SkyGuard

www.skyguard.cn
目 录

公司介绍…………………………………………………………………01

SkyGuard UCS 解决方案 …………………………………………03

产品介绍…………………………………………………………………07

SecGator DLP 产品 …………………………………………………08

SecGator ASWG 产品 ……………………………………………17

SecGator ASEG 产品………………………………………………24

SecGator MSG 产品 ………………………………………………30

Gator Cloud 系列产品 ……………………………………………33

CASB 产品………………………………………………………………34

UCWI 产品 ……………………………………………………………36

SecGator DLP 定制化硬件平台…………………………………38

公司各地分支机构 ……………………………………………………40
公司介绍

天空卫士是一家以人工智能技术为核心、以 ITP（内部威胁
防护体系）技术为基础的新安全技术企业，在数据安全、WEB 安全、

邮件安全、移动安全和接入云安全等领域开展深入研究和研发， 2015
成立于 2015 年 1 月
拥有目前国内领先的内部威胁防护技术研发团队，已完成旗舰品

牌“SecGator 安全鳄”系列新数据安全产品的研发与发布，并

在政府、运营商、金融、能源、互联网及其他特殊行业广泛部署
2.0
应用，帮助用户有效应对 APT 攻击、钓鱼信息、内部数据窃取等
信息安全 2.0 技术为核心
威胁，实现企业核心数据资产的智能和实时保护。
 随着移动互联网时代的来临，在全球互联网用户达到 28 亿人、智能手机用户达到 31 亿人的今天，
人类传统的生产和生活都在被高速的信息化，电子世界和真实世界的重合度越来越高。数字世界的基础、

数据交互的内容和速度每年都在高速扩张。面对如此高速发展的数字世界一数据安全至关重要，但其

在技术手段和投入方面毫无疑问是滞后了的。全球每年信息安全事件如：APT 攻击、钓鱼信息、内部

数据窃取等威胁呈几何级的增长及其破坏范围越来越大就说明了现有的信息安全、数据安全技术已经

无法满足现在的数字世界的发展。如果说传统的信息安全技术是基于端口、协议、特征码、处理已知

问题的，那么新一代的信息安全更多的是基于内容、实时分析和未知防御。

从 2008 年 起 欧 美科 技界 就已 经 开始 推出 新一 代的 信息安 全 技术 和产 品，比 如 Symantec、

Cisco、Websense、McAfee、Zscaler、Bluecoat 等公司。对 APT 攻击、钓鱼信息、内部数据窃取

等新的安全威胁采用了统一内容安全技术 UCS （Unified Content Security），在全球的政府、企业

大量部署使用。中国大量的企事业单位也在频繁使用这类的外国产品（世界 500 强排行榜里面的中国

企业几乎都在使用）。UCS 技术目前包括数据（DLP）安全、Web 安全、邮件安全、移动安全和接入

云安全五方面，但遗憾的是这个领域里看不到国产技术的身影。在信息安全技术国产化大潮的今天，

如此核心的信息安全技术需要也必须国产化！天空卫士就是把这样的技术完全国产化的公司！

天空卫士管理团队包括国内大型互联网公司创始人、跨国安全公司在华业务骨干，核心技术团队

来自于美国硅谷和跨国安全公司在华研发中心、大型互联网企业。公司得到了北京市密云区人民政府、

北京经济技术开发区的大力支持。360 企业安全集团、华创资本、国投创业对天空卫士进行了投资。

公司研发中心现位于北京亦庄经济技术开发区。

关于统一内容安全 (UCS) 平台
统一内容安全平台将 Web、数据、邮件和智能移动设备安全技术有效结合到一个统一平台，以提

供全面的内容分析和管理功能。统一内容安全平台将安全 Web 网关所具有的实时网页内容分析和恶意

软件保护技术与数据防泄漏技术及邮件安全、智能手机数据安全解决方案相集成，以帮助企业及其关

键数据对抗各种混合威胁攻击和 APT 攻击；同时，还能简化管理流程、降低总体拥有成本。 UCS 技

术能够在一个策略管理下为拥有众多分支机构，并混合部署了 On Premise（边界解决方案）和 SaaS（安

全即服务）的企业提供不间断地进站威胁和出站风险保护。
 SkyGuard
统一内容安全
(Unified Content Security)
技术解决方案
习近平主席说：“没有网络安全就没有国家安全，没有信息化就没有
现代化！”

移动互联网时代人类的现实世界与信息世界已经交融在一起，高速扩展的信息世界里——信

息安全至关重要！但在信息安全事件频出的今天，信息安全技术毫无疑问滞后于信息世界的

发展！面对无孔不入的内网攻击、APT 攻击、社工钓鱼、内部数据窃取等新安全威胁，传统

的信息安全、数据安全防护早已是千疮百孔，难以为继！因此近年来国外安全厂商纷纷推出

统一内容安全（Unified Content Security） 技术来升级传统的信息安全技术，重新打造信

息防护体系。

为贯彻国家信息安全技术国产化的精神，北京天空卫士网络安全技术有限公司推出了包括全

新数据防泄漏（DLP）产品在内的统一内容安全 UCS 技术，完善了国内信息安全技术领域的

最薄弱环节，必将打破国外厂商在此领域的垄断地位！

天空卫士统一内容安全（UCS）技术将 Web、数据、邮件、终端和智能移动设备安全技术有

效结合到一个统一平台以提供全面的内容分析和管理功能。 统一内容安全（UCS）技术将安

全 Web 网关所具有的实时网页内容分析和恶意软件保护技术与数据防泄漏技术及邮件安全、

终端安全、智能手机数据安全解决方案相集成，以帮助企业及其关键数据对抗各种混合威胁
攻击和 APT 攻击，同时还能做到简化管理、降低总体拥有成本。UCS 技术能够在一个策略管

