erkennen sein, dass die Bestandteile des Systems in einem oder mehreren Geräten, wie beispielsweise einem Server, kombiniert oder zusammen an einem bestimmten Knoten eines verteilten Netzes, wie beispielsweise eines analogen und/oder digitalen Telekommunikationsnetzes, eines paketvermittelten Netzes oder eines leitungsvermittelten Netzes, angeordnet sein können. Aus der vorstehenden Beschreibung und aus Gründen der Rechenleistung wird zu erkennen sein, dass die Bestandteile des Systems an einem beliebigen Ort innerhalb eines verteilten Netzes von Bestandteilen angeordnet sein können, ohne die Funktionsweise des Systems zu beeinträchtigen. Zum Beispiel können die verschiedenen Bestandteile in einem Switch, wie beispielsweise einem PBX- und Medienserver, einem Gateway, in einem oder mehreren Kommunikationsgeräten, bei den Räumlichkeiten eines oder mehrerer Anwender oder einer Kombination derselben angeordnet sein. Ähnlich könnten einer oder mehrere funktionelle Abschnitte des Systems zwischen einem oder mehreren Telekommunikationsgeräten und einem zugeordneten Datenverarbeitungsgerät verteilt sein.
  • Ferner sollte zu erkennen sein, dass die verschiedenen Verknüpfungen, welche die Elemente verbinden, drahtgebundene oder drahtlose Verknüpfungen oder eine beliebige Kombination derselben oder beliebiger anderer bekannter oder später entwickelter Elemente sein können, die dazu in der Lage sind, Daten zu und von den verbundenen Elementen zu liefern und/oder zu übermitteln. Diese drahtgebundenen oder drahtlosen Verknüpfungen können ebenfalls sichere Verknüpfungen sein und können dazu in der Lage sein, verschlüsselte Informationen zu übermitteln. Übertragungsmedien, die als Verknüpfungen verwendet werden, können zum Beispiel ein beliebiger geeigneter Träger für elektrische Signale einschließlich von Koaxialkabel, Kupferdraht und Glasfasern sein und können die Form von akustischen oder Lichtwellen, wie beispielsweise die während Hochfrequenz- und Infrarot-Datenübertragungen erzeugten, annehmen.
  • Außerdem sollte, während die Ablaufdiagramme in Bezug auf eine bestimmte Abfolge von Ereignissen erörtert und illustriert worden sind, zu erkennen sein, dass Veränderungen, Hinzufügungen und Weglassungen an dieser Abfolge auftreten können, ohne die Funktionsweise der Erfindung erheblich zu beeinträchtigen.
  • Es kann eine Anzahl von Variationen und Modifikationen der Offenbarung verwendet werden. Es wäre möglich, für einige Merkmale der Offenbarung zu sorgen, ohne andere bereitzustellen.
  • In noch einer anderen Ausführungsform können die Systeme und Verfahren dieser Offenbarung in Verbindung mit einem Spezialrechner, einem programmierten Mikroprozessor oder Mikrocontroller und einem oder mehreren peripheren integrierten Schaltkreiselementen, einem ASIC oder einem anderen integrierten Schaltkreis, einem digitalen Signalprozessor, einem festverdrahteten elektronischen oder logischen Schaltkreis, wie beispielsweise einem Diskrete-Element-Schaltkreis, einem programmierbaren Logikbaustein oder einem Gate Array, wie beispielsweise PLD, PLA, FPGA, PAL, einem Spezialrechner, einem beliebigen vergleichbaren Mittel oder dergleichen umgesetzt werden. Im Allgemeinen können jegliche Geräte oder Mittel, die dazu in der Lage sind, die hierin illustrierte Methodologie umzusetzen, dazu verwendet werden, die verschiedenen Aspekte dieser Offenbarung umzusetzen. Beispielhafte Hardware, die für die offenbarten Ausführungsformen, Konfigurationen und Aspekte verwendet werden kann, schließt Rechner, in der Hand zu haltende Geräte, Telefone (z. B. mobile, internetfähige, digitale, analoge, Hybride und andere) und andere auf dem Gebiet bekannte Hardware ein. Einige dieser Geräte schließen Prozessoren (z. B. einen einzelnen oder mehrere Mikroprozessoren), Speicher, nichtflüchtige Speicher, Eingabegeräte und Ausgabegeräte ein. Ferner können alternative Software-Umsetzungen, insbesondere verteilte Verarbeitung oder komponenten-/objektverteilte Verarbeitung, Parallelverarbeitung oder virtuelle Maschinenverarbeitung, ebenfalls so ausgelegt werden, dass sie die hierin beschriebenen Verfahren umsetzen.
  • In noch einer anderen Ausführungsform können die offenbarten Verfahren leicht in Verbindung mit Software umgesetzt werden, die Objekt- oder objektorientierte Software-Entwicklungsumgebungen verwendet, die einen portierbaren Quellencode bereitstellen, der auf einer Vielzahl von Rechner- oder Arbeitsplatz-Plattformen verwendet werden kann. Alternativ dazu kann das offenbarte System teilweise oder vollständig in Hardware umgesetzt werden, die standardmäßige Logikschaltkreise oder VLSI-Design verwendet. Ob Software oder Hardware verwendet wird, um die Systeme nach dieser Offenbarung umzusetzen, ist abhängig von den Geschwindigkeits- und/oder Effizienzanforderungen des Systems, der besonderen Funktion und den besonderen Software- oder Hardware-Systemen oder Mikroprozessor- oder Mikrorechnersystemen, die benutzt werden.
  • Bei noch einer anderen Ausführungsform können die offenbarten Verfahren teilweise in Software umgesetzt werden, die auf einem Speichermedium gespeichert, auf einem programmierten Allzweckrechner mit der Mitwirkung eines Controllers und Speichers, einem Spezialrechner, einem Mikroprozessor oder dergleichen ausgeführt werden kann. In diesen Fällen können die Systeme und Verfahren dieser Offenbarung als auf einem Arbeitsplatzrechner eingebettetes Programm umgesetzt werden, wie beispielsweise als ein Applet, ein JAVA®- oder CGI-Script, als eine Ressource an einem Server- oder Rechner-Arbeitsplatz, als eine Routine, die in ein dediziertes Messsystem, eine Systemkomponente oder dergleichen eingebettet ist. Das System kann ebenfalls durch das physische Einbinden des Systems und/oder des Verfahrens in ein Software- und/oder Hardware-System umgesetzt werden.
  • Obwohl die vorliegende Offenbarung Komponenten und Funktionen beschreibt, die bei den Aspekten, Ausführungsformen und/oder Konfigurationen unter Bezugnahme auf bestimmte Standards und Protokolle umgesetzt werden, sind die Aspekte, Ausführungsformen und/oder Konfigurationen nicht auf solche Standards und Protokolle begrenzt. Es sind andere ähnliche Standards und Protokolle, die hierin nicht erwähnt werden, vorhanden und werden als in der vorliegenden Offenbarung eingeschlossen betrachtet. Darüber hinaus werden die hierin erwähnten Standards und Protokolle und andere ähnliche Standards und Protokolle, die hierin nicht erwähnt werden, in regelmäßigen Abständen durch schnellere oder effizientere Äquivalente abgelöst, die im Wesentlichen die gleichen Funktionen haben. Solche Ersatzstandards und -protokolle, welche die gleichen Funktionen haben, werden als in der vorliegenden Offenbarung eingeschlossene Äquivalente betrachtet.
  • Die vorliegende Offenbarung beinhaltet in verschiedenen Aspekten, Ausführungsformen und/oder Konfigurationen Komponenten, Verfahren, Prozesse, Systeme und/oder Vorrichtungen, wie sie im Wesentlichen hierin abgebildet und beschrieben werden, einschließlich von verschiedenen Aspekten, Ausführungsformen, Konfigurationsausführungen, Unterkombinationen und Untermengen derselben. Die Fachleute auf dem Gebiet werden nach dem Verstehen der vorliegenden Offenbarung verstehen, wie die offenbarten Aspekte, Ausführungsformen und/oder Konfigurationen herzustellen und zu verwenden sind. Die vorliegende Offenbarung schließt in verschiedenen Ausführungsformen, Konfigurationen und Aspekten das Bereitstellen von Geräten und Prozessen ein, obwohl Gegenstände hierin oder in verschiedenen Aspekten, Ausführungsformen und/oder Konfigurationen nicht abgebildet und/oder beschrieben sind, einschließlich solcher nicht vorhandener Gegenstände, wie sie bei vorherigen Geräten oder Prozessen, z. B. zur Verbesserung der Leistung, Erreichung von Einfachheit und/oder Verringerung von Umsetzungskosten, verwendet worden sind.
  • Die vorstehende Erörterung ist zu Zwecken der Illustration und Beschreibung dargeboten worden. Es ist nicht beabsichtigt, dass das Vorstehende die Offenbarung auf die hierin offenbarte Form oder Formen begrenzt. In der vorstehenden Ausführlichen Beschreibung werden zum Beispiel zum Zweck des Straffens der Offenbarung verschiedene Merkmale der Erfindung in einem oder mehreren Aspekten, Ausführungsformen und/oder Konfigurationen gruppiert. Die Merkmale der Aspekte, Ausführungsformen und/oder Konfigurationen der Offenbarung können in anderen als den weiter oben erörterten alternativen Aspekten, Ausführungsformen und/oder Konfigurationen kombiniert werden. Dieses Verfahren der Offenbarung ist nicht so auszulegen, dass es eine Absicht widerspiegelt, dass die Ansprüche mehr Merkmale erfordern, als sie ausdrücklich in jedem Anspruch angeführt werden. Stattdessen liegen, wie die folgenden Ansprüche widerspiegeln, die erfinderischen Aspekte in weniger als allen Merkmalen eines einzelnen vorstehend offenbarten Aspekts, Ausführungsform und/oder Konfiguration. Folglich werden die folgenden Ansprüche hiermit in diese Ausführliche Beschreibung einbezogen, wobei jeder Anspruch für sich als eine gesonderte bevorzugte Ausführungsform der Offenbarung steht.
  • Darüber hinaus liegen, obwohl die Beschreibung die Beschreibung eines oder mehrerer Aspekte, Ausführungsformen und/oder Konfigurationen und bestimmter Variationen und Modifikationen eingeschlossen hat, andere Variationen, Kombinationen und Modifikationen innerhalb des Rahmen der Offenbarung, wie sie z. B. nach dem Verstehen der vorliegenden Offenbarung innerhalb der Fähigkeit und des Wissens der Fachleute auf dem Gebiet liegen können. Es ist beabsichtigt, Rechte zu erwerben, die alternative Aspekte, Ausführungsformen und/oder Konfigurationen bis zu dem erlaubten Umfang einschließen, einschließlich von alternativen, wechselseitig austauschbaren und/oder äquivalenten Strukturen, Funktionen, Bereichen oder Schritten zu den beanspruchten, ob solche alternativen, wechselseitig austauschbaren und/oder äquivalenten Strukturen, Funktionen, Bereiche oder Schritte hierin offenbart werden oder nicht, und ohne zu beabsichtigen, der Öffentlichkeit irgendeinen patentierbaren Gegenstand zu überlassen.

