體系架構圖

下圖說明了 天空衛士 SecGator安全鱷數據安全網關系統V3.0(UCSG) 的物理體系結構，包括各種產品在網絡中所處的位置。網絡 DLP產品位于 DMZ 中，而其他產品位于公司 LAN 或數據中心內。

關鍵技術

為防止數據泄漏，必須準確檢測所有類型的機密數據，不論這些數據是在何處進行存儲、復制或傳輸都應如此。沒有準確的檢測，數據安全系統會生成大量誤報和漏報。誤報會使進一步的調查和解決貌似有問題的事件花費高昂的時間和資源成本。漏報會隱藏安全漏洞，造成數據泄漏、可能的財務損失、法律風險以及對組織聲譽的損壞。

關鍵字

關鍵字檢測能夠匹配任何字詞或短語，包括那些使用任何常見字詞分隔符（例如空格、逗號、短橫線或斜杠）的字詞或短語。用戶可為每個條件的關鍵字匹配進行區分大小寫的配置。也可以單獨為每個條件配置可定義管事件的匹配關鍵字或關鍵短語的數量。

標識符

標識符技術可以準確標識基于模式的敏感數據，例如信用卡號、社會安全號或駕駛執照號碼。數據標識符使用的檢測算法結合了模式匹配和其他準確性檢查和驗證，例如對信用卡號的檢查。與其他僅使用正則表達式識別模式的解決方案不同，數據標識符還包括有關不同數據類型的有敁數字范圍的內置信息。通過此額外信息，客戶可以篩選出測試數據和其他常見誤報，并識別特定于廣泛的行業、國家/地區和區域的數據類型，包括信用卡號、支付卡行業 (PCI) 數據安全標準的磁條數據、銀行標識號碼 (BIN)、國家保險號碼。

文件識別技術

在開始分析內容之前，首要的一個工作就是對文件進行正確的識別和處理，把文件中的文字提取出來進行后續的處理。還能對文字進行自然語義分析和處理，留出其中的關鍵字來進行處理。文件識別的最大難度在于支持文件類型的廣泛性和正確性，而天空衛士DLP以其高性能的處理引擎都能最大化的正確識別并進行分析和處理。

數字指紋技術

數字指紋技術分為結構化指紋技術（EDM）和非結構化指紋技術（IDM）。EDM 用于保護通常為結構化格式的數據，例如客戶或員工的數據庫記錄。IDM 用于保護非結構化數據，例如 Microsoft Word 或 PowerPoint 文檔，或 CAD 繪圖。對于EDM 和 IDM，都是首先由組織標識機密數據，然后由策略管理平臺 對這些數據進行指紋加密以進行持續的精確檢測。指紋加密過程包管理平臺訪問和提取文本和數據，對其進行規范化，然后使用不可逆哈希為其提供保護?？梢詫⒉呗怨芾砥脚_ 配置為定期自動為EDM 或 IDM 文件編制索引，仍而使這些數據配置文件始終保持最新狀態。這種檢測方法的基礎是使用常見特征查找數據，這些特征有關鍵字、正則表達式、已驗證數據類型、文件類型、文件大小、文件名和收件人/收件人/用戶組合等。網絡 DLP 檢測基于實際的敏感內容，而非文件本身。因此，網絡 DLP 不僅可以檢測敏感數據的提取信息或衍生信息，而且還可以識別采用指紋加密信息之外的其他文件格式的敏感數據。例如，如果一份仹Microsoft Word 機密文檔經過指紋紋加密，即使該內容作為 PDF 附件通過電子郵件收送，SecGator安全鱷數據安全網關系統V3.0(UCSG)依然可以可準確檢測到它。

無論是具有結構化格式的數據，如客戶或員工數據庫記錄；還是非結構化格式的數據，如Office或PDF文檔，SkyGuard可對其進行掃描和提取，并可以配置為定期自動更新，保證指紋數據永違和機密數據同步，不管信息泄露者采用何種數據變形手段都無處遁形

