專利名稱:添加上下文以防止經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)泄漏的系統(tǒng)和方法
添加上下文以防止經(jīng)由計(jì)算才幾網(wǎng)絡(luò)的 數(shù)據(jù)泄漏的系統(tǒng)和方法相關(guān)申請案的交叉參者本申請案主張2007年2月2日申請的第60/887,908號美國臨時(shí)專利申請案的權(quán)益�����, 所述專利申請案以全文引用的方式并入本文中���。技術(shù)領(lǐng)域本申請案涉及計(jì)算機(jī)網(wǎng)絡(luò)安全性��。
背景技術(shù):
計(jì)算機(jī)網(wǎng)絡(luò)用于以無縫方式在計(jì)算機(jī)之間傳輸數(shù)據(jù)�。用戶可向連接到網(wǎng)絡(luò)的另一用 戶發(fā)送文件或具有附件的電子郵件�。在許多情況下����,此數(shù)據(jù)傳送經(jīng)由因特網(wǎng)而發(fā)生��。通 常����,內(nèi)容可能含有敏感信息(即,商業(yè)計(jì)劃�����、金融數(shù)據(jù)�、產(chǎn)品圖紙、貿(mào)易機(jī)密等)�,其 不應(yīng)被發(fā)送給錯(cuò)誤的接收者。數(shù)據(jù)的擁有者對防止經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)泄漏敏感數(shù)據(jù)感興趣���。目前���,存在用于對正在 經(jīng)由網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)進(jìn)行分析和分類的方法。這些方法確定數(shù)據(jù)的類型�����,并防止被分類 為受保護(hù)的數(shù)據(jù)的散布。在這點(diǎn)上�,這些方法對數(shù)據(jù)進(jìn)行分類,且依據(jù)數(shù)據(jù)的類型來應(yīng) 用保護(hù)/傳輸策略���。舉例來說����,策略可能禁止含有社會(huì)安全號碼的任何商業(yè)信息的傳輸�����。然而�,僅基于數(shù)據(jù)類型的策略可能不提供所需的泄漏防止等級��。舉例來說��,有時(shí)公 司可能想要限制數(shù)據(jù)向某些用戶或目的地的傳輸��。對數(shù)據(jù)本身的分析無法提供這種等級 的分類����,且無法形成可靠的策略。發(fā)明內(nèi)容在一個(gè)發(fā)明性方面中,揭示一種用于防止數(shù)據(jù)經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的未經(jīng)授權(quán)的傳輸?shù)?系統(tǒng)��。所述系統(tǒng)具有數(shù)據(jù)源����,所述數(shù)據(jù)源具有數(shù)據(jù),且與網(wǎng)絡(luò)通信��。網(wǎng)絡(luò)(因特網(wǎng))網(wǎng) 關(guān)與網(wǎng)絡(luò)和目的地通信�。網(wǎng)絡(luò)網(wǎng)關(guān)經(jīng)配置以響應(yīng)于所述數(shù)據(jù)的數(shù)據(jù)類型和上下文信息而確定傳輸策略。所述上下文信息可為發(fā)送者上下文信息和/或目的地上下文信息�。舉例來說,發(fā)送者 上下文信息可為數(shù)據(jù)源的IP地址����、用戶名或用戶群組。目的地上下文信息可為目的地 的IP地址�、目的地的網(wǎng)絡(luò)或目的地的類別。傳輸策略可阻斷數(shù)據(jù)的傳輸�����、允許數(shù)據(jù)的 傳輸和/或報(bào)告所述數(shù)據(jù)的試圖傳輸����。通常�����,數(shù)據(jù)源是例如PDA�����、計(jì)算機(jī)�、手機(jī)等電子裝置�����,以及經(jīng)由因特網(wǎng)通信的裝置�����。網(wǎng)絡(luò)網(wǎng)關(guān)可包含用于確定數(shù)據(jù)類型的分類模塊����、用于確定上下文信息的上下文信息 模塊���、用于產(chǎn)生傳輸策略的策略/報(bào)告模塊����,以及用于傳輸數(shù)據(jù)、阻斷數(shù)據(jù)和/或報(bào)告所 述數(shù)據(jù)的傳輸?shù)膹?qiáng)制執(zhí)行模塊��。