添加上下文以防止經由計算機網絡的數據洩漏的系統和方法

2023-05-17 03:15:26

專利名稱：添加上下文以防止經由計算機網絡的數據洩漏的系統和方法
添加上下文以防止經由計算才幾網絡的 數據洩漏的系統和方法相關申請案的交叉參者本申請案主張2007年2月2日申請的第60/887,908號美國臨時專利申請案的權益， 所述專利申請案以全文引用的方式併入本文中。技術領域本申請案涉及計算機網絡安全性。
背景技術：
計算機網絡用於以無縫方式在計算機之間傳輸數據。用戶可向連接到網絡的另一用 戶發送文件或具有附件的電子郵件。在許多情況下，此數據傳送經由網際網路而發生。通 常，內容可能含有敏感信息(即，商業計劃、金融數據、產品圖紙、貿易機密等)，其 不應被發送給錯誤的接收者。數據的擁有者對防止經由計算機網絡洩漏敏感數據感興趣。目前，存在用於對正在 經由網絡發送的數據進行分析和分類的方法。這些方法確定數據的類型，並防止被分類 為受保護的數據的散布。在這點上，這些方法對數據進行分類，且依據數據的類型來應 用保護/傳輸策略。舉例來說，策略可能禁止含有社會安全號碼的任何商業信息的傳輸。然而，僅基於數據類型的策略可能不提供所需的洩漏防止等級。舉例來說，有時公 司可能想要限制數據向某些用戶或目的地的傳輸。對數據本身的分析無法提供這種等級 的分類，且無法形成可靠的策略。發明內容在一個發明性方面中，揭示一種用於防止數據經由計算機網絡的未經授權的傳輸的 系統。所述系統具有數據源，所述數據源具有數據，且與網絡通信。網絡(網際網路)網 關與網絡和目的地通信。網絡網關經配置以響應於所述數據的數據類型和上下文信息而確定傳輸策略。所述上下文信息可為發送者上下文信息和/或目的地上下文信息。舉例來說，發送者 上下文信息可為數據源的IP位址、用戶名或用戶群組。目的地上下文信息可為目的地 的IP位址、目的地的網絡或目的地的類別。傳輸策略可阻斷數據的傳輸、允許數據的 傳輸和/或報告所述數據的試圖傳輸。通常，數據源是例如PDA、計算機、手機等電子裝置，以及經由網際網路通信的裝置。網絡網關可包含用於確定數據類型的分類模塊、用於確定上下文信息的上下文信息 模塊、用於產生傳輸策略的策略/報告模塊，以及用於傳輸數據、阻斷數據和/或報告所 述數據的傳輸的強制執行模塊。在另一發明性方面中，揭示一種防止數據經由計算機網絡的未經授權的傳輸的方 法。所述方法包括對數據進行分類和確定所述數據的上下文信息。接下來，響應於所述 分類和上下文信息而確定傳輸策略。響應於所述分類和所述上下文信息而傳輸或阻斷所 述數據。


圖1是使用分類和上下文信息的數據洩漏防止可藉此發生的計算機網絡的表示。 圖2是說明用以防止圖1中所示的經由計算機網絡的數據洩漏的組件中的一些組件 的框圖。圖3是說明使用分類和上下文信息來防止數據洩漏的過程的流程圖。 圖4是說明如何將傳輸策略應用於不同情境的表格。
具體實施方式
以下詳細描述是針對本發明的某些具體實施例的。然而，本發明可在大量不同系統和方法中體現。在此描述中，參看圖式，其中始終用相同標號來表示相同部分。參看圖1,展示用於防止數據經由計算機網絡的未經授權的傳輸的系統。用戶可使 用數字裝置作為數據源10 (即，PDA 10a、膝上型計算機10b、手機10c、計算機10d 或其它類型的數字裝置)，以經由計算機網絡12和網際網路18將數據傳輸到目的地裝置 14 (例如另一電子裝置)。將認識到，可將任何類型的裝置IO用作數據源(即，傳真機、 掃描儀、網絡磁碟驅動器、USB存儲器裝置等)。裝置IO通過有線或無線連接而連接到 內部網絡12。裝置10中的每一者含有可傳輸的數據。網絡10可以是具有到達網際網路 18的連接的區域網(LAN)。將認識到，多個LAN可連接在一起，以形成可連接到網際網路18的廣域網(WAN)。網絡10可以是乙太網10baseT拓撲，或基於任何聯網協議， 包含無線網絡、令牌環網絡等。網絡10與網絡/網際網路網關16通信，以便向源IO提供到達網際網路18的連接。因特 網網關16可為用於將TCP/IP協議翻譯成供在區域網12上的通信的合適協議的伺服器 或伺服器組合。