? 結構化數據(數據庫)，如客戶信息，數據庫管理員無需分配特殊權限或干預數據庫服務，DLP僅需以只讀權限對數據庫表抓取指紋并錄入指紋數據庫，并可指定安全策略引擎進行整行數據記錄匹配，減少誤攔截。

? 非結構化數據(文件)，如紅頭文件，將文本文件分段后選擇性地計算各片段的哈希值，并將哈希值存入指紋數據庫中供安全策略引擎進行相似度對比，既可以非常精確的辨認出原始文件內容，也能夠識別在一定范圍內修改后的文件內容。

機器學習

機器學習可以對大量的無特定格式文件樣本進行快速學習和分類，分類產生的模（Model）可用來對數據進行分析并計算該數據是否屬于某一個分類。機器學習的優勢在于其生成的模的大小基本恒定，所以很適合處理大量的樣本，另外機器學習技術可以對新的、并未出現在樣本中的數據進行較為準確的預測。

? 基于人工智能的預測機制，通過分類樣本中共同的”特征”進行預測和分析

? 無格式文本文件樣本進行快速的分類

? 適合處理大量的樣本

? 對新的、并未出現在樣本中的數據進行較為準確的預測

靜態對比分析技術

在這種技術中，通常會采用關鍵詞、正則表達式，數據字典或者內容識別器（比如信用卡號識別器可以快速判斷一串數字是否是信用卡號）的方式對被處理數據進行對比分析，在被處理對象中快速的查找出匹配的字符串，從而判斷被處理對象是否違背安全策略，需要進行日志記錄、審計或者進行阻止。天空衛士DLP包含多達1700種預定義的不同行業、不同類型的組合模板。

圖像識別(OCR)

DLP安全策略分析引擎對圖片、打印文件等提取文字并執行安全策略檢查，無論是網絡、郵件、還是存儲通道。進行光學字符識別內容分析，特別適用于網絡傳輸、數據發現以及打印服務器的信息泄露。

? 提取圖片甚至視頻中的文字敏感信息

? 打印文件中的文字敏感信息識別

? 截屏（截圖）等行為進行監控分析

? 對于紅頭文件掃描件、傳真頁、票據，表單等也能解析和識別

? 識別多種語言

工作方式

設置用戶組的檢測規則

天空衛士SecGator安全鱷數據安全網關系統V3.0(UCSG) 提供了幾種方法來將策略應用于特定的一組用戶。對于規模相對較小的組，可使用 DCM 收件人/用戶或收件人檢測規則來確定策略的應用目標。對于較大的組，天空衛士SecGator安全鱷數據安全網關系統V3.0(UCSG) 提供了另外兩種功能強大的選項：“目錄組匹配”和“客戶端用戶組”檢測規則。

目錄組匹配

天空衛士SecGator安全鱷數據安全網關系統V3.0(UCSG) 的目錄組匹配(DGM) 專門用于以員工和用戶組相關屬性為基礎的檢測，這些屬性通常仍公司目錄或人力資源數據庫中提取以進行索引編制。DGM 利用與 EDM 相同的指紋識別技術對結構化數據進行索引編制，因此，本文為了方便，并未將其視為一種單獨的檢測技術。DGM 所用的與組相關的屬性可以包括員工的電子郵件地址、IP 地址、Windows 用戶名、員工的業務單元、部門、經理、職位和在職狀等。其他屬性可以包括員工是否同意對其進行監控，或者員工是否可以訪問機密數據。DGM 還可以對收件人電子郵件地址列表進行索引編制。然后可以基于這些已編制索引的數據建立檢測規則。例如，可建立檢測規則，要求如果要生成管事件， 數據傳輸的收件人必須在客戶服務部門?；蛘?，檢測規則可規定如果電子郵件收件人位于批準的列表中，則不生成管事件。DGM 使用仍目錄中提取的數據，而不是直接訪問目錄。

