在網絡化環境中保護數據安全的製作方法

2023-09-23 13:14:00

專利名稱：在網絡化環境中保護數據安全的製作方法
技術領域：
本發明涉及數據安全，更特別但不排他地涉及在網絡化環境中保護 數據安全的方法和裝置。
背景技術：
隨著現代信息技術發展，通信信道變得更快和更多樣，企業信息技 術(IT)基礎架構變得更複雜，存在存儲和處理越來越大量的信息的需 求。
越來越大量的信息產生保護用於商業或者個人目的的機密信息的需求。
對IT基礎架構的安全性的威脅可以大致分為兩類對組織的IT基 礎架構的入侵和信息洩露。
對組織的IT基礎架構的入侵可以包括，但不限於將惡意的內容(惡 意軟體(malware))引入組織的IT基礎架構。
惡意的內容可以被分為幾類計算機病毒-複製自身的惡意的計算 機程序，蠕蟲-通過計算機網絡快速傳播並阻塞網絡的電腦程式，間 諜軟體-將其自身安裝在計算機上並允許外人獲取私人信息的欺騙軟 件，以及特洛伊木馬-看起來具有某種有用的或者良好的目的但實際上 掩蔽某種隱藏的惡意代碼的程序。
這些威脅通常通過在數據進入組織時檢查，阻斷或過濾數據來應對 (使用防火牆，抗病毒軟體，郵件過濾器等等，如領域中已知的)。
這些威脅還可以通過監控輸入數據的處理，並阻止試圖違反安全策 略的操作來應對(使用入侵檢測/防止系統，抗間諜軟體，沙箱技術等， 如領域中已知的)。
信息洩露威脅是來源於組織內的實體的威脅，這些實體傳遞信息給 沒有被授權訪問所傳遞的信息的實體。
未授權的實體可以包括組織內的實體(例如組織的一個4氐級僱員)， 組織外部的實體(例如竟爭者的僱員)等。信息的洩露可能是故意的或者意外的。洩露還可能由惡意的內容引 起(諸如如上所述的引入組織的IT基礎架構內的間諜軟體)。
因為它很少涉及對IT基礎架構的立即的可注意到的損壞，所以信
息洩露較難察覺。
此外，機密數據是日常操作的一部分，並且在組織內以及有時候在
組織外(與合作夥伴，客戶等)共享機密數據對於商業上是必要的，；f艮
難定義合法的^f亍為或者工作流程。
現有的解決方案通常要求對組織的數據分類，以及限制用戶在處理 機密數據或者訪問敏感源時的操作。然而，現有的解決方案在保護和使 用性之間產生折衷。
今天，組織對保護機密信息的需求的認知由最近的立法和規章而增
力口,諸^(口 Gramm—Lea ch-Bl i ley '^r令，Hea 1 th Insurance Portabilityand Accoimtabi 1 ity法令，NASD 2711, Sarbanes-Oxley法令，以及Basel Capital條約。
最近的立法和規章承認暴露個人信息的風險，並且在處理敏感個人 信息的組織，諸如醫療提供者，執法機構，保險公司，以及金融機構實 行這些立法和規章，以保護敏感個人信息不受偷竊或者洩露。
當前的立法還執行審計和聯證工具的使用，來使得能夠進行損害控 制和信息洩露源的跟蹤。
目前，實施幾種方法來保護組織免受信息洩露。
設備控制-是包括取消用戶向流出數據信道，諸如可攜式存儲設 備，如數據機、藍牙和wifi裝置的通信設備，CD刻錄機，軟盤等 寫信息的能力的 一 系列解決方案的方法。設備控制方法防止信息未經授 權地傳出組織的系統。然而，設備控制方法沒有提供針對經由日常通信 信道的傳輸的保護，這些日常通信信道對於商業是必須的並且不能被阻 斷，諸如email, web，即時消息等。
基於模式的阻斷-這種方法分析在通信信道上傳輸的信息，通常使 用網關或者端點過濾器。基於模式的阻斷應用預定義的模式(也稱為數 據籤名)來允許或阻斷信息傳出端點或組織的網絡之外。
啟發式行為分析_是監控用戶和應用程式行為，並將所監控的行為 與 一組預定義的策略和推斷比較的方法，所述策略和推斷包括公司的安 全策略。阻斷或限制違反公司的安全策略的動作。實施該方法的示例產品為Oakley networks Inc的SureView1 然而，
難。推斷行為分析不能檢測老練的用戶或者使用看起來是日常通信的東 西的惡意應用程式進行的信息洩露。
鑑定和內容加密-僅允許授權的用戶訪問預定義的機密數據或源 的方法。用戶在訪問預定義的機密數據之前必須經過識別和鑑定過程。
加密是通常使用的方法，其幫助實施授權訪問，並防止未授權的用 戶實際讀取數據，即使他們成功得到數據本身。這種產品的一個示例是 Utimaco Safeware AG的SafeGuard 。
鑑定和內容加密解決方案保護數據不受未授權或者未鑑定的用戶 或者機器的未授權的使用。但是當應對蓄意的信息偷竊時，鑑定和內容 加密解決方案不能防止授權的用戶或者在授權的用戶的計算機上運行 的惡意代碼利用其訪問權限洩露數據，例如通過將數據複製到沒有被加 密的另一個文件，列印數據等。
權限管理解決方案，如Microsoft所提供的，例如可以放置在 WindowsTM伺服器上，並且由諸如Liquid Machine 用於Microsoft RMS 的文件控制的產品擴展。
權限管理解決方案基於將Microsoft RMS使能的應用程式創建的 文件分類為不同的機密等級。每個機密等級與對特定的計算機，用戶或 組的許可關聯，並且可以限制觀看，編輯，列印，使用複製-粘貼，轉 發和保存。許可可以由進行授權的用戶設置，或者根據管理員策略模板 設置。
然而，權限管理解決方案針對未授權的用戶或機器進行保護，但是 不能防止授權的用戶利用他們的訪問權限。許可由特定的應用程式實 施。授權的用戶可以使用不同的應用程式避開使用限制。
一些當前系統在組織內創建只有經過分級的計算機才能連接的保 密的區域或者網絡。保密的區域是唯一地創建，存儲或處理機密數據的 地方。 一些系統在兩個端點計算機之間使用虛擬分離代替物理分離。這 些系統實施以下技術中的一種或多種
遠程桌面技術，諸如Terminal ServiceTN^。 Ci tr ix ,允許用戶訪 問物理地或虛擬地與用戶的端點計算機分離的遠程環境並在其上執行 動作。遠程桌面系統單獨來看不是一種安全系統，但是它可以作為創建環 境之間的隔離的平臺來使用。利用遠程桌面技術，機密數據保持在只能 由正在其上運行遠程桌面會話的伺服器訪問的網絡內。用戶端點計算機 只得到信息的原語表示，而不能將機密信息保存或分布到保密網絡之 外。
虛擬才幾系統，諸如Microsoft Virtual PC，和VMware ,允許用戶 在用戶端點設備之內創建虛擬機。虛擬機如同分離的物理計算機一樣工 作，並且可以用作用於環境隔離的平臺。
為了進一步增強機密數據的保護，這種解決方案使得能夠加密虛擬 機存儲設備，防止從端點設備自身的任何訪問。
來自Stony Brooks大學的計算機科學系的Yang Yu等人，在MO4 年10月25,在Washington DC的proceeding of 4th workshop on Digital Rights Management中，描述了 一種只顯示的文件月良務器(D0FS ) 。 Yang
理地離開月l務器。然而，用戶仍然可以通過標準應用程式諸如PDF reader 或者MS Word讀或寫這些文件。 ，
2001年5月14日提交的授予Meushaw的，標題為"dev i ce f or and method of secure computing using virtual machines" 的美國專利 No. 6922774,描述了使用虛擬機來創建受保護的環境，其中為不同的機 密等級創建不同的虛擬機。Meushaw還描述了機密環境之間使用加密來 防止從其它環境的未授權的訪問的受保護的在線通信。
