用于移动计算设备的数据丢失防护制造技术

监测对移动计算设备的内核的系统调用。拦截与该移动计算设备的输入/输出(I/O)功能有关的特定的系统调用。标识适用于该特定的系统调用的数据丢失防护(DLP)策略。至少部分地基于该DLP策略对该特定的系统调用执行动作。

【技术实现步骤摘要】
【国外来华专利技术】用于移动计算设备的数据丢失防护
本公开总体关于安全领域，更具体来说，本公开关于基于位置对移动设备中的多个应用的管理。
技术介绍
随着移动设备使用的增加，在数据丢失防护(或“DLP”)领域中已涌现出新的挑战。移动设备通常具有在传统的台式机和传统设备中通常找不到的大量信息和功能，例如，全球定位系统(GPS)、相机、近场通信(NFC)等。此类功能也可引入可能潜在地遭泄露的新类型的敏感数据。由于移动设备经由诸如语音、GPRS、3G、4G、SMS、数据、蓝牙等之类的各种不同的通道持续地被连接到通信网络中的趋势，该情况进一步变得复杂。在此类实例中，可能遭泄露的各种数据以及泄露发生的机会可能更加多样化。此外，一些移动设备平台通过严苛的容器化操作和粗粒度的许可模型等等此类障碍，使内容检查变得困难。“自带设备”(或BYOD)的趋势已使负责提供统一的安全解决方案以及管理对敏感的企业数据的控制等等此类示例的管理员和IT人员进一步感到担忧。附图说明图1是根据一个实施例的、包括数据丢失防护(DLP)策略服务器的示例系统的简化示意图；图2是根据一个实施例的、包括示例移动用户设备和DLP服务器的示例系统的简化框图；图3是表示示出根据一个实施例的、可结合一个或多个移动用户设备进行部署的DLP解决方案的示例套件的简化框图；图4是表示根据一个实施例的、基于示例网络的DLP解决方案的简化框图；图5A-5B是根据一些实施例的示例经加密的容器(container)的简化表示；图6A-6B是表示根据一些实施例的、包括示例DLP代理和安全模块的示例移动计算设备的简化框图；图7是表示根据一些实施例的、DLP代理应用和安全模块之间的示例交互的简化框图；图8A-8C是表示根据一些实施例的、基于位置的DLP实施的简化流的图；图9A-9B是表示根据一些实施例的、对应于用于移动计算设备的数据丢失防护的示例操作的流程图。各附图中同样的附图标记指示同样的元素。具体实施方式在一些实现方案中，可例如通过诸如Linux安全管理器(LSM)之类的内核安全管理器提供用于移动用户计算设备的示例数据丢失防护(DLP)解决方案。LSM服务可横跨移动设备的各种应用来运作，提供灵活的策略框架，并且保留移动设备应用和子系统的多个配置，等等此类示例特征。传统的DLP工具和系统能够防护不合适地离开(或进入)系统的各种类型的数据。数据类型可包括动态数据(data-in-motion)，诸如，email、web投递、网络话务、即时消息收发，等等。可例如通过部署在系统的网络的入口点和/或出口点处的多个解决方案来实施动态数据。数据类型可进一步包括静态数据(data-at-rest)数据类型，诸如，共享文件、数据库、系统内的台式计算机和膝上型计算机处的存储，等等此类示例。可结合静态数据来利用发现和指纹识别解决方案。此外，使用中数据(data-in-use)类型可包括经由可移动介质、打印机、图形显示器等被存储或输出的数据，并且DLP实施可在此类数据外出能够发生的端点计算设备处发生。相应地，传统的DLP解决方案可采用各种解决方案以防止系统内各种原因和各种形式的数据丢失。此外，DLP解决方案可基于对被检测为离开或进入系统的数据的内容和情境的分析来实施DLP策略。另外，DLP解决方案可利用各种探针(probe)(例如，文件系统探针、email探针、网络探针、HTTP探针、打印机探针)来检测DLP事件。