揭示了用于部署和实现数据丢失防护(DLP)策略定义的系统和方法,它可封装要求,控制目标和指示,和/或如由规章策略直接或间接规定的敏感数据类型的定义。在一个实施例中,DLP策略可被组织标识以在一组电子文件系统(例如电子邮件系统、文件系统、web服务器等)的顶上运行。各组织及其管理员可实现从DLP策略模板中获取的DLP策略实例集。DLP策略模板可包括结构和含义两者——并且通过用期望的参数值代替参数化了的表达式可获得给定的DLP策略。在另一个实施例中,DLP策略实例的状态可根据策略实例部署的生存期来改变。
【技术实现步骤摘要】
【国外来华专利技术】用于电子邮件的数据检测和保护策略 置量 现代组织发现寻找、监视并保护(例如,电子形式的)敏感信息--诸如电子邮件 中的PII、财务数据、知识产权,和健康数据--是期望的。为做到这一点,各组织试图对应 当被保护的数据以及应当被应用到该数据的策略两者进行建模。对于电子邮件,管理员试 图针对它们的策略(诸如发送方身份、接收方身份及其它)选择不同的定范围的机制。 此外,管理员试图选择并应用诸如审核、加密、需要TLS传输等的行动。此外,管理 员试图采取与单个目标(诸如制定规章的目标)相关的策略,并试图将它们作为单个包进 行管理,即使这些策略可能包含不同规则,并在单个行动中启用/禁用及测试策略。 MM 下面呈现了本专利技术的简化概述,以便提供此处所描述的某些方面的基本概念。此 概述不是所要求保护的主题的详尽的概述。既不是要标识所要求保护的主题的要点或关键 性元素,也不是要详细描述本专利技术的范围。唯一的目的是以简化形式呈现所要求保护的主 题的某些概念,作为稍后呈现的比较详细的描述的前奏。 揭示了用于从策略对象模型中部署和实现数据丢失防护(DLP)策略实例的系统 和/方法。在一个实施例中,DLP策略可被组织标识以在一组电子文件系统(例如电子邮 件系统、文件系统、web服务器等)的顶上运行。各组织及其管理员可通过DLP策略模板的 参数化来实现DLP策略实例集。DLP策略模板可包括结构和含义两者--并且可受到在由 带有期望的参数值的经参数化的表达式的替代的策略创建时用部署指定环境配置代替一 般策略配置的影响。在另一个实施例中,DLP策略实例的状态可根据策略实例部署的生存 期来改变。 在一个实施例中,揭示了从策略模板集来实例化DLP策略的方法,该方法的步骤 包括:标识期望的DLP策略要在其上受影响的电子文件系统;标识适合期望的DLP策略的 DLP策略模板集;用期望的DLP策略专用数据来参数化DLP策略模板;以及将经参数化的 DLP策略实例传播到电子文件系统。 在另一个实施例中,揭示了用于创建针对一组电子文件系统的至少一个DLP策略 实例,包括:DLP策略模板集;每个DLP策略模板包括一组组件字段;DLP策略模板参数化模 块,该模板参数化模块能够用期望的策略数据代替组件字段;以及DLP主策略模块,它能够 从DLP策略模板集中为一组电子文件系统创建DLP策略实例。 当与本申请中呈现的附图结合阅读时,在下面的详细描述中呈现了本系统的其它 特征和方面。 【附图说明】 示例性实施例在所参考的附图中示出。此处公开的实施例和附图旨在被认为是说 明性而非限制性的。 图1描绘了根据本申请的原理作出的影响策略系统的系统的一个实施例。 图2描绘了根据本申请的原理作出的在电子邮件的上下文中的策略系统的实现 和操作的一个实施例。 图3描绘了系统邮件服务器处理子系统的一个实施例,该子系统可与电子邮件上 下文中的策略系统对接。 图4是一个不例DLP策略模板的一个实施例,因为它可以代表公认的消费者电子 邮件系统。 【具体实施方式】 如在此使用的,术语组件、系统、接口等指的是计算机相关的实体,它们可 以是硬件、软件(例如,执行中的)和/或固件。例如,组件可以是运行在处理器上的进程、 处理器、对象、可执行码、程序、和/或计算机。作为说明,在服务器上运行的应用和服务器 两者都可以是组件。一个或多个组件可以驻留在进程中,组件可以位于一个计算机内和/ 或分布在两个或更多计算机之间。 现在参考附图来描述所要求保护的主题,所有附图中使用相同的附图标记来指代 相同的元素。在以下描述中,为解释起见,阐明了众多具体细节以提供对本专利技术的全面理 解。然而,很明显,所要求保护的主题可以在没有这些具体细节的情况下实施。在其他情况 下,以框图形式示出了各个已知的结构和设备以便于描述本专利技术。 引言 本申请的若干实施例揭示了允许在单个操作中同时针对电子文件子系统(仅仅 作为一个示例,电子邮件)创建策略并将它们建模成可被安装、移除、状态改变,并报告的 一组相关对象系统、方法和机制。虽然当前的实施例更接近电子邮件系统的示例,应当理解 在此描述的系统、方法和/或技术在宽泛意义上也适用于各种各样的电子文件系统一例 如,文件系统、信息保护和协作(例如微软Sharepoint?系统)、web服务器、应用服务器等。 如以下将更进一步详细讨论的,在许多实施例中,采用框架来将复杂工业规则或 公司信息管理建模成策略可能是期望的。宽泛地说,这些策略--及其它们相关联的系统 和方法--在数据丢失防护(DLP)的区域中被一般地描述。