關鍵技術

為防止數據泄漏，需要對終端存儲和使用的所有數據進行檢測。檢測的準確性，是終端DLP產品的精髓，如果檢測不夠精準測，數據安全系統會生成大量誤報和漏報。誤報會使進一步的調查和解決貌似有問題的事件花費高昂的時間和資源成本。漏報會隱藏安全漏洞，造成數據泄漏、可能的財務損失、法律風險以及對組織聲譽的損壞。

關鍵字

關鍵字檢測能夠匹配任何字詞或短語，包括那些使用任何常見字詞分隔符（例如空格、逗號、短橫線或斜杠）的字詞或短語。用戶可為每個條件的關鍵字匹配進行區分大小寫的配置。也可以單獨為每個條件配置可定義管事件的匹配關鍵字或關鍵短語的數量。

標識符

標識符技術可以準確標識基于模式的敏感數據，例如信用卡號、社會安全號或駕駛執照號碼。數據標識符使用的檢測算法結合了模式匹配和其他準確性檢查和驗證，例如對信用卡號的檢查。與其他僅使用正則表達式識別模式的解決方案不同，數據標識符還包括有關不同數據類型的有敁數字范圍的內置信息。通過此額外信息，客戶可以篩選出測試數據和其他常見誤報，并識別特定于廣泛的行業、國家/地區和區域的數據類型，包括信用卡號、支付卡行業 (PCI) 數據安全標準的磁條數據、銀行標識號碼 (BIN)、國家保險號碼。

文件識別技術

在開始分析內容之前，首要的一個工作就是對文件進行正確的識別和處理，把文件中的文字提取出來進行后續的處理。還能對文字進行自然語義分析和處理，留出其中的關鍵字來進行處理。文件識別的最大難度在于支持文件類型的廣泛性和正確性，而天空衛士DLP以其高性能的處理引擎都能最大化的正確識別并進行分析和處理。

數字指紋技術

數字指紋技術分為結構化指紋技術（EDM）和非結構化指紋技術（IDM）。EDM 用于保護通常為結構化格式的數據，例如客戶或員工的數據庫記錄。IDM 用于保護非結構化數據，例如 Microsoft Word 或 PowerPoint 文檔，或 CAD 繪圖。對于EDM 和 IDM，都是首先由組織標識機密數據，然后由策略管理平臺 對這些數據進行指紋加密以進行持續的精確檢測。指紋加密過程包管理平臺訪問和提取文本和數據，對其進行規范化，然后使用不可逆哈希為其提供保護?？梢詫⒉呗怨芾砥脚_ 配置為定期自動為EDM 或 IDM 文件編制索引，仍而使這些數據配置文件始終保持最新狀態。這種檢測方法的基礎是使用常見特征查找數據，這些特征有關鍵字、正則表達式、已驗證數據類型、文件類型、文件大小、文件名和收件人/收件人/用戶組合等。終端 DLP 檢測基于實際的敏感內容，而非文件本身。因此，終端 DLP 不僅可以檢測敏感數據的提取信息或衍生信息，而且還可以識別采用指紋加密信息之外的其他文件格式的敏感數據。例如，如果一份仹Microsoft Word 機密文檔經過指紋紋加密，即使該內容作為 PDF 附件通過電子郵件收送，終端DLP依然可以可準確檢測到它。

無論是具有結構化格式的數據，如客戶或員工數據庫記錄；還是非結構化格式的數據，如Office或PDF文檔，SkyGuard可對其進行掃描和提取，并可以配置為定期自動更新，保證指紋數據永遠和機密數據同步，不管信息泄露者采用何種數據變形手段都無處遁形。

? 結構化數據(數據庫)，如客戶信息，數據庫管理員無需分配特殊權限或干預數據庫服務，DLP僅需以只讀權限對數據庫表抓取指紋并錄入指紋數據庫，并可指定安全策略引擎進行整行數據記錄匹配，減少誤攔截。

? 非結構化數據(文件)，如紅頭文件，將文本文件分段后選擇性地計算各片段的哈希值，并將哈希值存入指紋數據庫中供安全策略引擎進行相似度對比，既可以非常精確的辨認出原始文件內容，也能夠識別在一定范圍內修改后的文件內容。