在另一發(fā)明性方面中�,揭示一種防止數(shù)據(jù)經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的未經(jīng)授權(quán)的傳輸?shù)姆?法。所述方法包括對數(shù)據(jù)進(jìn)行分類和確定所述數(shù)據(jù)的上下文信息��。接下來�,響應(yīng)于所述 分類和上下文信息而確定傳輸策略。響應(yīng)于所述分類和所述上下文信息而傳輸或阻斷所 述數(shù)據(jù)�����。
圖1是使用分類和上下文信息的數(shù)據(jù)泄漏防止可借此發(fā)生的計(jì)算機(jī)網(wǎng)絡(luò)的表示����。 圖2是說明用以防止圖1中所示的經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)泄漏的組件中的一些組件 的框圖。圖3是說明使用分類和上下文信息來防止數(shù)據(jù)泄漏的過程的流程圖��。 圖4是說明如何將傳輸策略應(yīng)用于不同情境的表格�����。
具體實(shí)施方式
以下詳細(xì)描述是針對本發(fā)明的某些具體實(shí)施例的��。然而�����,本發(fā)明可在大量不同系統(tǒng)和方法中體現(xiàn)。在此描述中�,參看圖式,其中始終用相同標(biāo)號來表示相同部分���。參看圖1,展示用于防止數(shù)據(jù)經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的未經(jīng)授權(quán)的傳輸?shù)南到y(tǒng)�。用戶可使 用數(shù)字裝置作為數(shù)據(jù)源10 (即�����,PDA 10a��、膝上型計(jì)算機(jī)10b�����、手機(jī)10c��、計(jì)算機(jī)10d 或其它類型的數(shù)字裝置)�����,以經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)12和因特網(wǎng)18將數(shù)據(jù)傳輸?shù)侥康牡匮b置 14 (例如另一電子裝置)�����。將認(rèn)識到���,可將任何類型的裝置IO用作數(shù)據(jù)源(即��,傳真機(jī)�、 掃描儀�、網(wǎng)絡(luò)磁盤驅(qū)動(dòng)器、USB存儲(chǔ)器裝置等)���。裝置IO通過有線或無線連接而連接到 內(nèi)部網(wǎng)絡(luò)12���。裝置10中的每一者含有可傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)10可以是具有到達(dá)因特網(wǎng) 18的連接的局域網(wǎng)(LAN)�����。將認(rèn)識到�,多個(gè)LAN可連接在一起,以形成可連接到因特網(wǎng)18的廣域網(wǎng)(WAN)��。網(wǎng)絡(luò)10可以是以太網(wǎng)10baseT拓?fù)?�,或基于任何?lián)網(wǎng)協(xié)議, 包含無線網(wǎng)絡(luò)�����、令牌環(huán)網(wǎng)絡(luò)等�����。網(wǎng)絡(luò)10與網(wǎng)絡(luò)/因特網(wǎng)網(wǎng)關(guān)16通信�,以便向源IO提供到達(dá)因特網(wǎng)18的連接。因特 網(wǎng)網(wǎng)關(guān)16可為用于將TCP/IP協(xié)議翻譯成供在局域網(wǎng)12上的通信的合適協(xié)議的服務(wù)器 或服務(wù)器組合���。網(wǎng)關(guān)16是此項(xiàng)技術(shù)中眾所周知的����,且通常通過路由器或其它數(shù)據(jù)交換 技術(shù)來通信�����。此外�,圖1中所說明的網(wǎng)關(guān)16可包含內(nèi)容過濾����,其防止用戶訪問被禁 止的網(wǎng)站��;以及數(shù)據(jù)泄漏防止����,用以防止被禁止的內(nèi)容在網(wǎng)絡(luò)12外傳播�,如下文將進(jìn) 一步闡釋。