理下为拥有众多分支机构，并混合部署了 On Premise（边界解决方案）和 SaaS（安全即服务）

的企业提供不间断的进站威胁和出站风险保护。
天空卫士统一内容安全（UCS）技术解决方案包含如下特点：

统一平台高度集成：将 Web、邮件、终端管理或数据安全解决方案集成在单一设备上工作，

简单的通过许可号控制即可获得所有的模块功能。

日志事件集中管理：集中存放 Web、邮件、终端、移动设备等事件详细日志和证据文件，集

中管理所有 UCSG 设备运行状态及日志。

统一集中管理：将 Web、邮件、终端管理或数据泄漏防护技术的管理和报告功能整合到统一

管理界面中，提供了更出色的能见度、控制力和管理功能。无论针对何种解决方案模块（例

如 Web、数据、终端或电子邮件安全）和平台（例如本地或云端），UCSS 控制台使您能够

从一个基于 Web 的中央管理平台设置策略、管理事件、运行报告以及执行管理任务。

手机终端模块 MSG 及对应的天空卫士手机安全容器：为需要访问企业数据的手机终端提供

友善高效的数据安全防护。基于容器的解决方案只管控需要访问企业内部服务器的应用，

而并不影响用户的其他应用，因此最大程度降低用户的抵触情绪，非常适合 BYOD 类的手

机终端。手机终端的安全管控策略集成在 UCSS 控制台中，管理员可以在一个界面中对来

自台式机、移动电脑、手机的数据安全事件一目了然。

SkyGuard DLP 模块：以集中策略为基础，采用深层内容分析，对静态数据，传输中的数据

及使用中的数据进行识别、监控、保护的相关机制。采用最先进的自然语言处理、指纹扫描、

智能学习、图像识别等技术，对网络、终端、存储的数据进行全方位多层次的分析和保护。

SkyGuard ASWG 模块：实时防护 Web 安全、社交网络安全、企业级 DLP 和 Web 电子邮

件安全同时整合到云端和本地，同时实现本地和 SaaS（安全即服务）平台统一管理。

SkyGuard ASEG 模块：混合型的安全解决方案，整合云端 Email 并使用一个可靠的网关设

备来实现邮件出站 DLP。在统一控制台中包含了市场领先的企业级 DLP 电子邮件安全技术，

以及本地和 SaaS（安全即服务）平台统一管理，既提供了最高的性能和弹性，也简化了合规

工作并降低了成本。

SkyGuard CASB 模块：精确识别从企业内网访问各种云应用（SaaS）的流量，并展示该云

应用在不同风险因子里的风险系数。管理员可以通过策略对某一个或者一组云应用进行放

行、监控、或阻断，确保敏感数据不会通过这些云应用外泄出去。

SkyGuardUCSC 以及对应的终端模块：通过位于企业网中的 UCSC 设备或者位于云中的 UCSC

 虚拟机，，对笔记本电脑等移动设备提供随时随地的管理和保护。 即使这些设备被带回员工的

家里，终端安全模块依然可以离线对用户的数据进行保护。

SkyGuard UCWI: 通过 Web Service API 的方式为客户的业务应用提供数据安全保护，客户的业

务应用可以调用简单易用的 UCWI API 接口来查询所处理的数据是否包含敏感内容和对该内容应

该采取的措施。天空卫士 UCWI 将客户的业务逻辑开发人员和数据安全管理有效地区隔开来：业

务开发人员不需要了解企业的数据安全策略，而企业数据安全管理人员则不需要过多地了解业务

流程的细节。
天空卫士 UCS2.0 技术展望

随着 5G 和物联网时代的临近，“云计算的边缘就是手机”，今后绝对的内外网安全技术逻

辑将最终被颠覆。

我们认为 UCS 技术在下面三个方面将有较大的发展：

人（用户）的“非正常”行为探测：

结合已有访问控制设备（例如防火墙）收集的基于 IP 的网络历史日志、应用网关对用户访问

的历史日志、以及现有 UCS 设备对所有用户访问内容的历史记录，通过机器学习逐渐形成对

整个网络、组织、群组、甚至单个用户的“正常行为”的定义， 这样下一代 UCS 技术能够

及时有效地在早期捕获一些“非正常”行为。这将革命性地改变 UCS 探测 APT 威胁的定位：

当前的 UCS 只是作为防御链的最后一个环节来捕获敏感信息被恶意入侵者泄露，下一代的

UCS 则可以在 APT 攻击的早期阶段通过分析用户向外部发送的“非正常”数据来锁定 APT

的潜在威胁。
基于流的 UCS：
当前的 UCS 技术主要是对整个文件或者完整的协议数据进行探测，这无法抵御将数据分成小

块并嵌入到海量的流数据中的恶意偷窃行为。下一代 UCS 技术将会对这种“点滴”式的泄露

行为进行分析和记录，并结合历史记录将泄露过程还原，从而发现这种恶意泄露行为。

与情报分析系统紧密整合： 通过云计算、大数据的挖掘和各种新的围绕人的各种行为的安全

防御技术结合成统一的防护 和管理系统，包括内部威胁分析技术 Insider Threat

Analysis、威胁情报收集技术 Threat Intelligence、先进威胁防护技术 Advanced Threat

Protection，最终通过接入安全云的方 式和专用的云计算系统联动，更主动、更智能化地保

护用户在物联网时代的信息安全。 下一代的 UCS 技术应该更智能地围绕人的各种行为和为之

产生的各种数据来进行分析管理 和保护，人本身将是最重要的环节。未来的信息安全攻防战

中“武器是战争的重要因素，但 不是决定的因素，决定战争胜负的是人不是物”！
产品介绍
背景
互联网世界正以几何倍数增长和扩张，企业在享受网络所带来的便捷和高效的同时，也

遭受着来自互联网的冲击和威胁。目前传统的安全解决方案主要为防火墙、防病毒等被动防
御手段，而作为企业最核心财富的机密数据，绝大部分都是内部员工通过上网、邮件、即时

通信、拷贝、打印等方式泄漏到企业外部，甚至竞争对手，轻则影响企业的名誉和信用，重

则对企业造成严重损失和致命打击。目前只有极少数国外信息安全厂商掌握完整的 DLP 技术，

天空卫士立志填补国内信息安全技术空白，使得中国在数据防泄漏（DLP）领域拥有世界一

流技术，让国内用户用上真正的国产 DLP 产品，数据安全彻底不再依赖国外！

技术简介
天空卫士数据防泄漏产品（SecGator DLP）以集中策略为基础，采用深层内容分析，对

静态数据、传输中的数据及使用中的数据进行识别、监控、保护的相关机制。采用最先进的

自然语言处理、指纹扫描、智能学习、图像识别等技术，对网络、终端、存储的数据进行全

方位多层次的分析和保护，防止企业核心数据以违反安全策略规定的方式流出而泄密。

网络数据：HTTP、HTTPS、FTP、SMTP、IM、自定义协议 终端数据：Email、Web、USB、应用程序、打

印、网络共享等 存储数据：数据库、邮件、文件共享、SharePoint 平台
SecGator DLP 产品
统一内容安全管理平台 Unified Content Security Server (UCSS)
统一内容安全网关 -DLP Unified Content Security Gateway (UCSG-DLP)
统一内容安全终端 -DLP Unified Content Security Client (UCSC-DLP)
统一内容安全混合云 -DLP Unified Content Security Hybrid (Hybrid UCSG)

统一内容安全管理平台
Unified Content Security Server (UCSS)

作为天空卫士统一内容安全管理平台，
其 DLP 管理系统承载着数据防泄漏技术的核心，其功能包括：

策略、规则的统一定义和推送
数据泄漏事件的统一展示和证据存储

数据发现规则的定义和保护

与 AD、LDAP 集成，有效准确的定位至用户、IP、组、OU、计算机名称等相关信息
最先进的技术手段：
• 自然语言处理 -- 高效的自然语言处理技术，提高效率的同时减少误判。

• 复合型指纹 -- 对结构化数据和非结构化数据进行指纹扫描，根据指纹的结果做到相 似度匹配，从而有

效保护企业核心数据资产。

• 智能学习 -- 通过定时智能学习企业的部分样例数据，有效保护核心数据资产而不需 要频繁的策略变

更。

• 图像识别 -- 准确识别图像中的文字信息。

• 邮件审核 -- 让管理层直接介入核心数据审核流程，在保证企业核心资产的同时避免 影响业务系统的工

作。

• 基本技术手段 -- 关键字、正则表达式、字典、文件类型等
预置丰富的数据模板，覆盖常被归类的如身份证、电话号码、银行账户等上千种类型。
丰富的管理角色定义，实现策略管理、报告审计、权限审核等三权分立功能。 可定义数

据防护响应工作流，强大的自动响应及敏感数据的外发邮件审批等功能。UCSS 根据地

区、行业的特点，提供多种预置的策略模板，方便企业安全信息管理人员便捷、快 速的

设定数据防泄漏方案，有效减少管理成本。

可通过手机、平板等移动设备实时监控 UCSS 系统的运行状态、报告等。

 统一内容安全网关 -DLP
Unified Content Security Gateway(UCSG-DSG)

UCSG-DLP 需要注册至 UCSS 统一内容安全管理系统进行交互和管理，采用旁路监控、

网络串行、ICAP、MTA 等部署方式，由分析引擎截获和分析来自多种网络通道的数据，如：

HTTP、HTTPS、FTP、Email、ICAP、IM、自定义协议的数据流量，经过与安全策略的分析

和匹配，对数据流量进行监控和拦截等相应的动作，并将数据泄漏事件和证据发送给 UCSS

统一内容安全管理系统。

统一内容安全终端 -DLP
Unified Content Security Client (UCSC-DLP)
UCSC-DLP 安装在企业用户的终端上，防止企业的核心数据资产以违反安全策略规定的
形式流出企业。UCSC-DLP 对终端上的文件共享、邮件、Web、应用程序等传输的数据进行