Claims (21)

  1. Ein Verfahren, das Folgendes umfasst: Bereitstellen eines Unternehmensnetzes, das eine Vielzahl von Teilnehmern, eine Vielzahl von Knoten, wobei jeder Knoten einen Richtlinienagenten zum Überwachen und/oder Verfolgen des Verhaltens des jeweiligen Knotens und/oder eines mit dem jeweiligen Knoten assoziierten Teilnehmers umfasst, und einen Richtlinien-Enforcement-Server aufweist, um Richtlinien und/oder Regeln eines dem Unternehmensnetz entsprechenden Unternehmens durchzusetzen; Anwenden einer Richtlinie und/oder einer Regel als Reaktion auf das überwachte und/oder verfolgte Verhalten.
  2. Verfahren nach Anspruch 1, wobei die Richtlinie und/oder die Regel eine Sicherheitsanforderung betrifft, wobei die Sicherheitsanforderung eine oder mehrere einer Authentifizierungsanforderung zum Zugreifen auf die ausgewählte Kommunikation und/oder den ausgewählten Inhalt, einer Begrenzung auf potenzielle Empfänger der ausgewählten Kommunikation und/oder des ausgewählten Inhalts und einer Kryptografieanforderung ist und wobei der Anwendungsschritt Folgendes umfasst: Feststellen durch einen Richtlinienagenten und/oder einen Richtlinien-Enforcement-Server, dass ein ausgewählter Stimulus aufgetreten ist, wobei der Stimulus einen/eines oder mehrere eines Ablaufs eines ausgewählten Zeitintervalls und eines Auftretens eines Ereignisses ist, das für einen Grad von Sensibilität einer ausgewählten Kommunikation und/oder eines ausgewählten Inhalts für ein dem Unternehmensnetz entsprechendes Unternehmen relevant ist; und als Reaktion auf den festgestellten Stimulus Ändern einer mit der ausgewählten Kommunikation und/oder dem ausgewählten Inhalt assoziierten Sicherheitsanforderung durch einen Richtlinienagenten und/oder einen Richtlinien-Enforcement-Server.
  3. Verfahren nach Anspruch 2, wobei die Sicherheitsanforderung einer/eine/eines oder mehrere von Folgendem ist: ob eine Authentifizierung erforderlich ist; welcher Grad und/oder welcher/welche Typ(en) einer Authentifizierung erforderlich sind; ob eine schwarze Liste zu verwenden ist; welche schwarze Liste zu verwenden ist; ob eine Positiv-Liste zu verwenden ist; welche Positiv-Liste zu verwenden ist; ob eine Zugriffskontrollliste zu verwenden ist; welche Zugriffskontrollliste zu verwenden ist; ob Verschlüsselung zu verwenden ist; eine zu verwendende Verschlüsselungsebene und/oder eine zu verwendende Verschlüsselungsstärke; welcher Verschlüsselungsalgorithmus zu verwenden ist; ein zu verwendendes Kommunikationsmedium; ein zu verwendender Kommunikationspfad; und eine zu verwendende Kommunikationsmodalität.
  4. Verfahren nach Anspruch 1, wobei der Anwendungsschritt Folgendes umfasst: Feststellen einer für eine Richtlinie und/oder eine Regel potenziell relevanten Verhaltensinstanz durch einen ersten Richtlinienagenten, der einem ersten Knoten und einem ersten Teilnehmer entspricht; Benachrichtigen des Richtlinien-Enforcement-Servers über die festgestellte Verhaltensinstanz durch den ersten Richtlinienagenten; und Anwenden einer Richtlinie und/oder einer Regel auf die festgestellte Verhaltensinstanz durch den Richtlinien-Enforcement-Server, wodurch eine Richtlinienmaßnahme implementiert wird.
  5. Verfahren nach Anspruch 4, Verfahren nach Anspruch 1, wobei die Verhaltensinstanz der erste Teilnehmer ist, der beabsichtigt, die eine/den einen oder die mehreren einer ausgewählten Kommunikation und eines ausgewählten Inhalts für eine oder mehrere ausgewählte Parteien zugänglich zu machen, und wobei der Anwendungsschritt folgende Unterschritte umfasst: Empfangen eines Richtlinien-Tags bezüglich einer/eines oder mehrerer der ausgewählten Kommunikation und des ausgewählten Inhalts durch den Richtlinien-Enforcement-Server, wobei das Richtlinien-Tag einen/eine/eines oder mehrere von Folgendem umfasst: eine Persönlichkeit und/oder eine Rolle des ersten Teilnehmers, eine Persönlichkeit und/oder eine Rolle der einen oder der mehreren ausgewählten Parteien, einen Grad von Vertrauen des Unternehmensnetzes zu dem ersten Teilnehmer und/oder einer oder mehreren ausgewählten Parteien, eine Fähigkeit, eine Bereitstellung und/oder eine Präferenz eines Kommunikationsgeräts des ersten Teilnehmers und/oder der einen oder der mehreren ausgewählten Parteien, einen Kontext des ersten Teilnehmers und/oder der einen oder der mehreren ausgewählten Parteien, einen Kontext des Kommunikationsgeräts des ersten Teilnehmers und/oder der einen oder der mehreren ausgewählten Parteien, eine vorhandene Richtlinieneinhaltungsmaßnahme, die vom ersten Teilnehmer für die eine/den einen oder die mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts ausgewählt wird, eine Örtlichkeit für die eine/den einen oder die mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts zur Zugänglichmachung für die eine oder die mehreren ausgewählten Parteien, eine Beschreibung der/des einen oder der mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts, einen Kontext der ausgewählten Kommunikation und/oder des ausgewählten Inhalts und eine Richtlinie und/oder eine Regel, die für die eine/den einen oder die mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts relevant sind; und Festlegen einer anwendbaren Richtlinie und/oder einer anwendbaren Regel durch den Richtlinien-Enforcement-Server basierend auf dem Richtlinien-Tag; und Festlegen einer zu implementierenden Richtlinienmaßnahme durch den Richtlinien-Enforcement-Server, basierend auf der anwendbaren Richtlinie und/oder der anwendbaren Regel.
  6. Verfahren nach Anspruch 1, wobei der Anwendungsschritt Folgendes umfasst: Analysieren einer ausgewählten Kommunikation und/oder eines ausgewählten Inhalts durch einen ersten Richtlinienagenten, der einem ersten Knoten und einem ersten Teilnehmer entspricht und sich in einem Treiber befindet, um eine Verhaltensinstanz zu identifizieren, die für eine Richtlinie und/oder eine Regel potenziell relevant ist; Benachrichtigen eines Richtlinien-Enforcement-Servers über die identifizierte festgelegte Verhaltensinstanz durch den ersten Richtlinienagenten; und Empfangen einer zu implementierenden Richtlinienmaßnahme durch den ersten Richtlinienagenten und von dem Richtlinien-Enforcement-Server her; und Implementieren der empfangenen Richtlinienmaßnahme durch den ersten Richtlinienagenten.
  7. Verfahren nach Anspruch 1, wobei der Anwendungsschritt Folgendes umfasst: Empfangen mindestens einer Anforderung, eine ausgewählte Kommunikation und/oder einen ausgewählten Inhalt zu versenden und einem Nichtteilnehmer Zugriff auf die ausgewählte Kommunikation und/oder den ausgewählten Inhalt zu gewähren, durch einen Knoten in einem Unternehmensnetz, wobei die ausgewählte Kommunikation und/oder der ausgewählte Inhalt sensible Informationen zu einem dem Unternehmensnetz entsprechenden Unternehmen umfassen; Feststellen durch den Knoten, dass der Nichtteilnehmer ein Angehöriger einer vertrauenswürdigen Gruppe ist, wobei die vertrauenswürdige Gruppe als Angehörige mindestens einen Teilnehmer und mindestens einen Nichtteilnehmer umfasst und jedem Angehörigen der vertrauenswürdigen Gruppe vom Unternehmen vertraut wird; und dass als Reaktion darauf, dass der Nichtteilnehmer ein Angehöriger der vertrauenswürdigen Gruppe ist, der Knoten die ausgewählte Kommunikation und/oder den ausgewählten Inhalt versendet und/oder dem Nichtteilnehmer Zugriff auf die ausgewählte Kommunikation und/oder den ausgewählten Inhalt gewährt.
  8. Verfahren nach Anspruch 7, wobei der Teilnehmer und/oder der Nichtteilnehmer ein Angehöriger mehrerer vom Unternehmensnetz anerkannter vertrauenswürdiger Gruppen ist, wobei mindestens zwei der vertrauenswürdigen Gruppen unterschiedliche Grade einer Autorisierung zum Zugreifen auf unterschiedliche Mengen unternehmenssensibler Informationen aufweisen, wobei vertrauenswürdige Gruppen basierend auf einer oder mehreren einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einer Firewall, einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einem Gateway, einer Definition und/oder einer Konfiguration eines Virtual Private Network, eines elektronischen Verzeichnisses für Telefonnummern, eines elektronischen Verzeichnisses für E-Mails, eines elektronischen Unternehmensverzeichnisses, einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einer Back-Office-Anwendung, einer Unternehmenspersonalakte, eines Unternehmensgehaltsabrechnungssystems, eines Sicherheitsberechtigungsnachweises von einer internen und/oder einer Unternehmensnetzquelle, eines Identitätsservers, einer Positiv-Liste, einer schwarzen Liste, einer Zugriffskontrollliste und einer Verwaltungseinstellung gebildet werden, wobei die vertrauenswürdige Gruppe einem/einer oder mehreren eines Handelsbetriebs, eines Projektteams, eines Vorstands, eines Ausschusses, einer Arbeitsgruppe, eines Geschäftsteams und eines Handelskonzerns entspricht, wobei jeder Angehörige der vertrauenswürdigen Gruppe einen jeweiligen Grad einer Vertrauensbeurteilung, der vom Unternehmen definiert wird, aufweist und wobei mindestens zwei Angehörige der vertrauenswürdigen Gruppe unterschiedliche jeweilige Grade von Vertrauensbeurteilungen aufweisen.
  9. Verfahren nach Anspruch 7, wobei ein ausgewählter Angehöriger der vertrauenswürdigen Gruppe, anders als ein Teilnehmer oder Nichtteilnehmer, nicht privilegiert ist, mindestens einen Teil der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu empfangen und/oder darauf zuzugreifen, wobei die vertrauenswürdige Gruppe nach (a) dem Auftreten eines vorher festgelegten Ereignisses, das sich nachteilig auf einen Grad von Vertrauen zwischen dem Unternehmen und dem Nichtteilnehmer auswirkt, und/oder (b) dem Ablauf eines festgelegten Zeitraums nicht mehr anerkannt wird, wobei ein Sicherheitsmechanismus eine gelöschte und/oder eine deaktivierte und/oder eine verweigerte Berechtigung zur Ausführung als Reaktion auf das Auftreten eines vorher festgelegten Ereignisses und/oder den Ablauf eines festgelegten Zeitraums ist, und das ferner Folgendes umfasst: Einschränken des ausgewählten Angehörigen der vertrauenswürdigen Gruppe darin, den mindestens einen Teil der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu empfangen und/oder darauf zuzugreifen.
  10. Verfahren nach Anspruch 4, wobei die zu implementierende Richtlinienmaßnahme eine/eines oder mehrere der Folgenden umfasst: Modifikation einer vorhandenen Sicherheitsmaßnahme für die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Implementierung einer neuen und/oder einer zusätzlichen Sicherheitsmaßnahme für die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Verwendung eines anderen Netzpfads und/oder eines anderen Kanals als gegenwärtig gewählt, um die Übermittlung oder die Übertragung der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu bewirken, Implementierung einer Aktion zum Korrigieren einer vorherigen Richtlinien- oder Regelverletzung, Blockieren, Verzögern und/oder Puffern der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Markieren oder Löschen eines Teils der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts vor dem Zugriff durch eine oder mehrere andere Parteien, Versenden einer Mitteilung über eine Richtlinien- und/oder Regelverletzung an ein oder mehrere ausgewählte Ziele, Einbetten eines Flags, das einen Bereich redundanter und prozessorintensiver Verschlüsselung oder Sicherheitstranscodierung anzeigt, Verhindern des Zugriffs auf die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts durch die eine oder die mehreren ausgewählten Parteien, Verhindern, dass der Teilnehmer ausgewählten Inhalt etwa durch Drag & Drop in eine Kommunikation auswählt, Gewähren von schreibgeschütztem Zugriff auf die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Festsetzen einer Sprungeinschränkung auf die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, wodurch, wenn die Sprungeinschränkung erfüllt oder überschritten wird und/oder ein Sprungzähler bis zu einem ausgewählten Wert inkrementiert oder dekrementiert wird, die/der eine oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts aufgegeben oder auf andere Weise an der Weitersendung an einen vorgesehenen Empfänger gehindert werden, Abbauen eines Kommunikationskanals vor der Übermittlung der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Umleiten der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu einem anderen Ziel und Anzeigen unterschiedlicher Teile der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts für unterschiedliche der einen oder der mehreren ausgewählten Parteien, basierend auf einem jeweiligen Grad von Vertrauen oder eines Privilegs jeder Partei.
