在雲應用環境中用於數據洩漏防護的裝置和方法

2023-05-21 20:41:26

專利名稱：在雲應用環境中用於數據洩漏防護的裝置和方法
技術領域：
本發明涉及數據洩漏防護，更具體而言，涉及在雲應用環境中用於數據洩漏防護的裝置和方法。
背景技術：
隨著信息電子化的普及，數據的存儲和傳遞變得非常便利和快捷，但同時，這也增加了數據安全性方面的隱患。尤其對於各種企業來說，網際網路的深入發展使得企業網絡與外部網絡邊界日益模糊，電子郵件、即時通信將企業網絡與外界緊密連接在一起。為了保護 企業的機密和敏感數據，越來越多的企業開始運用數據洩漏防護技術進行數據安全性的保護。數據洩漏防護DLP (Data Leakage Protection)是一個計算機安全術語,指的是利用集中的管理框架，通過對事務內容的深層檢查和上下文安全性的分析，而識別、監視和保護各種事務數據的系統。要保護的事務數據可以包括使用中的數據(例如，端點操作數據)，移動中的數據(例如，網絡操作數據)和靜止數據(例如，存儲中的數據)。DLP系統一般被設計為，檢測並防止對機密信息的未授權使用和傳輸，尤其是針對無意的數據洩漏。傳統的DLP實現方式包括桌面DLP方案和網絡DLP方案。桌面DLP方案是在終端用戶的工作檯上或在伺服器上運行一個程序，用於在作業系統的層級監視物理設備和一些IO操作，例如監視對USB設備、⑶/DVD的寫入，並監視諸如剪切、複製、列印之類的操作。而網絡DLP方案需要專用的硬體和軟體平臺，一般是安裝在企業的網際網路連接上；該方案依照數據收發所使用的協議來分析網絡通信的內容。然而，在日益普及的雲應用環境中，傳統的DLP解決方案面臨極大的不足。在雲應用環境中，提供計算資源的網絡被稱為「雲」。一般來說，「雲」是一些可以自我維護和管理的虛擬計算資源，通常是一些大型伺服器集群，包括計算伺服器、存儲伺服器、寬帶資源等等。雲計算將所有的計算資源集中起來，並由軟體實現自動管理，無需人為參與。「雲」中的資源在使用者看來是可以無限擴展的，並且可以隨時獲取，按需使用，隨時擴展。基於雲計算的上述優點，提供了各種雲應用，這些雲應用已經被越來越多的企業和個人廣泛採用。在雲應用的環境中，傳統的DLP方案已經不能滿足數據安全保護的要求。具體地，桌面DLP方案工作於作業系統的底層指令，只能監視作業系統級的事件，而不能處理具體應用層級的事件，更無法捕獲和解讀雲應用下的操作。而網絡DLP方案關注於網絡傳輸協議層級的數據傳遞，無法獲知已經存儲在「雲」中的內容。並且，傳統的網絡DLP無法提供與用戶的互動，而這對於DLP來說是很重要的一個方面。為了在雲應用環境中提供數據洩漏防護，可以設想這樣的替代方案，S卩，提供一個統一的DLP框架，要求雲應用的提供商修改其各自的雲應用，從而在雲應用中弓I入數據保護的功能。然而，這樣的設計高度依賴於雲應用提供商對於數據安全性的投入和專業性，可靠性不能得到保證。並且，由於各個企業具有其不同的數據安全策略，所以很難構建一個統一的DLP框架，能與市場上各種DLP策略相結合。因此，這樣的DLP實施方案也難以實踐和推廣。鑑於此，希望提供一種方案，能在各種雲應用的環境中捕獲並分析傳輸數據，從而提供數據洩漏防護功能。

發明內容