因特網(wǎng)網(wǎng)關(guān)16通過通常已知的技術(shù)與因特網(wǎng)18通信���,且因此與目的地14通信���。 因此,其它網(wǎng)關(guān)�、路由器、交換機(jī)和/或其它裝置可在因特網(wǎng)18����、因特網(wǎng)網(wǎng)關(guān)16、目的 地H����、網(wǎng)絡(luò)12以及源IO之間的通信路徑中。因特網(wǎng)網(wǎng)關(guān)分析穿過其中的TCP/IP業(yè)務(wù)����。 目的地14可以是電子裝置�����、IP地址�、電子郵件地址�、網(wǎng)絡(luò)地址或其它類型的接收者。參看圖2���,說明展示圖1的組件的框圖����。源10包含待傳輸?shù)侥康牡?4的數(shù)據(jù)20�����。 數(shù)據(jù)20可以是任何類型的數(shù)據(jù)��,例如數(shù)值����、文本、圖形等��。數(shù)據(jù)20可作為電子郵件附 件、即時(shí)消息��、FTP或可轉(zhuǎn)換成TCP/IP業(yè)務(wù)的任何內(nèi)容而傳輸���。將數(shù)據(jù)20傳輸?shù)揭蛱?網(wǎng)網(wǎng)關(guān)16,其含有防止機(jī)密信息的未經(jīng)授權(quán)的散布的軟件(即,模塊)���。如本文所使用 的術(shù)語"模塊"可為(但不限于)執(zhí)行特定任務(wù)的軟件或硬件組件�����,例如FPGA或ASIC����。 模塊可經(jīng)配置以駐存在可尋址存儲(chǔ)媒體上��,且經(jīng)配置以在一個(gè)或一個(gè)以上處理器上執(zhí) 行�。因此,模塊可包含例如軟件組件�、面向?qū)ο蟮能浖M件、類組件和任務(wù)組件等組件�, 過程,函數(shù)���,屬性���,程序�����,子例程�����,程序代碼的片段��,驅(qū)動(dòng)程序�����,固件��,微碼����,電路�����, 數(shù)據(jù),數(shù)據(jù)庫�,數(shù)據(jù)結(jié)構(gòu),表格�,陣列以及變量。所述組件和模塊中所提供的功能性可 組合成較少的組件和模塊���,或進(jìn)一步分成額外組件和模塊??墒褂萌缤ǔR阎囊话慵?術(shù)來對待由所述模塊執(zhí)行的任務(wù)進(jìn)行編程。因特網(wǎng)網(wǎng)關(guān)16包含分類模塊22��、策略/報(bào)告模塊24��、誰/哪里上下文信息模塊26以 及強(qiáng)制執(zhí)行模塊28����。另外,管理模塊30可與因特網(wǎng)網(wǎng)關(guān)16通信�����,且/或可并入因特網(wǎng) 網(wǎng)關(guān)16中�����。分類模塊22對數(shù)據(jù)20進(jìn)行分析,以通過識別數(shù)據(jù)20的指紋和/或簽名來確定數(shù)據(jù) 20是否含有被禁止的內(nèi)容�。將數(shù)據(jù)20的指紋或簽名與簽名數(shù)據(jù)庫進(jìn)行比較,以便識別 所述內(nèi)容�����。由此��,分類模塊22確定所述數(shù)據(jù)的內(nèi)容�����。誰/哪里上下文信息模塊26確定誰 發(fā)送了所述數(shù)據(jù)以及所述數(shù)據(jù)的目的地���。舉例來說�,上下文信息模塊26通過使用網(wǎng)絡(luò) 12上的目錄服務(wù)識別發(fā)送者來確定誰發(fā)送了所述數(shù)據(jù)�����。舉例來說�,可通過使用遵從于公司數(shù)據(jù)庫中的用戶列表或使用LDAP服務(wù)來識別發(fā)送者。通常���,還將用戶映射到IP地 址�,以便獲得其位置。接著將發(fā)送者的識別用作可應(yīng)用于所述數(shù)據(jù)的上下文信息�。舉例 來說,發(fā)送者的上下文信息可以是發(fā)送者的IP地址�、用戶的身份、群組身份或?qū)⑦M(jìn)一 步的上下文添加到數(shù)據(jù)20的發(fā)送者的任何其它類型的信息���。上下文信息模塊26還確定關(guān)于數(shù)據(jù)20的目的地的上下文信息��。