2000年3月17曰提交的授予Basu的，標題為"System for reverse sandboxing"的美國專利No. 6836888，描述了l吏用虛擬地與端點設備隔 離的沙箱，從而允許在沙箱內處理機密數據，並消除在不受信任的端點 設備內存在的風險。
上述基於隔離的解決方案聚焦於保護其是機密環境或機器的 一部 分或者可以從機密環境或機器中訪問的機密源，阻止來自其它環境的未 授權的訪問，從而將所有的機密數據鎖定在受限的環境中。
然而，上述基於隔離的解決方案不保護並且有時候甚至不允許經由 不是安全環境的一部分的平臺的信息傳輸。這種平臺的示例包括儲存 伺服器(文件系統，資料庫)，通信伺服器(用於消息傳送，email, web訪問等)以及甚至個人設備(例如USB可攜式存儲設備)。此外，上述方法需要專門用於機密數據的分離的 一組系統和平臺或 者明確定義的區域。這些區域必須被從網絡的其它部分^f艮好地分離並保 護。這些系統在使用網絡的基礎架構和系統方面是受限的。
從而存在廣泛認可的對於沒有上述限制的系統的需求，並且具有這 樣的系統將是非常有益的。

發明內容
根據本發明的一個方面，提供一種用於保護數據安全的裝置，包括 安全環境定義器，配置用於定義已有的用戶環境中的安全環境，所述定 義器配置用於定義數據不能通過的關於所述環境的邊界，以及出所述安 全環境的信道，該安全環境定義器還配置為定義與出所述安全環境的所 述信道關聯的過濾器，所述過濾器可被定義為控制出所述安全環境的數 據的通過。
根據本發明的第二方面，提供一種用於保護數據安全的裝置，包括 至少一個隔離處理環境，與數據源的至少一個相應的預定的保密區域關 聯，並且可操作來從該相應的保密區域接收數據單元，其中所述隔離處 理環境安裝在端點計算機上；輸出限制器，與所述隔離處理環境關聯， 並且配置為根據預先定義的策略，限制數據單元從隔離處理環境的輸 出。
根據本發明的第三方面，提供一種用於保護數據安全的裝置，包括 隔離處理環境，與數據源的預定的保密區域關聯，具有數據不能通過的 邊界，以及供數據跨過所述邊界的通過的信道，該隔離處理環境可操作 來從保密區域接收數據單元，其中所述隔離處理環境安裝在端點計算機 上；數據分級器，與所述隔離處理環境關聯，並且配置為根據預先定義 的策略給數據單元分級；輸出限制器，與所述信道關聯，並且配置為根 據所述分級，限制數據單元跨過所述信道的輸出；以及輸出數據修改器， 與所述輸出限制器關聯，並且配置為根據所述分級修改輸出的數據單 元。
根據本發明的第四方面，提供一種用於保護數據安全的裝置，包括 隔離處理環境，與數據源的預定的保密區域關聯，其中所述隔離處理環 境安裝在端點計算機上；以及輸入限制器，與所述隔離處理環境關聯， 並且配置為限制數據單元輸入到所述隔離處理環境中，其中所述隔離處理環境還可操作來將輸入的數據單元轉發到保密區域。
根據本發明的第五方面，提供一種用於保護數據安全的裝置，包括 隔離處理環境，與數據源的預定的保密區域關聯，其中所述隔離處理環 境安裝在端點計算機上，所述隔離處理環境包括數據不能通過的邊界，
以及用於允許數據跨過所述邊界的信道；輸入限制器，與所述信道關聯， 並且配置為限制數據單元輸入到所述隔離處理環境中；以及輸入數據修 改器，與所述輸入限制器關聯，並且配置為根據預先定義的策略修改所 述輸入的數據單元；其中所述隔離處理環境還可操作來將輸入的數據單 元轉發到保密區域。
根據本發明的第六方面，提供用於保護數據安全的系統，包括至 少兩個隔離處理環境，每個環境包括數據不能通過的邊界，以及數據可 以通過其跨過所述邊界的信道，每個環境可操作地與數據源相應的預定 的保密區域關聯，從而從該保密區域接收數據單元，並且安裝在端點計 算機上；以及至少兩個輸出限制器，每個輸出限制器與所述隔離處理環 境中相應的一個的信道關聯，並且配置為控制所接收的數據單元從該隔 離處理環境的的輸出。
根據本發明的第七方面，提供用於保護數據安全的工具包，包含在 計算機可讀介質上，該工具包包括隔離處理環境定義器，可操作來定 義隔離處理環境，所述隔離處理環境包括數據不能通過的邊界，以及數 據可以通過其跨過所述邊界的信道，所述環境與端點計算機上數據源的 預定的保密區域關聯；以及輸出限制器，可安裝在端點計算機上，並且 配置為限制數據單元通過所述信道輸出。
根據本發明的第八方面，提供一種保護數據安全的方法，包括a) 通過定義數據不能通過的邊界，以及數據可以通過其跨過所述邊界的信 道，在端點計算機上創建隔離處理環境；b)在所述隔離處理環境中接 收源自與該隔離處理環境關聯的預定的保密區域的數據單元；以及c) 監控所述信道以便限制所接收的數據單元從所述隔離處理環境的輸出。
根據本發明的第九方面，提供一種保護數據安全的方法，包括a) 通過定義數據不能通過的邊界，以及數據可以通過其跨過所述邊界的信 道，在端點計算機處創建隔離處理環境；b)監控所述信道以便限制將 數據單元輸入所述隔離處理環境；以及c)將受到限制的輸入數據單元
從所述隔離處理環境轉發到與該隔離處理環境關聯的保密區域，從而保護輸入所述保密區域的數據。
除非另有定義，這裡使用的所有技術和科學術語具有與本發明所屬 技術領域普通技術人員通常理解的相同的含義。這裡提供的材料，方法 和示例僅僅是示例性的並且並不意圖是限制性的。
實施本發明的方法和系統包括手動，自動或者兩者組合地執行或完 成所選擇的任務或步驟。
此外，根據本發明的方法和系統的優選實施例的實際的裝備配置和 設備，可以通過硬體或任何固件的任何作業系統上的軟體或者兩者的組 合來實施幾個選擇的步驟。例如，作為硬體，本發明選擇的步驟可以實 施為晶片或電路。作為軟體，本發明選擇的步驟可以實施為由使用任何 適當的作業系統的計算機執行的多個軟體指令。在任何情況下，本發明 的方法和系統的選擇的步驟可以被描述為由數據處理器執行，諸如用於 執行多個指令的計算平臺。


這裡，參考附圖，以僅僅示例的方式來描述本發明。現在詳細地特 別參照附圖，強調的是所示出的細節僅僅是為了示例以及本發明的優選 實施例的說明性討論，並且是為了提供相信是本發明的原理和概念方面 的最有用的和最容易理解的描述。在此方面，並不試圖比基本理解本發 明所必需的更詳細地說明本發明的結構細節，與附圖 一起做出的描述使 得本領域技術人員明白如何可以在實際中實施本發明的這幾種形式。
在附圖中
圖la是示出根據本發明一優選實施例，用於保護數據安全的第一 裝置的簡化框圖。
圖lb是示出根據本發明一優選實施例，用於保護數據安全的第二 裝置的簡化框圖。
圖lc是示出根據本發明一優選實施例，用於保護數據安全的第三 裝置的簡化框圖。
圖ld是示出根據本發明一優選實施例，用於保護數據安全的第四 裝置的簡化框圖。
圖le是示出根據本發明一優選實施例，用於保護數據安全的工具 包的簡化框圖。圖2是示出根據本發明一優選實施例，用於保護數據安全的第四裝 置的簡化框圖。
圖3是示出根據本發明一優選實施例，用於保護數據安全的第五裝
置的簡化框圖。
圖4是示出根據本發明一優選實施例，用於保護數據安全的第一系 統的示例實施的框圖。
圖5是示出根據本發明一優選實施例，用於保護數據安全的第二系 統的示例實施的框圖。
圖6是示出根據本發明一優選實施例，用於保護數據安全的第三系 統的示例實施的框圖。
圖7a是示出根據本發明一優選實施例，用於保護數據安全的第一 方法的簡化流程圖。
圖7b是示出根據本發明一優選實施例，用於保護數據安全的第二 方法的簡化流程圖。
具體實施例方式
當前實施例包括用於保護數據的裝置和方法，包括隔離處理環境， 具有數據不能跨過的邊界，以及用於允許數據跨過該邊界的信道。過濾 器限制跨過該信道的數據通過。受保護的數據初始位於安全區域內，並 且只釋放到這種安全處理環境中，從而可以得到授權用戶對安全數據的 訪問，但是授權用戶將安全數據隨後放出到外部世界受到控制。