客戶端用戶組

為確定目標“客戶端”用戶組，天空衛士SecGator安全鱷數據安全網關系統V3.0(UCSG) 提供了“客戶端用戶組”檢測規則?！翱蛻舳擞脩艚M”規則利用客戶端在用戶登彔到 Active Directory (AD) 時獲得的目錄信息，指定要將策略應用到的特定AD 用戶和/或組?！翱蛻舳擞脩艚M”規則是一種指定內容匹配 (DCM) 規則，因此，本文為了方便，并未將其視為一種單獨的檢測技術?！翱蛻舳擞脩艚M”規則的主要用例是對不同用戶（包括共享計算機環境中的用戶）應用不同的策略。例如，呼叫中心的普通員工可能無法將機密文件復制到 USB 中，而其主管卻可以仍同一臺計算機中復制該文件?！翱蛻舳擞脩艚M”規則可以用作檢測規則，也可以用作仍策略中排除特定組的例外?！翱蛻舳擞脩艚M”規則適用SecGator安全鱷數據安全網關系統V3.0(UCSG)，它可與客戶端阻止規則結合使用。而且，即使客戶端計算機未違接到企業網絡中，“客戶端用戶組”規則也可以收揮作用。

定義數據泄露事件的內容

完全數據匹配

確切數據匹配(EDM) 可以保護客戶和員工數據，以及其他一般存儲在數據庫中的結構化數據。例如，客戶可使用EDM 檢測編寫策略，來查找同時出現在一則消息中并與客戶數據庫的記錄相對應的名字、姓氏、SSN、帳號或電話號碼中的任意三項。EDM 技術被設計為可擴展到超大型數據集，在若干客戶部署中，EDM 技術目前保護的客戶記錄在每個部署的單個服務器上就超過 3 億項。

EDM 檢測可以基于給定數據行各列的任何組合進行，即給定記錄的 M 個字段中的N 個字段的組合。它可在“多元組”或指定的數據類型集上觸發。例如，名字和 SSN 字段的組合可接受，但姓氏和 SSN 字段的組合不可接受。EDM 還允許使用更復雜的規則，例如，查找 M 個字段中的 N 個字段，但不包含指定的元組。

索引文檔匹配

索引文檔匹配(IDM) 可確保以文檔形式存儲的非結構化數據的準確檢測，這些文檔形式包括Microsoft Word 和PowerPoint 文件、PDF 文檔、設計方案、源代碼文件、CAD/CAM 圖像、財務報表、并購文檔以及其他敏感或專有信息等。IDM 創建文檔指紋以檢測原文檔、草案或不同版本受保護文檔的提取部分，以及事件內容的確切匹配。天空衛士SecGator安全鱷數據安全網關系統V3.0(UCSG) IDM 還提供了將內容（如標準樣板文件文本）加入白名單的功能，以減少誤報。在單個服務器上，天空衛士已經成功使用 IDM 指紋創建并檢測了超過百萬份的文檔。與EDM 一樣，使用額外的服務器可線性增加擴展容量。

部分文檔匹配

由于 IDM 可注冊文檔中所提取數據和規范化文本的不同部分并進行指紋加密，因此可對衍生文檔（如修訂版和不同版本）和文本段（如粘貼到其他文檔中的受保護內容的片 段）進行可配置的匹配。如果在指紋中檢測到所有哈希段，則同樣的技術也用于文本文檔的確切文檔匹配。IDM 還支持使用所有語言進行檢測，包括使用雙字節字符集的語言。IDM 使用統計采樣方法來存儲經指紋加密的文檔的哈希部分，因此并不是所有文本都存儲在文檔配置文件中。通過此方法，IDM 可擁有很高的準確率，同時還具有高可伸縮性。

IDM 檢測技術的首要功能是能夠對事件內容進行確切匹配。除了為部分文檔匹配創建的內容哈希外，還需要創建事進制內容的 MD5 哈希才能實現此功能。這種形式的檢測可用于任何文件類型，包括那些文本內容無法提取的文件，如媒體文件或專有文件格式。

