用于从数据丢失防护策略模板实现数据丢失防护策略的方法技术

揭示了用于部署和实现数据丢失防护(DLP)策略定义的系统和方法，它可封装要求，控制目标和指示，和/或如由规章策略直接或间接规定的敏感数据类型的定义。在一个实施例中，DLP策略可被组织标识以在一组电子文件系统(例如电子邮件系统、文件系统、web服务器等)的顶上运行。各组织及其管理员可实现从DLP策略模板中获取的DLP策略实例集。DLP策略模板可包括结构和含义两者——并且通过用期望的参数值代替参数化了的表达式可获得给定的DLP策略。在另一个实施例中，DLP策略实例的状态可根据策略实例部署的生存期来改变。

A Method for Implementing Data Loss Protection Policy from Data Loss Protection Policy Template

Systems and methods for deploying and implementing data loss protection (DLP) policy definitions are disclosed, which encapsulate requirements, control objectives and instructions, and/or definitions of sensitive data types, such as those specified directly or indirectly by regulatory policies. In one embodiment, the DLP policy can be identified by the organization to run on top of a set of electronic file systems (e.g., e-mail systems, file systems, web servers, etc.). Organizations and their administrators can implement the DLP policy instance set obtained from the DLP policy template. DLP policy templates can include both structure and meaning -- and a given DLP policy can be obtained by replacing parameterized expressions with expected parameter values. In another embodiment, the state of the DLP policy instance can be changed according to the lifetime of the policy instance deployment.