基於以上提出的問題，本發明提供一種數據洩漏防護方案，從而在雲應用環境下輔助進行數據洩漏防護。根據本發明第一方面，提供了一種用於數據洩漏防護的裝置，包括模板確定模塊，配置為根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板；監視器生成模塊，配置為通過加載確定的監視器模板生成監視器，以獲取共享內容的標識信息；以及內容獲取模塊，配置為根據所述標識信息，獲取共享內容的數據用於安全性分析。根據本發明第二方面，提供了一種用於數據洩漏防護的方法，包括根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板；通過加載確定的監視器模板生成監視器，以獲取共享內容的標識信息；以及根據所述標識信息，獲取共享內容的數據用於安全性分析。利用本發明的裝置和方法，能夠針對不同雲應用生成專用的監視器，從而捕獲共享內容的標識，並進而獲取共享內容的數據，由此對共享內容進行安全性分析,促進了數據洩漏防護。


圖I示出根據本發明一個實施例的用於數據洩漏防護的裝置的框圖；圖2示出根據本發明一個實施例的模板確定模塊的結構框圖；圖3示出根據本發明一個實施例的交互選項的示例；圖4示出根據本發明一個實施例的方法的流程圖；以及圖5示出在本發明一個實施例中圖4的步驟42的子步驟。
具體實施例方式以下結合附圖描述本發明的具體實施方式
。但是應該理解，以下對具體實施例的描述僅僅是為了解釋本發明的執行示例，而不對本發明的範圍進行任何限定。在本發明的多個實施例中，在企業的代理伺服器中安裝一個用於數據洩漏防護的裝置。由此，當企業中的用戶使用雲應用共享或發布特定內容時，用戶向雲應用發出的所有請求以及從雲應用返回的所有響應都會經由代理伺服器進行傳遞，從而被代理伺服器中的防護裝置所捕獲。然而，這樣捕獲的信息往往是一些基本的代碼指令，例如網頁html代碼。這樣的代碼通常會隨著雲應用的不同而不同，因此僅僅憑藉這樣的代碼指令仍然無法解讀應用層級的事件。並且，在一些情況下，將要共享的內容本身已經存在於雲中，並不通過代理伺服器來傳遞。這時，僅通過捕獲經由代理伺服器的通信流仍然無法獲取有待共享的內 容。因此，在本發明的實施例中，將用於數據洩漏防護的裝置設計為，根據用戶使用的雲應用，動態生成監視器，來捕獲用戶的操作，並根據需要從雲中獲取有待共享的內容進行安全性分析，從而防止機密數據的無意洩漏。圖I示出根據本發明一個實施例的用於數據洩漏防護的裝置的框圖。如圖所示，該裝置10包括模板確定模塊14，監視器生成模塊16和內容獲取模塊18，其中模板確定模塊14配置為，根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板；監視器生成模塊16配置為，通過加載確定的監視器模板生成監視器，以獲取共享內容的標識信息；內容獲取模塊18配置為，根據所述標識信息，獲取共享內容的數據用於安全性分析。如上所述，模板確定模塊14和監視器生成模塊16需要首先確定並獲取與雲應用對應的監視器模板，從而生成監視器。這樣的監視器模板可以存儲在一個模板存儲庫12中。在一個實施例中，模板存儲庫12也位於裝置10中，便於其他模塊與之通信。圖I中示出了模板存儲庫12位於裝置10中的例子。但在其他實施例中，模板存儲庫也可能位於裝置10之外。在這種情況下，裝置10中的模塊可以通過本領域中已知的各種通信方式與模板存儲庫進行通信，從而獲得其中的模板。 具體地，模板存儲庫12用於存儲與雲應用對應的監視器模板。這些模板可以由熟悉各種雲應用的第三方組織或專業人員針對各個雲應用專門設計和編寫。基於對雲應用的熟悉和了解，專業人員會知道特定雲應用的各種特徵，例如該雲應用包含哪些功能點，各個功能點所對應的頁面結構，每個頁面結構中各個欄位的含義等等。相應地，專業人員針對該雲應用編寫的監視器模板可以包含，專用於監視與該雲應用的交互的各種信息和代碼。一般地，監視器模板首先會在特定區段，例如標識區段或標頭中，指明該模板適用的雲應用的標識，例如，雲應用對應的URL，http標頭等。