指定內容匹配

指定內容匹配 (DCM) 的準確度很高，在獲得創建索引所需的信息副本不可能或不實際時，或是在精確內容尚未知曉但很容易指定時最為有用。DCM 可與結構化和非結構化數據一起使用，它使用由用戶輸入到 管理平臺 的數據標識符、關鍵字、詞典、模式匹配、文件類型、文件大小、收件人、收件人、用戶名、客戶端用戶組（用于 SecGator安全鱷數據安全網關系統V3.0(UCSG)）以及網絡協議信息來檢測數據泄漏管事件。

策略生成

管理平臺提供一個集中式的用戶界面，用戶可在這個界面上快速便捷地生成可應用于所有天空衛士 DLP 產品的數據防泄漏策略。每個策略都是檢測規則和響應規則的組合。當違反一個或多個檢測規則時，就會生成一個事件。天空衛士 SecGator安全鱷數據安全網關系統V3.0(UCSG)支持多種檢測規則，這樣用戶就可將多個規則和條件通過邏輯運算符AND、OR 和NOT 組合起來，還可在單個策略中組合使用不同的檢測技術。例外允許將特定數據和發件人/收件人或用戶組加入白名單。這些高度可配置的檢測和例外規則的最終結果具有高準確度和最少誤報。策略內的每個檢測規則都會分配有一個嚴重性級別， 而事件的整體嚴重性由觸發的最高嚴重性規則決定。用戶也可定義檢測規則所針對的郵件組件，例如正文、標題或附件，檢測規則會針對這些組件產生。

客戶可創建自己的策略，也可充分利用天空衛士提供的多個預先建立的策略模板，這些模板涵蓋多個行業和法規，用以幫助客戶快速入門。

當違反數據泄漏策略時，會評估該策略所對應的自動響應規則。響應規則包括收送電子郵件通知（收送至最終用戶和/或其管理員）、設置事件狀態、阻止將文件復制到USB 設備并在屏幕上向員工顯示彈出消息、阻止數據傳輸(SMTP/HTTP/HTTPS/FTP)、修改 SMTP 電子郵件、或者復制或重定位靜態文件。這些自動響應規則提供了多種自動確定傳入事件優先級的方式，以便進行重點補救，并確保提供適當的響應級別。

天空衛士 DLP 如何檢測敏感數據

創建或更新 EDM 或 IDM 指紋和策略后，這些指紋和策略將立即被推送到其他所有相應的 天空衛士 DLP 服務器（網絡 鏡像、網絡發現 等），它們駐留在這些服務器的物理內存中，以便執行快速處理。執行檢測的天空衛士 DLP 服務器隨后掃描傳入郵件或文件、提取破解的內容、對該數據應用 天空衛士 DLP 哈希算法并將應用哈希算法后的數據與服務器 RAM 中包含的可用檢測規則進行比較。這種在所有 天空衛士 DLP 服務器中執行的分布式檢測處理方法是確保整個套件的可伸縮性的關鍵，而對于在管理服務器上進行集中式檢測的其他方法，當在大型組織中部署時，這些方法將會產生嚴重問題。最后，必須注意，在所有檢測技術中，各種服務器產品采用的檢測方式都是相同的。各種服務器產品的區別之處在于天空衛士 DLP產品訪問要掃描數據的方式：

? 網絡鏡像 Server：掃描仍網絡 SPAN 端口或 TAP 接收的數據副本

? 網絡郵件DLP：掃描仍 MTA 接收的電子郵件

? 網絡阻斷 Server：掃描仍 Web 代理接收的HTTP/S 和FTP 流量

? 終端阻斷/Discover Server：掃描仍客戶端接收的文件副本

? 網絡發現/防護 Server：掃描仍數據存儲庫讀取的文件和數據

請注意，端點代理可針對策略中的 DCM 檢測規則執行本地檢測。有關基于代理的檢測的詳細信息，請參閱本文的“端點” 部分。

如果識別出敏感數據并生成了事件，天空衛士服務器可以自動執行某些自動響應，例如阻止/修改數據傳輸或復制/重定位文件。如果代理正在執行本地檢測，將啟用用于阻止 USB/CD/DVD、網絡傳輸、打印/傳真和復制/粘貼的自動響應規則。一旦檢測到事件，相關事件信息將立即被收送到管理平臺，在管理平臺中，事件詳細信息將存儲到管理平臺數據庫中，并且還可以激活其他自動響應規則，如電子郵件通知。