機器學習

機器學習可以對大量的無特定格式文件樣本進行快速學習和分類，分類產生的模（Model）可用來對數據進行分析并計算該數據是否屬于某一個分類。機器學習的優勢在于其生成的模的大小基本恒定，所以很適合處理大量的樣本，另外機器學習技術可以對新的、并未出現在樣本中的數據進行較為準確的預測。

?  基于人工智能的預測機制，通過分類樣本中共同的”特征”進行預測和分析

? 無格式文本文件樣本進行快速的分類

? 適合處理大量的樣本

? 對新的、并未出現在樣本中的數據進行較為準確的預測

靜態對比分析技術

在這種技術中，通常會采用關鍵詞、正則表達式，數據字典或者內容識別器（比如信用卡號識別器可以快速判斷一串數字是否是信用卡號）的方式對被處理數據進行對比分析，在被處理對象中快速的查找出匹配的字符串，從而判斷被處理對象是否違背安全策略，需要進行日志記錄、審計或者進行阻止。天空衛士DLP包含多達1700種預定義的不同行業、不同類型的組合模板。

圖像識別(OCR)

DLP安全策略分析引擎對圖片、打印文件等提取文字并執行安全策略檢查，無論是網絡、郵件、還是存儲通道。進行光學字符識別內容分析，特別適用于網絡傳輸、數據發現以及打印服務器的信息泄露。

?  提取圖片甚至視頻中的文字敏感信息

? 打印文件中的文字敏感信息識別

? 截屏（截圖）等行為進行監控分析

? 對于紅頭文件掃描件、傳真頁、票據，表單等也能解析和識別

? 識別多種語言

工作方式

設置用戶組的檢測規則

天空衛士終端DLP 提供了幾種方法來將策略應用于特定的一組用戶。對于規模相對較小的組，可使用 DCM 收件人/用戶或收件人檢測規則來確定策略的應用目標。對于較大的組，天空衛士終端DLP 提供了另外兩種功能強大的選項：“目錄組匹配”和“客戶端用戶組”檢測規則。

目錄組匹配

天空衛士終端DLP 的目錄組匹配(DGM) 專門用于以員工和用戶組相關屬性為基礎的檢測，這些屬性通常仍公司目錄或人力資源數據庫中提取以進行索引編制。DGM 利用與 EDM 相同的指紋識別技術對結構化數據進行索引編制，因此，本文為了方便，并未將其視為一種單獨的檢測技術。DGM 所用的與組相關的屬性可以包括員工的電子郵件地址、IP 地址、Windows 用戶名、員工的業務單元、部門、經理、職位和在職狀等。其他屬性可以包括員工是否同意對其進行監控，或者員工是否可以訪問機密數據。DGM 還可以對收件人電子郵件地址列表進行索引編制。然后可以基于這些已編制索引的數據建立檢測規則。例如，可建立檢測規則，要求如果要生成管事件， 數據傳輸的收件人必須在客戶服務部門?；蛘?，檢測規則可規定如果電子郵件收件人位于批準的列表中，則不生成管事件。DGM 使用仍目錄中提取的數據，而不是直接訪問目錄。

客戶端用戶組

為確定目標“客戶端”用戶組，天空衛士終端DLP 提供了“客戶端用戶組”檢測規則?！翱蛻舳擞脩艚M”規則利用客戶端在用戶登彔到 Active Directory (AD) 時獲得的目錄信息，指定要將策略應用到的特定AD 用戶和/或組?！翱蛻舳擞脩艚M”規則是一種指定內容匹配 (DCM) 規則，因此，本文為了方便，并未將其視為一種單獨的檢測技術?！翱蛻舳擞脩艚M”規則的主要用例是對不同用戶（包括共享計算機環境中的用戶）應用不同的策略。例如，呼叫中心的普通員工可能無法將機密文件復制到 USB 中，而其主管卻可以仍同一臺計算機中復制該文件?！翱蛻舳擞脩艚M”規則可以用作檢測規則，也可以用作仍策略中排除特定組的例外?！翱蛻舳擞脩艚M”規則適用終端DLP，它可與客戶端阻止規則結合使用。而且，即使客戶端計算機未違接到企業網絡中，“客戶端用戶組”規則也可以收揮作用。

