[发明专利]通过打印操作的打印接口技术不可知数据丢失防护

说明书

监视打印操作并且应用DLP策略，与由启动打印操作的应用程序所使用的打印接口技术无关。DLP组件监视并且检测正在加载到打印假脱机程序中的打印驱动程序。当打印驱动程序被加载时，所述打印假脱机程序创建对应的被拦截的驱动程序对象。所述实例化的驱动程序对象创建多个设备对象以执行各种打印功能。拦截感兴趣的所述设备对象打印功能。通过拦截的设备对象功能在打印驱动程序级别将文本发送到打印机的尝试被监视，并且识别应用程序级别上下文信息，诸如相关联的用户。考虑应用程序级别上下文信息和监视尝试的特定文本，将所述DLP策略应用于所述监视尝试以在所述打印驱动程序级别将文本发送到所述打印机。

技术领域

本公开整体涉及计算机安全和数据丢失防护，并且更具体地讲涉及通过打印操作的打印接口技术不可知数据丢失防护。

背景技术

随着基于云的存储和移动计算设备的广泛使用，企业和其他组织由于无意的和恶意的用户活动而容易丢失和泄露其敏感信息。数据丢失防护(“DLP”)系统可在访问、传输和存储敏感信息时监视、检测和阻止对敏感信息的操作。通过这样做，DLP系统可根据组织策略来保护敏感信息。例如，在给定公司内，人力资源部门的某些成员可被授权以访问个人员工信息，诸如家庭住址和社会保险号。然而，打印此类个人员工信息或将其复制到非公司云存储装置可能违反公司政策。DLP系统可将特定信息分类为敏感信息，识别和监视此类信息，并且检测和阻止不良事件。

打印是DLP的唯一威胁载体，其中数字信息被转换为物理介质。因此，对于DLP系统进行监视而言，打印是很重要的操作。在Microsoft下，监视打印操作通常通过拦截Microsoft的图形设备接口(“GDI”)应用程序接口(“API”)来执行。然而，这仅适用于所讨论的应用程序使用基于GDI的打印的情况。多年来，Windows打印技术已经有了很大的进展，并且目前使用接口技术，诸如GDI、可扩展标记语言(“XML”)文件规范(“XPS”)、打印标签和文档包API。

此外，在一些情况下，DLP系统即使了解特定应用程序以便(例如用应用程序沙箱化和代码完整性检查)拦截其在应用程序级别的打印操作也是不切实际的。

这些问题需要得到解决。

发明内容

监视打印操作并且应用DLP策略，与启动打印操作的特定应用程序无关，并且与应用程序所使用的特定打印接口技术无关。DLP组件监视并且检测正在加载到打印假脱机程序中的打印驱动程序。这可采取拦截将打印驱动程序加载到打印假脱机程序中的系统功能(例如，Windows系统功能LoadLibrary)的形式。在一个实施方案中，将打印钩注入到打印假脱机程序中，并且打印钩拦截相关的系统功能。在另一个实施方案中，打印钩代码被注册为打印驱动程序，导致Windows将打印钩代码加载到打印假脱机程序中。作为驱动程序在假脱机程序中运行的打印钩代码然后拦截相关的系统功能。通过拦截相关的系统功能(例如，LoadLibrary)，(例如，从文件夹System32\spool\drivers)检测到任何打印驱动程序到假脱机程序中的加载。

当将打印驱动程序加载到打印假脱机程序中时，打印假脱机程序创建对应的驱动程序对象。例如通过以下方式来拦截驱动程序对象的创建：拦截加载的打印驱动程序的DllGetClassObject方法，并且拦截IClassFactory.CreateInstance方法以挂钩创建的驱动程序对象。实例化的驱动程序对象创建多个设备对象以执行各种打印功能。当驱动程序对象创建设备对象时，拦截感兴趣的设备对象打印功能。当打印假脱机程序通过方法IClassFactory.CreateInstance来实例化驱动程序对象时，这可采取拦截驱动程序对象方法的形式，该方法导出驱动程序函数表。当打印假脱机程序获取表时，替换感兴趣的特定表条目。感兴趣的设备对象打印功能可在实施方案之间变化，但是通常包括与向打印机传送内容相关联的设备对象打印功能，诸如负责行和页面级输出以及状态管理的那些功能。在一个实施方案中，拦截StartDoc、EndDoc、TextOut、SendPage、Start Banding和Next Band。