網關16是此項技術中眾所周知的，且通常通過路由器或其它數據交換 技術來通信。此外，圖1中所說明的網關16可包含內容過濾，其防止用戶訪問被禁 止的網站；以及數據洩漏防止，用以防止被禁止的內容在網絡12外傳播，如下文將進 一步闡釋。網際網路網關16通過通常已知的技術與網際網路18通信，且因此與目的地14通信。 因此，其它網關、路由器、交換機和/或其它裝置可在網際網路18、網際網路網關16、目的 地H、網絡12以及源IO之間的通信路徑中。網際網路網關分析穿過其中的TCP/IP業務。 目的地14可以是電子裝置、IP位址、電子郵件地址、網絡地址或其它類型的接收者。參看圖2，說明展示圖1的組件的框圖。源10包含待傳輸到目的地14的數據20。 數據20可以是任何類型的數據，例如數值、文本、圖形等。數據20可作為電子郵件附 件、即時消息、FTP或可轉換成TCP/IP業務的任何內容而傳輸。將數據20傳輸到因特 網網關16,其含有防止機密信息的未經授權的散布的軟體(即，模塊)。如本文所使用 的術語"模塊"可為(但不限於)執行特定任務的軟體或硬體組件，例如FPGA或ASIC。 模塊可經配置以駐存在可尋址存儲媒體上，且經配置以在一個或一個以上處理器上執 行。因此，模塊可包含例如軟體組件、面向對象的軟體組件、類組件和任務組件等組件， 過程，函數，屬性，程序，子例程，程序代碼的片段，驅動程序，固件，微碼，電路， 數據，資料庫，數據結構，表格，陣列以及變量。所述組件和模塊中所提供的功能性可 組合成較少的組件和模塊，或進一步分成額外組件和模塊。可使用如通常已知的一般技 術來對待由所述模塊執行的任務進行編程。網際網路網關16包含分類模塊22、策略/報告模塊24、誰/哪裡上下文信息模塊26以 及強制執行模塊28。另外，管理模塊30可與網際網路網關16通信，且/或可併入網際網路 網關16中。分類模塊22對數據20進行分析，以通過識別數據20的指紋和/或籤名來確定數據 20是否含有被禁止的內容。將數據20的指紋或籤名與籤名資料庫進行比較，以便識別 所述內容。由此，分類模塊22確定所述數據的內容。誰/哪裡上下文信息模塊26確定誰 發送了所述數據以及所述數據的目的地。舉例來說，上下文信息模塊26通過使用網絡 12上的目錄服務識別發送者來確定誰發送了所述數據。舉例來說，可通過使用遵從於公司資料庫中的用戶列表或使用LDAP服務來識別發送者。通常，還將用戶映射到IP地 址，以便獲得其位置。接著將發送者的識別用作可應用於所述數據的上下文信息。舉例 來說，發送者的上下文信息可以是發送者的IP位址、用戶的身份、群組身份或將進一 步的上下文添加到數據20的發送者的任何其它類型的信息。上下文信息模塊26還確定關於數據20的目的地的上下文信息。舉例來說，通過將 目的地的IP位址與根據類別分類的IP位址的資料庫進行比較，有可能對目的地進行分 類。IP位址的資料庫包含基於上下文信息而分類的已知IP位址。依據目的地的類型以 及所含內容來將IP位址分組成若干類別。類別的一些非限制實例可為"惡意地址"、"競 爭者"、"公共站點"等。IP位址是根據如網頁過濾產業中通常已知的類別而分組的，且 是通過對目的地進行分析而產生的。除對目的地進行分類之外，還有可能添加其它上下 文信息，例如目的地的網絡或僅目的地的地址。因此，目的地上下文信息可為進一步界 定數據20的任何額外信息。舉例來說，目的地上下文信息可為目的地的信譽、實體的 名稱和/或類型、目的地的位置、已知的惡意接收者等。策略/報告模塊24用於確定應用於數據20的策略。具體地說，基於由分類模塊22 確定的數據20的分類以及由上下文信息模塊26確定的上下文信息，有可能產生針對數 據20的策略。所述策略確定數據20是否將被傳輸、阻斷且/或報告，如圖3中將進一步 闡釋。強制執行模塊28將所述策略應用於數據20，且阻斷數據20或將數據20傳輸到因 特網18。管理模塊30允許管理員改變策略和/或允許在進一步審閱數據20之後傳輸數 據20。參看圖3,展示用於將上下文信息添加到數據洩漏防止的流程圖。在方框300中， 網際網路網關16接收或發送數據20。