  11. Ein nichtflüchtiges, computerlesbares Medium, das prozessorausführbare Anweisungen umfasst, um die Schritte des Feststellens, des Benachrichtigens und des Anwendens nach Anspruch 1 durchzuführen.
  12. Ein System, das Folgendes umfasst: ein Unternehmensnetz, das eine Vielzahl von Teilnehmern aufweist, eine Vielzahl von Knoten, wobei jeder Knoten einen Richtlinienagenten zum Überwachen und/oder Verfolgen des Verhaltens des jeweiligen Knotens und/oder eines mit dem jeweiligen Knoten assoziierten Teilnehmers umfasst, und einen Richtlinien-Enforcement-Server, um Richtlinien und/oder Regeln eines dem Unternehmensnetz entsprechenden Unternehmens durchzusetzen.
  13. System nach Anspruch 12, wobei die Richtlinie und/oder die Regel eine Sicherheitsanforderung betrifft, wobei die Sicherheitsanforderung eine oder mehrere einer Authentifizierungsanforderung zum Zugreifen auf die ausgewählte Kommunikation und/oder den ausgewählten Inhalt, einer Begrenzung auf potenzielle Empfänger der ausgewählten Kommunikation und/oder des ausgewählten Inhalts und einer Kryptografieanforderung ist und wobei ein Richtlinienagent und/oder ein Richtlinien-Enforcement-Server feststellen, dass ein ausgewählter Stimulus aufgetreten ist, wobei der Stimulus ein oder mehrere eines Ablaufs eines ausgewählten Zeitintervalls und eines Auftretens eines Ereignisses ist, das für einen Grad von Sensibilität einer ausgewählten Kommunikation und/oder eines ausgewählten Inhalts für ein dem Unternehmensnetz entsprechendes Unternehmen relevant ist, und wobei als Reaktion auf den festgestellten Stimulus der Richtlinienagent und/oder der Richtlinien-Enforcement-Server eine mit der ausgewählten Kommunikation und/oder dem ausgewählten Inhalt assoziierte Sicherheitsanforderung ändern.
  14. System nach Anspruch 13, wobei die Sicherheitsanforderung einer/eine/eines oder mehrere von Folgendem ist: ob eine Authentifizierung erforderlich ist; welcher Grad und/oder welcher/welche Typ/-en einer Authentifizierung erforderlich sind; ob eine schwarze Liste zu verwenden ist; welche schwarze Liste zu verwenden ist; ob eine Positiv-Liste zu verwenden ist; welche Positiv-Liste zu verwenden ist; ob eine Zugriffskontrollliste zu verwenden ist; welche Zugriffskontrollliste zu verwenden ist; ob Verschlüsselung zu verwenden ist; eine zu verwendende Verschlüsselungsebene und/oder eine zu verwendende Verschlüsselungsstärke; welcher Verschlüsselungsalgorithmus zu verwenden ist; ein zu verwendendes Kommunikationsmedium; ein zu verwendender Kommunikationspfad; und eine zu verwendende Kommunikationsmodalität.
  15. System nach Anspruch 12, wobei ein erster Richtlinienagent, der einem ersten Knoten und einem ersten Teilnehmer entspricht, eine Verhaltensinstanz feststellt, die für eine Richtlinie und/oder eine Regel potenziell relevant ist, und den Richtlinien-Enforcement-Server über die festgestellte Verhaltensinstanz benachrichtigt, und wobei der Richtlinien-Enforcement-Server eine Richtlinie und/oder eine Regel auf die festgestellte Verhaltensinstanz anwendet, wodurch eine Richtlinienmaßnahme implementiert wird.
  16. System nach Anspruch 15, Verfahren nach Anspruch 1, wobei die Verhaltensinstanz der erste Teilnehmer ist, der beabsichtigt, die eine/den einen oder die mehreren einer ausgewählten Kommunikation und eines ausgewählten Inhalts für eine oder mehrere ausgewählte Parteien zugänglich zu machen, und wobei der Richtlinien-Enforcement-Server ein Richtlinien-Tag bezüglich einer/eines oder mehrerer der ausgewählten Kommunikation und des ausgewählten Inhalts empfängt und wobei das Richtlinien-Tag einen/eine/eines oder mehrere der Folgenden umfasst: eine Persönlichkeit und/oder eine Rolle des ersten Teilnehmers, eine Persönlichkeit und/oder eine Rolle der einen oder der mehreren ausgewählten Parteien, einen Grad von Vertrauen des Unternehmensnetzes zu dem ersten Teilnehmer und/oder einer oder mehreren ausgewählten Parteien, eine Fähigkeit, eine Bereitstellung und/oder eine Präferenz eines Kommunikationsgeräts des ersten Teilnehmers und/oder der einen oder der mehreren ausgewählten Parteien, einen Kontext des ersten Teilnehmers und/oder der einen oder der mehreren ausgewählten Parteien, einen Kontext des Kommunikationsgeräts des ersten Teilnehmers und/oder der einen oder der mehreren ausgewählten Parteien, eine vorhandene Richtlinieneinhaltungsmaßnahme, die vom ersten Teilnehmer für die eine/den einen oder die mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts ausgewählt wird, eine Örtlichkeit für die eine/den einen oder die mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts zur Zugänglichmachung für die eine oder die mehreren ausgewählten Parteien, eine Beschreibung der/des einen oder der mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts, einen Kontext der ausgewählten Kommunikation und/oder des ausgewählten Inhalts und eine Richtlinie und/oder eine Regel, die für die eine/den einen oder die mehreren der ausgewählten Kommunikation und des ausgewählten Inhalts relevant sind; und Festlegen einer anwendbaren Richtlinie und/oder einer anwendbaren Regel durch den Richtlinien-Enforcement-Server, basierend auf dem Richtlinien-Tag; und Festlegen einer zu implementierenden Richtlinienmaßnahme durch den Richtlinien-Enforcement-Server, basierend auf der anwendbaren Richtlinie und/oder der anwendbaren Regel.
  17. System nach Anspruch 12, wobei ein erster Richtlinienagent, der einem ersten Knoten und einem ersten Teilnehmer entspricht und sich in einem Treiber befindet, eine ausgewählte Kommunikation und/oder einen ausgewählten Inhalt analysiert, um eine Verhaltensinstanz zu identifizieren, die für eine Richtlinie und/oder eine Regel potenziell relevant ist, den Richtlinien-Enforcement-Server über die identifizierte festgelegte Verhaltensinstanz benachrichtigt, vom Richtlinien-Enforcement-Server eine zu implementierende Richtlinienmaßnahme empfängt und die empfangene Richtlinienmaßnahme implementiert.
  18. System nach Anspruch 12, wobei ein Knoten im Unternehmensnetz mindestens eine Anforderung empfängt, eine ausgewählte Kommunikation und/oder einen ausgewählten Inhalt zu versenden und einem Nichtteilnehmer Zugriff auf die ausgewählte Kommunikation und/oder den ausgewählten Inhalt zu gewähren, wobei die ausgewählte Kommunikation und/oder der ausgewählte Inhalt sensible Informationen zu einem dem Unternehmensnetz entsprechenden Unternehmen umfasst, feststellt, dass der Nichtteilnehmer ein Angehöriger einer vertrauenswürdigen Gruppe ist, wobei die vertrauenswürdige Gruppe als Angehörige mindestens einen Teilnehmer und mindestens einen Nichtteilnehmer umfasst und jedem Angehörigen der vertrauenswürdigen Gruppe vom Unternehmen vertraut wird, und als Reaktion darauf, dass der Nichtteilnehmer ein Angehöriger der vertrauenswürdigen Gruppe ist, die ausgewählte Kommunikation und/oder den ausgewählten Inhalt versendet und/oder dem Nichtteilnehmer Zugriff auf die ausgewählte Kommunikation und/oder den ausgewählten Inhalt gewährt.
  19. System nach Anspruch 18, wobei der Teilnehmer und/oder der Nichtteilnehmer ein Angehöriger mehrerer vom Unternehmensnetz anerkannter vertrauenswürdiger Gruppen ist, wobei mindestens zwei der vertrauenswürdigen Gruppen unterschiedliche Grade einer Autorisierung zum Zugreifen auf unterschiedliche Mengen unternehmenssensibler Informationen aufweisen, wobei vertrauenswürdige Gruppen basierend auf einer oder mehreren einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einer Firewall, einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einem Gateway, einer Definition und/oder einer Konfiguration eines Virtual Private Network, eines elektronischen Verzeichnisses für Telefonnummern, eines elektronischen Verzeichnisses für E-Mails, eines elektronischen Unternehmensverzeichnisses, einer verbindlichen und/oder einer vertrauenswürdigen Eingabe von einer Back-Office-Anwendung, einer Unternehmenspersonalakte, eines Unternehmensgehaltsabrechnungssystems, eines Sicherheitsberechtigungsnachweises von einer internen und/oder einer Unternehmensnetzquelle, eines Identitätsservers, einer Positiv-Liste, einer schwarzen Liste, einer Zugriffskontrollliste und einer Verwaltungseinstellung gebildet werden, wobei die vertrauenswürdige Gruppe einem/einer oder mehreren eines Handelsbetriebs, eines Projektteams, eines Vorstands, eines Ausschusses, einer Arbeitsgruppe, eines Geschäftsteams und eines Handelskonzerns entspricht, wobei jeder Angehörige der vertrauenswürdigen Gruppe einen jeweiligen Grad einer Vertrauensbeurteilung aufweist und wobei mindestens zwei Angehörige der vertrauenswürdigen Gruppe unterschiedliche jeweilige Grade von Vertrauensbeurteilungen aufweisen.
  20. System nach Anspruch 18, wobei ein ausgewählter Angehöriger der vertrauenswürdigen Gruppe, der nicht Teilnehmer oder Nichtteilnehmer ist, nicht privilegiert ist, mindestens einen Teil der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu empfangen und/oder darauf zuzugreifen, wobei die vertrauenswürdige Gruppe nach (a) dem Auftreten eines vorher festgelegten Ereignisses, das sich nachteilig auf einen Grad von Vertrauen zwischen dem Unternehmen und dem Nichtteilnehmer auswirkt, und/oder (b) dem Ablauf eines festgelegten Zeitraums nicht mehr anerkannt wird, wobei ein Sicherheitsmechanismus eine gelöschte und/oder eine deaktivierte und/oder eine verweigerte Berechtigung zur Ausführung als Reaktion auf das Auftreten eines vorher festgelegten Ereignisses und/oder den Ablauf eines festgelegten Zeitraums ist, und ferner Folgendes umfasst: Einschränken des ausgewählten Angehörigen der vertrauenswürdigen Gruppe darin, den mindestens einen Teil der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu empfangen und/oder darauf zuzugreifen.
  21. System nach Anspruch 15, wobei die zu implementierende Richtlinienmaßnahme eine/eines oder mehrere von Folgendem umfasst: Modifikation einer vorhandenen Sicherheitsmaßnahme für die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Implementierung einer neuen und/oder einer zusätzlichen Sicherheitsmaßnahme für die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Verwendung eines anderen Netzpfads und/oder eines anderen Kanals als gegenwärtig gewählt, um die Übermittlung oder die Übertragung der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu bewirken, Implementierung einer Aktion zum Korrigieren einer vorherigen Richtlinien- oder Regelverletzung, Blockieren, Verzögern und/oder Puffern der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Markieren oder Löschen eines Teils der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts vor dem Zugriff durch eine oder mehrere andere Parteien, Versenden einer Mitteilung über eine Richtlinien- und/oder Regelverletzung an ein oder mehrere ausgewählte Ziele, Einbetten eines Flags, das einen Bereich von redundanter und prozessorintensiver Verschlüsselung oder Sicherheitstranscodierung anzeigt, Verhindern des Zugriffs auf die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts durch die eine oder die mehreren ausgewählten Parteien, Verhindern, dass der Teilnehmer ausgewählten Inhalt etwa durch Drag & Drop in eine Kommunikation auswählt, Gewähren von schreibgeschütztem Zugriff auf die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Festsetzen einer Sprungeinschränkung auf die eine/den einen oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, wodurch, wenn die Sprungeinschränkung erfüllt oder überschritten wird und/oder ein Sprungzähler bis zu einem ausgewählten Wert inkrementiert oder dekrementiert wird, die/der eine oder die mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts aufgegeben oder auf andere Weise an der Weitersendung an einen vorgesehenen Empfänger gehindert werden, Abbauen eines Kommunikationskanals vor der Übermittlung der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts, Umleiten der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts zu einem anderen Ziel und Anzeigen unterschiedlicher Teile der/des einen oder der mehreren der ausgewählten Kommunikation und/oder des ausgewählten Inhalts für unterschiedliche der einen oder der mehreren ausgewählten Parteien, basierend auf einem jeweiligen Grad von Vertrauen oder eines Privilegs jeder Partei.
DE112011100626T 2010-02-22 2011-02-18 Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA) Ceased DE112011100626T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US30668510P 2010-02-22 2010-02-22
US61/306,685 2010-02-22
PCT/US2011/025380 WO2011103385A1 (en) 2010-02-22 2011-02-18 Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as soa

