技術原理

UCWI可以作為企業應用數據安全的“外腦”，對應用交付過程的數據進行深度內容檢查，或者我們可以將UCWI視作企業應用內容的安檢平臺。第三方應用通過調用UCWI Webservice API, 可以獲得文件內容安全狀態與違規信息。

UCWI的工作模式如下：

? 用戶端和APP應用之間進行交互，進行文檔的上傳或者下載工作

? APP應用在接收到用戶端上傳文件、下載文件、共享文件的請求后，將文件內容發送給UCWI

? UCWI根據預先定義的策略對內容進行識別處理

? UCWI將文件的密級、命中策略等相關信息返回給應用系統

? 應用系統根據返回的結果做出判斷

? 管理員可以通過UCSS統一管理平臺查看文檔的檢查情況，生成數據內容檢查報告

產品功能

對數據流轉的渠道全面覆蓋

UCWI數據保護的對象和能力不能僅僅局限于某個場景，不僅要針對過往的數據泄露行為進行管控，還需要跟上企業的IT發展步伐，兼顧企業數據流轉的方方面面（ 應用、終端、網絡、云數據、郵件、移動終端）。

對海量數據的內容識別檢測

通過簡單的接口調用，數據中轉平臺將業務數據通過 API 發送給 UCWI，解決了以往人工無法完成的任務：

? 海量數據的脫敏檢查：審查脫敏數據內容是否脫敏合格，防止敏感 / 價值數據流入辦公 / 研發區域。

? 檢查數據異常傳輸，對異常的數據下載進行監控。

? 對中轉數據內容進行識別，幫助管理者掌控數據資源傳輸情況

結合人工智能技術實時保護應用中的數據資產

對用戶業務應用中所有文件調用的數據進行審計與保護。通過大數據與人工智能技術與上下文內容感知技術結合，對用戶內外網區域調用業務應用中的數據進行持續可視化與可信度評估，實時檢測異常文件調用風險，并通過與業務應用的管控策略進行聯動，實時保護用戶業務應用中核心數據資產。

業務系統自動調用RESTful，對數據內容進行深度檢測

在業務系統區部署接口形式的UCWI設備，業務應用自動進行內部調用數據、調用方、接收方、時間等信息，通過RESTful方式發送給UCWI設備的接口，由該設備對該數據進行深度上下文內容和安全風險識別解析。

業務系統根據策略自動執行響應

UCWI設備及時發現數據風險信息和安全狀態，并將檢測結果返回給業務系統。業務系統根據檢測結果、觸發策略等級與類型，結合內部管理流程對該行為進行審計與阻斷保護，同時配合用戶安全策略，進而實現對用戶業務應用安全審計、自動化保護與審批流程工作流。

支持多種內容檢查接口模式

通過接口對接，對業務流程中傳輸的數據進行內容分析，將掃描結果反饋給平臺，UCWI支持通過同步接口，異步接口，外部檢查接口的形式返回檢測結果。

實現對不同系統中文件的細粒度權限管理

UCWI可對文件的使用權限進行細粒度的控制，擁有10余類的權限控制（瀏覽、閱讀、關聯、修改、創建、打印、下載、更改權限、更改所有者、刪除、更改位置、禁止拷貝、禁止截屏、啟用視頻監控、完全控制）。通過UCWI對文件的內容分析結果反饋，自動關聯文件內部對該文檔的訪問權限，實現文檔的自動分類分級管理。

只有具有相應權限的用戶才能進行相應的操作(例如文件的上傳，沒有權限看不到相應的文件)，沒有權限的用戶訪問和使用文件，必須通過用戶權限申請，由資料庫管理員審核，實現了部門內部數據的最小權限管理，有效保護了數據的安全。

統一內容響應策略，同步不同業務系統的策略管控

部署統一的系統管理平臺，對于所有UCWI設備進行統一管理，包括統一的策略定制與推送、對各組件捕捉到的安全事件進行統一事件管理、詳細證據管理，供今后進行管理審計；能夠進行刷選、統計、生成靈活的報表，同時收集所獲得的泄漏事件。

識別多種風險，有效防止內部各種威脅

傳統信息安全關注于“防外不防內”，對于來自內部的數據威脅，或者通過APT潛伏與內部的外部攻擊威脅，防護能力薄弱。針對當前內部威脅極具增長的現狀，UCWI能夠提供更加有效的內部威脅防護，采用了本地加云端實時威脅查殺技術，可以減少最新的病毒、蠕蟲、木馬、惡意軟件、未知威脅等對企業用戶安全的影響。

