提供了针对组织的电子邮件系统的电子邮件策略的实现和/或实施的系统和方法。数据丢失防护(DLP)策略可在电子邮件系统顶上实现。在一个实施例中,DLP策略可包括用于检测电子邮件以寻找电子邮件内这样的敏感数据的模块和/或处理。如果电子邮件包括这样的敏感数据,那么DLP策略指示可指定作为邮件处理的每个阶段(从撰写邮件到服务器上的邮件处理和递送)的部分而要被应用的处理。将统一地跨消息生存期的全部方面应用策略指示的单个策略可被撰写并管理。每一个消息策略实施系统可评估单个策略的定义,并将策略指示以与策略上下文评估一致的方式来应用。
【技术实现步骤摘要】
【国外来华专利技术】安全和信息保护的统一策略背景现代组织发现跨信息的生存期应用用于该信息保护的策略是期望的。例如,在作为电子邮件的部分的信息保护的上下文中,生存期包括从创建/撰写、到传输和递送、到消费。贯穿信息的生存期,组织需要能够采取单个策略,并将其跨适用于该信息的一组策略实施点一致地应用。对于电子邮件,策略实施点可包括在电子邮件撰写时的电子邮件客户端应用、将策略应用于传送的电子邮件服务器、可能的存储和递送系统,以及在电子邮件消费期间的电子邮件客户端。通常,组织将不得不创作针对各种策略实施点(如参数以及内部邮件服务器、邮箱存储系统,和诸如微软软件的电子邮件客户端)的分开的策略以实现这些目的。概述下面呈现了本专利技术的简化概述,以便提供此处所描述的某些方面的基本概念。此概述不是所要求保护的主题的详尽的概述。既不是要标识所要求保护的主题的要点或关键性元素,也不是要详细描述本专利技术的范围。唯一的目的是以简化形式呈现所要求保护的主题的某些概念,作为稍后呈现的比较详细的描述的前奏。提供了本申请的一些实施例,它们提供针对组织的电子邮件系统的电子邮件策略的实现和/或实施的系统和/或方法。数据丢失防护(DLP)系统可被实现为电子邮件系统的部分以影响电子邮件策略实施。在一个实施例中,DLP系统可包括应用经DLP定义的策略的模块和/或处理。这样的DLP策略可定义什么被认为是敏感信息,在电子邮件生存期的各阶段(如电子邮件撰写、电子邮件处理、电子邮件审核,和电子邮件递送机制)期间那个信息应当如何被处置。在一个实施例中,单个通用DLP策略可被用来控制电子邮件生存期的所有方面。在一些实施例中,提供了针对组织的电子邮件系统的电子邮件策略的实现和/或实施的系统和方法。DLP策略可在电子邮件系统顶上实现。在一个实施例中,DLP策略可包括用于检测电子邮件寻找电子邮件内这样的敏感数据的模块和/或处理。如果电子邮件包括这样的敏感数据,那么DLP策略指示可详细说明作为邮件处理的每个阶段(从撰写电子邮件到服务器上的邮件处理和递送)的部分而要被应用的处理。将统一地跨消息生存期的全部方面应用策略指示的单个策略可被撰写并管理。每一个消息策略实施系统可评估单个策略的定义,并将策略指示以与策略的上下文评估及实施一致的方式来应用。例如,标识敏感信息的策略指示可允许用户在发送敏感信息之前无视策略。在此示例中,当敏感数据被检测到时,用户将提供所发现的敏感数据的用户通知并在撰写上下文中被评估时可坚持敏感数据的用户知晓发送。当在邮件服务器上进行评估或导致未送达报告(NDR)时,可能期望同一策略将测试发送方对邮件的元数据的无视的存在。一个方法实施例包括扫描并分析电子邮件内容寻找由通用策略定义为敏感信息的内容的步骤。使用关于什么是敏感内容的单个策略定义被跨消息内容和消息内包含的任何附件统一地应用。通用策略定义被统一应用到以附件中可能表示的不同类型的文件类型中所提取的内容。一个方法实施例包括以下步骤:在所述电子邮件服务器接收电子邮件;将所述电子邮件发送到DLP系统模块;该模块应用在电子邮件服务器的上下文中经解释的通用DLP策略。一旦检测到电子邮件内的敏感数据,如通用策略定义中所定义的,就如策略所详细说明的那样应用处理指示。一种这样的策略指示可以拒绝邮件消息,除非发送方已经决定无视策略。