监控，在数据进行操作之前对其进行管控，如：打开、另存、复制、打印、拷贝、刻录、在

线传输（如：QQ、邮件）等行为进行管控，并根据安全策略产生相关的动作（如阻止、审计、

提示、加密等），同时生成预警日志和审计日志，使企业能够最大化的加强对关键数据的管控。

UCSC-DLP 需注册至 UCSS 统一内容安全管理系统进行交互和管理，作为数据防泄漏客

户端产品，保护终端用户免遭数据窃取和泄漏 。

UCSC-DLP 主要功能：
终端 Web (HTTP，HTTPS) 终端 邮件 终端 应用程序 终端 网络共享
终端 可移动存储设备 终端 打印 终端 蓝牙等

UCSC-DLP 可对被检测到的数据行为进行：
阻挡 加密 弹窗确认 密码加密 证书加密

统一内容安全混合云 -DLP
Unified Content Security Hybrid (Hybrid UCSG-DSG)
Hybrid UCSG-DSG 主 要 以 虚 拟 化 的 方 式 部 署 在 云 平 台， 可 以 有 效 对 通 过 Hybrid
UCSG-DSG 数据资产进行保护，由安全分析引擎截获和分析来自多种网络通道的数据，如：

HTTP、HTTPS、FTP、Email、自定义协议的数据流量，经过与安全策略的分析和匹配，对

数据流量进行监控和拦截等相应的动作，并通过 UCSS 进行统一安全管理。

Hybrid UCSG-DSG 适合于拥有多个分支机构的企业，又不希望在每个分支机构的网络

出口都部署硬件设备的情况。其部署方式只需要在各分支机构的出口路由器上通过 GRE 的方
式将网络流量送至 Hybrid UCSG-DSG 即可实现数据保护。

只要在云平台有账户就可以简单部署 Hybrid UCSG-DSG 网关，通过 UCSS 即可方便的

对 Hybrid UCSG-DSG 进行集中管理，有效节约企业的设备、维护和管理成本。

SkyGuard
GatorCloud DLP
云 DLP 解决方案
随着互联网技术的发展，移动办公和云应用等技术更多的的被企业所接受，企业越来越

多的将数据资产逐步迁移到云中，数据安全的“边界”也越来越模糊。传统的 DLP 网关一般

部署在企业内网的互联网出口，可以保护企业内部的数据资产，而对上传到云端的数据无能

为力。

这些传输至云中的数据可能导致在云应用中被较大的受众群体分享，或者某些法律法规

规定必须存储在安全等级比较高的企业内网中的数据被上传到安全级别较低的云端。这种情

况已经实质演变成了继 WEB、EMAIL、FTP 等传统数据通道之外的新“通道”，而这些新“通

道”客观上增加了内部数据资产过度扩散和合规性的风险。企业目前对已经同步到云端的企

业数据只能依赖云服务提供商提供的安全机制，无法有效地同企业自身定义的 DLP 数据安全

策略整合。

为 了 为 各 种 云 应 用 通 道 提 供 DLP 防 护， 并 有 效 地 保 护 企 业 存 放 在 云 端 的 数 据，

GatorCloud 云解决方案提供了针对云的数据保护，同时将传统的 DLP 设备有效地整合，

形成了以集中的企业数据安全策略云平台为核心，以具有解析不同数据通道能力的各种

Inspectors 为数据安全执行者（enforcer）的统一内容安全数据防泄露云解决方案。

GatorCloud DLP 云解决方案包括以下的组件：

GatorCloud 统一内容安全管理云平台：
基于云的多租户管理技术，无论何时何地只要能够连接互联网，即可通过电脑、平板、手机

等设备进行配置、监控、策略管理 专用的指纹扫描工具和机器学习工具可以扫描企业本地

的敏感数据来生成相应的数字指纹库 和机器学习模型，可以被应用于 DLP 策略设置 生成的

指纹和机器学习模型无法反向恢复到原始数据，因此没有泄密风险 集中监测和管理企业部署

于不同位置、不同类型的 DLP Inspectors

集中生成和查看由 DLP Inspectors 生成的各种与本企业数据安全有关的报表、事件、日志

GatorCloud DLP Inspectors：
由企业客户自主拥有并部署在云或内部网络中 从统一内容安全管理云平台同步该企业客户的数据

安全策略、指纹信息、机器学习模型 负责分析处理不同通道的数据（WEB、EMAIL、FTP 或各

种云应用等），并根据数据安全策略执 行相应的动作（允许、阻断、删除附件、通知、告警、记

录日志等）

其中的 DLP Webservices Inspector 模块，通过 Web Services 的接口，可以为企业的其他应用

或网络设备提供 DLP 集成的可能。

企业客户完全自主拥有 DLP Inspectors，天空卫士并不会接触用户的实时数据，这样可以最大

程度地满足企业对数据安全的要求。DLP Inspectors 主要有以下几种形态：

UCSG-DSG：以传统硬件形态存放于企业本地的互联网出口，保护企业的内部数据资产

Hybrid UCSG-DSG：部署在云端（企业自主账号）保护通过 Hybrid UCSG 的数据资产

Cloud App Inspectors：支持特定云应用的专用 Inspectors（如：Salesforce、Dropbox 等）， 对云应用的数

据资产进行保护

Cloud API Inspectors：支持特定云应用 API 的专用 Inspectors，部署在本地或云端对企业客 户云应用中的

数据资产进行保护

Integration Inspectors：同防火墙或 WAF 等网关设备集成，对通过网关设备的数据资产进行

保护

Webservice Inspectors：支持对第三方应用或者设备提供 DLP 技术集成，即按照预定的协议 将相关数据发

送至 Webservice Inspector 进行数据资产保护

终端 Inspectors：终端（电脑、手机、平板等）安装 Agent 并通过终端 Inspectors 集中管理， 只要终端可以

连接互联网即可实现策略、事件、日志的同步
SecGator DLP 部署方式
天空卫士数据防泄漏安全方案可以采用旁路监控、网络串行、MTA、ICAP、Hybrid 等灵
活的部署方式：

UCSG-DSG 串行部署
－ UCSG-DSG 串接在企业网络出口，支持 Bypass 网卡

－监控所有的网络请求 (HTTP(s)、FTP、IM、POP3(s)、SMTP(s)、IMAP(s)、自定义协议 )

－ UCSG-DSG 将监控到的敏感信息发送至 UCSS 做 DLP 事件记录

UCSG-DSG 旁路监听
－ 交换机上做 Mirror/SPAN port，UCSG-DSG 的网卡连接镜像口

－ 监控所有的网络请求（HTTP, FTP, IM, SMTP, 自定义协议）

－ UCSG-DSG 将监控到的敏感数据发送至 UCSS 做 DLP 事件记录

UCSG-DSG SMTP MTA 部署
－ 用户发送邮件至邮件服务器

－ 邮件服务器设定所有外发邮件投递给 UCSG-DSG

- UCSG-DSG 上的 SMTP MTA 服务接受所有邮件并进行 DLP 分析

－ UCSG-DSG 将监控到的敏感信息发送至 UCSS 做 DLP 事件记录

UCSG-DSG ICAP 部署
－ 第三方设备支持 ICAP 协议，如 Squid 等

－ 第三方设备通过 ICAP 协议将数据请求转给 UCSG-DSG

- UCSG-DSG 上的 ICAP 服务接受所有请求并分析（HTTP(s),FTP）

－ UCSG-DSG 将监控到的敏感信息发送至 UCSS 做 DLP 事件记录

Hybrid UCSG-DSG 部署
- 通过路由器 GRE 方式将流量指向 Hybrid UCSG-DSG

－ 监控所有的网络请求 (HTTP(s)、FTP、IM、POP3(s)、SMTP(s)、IMAP(s)、自定义
协议 )

