天空卫士数据防泄漏解决方案

胡起康(Michael Hu)
天空卫士 华东区安全咨询顾问
议程

• 关于天空卫士
1
• 天空卫士数据安全解决方案
2
• 天空卫士案例
3
01 关于天空卫士
PART
关于天空卫士

专注于信息安全的创新技术公司
• 2015年1月成立，在北京，成都设立双研发中心，员工200人
• 360企业安全集团、华创资本、国投创业联合投资，A轮累计1.5亿元

由国际信息安全领导厂家研发和管理团队创立
• 核心团队均来自全球领先数据安全厂商的中国及全球研发中心与顶级
安全厂商与咨询公司
• 数十位顶级国内数据安全研发、大型项目实施经验团队
• 在信息内容安全领域研发投入与规模最大的中国公司
以深层内容安全为核心的DLP

DLP [ Data Loss Prevention ] 以统一策略为基础，采用深层内容分析、对静态数据、动

态数据及使用中的数据进行即时的识别、监控、保护的相关技术。
– Rich Mogull

DLP 基础
WHAT：简单来说，DLP是一套确保敏感数据不被窃取或流失的工具和流程。

HOW：DLP通过如下方式发现并保护您的敏感数据：
• 扫描正在传输、使用和存储的数据
• 识别需要保护的敏感数据
• 采取补救动作 — 警告，提示，隔离，阻断，加密
• 提供合规、审计、取证和事件响应的报告

WHY：意外（即员工错误）或恶意行为（即网络犯罪侵入）把组织的数据处于危险之中。
 Gartner-企业级DLP五大组成部分

Gartner：Market Guide for Enterprise Data Loss Prevention 2020

 Gartner数据安全治理框架(DSG)
Gartner Data Security Governance Framework

业务关联方  数据安全治理不仅仅是一套
用工具组合的产品级解决方
要从这里 案，是从决策层到技术层，
开始
业务战略 治理 合规 IT战略 风险容忍度 1. 平衡业务需求与风险
从管理制度到工具支撑，自
上而下贯穿整个组织架构的
2. 标识、优先级排序和管理 完整链条。
数据集优先级
数据集的生命周期
 组织内的各个层级之间需要
对数据安全治理的目标和宗
数据 人 分析 3. 定义数据安全策略
旨取得共识，确保采取合理
和适当的措施，以最有效的
不要从 方式保护信息资源
这里 Crypto DCAP DLP CASB IAM UEBA 4. 部署数据安全产品
开始
 数据安全治理就是不能用
数据库 大数据 文件 云 终端 一种数据安全技术解决整
5. 为所有产品编排统一策略
个企业的数据安全问题
（CIA）
02 天空卫士数据安全解决方案
PART
天空卫士产品家族示意图

UCS ITM 云解决方案

统一内容安全 内部威胁管理平台

DLP NCP GatorCloud DLP

数据防泄漏 网络流量探针

Network DLP
ASWG Security GatorCloud
增强型WEB安全网关 LABS ASWG
Mail DLP 威胁情报

ASEG Windows GatorCloud

增强型邮件安全网关 Endpoint UCWI
DLP 统一内容审查平台
MAG MacOS
移动安全网关

CASB
云安全代理

特种扫描工具
ITP Cloud Data Security
内部威胁防护体系
 SaaS敏感数据发现

最全面的DLP解决方案
Salesforce Office365
移动终端DLP
网络DLP SaaS
数据中心业务系统
邮件DLP
上网代理
Smart Phone Laptop

反向DLP 移动终端
存储

APP应用 网络 互联网

Web Service Inspector

Managed DLP
发现DLP 终端DLP Gator Cloud / Hybrid DLP
分支机构DLP

Smart Phone Tablet

文件分类工具 公有云 私有云 行业云
网络 终端 分支机构
文件类型识别工具
数据治理 云
数据风险计算工具 区域中心／功能中心
Desktop Laptop

办公网络
 存储敏感数据发现
− 启用加密后，希望找到未加密的机密数据
共享文件
− 机密数据从保密网（生产网）转移到更低安全等级的网络中后，希望确保未 存储
被他人留存