國際支持

天空衛士 DLP 內部使用的是 Unicode，其極建方式旨在提供廣泛的國際支持，支持以仸何語言進行策略創建和檢測、電子郵件通知以及端點屏幕通知，并支持本地化操作系統。天空衛士 已針對 20 多種語言進行了檢測和 OS 支持方面的正式測試和認證，這其中包括大部分西歐和中歐語言、希伯來語和阿拉伯語以及多種亞洲語言（簡體中文和繁體中文、日語和韓語）。天空衛士 DLP 使用戶可以使用仸何檢測技術以仸何受支持的語言極建本地化的檢測規則。天空衛士 DLP 提供了四種本地化版本的管理平臺 管理控制臺（英語、法語、日語和簡體中文）和 25 種本地化版本的端點代理。屏幕通知可以配置為以仸何語言顯示，電子郵件通知也可以包含多種語言。

客戶可創建自己的策略，也可充分利用天空衛士提供的多個預先建立的策略模板，這些模板涵蓋多個行業和法規，用以幫助客戶快速入門。

網絡鏡像的工作方式

網絡鏡像可被動檢查網絡流量，并在敏感信息離開網絡之前對其進行檢測（覆蓋所有網絡協議和內容類型），使企業能提前預知數據泄漏風險。例如，網絡鏡像可以檢測到員工使用 IM 或公共 Web 郵件提供程序向競爭對手發送含有敏感信息的文檔。網絡鏡像位于網絡出口點，它會對網絡數據包副本進行分析，檢查數據是否違反策略。網絡 鏡像模式還可以監控文件加密的使用情況和類型，包括檢測是否未經授權而使用加密以及驗證是否遵循加密策略。

鏡像模式支持的網絡協議有：SMTP、HTTP、FTP 流量、IM 流量。對非標準和專有協議的自定義監控可通過通用TCP 協議定義實現。

網絡阻斷的工作方式

網絡阻斷模式包含敏感數據的數據傳輸進行重定向、隔離或阻止，從而主動阻止敏感數據泄漏。網絡阻斷會檢查數據內容，以確定數據是否違反數據泄漏策略，網絡阻斷模式可以掃描所有出站和入站 Web 傳輸。

網絡阻斷支持的協議有：HTTP、HTTPS 、 FTP、SMTP、IM

部署方式

串聯部署

監控、審計所有網絡請求，深度分析檢查數據內容，監控敏感信息外發，支持FTP/SMTP(s)/IM/HTTP(s)/POP3(s)/IMAP(s)/IM等多種網絡通道及協議，對違規違法行為及時阻斷，提供多組bypass網卡保障用戶網絡出口高可用，并支持多網絡出口。

旁路部署

透明代理模式 – 監控、審計所有網絡請求，深度分析檢查數據內容，監控敏感信息外發，支持FTP/SMTP(s)/IM/HTTP(s)/POP3(s)/IMAP(s)/IM等多種網絡通道及協議，提供多組bypass網卡保障用戶網絡出口高可用，并支持多網絡出口。

MTA部署

SMTP MTA模式 – 通過與UCSG-DLP MTA聯動，實現對所有外發郵件進行分析、審計及阻斷敏感數據外泄。

ICAP部署

? 第三方設備支出ICAP協議，如Squid等

? 第三設備通過ICAP協議將數據請求轉給UCSG-DSG

? UCSG-DSG上的ICAP協議接受所有請求并分析HTTPS、HTTP、FTP

? UCSG-DSG將健康道德敏感信息發送至UCSS做DLP事件記錄