- Hybrid UCSG-DSG 将监控到的敏感信息发送至 UCSS 做 DLP 事件记录

天空卫士 DLP 混合云解决方案继承了天空卫士安全鳄产品业界领先的

数据防泄漏技术，为您的企业提供了更便捷的部署方式，符合您企业
对于混合云解决方案的需求。

通过使用天空卫士 DLP 混合云解决方案，您既可以在总部使用安全鳄

的本地产品提供高性能的数据防泄漏保护，同时利用公有云平台为您
远程分支机构或移动用户提供同等级别的数据安全保护，整个公司可
以实现统一策略管理和统一报告管理。

天空卫士 DLP 是目前全球部署最简单的 DLP 系统，系统 DLP 效能比

国外同类型产品提高一倍以上，极大的降低了用户的部署成本！
SkyGuard
在当今竞争激烈和快速变化的互联网＋环境中，
移动互联网技术推动企业的业务和创新，但也会使企
业面佃高级威胁和数据窃取风险，云时代的工作方式
导致安全性复杂化并增加风险，越来越多的公司业务
发生在企业传统网络边界之外。 天空卫士作为内容安
全领域的领导者，在深层次内容解析的基砫上，不断
增强对 W 的威胁的防护能力，致力于提供不间断的威
胁检测和攻击防御，凭借准确和实时的数据分析，提
供高效而及的的安全措施，能够检测、预防并清除 W
的威胁和其他攻击行为。
安全鍔 Web 安全及内容安全技术可以确切知
道 “ 谁“ 在“ 什么时间” 在“ 哪里“ 做了 “ 什么事情＂ ， 以及
是否有安全风险。 跨时间、 跨空间、 跨各种计算
平台有效防范 APT 攻击。
安全鳄 ASWG (UCSG—ASWG) 基于大数据和
机器学习的动态分奀技术，提供了可扩展的、快速的
URL 分奀查询功能，包含了本地基本分类、 本地高速缓
存分类、云端实时分类杳询技术，同时采用了 Web 信誉
评分技术，用千根据指定的敏感度级别来识别风险，以
及确定是否允许 URL 访问，ASWG 集成的 QVE、 QVM、
AVE 等高级安全因容扫描引擎，采用了木地加云端实时
查杀技术，让您实时应对最新的病毒、木马、网络威胁、
未知威胁等，在威胁到达您的网络之前进行拦截，全方
位持续的保护您的网络安全。
UCSG—ASWG 需要注册至 UCSS 统 内容安全
管理系统进行交互和管埋可以使用显式代理、透阴
代理、旁路等部署方式，同时舆成了 Web 通道数据
防泄漏(DLP)功能，也可使用 ICAP、 MTA 等部署
方式实现对 Web、Em 创的数据防泄漏(DLP) 检测。
UCSG—ASWG 由代理分析引擎截获和分析来自多种
通道的数据，如 HTTP、 HTTPS, FTP、 SMTP(s),
POP3(s)、IMAP(s)、IM、自定义协议等通道的网络流
星，经过与 ASWG 分奀策略、安全策略、 DLP 敏感
内容策略的分析和匹配，执行对用户访间请求进行监
控、拦截、告警、时间限额、带宽管理等相应的动作，
并将用户网络访问日志、数据泄漏事件和证据发送给
UCSS 统—内容安全管理系统
skyGuard

产品特
色
静态分类库：近亿个URL; 包括常规URL分类＋安全相关URL分类（钓鱼网站、
威胁等），持续定期更新。
初始库：综合网站排行榜和企业内用户访问日志， 生成针对企业特定的初始库， 使得用
户大部分的URL查询得以在设备端高速缓存完成， 采用的URL商速缓存技术可以降低
Web安全网关的资源使用并提高性能。
基千云端的查询服务：云喘基千ElasticSearch集群， 提供可扩展的、快速的URL
分奀查询服务。
基千大数据和机器学习的动态分类技术：
．有近亿个已分类的URL样本作为学习和验证的依据，
· 采用美国斯坦福深度学习之自然语言处理的GloVe模型， 使每
URL 分类和 个单词对应的向量具备语法语义特征，

网页实时分类 ．使用LSTM (长短记忆单元）循环神经网络模型来培训， 分奀

技术 具有序列性和上下文关系， 非常高的准确性，
· 基千Hadoop、Sp ark大数据存储、计舞平台和丁ensorFlow深
度学习平台， 使得机器学习得以快速地完成。
人工干预：URL分奀反馈系统提供人工干预并能实时入库和应用千后续的机器学习
训练。

灵活的策略和完备的风险类别库进行URL过滤， 其中安全风险类别包括了恶意
网站、钓鱼网站、僵尸网络等在内的十几个子类，
采用了Web信誉分值技术， 用于根据指定的敏感度级别来识别是否允许URL访
问，

强大的 Web 集成了QVE、QVM、AVE 等高级安全内容扫描引擎， 采用了本地加云端实时查

杀技术， 让您实时应对最新的病毒 ＼ 木马 ＼ 网络威胁、未知威胁，
安全分析技术 可以提高员工的安全风险意识、增强公司业务的流程， 意昧着保护您的组织免
受最新的 Web 安全威胁。

控制使用客户端的互联网应用，
控制在浏览器中使用Web2.0技术的应用，
灵活的控制策略， 例如针对多种们应用， 可以允许使用其中 —种而阻止其他，
强大的应用
对超过上百种Internet应用程序提供管理控制功能， 包括使用客户端和基于
识别控制功能 Web2.0 技术的应用程序。

04
 安全鳄 ASWG

限制来源、目标的带宽
强大的 限制应用程序的带宽
带宽管理功能 限制流媒体的需宽
保障应用程序、来源的合规使用带宽
安全鍔ASWG提供内容缓存和带宽优化， 以确保您的关键应用或关键业务分配适
当的保障带宽， 以达到优化整体性能、提高效率、降低帝宽使用的目标。

安全鍔ASWG无缝集成业界领先的数据防泄漏模块， 可以优化并保护网络上
任何用户的Web应用和网络上传输的数据内容安全， 防止整个数据链中的入站和
出站的高级威胁和数据窃取， 在内部和移动用户的统 —斛决方案中嵌入企业级数据
丢失防护。ASWG集成的企业级数据防泄漏引擎采用深层内容分析技术， 对Web
无缝集成 DLP
通道中传输中的数据进行识别、监控、保护的相关机制， 采用最先进的自然语言
数据防泄漏 处理、指纹扫描＼ 智能学习、图像识别等技术， 对Web通迶的数据进行全方位多
层次的分析和保护，防止企业核心数据以违反安全策略规定的方式流出而泄密， 同
时还提供了 SMTP、POP3、IMAP 以及这三种协议的 Start TLS 加密数据支持。

安全鍔ASWG与DLP使用UCSS 统 — 内容安全管理平台， 这使得安全鍔产品

强大的 能够协同工作， 随地保护Web安全和数据安全， 无论是本地部署、混合云部署还
协同工作能力 是私有云的部署， 在防止 Web 安全和内容安全数据丢失方面做到无缝协作。

许多安全网络网关产品迫使您在安全和应用之间进行性能权衡， 而基千相同

强大的性能 的架构和硬件茎础的安全鍔ASWG安全网关采用了优秀的多线程代理处理技术，
和可靠性 充分发挥系统性能， 提供了无与伦比的性能和可靠性。安全鍔ASWG解决方案提
供了冗余热插拔电源和硬盘、冗余风扇结构、Bypass网卡， 配合健康检查、实时
监控、HA 高可用以最大限度地提高系统稳定性和可靠性。

安全鍔ASWG安全网关可以解析加密的SSL 数据， 所以ASWG网关可以消

除SSL盲点， 让通过SSL加密方式传输的软件如钓鱼、、平 枭 恶意软件、病毒、
木马、未知威办等内容无所隐城， 以防御通这种通过加密方式针对网络的攻击
加密流量可视化 行为。

安全鳄ASWG 高速缓存技术让企业大唱度降低网络成本、提高效率，为您
提
供更好的业务协作 、更快的决策、更高的敏捷性，同时通过带 宽管理降低成本，
提
强大的
高用户生产力和竞争力、 降低风险。
高速缓存技术
skyGuard