这样的无视可通过电子邮件内的无视首部的存在而发出信号;如果在电子邮件中不存在无视首部,就根据DLP策略中的当前被启用的处理模式向用户/作者发回一组动作中的至少一个的指示;并且如果在电子邮件中存在无视首部,就进一步根据DLP策略处理该电子邮件。另一个策略指示可指令教导用户关于在邮件中检测到的敏感信息。对于这个策略指示,当在电子邮件服务器中没有教导指示可用或实施时,电子邮件服务器可跳过该指示。在敏感内容检测到时,另一个策略指示可指令拒绝邮件提交,在这一情况下服务器将拒绝该电子邮件消息。此外,提供了系统的一个实施例,它包括电子邮件服务器;一组电子邮件客户端,这些电子邮件客户端与电子邮件服务器通信;DLP系统模块,该DLP策略模块能够对电子邮件系统的各用户撰写的电子邮件实施策略规则集;且其中DLP策略模块还包括一组动作模块,这些动作模块能够检测电子邮件以寻找敏感数据、确定电子邮件是否包括策略定义的敏感内容,并将策略指示应用在撰写体验的上下文内。一种这样的策略指示可以拒绝邮件消息,除非发送方已经决定无视策略。当在撰写上下文中被评估时,这样的无视可导致坚持要用户在发送邮件之前无视该邮件策略。用户的无视行为将接着被记录在电子邮件中,作为策略处理数据的部分,例如作为消息首部的部分或MIME消息内容。如果用户不提供无视,发送方将被阻止按照通用策略定义发送消息。另一个策略指示可指令教导用户关于在邮件中检测到的敏感信息。对于这个策略指示,撰写上下文可向用户呈现检测到的敏感内容的信息以及管理那个信息的可应用的策略,而不影响用户发送该信息的能力。另一个策略指示可指令在检测到敏感内容时拒绝邮件提交。对于这个策略指示,正在撰写的上下文可阻止用户将消息提交到邮件系统。此外,一个实施例包括以下步骤:在所述电子邮件服务器将电子邮件递送到接收者的邮箱;将该电子邮件发送到DLP系统模块;该模块应用在电子邮件邮箱递送系统的上下文中经解释的通用DLP策略;该DLP策略模块能够对电子邮件递送系统实施策略规则集;并且其中该DLP策略模块还包括一组动作模块,这些动作模块能够检测电子邮件以寻找敏感数据、确定电子邮件是否包括策略定义的敏感内容,并将策略指示应用在递送系统的上下文内。一种这样的策略指示可以拒绝邮件消息,除非发送方已经决定无视策略。当在递送上下文中被评估时,这样的无视可导致坚持让消息具有存在有指示发送方在发送邮件之前无视该邮件策略的先前动作的首部。如果没有无视首部会存在,邮件将被移除并且不递送给用户。另一个策略指示可指令教导用户关于在邮件中检测到的敏感信息。对于这个策略指示,递送上下文可向邮件应用免责声明通知,指示敏感信息的存在并坚持让接收者在访问该消息内容前对该信息的存在知晓。另一个策略指示可指令在检测到敏感内容时拒绝邮件提交。对于这个策略指示,递送系统将丢弃接收到的任何消息。当与本申请中呈现的附图结合阅读时,在下面的详细描述中呈现了本系统的其它特征和方面。附图说明示例性实施例在所参考的附图中示出。此处公开的实施例和附图旨在被认为是说明性而非限制性的。图1描绘了根据本申请的原理作出的影响策略系统的系统的一个实施例。图2描绘了根据本申请的原理作出的在电子邮件的上下文中的策略系统的实现和操作的一个实施例。图3描绘了系统邮件服务器处理子系统的一个实施例,该子系统可与电子邮件上下文中的策略系统对接。图4是一个示例性DLP策略指示的一个实施例,因为它可在撰写和处理子系统的上下文中被实现用于公认的消费者电子邮件系统。具体实施方式如在此使用的,术语“组件”、“系统”、“接口”等指的是计算机相关的实体,它们可以是硬件、软件(例如,执行中的)和/或固件。例如,组件可以是运行在处理器上的进程、处理器、对象、可执行码、程序、和/或计算机。作为说明,在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程中,组件可以位于一个计算机内和/或分布本文档来自技高网...