參考附圖和相關的描述將更好地理解根據本發明的裝置的原理和操作。
根據本發明的優選實施例，提供一個或多個隔離處理環境，安裝在 端點計算機上，諸如網絡化環境中的用戶之一使用的臺式PC。
隔離處理環境是受保護的和分離的環境，用於運行應用程式，處理 數據，存儲數據或者以上的組合。該隔離處理環境可以是在用戶的臺式 計算機上或者用戶的膝上型計算機上等實現的邏輯實體。這種隔離處理 環境的示例是虛擬機，包含在已有的臺式機上運行的完整的作業系統。 隔離處理環境可以使用當前的產品，諸如VMWare 工作站，以及 Microsoft Virtual 『來實現。
隔離處理環境作為用戶環境的一部分來使用，能夠運行應用程式和處理數據單元。
隔離處理環境(IPE)默認是受保護的和分離的環境，除了該用戶
之外沒有實體能訪問位於IPE內的數據，IPE中運行的應用程式等。隔
離處理環境作為隔離的計算機工作。
隔離處理環境可以是由用戶或管理員預定義的保密區域
(classified area)的一部分或者能夠自由訪問該保密區域。保密區 域是包括保存數據單元的 一 個或多個數據源的預定義區域。保密區域可 以使用本領域已知的任何方法實現。保密區域可以包括資料庫，伺服器 等，如下文進一步詳細描述的。
根據一優選實施例，根據用戶或管理員預定義的策略控制來自隔離 處理環境的數據單元(諸如文件，email,消息，剪貼板內容和任何其 它數據單元)的輸入和輸出，如下文進一步詳細描述的。
在詳細說明本發明的至少 一個實施例之前，需要理解本發明在其應 用方面不限制於在下面的描述中呈現或者在附圖中示出的組件的構造
行。另外，需要理解這裡採用的措詞和術語是為了描述的目的而不應被 視為限制。
現在參考圖la,其是示出根據本發明一優選實施例，用於保護數據 的第一裝置的簡化框圖。
用於保護數據的裝置100包括安全環境定義器12,其可用於在已有 的用戶環境，比如端點計算機中定義安全環境，端點計算機例如用戶的 臺式計算機或者膝上型計算機等。
安全環境定義器12還用於定義關於安全環境的數據不能跨過的邊 界，以及出安全環境的信道。
安全環境定義器12還用於定義連接到出安全環境的信道的過濾器。 定義該過濾器來控制經過信道從而到安全環境之外的數據的通過。
優選地，用戶或管理員可以定義數據源的保密區域，如所進一步詳 細描述的。來自保密區域的數據僅允許流到所定義的安全環境，如下文 進一步詳細描述的。
現在參考圖lb,其是示出根據本發明一優選實施例，用於保護數據 的第二裝置的簡化框圖。
用於保護數據安全的裝置1 000包括隔離處理環境200,安裝在比如用戶的臺式計算機，用戶的膝上型計算機的端點計算機，或者本領域已知的任何其它端點計算機裝置上。
隔離處理環境(IPE) 200連接到數據源的保密區域400。
保密區域400可以由裝置1000的用戶或者管理員定義。保密區域400可以包括諸如設備(比如資料庫伺服器)，網絡源(比如企業內部網際網路)等的本領域已知的數據源。
可選的，保密區域400包括位於在其上實現隔離處理環境200的端點計算機外部的數據源。例如，保密區域400可以包括位於連接到端點計算機的區域網中的資料庫伺服器。
允許隔離處理環境(IPE) 200訪問保密區域400,並且可以操作隔離處理環境(IPE) 200從保密區域400接收數據單元。數據單元可以隔離的方式在隔離處理環境200存儲或處理。
即，如果用戶被授權使用隔離處理環境2 00訪問數據單元，用戶可以將數據單元從保密區域400引入隔離處理環境200,如下文進一步詳細描述的。引入的數據單元可以在隔離處理環境200中處理，存儲，編輯等，如下文進一步詳細描述的。
裝置IOOO還包括輸出限制器214 (例如數據過濾器)，連接到隔離處理環境200。
輸出限制器214根據預定的策略限制數據單元從隔離處理環境200輸出。
輸出限制器214檢測從隔離處理環境200輸出數據單元的嘗試。輸出限制器214確定該數據單元是否被允許從隔離處理環境2 0 0輸出。
例如，可以根據裝置1000的用戶或者管理員預先定義的策略，阻止用戶將機密數據單元從隔離處理環境200寫入到保密區域400外的區域中的文件的嘗試。
現在參考圖lc,其是示出根據本發明一優選實施例，用於保護數據安全的第三裝置的簡化框圖。
用於保護數據安全的裝置1100包括隔離處理環境200,如下文進一步詳細描述的。
隔離處理環境200安裝在比如用戶的臺式計算機，用戶的膝上型計算機的端點計算機，或者本領域已知的任何其它端點計算機裝置上。
隔離處理環境(IPE) 200連接到數據源的保密區域400,如下文進一步詳細描述的。
裝置1100還包括連接到隔離處理環境的輸入限制器222，比如數據過濾器。輸入限制器222也可配置在隔離處理環境內，如下文進一步詳細描述的。
輸入限制器222限制數據單元輸入隔離處理環境200。優選地，輸入限制器222還限制數據單元輸入如上文所定義的保密區域400。
輸入限制器222確定數據單元的輸入是否被阻止、允許等。例如，輸入限制器222可以允許從隔離處理環境200訪問數據單元，如下文進一步詳細描述的。
優選地，輸入限制器222還可以確定在輸入數據單元之前必須執行的特定操作，如下文進一步詳細描述的。
一旦允許從隔離處理環境訪問數據單元，該數據單元可以-波轉發到保密區域400。例如，如果用戶是隔離處理環境200的授權用戶，該用戶可以選擇在保密區域400中的資料庫中存儲該數據單元。
可選的，輸入限制器222連接到環境選擇器228或者是環境選擇器228的一部分。
環境選擇器228跟蹤計算機中數據單元的移動，確定數據單元的分級組，並激活相關的鑑定和授權過程來允許用戶訪問數據單元。接著，環境選擇器228可以傳輸該數據單元供在隔離處理環境20Q中進一步處理，如下文進一步詳細描述的。
現在參考圖ld，其是示出根據本發明一優選實施例，用於保護數安全的第四裝置的簡化框圖。
根據本發明一優選實施例的裝置包括隔離處理環境200。隔離處理環境200作為用戶環境的一部分使用，以隔離的方式運行應用程式，並處理數據單元。
即，隔離處理環境200是受保護的分離的系統，默認沒有外部實體能訪問應用程式的數據，網絡或運行的程序。隔離處理環境200作為具有預定的處理和儲存資源的分離的計算單元工作。
隔離處理環境2 0 0可以是保密區域4 0 0的 一 部分或者可以訪問保密區域400,如本領域所知的。保密區域400可以包括諸如設備源410 (比如資料庫伺服器，計算設備-端點計算機外部或內部的設備和伺服器)
的數據源。優選地，隔離處理環境200包括自動加密的本地文件系統。
自動加密的本地文件系統可用於利用本領域已知的方法在將數據
單元存儲在隔離處理環境200中時自動加密數據單元。
保密區域400還可以包括網絡數據源420,該網絡數據源可以使用 不受管理的通信信道110由網絡實體(例如網絡段，網絡地址，域，URL， 企業內部互耳關網站點，網絡3各徑，本地;洛徑，文件共享)，或它們的4壬 何組合訪問。
不受管理的通信信道可以使用領域中已知的工具(例如防火牆規 則，VPN， VLAN,映射驅動器，主機上的資源管理等)在保密區域400
中的不同實體之間創建。
不受管理的通信信道11Q還可以在保密區域400中的實體和隔離處 理環境200之間創建。
可選的，隔離處理環境200位於保密區域內。
可選的，保密區域在隔離處理環境200之外。
優選地，數據單元(諸如文件，email，消息，剪貼板內容以及任
何其它數據單元)只能在裝置的用戶或者管理員預定義的策略允許該數 據單元的輸出時離開該隔離處理環境200,如下文進一步詳細描述的。
優選地，數據單元從隔離處理環境200的輸出由輸出信道監控器 210控制，如下文進一步詳細描述的。