舉例來說,通過將 目的地的IP地址與根據(jù)類別分類的IP地址的數(shù)據(jù)庫進(jìn)行比較���,有可能對目的地進(jìn)行分 類�。IP地址的數(shù)據(jù)庫包含基于上下文信息而分類的已知IP地址�。依據(jù)目的地的類型以 及所含內(nèi)容來將IP地址分組成若干類別。類別的一些非限制實(shí)例可為"惡意地址"��、"競 爭者"�、"公共站點(diǎn)"等。IP地址是根據(jù)如網(wǎng)頁過濾產(chǎn)業(yè)中通常已知的類別而分組的�����,且 是通過對目的地進(jìn)行分析而產(chǎn)生的���。除對目的地進(jìn)行分類之外�,還有可能添加其它上下 文信息,例如目的地的網(wǎng)絡(luò)或僅目的地的地址��。因此�,目的地上下文信息可為進(jìn)一步界 定數(shù)據(jù)20的任何額外信息。舉例來說�,目的地上下文信息可為目的地的信譽(yù)、實(shí)體的 名稱和/或類型���、目的地的位置����、已知的惡意接收者等���。策略/報(bào)告模塊24用于確定應(yīng)用于數(shù)據(jù)20的策略�。具體地說�����,基于由分類模塊22 確定的數(shù)據(jù)20的分類以及由上下文信息模塊26確定的上下文信息�,有可能產(chǎn)生針對數(shù) 據(jù)20的策略。所述策略確定數(shù)據(jù)20是否將被傳輸�����、阻斷且/或報(bào)告,如圖3中將進(jìn)一步 闡釋�。強(qiáng)制執(zhí)行模塊28將所述策略應(yīng)用于數(shù)據(jù)20,且阻斷數(shù)據(jù)20或?qū)?shù)據(jù)20傳輸?shù)揭?特網(wǎng)18���。管理模塊30允許管理員改變策略和/或允許在進(jìn)一步審閱數(shù)據(jù)20之后傳輸數(shù) 據(jù)20��。參看圖3,展示用于將上下文信息添加到數(shù)據(jù)泄漏防止的流程圖�����。在方框300中, 因特網(wǎng)網(wǎng)關(guān)16接收或發(fā)送數(shù)據(jù)20��。接下來���,在方框302中檢査/分析所述數(shù)據(jù)�,且在步 驟304中����,通過分類模塊22對所述數(shù)據(jù)進(jìn)行分類。如先前所提及����,數(shù)據(jù)20是帶指紋的���, 且簽名被識別以便確定數(shù)據(jù)20是否為應(yīng)被阻斷或傳輸?shù)男畔ⅰ=酉聛?���,在方?05中,由誰/哪里上下文信息模塊26確定關(guān)于數(shù)據(jù)20的上下文信 息�。具體地說,發(fā)送者的"誰"可以是特定IP地址����、個(gè)別用戶或指定群組的成員中的 一者或所有。目的地14的"哪里"可以是目的地的類別���、目的地的網(wǎng)絡(luò)或目的地的IP 地址中的一者或所有���。在方框306中,由策略/報(bào)告模塊24確定針對數(shù)據(jù)20的策略�。使用從方框304確定 的分類以及從方框305確定的上下文信息來確定所述策略。參看圖4��,其說明展示一些示范性策略的表格。在列402中展示從圖3的方框304導(dǎo)出的數(shù)據(jù)/內(nèi)容的分類���。列404中列出發(fā)送者的上下文信息��,而列406中列出目的地上 下文信息���。如先前所描述,在圖3的方框305中產(chǎn)生發(fā)送者上下文信息和目的地上下文 信息����。圖4的列408列出應(yīng)用于所述表格的每一相應(yīng)行的數(shù)據(jù)/內(nèi)容的策略。舉例來說�����, 在行410中�����,數(shù)據(jù)/內(nèi)容為商業(yè)數(shù)據(jù)���,而發(fā)送者上下文信息指示用戶A發(fā)送了所述信息, 且目的地上下文信息指示數(shù)據(jù)將被發(fā)送到網(wǎng)絡(luò)A�����。在此情況下,將應(yīng)用的策略為報(bào)告用 戶A正試圖將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)A����。行412和414展示類似情境,只是目的地上下文信息 不同��。