Publications (1)

Publication Number Publication Date
DE112011100626T5 true DE112011100626T5 (de) 2013-01-24

Family

ID=44477577

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112011100626T Ceased DE112011100626T5 (de) 2010-02-22 2011-02-18 Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA)

Country Status (4)

Country Link
US (4) US10015169B2 (de)
DE (1) DE112011100626T5 (de)
GB (1) GB2507941B (de)
WO (1) WO2011103385A1 (de)

Families Citing this family (282)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862866B2 (en) * 2003-07-07 2014-10-14 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
US8245279B2 (en) 2003-08-19 2012-08-14 Certicom Corp. Method and apparatus for synchronizing an adaptable security level in an electronic communication
CA2941216C (en) 2006-04-13 2018-11-27 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
US7797746B2 (en) 2006-12-12 2010-09-14 Fortinet, Inc. Detection of undesired computer files in archives
US9015301B2 (en) * 2007-01-05 2015-04-21 Digital Doors, Inc. Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor
US8955122B2 (en) * 2007-04-04 2015-02-10 Sri International Method and apparatus for detecting malware infection
GB2458568B (en) * 2008-03-27 2012-09-19 Covertix Ltd System and method for dynamically enforcing security policies on electronic files
US8683544B2 (en) * 2008-05-14 2014-03-25 Bridgewater Systems Corp. System and method for providing access to a network using flexible session rights
US9178842B2 (en) 2008-11-05 2015-11-03 Commvault Systems, Inc. Systems and methods for monitoring messaging applications for compliance with a policy
US20130268598A1 (en) * 2009-03-31 2013-10-10 Voispot, Llc Dropped Call Notification System and Method
US8768930B2 (en) * 2009-10-10 2014-07-01 Oracle International Corporation Product classification in procurement systems
US10015169B2 (en) * 2010-02-22 2018-07-03 Avaya Inc. Node-based policy-enforcement across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA
GB201003296D0 (en) * 2010-02-26 2010-04-14 Omnifone Ltd Acorn 1
US9059971B2 (en) * 2010-03-10 2015-06-16 Koolspan, Inc. Systems and methods for secure voice communications
US8464063B2 (en) * 2010-03-10 2013-06-11 Avaya Inc. Trusted group of a plurality of devices with single sign on, secure authentication
US8874951B1 (en) * 2010-04-05 2014-10-28 Cloudpic Global Inc. Private peer-to-peer network platform for secure collaborative production and management of digital assets
US20110252382A1 (en) * 2010-04-07 2011-10-13 International Business Machines Corporation Process performance using a people cloud
US20110252463A1 (en) * 2010-04-09 2011-10-13 Oracle International Corporation Method and system for providing enterprise procurement network
US8453212B2 (en) * 2010-07-27 2013-05-28 Raytheon Company Accessing resources of a secure computing network
US8719207B2 (en) 2010-07-27 2014-05-06 Oracle International Corporation Method and system for providing decision making based on sense and respond
GB2483648A (en) * 2010-09-14 2012-03-21 Mastek Uk Ltd Obfuscation of data elements in a message associated with a detected event of a defined type
US8650587B2 (en) * 2011-07-06 2014-02-11 Symphony Advanced Media Mobile content tracking platform apparatuses and systems
US9565117B2 (en) * 2010-12-22 2017-02-07 Cisco Technology, Inc. Adaptive intelligent routing in a communication system
US8661327B1 (en) * 2011-01-06 2014-02-25 Intuit Inc. Method and system for automated insertion of relevant hyperlinks into social media-based communications
US10115154B2 (en) * 2011-01-20 2018-10-30 Martin Claude Lefebvre Method and apparatus for inbound message management
US9369433B1 (en) 2011-03-18 2016-06-14 Zscaler, Inc. Cloud based social networking policy and compliance systems and methods
US8843734B2 (en) * 2011-04-04 2014-09-23 Nextlabs, Inc. Protecting information using policies and encryption
US9087189B1 (en) 2011-05-03 2015-07-21 Symantec Corporation Network access control for cloud services
US20130104194A1 (en) * 2011-05-05 2013-04-25 Carlo RAGO Method and system for grant management and development cycle optimization
JP2012238218A (ja) * 2011-05-12 2012-12-06 Sony Corp 情報処理装置、情報処理方法及びコンピュータプログラム
US9794848B2 (en) * 2011-07-25 2017-10-17 Ethertronics, Inc. Method and system for priority-based handoff
JP5743786B2 (ja) * 2011-07-28 2015-07-01 キヤノン株式会社 サーバー装置、情報処理方法及びプログラム
US9185169B2 (en) 2011-07-29 2015-11-10 Avaya Inc. Methods, systems, and computer-readable media for self-learning interactive communications privileges for governing interactive communications with entities outside a domain
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8966589B2 (en) 2011-08-24 2015-02-24 Avaya Inc. Methods, systems, and computer-readable media for exception handling of interactive communications privileges governing interactive communications with entities outside a domain
US9491146B2 (en) 2011-09-07 2016-11-08 Elwha Llc Computational systems and methods for encrypting data for anonymous storage
US9928485B2 (en) 2011-09-07 2018-03-27 Elwha Llc Computational systems and methods for regulating information flow during interactions
US10198729B2 (en) 2011-09-07 2019-02-05 Elwha Llc Computational systems and methods for regulating information flow during interactions
US10523618B2 (en) 2011-09-07 2019-12-31 Elwha Llc Computational systems and methods for identifying a communications partner
US9473647B2 (en) 2011-09-07 2016-10-18 Elwha Llc Computational systems and methods for identifying a communications partner
US10546306B2 (en) 2011-09-07 2020-01-28 Elwha Llc Computational systems and methods for regulating information flow during interactions
US10185814B2 (en) * 2011-09-07 2019-01-22 Elwha Llc Computational systems and methods for verifying personal information during transactions
US9747561B2 (en) 2011-09-07 2017-08-29 Elwha Llc Computational systems and methods for linking users of devices
US9690853B2 (en) 2011-09-07 2017-06-27 Elwha Llc Computational systems and methods for regulating information flow during interactions
US9432190B2 (en) 2011-09-07 2016-08-30 Elwha Llc Computational systems and methods for double-encrypting data for subsequent anonymous storage
US9159055B2 (en) 2011-09-07 2015-10-13 Elwha Llc Computational systems and methods for identifying a communications partner
US9195848B2 (en) 2011-09-07 2015-11-24 Elwha, Llc Computational systems and methods for anonymized storage of double-encrypted data
US9141977B2 (en) 2011-09-07 2015-09-22 Elwha Llc Computational systems and methods for disambiguating search terms corresponding to network members
US20130074143A1 (en) * 2011-09-15 2013-03-21 Mcafee, Inc. System and method for real-time customized threat protection
US9825967B2 (en) 2011-09-24 2017-11-21 Elwha Llc Behavioral fingerprinting via social networking interaction
US9083687B2 (en) 2011-09-24 2015-07-14 Elwha Llc Multi-device behavioral fingerprinting
US20130191887A1 (en) * 2011-10-13 2013-07-25 Marc E. Davis Social network based trust verification Schema
US9729549B2 (en) 2011-09-24 2017-08-08 Elwha Llc Behavioral fingerprinting with adaptive development
US9348985B2 (en) 2011-11-23 2016-05-24 Elwha Llc Behavioral fingerprint controlled automatic task determination
US9298900B2 (en) 2011-09-24 2016-03-29 Elwha Llc Behavioral fingerprinting via inferred personal relation
US9407663B1 (en) * 2011-09-28 2016-08-02 Emc Corporation Method and apparatus for man-in-the-middle agent-assisted client filtering
US9467424B2 (en) 2011-10-07 2016-10-11 Salesforce.Com, Inc. Methods and systems for proxying data
US20140053234A1 (en) 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US9215225B2 (en) 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9378359B2 (en) 2011-10-11 2016-06-28 Citrix Systems, Inc. Gateway for controlling mobile device access to enterprise resources
US9264534B2 (en) * 2011-10-18 2016-02-16 Avaya Inc. Methods, systems, and computer-readable media for self-maintaining interactive communications privileges governing interactive communications with entities outside a domain
US10277421B2 (en) * 2011-10-31 2019-04-30 Extreme Networks, Inc. Route lookup resolution
US10291658B2 (en) * 2011-11-09 2019-05-14 Microsoft Technology Licensing, Llc Techniques to apply and share remote policies on mobile devices
US8738477B2 (en) 2011-11-10 2014-05-27 Connexive, Inc. Method and apparatus for automated bill timeline
US9047489B2 (en) * 2011-11-14 2015-06-02 Wave Systems Corp. Security systems and methods for social networking
US9043866B2 (en) * 2011-11-14 2015-05-26 Wave Systems Corp. Security systems and methods for encoding and decoding digital content
US9015857B2 (en) 2011-11-14 2015-04-21 Wave Systems Corp. Security systems and methods for encoding and decoding digital content
US8893261B2 (en) * 2011-11-22 2014-11-18 Vmware, Inc. Method and system for VPN isolation using network namespaces
US20140366084A1 (en) * 2012-01-25 2014-12-11 Nec Corporation Management system, management method, and non-transitory storage medium
US9954865B2 (en) 2012-02-23 2018-04-24 Accenture Global Services Limited Sensors for a resource
US20130227712A1 (en) * 2012-02-23 2013-08-29 Accenture Global Services Limited Method and system for resource management based on adaptive risk-based access controls
US8925053B1 (en) 2012-02-24 2014-12-30 Emc Corporation Internet-accessible service for dynamic authentication and continuous assertion of trust level in identities
US9460303B2 (en) * 2012-03-06 2016-10-04 Microsoft Technology Licensing, Llc Operating large scale systems and cloud services with zero-standing elevated permissions
US9444840B2 (en) * 2012-03-13 2016-09-13 Alcatel Lucent Method and apparatus for a distributed security service in a cloud network
US10235346B2 (en) 2012-04-06 2019-03-19 Hmbay Patents Llc Method and apparatus for inbound message summarization using message clustering and message placeholders
US9225745B2 (en) * 2012-06-14 2015-12-29 The One Page Company Inc. Proposal system access policy enforcement
US9223986B2 (en) * 2012-04-24 2015-12-29 Samsung Electronics Co., Ltd. Method and system for information content validation in electronic devices
JP2013250746A (ja) * 2012-05-31 2013-12-12 Nintendo Co Ltd サーバ装置、情報処理方法、プログラムおよび情報処理システム
US9578060B1 (en) 2012-06-11 2017-02-21 Dell Software Inc. System and method for data loss prevention across heterogeneous communications platforms
US9390240B1 (en) 2012-06-11 2016-07-12 Dell Software Inc. System and method for querying data
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
US9501744B1 (en) 2012-06-11 2016-11-22 Dell Software Inc. System and method for classifying data
US8893218B2 (en) * 2012-06-15 2014-11-18 International Business Machines Corporation Association of service policies based on the application of message content filters
US8972511B2 (en) * 2012-06-18 2015-03-03 OpenQ, Inc. Methods and apparatus for analyzing social media for enterprise compliance issues
US9392049B2 (en) * 2012-06-19 2016-07-12 Empire Technology Development Llc Automatic content forwarding to communication networks of content posted from a user