然後，監視器模板包含實現監視功能的監視器代碼，該代碼通常以JavaScript的形式體現。監視器代碼可以指定對雲應用相關頁面中哪些欄位的內容進行監視和記錄。另外，監視器模板中還會包含一些說明性代碼，例如，用於表明將上述監視器代碼插入或加載於何處的代碼。此外，根據所針對的雲應用，監視器模板中還可能包含與雲應用中內容存儲方式相關的說明代碼。這樣的代碼可以指明如何從雲應用中獲取所需的內容。可以理解，監視器模板的具體內容緊密依賴於其針對的雲應用。根據云應用的不同，監視器模板的形式、內容都會有所不同。在一個實施例中，模板存儲庫12中的模板可以由企業的網絡管理員根據該企業所使用的雲應用的情況選擇性地添加和部署。基於部署的監視器模板，監視器生成模塊16就可以根據需要生成適當的監視器，從而對雲應用環境中用戶的操作進行監視和捕獲。具體而言，模板確定模塊14首先根據用戶與雲應用之間的通信，確定對應的監視器模板。為此，在一個實施例中，模板確定模塊14包含用於實現上述功能的單元。圖2示出根據本發明一個實施例的模板確定模塊的結構框圖。參照圖2，模板確定模塊14包括，通信截獲單元140和模板匹配單元142。通信截獲單元140配置為，截獲用戶與雲應用之間的通信。具體地，在用戶想要訪問一個雲應用時，他通常需要通過瀏覽器向雲應用發出訪問請求。這個訪問請求可能包括要訪問的雲應用的標識，例如URL，以及為此訪問而建立的會話信息。由於用戶與外部網絡的通信都需要通過代理伺服器來傳遞，因此，該訪問請求可以被設置在代理伺服器中的通信截獲單元140所截獲。在獲得該訪問請求之後，通信截獲單元140記錄訪問請求中能夠標識目標雲應用的必要信息，例如雲應用的URL，會話信息等，然後將該訪問請求轉發給目標雲應用。
接著，如常規方式一樣，代理伺服器會獲得從雲應用返回的對上述訪問請求的響應。通信截獲單元140截獲上述響應，並選擇性地記錄其中與目標雲應用的標識相關的信息，例如http標頭、其中的特定參數等。接著，通信截獲單元140將記錄的用於標識目標雲應用的信息傳遞給模板匹配單元142。如上所述，模板存儲庫12中存儲的各個模板都會在標識區段記錄該模板適用的雲應用的標識。基於此，模板匹配單元142將獲得的標識信息與各個模板的標識區段中記錄的標識進行對比，從中找出標識匹配的模板，將這樣的模板確定為目標雲應用適用的模板。可以理解，根據云應用的不同，能夠標識出雲應用及其特定功能點的標識信息也有所不同。在一個例子中，僅通過訪問請求中包含的URL就可以標識出目標雲應用。在這種情況下，模板匹配單元142僅通過URL的匹配就可以確定適用的模板。在另一例子中，需要進一步的標識信息，例如來自雲應用的響應中的http標頭信息，才能確定對應的模板。此時，模板匹配單元142依次將各種標識信息與模板中的指定信息進行比對，由此找出適用的模板。在另一例子中，一個雲應用包含多個功能點，例如，發送email功能，文件上傳功能，文件共享功能等。不同的功能點對應於不同的頁面信息。相應地，針對該雲應用的監視器模板包含與各個功能點對應的多個子模板，每個子模板會指明對應的功能點的標識，例如該功能下返回的頁面信息的特徵。在這種情況下，模板匹配單元142進一步將獲取的標識信息與功能點標識對比，確定當前功能點所適用的模板。可以理解，為了確定適用的模板，模板匹配單元142需要對比的參數和信息可以不同於或不限於以上所列舉，而是根據云應用和相應模板的需要進行改變和調整。一旦確定了適用的監視器模板，監視器生成模塊16就通過加載確定的模板來生成監視器。具體地，監視器模板中包含實現監視功能的監視器代碼。