產品特點

部署方式靈活

區別于傳統網絡信息安全產品的部署模式，UCWI可通過與被監控系統API接口對接的方式進行聯動，因此部署位置和形式更加貼近于系統或平臺本身，更有效的為企業核心資產提供保護。

基于深度內容識別的安全保護

不同于傳統的基于威脅的安全防護理念，UCWI以用戶為對象，通過數據內容的維度，提供更加直觀、有效的數據防護理念，防止企業的指定數據或信息資產以違反安全策略規定的形式通過合法數據外發通道流出企業。

無依賴，不改變操作習慣

不依賴任何業務資源獨立部署，無需改變網絡架構。該項目不涉及對原始數據進行加密解密，不改變用戶日常的使用習慣與業務流程。

審計流程自動執行

對調用的數據進行深度數據監測審計與阻斷，同時配合企業安全策略，進而實現對用戶業務應用安全審計、自動化保護與審批流程工作流。

支持云環境部署

UCWI支持公有云、混合云、私有云部署。

關鍵技術

基于DLP引擎的內容識別

在UCWI中的數據內容識別方面，延用天空衛士DLP深度內容識別技術。天空衛士在2018～2021年連續三年入選“Gartner全球DLP市場指南(Market Guide for Enterprise Data Loss Prevention)” ，是唯一的中國廠商以及亞洲地區唯一代表廠商。

數字指紋技術

無論是具有結構化格式的數據，如客戶或員工數據庫記錄；還是非結構化格式的數據，如Office或PDF文檔，SkyGuard可對其進行掃描和提取，并可以配置為定期自動更新，保證指紋數據永遠和機密數據同步，不管信息泄露者采用何種數據變形手段都無處遁形。

? 結構化數據(數據庫)，如客戶信息，數據庫管理員無需分配特殊權限或干預數據庫服務，DLP僅需以只讀權限對數據庫表抓取指紋并錄入指紋數據庫，并可指定安全策略引擎進行整行數據記錄匹配，減少誤攔截。

? 非結構化數據(文件)，如紅頭文件，將文本文件分段后選擇性地計算各片段的哈希值，并將哈希值存入指紋數據庫中供安全策略引擎進行相似度對比，既可以非常精確的辨認出原始文件內容，也能夠識別在一定范圍內修改后的文件內容。

OCR光學識別

DLP安全策略分析引擎對圖片、打印文件等提取文字并執行安全策略檢查，無論是網絡、郵件、還是存儲通道。進行光學字符識別內容分析，特別適用于網絡傳輸、數據發現以及打印服務器的信息泄露。

? 提取圖片甚至視頻中的文字敏感信息

? 打印文件中的文字敏感信息識別

? 截屏（截圖）等行為進行監控分析

? 對于紅頭文件掃描件、傳真頁、票據，表單等也能解析和識別

? 識別多種語言

機器學習

機器學習可以對大量的無特定格式文件樣本進行快速學習和分類，分類產生的模型（Model）可用來對數據進行分析并計算該數據是否屬于某一個分類。機器學習的優勢在于其生成的模型的大小基本恒定，所以很適合處理大量的樣本，另外機器學習技術可以對新的、并未出現在樣本中的數據進行較為準確的預測。

? 基于人工智能的預測機制，通過分類樣本中共同的”特征”進行預測和分析

? 無格式文本文件樣本進行快速的分類

? 適合處理大量的樣本

? 對新的、并未出現在樣本中的數據進行較為準確的預測

風險識別技術

除支持數據上下文識別，還包括數據風險識別（病毒、木馬、惡意數據行為等）能力。UCWI集成了URL分類查詢功能，并采用了Web信譽評分技術，用于根據指定的敏感度級別來識別風險，以及確定是否允許URL訪問，采用本地加云端實時病毒查殺技術，實時應對最新的病毒、木馬、網絡威脅、未知威脅。