硬件规格
I

SecGator UCSG-ASWG 1100 I

Intel Xeon E3 CPU, 16GB ECC 内存

2X 1TB SATA 7200rpm 3.5 寸磁盘 ， 冗余数据存储
2 个千兆网口+2 口 Bypass 网口
适合于小型企业使用场泉

SecGator UCSG-ASWG 5100 I

2*1ntel Xeon E5 CPU, 32GB ECC 内存

2*600G SAS 2.5 寸 10,000rpm 磁盘 ， 冗余数据存储
4 个千兆网口四+4 口千兆 Bypass 网口
冗余电源
适合千中型企业使用场泉

I I
SecGator UCSG-ASWG 11000

2*1ntel Xeon E5 CPU, 64GB ECC 内存

2*600G SAS 2.5 寸 10,000rpm 磁盘 ， 冗余数据存储
4 个千兆网口+4 口千兆 Bypass 网口
冗余电源
适合于大型企业使用场景

SecGator UCSG-ASWG 51000I

万兆级设备

4*1ntel Xeon E7 CPU, 128GB ECC 内存

2*600G SAS 2.5 寸 10,000rpm 磁盘 ， 冗余数据存储
千兆管理口网荨万兆 Bypass 网口（根据实际情况选配）
适合千超大型企业使用场景
ASWG 显示代理模式
．通过指定代理地址、PAC、WPAD 方式配置代理
．代理所有网络请求(H 丁丁P(s)、F 丁巨App Over H 丁丁尸流媒体、IM 等）
．功能包含用户身份认证，管理用户上网行为(URL 分类、应用识别、带宽管理等），防止病毒、
木马、恶意脚本、未知威胁等Web 攻击行为，同时集成数据防泄漏深层次内容分析能力

ASWG 透明代理模式
．通过 PBR 或 WCCP 方式配詈，将指定来源、目标、端口或协议的数据转给 ASWG 代理设备，对终

端用户透阴

．支持的协议类型(H 丁 TP(s)、FTP、App Over H 丁 TP、流媒体、IM、SMTP(s)、POP3(s)、 IMAP(s)、

自定义协议等）

．功能包含用户身份认证，管理用户上网行为(URL 分奀、应用识别、带宽管理等），防止病毒、木

马、恶意脚本、未知威胁等 Web 攻击行为，同时集成数据防泄漏深层次内容分析能力

 ASWG( 增强型 Web 安全网关）
与 NGFW (下一代防火墙）的主要区别

据统计，全球 500 强企业几乎都在同时使用防火墙产品和 Web 安全网关保护网络边界， 大部分

下一代防火墙无法防御 Web 攻击， 也无法对用户主动向外发起的业务流进行防护。只有极少的下一

代防火墙能够检查到到简单的 Web 攻击， 但均无法看到业务的漏洞。 攻击和渥洞无法关联就很难确

定攻击的真实性。 高级 Web 安全网关(ASWG)能够真正有效的监控和保护用户对互联网的使用， 避免

恶意网站访间和恶窟内容感染。

NGFW本质上依然是防火墙， 在高性能的基础
NGFW对千安全的分析是基千数据流的检测方
上实现安全， 现在NGFW的性能数据往往会给用户
法， 但是基千数据流的技术为了保证性能不会中断
误导 —般指的是防火墙的性能， 当开启了安全威
数据传翰， 当出现扫描慢或是大数据的情况时很大
协保护功能以后性能会出现几何级下降， 实际上是
程度上会出现安全扫描失败的情况。
开启了安全捡测以后性能会下降70—90%, 反而会
ASWG的代理模式是基千数据S ession的技术
影晌用户的使用成本。
会接收完整的数据， 然后使用完整的数据进行安全
下百截图是来自 于 Symantec官网的技术视
分析和OLP深层次内容分析， 完整度和准确性非常
频介绍， 在开启了Web流量安全检测以后会降低
高
NGFW 约 70 —90%的性能
 ASWG 集成企业级数据防泄漏引擎采用深层内
容分析技术， 采用最先进的自然语言处理、指
纹扫描、智能学习、 图像识别等技术， 对 Web
通道的数据进行全方位多层次的分析和保护，
防止企业核心数据以违反安全策略规定的方式
流出而泄密，
而 NGPN 只能对简单的内容进行识别判断， 如
对通过图片的进行敏感内容泄密的方式就无能
为力。

ASWG 高速缓存技术让企业大幅度降低网络成本、提高效率，NGFW 不提供 Web 缓存功能。

dvanc
ASWG支持AD、LD AP、本地、Radius、
Windows集成等多种认证方式， 可以茎于IP或是
Cookie进行认证， 完美解决通过NA丁或多用户使
用同 —个服务器认证上网的用户识别， 同时可以设
ASWG 专注丁 Web 安全的防护能力， 其中—部分就 詈灵活的认证策略， 让不同的来源使用不同的认证
包含了对 URL 分类的精细化颗粒度控制， 如对千社 服务器，
交奀的网站来讲已经无法通过单—的主机名或域来来 — 些领先的NGFW厂商使用 — 种称为用户识
进行分奀， 而是要对同—主机名下的不同 URL1 故到 别用户在其中 —个IP地址和通信地址是从假定来
更精细的颗粒度控制。 自用户关联。这种技术对多用户环境无效， 容易受
只有部分 NGFW 集成了 URL 过滤功能， 而 NGFW 主 到 IP 劫持等基
要能力依然是防火墙和对应用的识别， 对千 URL 类
别的控制颗粒度较粗。
以下内容引用自 Symantec 官网相关技术文档
ASWG支持AD、LD AP、本地、Radius、
(top10— deploy— proxys g— with— ngfw— technology—
Windows集成等多种认证方式， 可以茎于IP或是
en.pdf) , 根据该文档提供的数据， — 共测试了 200 多个有
恶意 URL, 让这些 URL 通过 BlueCoatP「oxySG 和业界领先的 Cookie进行认证， 完美解决通过NA丁或多用户使
NGFW, 结果 BlueCoat 本技术的影
用同 —个服务器认证上网的用户识别， 同时可以设
ProxySG 可以阻断所有恶意 URL, 而业界最领先的 NGFW 的 响。
詈灵活的认证策略， 让不同的来源使用不同的认证
测试有很多问题， 对最新的恶意网站的识别上功能很弱， 服务器，
大三新出现的恶意网站被放过， 测试结果如下 — 些领先的NGFW厂商使用 — 种称为用户识
． 只有 28% (6 0 个 URL) 被正确识别为恶意
别用户在其中 —个IP地址和通信地址是从假定来
URL, 其它的都被放过，
自用户关联。这种技术对多用户环境无效， 容易受
．有 2% (6 个 URL)被识别为成人、钓鱼、Web 广告、
到 IP 劫持等基本技术的影响。
网站托管分类，
．有 70% (151 个 URL) 都被识别为未知分类而被放过。

ASEG 增强型安
全邮
件网
关
互联网电子邮件的频繁
 使用使得企业邮件成为黑客攻击的首要目标，随着邮件安
全解决方案的广泛应用迫使攻击者寻求更复杂、更隐蔽的方式进行渗透攻击。虽然传
统的邮件安全网关技术可以达到防护垃圾邮件、病毒邮件的能力，但是对于鱼叉式钓
鱼攻击、恶意链接攻击、高级恶意威胁、敏感数据泄漏以及其它复杂的邮件攻击手段
无能为力。企业必须使用基于最新防护技术（如机器学习、深度内容检测、以及用户
行为分析）的多层防护手段来增强传统的电子邮件安全技术，以保护企业电子邮件安
全。

ASEG 作为 SecGator 产品系列解决方案的一部分，由 UCSS 统一内容安全平台集

中管理，在防护高级恶意威胁、深层次内容解析、用户行为分析等技术的基础上，不
断增强对邮件高级威胁防护能力。ASEG 致力于提供不间断的威胁检测和攻击防御，
凭借准确和实时的数据分析，提供高效而及时的安全措施，能够检测、预防并清除针
对企业邮件的威胁和其它攻击行为。ASEG 的邮件安全技术可以确切知道“谁”在“什么
时间”
发送给“谁”
做了“什么事情”
，以及邮件内容是否有安全风险。ASEG 可以做到跨时间、
跨空间、跨各种计算平台有效防范 APT 攻击。