接下來，在方框302中檢査/分析所述數據，且在步 驟304中，通過分類模塊22對所述數據進行分類。如先前所提及，數據20是帶指紋的， 且籤名被識別以便確定數據20是否為應被阻斷或傳輸的信息。接下來，在方框305中，由誰/哪裡上下文信息模塊26確定關於數據20的上下文信 息。具體地說，發送者的"誰"可以是特定IP位址、個別用戶或指定群組的成員中的 一者或所有。目的地14的"哪裡"可以是目的地的類別、目的地的網絡或目的地的IP 地址中的一者或所有。在方框306中，由策略/報告模塊24確定針對數據20的策略。使用從方框304確定 的分類以及從方框305確定的上下文信息來確定所述策略。參看圖4，其說明展示一些示範性策略的表格。在列402中展示從圖3的方框304導出的數據/內容的分類。列404中列出發送者的上下文信息，而列406中列出目的地上 下文信息。如先前所描述，在圖3的方框305中產生發送者上下文信息和目的地上下文 信息。圖4的列408列出應用於所述表格的每一相應行的數據/內容的策略。舉例來說， 在行410中，數據/內容為商業數據，而發送者上下文信息指示用戶A發送了所述信息， 且目的地上下文信息指示數據將被發送到網絡A。在此情況下，將應用的策略為報告用 戶A正試圖將數據發送到網絡A。行412和414展示類似情境，只是目的地上下文信息 不同。具體地說，在行412中，允許傳輸數據/內容，而在行414中，數據/內容被阻斷， 因為所述數據/內容正被發送到可能與惡意站點相關聯的IP位址3。因此，行410、 412 和414說明數據/內容相同且發送者相同，但策略基於目的地上下文信息而不同的實例。 類似地，行416、 418和420說明數據/內容相同且目的地上下文信息相同，但策略基於 發送者上下文信息而改變的實例。所屬領域的技術人員將認識到，可配置許多不同的策 略，以便提供所要類型的安全性。通過對數據類型進行分類以及使用上下文信息，有可 能產生更多的細緻策略。此外，通過使用分類和上下文信息兩者來促進報告、事故處理、 別名使用以及優先權處理。返回參看圖3，在決策方框308中，策略/報告模塊24確定是否應阻斷所述數據。 如果不應阻斷數據20，那麼在方框318中由強制執行模塊28傳輸所述數據。然而，如 果針對數據/內容的策略是阻斷數據20或報告數據20，那麼過程進行到方框310，藉此 確定是否應報告傳輸數據20的試圖。如果不報告所述傳輸，那麼過程進行到步驟316， 其中數據20的傳輸由強制執行模塊28阻斷。然而，如果將報告所述傳輸，那麼過程進 行到步驟312，藉此管理員或其它監督者可審閱所述數據、發送者和接收者信息，且確 定是否要發送數據20。如果將發送數據20，那麼過程進行到方框318，藉此數據20被 發送。然而，如果監督者或管理員相信發送所述數據是不合適的，那麼過程進行到方框 316，且不傳輸所述數據。將認識到，有可能省略手動審閱步驟312,且報告和阻斷數據 20的傳輸。雖然已將方框308描述為阻斷數據20，但將認識到，在方框306中已確定策略之後， 其它類型的動作可發生。具體地說，方框308可基於方框306中所確定的策略而起始工 作流程，藉此對數據20進行進一步分析、分類、檢查等。雖然以上描述已展示、描述並指出了應用於各個實施例的本發明的新穎特徵，但將 理解，所屬領域的技術人員可在不脫離本發明的精神和範圍的情況下對所說明的裝置或 過程的形式和細節做出各種省略、替代和改變。
權利要求
1.一種用於防止數據經由計算機網絡的未經授權的傳輸的系統，所述系統包括數據源，其具有數據且與所述網絡通信；網絡網關，其與所述網絡通信；及目的地，其與所述網絡通信；其中所述網絡網關經配置以響應於所述數據的數據類型以及上下文信息而確定傳輸策略。
2. 根據權利要求1所述的系統，其中所述上下文信息包括所述數據源的發送者上下文 信息。
3. 根據權利要求1所述的系統，其中所述上下文信息包括所述目的地的目的地上下文 信息。
4. 根據權利要求1所述的系統，其中所述上下文信息包括所述數據源的發送者上下文 信息以及所述目的地的目的地上下文信息。
5. 根據權利要求4所述的系統，其中所述發送者上下文信息為所述數據源的IP位址、 用戶名或用戶群組。