US20130346466A1 (en) * 2012-06-22 2013-12-26 Microsoft Corporation Identifying outliers in a large set of objects
US10193887B2 (en) * 2012-07-10 2019-01-29 Oath Inc. Network appliance
US9047587B2 (en) * 2012-07-16 2015-06-02 Sap Portals Israel Ltd Incorporating electronic communication data content into an enterprise workspace
US9660947B1 (en) * 2012-07-27 2017-05-23 Intuit Inc. Method and apparatus for filtering undesirable content based on anti-tags
GB2505208A (en) * 2012-08-22 2014-02-26 Ibm Node attribute validation in a network
US10044648B2 (en) * 2012-09-09 2018-08-07 Jianping He Messaging and updating services over the air from application servers to applications in mobile devices
DE102013110613B4 (de) * 2012-09-28 2017-05-24 Avaya Inc. Verteilte Anwendung von Unternehmensrichtlinien auf interaktive Web-Real-Time-Communications(WebRTC)-Sitzungen und verwandte Verfahren, Systeme und computerlesbare Medien
US9189645B2 (en) 2012-10-12 2015-11-17 Citrix Systems, Inc. Sharing content across applications and devices having multiple operation modes in an orchestration framework for connected devices
US9516022B2 (en) 2012-10-14 2016-12-06 Getgo, Inc. Automated meeting room
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US9606774B2 (en) 2012-10-16 2017-03-28 Citrix Systems, Inc. Wrapping an application with field-programmable business logic
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US9170800B2 (en) 2012-10-16 2015-10-27 Citrix Systems, Inc. Application wrapping for application management framework
TWI540869B (zh) * 2012-10-26 2016-07-01 緯創資通股份有限公司 用於網路系統的點對點傳輸訊息方法及網路系統
US9111069B1 (en) * 2012-10-26 2015-08-18 Symantec Corporation Language detection to improve efficiency of content scanning engine in data loss prevention (DLP) systems
US9729695B2 (en) 2012-11-20 2017-08-08 Dropbox Inc. Messaging client application interface
US9935907B2 (en) * 2012-11-20 2018-04-03 Dropbox, Inc. System and method for serving a message client
US9124635B2 (en) 2012-11-30 2015-09-01 Intel Corporation Verified sensor data processing
US9148787B2 (en) 2012-12-06 2015-09-29 Google Technology Holdings LLC Apparatus and method for accessing WiFi networks
US9794288B1 (en) * 2012-12-19 2017-10-17 EMC IP Holding Company LLC Managing policy
US9246839B2 (en) 2013-01-02 2016-01-26 International Business Machines Corporation Extending organizational boundaries throughout a cloud architecture
US20140195944A1 (en) * 2013-01-09 2014-07-10 International Business Machines Corporation Management of resources for tasks with virtual composite service agents
US9367542B2 (en) * 2013-01-10 2016-06-14 International Business Machines Corporation Facilitating access to resource(s) idenfitied by reference(s) included in electronic communications
US9756083B2 (en) * 2013-02-01 2017-09-05 Avaya Inc. System and method for context-aware participant management
US9369431B1 (en) * 2013-02-07 2016-06-14 Infoblox Inc. Security device controller
US9430116B2 (en) * 2013-02-12 2016-08-30 International Business Machines Corporation Visualization of runtime resource policy attachments and applied policy details
US20140244741A1 (en) * 2013-02-25 2014-08-28 Stellr, Inc. Computer-Implemented System And Method For Context-Based APP Searching And APP Use Insights
US9154377B1 (en) * 2013-02-26 2015-10-06 Symantec Corporation Systems and methods for managing devices across disconnected environments
US10069862B2 (en) * 2013-03-15 2018-09-04 Symantec Corporation Techniques for predicting and protecting spearphishing targets
US8849979B1 (en) 2013-03-29 2014-09-30 Citrix Systems, Inc. Providing mobile device management functionalities
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US8849978B1 (en) 2013-03-29 2014-09-30 Citrix Systems, Inc. Providing an enterprise application store
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9246885B2 (en) * 2013-04-02 2016-01-26 International Business Machines Corporation System, method, apparatus and computer programs for securely using public services for private or enterprise purposes
JP6069580B2 (ja) 2013-04-10 2017-02-01 イルミオ, インコーポレイテッドIllumio,Inc. 論理的多次元ラベルベースのポリシーモデルを使用した分散型ネットワークマネージメント
TWI497342B (zh) * 2013-05-27 2015-08-21 Iswind Digital Engineering Inc 基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體
US9246945B2 (en) * 2013-05-29 2016-01-26 International Business Machines Corporation Techniques for reconciling permission usage with security policy for policy optimization and monitoring continuous compliance
US9197601B2 (en) * 2013-06-05 2015-11-24 Bat Blue Networks, Inc. System and method for providing a single global borderless virtual perimeter through distributed points of presence
US20140379915A1 (en) * 2013-06-19 2014-12-25 Cisco Technology, Inc. Cloud based dynamic access control list management architecture
US9443093B2 (en) * 2013-06-20 2016-09-13 Amazon Technologies, Inc. Policy enforcement delays
JP6152475B2 (ja) 2013-06-23 2017-06-21 インテル・コーポレーション 受取人が興味のあるギフトをクラウドソーシングすることのような、文脈関係情報に基づくユーザ情報の選択的シェアリング
US20140379598A1 (en) * 2013-06-25 2014-12-25 Harvest Exchange Corporation Method and system for regulating content posted on social media sites
KR102071530B1 (ko) * 2013-07-12 2020-01-30 삼성전자주식회사 디나이얼 발생시 대응 메뉴얼을 제안하는 전자 장치 및 방법
US9210176B2 (en) * 2013-07-31 2015-12-08 Symantec Corporation Mobile device connection control for synchronization and remote data access
US10122656B2 (en) * 2013-08-05 2018-11-06 Oath Inc. Systems and methods for managing electronic communications
US9411702B2 (en) * 2013-08-30 2016-08-09 Globalfoundries Inc. Flexible and modular load testing and monitoring of workloads
US9942115B2 (en) * 2013-09-26 2018-04-10 Viavi Solutions Inc. Techniques for providing visualization and analysis of performance data
CN105684391B (zh) * 2013-11-04 2019-06-07 伊尔拉米公司 基于标签的访问控制规则的自动生成
WO2015066208A1 (en) 2013-11-04 2015-05-07 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
WO2015084313A1 (en) * 2013-12-02 2015-06-11 Intel Corporation Protection system including security rule evaluation
US11611473B2 (en) * 2014-01-14 2023-03-21 Zixcorp Systems, Inc. Provisioning a service using file distribution technology
US12013819B2 (en) 2014-01-14 2024-06-18 Zixcorp Systems, Inc. Asynchronous method for provisioning a service using file distribution technology
US9444819B2 (en) * 2014-01-16 2016-09-13 International Business Machines Corporation Providing context-based visibility of cloud resources in a multi-tenant environment
US9940835B2 (en) * 2014-01-16 2018-04-10 International Business Machines Corporation Dynamically routing messages in a publish/subscribe system by creating temporal topics for subscriptions and publications
KR20150096274A (ko) * 2014-02-14 2015-08-24 삼성전자주식회사 웹 브라우저에서 화상형성장치의 주소록을 활용하는 방법 및 이를 수행하기 위한 화상형성장치
US9754117B2 (en) 2014-02-24 2017-09-05 Northcross Group Security management system
US9852209B2 (en) * 2014-04-11 2017-12-26 International Business Machines Corporation Bidirectional integration of information between a microblog and a data repository
US10073978B2 (en) 2014-04-16 2018-09-11 International Business Machines Corporation Efficient modification and creation of authorization settings for user accounts
US10152605B2 (en) * 2014-05-21 2018-12-11 Siddharth Shetye Systems and methods for front-end and back-end data security protocols
US9349016B1 (en) 2014-06-06 2016-05-24 Dell Software Inc. System and method for user-context-based data loss prevention
US10693895B2 (en) * 2014-07-22 2020-06-23 Micro Focus Llc Security indicator access determination
WO2016015141A1 (en) * 2014-07-28 2016-02-04 Infosec Global Inc. System and method for cryptographic suite management
US11061991B2 (en) 2014-09-05 2021-07-13 Airwatch, Llc Secure document sharing
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10592108B2 (en) * 2014-09-30 2020-03-17 Anthony Tan Secured storage system with temporary external assignable memory
US9307451B1 (en) * 2014-12-02 2016-04-05 International Business Machines Corporation Dynamic enterprise boundary determination for external mobile devices
US10122757B1 (en) * 2014-12-17 2018-11-06 Amazon Technologies, Inc. Self-learning access control policies
US10986131B1 (en) 2014-12-17 2021-04-20 Amazon Technologies, Inc. Access control policy warnings and suggestions
US10454933B2 (en) * 2015-01-21 2019-10-22 Sequitur Labs, Inc. System and methods for policy-based active data loss prevention
US9584587B2 (en) * 2015-02-03 2017-02-28 Fortinet, Inc. Managing transmission and storage of sensitive data
US10043030B1 (en) 2015-02-05 2018-08-07 Amazon Technologies, Inc. Large-scale authorization data collection and aggregation
US10326748B1 (en) 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9762585B2 (en) 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US10110496B2 (en) * 2015-03-31 2018-10-23 Juniper Networks, Inc. Providing policy information on an existing communication channel
US9842218B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9842220B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9563782B1 (en) 2015-04-10 2017-02-07 Dell Software Inc. Systems and methods of secure self-service access to content
US9641555B1 (en) 2015-04-10 2017-05-02 Dell Software Inc. Systems and methods of tracking content-exposure events
US9569626B1 (en) 2015-04-10 2017-02-14 Dell Software Inc. Systems and methods of reporting content-exposure events
US9934475B2 (en) * 2015-05-13 2018-04-03 Bank Of America Corporation Managing enterprise data movement using a heuristic data movement detection engine
US10127211B2 (en) * 2015-05-20 2018-11-13 International Business Machines Corporation Overlay of input control to identify and restrain draft content from streaming
US9817957B1 (en) 2015-06-04 2017-11-14 EMC IP Holding Company LLC Access management based on active environment comprising dynamically reconfigurable sets of smart objects
US10931682B2 (en) 2015-06-30 2021-02-23 Microsoft Technology Licensing, Llc Privileged identity management
US10404568B2 (en) * 2015-07-31 2019-09-03 Cisco Technology, Inc. Agent manager for distributed transaction monitoring system
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US10747895B2 (en) 2015-09-25 2020-08-18 T-Mobile Usa, Inc. Distribute big data security architecture
US10432642B2 (en) 2015-09-25 2019-10-01 T-Mobile Usa, Inc. Secure data corridors for data feeds
US10432641B2 (en) * 2015-09-25 2019-10-01 T-Mobile Usa, Inc. Secure data corridors
US9866592B2 (en) 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
WO2017091434A1 (en) 2015-11-25 2017-06-01 Carrier Corporation Extraction of policies from static permissions and access events for physical access control
CN105512283B (zh) * 2015-12-04 2019-05-03 国网江西省电力公司信息通信分公司 数据质量管理控制方法及装置
US10230734B2 (en) * 2015-12-08 2019-03-12 Quest Software Inc. Usage-based modification of user privileges
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes
US10204384B2 (en) * 2015-12-21 2019-02-12 Mcafee, Llc Data loss prevention of social media content
US20170243013A1 (en) * 2016-02-18 2017-08-24 USAN, Inc. Multi-modal online transactional processing system
US10200389B2 (en) 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Malware analysis platform for threat intelligence made actionable