所述監視器代碼主要包含一些代碼指令，用於對用戶與雲應用交互的頁面中的特定欄位進行記錄和捕獲，這些欄位通常與用戶將要共享的內容相關。相應地，監視器生成模塊16根據監視器模板中的說明，將監視器代碼加載到適當的位置，使得監視器代碼能夠通過對特定欄位的捕獲來獲得與有待共享的內容相關的信息。可以理解，對於內容共享的安全性來說,需要考慮的因素主要是有待共享的內容是否涉及企業機密信息，另外還可能考慮共享的對象是否有權限查看該共享內容。因此，監視器代碼通常針對共享內容以及(可選地)共享對象進行監視。下面結合具體例子描述監視器生成模塊16以及所生成的監視器的工作過程。在一個例子中，雲應用響應於用戶的請求，向用戶返回一個可以交互的響應頁面。該響應頁面包含一個表單部分，以允許用戶對表單中的項目進行填寫，從而指定想要共享的內容。一般地，響應頁面的各級內容被組織為DOM樹的形式。表單中的各個項目在DOM結構中對應於特定的欄位。相應地，適用於該雲應用的監視器模板可以指明將監視器代碼加載到響應頁面代碼之前，其中監視器代碼指定對響應頁面的DOM結構中的特定欄位的用戶輸入進行記錄和捕獲。對於這樣的雲應用和監視器模板，監視器生成模塊16根據監視器模板的指示，將監視器代碼插入到通信截獲單元140所截獲的響應頁面的代碼之前，從而為響應頁面添加 了一個「封裝」。這個封裝用於對指定欄位的內容進行記錄，從而作用為監視器。在一些情況下，監視器代碼還會指明進行監視的觸發條件，例如用戶點擊「發送」或「共享」按鈕之類的特定操作。在添加了監視器代碼之後，監視器生成模塊16將經過修改的響應頁面返回給用戶。用戶照常在響應頁面提供的表單中輸入與想要共享的內容有關的信息，例如，共享對象的信息，有待共享的內容的標識等。通過對指定欄位的輸入進行捕獲，監視器將會獲得用戶輸入的與有待共享的內容相關的信息。除了將監視器代碼插入到響應頁面代碼之前的執行方式之外，監視器模板中還可能指示其他的監視器模板加載方式，例如，根據云應用的響應頁面的結構，將監視器代碼插入到響應頁面之中的特定位置。在監視器代碼被添加到響應頁面的執行方式中，監視器是根據響應頁面的接收而實時動態生成的。也就是說，每當向雲應用發出請求並接收到響應頁面，監視器生成模塊16都會根據模板的指示來重新添加監視器代碼從而修改響應頁面。而對於一些簡單的、功能單一的雲應用，也有可能根據監視器模板生成一個單獨的監視器。此後，每次使用該雲應用的時候，不必重新生成監視器，而只需要將交互頁面發送到已經生成的監視器進行信息提取。不管以何種方式加載和生成，監視器都被設計為針對交互頁面中的共享內容欄位的信息進行監視和提取。在一些實施例中，監視器還針對共享對象的信息進行監視。對於共享對象的信息，一般地，監視器通過捕獲特定欄位的輸入可以直接獲得共享對象的標識信息，例如共享對象的email地址，註冊ID等。而對於共享內容的信息，則需要區分來自本地的內容和來自雲中的內容兩種不同的情況。在一個具體例子中，有待共享的內容位於用戶本地。例如，在一些EmaiI雲應用的郵件撰寫功能下，用戶可以在響應頁面的特定欄位輸入收件人email地址，並在附件選項中指定要添加的文件。這時，附件的文件可以認為是共享內容，郵件的收件人可以認為是共享對象。用戶通過附件文件的本地路徑來標識要共享的文件。在用戶指定要共享的文件之後，一般地，該文件會被上傳到代理伺服器的緩存區中，包括高速緩存和臨時緩存區，用以接下來轉發到雲應用。在一種情況下，監視器被觸發以捕獲要共享的文件的信息時，該共享文件已經被上傳到代理伺服器的高速緩存中。此時，高速緩存會為上傳的文件分配一個ID來進行標識。於是，監視器可以直接記錄該ID作為共享內容的標識。