優選地，將數據單元輸入隔離處理環境200由輸入信道監控器220 控制，如下文進一步詳細描述的。
信道控制器210, 220監控和控制數據單元在隔離處理環境200和 隔離處理環境200和保密區域400外部的區域300中的實體之間的移動， 如下文進一步詳細描述的。例如，信道控制器210， 220控制在隔離處 理環境200和非保密設備源310和非保密網絡源320之間數據單元的移 動，如下文進一步詳細描述的。
優選地，根據本發明 一優選實施例的裝置還包括連接到隔離處理環 境的管理控制臺500。
管理控制臺500用於執行維護，對配置和策略的改變，定義分級組， 管理審核和日誌，以及管理將數據單元修改到不可讀的加密格式的加密 密鑰，等等，如下文進一步詳細描述的。
可選的，根據本發明一優選實施例的裝置還包括安裝模塊。該安裝模塊用於在端點網絡連接的計算機上安裝隔離處理環境200,輸出信道
控制120,輸入信道控制130等。
現在參考圖le,其是示出根據本發明一優選實施例，用於保護數據
安全的工具包的簡化框圖。
用於保護數據安全的工具包1200包括隔離處理環境定義器120。 隔離處理環境定義器12 0可操作來定義與數據源的保密區域關聯的
隔離處理環境。該隔離處理環境位於端點計算機上。
該保密區域可以包括的數據源，其包括但不限於數據伺服器，網絡
設備，網絡連接等，如下文進一步詳細描述的。
工具包1200還包括輸出限制器214，例如數據過濾器。 輸出限制器214可安裝在端點計算機上，並限制數據單元從使用隔
離處理環境定義器120定義的隔離處理環境輸出，如下文進一步詳細描述的。
現在參考圖2,其是示出根據本發明一優選實施例，用於保護數據 安全的第四裝置的簡化框圖。
裝置2000包^"隔離處理環境200,如上文進一步詳細描述的。 裝置2000還包括輸出信道監控器210。
優選地，輸出信道監控器210從隔離處理環境200之內工作，並且 監控將數據單元從隔離處理環境200輸出到不在保密區域內的位置的任 何嘗試。可選的，輸出信道監控器210還監控從上文進一步詳細描述的 保密區域4 0 0輸出數據單元的任何嘗試。
優選地，輸出信道監控器210監控從隔離處理環境200輸出數據的 任何嘗試，諸如-寫到本地文件中，發送到文件伺服器，下載到可攜式 存儲設備(諸如USB可攜式存儲器等，如本領域已知的)，寫email,
將數據複製到剪貼板，截屏，或者發送數據單元到列印。
輸出信道監控器210包括連接到隔離處理環境200的數據分級器
212。
數據分級器212接收將要從隔離處理環境200輸出的數據單元。 數據分級器212根據策略為每個所接收的數據單元分級。優選地， 策略由裝置2000的用戶或者管理員預先定義。例如，數據分級器212 可以給數據單元分配從裝置2000的用戶或者管理員預先定義的多個分 級組中選4奪的分級組，如下文進一步詳細描述的。輸出信道監控器210還包括輸出限制器214，例如數據過濾器。輸 出限制器214連接到隔離處理環境200和數據分級器212。
輸出限制器214限制數據單元從隔離處理環境200輸出。優選地， 輸出限制器還限制數據單元保密區域400輸出，如上文所定義的。
輸出限制器214確定數據單元的輸出是否被阻止、允許等。
優選地，輸出限制器214還可以確定要在輸出數據單元之前執行的 動作，如下文進一步詳細描述的。
優選地，輸出限制器214根據預先定義的策略限制數據的輸出。預
先定義的策略可以基於數據單元的分級，例如根據數據分級器212分配 給數據單元的分級組。
優選地，輸出限制器214進一步被配置為根據預先定義的策略改變 輸出數據單元的分級，如下文進一步詳細描述的。
輸出信道監控器210還包括輸出數據修改器216,連接到隔離處理 環境200和輸出限制器212。
如果輸出限制器214允許數據單元的輸出，輸出數據修改器216根 據預先定義的策略修改數據單元。策略可以由裝置2000的用戶或者操 作員預先定義。
優選地，輸出數據修改器216根據數據分級器212分配給數據單元 的分級組修改數據單元。
優選地，通過修改數據單元，輸出數據修改器216將數據單元轉換 成不可讀的一各式。
數據單元的修改可以包括但不限於使用領域中已知的加密技術加 密數據單元，從而將數據單元轉換成不可讀的格式。
優選地，裝置2000還包括圖形用戶界面(GUI)管理器270,連接
到隔離處理環境200。
圖形用戶界面(GUI)管理器270管理用於將數據單元呈現給端點 計算機的用戶的GUI。
優選地，圖形用戶界面(GUI)管理器根據預先定義的策略標 記所呈現的數據單元。例如，GUI管理器"Q可以用甄別4見覺標記，例 如用特別的圖標呈現隔離處理環境200中的數據單元，用紅色的特別記 號呈現從隔離處理環境200輸出的數據單元。
裝置2000還包括輸入信道監控器220。優選地，輸入信道監控器220從隔離處理環境200之內操作，並監 控將數據單元輸入隔離處理環境200之內的任何嘗試。可選的，輸入信 道監控器220還監控將數據單元輸入上文進一步詳細描述的保密區域 400中的任何嘗試。
輸入信道監控器220包括連接到隔離處理環境200的輸入限制器
222。
輸入限制器可以連接到環境選擇器228或者與其相關聯。環境選擇 器228檢測在位於計算機上的數據單元中執行操作的嘗試，並確定該操 作是否必須被限制到隔離處理環境，如下文進一步詳細描述的。
輸入限制器222限制數據單元輸入到隔離處理環境200。優選地， 輸入限制器222還限制數據單元輸入到保密區域400,如上所定義的。
輸入限制器222確定數據單元的輸入是否被阻止、允許等。優選地， 輸入限制器222還可以確定在輸入數據單元之前要執行的操作，如下文 進一步詳細描述的。
例如，輸入限制器222可以檢測用戶訪問保密區域400之外的任何 數據單元的嘗試，並確定該數據單元的分級，例如通過確定數據單元的 分級組，如同上文對於數據分級器212進一步詳細描述的。接著，輸入 限制器222確定是否允許從隔離處理環境200訪問該數據單元。
輸入信道監控器220還包括輸入數據修改器226,例如數據過濾器。 輸入數據修改器226連接到隔離處理環境200和輸入限制器222。
如果輸入限制器222允許數據單元的輸入(例如通過允許從隔離處 理環境200訪問該數據單元)，輸入數據修改器226根據預先定義的策 略修改數據單元。
策略可以由裝置2000的用戶或者操作員預先定義。
優選地，輸入數據修改器226根據數據單元的分級修改數據單元， 例如根據產生該數據單元的另一個隔離處理環境的數據分級器212分配 給數據單元的分級組。
優選地，通過修改數據單元，輸入數據修改器226將轉換成不可讀 格式(例如使用另 一 個隔離處理環境的輸出數據修改器216,如上所述)
的數據單元恢復為可讀格式。
數據單元的修改可以包括但不限於使用領域中已知的解密技術解 密數據單元，從而將數據單元轉換成可讀的格式。現在參考圖3,其是示出根據本發明一優選實施例，用於保護數據 安全的第五裝置的簡化框圖。
裝置3000包括隔離處理環境200，如上文進一步詳細描述的。
裝置3000還包括連接到隔離處理環境200的數據分級器212。
數據分級器212接收將要從隔離處理環境200輸出的數據單元。數 據分級器212根據策略為每個所接收的數據單元分級。優選地，策略由 裝置3000的用戶或者管理員預先定義，如上文進一步詳細描述的。
裝置3000還包括連接到數據分級器212的輸出限制器214(例如本 領域已知的數據過濾器)。
輸出限制器214限制數據單元從隔離處理環境200輸出。優選地， 輸出限制器還限制數據單元保密區域400輸出，如上文所定義的。