US10333948B2 (en) * 2016-02-29 2019-06-25 Palo Alto Networks, Inc. Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US10200390B2 (en) 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
US10230749B1 (en) * 2016-02-29 2019-03-12 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
US10091212B2 (en) 2016-03-04 2018-10-02 BlueTalon, Inc. Policy management, enforcement, and audit for data security
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US11297058B2 (en) 2016-03-28 2022-04-05 Zscaler, Inc. Systems and methods using a cloud proxy for mobile device management and policy
US10795947B2 (en) 2016-05-17 2020-10-06 Google Llc Unified message search
WO2017205755A1 (en) * 2016-05-26 2017-11-30 Tata Communications (America) Incorporated Mobile overlay virtual enterprise network and virtual internet for enterprises
GB2566657B8 (en) 2016-06-30 2022-04-13 Sophos Ltd Proactive network security using a health heartbeat
US11157641B2 (en) 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
US10320829B1 (en) * 2016-08-11 2019-06-11 Balbix, Inc. Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network
US10185726B2 (en) 2016-08-26 2019-01-22 BlueTalon, Inc. Access control for nested data fields
US10454971B2 (en) 2016-09-07 2019-10-22 International Business Machines Corporation Managing privileged system access based on risk assessment
CN106447506A (zh) * 2016-09-28 2017-02-22 严时杰 一种社交网站征信方法
WO2018080803A1 (en) * 2016-10-24 2018-05-03 Finjan Mobile, Inc. Detection and blocking of web trackers for mobile browsers
US10440134B1 (en) * 2016-12-07 2019-10-08 Microsoft Technology Licensing, Llc Systems and methods for compliance enforcement in internet-based social networks
US20180189797A1 (en) * 2016-12-30 2018-07-05 Wipro Limited Validating compliance of an information technology asset of an organization to a regulatory guideline
US20180212916A1 (en) * 2017-01-23 2018-07-26 Marshall Schaffer Systems and methods for verification and mapping of social connections
US10395016B2 (en) 2017-01-24 2019-08-27 International Business Machines Corporation Communication pattern recognition
US20180253744A1 (en) * 2017-02-07 2018-09-06 Rev 650, LLC dba StreamPage Collaborative and content based filtering
US10803190B2 (en) 2017-02-10 2020-10-13 BlueTalon, Inc. Authentication based on client access limitation
US10552500B2 (en) 2017-03-02 2020-02-04 International Business Machines Corporation Presenting a data instance based on presentation rules
US10291602B1 (en) 2017-04-12 2019-05-14 BlueTalon, Inc. Yarn rest API protection
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US10419489B2 (en) * 2017-05-04 2019-09-17 International Business Machines Corporation Unidirectional trust based decision making for information technology conversation agents
US10977361B2 (en) 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
US10936738B1 (en) * 2017-06-26 2021-03-02 Amazon Technologies, Inc. Moderator to extend application functionality
US10491635B2 (en) 2017-06-30 2019-11-26 BlueTalon, Inc. Access policies based on HDFS extended attributes
CN107370668B (zh) * 2017-08-25 2020-04-28 北京百度网讯科技有限公司 智能设备远程控制的方法、装置和***
US10432648B1 (en) 2017-08-28 2019-10-01 Palo Alto Networks, Inc. Automated malware family signature generation
US10841896B2 (en) * 2017-09-08 2020-11-17 International Business Machines Corporation Selectively sending notifications to mobile devices using device filtering process
US11138319B2 (en) 2017-10-25 2021-10-05 International Business Machines Corporation Light-weight context tracking and repair for preventing integrity and confidentiality violations
US10990282B1 (en) 2017-11-28 2021-04-27 Pure Storage, Inc. Hybrid data tiering with cloud storage
US11113365B2 (en) * 2017-12-04 2021-09-07 Arris Enterprises Llc System and method to limit content distribution
US10721248B2 (en) * 2017-12-07 2020-07-21 Mcafee, Llc Methods, systems and apparatus to mitigate steganography-based malware attacks
US20190188804A1 (en) * 2017-12-18 2019-06-20 Social Media Compliance Ltd Platform for automated social media regulatory compliance monitoring
US10742688B2 (en) * 2017-12-18 2020-08-11 DeepView Solutions Platform for automated regulatory compliance monitoring of messaging services
US11146563B1 (en) 2018-01-31 2021-10-12 Microsoft Technology Licensing, Llc Policy enforcement for search engines
US11005889B1 (en) 2018-02-02 2021-05-11 Microsoft Technology Licensing, Llc Consensus-based policy management
US11790099B1 (en) 2018-02-09 2023-10-17 Microsoft Technology Licensing, Llc Policy enforcement for dataset access in distributed computing environment
US10943022B2 (en) * 2018-03-05 2021-03-09 Microsoft Technology Licensing, Llc System for automatic classification and protection unified to both cloud and on-premise environments
US11271950B2 (en) 2018-04-04 2022-03-08 Sophos Limited Securing endpoints in a heterogenous enterprise network
US11616758B2 (en) 2018-04-04 2023-03-28 Sophos Limited Network device for securing endpoints in a heterogeneous enterprise network
US10972431B2 (en) 2018-04-04 2021-04-06 Sophos Limited Device management based on groups of network adapters
US11140195B2 (en) 2018-04-04 2021-10-05 Sophos Limited Secure endpoint in a heterogenous enterprise network
US11288385B2 (en) * 2018-04-13 2022-03-29 Sophos Limited Chain of custody for enterprise documents
US11392553B1 (en) 2018-04-24 2022-07-19 Pure Storage, Inc. Remote data management
US11436344B1 (en) 2018-04-24 2022-09-06 Pure Storage, Inc. Secure encryption in deduplication cluster
US10846268B2 (en) 2018-06-08 2020-11-24 Saphyre, Inc. and Gabino M. Roche Jr. Technologies for file sharing
USD873289S1 (en) 2018-06-08 2020-01-21 Saphyre, Inc. Display screen or portion thereof with graphical user interface
CN108881434A (zh) * 2018-06-16 2018-11-23 武汉商启网络信息有限公司 一种按需批量管理云资源的管理控制***
US20200067903A1 (en) * 2018-08-24 2020-02-27 International Business Machines Corporation Integration of Publish-Subscribe Messaging with Authentication Tokens
US11741196B2 (en) 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags
US10681056B1 (en) 2018-11-27 2020-06-09 Sailpoint Technologies, Inc. System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US10341430B1 (en) 2018-11-27 2019-07-02 Sailpoint Technologies, Inc. System and method for peer group detection, visualization and analysis in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US11522832B2 (en) * 2018-11-29 2022-12-06 Target Brands, Inc. Secure internet gateway
US11784809B2 (en) 2019-02-07 2023-10-10 Red Hat, Inc. Constrained key derivation in temporal space
US11329812B2 (en) 2019-02-07 2022-05-10 Red Hat, Inc. Constrained key derivation in miscellaneous dimensions
US11438150B2 (en) 2019-02-07 2022-09-06 Red Hat, Inc. Constrained key derivation in linear space
US11387997B2 (en) 2019-02-07 2022-07-12 Red Hat, Inc. Constrained key derivation in geographical space
US10523682B1 (en) 2019-02-26 2019-12-31 Sailpoint Technologies, Inc. System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems
US10554665B1 (en) 2019-02-28 2020-02-04 Sailpoint Technologies, Inc. System and method for role mining in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US10491603B1 (en) * 2019-03-07 2019-11-26 Lookout, Inc. Software component substitution based on rule compliance for computing device context
US11194764B1 (en) * 2019-03-21 2021-12-07 Amazon Technologies, Inc. Tag policies for tagging system
US10893060B2 (en) * 2019-04-05 2021-01-12 Material Security Inc. Defanging malicious electronic files based on trusted user reporting
US11528149B2 (en) 2019-04-26 2022-12-13 Beyondtrust Software, Inc. Root-level application selective configuration
US11971852B2 (en) * 2019-05-31 2024-04-30 Pfu Limited File management device, file management method, and non-transitory computer readable medium
JP7331532B2 (ja) * 2019-07-30 2023-08-23 京セラドキュメントソリューションズ株式会社 情報処理システム、情報処理装置、および情報処理方法
CN110691262B (zh) * 2019-10-18 2021-11-09 重庆空间视创科技有限公司 Iptv企业用户双网管理***及方法
US11599522B2 (en) * 2019-10-29 2023-03-07 EMC IP Holding Company LLC Hardware trust boundaries and graphs in a data confidence fabric
US11349844B2 (en) * 2019-10-31 2022-05-31 Microsoft Technology Licensing, Llc Instant enforcement of centrally configured IT policies
US11468381B1 (en) * 2019-12-02 2022-10-11 Sallen Llc System and method for virtual cloud-based facilitation of homelessness reduction through secure, scalable, real-time need assessment and resource availability tracking and allocation
TWI777156B (zh) * 2019-12-10 2022-09-11 威聯通科技股份有限公司 內部網路監控方法及使用其的內部網路監控系統
USD905728S1 (en) 2019-12-31 2020-12-22 Saphyre, Inc. Display screen or portion thereof with graphical user interface
USD951270S1 (en) 2020-03-06 2022-05-10 Saphyre, Inc. Display screen or portion thereof with graphical user interface
US11461677B2 (en) 2020-03-10 2022-10-04 Sailpoint Technologies, Inc. Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems
US11151229B1 (en) * 2020-04-10 2021-10-19 Avila Technology, LLC Secure messaging service with digital rights management using blockchain technology
US10873852B1 (en) * 2020-04-10 2020-12-22 Avila Technology, LLC POOFster: a secure mobile text message and object sharing application, system, and method for same
US11704414B2 (en) 2020-04-29 2023-07-18 Jpmorgan Chase Bank, N.A. Systems and methods for managing vulnerability data
US11606392B2 (en) * 2020-05-29 2023-03-14 Mcafee, Llc System for tuning a device having security software for security and performance
US10862928B1 (en) 2020-06-12 2020-12-08 Sailpoint Technologies, Inc. System and method for role validation in identity management artificial intelligence systems using analysis of network identity graphs
CN112231336B (zh) * 2020-07-17 2023-07-25 北京百度网讯科技有限公司 识别用户的方法、装置、存储介质及电子设备
US10938828B1 (en) 2020-09-17 2021-03-02 Sailpoint Technologies, Inc. System and method for predictive platforms in identity management artificial intelligence systems using analysis of network identity graphs
JP2022091308A (ja) * 2020-12-09 2022-06-21 株式会社日立製作所 ストレージシステム及びデータ削除方法
US11295241B1 (en) 2021-02-19 2022-04-05 Sailpoint Technologies, Inc. System and method for incremental training of machine learning models in artificial intelligence systems, including incremental training using analysis of network identity graphs
US11736445B2 (en) 2021-03-12 2023-08-22 Journey.ai Personalized secure communication session management
US20230033552A1 (en) * 2021-05-27 2023-02-02 Zoom Video Communications, Inc. Archiving based on geographic region
US20220385494A1 (en) * 2021-05-27 2022-12-01 Zoom Video Communications, Inc. Methods and systems for generating archival data from virtual meetings
US11784975B1 (en) * 2021-07-06 2023-10-10 Bank Of America Corporation Image-based firewall system
US11227055B1 (en) 2021-07-30 2022-01-18 Sailpoint Technologies, Inc. System and method for automated access request recommendations
US20230179635A1 (en) * 2021-11-24 2023-06-08 Centurylink Intellectual Property Llc Enhanced zero trust security systems, devices, and processes
CN114884708B (zh) * 2022-04-25 2024-04-16 浙江清捷智能科技有限公司 一种工业总线网络安全监测方法

