[发明专利]使用区的信息保护

说明书

背景技术

在组织内，会频繁地创建和共享信息。例如，工作者创建电子邮件，并将其发送给组织内的其他工作者以及组织外的人。此外，工作者创建文档、将这些文档上传至内部文件服务器、将它们传输到便携式存储介质（例如，可移动闪存驱动器）、以及将它们发送给组织外的其他用户。

由组织内的工作者创建的信息中的一些可以是机密的或敏感的。因此，期望允许拥有这样的信息的工作者仅将该信息与那些被授权访问该信息的人共享，和/或降低工作者意外地将这种信息传输给未被授权访问该信息的某个人的风险。

发明内容

发明人已意识到，当共享信息时，该信息有时会被发送给未被授权对该信息的访问或者预期不具有对该信息的访问的某个人，或者该信息会被未被授权访问该信息的某个人恶意截取。

因此，一些实施例涉及信息保护方案，在该方案中，可将信息空间中的设备、用户和域分组在各区中。当信息被传输跨越了区边界时，可以应用信息保护规则来确定应该准许还是阻止该传输，和/或确定是否应该采取任何其他策略动作（例如，需要加密、提示用户确认该预期传输或某一其他动作）。

一个实施例涉及由计算机执行的用于信息保护的方法，所述计算机包括至少一个处理器和至少一个有形存储器，所述计算机在包括用户、设备和/或域的多个区的信息空间中操作，其中所述多个区中的每一个是用户、设备和/或域的逻辑分组，并且其中所述方法包括：响应于发起信息传输，确定所述信息传输是否会导致信息跨越多个区中的两个区之间的区边界；当确定所述传输不会导致所述信息跨越所述区边界时，准许所述传输；当确定所述传输会导致所述信息跨越所述区边界时：访问信息保护规则；将所述信息保护规则应用于所述传输以确定是否要执行策略动作；以及，在确定要执行所述策略动作时，执行所述策略动作。

另一实施例涉及编码有指令的至少一个计算机可读介质，当在包括至少一个处理器和至少一个有形存储器的计算机上执行所述指令时，在包括用户、设备和/或域的多个区的信息空间中执行一种方法，其中所述多个区中的每一个是用户、设备和/或域的逻辑分组，其中所述计算机被分组在所述多个区中的一个中，所述方法包括：在所述计算机处创建文档；自动确定所述文档的第一分类；将标识所确定的第一分类的信息嵌入所述文档中；接收标识所述文档的第二分类的用户输入；响应于所述用户输入，通过将标识所述第一分类的信息从所述文档移除并将标识所述第二分类的信息嵌入所述文档中来用所述第二分类覆盖所述第一分类。

又一实施例涉及计算机系统中的计算机，包括：至少一个有形存储器；以及至少一个硬件处理器，所述至少一个硬件处理器执行处理器可执行指令以：响应于用户输入第一信息，将所述第一信息存储在至少一个有形存储器中，所述第一信息将用户、设备和/或域分组在各逻辑区中；响应于用户输入第二信息，将所述第二信息存储在所述至少一个有形存储器中，所述第二信息指定要响应于发起将导致信息跨越各逻辑区间的边界的信息传输而应用的信息保护规则。

附图说明

附图不旨在按比例绘制。在附图中，各个附图中示出的每一完全相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的，不是每一个组件在每张附图中均被标号。在附图中：

图1是根据一些实施例被按逻辑划分成多个区的信息空间的框图；

图2是其中可实现本发明的各实施例的信息保护技术的计算机系统的框图；

图3是根据一些实施例用于在被按逻辑划分成各区的信息空间中提供信息保护的过程的流程图；以及

图4是其上可实现某些实施例的各方面的计算机系统的框图。

具体实施方式

发明人已意识到，当组织中的工作者创建和/或访问机密或敏感电子信息时，可发生工作者无意地或恶意地危及该信息的安全的情形。例如，工作者可无意地将电子信息发送给未被授权访问该信息的某个人，或者可将该电子信息存储在不安全的地方（例如，未被授权访问该信息的某个人可访问的文件服务器）。作为另一示例，工作者可能会以纯文本来共享机密电子信息（而不是对其进行加密），由此使该信息处于会被未被授权访问它的某个人截取的更大风险中，或者工作者可能会采取危及该信息的安全的其他动作。