关系型 Hadoop
− 从生产网下来用于测试的数据，希望确保里面不含敏感信息
数据库 大数据

− 希望企业员工未将敏感数据上传到SaaS 应用内

− 希望公开的共享内不留存机密数据
数据发现 数据发现
− 企业希望掌握敏感数据的分布位置
Exchange
SharePoint

静态数据分布视图

Salsforce
Onedrive
桌面电脑
移动终端
网络出口敏感数据Web监控与阻断

灵活的部署方式
增强型Web安全网关 旁路
WEB上网安全管控 串联
UCSG-ASWG
代理 应用场景
ICAP
SMTP Prxoy • 内部用户将敏感数据传输到外部网络
HTTP • 用户无意中点击恶意链接，访问木马/
浏览器、应用程序 HTTPS
部门一 SMTP 病毒网站
FTP
自定义 • 用户接收的邮件中包含有恶意链接
• 外包人员上网控制
互联网
浏览器、应用程序 主要功能
部门二 交换机 防火墙
• DLP数据防泄漏检测/阻断
• 用户上网身份认证
• 动态URL分类
浏览器、应用程序
• Web/邮件链接安全扫描
无线网络
• SSL加解密
UCSS
统一内容管理平台
邮件通道敏感数据监控与阻断

• 完整的出入向的邮件DLP 数据识别引擎：
数据模板
• 邮件外发干预，审批平台审批 指纹
学习
• 重要邮件投递自动加密 图像识别
数据聚类
• 邮件归档，邮件反查 关键字/正则/字典
深层内容识别
• 基于DLP策略发现邮件服务器进行敏感数据扫描

内网用户 邮件服务器 ASEG-Cluster

防火墙 Internet

• 邮件合规
• 邮件数据防泄漏
• 对归档邮件快速检索及查阅
• 对归档邮件进行深度内容反查，做到事后追查 UCSS 归档存储

• 统一数据安全体系建设 本地或外挂存储
漫游用户
 办公终端DLP客户端外设监控及阻断
• IM通道合规监管(如QQ/微信/钉钉/飞秋/
阿里旺旺)
• Win/Mac系统统一推送、管控
• 离线合规管控和敏感数据保护
• 水印拍照技术溯源
终端主机
• 终端行为风险日志因子获取
• 分支机构多级部署与分级管理
离线策略
• 数据创建打标签、基于标签分级防护

UCSS
终端主机

1 2 3 4 5
离线可控 放行阻止 删除附件 密码加密 第三方脚本

终
端
DLP

Web 蓝牙 应用程序 SD 移动存储 打印 网络共享 邮件 FTP 红外 IM 刻录 截图

UCWI 内容安全审查平台

应用场景
UCSS 管理平台
• 应用系统环境下存在有大量的数据交换场
景，包括机构化和非结构化数据，数据的
出入缺乏内容分析机制导致数据非正常流
UCWI WebService Inspector 出系统
应用内容安全审查
RESTful API • 应用系统不正当返回脱敏内容，将隐私信
息直接返回给客户端
• 客户端在不正常情况下一次大量查询客户
隐私数据
• 共享存储上公开存储系统中存在有敏感信
息
文件中转
网盘 主要功能
邮件
• 增强应用系统、文件中转等应用对于内容
公文流转
的识别能力，使应用可以根据内容识别的
堡垒机
数据交易 结果对自身所处理的内容采取相应的动作
用户
集中、可视化数据泄露风险大屏监控
03 天空卫士案例
PART
成功案例
银行 政府 | 教育 | 医疗 互联网 | 运营商 | 高科技 汽车 | 制造业

广东省信息中心

山东省联通

金融 能源 | 交通物流 | 大企业

南方电网深圳局

济南分公司
为什么天空卫士领先于其它友商
感谢聆听
天空卫士
内部威胁防护领导者

用 技 术 保 护 您 的 企 业 数 据 资 产