通过打印操作的打印接口技术不可知数据丢失防护制造技术

监视打印操作并且应用DLP策略，与由启动打印操作的应用程序所使用的打印接口技术无关。DLP组件监视并且检测正在加载到打印假脱机程序中的打印驱动程序。当打印驱动程序被加载时，所述打印假脱机程序创建对应的被拦截的驱动程序对象。所述实例化的驱动程序对象创建多个设备对象以执行各种打印功能。拦截感兴趣的所述设备对象打印功能。通过拦截的设备对象功能在打印驱动程序级别将文本发送到打印机的尝试被监视，并且识别应用程序级别上下文信息，诸如相关联的用户。考虑应用程序级别上下文信息和监视尝试的特定文本，将所述DLP策略应用于所述监视尝试以在所述打印驱动程序级别将文本发送到所述打印机。

Protection against Unknown Data Loss by Printing Interface Technology of Printing Operation

Monitoring printing operations and applying DLP policies are independent of the printing interface technology used by the application that initiates printing operations. The DLP component monitors and detects the print driver being loaded into the print spooler. When the print driver is loaded, the print spooler creates a corresponding intercepted driver object. The instantiated driver object creates multiple device objects to perform various printing functions. Intercept the device object printing function of interest. Attempts to send text to a printer at the print driver level by intercepting device object functions are monitored and application-level context information, such as associated users, is identified. Considering the application level context information and the specific text of the monitoring attempt, the DLP policy is applied to the monitoring attempt to send the text to the printer at the printing driver level.