然而，可能难以在现代的移动计算设备平台和操作系统中实现此类探针和对应的钩(hook)。移动操作系统可构成闭合的全域(universe)。移动设备可进一步具有CPU、存储器、电池和移动设备唯一的性能极限。此外，移动设备通常可能具有比传统的计算设备更多的潜在攻击通道，包括通过SMS、4G、蓝牙、NFC、Wi-Fi、SD卡等等此类示例所提供的攻击通道。另外，随着移动设备应用和用户愈发依赖基于云服务、其他web所提供服务和分布式服务等此类示例，额外的数据丢失易损性可能涌现。通过各种机制，数据可被引入并进入移动计算设备。例如，可经由因特网、基于web的应用等，通过email、SMS消息和文件共享(包括基于云的共享和本地共享)引入数据。通过类似多样的大量机制，数据可被共享、输出或“离开”移动计算设备，上述机制例如经由与外部设备交换数据的应用、web邮件、web投递、消息收发、email、基于云的存储和应用服务等等。此外，由于移动计算设备通常尺寸更小，并且被用户携带到各种环境中去，因此，移动计算设备可能更容易例如通过设备失窃或丢失而受损，设备失窃或丢失会进一步成为数据丢失的基础。图1示出系统100的简化框图，其包括例如，DLP策略服务器105以及一个或多个移动计算设备110、115、120和125。移动计算设备可连接到诸如因特网以及私有的、局域的和其他网络(如，被共同地标为130)之类的一个或多个网络，并且在一个或多个网络上进行通信。移动计算设备(如，110、115、120和125)可在一个或多个网络130上与各种其他的计算设备对接，消费各种其他计算设备的多个服务，访问各种其他计算设备以及与各种其他计算设备共享数据。此类计算设备可包括例如其他个人计算设备(如，110、115、120和125)以及数据、应用和服务的外部服务器145。此外，在一些实现方案中，DLP策略服务器105、GPS服务器140和其他系统可提供支持旨在用于移动计算设备的DLP解决方案的多项服务。在一些示例中，此类服务可进一步涉及在一个或多个网络130上的移动计算设备(如，110、115、120和125)和外部服务器(如，105和140)之间的通信。在一些实现方案中，移动计算设备(如，110、115、120和125)可包括安全管理器，该安全管理器与该移动计算设备的内核对接，该移动计算设备的内核结合在该移动设备上的、用于向该移动计算设备提供DLP服务的DLP代理，并且在一些情况下，在具有远程DLP策略服务器105和其他外部系统、安全工具以及其他资源的支持的情况下进行操作。通常，包括示例计算环境100中的系统设备(例如，105、110、115、120、125、140、145等)的“服务器”、“客户机”、“客户机设备”、“计算设备”、“网络元件”、“主机”、“系统型系统实体”和“系统”可包括可用于接收、发送、处理、存储或管理与计算环境100相关联的数据和信息的电子计算设备。如在本文件中所使用的，术语“计算机”、“处理器”、“处理器设备”或“处理设备”旨在涵盖任何合适的处理设备。例如，可使用诸如包括多个服务器计算机的服务器池之类的多个计算设备和处理器来实现在计算环境100之内被示出为单个设备的多个元件。此外，可将计算设备中的任何、全部或一些改动成用于执行任何操作系统，包括Linux、UNIX、微软Windows、苹果OS、苹果iOS、谷歌安卓、WindowsServer等，并且可将虚拟机改动成用于虚拟化对包括自定义和专属操作系统的特定操作系统的执行。此外，服务器、客户机设备、网络元件、系统和计算设备可各自包括一个或多个处理器、计算机可读存储器以及一个或多个接口，等等此类特征和硬件。服务器可包括任何合适的软件组件或模块，或包括能够主管和/或服务包括分本文档来自技高网...