定義數據泄露事件的內容

完全數據匹配

確切數據匹配(EDM) 可以保護客戶和員工數據，以及其他一般存儲在數據庫中的結構化數據。例如，客戶可使用EDM 檢測編寫策略，來查找同時出現在一則消息中并與客戶數據庫的記錄相對應的名字、姓氏、SSN、帳號或電話號碼中的任意三項。EDM 技術被設計為可擴展到超大型數據集，在若干客戶部署中，EDM 技術目前保護的客戶記錄在每個部署的單個服務器上就超過 3 億項。
EDM 檢測可以基于給定數據行各列的仸何組合進行，即給定記錄的 M 個字段中的N 個字段的組合。它可在“多元組”或指定的數據類型集上觸發。例如，名字和 SSN 字段的組合可接受，但姓氏和 SSN 字段的組合不可接受。EDM 還允許使用更復雜的規則，例如，查找 M 個字段中的 N 個字段，但不包含指定的元組。

索引文檔匹配

索引文檔匹配(IDM) 可確保以文檔形式存儲的非結構化數據的準確檢測，這些文檔形式包括Microsoft Word 和PowerPoint 文件、PDF 文檔、設計方案、源代碼文件、CAD/CAM 圖像、財務報表、并購文檔以及其他敏感或專有信息等。IDM 創建文檔指紋以檢測原文檔、草案或不同版本受保護文檔的提取部分，以及事件內容的確切匹配。天空衛士終端DLP IDM 還提供了將內容（如標準樣板文件文本）加入白名單的功能，以減少誤報。在單個服務器上，天空衛士已經成功使用 IDM 指紋創建并檢測了超過百萬份的文檔。與EDM 一樣，使用額外的服務器可線性增加擴展容量。

部分文檔匹配

由于 IDM 可注冊文檔中所提取數據和規范化文本的不同部分并進行指紋加密，因此可對衍生文檔（如修訂版和不同版本）和文本段（如粘貼到其他文檔中的受保護內容的片 段）進行可配置的匹配。如果在指紋中檢測到所有哈希段，則同樣的技術也用于文本文檔的確切文檔匹配。IDM 還支持使用所有語言進行檢測，包括使用雙字節字符集的語言。IDM 使用統計采樣方法來存儲經指紋加密的文檔的哈希部分，因此并不是所有文本都存儲在文檔配置文件中。通過此方法，IDM 可擁有很高的準確率，同時還具有高可伸縮性。
IDM 檢測技術的首要功能是能夠對事件內容進行確切匹配。除了為部分文檔匹配創建的內容哈希外，還需要創建事進制內容的 MD5 哈希才能實現此功能。這種形式的檢測可用于任何文件類型，包括那些文本內容無法提取的文件，如媒體文件或專有文件格式。

指定內容匹配

指定內容匹配 (DCM) 的準確度很高，在獲得創建索引所需的信息副本不可能或不實際時，或是在精確內容尚未知曉但很容易指定時最為有用。DCM 可與結構化和非結構化數據一起使用，它使用由用戶輸入到 管理平臺 的數據標識符、關鍵字、詞典、模式匹配、文件類型、文件大小、收件人、收件人、用戶名、客戶端用戶組（用于 終端DLP）以及網絡協議信息來檢測數據泄漏管事件。

策略生成

管理平臺提供一個集中式的用戶界面，用戶可在這個界面上快速便捷地生成可應用于所有終端DLP 產品的數據泄漏策略。每個策略都是檢測規則和響應規則的組合。當違反一個或多個檢測規則時，就會生成一個管事件。天空衛士終端DLP 支持使用布爾邏輯來指構造復雜的檢測規則，這樣用戶就可將多個規則和條件通過邏輯運算符AND、OR 和NOT 組合起來，還可在單個策略中組合使用不同的檢測技術。例外允許將特定數據和收件人/收件人或用戶組加入白名單。這些高度可配置的檢測和例外規則的最終結果具有高準確度和最少誤報。策略內的每個檢測規則都會分配有一個嚴重性級別， 而管事件的整體嚴重性由觸發的最高嚴重性規則決定。用戶也可定義檢測規則所針對的郵件組件，例如正文、標題或附件，檢測規則會針對這些組件產生。指紋加密的數據配置文件在特定策略外定義，仍可在多個策略中引用指紋加密的內容。
客戶可創建自己的策略，也可充分利用天空衛士提供的多個預先建立的策略模板，這些模板涵蓋多個行業和法規，用以幫助客戶快速入門。