在另一種情況下，監視器被觸發以捕獲要共享的文件信息時，該文件還未被上傳到代理伺服器。在這種情況下，監視器首先根據文件的本地路徑將文件上傳到代理伺服器中的臨時緩存區中。類似地，臨時緩存區也會為該文件分配一個臨時連結或ID。於是，監視器記錄該臨時連結或ID作為共享內容的標識。在另一個具體例子中，有待共享的內容已經位於雲資源中。例如，在一些網絡相冊，或者更廣泛的網絡硬碟的功能下，用戶可以選擇將一幅圖片或者一個文件共享給其他人。而將要共享的圖片或文件已經事先存儲到雲應用中，用戶的共享操作實際上只是修改一些權限設置，使得其他人有權限訪問要共享的文件。在這種情況下，雲應用已經為存儲於其中的文件分配了唯一的連結，並在一定的響應頁面中包含了這些連結。由於響應頁面之上已經安裝了監視器，因此用戶對特定文件的選擇就會觸發監視器從頁面DOM結構的特定欄位提取選定文件對應的連結。這樣的連結可以作為用戶要共享的內容的標識。
然而，可以理解，監視器生成模塊16通過上述單元所生成的監視器只是記錄了用戶將要共享的內容的標識，例如緩存區中的ID，雲應用提供的連結等，而不是有待共享的內容數據本身。為了對共享內容進行安全性分析，還需要獲取到完整的、具體的共享內容數據。為此，監視器將獲得的標識提供給內容獲取模塊18，由內容獲取模塊18根據這些標識來獲取有待共享的內容數據。對於位於本地的共享內容，內容獲取模塊18可以從監視器獲得有待共享的內容在代理伺服器的高速緩存區或臨時緩存區中的ID，利用獲得的ID在代理伺服器中請求訪問其中緩存的內容數據。不過，在多數情況下，僅僅利用上述ID還不足以讀取內容數據。通常，內容獲取模塊18還需要從通信截獲單元140獲得用戶與雲應用的會話信息。進一步結合會話信息，內容獲取模塊18可以從代理伺服器中讀取到有待共享的內容數據。對於位於雲中的共享內容，內容獲取模塊18可以從監視器獲得雲應用為有待共享的內容所分配的連結地址，利用獲得的連結地址向雲應用請求訪問對應的共享內容。一般地，由於用戶對自己保存在雲中的內容設置了訪問權限，因此，在內容獲取模塊18向雲應用發出訪問特定內容的請求時，不僅需要所請求的內容的連結地址，還需要用戶與雲應用之間交互的會話信息。並且，根據云應用的不同，還需要將各種信息綜合為特定格式，從而為雲應用所識別。因此，在一個實施例中，內容獲取模塊18在從雲應用中獲取內容數據時也要參照監視器模板。如上所述，根據所針對的雲應用，監視器模板中還可能包含與雲應用中內容存儲方式相關的說明代碼。這樣的代碼可以指明如何從雲應用中獲取所需的內容。通過參照該模板，內容獲取模塊18首先收集訪問共享內容所需的信息，例如包括，共享內容的連結地址、會話ID等，並且根據模板中的指示，將這些信息按照特定格式進行安排，從而形成訪問請求。根據這樣的訪問請求，內容獲取模塊18就可以從雲應用中讀取共享內容的數據。在獲得共享內容數據之後，內容獲取模塊18將這些數據以及可選地共享對象的信息發送至分析器進行安全性分析。之所以利用獨立的分析器來分析共享內容的安全性，是因為上述安全性主要依賴於各個企業制定的安全策略。因此，分析器獨立於圖I的裝置10，而是由各個企業根據安全需要來設計和提供。一般地，通過對共享內容數據進行分析，分析器就可以做出安全性判斷，例如，是否涉及企業機密，是否需要加密等等。在一個實施例中，圖I的裝置10還包括交互模塊(未示出)，用於提供與用戶的交互。具體地，交互模塊從分析器獲得判斷結果。如果判斷結果表明，有待共享的內容有可能涉及企業機密，那麼交互模塊為用戶提供一個交互選項。圖3示出根據本發明一個實施例的交互選項的示例。