【技术保护点】
至少一种机器可访问存储介质，具有存储于其上的多条指令，当在机器上执行所述多条指令时，所述多条指令使所述机器用于：拦截涉及拍摄数据的、对移动计算设备的内核的系统调用；至少部分地基于所述移动计算设备的检测到的位置，标识适用于使用所述拍摄数据的、基于位置的数据丢失防护(DLP)策略；以及至少部分地基于所述基于位置的DLP策略和所述移动计算设备的位置，对被拦截的系统调用执行动作。

【技术特征摘要】
【国外来华专利技术】2012.10.19 IN 1216/KOL/20121.一种用于提供计算机安全的方法，所述方法包括：拦截涉及拍摄数据的、对移动计算设备的内核的系统调用；至少部分地基于所述移动计算设备的检测到的位置，标识适用于使用所述拍摄数据的、基于位置的数据丢失防护DLP策略，其中标识所述基于位置的DLP策略包括：向所述移动计算设备上的代理查询适用于所述拍摄数据的DLP策略；以及从所述代理处接收结果，所述代理标识DLP策略是否适用于所述拍摄数据，所述结果标识所述基于位置的DLP策略；以及至少部分地基于所述基于位置的DLP策略和所述移动计算设备的位置，对被拦截的系统调用执行动作，其中在特定的地理区域之外，所述基于位置的DLP策略限制对所述拍摄数据的访问。2.如权利要求1所述的方法，其特征在于，使用地理围栏定义所述特定的地理区域。3.如权利要求1或2所述的方法，其特征在于，所述特定的地理区域对应于创建所述拍摄数据的位置。4.如权利要求1或2所述的方法，其特征在于，所述系统调用涉及所述拍摄数据的输入，并且所述拍摄数据来源于所述移动计算设备上的相机。5.如权利要求3所述的方法，其特征在于，所述系统调用涉及所述拍摄数据的输入，并且所述拍摄数据来源于所述移动计算设备上的相机。6.如权利要求1或2所述的方法，其特征在于，用位置信息标记所述拍摄数据，其中，基于经标记的位置信息，对所述拍摄数据实施基于位置的DLP策略。7.如权利要求5所述的方法，其特征在于，用位置信息标记所述拍摄数据，其中，基于经标记的位置信息，对所述拍摄数据实施基于位置的DLP策略。8.如权利要求6所述的方法，其特征在于，所述位置信息对应于捕捉所述拍摄数据的位置。9.如权利要求7所述的方法，其特征在于，所述位置信息对应于捕捉所述拍摄数据的位置。10.如权利要求6所述的方法，其特征在于，所述位置信息对应于在捕捉所述拍摄数据时，使用所述移动计算设备捕捉到的地理位置数据。11.如权利要求7-9中任意一项所述的方法，其特征在于，所述位置信息对应于在捕捉所述拍摄数据时，使用所述移动计算设备捕捉到的地理位置数据。12.如权利要求6所述的方法，其特征在于，进一步包括：接收涉及所述拍摄数据的后续的系统调用；标识位置数据；结合向所述代理对适用于所述拍摄数据的DLP策略的查询，传递所述位置数据；以及至少部分地基于所述标记操作，对所述后续的系统调用执行动作。13.如权利要求7-10中任意一项所述的方法，其特征在于，进一步包括：接收涉及所述拍摄数据的后续的系统调用；标识位置数据；结合向所述代理对适用于所述拍摄数据的DLP策略的查询，传递所述位置数据；以及至少部分地基于所述标记操作，对所述后续的系统调用执行动作。14.一种用于提供计算机安全的系统，包括用于执行如权利要求1-13中任意一项所述的方法的装置。15.一种用于提供计算机安全的设备，包括：拦截装置，用于拦截涉及拍摄数据的、对移动计算设备的内核的系统调用；标识装置，用于至少部分地基于所述移动计算设备的检测到的位置，标识适用于使用所述拍摄数据的、基于位置的数据丢失防护DLP策略，其中，所述标识装置进一步用于：向所述移动计算设备上的代理查询适用于所述拍摄数据的DLP策略；以及从所述代理处接收结果，所述代理标识DLP策略是否适用于所述拍摄数据，所述结果标识所述基于位置的DLP策略；以及执行装置，用于至少部分地基于所述基于位置的DLP策略和所述移动计算设备的位置，对被拦截的系统调用执行动作，其中在特定的地理区域之外，所述基...

【专利技术属性】
技术研发人员：R·P·S·阿乎贾，B·辛格，R·巴塔查杰，D·库尔卡尼，
申请(专利权)人：迈克菲股份有限公司，
类型：发明
国别省市：美国;US