輸出限制器214確定數據單元的輸出是否被阻止、允許等。優選地， 輸出限制器214還可以確定要在輸出數據單元之前執行的特定動作，如 下文進一步詳細描述的。
優選地，輸出限制器214根據預先定義的策略限制數據的輸出。預
先定義的策略可以基於數據單元的分級，例如根據數據分級器212分配 給數據單元的分級組，如上文進一步詳細描述的。
裝置3000還包括連接到輸出限制器212的輸出數據修改器"6。 如果輸出限制器214允許數據單元的輸出，輸出數據修改器216根
據預先定義的策略修改數據單元。策略可以由裝置3000的用戶或者操
作員預先定義。
優選地，輸出數據修改器216根據數據分級器212分配給數據單元 的分級組修改數據單元。
優選地，通過修改數據單元，輸出數據修改器216將數據單元轉換
成不可讀的格式。
數據單元的修改可以包括但不限於使用領域中已知的加密技術加 密數據單元，從而將數據單元轉換成不可讀的格式。
裝置3000還包括連接到隔離處理環境200的輸入限制器222(例如 本領域已知的數據過濾器)。
輸入限制器222限制數據單元輸入到隔離處理環境200。優選地， 輸入限制器222還限制數據單元輸入到保密區域400,如上文進一步詳 細描述的。輸入限制器222確定數據單元的輸入是否被阻止、允許等。優選地， 輸入限制器222還可以確定在輸入數據單元之前必須執行的特定動作， 如下文進一步詳細描述的。
例如，輸入限制器222監控用戶訪問保密區域400之外的任何數據 單元的嘗試，並確定該數據單元的分級，例如通過確定數據單元的分級 組，如同上文對於數據分級器212進一步詳細描述的。接著，輸入限制 器2"確定是否允許從隔離處理環境200訪問該數據單元。
裝置3000還包括連接到輸入限制器222的輸入數據修改器226。
如果輸入限制器222允許數據單元的輸入(例如通過允許從隔離處 理環境200訪問該數據單元)，輸入數據修改器226根據預先定義的策 略修改數據單元。
策略可以由裝置3000的用戶或者操作員預先定義。
優選地，輸入數據修改器226根據數據單元的分級修改數據單元， 例如根據產生該數據單元的另一個隔離處理環境的數據分級器212分配 給該數據單元的分級組。
優選地，通過修改數據單元，輸入數據修改器226將轉換成不可讀 的格式(例如使用另一個隔離處理環境的輸出數據修改器216,如上所 述)的數據單元恢復為可讀格式。
數據單元的修改可以包括但不限於使用領域中已知的解密技術解 密數據單元，從而將數據單元轉換成可讀的格式。
裝置3000還可以包括連接到輸入限制器的鑑定器224。
鑑定器224在允許用戶訪問數據單元之前鑑定用戶的身份。筌定器 224可以使用本領域已知的任何用戶鑑定方法，包括但不限於共享秘 密，口令，基於證書的，挑戰-回應，令牌驗證，生物統計學系統或者 其它物理設備等。
裝置3000還包括記錄器230,連接到輸入限制器222和輸出限制器
214。
記錄器230通過在日誌中記錄關於操作的信息，記錄限制器214, 222允許或阻止的操作。
可選的，記錄器230也連接到鑑定器224,並且還記錄鑑定器224 執行的操作。
曰志可以用於以各種方式審核和分析記錄的操作，如本領域所已知的。方式可以包括但不限於過濾，集中到日誌伺服器中，經由任何消 息傳送信道生成警告，分類成不同的重要程度，搜索，索引，或者生成 統計信息。
現在參考圖4,其是示出根據本發明一優選實施例，用於保護數據 安全的第一系統的示例實施的框圖。
根據本發明 一 優選實施例的示例系統包括保密區域6 0 0 。
保密區域600包括設備數據源610 (比如資料庫伺服器，儲存設備 等)，以及網絡數據源620 (比如到區域網，企業內部網際網路的連接等， ^口4L4頁i或已^口的)。
保密區域600包括只包含保密數據的幾個網絡段620。該保密區域 600包括一些文件伺服器，資料庫，內部web伺服器等。
保密區域600隻能從預先定義的隔離處理環境訪問，如下文進一步 詳細描述的。
可選的，部分保密區域可通過已知的網絡控制方法諸如防火牆， VLAN管理，確保保密的數據不從保密區域洩露，如本領域已知的。
在示例系統的實施之前不包含保密信息的實體，諸如郵件伺服器， 文件伺服器，USB驅動器等，從保密區域600中排除，並形成外部區域 300。
在本示例中，作為保密區域600的一部分的所有實體，以及位於保 密區域600的實體上的所有數據單元一皮分配分級組A。
可選的，使用主機計算機中的虛擬機創建幾個隔離處理環境200, 400,並且通過在物理分離的機器上運行遠程桌面創建額外的隔離處理 環境，如本領域已知的。
隔離處理環境的創建可以使用當前的工具進行，包括但不限於虛擬 機工具-諸如VMware , Microsoft Virtual PC ,以及諸如Citrix"1 或Microsoft Terminal Services 的遠,呈桌面工具。
通信信道110建立在隔離處理環境200, 400和保密區域600的數 據源之間。
定義關於進入和流出被分配了分級組A的隔離處理環境200A的數 據單元的安全策略。例如， 一種安全策略禁止向可攜式存儲設備(諸如 隨身碟，軟盤和CD)的寫入。然而，允許在收到管理員的許可之後列印 和經由Email發送文件。示例系統還包括管理控制臺500,連接到隔離處理環境200, 400。 管理控制臺500還可以連接到保密區域600。
管理控制臺500可以由系統的管理員使用，來定義和分配分級組， 管理隔離處理環境200,定義和管理保密區域600和保密區域的內容， 定義策略等。
在該示例中，隔離處理環境A 20(H吏用VMwareTM創建。 環境200接著由用戶A用於創建新的文件。當試圖將該文件保存到
配置在保密區域6 0 0之外的本地盤31 0時，該操作由輸出信道監控器21 0
;險測，如上文進一步詳細描述的。
在輸出信道監控器210中，文件的數據單元被首先轉發到數據分級
器212,數據分級器212為文件的每個數據單元分配對於隔離處理環境
200定義的默認分級組。對於隔離處理環境A200定義的默認分級組為分
級組A。
接著將數據單元轉發到輸出限制器214。
輸出限制器214確定該操作是否被允許。該判斷可以根據所確定的 該數據單元的分級組和系統的管理員使用管理控制臺5 0 0預先定義的安 全策略來執行。
到本地盤中的嘗試被允許。
當獲得操作(即將數據單元寫到本地盤中)的授權時，該數據單元 被分派到輸出數據修改器216來對該數據單元進行修改。
通過修改該數據單元，數據修改器216將該數據單元轉換成，根據 分配給該數據單元的分級組以及系統的管理員定義的安全策略選^^的 不可讀的格式。
在本示例中，使用定義為該分級組的特有密鑰的加密密鑰來加密， 將該數據單元轉換成不可讀的格式。
在該示例中，獲得授權訪問分配了分級組A的數據單元的所有用戶 被授予，對可用於解密分配了分級組A的加密的數據單元的解密密鑰的 訪問。
例如，可以為身份經過驗證的用戶提供解密密鑰，如下文進一步詳 細描述的。在用戶的身份經過驗證之後，可以從管理控制臺500發送解 密密鑰給用戶。接著執行所請求的操作，以加密的方式將該數據單元(即該文件)
包存儲在非保密的本地盤310上。
系統還包括環境選擇器228,配置在隔離處理環境200之外，並連 接到隔離處理環境200。
位於隔離處理環境200之外的環境選擇器228檢測訪問不可讀的文 件的嘗試。
環境選擇器228確定文件的分級組，並激活相關的鑑定和授權程序 來允許用戶對文件的訪問。
傳送這些數據單元以進一步在隔離處理環境中處理源自隔離處理 環境A 200的文件中的這些數據單元。
此外，在該示例中，用戶可以通過試圖將數據單元保存在位於保密 區域600之外的共享文件位置320 (例如共享文件夾，文件伺服器，或 者甚至可攜式存儲設備)，選擇從隔離處理環境200輸出數據單元(例 如文件)。