【技术保护点】
一种用于以单策略指示为基础在电子邮件系统上提供数据丢失防护(DLP)策略的方法,所述电子邮件系统包括电子邮件服务器和一组电子邮件客户端,所述电子邮件客户端与所述电子邮件服务器通信,所述DLP策略包括一组模块,所述方法的步骤包括:定义单策略定义集,所述单策略定义包括指示及相关联动作;传播所述单策略定义集;用所述电子邮件系统处理电子邮件,所述电子邮件由用户撰写;并且如果单策略指示之一被触发,就应用与所述单策略动作相关联的动作。
【技术特征摘要】
【国外来华专利技术】2012.07.10 US 13/545,8541.一种用于以单策略指示为基础在组织的文件系统上提供数据丢失防护DLP策略的方法,所述组织的文件系统包括多个电子数据子系统,所述组织的文件系统包括服务器和一组客户端,所述客户端与所述服务器通信,所述DLP策略包括一组模块,所述方法的步骤包括:定义单策略定义集,所述单策略定义包括指示及相关联动作,所述单策略定义能够贯穿在所述电子数据子系统中的至少一个内存储的文件的整个生存期来应用于所述文件;传播所述单策略定义集;处理所述电子数据子系统中的至少一个内存储的所述文件,所述文件由用户撰写;并且如果在所述文件的所述生存期期间单策略指示之一被触发两次或更多次,就应用与单策略动作相关联的动作;向终端用户发送动作的指示以及关于被触发的策略的上下文信息;以及如果标识敏感信息的策略指示能够允许用户在发送所述敏感信息之前无视该策略,则向所述用户发送未送达报告NDR消息;如果发送方无视该策略,则发送由所述发送方提交的商业辩护文本。2.如权利要求1所述的方法,其特征在于,定义单策略定义集的所述步骤还包括:定义要应用到所述电子数据子系统的策略集;以及选择来自所述策略集的通用指示集及相关联的动作。3.如权利要求1所述的方法,其特征在于,传播所述单策略定义集的所述步骤还包括:经由策略传播模块将所述单策略定义集传播到所述电子数据子系统中的至少一个。4.如权利要求1所述的方法,其特征在于,处理所述电子数据子系统中的至少一个内存储的所述文件的所述步骤还包括:将所述文件发送到DLP策略评估模块。5.一种用于影响数据丢失防护DLP策略的电子邮件系统,所述电子邮件系统包括:电子邮件服务器;一组电子邮件客户端,所述电子邮件客户端与所述电子邮件服务器通信;DLP策略模块,所述DLP策略模块能够对所述电子邮件系统的用户撰写的电子邮件实施一组策略规则,所述DLP策略模块能够贯穿所述电子邮件的整个生存...
【专利技术属性】
技术研发人员:L·艾尔斯,J·卡巴特,V·卡库玛尼,V·桑卡拉纳拉亚南,M·利伯曼,B·斯塔尔,A·考瑞特斯基,
申请(专利权)人:微软公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。