掃描敏感數據

終端發現可以掃描客戶端的內置驅動器，以識別存儲的機密數據，以便采取相應的措施，為這些數據建立清單、加以保護或重新定位。它可以實現對數千個客戶端進行高性能并行掃描，并且最大程度地減少對系統的影響。每個客戶端每小時大約可以掃描 5 GB 數據。
客戶端包含管理平臺推送過來的數據防漏策略和可配置的終端發現過濾器。終端DLP 管理員在管理平臺中啟動客戶端掃描后，客戶端將會“破解”那些符合過濾參數的開放文件，并掃描其中的數據，以根據數據防漏策略檢查這些數據是否存在違規情況。值得注意的是，該掃描進程不會更改文件的“上次訪問時間”屬性，以確保依賴于該屬性的其他進程（如備份進程）不受 終端發現 掃描的影響。如果數據違反策略，客戶端將通過終端Server 向 管理平臺收送管事件數據。
終端發現過濾器將通知客戶端需要根據文件的位置（文件路徑）、類型、大小以及添加/修改日期掃描哪些文件。例如，過濾器可能會通知客戶端僅掃描 My Documents 文件夾中自上次完整掃描以來添加或修改的、大小介于 50KB 和 5MB 之間的文件。日期過濾器包括自動差異掃描，該掃描方式僅掃描自上次掃描以來添加/修改的文件。這些差異掃描比初始掃描和完整掃描的系統開銷要小得多，速度也快得多。

掃描數據的方式：

? 網絡鏡像 Server：掃描仍網絡 SPAN 端口或 TAP 接收的數據副本

? 網絡郵件DLP：掃描仍 MTA 接收的電子郵件

? 網絡阻斷 Server：掃描仍 Web 代理接收的HTTP/S 和FTP 流量

? 終端DLP/Discover Server：掃描仍客戶端接收的文件副本

? 網絡發現/防護 Server：掃描仍數據存儲庫讀取的文件和數據

如果識別出敏感數據并生成了泄露事件，天空衛士終端DLP服務器可以自動執行某些自動響應，例如阻止/修改數據傳輸或復制/重定位文件。如果代理正在執行本地檢測，將啟用用于阻止 USB/CD/DVD、網絡傳輸、打印/傳真和復制/粘貼的自動響應規則。一旦檢測到違規事件，相關管事件信息將立即被發送到管理平臺，在管理平臺中，管事件詳細信息將存儲到管理平臺數據庫中，并且還可以激活其他自動響應規則，如電子郵件。

監控或者阻斷敏感數據操作

終端DLP可對下載到本地驅動器的數據進行監控，并可監控和阻止向其他用戶復制或傳輸的數據。終端DLP可監控并阻止將機密數據復制到 USB、存儲設備、安全數字 (SD) 卡或壓縮閃存 (CF) 卡。此外，它還可監控并阻止對機密數據的以下操作：打印或傳真、復制并粘貼到另一文檔或刻彔到 CD/DVD。對于網絡傳輸，終端DLP 可監控并阻止通過電子郵件、Web、FTP 和即時消息傳送 (IM) 收送機密數據。對于虛擬化桌面， 相應虛擬化服務器上的客戶端虛擬桌面執行客戶端用戶操作，（僅適用于 虛擬化）它甚至可以阻止將機密信息復制到客戶端硬盤驅動器和客戶端網絡共享?？蛻舳丝梢杂羞x擇地顯示（彈出式）屏幕通知，以通知最終用戶操作違規，并為該用戶提供輸入操作理由的相關選項。

文件復制和打印

對于文件復制和打印操作，客戶端可通過與 Microsoft 的文件系統微篩選器驅動程序（受支持的標準 API）集成，來截取文件系統讀、寫、存事件。這樣可確保檢測所有文件系統活動，包括將數據寫入內部驅動器或寫入已安裝的 USB 文件系統，或者是由嵌入 OS 的 CD/DVD 應用程序讀取數據。當發現復制/粘貼，客戶端會截取復制操作時的剪貼板操作。

網絡文件傳輸

對于網絡文件傳輸操作（包括 HTTP、IM 和 FTP），客戶端通過與 Windows 傳輸驅動程序接口集成來截取網絡操作。電子郵件支持通過 SMTP協議的應用程序插件啟用，其中出站內容在離開網絡之前在郵件客戶端中進行檢查。HTTPS 支持通過 Microsoft Internet Explorer 和 Mozilla Firefox 的插件啟用。由于 IM 和打印可能跨多條消息或多個頁面，因此客戶端將把多個 IM 或打印頁面存入緩沖區，以便分析跨多個 IM 或頁面的機密信息。對于 IM，客戶端會對消息中的機密信息進行編輯，而不會阻止整條消息（以便可能使 IM 接收者感到迷惑）。對于受支持的虛擬化 產品，虛擬服務器上安裝的代理執行最終用戶操作。通過這種體系結構，可以對在無法運行客戶端的客戶端計算機（例如瘦客戶端） 中所啟動的已收布應用程序和虛擬桌面中的操作進行監控并阻止。