該嘗試由流出信道監控器210檢測到。
數據單元由輸出數據分級器212分配分級組A。
輸出限制器214允許該數據單元的輸出，並且輸出數據修改器216 將該數據單元修改為加密的格式，如上文進一步詳細描述的。
最後，數據單元以加密的格式保存在不保密的共享文件位置320。
隔離處理環境B 400由用戶B使用，其由獨立的伺服器上的遠程桌 面創建，並且也一皮分配了分級組A。
用戶B具有對共享文件位置320的訪問權限(物理地或者在網絡 上)。然而，文件位置'320沒有被定義為隔離處理環境B 400所相關的 保密區域600的部分。
當用戶B試圖從隔離處理環境B 400內訪問共享文件位置320上的 文件時，該操作由與隔離處理環境B 400關聯的輸入限制器426檢測到， 如上文進一步詳細描述的。
輸入限制器"6確定該數據單元的分級組，並允許該數據單元輸入 到隔離處理環境400中。
接著，使用鑑定器424執行的相關的鑑定程序驗證用戶B的身份， 如上文進一步詳細描述的。例如，可以用生物統計學系統424鑑定用戶 B的身份，如本領域已知的。接著，傳送該文件供在相關的隔離處理環境-隔離處理環境B 400 中進一步處理。
接著，由連接到隔離處理環境400的輸入數據修改器422修改該數 據單元。
輸入數據修改器422從中央管理控制臺500獲得密鑰，並使用該密 鑰解密該數據單元，從而將數據單元恢復成可讀的格式。
通過將數據單元恢復成可讀的格式，輸入數據修改器使得用戶以及 為用戶執行的相關應用程式能夠處理該數據單元。
即，在該數據單元被恢復到可讀格式之後，得到授權的用戶B可以 在隔離處理環境400中處理該數據單元。
從而在上面提供的示例中，儘管數據單元在不保密的系統上，在外 部區域300中傳輸，如果用戶在相關的隔離處理環境400中訪問該數據 單元，只有獲得授權的用戶能夠訪問該數據單元。
現在參考圖5，其是示出根據本發明一優選實施例，用於保護數據 安全的第二系統的示例實施的框圖。
圖5提供的示例說明基於根據本發明一優選實施例的示例系統。
圖5的系統包括兩個保密區域500, 600。
分級組A分配給由保密區域500產生的任何數據單元，分級組B分 配給由保密區域600產生的任何數據單元。
優選地，兩個保密區域600和700在作為(多個)保密區域的一部 分或者可以從(多個)保密區域內訪問的數據源方面，是相互排他的。 每個數據源(例如設備，資料庫，網絡連接等)唯一地屬於兩個保密區 域中單獨的一個。
在該示例中，分級組A的安全策略禁止將分級組A的數據單元寫到 可移動介質(諸如可攜式存儲設備，拇指盤，軟盤和CD),以及將數據 複製到具有對分級組A的訪問的隔離處理環境之外的剪貼板上。
此外，分級組B的安全策略也禁止向可移動介質的寫入，並且還需 要管理員的批准來列印數據單元或者將其附加到郵件消息。
每個用戶被分配了訪問這兩個分級組中的 一個或兩個的的許可。
在該示例中，用戶A 200和B 30(M皮分配了讀和寫分級組A和B兩 者的數據單元的許可，但是用戶C 400隻;故分配了讀和寫分級組B的數 據單元的許可。適用於兩個分級組的安全策略定義，如果用戶不具有訪問特定數據 單元的許可，仍然可以由管理員允許他訪問數據單元。
在本示例中，允許每個隔離處理環境訪問 一個或多個分級組。
關於進入和流出隔離處理環境的數據單元的安全策略由系統的管
理員定義，例如使用管理控制臺500，如上文進一步詳細描迷的。
使用虛擬才幾(諸如VMware^或Microsoft Virtual PC )在用戶A
的主機200上創建兩個隔離處理環境210, 220。
隔離處理環境210連接到保密區域A 5 00並且具有對其的訪問權限，
因為保密區域A的數據單元被分配了分級組A。
因為保密區域B的數據單元被分配了分級組B。
用戶A可以選擇在隔離處理環境A 210中，從源自隔離處理環境A 210能夠訪問的保密區域600的數據創建新的文件。
一旦使用環境210創建了該文件，該文件所有的處理都在隔離處理 環境21Q中(或者由具有訪問分級組A的保密區域的許可的任何其它環 境)執行，如上文進一步詳細描述的。
用戶A^妻著選4奪將該文件附加到email,該email經由保密區i或600 之外的郵件伺服器尋址到用戶B 300和用戶C 400。
當用戶A 200試圖作為對電子郵件消息的附件發送該文件時，該操 作由隔離處理環境210的輸出信道監控器檢測到，如上文進一步詳細描 述的。
該數據文件首先被分派給輸出數據分級器，如上文進一步詳細描述 的。輸出數據分級器將對隔離處理環境21G定義的默認分級組(即，分 級組A )分配給該文件。
接著，將該文件轉發到輸出限制器，如上文進一步詳細描述的。
輸出限制器使用數據單元的分級組，根據系統的管理員預先定義的 安全策略，確定該操作是否被允許。
根據預先定義的安全策略，將數據單元寫到Email是允許的。從而， 允許從用戶A使用的隔離處理環境210輸出該文件。
當獲得操作的授權，將該文件轉發到輸出數據修改器，如上文進一 步詳細描述的。
輸出數據修改器根據預先定義的策略，基於分配給該文件的分級組修改該文件。
例如，修改可以通過將該文件複製到作為保密區域的一部分並且能
夠限制用戶對文件的訪問的中央伺服器510或者共享文件位置來執行。
件: 。 、 、、 '、
連結可以通過本領域已知的方法實施，諸如一些作業系統中存在的
標準連結方法，或者通過系統內特定的文件類型。
接著，經由不保密的郵件伺服器發送該電子郵件消息，如加密的格式。
接著，該電子郵件消息由用戶B 300和C 400接收。 用戶B 300也使用在他的主機上的虛擬機創建的兩個隔離處理環境 310和320。
隔離處理環境31 0連接到保密區域A 5 00並且具有對其的訪問權限， 因為保密區域A的數據單元被分配了分級組A。
隔離處理環境320連接到保密區域B 700並且具有對其的訪問權限， 因為保密區域B的數據單元被分配了分級組B。
當用戶試圖訪問該電子郵件';肖息時，該操作由位於該隔離處理環境 之外的環境選擇器328檢測到，如上文進一步詳細描述的。在所提供的 示例中，email被認為是不保密的並且電子郵件消息主體在隔離處理環 境之外處理。
環境選擇器328確定電子郵件消息中的文件連結的分級組，即分級組A。
根據屬於分級組A的預先定義的策略，環境選擇器328確定該文件 連結必須被轉發到隔離處理環境A 310，從而將具有該文件連結的郵件 消息發送到隔離處理環境A 310。
接著，該文件由隔離處理環境A 310中的數據恢復器處理，其向中 央伺服器510驗證該用戶，並從中央伺服器510獲取該文件的內容，從 而使得用戶以及隔離處理環境A 310中的用戶使用的相關應用程式能夠 處理該文件。
當用戶試圖使用剪貼板操作將數據從隔離處理環境A 310之內，或 者從環境A 310複製到另一個隔離處理環境(例如隔離處理環境B 320 時)，該操作由輸出信道監控器檢測到，如上文進一步詳細描述的。在輸出信道監控器內，該數據首先由輸出數據分級器接收。輸出數 據分級器根據預先定義的策略，將分級組A分配給該數據單元，如上文 進一步詳細描述的。
接著將該數據分派給輸出限制器，輸出限制器使用預定的關於分級 組A的安全策略，確定該剪貼板操作是否是可以允許的。
根據預定的關於分級組A的安全策略，將分級組A的剪貼板數據復 制到隔離處理環境310之外是被禁止的。因此，阻止該操作，並且該嘗 試由記錄器審核，如上文進一步詳細描述的。
如上所述，用戶C 400隻被授予訪問分級組B的許可，因此在他的 主機上具有一個隔離處理環境420,由虛擬機創建並與分級組B關聯。