【技术实现步骤摘要】
用于从数据丢失防护策略模板实现数据丢失防护策略的方法本申请是申请日为2013/07/09、申请号为201380036798.9的中国专利申请的分案申请。背景现代组织发现寻找、监视并保护(例如，电子形式的)敏感信息——诸如电子邮件中的PII、财务数据、知识产权，和健康数据——是期望的。为做到这一点，各组织试图对应当被保护的数据以及应当被应用到该数据的策略两者进行建模。对于电子邮件，管理员试图针对它们的策略(诸如发送方身份、接收方身份及其它)选择不同的定范围的机制。此外，管理员试图选择并应用诸如审核、加密、需要TLS传输等的行动。此外，管理员试图采取与单个目标(诸如制定规章的目标)相关的策略，并试图将它们作为单个包进行管理，即使这些策略可能包含不同规则，并在单个行动中启用/禁用及测试策略。概述下面呈现了本专利技术的简化概述，以便提供此处所描述的某些方面的基本概念。此概述不是所要求保护的主题的详尽的概述。既不是要标识所要求保护的主题的要点或关键性元素，也不是要详细描述本专利技术的范围。唯一的目的是以简化形式呈现所要求保护的主题的某些概念，作为稍后呈现的比较详细的描述的前奏。揭示了用于从策略对象模型中部署和实现数据丢失防护(DLP)策略实例的系统和/方法。在一个实施例中，DLP策略可被组织标识以在一组电子文件系统(例如电子邮件系统、文件系统、web服务器等)的顶上运行。各组织及其管理员可通过DLP策略模板的参数化来实现DLP策略实例集。DLP策略模板可包括结构和含义两者——并且可受到在由带有期望的参数值的经参数化的表达式的替代的策略创建时用部署指定环境配置代替一般策略配置的影响。在另一个实施例中，DLP策略实例的状态可根据策略实例部署的生存期来改变。在一个实施例中，揭示了从策略模板集来实例化DLP策略的方法，该方法的步骤包括：标识期望的DLP策略要在其上受影响的电子文件系统；标识适合期望的DLP策略的DLP策略模板集；用期望的DLP策略专用数据来参数化DLP策略模板；以及将经参数化的DLP策略实例传播到电子文件系统。在另一个实施例中，揭示了用于创建针对一组电子文件系统的至少一个DLP策略实例，包括：DLP策略模板集；每个DLP策略模板包括一组组件字段；DLP策略模板参数化模块，该模板参数化模块能够用期望的策略数据代替组件字段；以及DLP主策略模块，它能够从DLP策略模板集中为一组电子文件系统创建DLP策略实例。当与本申请中呈现的附图结合阅读时，在下面的详细描述中呈现了本系统的其它特征和方面。附图说明示例性实施例在所参考的附图中示出。此处公开的实施例和附图旨在被认为是说明性而非限制性的。图1描绘了根据本申请的原理作出的影响策略系统的系统的一个实施例。图2描绘了根据本申请的原理作出的在电子邮件的上下文中的策略系统的实现和操作的一个实施例。图3描绘了系统邮件服务器处理子系统的一个实施例，该子系统可与电子邮件上下文中的策略系统对接。图4是一个示例DLP策略模板的一个实施例，因为它可以代表公认的消费者电子邮件系统。具体实施方式如在此使用的，术语“组件”、“系统”、“接口”等指的是计算机相关的实体，它们可以是硬件、软件(例如，执行中的)和/或固件。例如，组件可以是运行在处理器上的进程、处理器、对象、可执行码、程序、和/或计算机。作为说明，在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程中，组件可以位于一个计算机内和/或分布在两个或更多计算机之间。现在参考附图来描述所要求保护的主题，所有附图中使用相同的附图标记来指代相同的元素。在以下描述中，为解释起见，阐明了众多具体细节以提供对本专利技术的全面理解。然而，很明显，所要求保护的主题可以在没有这些具体细节的情况下实施。在其他情况下，以框图形式示出了各个已知的结构和设备以便于描述本专利技术。引言本申请的若干实施例揭示了允许在单个操作中同时针对电子文件子系统(仅仅作为一个示例，电子邮件)创建策略并将它们建模成可被安装、移除、状态改变，并报告的一组相关对象系统、方法和机制。虽然当前的实施例更接近电子邮件系统的示例，应当理解在此描述的系统、方法和/或技术在宽泛意义上也适用于各种各样的电子文件系统——例如，文件系统、信息保护和协作(例如微软系统)、web服务器、应用服务器等。如以下将更进一步详细讨论的，在许多实施例中，采用框架来将复杂工业规则或公司信息管理建模成策略可能是期望的。宽泛地说，这些策略——及其它们相关联的系统和方法——在数据丢失防护(DLP)的区域中被一般地描述。此区域中的申请可实现当其应用到以下项时执行的策略的处理的全部或部分组件：(1)管理策略生存期；(2)在策略实施点上实施并评估策略；(3)生成并查看报告以及(4)管理事件的违背。一个实施例图1是根据本申请的原理作出的策略系统的示意图。如在此实施例中可见，可以有可与跨给定组织设置的各种电子存储和/或服务器一起工作的若干通用策略模块。广泛而言，可以有用于分别设置和检测策略的策略管理系统、多个策略实施点，以及审核系统。如图1中可见，策略管理系统100可包括策略撰写系统102、策略存储104、策略传播系统106。如在此将进一步仔细讨论的，这些策略模块可被采用来为组织设置和传播策略。策略可受各种策略翻译/映射系统108影响，策略翻译/映射系统108理解一般策略指示并将它们变换为策略实施点的上下文理解格式，所述策略翻译/映射系统108可与各电子数据子系统(例如邮件递送系统110、如微软系统112的邮件客户端系统，如微软系统114的信息管理系统、文件系统116、web服务器118或其它能够执行策略实施和应用的合适的电子数据子系统)对接。在这些策略实施子系统内，可有在子系统内有效地实现策略的各模块。例如，这样的模块可以是策略消费，本地上下文处理，它还可以包括上下文策略评估、上下文策略实施，以及上下文策略呈现。作为这些子系统的部分，期望具有上下文审核数据生成器。这些审核数据生成器可以与审核聚集系统122和审核呈现系统124通信。应当理解，许多其它构架可能用于实现可与组织的软件套件(例如电子邮件、文件服务器、web界面等)接口的策略系统。此外，对于特定策略模块(例如，策略撰写和存储，以及审核功能)可能可以(并且可能是期望的)与组织间隔开地被托管并以其它方式提供(例如，服务器/客户机关系、基于云的服务等)。一旦策略系统针对一组织被实现或以其他方式被配置，这样的策略系统采用运行时动态。图2描绘了运行时动态200的一个实施例，它可应用到示例电子邮件流策略应用。在策略系统的实现之前，组织通常具有其电子邮件系统和/或服务器202，策略系统将运行在电子邮件系统顶部或以其它方式与电子邮件系统协作。策略系统可消费来自多个源的策略内容。一个这样的源可以如以自带(OOB)策略模板集的形式提供了系统本身，其可用作产品的部分并可由承租者系统管理员和/或其它合适的用户206获取并安装。另一个源可来自独立软件供应商(ISV)和产品合伙人以及提供供目标组织消费的自定义策略内容的顾问。204可向组织提供自定义DLP策略。在两种情形下，管理员206可执行DLP策略系统的特定配置-在此情况中，与组织者的电子邮件系统一起工作。除了策略的安装/创建，本文档来自技高网...