ASEG 以高性能邮件转发功能为基础，通过 MTA 的部署方式对企业入站、出站、

内部的邮件进行全方位的安全防护，提供反垃圾邮件、反恶意邮件（病毒、木马、恶
意脚本等）、邮件恶链防护、邮件代理认证、邮件归档、邮件反查审计、邮件审核流、
综合数据防泄漏深层次内容分析等功能，有效防止敏感数据丢失或滥用，防止恶意邮
件、恶链邮件、钓鱼邮件等隐蔽的电子邮件威胁。
ASEG 主要功能点

邮件攻击防护 垃圾邮件防护 高级威胁检测 恶链检测

邮件信誉检测 邮件代理认证 邮件归档及反查 集成数据防泄漏

邮件审批流及审批平台 个人邮件管理（PEM） 集成内部威胁防护体系

灵活的策略控制 发送代理认证

ASEG 增强型安全邮件网关
 产品特色

统一内容安全管理平台
ASEG 注册至 UCSS 统一内容安全管理平台进行交互和管理，通过 MTA 方式部署在企业邮件服

务器与互联网之间，同时集成了 Email 通道数据防泄漏（DLP）功能，通过 UCSS 集中管理 Email、

DLP、Web、Mobile 等 SecGator 系列的所有产品组件提高企业使用效率、简化管理流程、降低总体

成本 。

邮件攻击防护
ASEG 使用了多层防护技术，有效地检测、阻止、隔离已知或可疑电子邮件威胁：
通过 SPF、DKIM、DMARC、RDNS、RMX、问候延迟、灰名单、代理认证等技术对发送方进行身

份验证，有效防止非法身份的邮件攻击。

通过连接控制、目录攻击控制、RBL、IP 信誉以及智能 Domain 信誉等技术有效防止已知或可疑的

恶意邮件攻击

垃圾邮件防护
通过垃圾指纹特征、高级启发式分析、模糊哈希、域名黑名单、发件人信誉、URL 信誉、云端实时检测、
用户定义垃圾规则等技术相结合，对入向、出向邮件进行垃圾内容的检测，从而有效抵御对业务电子

邮件的入侵，将高达 99% 的垃圾电子邮件阻挡在您的网络大门外，提高员工生产力。

高级威胁检测
集成了 QVE、QVM、AVE、Avira 等高级安全内容扫描引擎，采用了本地加云端实时威胁查杀技术，
让企业实时防御最新的病毒、蠕虫、木马、恶意软件、未知威胁等恶意邮件，可以提高员工的安全风

险意识、增强公司业务的流程，意味着保护您的组织免受最新的 Email 安全威胁。

恶链检测
检测电子邮件中嵌入的 URL 是否有恶意风险
通过本地与云端实时 URL 查询技术，保护用户远离恶链威胁 实时查询邮件里嵌入

的 URL 分类，可以针对 URL 类别进行保护。

实时查询邮件里嵌入的 URL 安全分类，比如恶意网站、钓鱼、木马等有恶意风险的 URL，防范已知和

新兴的恶链威胁。

通过 URL 信誉技术来防护恶意链接攻击，集成的高级网络钓鱼检测模块可检测出与已知网络钓鱼攻击

类似的网络钓鱼恶意链接，实时对 URL 的恶意意图进行深度检测，如经过多次传递以后的恶意 URL

进行识别。

对包含的恶意 URL 的邮件提供 URL 替换、删除、隔离等多种功能

邮件信誉服务
ASEG 邮件信誉功能是基于云的全方位实时 URL 信誉、发件人 IP 信誉服务，通过检测发件人 IP 信誉和邮
件内容里嵌入的 URL 信誉对有威胁的电子邮件在网关上进行阻止，保护企业客户免受已知威胁、垃圾邮件

以及基于邮件的新兴可疑威胁，有效防范企业数据破坏和窃取。云端的实时信誉技术将垃圾邮件发送模式

和 IP 行为等因素相结合，以确定可疑邮件是恶意邮件的可能性。这项技术的优势主要包括天空卫士云服务

的各种传感器的智能分析，同时结合天空卫士安全实验室提供的分析结果，而且还结合对 Web 威胁、电子

邮件威胁和网络威胁等技术的交叉引用和关联。
邮件归档及反查
ASEG 归档功能采用分布式存储技术，完整的保存邮件资产，可选择性对邮件内容分类归档，以达到符合
企业整体或个别的相关管理策略，并能对归档邮件进行邮件检索及查阅等工作，防止因邮件服务器异常而

引起的数据丢失。同时可以将归档后的邮件选择部分或所有通过 DLP 引擎再次进行深度内容反查，以发

现归档的邮件正文、附件、多层嵌套文件、图片等是否有人发送过违反公司规定的敏感内容。

邮件审批流及审批平台
ASEG 提供的邮件审核工作流、审批平台、多级审批功能，为企业核心资产的保护提供流程上的安全保障。
邮件审批流：通过邮件审核工作流可以让管理层直接介入核心邮件数据审核流程，在保证企业核心资产的

同时避免影响业务系统的工作。 审批平台：企业各部门主管可以登录审批平台查看自己待审批、已审批队
列及审批历史。 多级审批：根据邮件内容的敏感程度来定义是否启用多级审批，达到敏感内容等级与审批

等级的完美结合。
个人邮件管理 PEM
个人邮件管理 PEM（Personal Email Manager）已包含在 ASEG 解决方案中，通过该解决方案可以对
个人的电子邮件隔离区进行集中管理，让企业终端用户介入邮件处理流程，避免因邮件误拦引起业务中断。

PEM 可以定时发送隔离通知，企业用户还可以使用自己的邮件地址、密码可以登录 PEM 平台对授权的隔 离内

容进行查看、投递、定义个人黑 / 白名单、标记误判垃圾邮件、委派管理人等相关功能。

灵活的策略控制
ASEG 策略控制可以确切知道“谁”在“什么时间”发送给“谁”做了“什么事情”，执行什么样的动作控制。
邮件全方位定义：可分别对入向、出向、内部、开放转发或指定收 / 发件人的邮件进行策略控制 自定义检测内

容：可灵活定义反垃圾、反病毒、恶意 URL、自定义内容等过滤规则， 自定义内容过滤：根据邮件的发件人

IP、邮件头、邮件主题、邮件正文、收件人、抄送、密送、邮件 大小以及邮件附件等创建自己的内容过滤规

则。 策略动作：对命中策略的邮件可以执行放行、阻止、内容加密、第三方加密、删除附件、通知、密送、 更

改邮件头、延迟投递、指定路由投递等相关动作。

无缝集成 DLP 数据防泄漏

ASEG 无缝集成业界领先的数据防泄漏模块，可以优化并保护整个数据链中的入站、出站、内部邮件的高
级威胁和数据窃取，ASEG 集成的企业级数据防泄漏引擎采用深层内容分析技术，对 Email 通道中传输中的

数据进行识别、监控、隔离的相关机制，预置了超过 300 种数据模板、识别 500 多种文件类型，采用最先

进的自然语言处理、指纹扫描、智能学习、图像识别、数据聚类等技术，对企业的邮件内容和附件进行全方

位多层次的分析和保护，防止企业核心数据通过邮件方式以违反安全策略规定的方式流出而泄密，也可以根

据用户指定的标准在敏感邮件离开企业环境之前进行加密、审批、多级审批等多层防护机制。
SkyGuard
Mobile Security Gateway
MSG 移动安全网关