Family Cites Families (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5787409A (en) * 1996-05-17 1998-07-28 International Business Machines Corporation Dynamic monitoring architecture
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6611864B2 (en) 1999-09-10 2003-08-26 Intel Corporation Extensible policy-based network management architecture
US6578076B1 (en) * 1999-10-18 2003-06-10 Intel Corporation Policy-based network management system using dynamic policy generation
US7260635B2 (en) 2000-03-21 2007-08-21 Centrisoft Corporation Software, systems and methods for managing a distributed network
US7330895B1 (en) 2001-03-15 2008-02-12 Microsoft Corporation Representation, decision models, and user interface for encoding managing preferences, and performing automated decision making about the timing and modalities of interpersonal communications
US6839769B2 (en) * 2001-05-31 2005-01-04 Intel Corporation Limiting request propagation in a distributed file system
US7017183B1 (en) * 2001-06-29 2006-03-21 Plumtree Software, Inc. System and method for administering security in a corporate portal
US20100106655A1 (en) * 2001-07-26 2010-04-29 Bernd Schneider CPW method with application in a CPW enterprise architecture engine
US20040039803A1 (en) * 2002-08-21 2004-02-26 Eddie Law Unified policy-based management system
US20040049698A1 (en) * 2002-09-06 2004-03-11 Ott Allen Eugene Computer network security system utilizing dynamic mobile sensor agents
US7949759B2 (en) * 2003-04-02 2011-05-24 AOL, Inc. Degrees of separation for handling communications
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
US8458805B2 (en) * 2003-06-23 2013-06-04 Architecture Technology Corporation Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data
WO2005054973A2 (en) * 2003-12-03 2005-06-16 Safend Method and system for improving computer network security
US7673003B2 (en) * 2004-04-28 2010-03-02 Microsoft Corporation Social network email filtering
WO2005114488A2 (en) * 2004-05-21 2005-12-01 Computer Associates Think, Inc. System and method for actively managing service-oriented architecture
US8302164B2 (en) * 2004-07-22 2012-10-30 Facebook, Inc. Authorization and authentication based on an individual's social network
WO2006021088A1 (en) * 2004-08-26 2006-03-02 Omnibranch Wireless Solutions, Inc. Opt-in directory of verified individual profiles
US20060075222A1 (en) * 2004-10-06 2006-04-06 Seamus Moloney System for personal group management based on subscriber certificates
US8799242B2 (en) * 2004-10-08 2014-08-05 Truecontext Corporation Distributed scalable policy based content management
US7509493B2 (en) * 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
JP2006164174A (ja) * 2004-12-10 2006-06-22 Canon Inc 情報処理装置、ユーザ認証処理及びアクセス制御方法
US20060136986A1 (en) * 2004-12-17 2006-06-22 Doolittle Robert W Enterprise security monitoring system and method
US9160755B2 (en) * 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US20080140760A1 (en) * 2005-03-21 2008-06-12 Conner Peter A Service-oriented architecture system and methods supporting dynamic service provider versioning
US7403763B2 (en) * 2005-03-23 2008-07-22 Oracle International Corporation Device agent
US20060218149A1 (en) 2005-03-28 2006-09-28 Bea Systems, Inc. Data redaction policies
US20060248573A1 (en) * 2005-04-28 2006-11-02 Content Guard Holdings, Inc. System and method for developing and using trusted policy based on a social model
US20060248082A1 (en) 2005-04-29 2006-11-02 Amit Raikar Method and an apparatus for securely communicating between a management server and a managed node associated with a dynamic provisioning system
WO2007048013A2 (en) * 2005-10-20 2007-04-26 Starent Networks Corporation System and method for a policy enforcement point interface
US7668857B2 (en) * 2005-11-07 2010-02-23 International Business Machines Corporation Meta-data tags used to describe data behaviors
US20070136397A1 (en) * 2005-12-09 2007-06-14 Interdigital Technology Corporation Information life-cycle management architecture for a device with infinite storage capacity
US8321437B2 (en) * 2005-12-29 2012-11-27 Nextlabs, Inc. Detecting behavioral patterns and anomalies using activity profiles
US20070183342A1 (en) * 2006-02-06 2007-08-09 Mediazone.Com, Inc. Peer-to-peer broadcast management system
US20080140759A1 (en) * 2006-03-21 2008-06-12 Conner Peter A Dynamic service-oriented architecture system configuration and proxy object generation server architecture and methods
EP2002634B1 (de) * 2006-03-27 2014-07-02 Telecom Italia S.p.A. System zum durchsetzen von sicherheitsrichtlinien auf mobilkommunikationsgeräten
US7685630B2 (en) * 2006-05-04 2010-03-23 Citrix Online, Llc Methods and systems for providing scalable authentication
JP2007323255A (ja) * 2006-05-31 2007-12-13 Matsushita Electric Ind Co Ltd 情報伝達装置、情報伝達方法、および情報伝達プログラムを記録した記録媒体
US8161290B2 (en) * 2006-07-18 2012-04-17 At&T Intellectual Property I, L.P. Security for a personal communication device
US20080066181A1 (en) * 2006-09-07 2008-03-13 Microsoft Corporation DRM aspects of peer-to-peer digital content distribution
US8091114B2 (en) * 2006-09-15 2012-01-03 Bombardier Transportation Gmbh Integrated security event management system
US7822802B2 (en) * 2006-09-29 2010-10-26 Fisher-Rosemount Systems, Inc. Apparatus and method for merging wireless data into an established process control system
US8281378B2 (en) * 2006-10-20 2012-10-02 Citrix Systems, Inc. Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation
KR101203461B1 (ko) * 2006-11-10 2012-11-21 삼성전자주식회사 멀티홉 셀룰러 시스템에서의 라우팅 방법 및 상기 멀티홉셀룰러 시스템
KR100850576B1 (ko) * 2007-01-23 2008-08-06 삼성전자주식회사 휴대 단말기의 drm 파일 공유 방법 및 시스템
US20080301756A1 (en) * 2007-05-31 2008-12-04 Marc Demarest Systems and methods for placing holds on enforcement of policies of electronic evidence management on captured electronic
US8341726B2 (en) * 2007-07-23 2012-12-25 International Business Machines Corporation System and method for controlling email propagation
US9038125B2 (en) 2007-08-24 2015-05-19 Red Hat, Inc. Self identifying services in distributed computing
US8095670B2 (en) * 2007-09-11 2012-01-10 International Business Machines Protocol for enabling dynamic and scalable federation of enterprise service buses
US9514228B2 (en) * 2007-11-27 2016-12-06 Red Hat, Inc. Banning tags
US20090216859A1 (en) * 2008-02-22 2009-08-27 Anthony James Dolling Method and apparatus for sharing content among multiple users
WO2009152282A1 (en) 2008-06-10 2009-12-17 Object Security Llc Model driven compliance, evaluation, accreditation and monitoring
WO2010016849A1 (en) * 2008-08-08 2010-02-11 Innopath Software, Inc. Intelligent mobile device management client
US7979506B2 (en) * 2008-08-12 2011-07-12 Robert James Cole System and method for restrictively exchange product data between communication devices of a limited-user network
US8789136B2 (en) * 2008-09-02 2014-07-22 Avaya Inc. Securing a device based on atypical user behavior
US8689301B2 (en) * 2008-09-30 2014-04-01 Avaya Inc. SIP signaling without constant re-authentication
US20100115575A1 (en) 2008-11-03 2010-05-06 At&T Intellectual Property I, L.P. System and method for recording and distributing media content
WO2011006231A1 (en) * 2009-07-17 2011-01-20 Boldstreet Inc. Hotspot network access system and method
US8230478B2 (en) * 2009-08-27 2012-07-24 International Business Machines Corporation Flexibly assigning security configurations to applications
US8250628B2 (en) * 2009-08-28 2012-08-21 International Business Machines Corporation Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions
US8683547B2 (en) * 2009-10-28 2014-03-25 Liveops, Inc. System and method for implementing adaptive security zones
US8745758B2 (en) * 2009-11-02 2014-06-03 Time Warner Cable Enterprises Llc Apparatus and methods for device authorization in a premises network
US8321909B2 (en) * 2009-12-22 2012-11-27 International Business Machines Corporation Identity mediation in enterprise service bus
US10015169B2 (en) 2010-02-22 2018-07-03 Avaya Inc. Node-based policy-enforcement across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA
US8464063B2 (en) * 2010-03-10 2013-06-11 Avaya Inc. Trusted group of a plurality of devices with single sign on, secure authentication
US10217117B2 (en) * 2011-09-15 2019-02-26 Stephan HEATH System and method for social networking interactions using online consumer browsing behavior, buying patterns, advertisements and affiliate advertising, for promotions, online coupons, mobile services, products, goods and services, entertainment and auctions, with geospatial mapping technology