6. 根據權利要求4所述的系統，其中所述目的地上下文信息為所述目的地的IP位址、 所述目的地的網絡或所述目的地的類別。
7. 根據權利要求4所述的系統，其中所述傳輸策略傳輸所述數據或阻斷所述數據的傳 輸。
8. 根據權利要求7所述的系統，其中所述傳輸策略進一步包括報告所述數據源正試圖 傳輸數據。
9. 根據權利要求1所述的系統，其中所述數據源為電子裝置。
10. 根據權利要求9所述的系統，其中所述電子裝置選自由以下各項組成的群組PDA;計算機；及 手機。
11. 根據權利要求1所述的系統，其中所述計算機網絡是網際網路。
12. 根據權利要求1所述的系統，其中所述網絡網關包括用於確定所述數據類型的分類 模塊。
13. 根據權利要求1所述的系統，其中所述網絡網關包括用於確定所述上下文信息的上 下文信息模塊。
14. 根據權利要求1所述的系統，其中所述網絡網關包括用於產生所述傳輸策略的策略 /報告模塊。
15. 根據權利要求1所述的系統，其中所述網絡網關包括用於響應於所述傳輸策略而傳 輸所述數據或阻斷所述數據的傳輸的強制執行模塊。
16. 根據權利要求1所述的系統，其中所述網絡網關包括用於確定所述數據類型的分類模塊； 用於確定所述上下文信息的上下文信息模塊； 用於產生所述傳輸策略的策略/報告模塊；及用於響應於所述傳輸策略而傳輸所述數據或阻斷所述數據的傳輸的強制執行模 塊。
17. —種防止數據經由計算機網絡的未經授權的傳輸的方法，所述方法包括以下步驟對所述數據進行分類； 確定所述數據的上下文信息；及響應於所述數據的所述分類以及所述數據的上下文信息而確定針對所述數據的 傳輸策略。
18. 根據權利要求17所述的方法，其進一步包括響應於所述傳輸策略而傳輸所述數據 或阻斷所述數據的步驟。
19. 根據權利要求18所述的方法，其中由強制執行模塊執行所述傳輸所述數據或阻斷 所述數據的步驟。
20. 根據權利要求17所述的方法，其中所述對所述數據進行分類的步驟包括確定數據 的類型。
21. 根據權利要求17所述的方法，其中所述確定所述數據的所述上下文信息的步驟包 括確定發送者上下文信息。
22. 根據權利要求21所述的方法，其中所述發送者上下文信息包括所述發送者的IP地 址、所述發送者的用戶名或所述用戶的群組名。
23. 根據權利要求17所述的方法，其中所述確定所述數據的所述上下文信息的步驟包 括確定目的地上下文信息。 '
24. 根據權利要求23所述的方法，其中所述目的地上下文信息包括所述目的地的IP地 址、所述目的地的網絡或所述目的地的類別。
25. 根據權利要求17所述的方法，其中所述確定所述數據的所述上下文信息的步驟包 括確定目的地上下文信息和發送者上下文信息。
26. 根據權利要求17所述的方法，其進一步包括報告所述數據將被傳輸的步驟。
27. 根據權利要求17所述的方法，其中由分類模塊執行所述對所述數據進行分類的步
28.根據權利要求17所述的方法，其中由上下文信息模塊執行所述確定所述數據的所 述上下文信息的步驟。
29. 根據權利要求17所述的方法，其中由策略/報告模塊執行所述確定針對所述數據的 傳輸策略的步驟。
30. 根據權利要求17所述的方法，其進一步包括在對所述數據進行分類之前將所述數 據發送到網絡網關的步驟。
31. 根據權利要求30所述的方法，其中用連接到網絡的電子裝置來執行所述發送所述 數據的步驟。
32. 根據權利要求31所述的方法，其中所述電子裝置選自由以下各項組成的群組PDA;計算機；及 手機。
33. 根據權利要求31所述的方法，其中所述網絡為網際網路。
全文摘要
本發明揭示用於添加上下文以防止經由計算機網絡的數據洩漏的系統和方法。對數據進行分類，並確定所述數據的上下文信息。響應於所述分類和上下文信息而確定傳輸策略。響應於所述分類和所述上下文信息而傳輸或阻斷所述數據。
文檔編號H04L29/06GK101622849SQ200880003503
公開日2010年1月6日 申請日期2008年1月30日 優先權日2007年2月2日
發明者丹尼爾·萊爾·哈伯德 申請人:網聖公司