當用戶C 400試圖訪問承載源自保密區域A 600的數據單元(例如 附加的文件)的郵件消息時，該操作由位於隔離處理環境之外的環境選 擇器428檢測到。
環境選擇器"8確定該數據單元的分級組為A。由於用戶C不具有 對分級組A的數據單元的訪問權限，他對所附加的數據單元的訪問被阻 止。
該嘗試被記錄並經由管理控制臺發送到管理員的授權的隊列。
在得到管理員的授權時，用戶C 400收到訪問附加的數據單元的許 可。點對點傳輸(Ad-hock)地創建與分級組A關聯的額外的隔離處理 環境410,使得用戶C能夠觀看該文件。在本實施例中，環境410使用 遠程桌面工具(例如Microsoft Terminal Service )創建。
可選的，由隔離處理環境410的輸入數據修改器修改該數據單元， 例如解密該數據單元，如上文進一步詳細描述的。
然而，當用戶C試圖經由點對點傳輸環境410輸出該數據單元時， 點對點傳輸環境41G的輸出分級器將分級組A務配給輸出數據單元。從 而，點對點傳輸環境410的輸出限制器阻止該操作，因為用戶C 400沒 有輸出分級組A數據單元的許可。
現在參考圖6,其是示出根據本發明一優選實施例，用於保護數據 安全的第三系統的示例實施的框圖。
圖6的系統包括保密區域600,以及幾個隔離處理環境，如上面使 用圖4所示的。
圖6的示例實施使用圖5的示例實施的安全策略，以及額外的安全策略。
根據本示例實施的額外的安全策略，所有用戶都有給不保密的數據 單元分配分級組的許可，並且特定的用戶還具有改變數據單元所分配的 分級組的許可，如果該改變獲得管理員的批准的話。
例如，用戶A具有將數據單元的分級組從分級組A改變到不保密的許可。
圖6所示的該示例實施的系統還包括記錄器510,位於用戶的端點 計算機上。
該記錄器510將出隔離處理環境200的數據單元的所有讀和寫操 作，將分級組分配給數據單元，以及驗證用戶身份的處理記錄到預定的 日誌中。這些日誌可以經由中央管理控制臺500顯示給管理員，例如為 了審核的目的。
在該提供的示例中，用戶A為使用膝上型計算機作為主機的移動用戶。
在該提供的示例中，使用如領域中已知的沙箱技術在用戶A的主機 上創建隔離處理環境200。
沙箱技術可以包括在一組處理和作業系統之間緩沖，以及控制該處 理試圖執行的每個操作，從而使得能夠創建隔離處理環境的任何方法。
在該提供的示例中，用戶A具有讀和寫分級組A中的數據單元的許可。
在該示例中，用戶A經由來自組織之外的^f火伴的ema i 1 4妻收文件， 並且該文件被確定為不保密的。
用戶A可能希望在具有對分配到分級組A並且只能經由隔離處理環 境A 200訪問的數據源的訪問的同時，處理該文件。用戶A手動地將該 文件分配到分級組A。該動作由用戶A的膝上型計算機上的記錄器510 審核。
如果用戶A之後試圖將該文件分配到不同的分級組，或者將該文件 發回到組織之外，用戶A默認會被隔離處理環境200的輸出限制器阻止， 並且用戶A需要管理員的批准。用戶A的請求被發送到管理員的隊列， 並且由記錄器510記錄。
當試圖將該文件保存到本地盤310時，該操作由連接到隔離處理環 境200的輸出信道監控器210檢測到。接著為該數據單元分配與隔離處理環境200關聯的默認分級組(分 級組A),例如通過輸出數據分級器212，如上文進一步詳細描述的。
接著，輸出限制器214根據上面的策略允許該操作。
接著，由數據修改器216修改該數據單元，數據修改器216通過使 用特定於該數據單元的加密密鑰的加密修改該數據單元。接著在用戶A 的移動主機貯藏並保存解密密鑰，供以後的離線使用。該解密密鑰由用 戶A的口令保護。
當遠程用戶A的膝上型計算機離線時，用戶A繼續寫和讀數據單元。 記錄器510持續記錄每個操作。
當用戶A重新連接到網絡時，記錄器510自動與中央管理控制臺500 中的中央審核管理器505同步，從而使得管理員能夠查看用戶A的離線 操作。
當用戶A希望訪問保存在本地盤310上的文件時，該操作由環境選 擇器228檢測到。接著確定該數據單元的分級組，引起相關的鑑定和授 權處理的激活以允許對文件的訪問(例如通過請求用戶A輸入他的口 令)，例如使用鑑定器，如上文進一步詳細描述的。
當確認了用戶A的身份時，該數據單元被分派到與分級組A關聯的 隔離處理環境200中以進一步處理。輸入數據修改器222使用貯藏的解 密密鑰解密該數據單元，從而允許用戶A經由隔離處理環境A 200訪問 該數據單元。
現在參考圖7a,其是示出根據本發明一優選實施例，用於保護數據 安全的第 一方法的簡化流程圖。
在根據本發明一優選實施例的，在隔離處理環境200 (如上文進一 步詳細描述的)中實施的方法中，從連接到隔離處理環境200的預定的 保密區域400接收71數據單元。
保密區域是包括保持數據單元的 一個或多個數據源的預定區域。保 密區域400可以使用領域中已知的任何方法來實現。保密區域400可以 包括資料庫，伺服器，網絡連接等，如上文進一步詳細描述的。
接著，根據預先定義的策略，限制72從隔離處理環境200輸出所 接收的數據單元的嘗試，例如使用輸出限制器2",如上文進一步詳細 描述的。
現在參考圖7b,其是示出根據本發明一優選實施例，用於保護數據安全的第二方法的簡化流程圖。
在根據本發明一優選實施例的，在隔離處理環境200 (如上文進一
步詳細描述的)中實施的方法中，根據預先定義的策略，限制75將數 據單元輸入到隔離處理環境200,例如使用輸入限制器222,如上文進 一步詳細描述的。
即，數據單元的輸入可以被阻止，允許等。例如，輸入限制器222 可以允許從隔離處理環境2000訪問數據單元，如下文進一步詳細描述 的。
可選的，還可以確定在輸入數據單元之前是否必須執行特定的動 作，如上文進一步詳細描述的。
一旦允許從隔離處理環境訪問數據單元，該數據單元可以被轉發76 到保密區域400,如果用戶是隔離處理環境200的授權用戶。
預期在本專利的有效期內會開發很多相關的設備和系統，而這裡的 術語的範圍，特別是術語"端點計算機"，"網絡"，"數據單元"， "文件"，"email","虛擬機"，"加密"和"解密"的範圍意圖 是推理地包括所有這種新的技術。
認識到，為了清楚而在分開的實施例的上下文中描述的本發明的特 定特徵，也可以在單個實施例中組合地提供。相反的，為了簡短而在單 個實施例的上下文中描述的本發明的不同特徵，也可以分開地，或者以 任何適當的子組合提供。
儘管已經結合其特定實施例描述了本發明，4艮明顯很多替代，修改 和變化對對於本領域技術人員是明顯的。因此，意圖是包含落入所附權 利要求的精神和寬廣範圍內的所有這種替代，修改和變化。
本說明書中提到的所有出版物，專利和專利申請以它們的整體結合 在說明書中作為參考，到如同特定地並且單獨地指出每個單獨的出版 物，專利或專利申請結合在此作為參考的程度。此外，本申請中任何參 考的引用或者標明不應被視為承認這些參考可以作為本發明的現有技 術。
權利要求
1. 一種用於保護數據安全的裝置，包括安全環境定義器，配置用於定義已有的用戶環境中的安全環境，所述定義器配置用於定義數據不能通過的關於所述環境的邊界，以及出所述安全環境的信道，該安全環境定義器還配置為定義與出所述安全環境的所述信道關聯的過濾器，所述過濾器可被定義以控制出所述安全環境的數據的通過。
2. 根據權利要求1所述的安全環境定義器，還用於與預先定義的 保密數據區域一起使用，並配置為確保來自所述預定保密區域的數據只 能進到所述安全環境。
3. 根據權利要求1所述的裝置，其中保密區域在該端點計算機之外。
4. 根據權利要求1所述的裝置，還包括數據分級器，與所述過濾 器關聯，並且配置為根據預先定義的策略給該輸出數據單元分級，其中 所述過濾器還配置為根據分級限制數據單元的輸出。