具體地說�����,在行412中����,允許傳輸數(shù)據(jù)/內(nèi)容,而在行414中�,數(shù)據(jù)/內(nèi)容被阻斷, 因?yàn)樗鰯?shù)據(jù)/內(nèi)容正被發(fā)送到可能與惡意站點(diǎn)相關(guān)聯(lián)的IP地址3����。因此,行410����、 412 和414說明數(shù)據(jù)/內(nèi)容相同且發(fā)送者相同,但策略基于目的地上下文信息而不同的實(shí)例。 類似地���,行416��、 418和420說明數(shù)據(jù)/內(nèi)容相同且目的地上下文信息相同����,但策略基于 發(fā)送者上下文信息而改變的實(shí)例�。所屬領(lǐng)域的技術(shù)人員將認(rèn)識到,可配置許多不同的策 略����,以便提供所要類型的安全性。通過對數(shù)據(jù)類型進(jìn)行分類以及使用上下文信息���,有可 能產(chǎn)生更多的細(xì)致策略�。此外��,通過使用分類和上下文信息兩者來促進(jìn)報(bào)告���、事故處理���、 別名使用以及優(yōu)先權(quán)處理。返回參看圖3��,在決策方框308中���,策略/報(bào)告模塊24確定是否應(yīng)阻斷所述數(shù)據(jù)��。 如果不應(yīng)阻斷數(shù)據(jù)20���,那么在方框318中由強(qiáng)制執(zhí)行模塊28傳輸所述數(shù)據(jù)。然而���,如 果針對數(shù)據(jù)/內(nèi)容的策略是阻斷數(shù)據(jù)20或報(bào)告數(shù)據(jù)20�����,那么過程進(jìn)行到方框310���,借此 確定是否應(yīng)報(bào)告?zhèn)鬏敂?shù)據(jù)20的試圖。如果不報(bào)告所述傳輸�����,那么過程進(jìn)行到步驟316�����, 其中數(shù)據(jù)20的傳輸由強(qiáng)制執(zhí)行模塊28阻斷。然而�,如果將報(bào)告所述傳輸,那么過程進(jìn) 行到步驟312����,借此管理員或其它監(jiān)督者可審閱所述數(shù)據(jù)、發(fā)送者和接收者信息�����,且確 定是否要發(fā)送數(shù)據(jù)20��。如果將發(fā)送數(shù)據(jù)20�,那么過程進(jìn)行到方框318,借此數(shù)據(jù)20被 發(fā)送�。然而,如果監(jiān)督者或管理員相信發(fā)送所述數(shù)據(jù)是不合適的�����,那么過程進(jìn)行到方框 316�,且不傳輸所述數(shù)據(jù)。將認(rèn)識到����,有可能省略手動(dòng)審閱步驟312,且報(bào)告和阻斷數(shù)據(jù) 20的傳輸。雖然已將方框308描述為阻斷數(shù)據(jù)20����,但將認(rèn)識到,在方框306中已確定策略之后�, 其它類型的動(dòng)作可發(fā)生。具體地說���,方框308可基于方框306中所確定的策略而起始工 作流程����,借此對數(shù)據(jù)20進(jìn)行進(jìn)一步分析����、分類、檢查等�����。雖然以上描述已展示���、描述并指出了應(yīng)用于各個(gè)實(shí)施例的本發(fā)明的新穎特征����,但將 理解,所屬領(lǐng)域的技術(shù)人員可在不脫離本發(fā)明的精神和范圍的情況下對所說明的裝置或 過程的形式和細(xì)節(jié)做出各種省略�、替代和改變。
權(quán)利要求
1.一種用于防止數(shù)據(jù)經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的未經(jīng)授權(quán)的傳輸?shù)南到y(tǒng)���,所述系統(tǒng)包括數(shù)據(jù)源�����,其具有數(shù)據(jù)且與所述網(wǎng)絡(luò)通信�;網(wǎng)絡(luò)網(wǎng)關(guān)���,其與所述網(wǎng)絡(luò)通信����;及目的地�����,其與所述網(wǎng)絡(luò)通信��;其中所述網(wǎng)絡(luò)網(wǎng)關(guān)經(jīng)配置以響應(yīng)于所述數(shù)據(jù)的數(shù)據(jù)類型以及上下文信息而確定傳輸策略���。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述上下文信息包括所述數(shù)據(jù)源的發(fā)送者上下文 信息。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述上下文信息包括所述目的地的目的地上下文 信息。