客戶端可檢測數百種文件類型（與文件擴展名無關）、通過“破解”打開符合過濾器參數的文件并掃描文件中的數據，仍而根據數據泄漏策略檢查數據。對于違反策略的數據，可使用多個自動響應選項：

? 監控并記錄違規操作，但不通知用戶或阻止該操作

? 顯示屏幕通知，使用戶了解情況，但允許該操作

? 提示用戶選擇阻止或允許該操作（一種稱為“用戶取消”的功能，當潛在違規程度較輕且最終用戶了解機密數據的正確使用方法時，該功能較為有用）以自行補救

? 阻止該操作并有選擇地顯示屏幕通知。捕獲管事件之后，客戶端會通過終端 Server 將管事件數據收送到管理平臺。

存儲介質拷貝

終端DLP過濾器包括可移動介質過濾器、內部驅動器過濾器和網絡屬性過濾器?？梢苿咏橘|過濾器會根據文件大小和類型告知客戶端要處理哪些文件。例如，這些過濾器可能會告知客戶端僅處理復制到 USB 設備且大于 20KB 的Microsoft Office 文件，或者忽略所有 MP3 文件。內部硬盤驅動器過濾器根據文件大小、類型和位置告知客戶端應該處理哪些寫入內部驅動器的文件。例如，這些過濾器可能會通知客戶端僅處理那些已寫入到內置驅動器上的 My Documents 文件夾中、大小超過 50KB 的Microsoft Office 和 PDF 文件。網絡屬性過濾器可讓用戶指定要在檢測分析中包含或排除的 IP 地址（對于客戶端支持的所有協議）和域（對于 HTTP/S）。例如，可以使用這些過濾器來阻止客戶端分析與可信站點的通信。由于網絡屬性過濾器在檢測分析之前應用，因此，使用這些過濾器還可以增強客戶端的性能。

部署方式

客戶端的U盤、移動硬盤、打印機、刻錄的監控和阻斷針對的是所有安裝DLP客戶端的終端在辦公場所。因此，在實際部署過程中需要對企業內需要做外設監控和阻斷的辦公終端進行部署。

應用場景

場景一：防止終端敏感信息通過外設流出企業

產品應用目的

針對企業辦公終端在辦公環境中使用U盤、移動硬盤、刻錄、打印機等進行監控和阻斷，實現用戶通過U盤、移動硬盤、刻錄、打印機等發送敏感信息進行監控，同時記錄當前用戶行為并阻斷，并做相關審計。

產品應用說明

客戶端使用者、客戶端使用何種行為進行數據傳輸、網絡安全部安全管理員。終端使用者在辦公場所將帶有敏感信息的資料通過U盤、移動硬盤、打印機、刻錄等途徑發布出去后，DLP客戶端自動記錄、監控和阻斷此行為，并作詳細記錄（包括時間、內容等）。
針對于客戶端依照已定義的敏感信息做相關檢查策略，當辦公終端通過U盤、移動硬盤、打印機、刻錄等向其他部門或外部客戶傳輸或者拷貝帶有已定義的敏感數據的資料時，DLP客戶端會自動記錄此終端的行為，并匹配終端IP地址、主機名、使用何種手段傳輸數據做詳細的監控記錄。依據相關報表的檢查條件（可依據所定策略內容、IP地址、主機名等方式進行檢查），可列出被監控部門相關人員每天、每月、每半年的綜合統計數據，依據此類數據，安全管理部門可進行相關統計分析及通報。
同時使用DLP Endpoint 進行掃描端點的內置驅動器來識別存儲的保密數據，這樣就可以采取一些措施來存儲、保護或重新定位此數據。通過部署在企業總部的集中管理控制臺上配置終端掃描策略，依據企業所定義的敏感數據分類級別對辦公終端上存有的生產數據進行掃描發現。