在移动互联网日益发展的新形势下，个人智能移动设备越来越多的开始被企业和组织用于承

载关键业务和核心应用，企业和组织需要一个高安全性、高可用性的移动安全解决方案，用于完

善企业和组织的应用程序安全以及企业数据安全。

天空卫士移动安全产品解决方案以虚拟安全域技术为核心，从移动设备监控 、企业移动应用

管理、移动设备中的企业数据存储安全、移动设备网络传输安全四个角度出发，采用终端安全域

作为应用载体，基于统一的企业数据安全策略平台，实现对企业移动安全的覆盖。同时，结合天

空卫士其他的数据安全产品，为企业移动应用运行和控制提供统一的数据安全管理环境，实现数

据安全有效落地。

产品特点
实现企业移动应用与个人移动应用完全隔离，其中包括数据隔离。
企业移动应用程序的数据受到严格控制，包括下载、上传、复制、粘贴、截屏，以及数据存储

加密实现移动终端数据的防泄密。 企业移动应用程序通过专门的加密通道访问企业内部服务

器。企业移动应用程序的数据采用安 全方式加密，非法获得数据也不会导致数据泄漏。 集成

内容分析引擎，支持针对移动设备上安全域中的企业应用数据发现任务，保证移动设备的 数

据存储符合企业的安全性合规要求。 员工个人移动应用程序以及使用习惯完全无需进行更改与

调整。
部署方式
用户设备通过客户端注册到移动安全网关，并通过移动安全网关下载企业应用、获取策略配置、上传相关信息。
客户端根据管理员设置的策略实现对企业应用和企业数据的管控。

移动安全网关将 Mobile 流量转发至 Web 安全网关进行内容检测，并可以按照管理员安全配置通过 Web 安全网关将流

量转发至内网资源。

管理员通过 UCSS 统一管理平台将配置和策略下发至移动安全网关并查看相关的信息。

技术功能
统一数据安全平台管理 多维度全方位的保护机制（应用防护、数据保护、设备安全、网络安全）

统一策略管理 统一 基于设备信任的条件访问

的企业应用商店 针对用户来设置合规策略

统一的用户体验（跨设备、跨平台） 应用级 VPN 保证通讯安全

统一的身份管理 灵活集成 Web 数据防泄漏

集中管理

数据安全 合规性 可见性 行为分析

1. 集中化的视图展示企业内部使用
1. 结合应用、用户、时间、地点等 1. 帮助企业的移动应用满足合规性 1. 监控企业应用数据和网络流
的移动应用和客户端设备
多维度 要求 2. 结合大数据平台和智能学习提供 行为分
2. 展示移动应用信息和客户端信息 析
2. 提供 DLP、加密存储、流量分 2. 对企业内部移动应用的数据提供
3. 对用户操作进行检测、阻断和记
析 等数据安全保护，防止数据泄 内容监控和审计日志
录
露

典型应用
终端存储敏感数据发现
终端发现 在一些企业应用中，会出现企业的机密数据，在一些对安全严格要求的企业中，是不允许这些数据存放在移

动终端中， 因此，需要对在企业应用中存储的内容进行安全扫描，检查存放在终端的数据中是否包含敏感信息。
移动应用管理
企业私有应用市场

随着移动互联网的普及，在企业内部应用系统中移动的 APP 数量越来越多，因此，企业需要有一套管理系统对这些应

用进行管理。建立一个企业级的应用市场，用户可以根据自身需求或者企业要求在企业级应用市场中对企业应用进行下

载、管理、升级等工作。

移动终端可视化管理

在 BYOD 的模式下，当用户的终端上安装了企业应用 APP 后，从 IT 管理的角度，应当对这些终端进行可视化管理，包

括设备的操作系统、硬件信息、当前状态等，从统一的视图上可以集中对这些设备状态进行集中展现，当发现有异常状

态的移动终端时可以进行快速处理。

移动终端远程管理 对于安装了企业应用的移动终端，在丢失后终端上还可能存在有大量的企业机密信息，这样可能造成

企业的机密信息泄 露，因此，需要在统一管理平台上对丢失的终端进行机密信息的擦除动作，保护企业机密信息不被泄

露。

移动终端数据安全管理
企业应用数据被拷贝后通过终端其他应用发送 当企业内部应用在终端被打开后，用户可能通过复制、粘贴、拷贝、截

屏等动作将企业内部应用中包含的机密信息通过 其他应用向外发送，造成企业机密信息的外泄。

机密信息加密本地存储 在移动终端的使用过程中，一些应用允许本地存储数据或者一些和应用相关的信息。这些信息会

存放在移动终端的本地 存储，甚至是存储卡等外置存储中。当终端被连接到电脑、存储卡拔出后，这些数据可能被拷贝到

外部造成数据泄露。 移动终端管理和云端备份保护

各种移动终端通常都带有电脑端管理系统，比如苹果的 iTunes，华为 HiSuite，另外还有云端的备份比如苹果 iCloud，

这些系统可以轻易的将移动终端内存放的内容拷贝到外部电脑或者云端存储，造成企业的机密信息泄露。 恶意应用窃取数

据 在保护机制较弱或者漏洞较多的移动端操作系统上，一些恶意的应用程序在获取到相应权限后，恶意读取本机存储内

容， 并外传到外部网络服务器上，造成企业的敏感数据泄露。

企业应用数据传输安全

终端侧传输安全 企业应用在设计时没有考虑数据传输加密，并且在接入各种潜在窃取用户信息的无线网之后，很容易被

中间的窃听装置 窃取到应用和内部网络 / 应用系统之间的通讯内容，从而造成企业机密信息泄露，严重的时候将导致用户

权限账号被窃， 造成更加严重的后果。

终端互联网访问安全 在终端访问互联网时，可能会被引导访问到各种病毒、恶链、远程控制网站等，导致终端被植入木

马、病毒等，最终使 终端失去功能或者机密的敏感信息被窃取。同时，在移动终端进行互联网访问的时候，也需要对终

端的企业应用外发请 求进行内容审查，防止企业机密信息从终端向互联网泄露。

终端安全认证 企业对外发布的企业内部应用，很容易受到来自外部的攻击，需要对访问内部业务的终端进行认证，屏蔽

掉非企业员工 使用的终端，保证企业内部业务的安全访问。
 SkyGuard
SecGator Cloud Access Security Broker

CASB 云访问安全代理
在新的云计算时代，随着云技术和虚拟化技术的普及，越来越多的企业开始将业务迁移到云上，

将业务系统托管给云服务提供商。在享受计算资源规模化带来的办公效率提升的同时保证企业对云应用

及数据的安全控制权，成为了企业关注的问题。

云应用使大多数企业员工的工作变得更加容易，但对 IT 管理人员来说却并非如此，云应用的广泛

使用使企业面临影子 IT 的风险。根据 Gartner 的统计报告，平均而言企业 IT 部门仅了解网络中 10% 的

云应用的使用情况，而缺乏对这些云应用的可见性和控制使得企业在数据安全性和合规性上都面临很大

的风险。使用 SecGator CASB 产品，企业可以深入了解内部用户使用云应用在做什么，从而发现企业网

络里的影子 IT 行为，同时控制未经授权的云应用，也会对通过云应用的入向和出向数据进行高级安全威

胁分析和 DLP 分析，保护企业的网络安全和数据安全。

SecGator CASB 产品定义：

SecGator CASB 产品提供对云应用的可见性、合规性、数据安全、安全防护等几方面进行全方位的安全
防护，与 ASWG 产品模块集成以保护企业网络里的所有用户，为所有入向和出向流量提供实时可见性和

控制。基于机器学习、人工智能、大数据分析等先进技术，可以精准识别员工使用的云应用，结合细粒

度策略确保云应用的合规使用。

可见性 合规性 数据安全 安全防护

1. 对企业内部使用的云服务器、 1. 帮助企业 IT 系统往云上迁移 1. 结合人员、设备、内容和应用多 1. 监控云端数据、用户资源使用情

Shadow IT 的自动发现支持 之 后，仍能满足合规性要求 个维度 况

2. 集中化的视图展示，包括用户行 2. 对云服务提供商进行信任评级、 2. 提供 DLP、Encryption、 2. 及时发现威胁并且作出防御

为、客户端设备的统计支持 提供内容监控、审计日志等 Tokenization 等数据安全保

3. 对异常行为进行检测、阻断和记 护， 防止云端数据泄漏

录
SecGator CASB 部署方式：
SecGator CASB 功能与 ASWG 产品集成，部署在企业网络和互联网之间，也可以部署在公有云、
私有云、专有云平台，检查通过企业网络访问云应用的所有流量，同时支持对 SSL 流量进行解密分析。