圖3A示出在一個Email應用的郵件撰寫功能下，交互模塊提供的交互選項。如圖所示，當分析表明，用戶正在試圖將機密內容發送給外部人員時，交互模塊可以為用戶提供多個選項，包括對有待發送的內容進行加密、添加水印、原樣發送、取消操作等。用戶可以通過選擇這些選項來確定下一步的操作。圖3B示出在一個雲應用的文件共享功能下，交互模塊提供的交互選項，包括原樣共享、取消操作、添加水印。由此，本發明實施例的裝置10還提供了較好的用戶交互，使得用戶體驗更加友好。通過以上的裝置，可以在雲應用的環境下，利用與雲應用對應的模板動態生成專用的監視器，用於監視用戶有待共享的內容的標識，並由此獲取到共享內容數據，從而進行安全性分析。基於同一發明構思，本發明還提出了用於數據洩漏防護的方法。圖4示出根據本發明一個實施例的方法的流程圖。如圖所示，該方法包括步驟42，根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板；步驟44，通過加載確定的監視器模板生成監視器，、以獲取共享內容的標識；以及步驟46，根據所述標識信息，獲取共享內容的數據用於安全性分析。具體地，在步驟42中，要確定與雲應用對應的監視器模板。這樣的模板可以存儲在一個模板存儲庫中。並且，這些模板通常由熟悉各種雲應用的第三方組織或專業人員針對各個雲應用專門設計和編寫。一般地，監視器模板首先會在特定區段，指明該模板適用的雲應用的標識。然後，監視器模板包含實現監視功能的監視器代碼，該代碼通常以JavaScript的形式體現。監視器代碼可以指定對雲應用相關頁面中哪些欄位的內容進行監視和記錄。另外，監視器模板中還會包含一些說明性代碼，例如，用於表明將上述監視器代碼插入或加載於何處的代碼。此外，根據所針對的雲應用，監視器模板中還可能包含與雲應用中內容存儲方式相關的說明代碼。可以理解，根據云應用的不同，監視器模板的形式和內容都會有所不同。圖5示出在本發明一個實施例中圖4的步驟42的子步驟。如圖所示，步驟42可 以包括如下子步驟，步驟420，截獲用戶與雲應用之間的通信，獲取雲應用的標識信息；步驟422，將獲得的標識信息與各個監視器模板中記錄的標識信息進行對比，從而確定匹配的監視器模板。具體地,步驟42中獲取的雲應用的標識信息可能包括訪問該雲應用的URL,會話信息，響應頁面中的http標頭、特定參數等。由於模板存儲庫中存儲的各個模板都會在標識區段指明該模板適用的雲應用的標識，因此，在步驟422中，通過將獲得的標識信息與各個模板的標識區段中記錄的標識進行對比，就可以找出雲應用適用的模板。一旦確定了適用的監視器模板，就可以通過加載該監視器模板來生成監視器，如步驟44所示。具體地，可以根據監視器模板中的說明，將監視器代碼添加到適當的位置，從而生成監視器。由於監視器代碼中指定了對特定欄位的內容進行捕獲，因此監視器可以針對z 應用來獲得與有待共孚的內容相關的彳目息，包括共孚對象的彳目息和共孚內容的標識。更具體而言，在有待共享的內容位於用戶本地的情況下，監視器可以捕獲該共享內容在代理伺服器的緩存區中的ID。在有待共享的內容已經位於雲資源中的情況下，監視器可以從頁面DOM結構的特定欄位提取共享內容對應的連結作為其標識。通過以上的步驟42和44，可以針對雲應用生成專用的監視器，由監視器捕獲有待共享的內容的標識。進一步地，在步驟46中，根據以上獲得的標識，獲取要共享的內容數據，並將所述內容數據發送至分析器進行安全性分析。對於位於用戶本地的共享內容，在步驟46中可以利用從監視器獲得的共享內容在高速緩存區或臨時緩存區中的ID，在代理伺服器中請求訪問該共享內容的數據。