4. 根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中所述上下文信息包括所述數(shù)據(jù)源的發(fā)送者上下文 信息以及所述目的地的目的地上下文信息�。
5. 根據(jù)權(quán)利要求4所述的系統(tǒng)����,其中所述發(fā)送者上下文信息為所述數(shù)據(jù)源的IP地址、 用戶名或用戶群組�。
6. 根據(jù)權(quán)利要求4所述的系統(tǒng),其中所述目的地上下文信息為所述目的地的IP地址�、 所述目的地的網(wǎng)絡(luò)或所述目的地的類別。
7. 根據(jù)權(quán)利要求4所述的系統(tǒng)���,其中所述傳輸策略傳輸所述數(shù)據(jù)或阻斷所述數(shù)據(jù)的傳 輸��。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng)��,其中所述傳輸策略進(jìn)一步包括報(bào)告所述數(shù)據(jù)源正試圖 傳輸數(shù)據(jù)�。
9. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述數(shù)據(jù)源為電子裝置�����。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng)���,其中所述電子裝置選自由以下各項(xiàng)組成的群組PDA;計(jì)算機(jī)���;及 手機(jī)。
11. 根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中所述計(jì)算機(jī)網(wǎng)絡(luò)是因特網(wǎng)�。
12. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述網(wǎng)絡(luò)網(wǎng)關(guān)包括用于確定所述數(shù)據(jù)類型的分類 模塊�����。
13. 根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中所述網(wǎng)絡(luò)網(wǎng)關(guān)包括用于確定所述上下文信息的上 下文信息模塊����。
14. 根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中所述網(wǎng)絡(luò)網(wǎng)關(guān)包括用于產(chǎn)生所述傳輸策略的策略 /報(bào)告模塊���。
15. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述網(wǎng)絡(luò)網(wǎng)關(guān)包括用于響應(yīng)于所述傳輸策略而傳 輸所述數(shù)據(jù)或阻斷所述數(shù)據(jù)的傳輸?shù)膹?qiáng)制執(zhí)行模塊�。
16. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述網(wǎng)絡(luò)網(wǎng)關(guān)包括用于確定所述數(shù)據(jù)類型的分類模塊��; 用于確定所述上下文信息的上下文信息模塊�; 用于產(chǎn)生所述傳輸策略的策略/報(bào)告模塊��;及用于響應(yīng)于所述傳輸策略而傳輸所述數(shù)據(jù)或阻斷所述數(shù)據(jù)的傳輸?shù)膹?qiáng)制執(zhí)行模 塊���。