SecGator CASB 产品为云应用使用提供了完整的可视化及控制功能解决方案，通过对云应用进行细颗粒

度策略控制，保证企业对未经授权或存在威胁的云应用进行实时控制，保护企业网络用户及数据的安全。

企业应用数据传输安全

统一内容安全管理平台集成：通过 UCSS 统一内容安全集中管理平台与 Web 安全、高级威胁防护、

DLP 数据防泄漏、云应用安全、Email 安全、Mobile 安全、终端安全、ITP 内部威胁防护等模块统一集成，

降低企业使用成本。 全面可视化：部署在企业网络与互联网之间检查所有入向、出向流量，同时支持

对 SSL 流量进行解密 分析，全面了解企业内云应用的使用情况。

1、基于云存储、社交、即时消息等 17 个云应用分类，4000 多个云应用

2、云应用信任级别评估，对云应用的 7 种类型属性、40 个以上的风险因素进行综合评分

3、提供丰富的国内云应用识别

4、持续的分析和报告，使用预置或自定义报告查看云应用使用的详细信息

策略实时控制：有效对企业网络中用户、组、组织单元使用云应用的行为实施放行、阻止、阻止上传文件、

阻止发布消息、阻止查看视频等细颗粒度控制策略，有效解决企业因云应用的广泛使用而出现的影子

IT 隐患。

高级威胁防护： 结合 Web 安全、高级威胁防护模块，对通过云应用的内容进行实时安全检测，有效

防范已知和未知威胁，包括高级持续性威胁（APT）。

数据安全防护：结合 DLP 数据防泄漏模块，对云应用传输的数据进行深度内容检测，有效识别、阻止、

记录通过云应用传输企业敏感数据的行为。

集成用户威胁行为：将云应用实时日志、事件发送至 ITP 内部威胁防护体系，结合云应用的使用情况

来分析用户的行为风险，及时识别企业的高风险用户并采取行动。

提高企业生产力：SecGator CASB 提供针对不同云应用的带宽控制功能，以保证优先处理企业的业务

应用程序流量，提高员工生产力，以确保最佳的用户体验。
 SkyGuard
Unified Content Webservice Inspector

UCWI 统一内容应用数据安全防护集成

企业数字化转型的不断推进，各种业务逐渐被数字化。相应的，各种业务系统被广泛应用。业务流
程电子规范化，数据使用工具化，价值传导分散化成为趋势。知识管理平台、日常办公平台、信息集成平台、

信息发布平台、协同工作平台、公文流转平台、企业通信平台是企业的 IT 建设的重点。

相对的，随着企业数字化转型的推进，企业的信息安全建设也在加速投资，以保证企业在信息社会

中有足够的能力保护自身安全。为了应对相关的风险暴露面，应用防护建设、网络边界防护建设、端点

防护建设和数据安全建设等给企业带来了经济、理念、人员等各方面的压力。

天空卫士在数据安全方面提出了独到的见解：UCWI(Unified Content WebService Inspector 统

一内容检查服务 ) 产品作为天空卫士一个创新产品，给企业的信息安全建设带来了新的选择。

产品特点
简单接口：以 RESTful 接口在用户本地网络或者云端提供内容检查服务 无依赖：不依赖任何业务

资源独立部署，无需改变网络架构 性能优异：能同步或异步方式返回检测结果，扫描高达 2GB 单

个文件的全部内容 业务工具增强：给业务工具增加了内容识别的能力，使业务系统具备数据内容

感知功能。 降低管理成本：将数据安全手段渗入业务流程中，减少了企业信息安全建设的成本，

提高了企业信 息安全建设的效率。

部署灵活、易扩展、实施成本低、实施周期短

部署方式
• 统一内容安全管理平台直接管理

• 业务系统 / 功能模块 接口对接。将业务流程中传输的数据进行内容分析。

• 依据策略，将结果返回业务平台，平台可以根据结果进行动作

• UCWI 将出发策略的扫描结果作为事件反馈安全平台

• 需要时留存必要的证据，作为事后分析参考
技术功能
UCWI 支持多种内容检查接口模式：
同步接口：客户端通过 RESTful 接口将内容提交到 UCWI ，等待 UCWI 分析完毕后返回检查结果。 异

步接口：客户端通过 RESTful 接口将内容提交到 UCWI，无需等待分析结果。事后可以通过事件查询指

令查询检查结果，通过证据文件查询指令获取对应的证据文件。

外部检测接口：对于 S3 类型外部存储，客户端将被检查 URL 提交到 UCWI，UCWI 主动去分析提交的 URL

所对应的数据存储，并将检查结果返回给客户端。

UCWI 支持的内容检测方式： 文件解析：支持上千种文件格式解析，支持对

压缩文件、嵌套文件的解析。 图片 OCR：可以对包含在图片中的文字进行

识别和分析。

内容分析：支持关键词、字典、正则表达式、机器学习、文件指纹等多种内容对比方式。

典型应用
数据中转平台

通过简单的接口调用，数据中转平台将业务数据通过 API 发送给 UCWI，解决了以往人工无法完成的任务：

1. 海量数据的脱敏检查：审查脱敏数据内容是否脱敏合格，防止敏感 / 价值数据流入办公 / 研发区域。

2. 检查数据异常传输，对异常的数据下载进行监控。

3. 对中转数据内容进行识别，帮助管理者掌控数据资源传输情况。

办公平台 / 业务系统对接
通过与企业系统对接，使业务系统真正有了对自身处理的数据进行内容感知的能力，使企业业务流程更 加精

确、合理。同时为业务部门提供了数据追踪的能力：

1. 相关平台的数据传输的内容控制：避免内容与标题不一致，防止数据资产流失

2. 审批可监控：检查审批事件与流转数据的真实性，避免恶意敏感数据外泄。

3. 流转数据监控：记录敏感数据通过业务系统通过正常通道流转，数据使用可追溯。
 UCSS 硬件平台

SecGator SecGator SecGator UCSS-

型号 型号
UCSS-1100- UCSS-5100- 11000-HW
HW HW

外观

外观

CPU E3-1230 v5 2*E5-2620V3 2*E5-2650V3 CPU

内存 16GB 32GB 64GB 内存

4*1TB, 2*1TB , 2* 600GB, 2*2TB , 2* 600GB,

硬盘 硬盘
RAID1, Hot Swap RAID1, Hot Swap RAID1, Hot Swap

网卡 板载 2 个千兆电口 板载 4 个千兆电口 板载 4 个千兆电口 网卡

电源 650W 单电源 * 2x750W 冗余电源 2x800W 冗余电源 电源

* 可选配额外的 650W 电源做冗余配置 * 可选配

 UCSG 硬件平台

SecGator SecGator SecGator SecGator

UCSG-1100-HW UCSG-5100-HW UCSG-11000-HW UCSG-51000-HW

目前世界上性能最高
的 DLP 产品

E3-1230 v5 2*E5-2620V3 2*E5-2650V3 4*E7-4830 v4

16GB 32GB 64GB 8*16GB

2*SATA 1TB, 硬盘 600GB SAS*2 硬盘 600GB SAS*2 硬盘 600GB SAS*2

RAID1, Hot Swap RAID1, Hot Swap RAID1, Hot Swap 1 X LR382A RAID 卡

板载 2 个千兆电口 板载 4 个千兆电口 板载 4 个千兆电口 板载 4 个千兆电口

+2 个 Bypass 千兆电口 +4 个 Bypas 千兆电口 * +4 个 Bypas 千兆电口 * 扩展 2 个万兆光口

650W 单电源 * 2x750W 冗余电源 2x800W 冗余电源 2x1200W 冗余电源 *2

2x 万兆 Bypass 光口 /4x 千兆光口 *2 可选配额外的 1200W 电源做 3 倍冗余配置

公司分支机构
北京天空 E 士网络安全技术有限公司

www.skyguard.cn