Also Published As

Publication number Publication date
US20110209195A1 (en) 2011-08-25
US9215236B2 (en) 2015-12-15
US20110209194A1 (en) 2011-08-25
GB201122359D0 (en) 2012-02-01
US20110209196A1 (en) 2011-08-25
GB2507941A (en) 2014-05-21
US8434128B2 (en) 2013-04-30
US10015169B2 (en) 2018-07-03
WO2011103385A1 (en) 2011-08-25
US20110209193A1 (en) 2011-08-25
GB2507941B (en) 2018-10-31
US8607325B2 (en) 2013-12-10

Similar Documents

Publication Publication Date Title
DE112011100626T5 (de) Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA)
US10346937B2 (en) Litigation support in cloud-hosted file sharing and collaboration
US20190058683A1 (en) Systems and methods for enabling dialog amongst different participant groups with variable and association-based privacy
DE102011010686A1 (de) Kontextabhängige Korrelationsmaschine
US20160307286A1 (en) Safety Communication Hub for Organizations
DE102011010440A1 (de) Geräteoberflächen für anwenderrolle, kontext und funktion undunterstützungssystem-mashups
AU2014236602A1 (en) Computerized method and system for managing networked secure collaborative exchange environment
US20200285684A1 (en) Method And System For Distributing And Presenting Confidential Information On The Internet
US11238408B2 (en) Interactive electronic employee feedback systems and methods
US11757811B2 (en) System and method for processing user messages among organizations
US20170048254A1 (en) Apparatus, system and method
US9237140B1 (en) Acceptance of policies for cross-company online sessions
US20230379276A1 (en) System and Method for Processing Messages from an External Communication Platform
Parsons The Politics of Deep Packet Inspection: What Drives Surveillance by Internet Service Providers?
US12051044B2 (en) Interactive electronic employee feedback systems and methods
Webb Jr A grounded theory study of the risks and benefits associated with the use of online social networking applications in a military organization
Rifat et al. Privacy, Security and Usability Comparison of Online Learning Platforms in Developing Countries: A Study on Bangladeshi Universities
DE102023118219A1 (de) Sprach- und Gesichtsbank zur Eindämmung von Betrug durch künstliche Intelligenz
Surekha et al. A Novel Model for Multiparty Access Control for Online Social Network
Sweeney You've got mail.
Callanan et al. Project on Cybercrime
Walden Web 2.0 in the Workforce
Perroud et al. Infrastructure Patterns
Shantala et al. Multiuser Access Control for online Social Medias: Beyond Single user Protection
Mizuno et al. Design of user-oriented contents communicator on personal communication platform (PCPF)

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final