17. —種防止數(shù)據(jù)經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的未經(jīng)授權(quán)的傳輸?shù)姆椒?���,所述方法包括以下步驟對所述數(shù)據(jù)進(jìn)行分類�����; 確定所述數(shù)據(jù)的上下文信息��;及響應(yīng)于所述數(shù)據(jù)的所述分類以及所述數(shù)據(jù)的上下文信息而確定針對所述數(shù)據(jù)的 傳輸策略。
18. 根據(jù)權(quán)利要求17所述的方法���,其進(jìn)一步包括響應(yīng)于所述傳輸策略而傳輸所述數(shù)據(jù) 或阻斷所述數(shù)據(jù)的步驟����。
19. 根據(jù)權(quán)利要求18所述的方法�����,其中由強(qiáng)制執(zhí)行模塊執(zhí)行所述傳輸所述數(shù)據(jù)或阻斷 所述數(shù)據(jù)的步驟�。
20. 根據(jù)權(quán)利要求17所述的方法,其中所述對所述數(shù)據(jù)進(jìn)行分類的步驟包括確定數(shù)據(jù) 的類型���。
21. 根據(jù)權(quán)利要求17所述的方法�,其中所述確定所述數(shù)據(jù)的所述上下文信息的步驟包 括確定發(fā)送者上下文信息��。
22. 根據(jù)權(quán)利要求21所述的方法����,其中所述發(fā)送者上下文信息包括所述發(fā)送者的IP地 址、所述發(fā)送者的用戶名或所述用戶的群組名�����。
23. 根據(jù)權(quán)利要求17所述的方法,其中所述確定所述數(shù)據(jù)的所述上下文信息的步驟包 括確定目的地上下文信息���。 '
24. 根據(jù)權(quán)利要求23所述的方法��,其中所述目的地上下文信息包括所述目的地的IP地 址�����、所述目的地的網(wǎng)絡(luò)或所述目的地的類別�。
25. 根據(jù)權(quán)利要求17所述的方法����,其中所述確定所述數(shù)據(jù)的所述上下文信息的步驟包 括確定目的地上下文信息和發(fā)送者上下文信息。
26. 根據(jù)權(quán)利要求17所述的方法��,其進(jìn)一步包括報(bào)告所述數(shù)據(jù)將被傳輸?shù)牟襟E��。
27. 根據(jù)權(quán)利要求17所述的方法��,其中由分類模塊執(zhí)行所述對所述數(shù)據(jù)進(jìn)行分類的步
28.根據(jù)權(quán)利要求17所述的方法���,其中由上下文信息模塊執(zhí)行所述確定所述數(shù)據(jù)的所 述上下文信息的步驟。
29. 根據(jù)權(quán)利要求17所述的方法���,其中由策略/報(bào)告模塊執(zhí)行所述確定針對所述數(shù)據(jù)的 傳輸策略的步驟���。
30. 根據(jù)權(quán)利要求17所述的方法�,其進(jìn)一步包括在對所述數(shù)據(jù)進(jìn)行分類之前將所述數(shù) 據(jù)發(fā)送到網(wǎng)絡(luò)網(wǎng)關(guān)的步驟�。
31. 根據(jù)權(quán)利要求30所述的方法,其中用連接到網(wǎng)絡(luò)的電子裝置來執(zhí)行所述發(fā)送所述 數(shù)據(jù)的步驟��。
32. 根據(jù)權(quán)利要求31所述的方法��,其中所述電子裝置選自由以下各項(xiàng)組成的群組PDA;計(jì)算機(jī)�����;及 手機(jī)��。
33. 根據(jù)權(quán)利要求31所述的方法��,其中所述網(wǎng)絡(luò)為因特網(wǎng)���。
全文摘要
本發(fā)明揭示用于添加上下文以防止經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)泄漏的系統(tǒng)和方法�����。對數(shù)據(jù)進(jìn)行分類��,并確定所述數(shù)據(jù)的上下文信息���。響應(yīng)于所述分類和上下文信息而確定傳輸策略����。響應(yīng)于所述分類和所述上下文信息而傳輸或阻斷所述數(shù)據(jù)�。
文檔編號H04L29/06GK101622849SQ200880003503
公開日2010年1月6日 申請日期2008年1月30日 優(yōu)先權(quán)日2007年2月2日
發(fā)明者丹尼爾·萊爾·哈伯德 申請人:網(wǎng)圣公司