【技术实现步骤摘要】
【国外来华专利技术】通过打印操作的打印接口技术不可知数据丢失防护
本公开整体涉及计算机安全和数据丢失防护，并且更具体地讲涉及通过打印操作的打印接口技术不可知数据丢失防护。
技术介绍
随着基于云的存储和移动计算设备的广泛使用，企业和其他组织由于无意的和恶意的用户活动而容易丢失和泄露其敏感信息。数据丢失防护(“DLP”)系统可在访问、传输和存储敏感信息时监视、检测和阻止对敏感信息的操作。通过这样做，DLP系统可根据组织策略来保护敏感信息。例如，在给定公司内，人力资源部门的某些成员可被授权以访问个人员工信息，诸如家庭住址和社会保险号。然而，打印此类个人员工信息或将其复制到非公司云存储装置可能违反公司政策。DLP系统可将特定信息分类为敏感信息，识别和监视此类信息，并且检测和阻止不良事件。打印是DLP的唯一威胁载体，其中数字信息被转换为物理介质。因此，对于DLP系统进行监视而言，打印是很重要的操作。在Microsoft下，监视打印操作通常通过拦截Microsoft的图形设备接口(“GDI”)应用程序接口(“API”)来执行。然而，这仅适用于所讨论的应用程序使用基于GDI的打印的情况。多年来，Windows打印技术已经有了很大的进展，并且目前使用接口技术，诸如GDI、可扩展标记语言(“XML”)文件规范(“XPS”)、打印标签和文档包API。此外，在一些情况下，DLP系统即使了解特定应用程序以便(例如用应用程序沙箱化和代码完整性检查)拦截其在应用程序级别的打印操作也是不切实际的。这些问题需要得到解决。
技术实现思路
监视打印操作并且应用DLP策略，与启动打印操作的特定应用程序无关，并且与应用程序所使用的特定打印接口技术无关。DLP组件监视并且检测正在加载到打印假脱机程序中的打印驱动程序。这可采取拦截将打印驱动程序加载到打印假脱机程序中的系统功能(例如，Windows系统功能LoadLibrary)的形式。在一个实施方案中，将打印钩注入到打印假脱机程序中，并且打印钩拦截相关的系统功能。在另一个实施方案中，打印钩代码被注册为打印驱动程序，导致Windows将打印钩代码加载到打印假脱机程序中。作为驱动程序在假脱机程序中运行的打印钩代码然后拦截相关的系统功能。通过拦截相关的系统功能(例如，LoadLibrary)，(例如，从文件夹System32\spool\drivers)检测到任何打印驱动程序到假脱机程序中的加载。当将打印驱动程序加载到打印假脱机程序中时，打印假脱机程序创建对应的驱动程序对象。例如通过以下方式来拦截驱动程序对象的创建：拦截加载的打印驱动程序的DllGetClassObject方法，并且拦截IClassFactory.CreateInstance方法以挂钩创建的驱动程序对象。实例化的驱动程序对象创建多个设备对象以执行各种打印功能。当驱动程序对象创建设备对象时，拦截感兴趣的设备对象打印功能。当打印假脱机程序通过方法IClassFactory.CreateInstance来实例化驱动程序对象时，这可采取拦截驱动程序对象方法的形式，该方法导出驱动程序函数表。当打印假脱机程序获取表时，替换感兴趣的特定表条目。感兴趣的设备对象打印功能可在实施方案之间变化，但是通常包括与向打印机传送内容相关联的设备对象打印功能，诸如负责行和页面级输出以及状态管理的那些功能。在一个实施方案中，拦截StartDoc、EndDoc、TextOut、SendPage、StartBanding和NextBand。通过拦截的设备对象功能在打印驱动程序级别将文本发送到打印机的尝试被监视。这可包括每当调用拦截的设备对象打印功能以将页面发送到打印机时，一次监视一页文本。在该级别处理的内容是字形格式的情况下，可将字形转换为Unicode。对于将特定文本发送到打印机的每次监视尝试，识别与启动基础打印操作的特定应用程序相关联的应用程序级别上下文信息。在一个实施方案中，拦截远程过程调用(“RPC”)API，并在打印假脱机程序进行RPC模拟打印调用时检测到远程过程调用(“RPC”)API。当发生这种情况时，读取打印假脱机程序传递给拦截的RPC模拟打印调用的应用程序ID。由此，可以确定附加的应用程序级别上下文信息，诸如相关联的用户和管理DLP策略。将DLP策略应用于监视尝试以在打印驱动程序级别将特定文本发送到打印机。将DLP策略应用于每次特定的监视尝试可考虑特定的所识别的应用程序级别上下文信息和监视尝试的特定文本。应用DLP策略还可包括采取动作，诸如阻止将内容发送到打印机的尝试，编辑受限内容但将非受限内容发送到打印机，记录将内容发送到打印机的尝试，向管理员发送关于将内容发送到打印机的尝试的通知，阻止与将内容发送到打印机的尝试相关联的用户的附加操作等。因为监视发生在打印驱动程序级别，所以DLP策略可应用于打印操作，而不管起始应用程序使用哪个特定打印接口(例如，GDI、XPS、文档包等)。本
技术实现思路
和以下具体实施方式中所述的特征和优点并不包括全部，并且特别地，相关领域的普通技术人员在考虑本文的附图、说明书和权利要求书后，许多另外的特征和优点将显而易见。此外，应该指出的是，说明书中所用的语言主要被选择用于可读性和指导目的，而不是被选择用来限定或限制本专利技术的主题，必需借助权利要求书确定此专利技术主题。附图说明图1为根据一些实施方案的示例性网络架构的框图，其中打印DLP管理器可在该示例性网络架构中实现。图2为根据一些实施方案的适用于实现打印DLP管理器的计算机系统的框图。图3为根据一些实施方案的打印DLP管理器的操作的框图。这些图仅出于举例说明的目的来示出各种实施方案。本领域技术人员根据下列讨论将易于认识到，在不脱离本文所述原理的情况下，可采用本文所述的结构和方法的替代实施方案。具体实施方式图1为框图，示出了示例性网络架构100，其中打印DLP管理器101可在该示例性网络架构中实现。所示网络架构100包括多个客户端103A，103B和103N，以及多个服务器105A和105N。在图1中，打印DLP管理器101被示为驻留在每个客户端103A-C上。应当理解这仅是示例，并且在各种实施方案中该系统101的各种功能可在客户端103、服务器105上被实例化，或可在多个客户端103和/或服务器105之间分发。客户端103和服务器105可使用计算机系统210(诸如图2所示和下文所述的计算机系统)实现。客户端103和服务器105可通信地联接到网络107，例如经由以下结合图2所述的网络接口248或调制解调器247进行。客户端103能够使用例如网页浏览器或其他客户端软件(未示出)访问服务器105上的应用程序和/或数据。客户端103可为台式计算机/膝上型计算机或移动计算设备的形式，包括能够连接到网络107以及运行应用程序的便携式计算机系统。此类移动计算设备有时被称为智能手机，但多数未如此命名的移动电话也有这些功能。平板计算机为移动计算设备的另一个示例。虽然图1示出了三个客户端103和两个服务器105作为示例，但实际上可部署更多(或更少)客户端103和/或服务器105。在一个实施方案中，网络107为互联网的形式。可在其他实施方案中使用其他网络107或基于网络的环境。图2为适用于实现打印DLP管理器101的计本文档来自技高网...