對於位於雲中的共享內容，在步驟46中，可以利用從監視器獲得的共享內容分配得到的連結地址，向雲應用請求訪問對應的共享內容。在一個實施例中，在步驟46中，為了獲得共享內容數據，還需要參照監視器模板，按照其指示收集更多信息，例如會話ID等，並且將這些信息與共享內容的連結地址按照特定格式進行安排，從而形成訪問請求。利用這樣的訪問請求，就可以從雲應用中讀取共享內容的數據。在一個實施例中，在獲得共享內容數據之後，在步驟46中，還將這些數據連同共享對象的信息發送至分析器進行安全性分析。在獲得安全性分析的判斷結果時，可選地，在一個實施例中，圖4的方法還包括交互步驟(未示出)，用於根據上述判斷結果提供與用戶的交互。具體地，如果判斷結果表明，有待共享的內容有可能涉及企業機密，那麼在交互步驟中，為用戶提供若干交互選項，例如包括，對有待共享的內容進行加密、添加水印、原樣發送、取消操作等。用戶可以通過選擇這些選項來確定下一步的操作。通過該交互步驟，使得本發明的方法的用戶體驗更加友好。由此，通過本發明的方法中的各個步驟，可以在雲應用的環境下，針對特定雲應用生成監視器，從而監視用戶有待共享的內容的標識，並由此獲取到共享內容數據，從而進行安全性分析，提供數據洩漏防護的功能。此外，本發明還提供了包含上述用於數據洩漏防護的裝置的代理伺服器。所述代理伺服器中包括處理器以及與處理器相連接的存儲器。存儲器可以用於存儲執行上述裝置和方法的代碼和指令，處理器用於執行這樣的代碼和執行，從而生成監視器，進而捕獲有待共享的內容數據。
本領域技術人員可以理解，上述用於數據洩漏防護的裝置和方法可以使用計算機可執行指令和/或包含在處理器控制代碼中來實現，例如在諸如磁碟、⑶或DVD-ROM的載體介質、諸如只讀存儲器(固件)的可編程的存儲器或者諸如光學或電子信號載體的數據載體上提供了這樣的代碼。本實施例的裝置及其單元可以由諸如超大規模集成電路或門陣列、諸如邏輯晶片、電晶體等的半導體、或者諸如現場可編程門陣列、可編程邏輯設備等的可編程硬體設備的硬體電路實現，也可以用由各種類型的處理器執行的軟體實現，也可以由上述硬體電路和軟體的結合實現。用於執行本發明的操作的軟體和程序代碼，可以用一種或多種程序設計語言的組合來編寫，包括但不限於，面向對象的程序設計語言，諸如Java, Smalltalk, C++之類，以及常規的過程式程序設計語言，諸如C程序設計語言或類似的程序設計語言。程序代碼可以本地地或遠程地在計算機上執行，以完成設定的操作。雖然以上結合具體實施例，對本發明的用於數據洩露防護的裝置和方法進行了詳細描述，但本發明並不限於此。本領域普通技術人員能夠在說明書教導之下對本發明進行多種變換、替換和修改而不偏離本發明的精神和範圍。應該理解，所有這樣的變化、替換、修改仍然落入本發明的保護範圍之內。本發明的保護範圍由所附權利要求來限定。
權利要求
1.一種用於數據洩漏防護的裝置，包括 模板確定模塊，配置為根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板； 監視器生成模塊，配置為通過加載確定的監視器模板生成監視器，以獲取共享內容的標識信息；以及 內容獲取模塊，配置為根據所述共享內容的標識信息，獲取共享內容的數據用於安全性分析。
2.根據權利要求I所述的裝置，其中所述監視器還獲取共享對象的信息用於安全性分析。
3.根據權利要求I所述的裝置，還包括交互模塊，配置為根據所述安全性分析的結果，提供交互選項，所述交互選項包括以下中的至少ー個對共享文件加密，添加水印和取消操作。