高速檢測技術

能同步或者異步方式返回檢測結果，可掃描高達2GB單個文件的全部內容

多種接口檢測技術

同步接口

客戶端通過 RESTful 接口將內容提交到 UCWI ，等待 UCWI 分析完畢后返回檢查結果。

異步接口

客戶端通過 RESTful 接口將內容提交到 UCWI，無需等待分析結果。事后可以通過事件查詢指 令查詢檢查結果，通過證據文件查詢指令獲取對應的證據文件。

外部檢測接口

對于 S3 類型外部存儲，客戶端將被檢查 URL 提交到 UCWI，UCWI 主動去分析提交的 URL 所對應的數據存儲，并將檢查結果返回給客戶端。

應用場景

通用應用方式

? 統一內容安全管理平臺直接管理

? 業務系統 / 功能模塊 接口對接。將業務流程中傳輸的數據進行內容分析。

? 依據策略，將結果返回業務平臺，平臺可以根據結果進行動作

? UCWI 將出發策略的掃描結果作為事件反饋安全平臺

? 需要時留存必要的證據，作為事后分析參考

云盤的安全防護

企業云盤通過接口的調用，在用戶通過內外網上傳資料時或定期對文件進行掃描，將掃描結果反饋給UCWI，根據UCWI反饋結果允許或阻斷文件，保證文件外發的合規安全。
UCWI旁路部署：由文件云的數據識別模塊調用，對傳輸的內容進行深度檢查。一般情況下，企業云盤都基于不同存管空間的多種共享方式，無論何種方式共享系統都可以通過UCWI完善的安全機制保障文件的安全共享。

網間數據交換

文件云可通過集成UCWI應用數據內容安全平臺的防泄密檢測功能，對系統數據進行防泄密保護。UCWI對已定義的特征文件進行保護，諸如應用程序生成某些類型的文件、包含關鍵字或字典集的文件、已經生成文檔指紋的文件等。

在用戶請求文件交換之后，將待交換文件經由UCWI做內容檢測，確認文件不涉及機密或者無需審核時，系統才將交換文件進行加密、添加驗證信息、打包等處理后傳輸至網間交換區。如果文件涉及機密信息，則根據文件不同的信息敏感等級，進入審批流程，發送給相關審核員及管理員進行二次審核，只有當審核通過后，系統方才處理用戶的交換文件傳輸請求。否則，文件無法進入到交換區。

文件外鏈分享

對于超過數10MB的大文件，往往很難分直接發給外部用戶，文件云可通過外鏈將文件進行分發，輕松實現大文件外放需求。

云郵件安全防護

第三方應用為云郵件，系統通過調用天空衛士WebService Inspector掃描用戶發送郵件中是否有違反公司DLP策略的內容。

業務系統的安全防護

UCWI通過API接口的方式與業務系統進行結合，可最大限度的對進出數據的實時狀態進行監控，并通過結合業務邏輯做出相應判斷與業務系統進行聯動，以最大限度降低上述風險的發生，并可對發生的事件進行記錄并用于以人為對象的快速反查和定位。

? 相關平臺的數據傳輸的內容控制：避免內容與標題不一致，防止數據資產流失

? 審批可監控：檢查審批事件與流轉數據的真實性，避免惡意敏感數據外泄。

? 流轉數據監控：記錄敏感數據通過業務系統通過正常通道流轉，數據使用可追溯。

應用的安全防護

對應用之間流轉的數據進行監控，對非法的內容流轉進行阻攔，防止合法內容的不合規流轉進行監控、審計，例如數據管理員借助數據流轉通道傳輸其他數據內容，或者不按正常流程傳輸合法數據內容的操作。

通過UCWI可對在數據流入或流出的接口處對數據的脫敏狀況進行檢驗，以防止脫敏失敗、人為規避、惡意攻擊導致的敏感數據曝光。

大數據安全域管控

行業云大數據平臺一般包括各種數據的收集應用、數據存儲、數據挖掘分析、數據交換分發等應用以及其他各型各色的各種數據生產者和消費者應用?；谛袠I的大數據平臺作為最基礎的架構提供者，針對其行業特點往往需要將平臺上運行的各種應用歸納入幾個不同的安全域，數據在不同安全域之間的流轉必須通過大數據平臺的基本數據安全策略檢測。天空衛士UCWI則起到了安全域數據流轉策略中央控制臺的作用，當不同安全域的各種應用在將數據流轉到其他安全域的時候，可以Web Services的方式將數據送交給天空衛士UCWI設備來檢查要流轉的數據和場景是否符合大數據平臺的數據安全策略。例如，負責將進行數據發掘后的結果分發給平臺外的第三方消費者的應用將結果分發給外部安全域時，將要分發的數據送給UCWI設備，UCWI設備則可以有效防止一些殘留的敏感信息，例如不良信息、個人隱私信息、或者政務敏感信息等被送到平臺外。

產品案例

在招商銀行、中國銀行均有相似案例提供技術支持。

另外，在建行前期的國產DLP項目中，在數據資源池項目對接中天空衛士已經完成了對接測試且效果出眾。