【技术保护点】
1.一种用于监视打印操作并且在计算机上施行数据丢失防护策略的计算机实现的方法，与在所述计算机上执行的启动打印操作的特定应用程序无关，并且与所述特定应用程序所使用的特定打印接口无关，所述方法包括：监视并且检测正在加载到打印假脱机程序中的打印驱动程序：拦截在所述打印驱动程序被加载到所述打印假脱机程序中时创建的驱动程序对象的创建：当所述驱动程序对象创建设备对象时，拦截设备对象打印功能：监视在打印驱动程序级别将文本发送到打印机的尝试，所述监视尝试由至少一个拦截的设备对象功能进行：对于将特定文本发送到所述打印机的每个特定监视尝试，识别与启动导致所述特定监视尝试的打印操作的特定应用程序相关联的特定应用程序级别上下文信息：以及将数据丢失防护策略应用于监视尝试以在所述打印驱动程序级别将特定文本发送到所述打印机，所述数据丢失防护策略到特定监视尝试的所述应用考虑特定识别的应用程序级别上下文信息以及所述特定监视尝试的特定文本。

【技术特征摘要】
【国外来华专利技术】2016.03.14 US 15/0697951.一种用于监视打印操作并且在计算机上施行数据丢失防护策略的计算机实现的方法，与在所述计算机上执行的启动打印操作的特定应用程序无关，并且与所述特定应用程序所使用的特定打印接口无关，所述方法包括：监视并且检测正在加载到打印假脱机程序中的打印驱动程序：拦截在所述打印驱动程序被加载到所述打印假脱机程序中时创建的驱动程序对象的创建：当所述驱动程序对象创建设备对象时，拦截设备对象打印功能：监视在打印驱动程序级别将文本发送到打印机的尝试，所述监视尝试由至少一个拦截的设备对象功能进行：对于将特定文本发送到所述打印机的每个特定监视尝试，识别与启动导致所述特定监视尝试的打印操作的特定应用程序相关联的特定应用程序级别上下文信息：以及将数据丢失防护策略应用于监视尝试以在所述打印驱动程序级别将特定文本发送到所述打印机，所述数据丢失防护策略到特定监视尝试的所述应用考虑特定识别的应用程序级别上下文信息以及所述特定监视尝试的特定文本。2.根据权利要求1所述的方法，其中监视并且检测正在加载到打印假脱机程序中的打印驱动程序还包括：拦截将打印驱动程序加载到所述打印假脱机程序中的系统功能。3.根据权利要求2所述的方法，其中拦截将打印驱动程序加载到所述打印假脱机程序中的系统功能还包括：将打印钩注入到所述打印假脱机程序中：并且通过所述打印钩拦截将打印驱动程序加载到所述打印假脱机程序中的所述系统功能。4.根据权利要求2所述的方法，其中拦截将打印驱动程序加载到所述打印假脱机程序中的系统功能还包括：将打印钩代码登记为打印驱动程序：并且当将所述打印钩代码作为打印驱动程序加载到所述打印假脱机程序中时，通过所述打印钩代码来拦截将打印驱动程序加载到所述打印假脱机程序中的所述系统功能。5.根据权利要求2所述的方法，其中拦截将打印驱动程序加载到所述打印假脱机程序中的系统功能还包括：拦截用于加载驱动程序的Windows系统功能：并且通过所述拦截的Windows系统功能来检测任何打印驱动程序到所述假脱机程序中的加载。6.根据权利要求1所述的方法，其中拦截在所述打印驱动程序被加载到所述打印假脱机程序中时创建的驱动程序对象的创建还包括：拦截用于检索类对象的所述加载的打印驱动程序的方法：并且拦截用于创建对象的实例的方法，以挂钩所述创建的驱动程序对象。7.根据权利要求1所述的方法，其中拦截设备对象打印功能还包括：当所述打印假脱机程序通过用于创建对象的实例的方法来实例化所述驱动程序对象时，拦截导出驱动程序函数表的驱动程序对象方法：并且当所述打印假脱机程序获取所述表时，替换特定的表条目。8.根据权利要求1所述的方法，其中拦截设备对象打印功能还包括：拦截与向所述打印机传送内容相关联的设备对象打印功能。9.根据权利要求1所述的方法，其中拦截设备对象打印功能还包括：拦截负责到所述打印机的行和页面级别输出的设备对象打印功能：并且拦截负责状态管理功能的至少一个设备对象打印功能。10.根据权利要求1所述的方法，其中拦截设备对象打印功能还包括：拦...

【专利技术属性】
技术研发人员：S·沙林，
申请(专利权)人：赛门铁克公司，
类型：发明
国别省市：美国,US