4.根據權利要求I所述的裝置，其中所述模板確定模塊包括 通信截獲單元，配置為截獲用戶與雲應用之間的通信，獲取雲應用的標識信息；以及模板匹配単元，配置為將獲得的雲應用的標識信息與各個監視器模板中包含的標識信息進行對比，從而確定匹配的監視器模板。
5.根據權利要求4所述的裝置，其中所述雲應用的標識信息包括以下中的至少ー個雲應用的URL,雲應用的響應頁面的http標頭以及特定參數。
6.根據權利要求4所述的裝置，其中所述通信截獲單元還配置為，獲取用戶與雲應用的會話信息。
7.根據權利要求6的裝置，其中所述內容獲取模塊配置為，結合所述會話信息獲取共享內容的數據。
8.根據權利要求1-7中任一項所述的裝置，其中所述共享內容位於用戶本地，所述監視器獲取共享內容在緩存區中的ID。
9.根據權利要求8所述的裝置，其中所述內容獲取模塊配置為，根據共享內容在緩存區中的ID，從所述緩存區中讀取共享內容的數據。
10.根據權利要求1-8中任一項所述的裝置，其中所述共享內容位於雲中，所述監視器獲取雲應用為所述共享內容分配的連結地址。
11.根據權利要求10所述的裝置，其中內容獲取模塊配置為，根據所述連結地址，從雲應用中讀取共享內容的數據。
12.一種用於數據洩漏防護的方法，包括 根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板； 通過加載確定的監視器模板生成監視器，以獲取共享內容的標識信息；以及 根據所述共享內容的標識信息，獲取共享內容的數據用於安全性分析。
13.根據權利要求12所述的方法，其中所述監視器還獲取共享對象的信息用於安全性分析。
14.根據權利要求12所述的方法，還包括，根據所述安全性分析的結果，提供交互選項，所述交互選項包括以下中的至少ー個對共享文件加密，添加水印和取消操作。
15.根據權利要求12所述的方法，其中確定與雲應用對應的監視器模板包括截獲用戶與雲應用之間的通信，獲取雲應用的標識信息；以及 將獲得的雲應用的標識信息與各個監視器模板中包含的標識信息進行對比，從而確定匹配的監視器模板。
16.根據權利要求15所述的方法，其中截獲用戶與雲應用之間的通信還包括，獲取用戶與雲應用的會話信息，並且所述獲取共享內容的數據還包括，結合所述會話信息獲取共享內容的數據。
17.根據權利要求12-16中任一項所述的方法，其中所述共享內容位於用戶本地，所述監視器獲取共享內容在緩存區中的ID。
18.根據權利要求17所述的方法，其中所述獲取共享內容的數據包括，根據共享內容在緩存區中的ID，從所述緩存區中讀取共享內容的數據。
19.根據權利要求12-16中任一項所述的方法，其中所述共享內容位於雲中，所述監視器獲取雲應用為所述共享內容分配的連結地址。
20.根據權利要求19所述的裝置，其中所述獲取共享內容的數據包括，根據所述連結地址,從雲應用中讀取共享內容的數據。
全文摘要
提出了用於提供數據洩漏防護的裝置和方法。所述裝置包括模板確定模塊，配置為根據用戶與雲應用之間的通信，確定與雲應用對應的監視器模板；監視器生成模塊，配置為通過加載確定的模板生成監視器，以獲取共享內容的標識信息；以及內容獲取模塊，配置為根據所述標識信息，獲取共享內容的數據用於安全性分析。所述方法與上述裝置相對應。利用本發明的裝置和方法，能夠針對不同雲應用生成專用的監視器，從而捕獲共享內容的標識，並進而獲取共享內容的數據，由此對共享內容進行安全性分析，促進了數據洩漏防護。
文檔編號H04L12/26GK102651737SQ201110048050
公開日2012年8月29日 申請日期2011年2月28日 優先權日2011年2月28日
發明者劉曉曦, 張冠群, 胡琪, 黃鶴遠 申請人:國際商業機器公司