部署方式說明

客戶端的U盤、移動硬盤、打印機、刻錄的監控和阻斷針對的是所有安裝DLP客戶端的終端在辦公場所。因此，在實際部署過程中需要對企業內需要做外設監控和阻斷的辦公終端進行部署。

場景二：網絡出口敏感數據旁路監控

產品應用目的

針對辦公終端通過HTTP和SMTP外發的數據進行監控，記錄當前用戶行為并根據預定義的動作進行響應。

部署方式說明

網絡出口敏感數據旁路監控針對公司使用互聯網資源發送敏感信息的辦公終端，同時也是針對所有可使用互聯網的辦公終端。

產品應用說明

互聯網資源使用者、敏感信息發送者、安全管理員。辦公終端使用者將帶有敏感信息的資料通過Web或MAIL外發后，DLP 檢測設備會自動進行詳細記錄（包括時間、發送者、接收者、內容等）。便于管理員可以審核此相關日志，并依據管理規范作相關通報。

當終端通過HTTP和SMTP發送敏感數據時，該數據將通過配置在核心交換機上的鏡像端口復制到 DLP檢測設備進行掃描。如果數據傳輸確實違反了管理員事先定義的策略，則該行為將被記錄至集中管理設備上，并為管理員提供發送者、接收對象、時間、通道、違規內容等信息。管理員可以在集中管理設備上為該行為設定觸發動作，包括記錄審計、郵件提醒管理員等。

場景三：出口敏感數據Web監控與阻斷

產品應用目的

針對企業辦公終端通過代理服務器發送WEB進行監控和阻斷，實現用戶通過WEB 發送敏感信息進行監控和阻斷，同時記錄當前用戶行為并作提示，告知用戶此WEB被攔截的原因。

產品應用說明

互聯網資源使用者、敏感信息發送者、安全管理員。辦公終端使用者將帶有敏感信息的資料通過WEB途徑發布出去后，DLP檢測設備自動記錄和阻斷此行為，并作詳細記錄（包括時間、發送者、接收者、內容等）。便于審核此相關日志，并由安全管理員作相關通報。
當終端通過帶代理DLP檢測服務器使用WEB發送數據時，DLP 檢測設備對傳輸的數據進行掃描。如果數據傳輸不違反敏感數據阻斷策略，DLP 檢測設備將指示代理將數據傳輸到其指定的目的地。如果數據傳輸確實違反了企業所定義的策略，DLP 檢測設備 可以選擇告知代理終止傳輸，或者它可以選擇僅把保密數據從 web 傳輸中刪除。在后一種情況中，數據傳輸將繼續傳送到目的地，且不影響 web 瀏覽器。對 HTTP/HTTPS來說，DLP 檢測設備可以選擇顯示一個新 web 頁面，傳回最終用戶，通知最終用戶違反了策略，傳輸被攔截。

部署方式說明

辦公終端的WEB防泄密阻斷針對辦公終端使用互聯網資源通過WEB發送敏感信息的辦公終端，同時也是針對所有可使用互聯網的辦公終端，為此在實際部署過程中需要對所有使用互聯網資源的辦公終端進行部署。

場景四：某保險公司

產品應用目的

? 降低管理維護的TCO，并且使違規事件的響應更加快速。

? 實現對終端外發通道尤其是IM應用的敏感內容審計

? 對數據實現分級分類治理，完善數據安全保護體系，滿足行業監管的合規要求

? 實時監控終端的敏感信息流動，并且在發生可疑的泄密事件的時候，及時通知到IT管理人員

產品應用說明

公司內部的敏感信息有用戶的銀行卡號碼，信用卡號碼，個人身份證號碼。終端DLP既可以監控和阻斷這些視圖離開終端的敏感數據，并以彈窗的方式警告用戶的違規情況，又可以掃描端點上的存儲介質保存的機密數據，將其記錄或移動至安全位置，防止企業的核心數據資產以違反安全策略規定的形式流出企業。即便當端點不在公司網絡內部時，終端DLP仍然執行離線數據防泄漏檢測，提供隨時隨地的安全防范。

部署方式說明

DLP客戶端安裝所有內部員工的電腦上，監控終端敏感數據的下載、拷貝、粘貼、復制、粘貼、打印、傳真、發送（及時聊天工具如微信、QQ）等操作. 防止企業的核心數據資產以違反安全策略規定的形式流出企業，當數據以違規的方式發送時，并以彈窗的方式警告用戶的違規情況。