5. 根據權利要求1所述的裝置，還包括輸出數據修改器，與所述 過濾器關聯，並且配置為根據預先定義的策略修改輸出的數據單元。
6. 根據權利要求5所述的裝置，其中所述輸出數據修改器還配置 為使用輸出的數據單元的分級進行修改。
7. 根據權利要求5所述的裝置，其中所述修改包括加密輸出的數 據單元。
8. 根據權利要求1所述的裝置，其中所述過濾器包括輸入過濾器 和輸出過濾器，所述輸入過濾器配置為限制數據單元輸入到所述隔離處 理環境中，其中所述隔離處理環境可進一步操作來將輸入數據單元轉發 到保密區域。
9. 根據權利要求8所述的裝置，還包括輸入數據修改器，與所述 輸入過濾器關聯，並且配置為根據預先定義的策略修改輸入的數據單 元。
10. 根據權利要求9所述的裝置，其中所述修改包括解密輸入的數 據單元。
11. 根據權利要求1所述的裝置，包括多個隔離處理環境，並且還包括環境選擇器，與所述隔離處理環境中的至少一個關聯，並且配置為 檢測對數據單元執行操作的嘗試，並根據預先定義的策略將該操作的執 行限制在所述隔離處理環境中的所選擇的 一 個。
12. 根據權利要求1所述的裝置，還包括鑑定器，與所述過濾器關聯，並配置為鑑定試圖訪問輸出的數據單元的用戶的身份，並根據鑑定 的身份限制對輸出的數據單元的訪問。
13. 根據權利要求1所述的裝置，還包括鑑定器，與所述過濾器關 聯，並配置為鑑定試圖訪問所述隔離處理環境的用戶的身份，並根據鑑 定的身份限制用戶對所述隔離處理環境的訪問。
14. 根據權利要求1所述的裝置，還包括記錄器，與所述隔離處理 環境關聯，並配置為記錄所述隔離處理環境中的活動。
15. 根據權利要求1所述的裝置，其中所述過濾器還配置為根據預 定的策略改變輸出的數據單元的分級。
16. 根據權利要求1所述的裝置，其中所述隔離處理環境包括自動 加密的本地文件系統，配置為自動加密存儲在所述隔離處理環境中的數 據單元。
17. 根據權利要求1所述的裝置，還包括圖形用戶界面(GUI)管 理器，與所述隔離處理環境關聯，並且配置為管理GUI,所述GUI用於 根據預先定義的策略，用有區別的視覺標記將數據單元呈現給該端點計 算機的用戶。
18. 根據權利要求1所述的裝置，其中所述隔離處理環境配置為從 至少一個具有預定分級的保密區域接收數據單元。
19. 根據權利要求1所述的裝置，其中根據關於保密區域的分級組 的預先定義的策略，允許所述隔離處理環境訪問至少一個保密區域。
20. —種用於保護數據安全的裝置，包括隔離處理環境，與數據源的預定的保密區域關聯，具有數據不能通 過的邊界，以及用於作為數據跨過所述邊界的通過的信道，該隔離處理 環境可操作來從保密區域接收數據單元，其中所述隔離處理環境安裝在 端點計算機上；數據分級器，與所述隔離處理環境關聯，並且配置為根據預先定義 的策略給數據單元分級；輸出限制器，與所述信道關聯，並且配置為根據所述分級，限制數據單元跨過所述信道的輸出；以及輸出數據修改器，與所述輸出限制器關聯，並且配置為根據所述分 級修改輸出的數據單元。
21. 根據權利要求20所述的裝置，其中保密區域在端點計算機之外。
22. —種用於保護數據安全的裝置，包括隔離處理環境，與數據源的預定的保密區域關聯，其中所述隔離處 理環境安裝在端點計算機上；以及輸入限制器，與所述隔離處理環境關聯，並且配置為限制數據單元 輸入到所述隔離處理環境中，其中所述隔離處理環境還可操作來將輸入 的數據單元轉發到保密區域。
23. 根據權利要求22所述的裝置，其中保密區域在端點計算機之外。
24. 根據權利要求22所述的裝置，還包括輸入數據修改器，與所 述輸入限制器關聯，並且配置為根據預先定義的策略修改輸入的數據單元。
25. —種用於保護數據安全的裝置，包括隔離處理環境，與數據源的預定的保密區域關聯，其中所述隔離處 理環境安裝在端點計算機上，所述隔離處理環境包括數據不能通過的邊 界，以及用於允許數據跨過所述邊界通過的信道；輸入限制器，與所述信道關聯，並且配置為限制數據單元輸入到所 述隔離處理環境中；以及輸入數據修改器，與所述輸入限制器關聯，並且配置為根據預先定 義的策略修改所述輸入的數據單元；並且其中所述隔離處理環境還可操 作來將輸入的數據單元轉發到保密區域。
26. 根據權利要求25所述的裝置，其中保密區域在端點計算機之外。
27. 根據權利要求25所述的裝置，還包括數據分級器，與所述隔離處理環境關聯，並且配置為根據預先定義 的策略給數據單元分級；輸出限制器，與所述信道關聯，並且配置為根據所述分級，限制數 據單元的輸出；以及輸出數據修改器，與所述輸出限制器關聯，並且配置為根據所述分級修改輸出的數據單元；
28. 根據權利要求27所述的裝置，其中保密區域在端點計算機之外。
29. 用於保護數據安全的系統，包括至少兩個隔離處理環境，每個環境包括數據不能通過的邊界，以及 數據可以通過其跨過所述邊界的信道，每個環境可操作地與數據源的相 應的預定保密區域關聯，從而從該保密區域接收數據單元，並且安裝在 端點計算機上；以及至少兩個輸出限制器，每個輸出限制器與所述隔離處理環境中各自 的一個的信道關聯，並且配置為控制所接收的數據單元從該隔離處理環 境的輸出。
30. 用於保護數據安全的工具包，包含在計算機可讀介質上，該工 具包包括隔離處理環境定義器，可操作來定義隔離處理環境，所述隔離處理 環境包括數據不能通過的邊界，以及數據可以通過其跨過所述邊界的信 道，所述環境與端點計算機上的數據源的預定的保密區域關聯；以及輸出限制器，可安裝在端點計算機上，並且配置為限制數據單元通 過所述信道的輸出。
31. 根據權利要求30所述的工具包，其中保密區域在端點計算機 之外。
32. —種保護數據安全的方法，包括a) 通過定義數據不能通過的邊界，以及數據可以通過其跨過所述 邊界的信道，在端點計算機處創建隔離處理環境；b) 在所述隔離處理環境中接收源自與該隔離處理環境關聯的預定 的保密區域的數據單元；以及c) 監控所述信道以便限制所述接收的數據單元從所述隔離處理環 境的輸出。
33. 根據權利要求32所述的方法，其中保密區域在端點計算機之外。
34. 根據權利要求32所述的方法，還包括根據預定的策略對輸出 數據單元分級，其中根據數據單元的分級執行對數據單元的輸出的所述限制。
35. 根據權利要求32所述的方法，還包括根據預定的策略修改輸 出的數據單元。
36. 根據權利要求32所述的方法，還包括根據預定的策略限制數 據單元輸入到所述隔離處理環境中。
37. 根據權利要求32所述的方法，還包括根據預定的策略修改輸 入到所述隔離處理環境中的數據單元。
38. —種保護數據安全的方法，包括a) 通過定義數據不能通過的邊界，以及數據可以通過其跨過所述 邊界的信道，在端點計算機處創建隔離處理環境；b) 監控所述信道以便限制將數據單元輸入所述隔離處理環境；以及c) 將受到限制的輸入數據單元從所述隔離處理環境轉發到與該隔 離處理環境關聯的保密區域，從而保護輸入所述保密區域的數據。
39. 根據權利要求38所述的方法，還包括根據預定的策略修改輸 入的數據單元。
全文摘要
一種用於保護數據安全的裝置，包括隔離處理環境，具有數據不能通過的邊界，以及用於允許數據跨過所述邊界的信道。過濾器限制數據跨過信道的通過。受到保護的數據初始位於安全區域中，並且只釋放給這樣的安全處理環境，從而得到授權的用戶對安全數據的訪問是可以獲得的，但是得到授權的用戶之後將安全數據釋放到外部世界則受到控制。
文檔編號G06F11/00GK101512490SQ200780009594
公開日2009年8月19日 申請日期2007年1月17日 優先權日2006年1月17日
發明者R·奧爾吉瑟, R·科哈維, Y·利維 申請人:基達羅(以色列)有限公司