【技术保护点】
1.一种用于为一组电子文件系统创建数据丢失防护(DLP)策略实例的计算系统，所述计算系统包括：处理器；以及存储指令的存储器，所述指令在被执行时将所述计算系统配置为：从DLP策略模板集中选择DLP策略模板，每个DLP策略模板包括对于所述组电子文件系统是通用的一组组件字段；并且对于所述组电子文件系统中的每个特定电子文件系统：标识策略数据，所述策略数据基于所述特定电子文件系统的特性；以及基于所标识的策略数据，通过参数化所选择的DLP策略模板的组件字段来为所述特定电子文件系统创建DLP策略实例。

【技术特征摘要】
2012.07.10 US 13/545,8641.一种用于为一组电子文件系统创建数据丢失防护(DLP)策略实例的计算系统，所述计算系统包括：处理器；以及存储指令的存储器，所述指令在被执行时将所述计算系统配置为：从DLP策略模板集中选择DLP策略模板，每个DLP策略模板包括对于所述组电子文件系统是通用的一组组件字段；并且对于所述组电子文件系统中的每个特定电子文件系统：标识策略数据，所述策略数据基于所述特定电子文件系统的特性；以及基于所标识的策略数据，通过参数化所选择的DLP策略模板的组件字段来为所述特定电子文件系统创建DLP策略实例。2.根据权利要求1所述的计算系统，其中，每个电子文件系统包括文件服务器，所述文件服务器与请求访问与所述文件服务器相关联的数据的一组客户端进行通信。3.根据权利要求1所述的计算系统，其中，所述指令将所述计算系统配置为：根据DLP策略对象来生成审核信息。4.根据权利要求1所述的计算系统，其中，所选择的DLP策略模板包括相关联的属性集，所述相关联的属性集包括以下各项中的至少一项：获取、导入、导出、删除和查询、身份、姓名、发布方名称、说明、规章、区域、或关键词。5.根据权利要求1所述的计算系统，其中，所选择的DLP策略模板的组件字段是用基于子站关键字的说明的替代值来参数化的，所述子站关键字包括所选择的DLP策略模板内的构造。6.根据权利要求1所述的计算系统，其中，所述指令将所述计算系统配置为：控制所述DLP策略实例的状态。7.根据权利要求6所述的计算系统，其中，所述DLP策略实例包括状态表。8.根据权利要求7所述的计算系统，其中，所述状态表存储包括以下各项中的至少一项的状态：审核、通知、或实施。9.一种用于为一组电子文件系统创建数据丢失防护(DLP)策略实例的计算系统，所述电子文件系统包括文件服务器，所述文件服务器被配置为与一组客户端进行通信，所述计算系统包括：用于存储DLP策略模板集的存储器，每个DLP策略模板包括对于所述组电子文件系统是通用的一组组件字段；DLP策略模板参数化模块，所述DLP策略模板参数化模块被配置为：通过用基于所述电子文件系统中的一个或多个电子文件系统的期望...

【专利技术属性】
技术研发人员：L·艾尔斯，J·卡巴特，V·卡库玛尼，M·利伯曼，B·斯塔尔，A·考瑞特斯基，A·舒尔，J·舒尔曼，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US