此区域中的申请可实现当其应 用到以下项时执行的策略的处理的全部或部分组件:(1)管理策略生存期;(2)在策略实施 点上实施并评估策略;(3)生成并查看报告以及(4)管理事件的违背。 一个实施例 图1是根据本申请的原理作出的策略系统的示意图。如在此实施例中可见,可以 有可与跨给定组织设置的各种电子存储和/或服务器一起工作的若干通用策略模块。广泛 而言,可以有用于分别设置和检测策略的策略管理系统、多个策略实施点,以及审核系统。 如图1中可见,策略管理系统100可包括策略撰写系统102、策略存储104、策略传 播系统106。如在此将进一步仔细讨论的,这些策略模块可被采用来为组织设置和传播策 略。策略可受各种策略翻译/映射系统108影响,策略翻译/映射系统108理解一般策略 指示并将它们变换为策略实施点的上下文理解格式,所述策略翻译/映射系统108可与各 电子数据子系统(例如邮件递送系统110、如微软Outlook?系统112的邮件客户端系统, 如微软Sharepoint?系统114的信息管理系统、文件系统116、web服务器118或其它能够 执行策略实施和应用的合适的电子数据子系统)对接。 在这些策略实施子系统内,可有在子系统内有效地实现策略的各模块。例如,这 样的模块可以是策略消费,本地上下文处理,它还可以包括上下文策略评估、上下文策略实 施,以及上下文策略呈现。 作为这些子系统的部分,期望具有上下文审核数据生成器。这些审核数据生成器 可以与审核聚集系统122和审核呈现系统124通信。 应当理解,许多其它构架可能用于实现可与组织的软件套件(例如电子邮件、文 件服务器、web界面等)接口的策略系统。此外,对于特定策略模块(例如,策略撰写和存 储,以及审核功能)可能可以(并且可能是期望的)与组织间隔开地被托管并以其它方式 提供(例如,服务器/客户机关系、基于云的服务等)。 -旦策略系统针对一组织被实现或以其他方式被配置,这样的策略系统采用运行 时动态。图2描绘了运行时动态200的一个实施例,它可应用到示例电子邮件流策略应用。 在策略系统的实现之前,组织通常具有其电子邮件系统和/或服务器202,策略系统将运行 在电子邮件系统顶部或以其它方式与电子邮件系统协作。 策略系统可消费来自多个源的策略内容。一个这样的源可以如以自带(OOB)策略 模板集的形式提供了系统本身,其可用作产品的部分并可由承租者系统管理员和/或其它 合适的用户206获取并安装。另一个源可来自独立软件供应商(ISV)和产品合伙人以及提 供供目标组织本文档来自技高网...
【技术保护点】
一种用于从数据丢失防护(DLP)策略模板实现DLP策略的方法,所述DLP策略实例针对一组电子文件系统实现,所述电子文件系统包括一组文件服务器,所述文件服务器与一组客户端进行通信,所述客户端请求访问数据并将数据上传到所述文件服务器,所述方法的步骤包括:标识用于实现至少一个期望的DLP策略的策略模板对象集;创建DLP策略模板定义集;创建主DLP策略对象,所述主DLP策略对象可从所述DLP策略模板定义集获取;创建策略规则对象集,所述策略规则对象集定义能够从所述主DLP策略对象中获取的匹配条件和行动;以及创建数据分类规则对象集,所述数据分类规则对象定义所述策略规则对象应用于其上的一组电子数据。
【技术特征摘要】
【国外来华专利技术】2012.07.10 US 13/545,8641. 一种用于从数据丢失防护值LP)策略模板实现DLP策略的方法,所述DLP策略实例 针对一组电子文件系统实现,所述电子文件系统包括一组文件服务器,所述文件服务器与 一组客户端进行通信,所述客户端请求访问数据并将数据上传到所述文件服务器,所述方 法的步骤包括: 标识用于实现至少一个期望的DLP策略的策略模板对象集; 创建DLP策略模板定义集; 创建主DLP策略对象,所述主DLP策略对象可从所述DLP策略模板定义集获取; 创建策略规则对象集,所述策略规则对象集定义能够从所述主DLP策略对象中获取的 匹配条件和行动;W及 创建数据分类规则对象集,所述数据分类规则对象定义所述策略规则对象应用于其上 的一组电子数据。2. 如权利要求1所述的方法,其特征在于,创建策略模板对象集的所述步骤还包括: 创建策略模板操作集,所述策略模板操作针对所述策略模板对象采取行动。3. 如权利要求2所述的方法,其特征在于,创建策略模板操作集,所述策略模板操作针 对所述策略模板对象采取行动的所述步骤还包括: 创建策略模板操作集,所述策略模板操作包括一组中的一个,所述组包括:按照、移除、 导入、导出、查询和删除。4. 如权利要求1所述的方法,其特征在于,创建主DLP策略对象,所述主DLP策略对象 能够跟踪共享的元数据和状态的所述步骤还包括: 创建主DLP策略对象操作集,所述操作针对所述主DLP策略对象采取行动。5. 如权利要求4所述的方法,其特征在于,创建主DLP策略对象操作集...
【专利技术属性】
技术研发人员:L·艾尔斯,J·卡巴特,V·卡库玛尼,M·利伯曼,B·斯塔尔,A·考瑞特斯基,A·舒尔,J·舒尔曼,
申请(专利权)人:微软公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。