鞏文堅：天空衛視是一個很年輕的公司，成立只有兩年的時間，我們的目標和使命就是防范內部數據的泄漏。云時代，數據安全才是真正的安全。企業數據安全的故事每年都會發生幾起，有的是被黑客攻擊，有的是自己人員誤發送，還有一種就是內鬼作亂。事實證明，這個世界沒有所謂的內網跟外網，整個世界只有一張互聯網，只要跟外網有某種程度的交換數據、交換信息這樣的動作，網絡就跟外網是聯通的。

在我們國家，網絡安全被提到了空前的高度，國家現在提出了一個口號，就是網絡安全就是國家安全，并且制訂了《網絡安全法》，真正從國家立法角度把網絡安全提到了前所未有的高度?！毒W絡安全法》明確規定了任何企業、政府機構，如果收集了用戶信息，就需要對信息采取相應的保護措施，如果發生數據外泄，造成了社會影響和經濟影響，數據外泄的機構，不管是政府也好，是企業也好，都會受到相應的懲罰，承擔相應的法律制裁。這就給廣大針對公共服務提供數據的一些企事業單位和政府機構帶來了非常嚴峻的挑戰：我們既要通過數據來不斷提供公共服務，同時又要保證公共數據的安全，一方面，保護用戶的隱私，另一方面，保證符合國家相關的法律法規。

那么為什么要進行數據的防泄密，主要有以下幾個原因：

我們總結了當前數據安全發展的幾大趨勢。第一個就是所謂的網絡無邊界概念。過去的數據中心、機房，基本上屬于有邊界的網絡，但隨著云計算的發展，數據、網絡、基礎設施不只是本地的，甚至橫跨全世界，這樣的網絡叫做無邊界網絡。在有邊界網絡的情況下，保護數據已經是一個非常挑戰的事情了，在沒有邊界的情況下就是一個更加有挑戰的工作了。

第二個是數據流動性更加廣泛了。之前絕大多數數據都是在企業內部流動的，或者是通過內網去傳輸，今天，隨著云計算、移動互聯網的發展，大量數據在各種渠道、應用上流動，需要防護的點比過去多得多，如果只是立足一個點防護的話，可以說是防不勝防。

第三點是指越來越多的人正在盯著你的數據。過去可能只是一些牟利者盯著你的數據，今天，隨著網絡數據、大數據時代的到來，每一份數據都有潛在的價值，因此敵對的國家、網絡罪犯、黑客，還有非常關鍵的內部人員，這些人都在盯著企業等等關鍵數據，同時網絡攻擊者的手段越來越高明。

第四點是數據的泄漏給每個人造成的影響越來越廣泛。相信我們每一個人都會受到數據泄漏造成的騷擾，數據漏洞越來越大，程度越來越深。

第五點是被盜數據的價值越來越高，沒有什么信息是保密的，沒有什么信息是不可能買到的。第六點是還有更多的信息值得去盜取。

在互聯網和云時代，數據資產是企業最核心的資產，企業在部署數據防泄漏的時候有三大難題：第一是效率，非常完善的安全體系效率太低，最后可能影響業務；第二是成本，如果建設“墻”的成本高于所保護的內容，那就不值了；第三是有效性，即安全體系是否能起作用。三個因素的平衡點在于，效率要足夠高，不要影響到企業業務的正常運行，成本要在可控范圍內，同時必須是非常有效的。

現在絕大多數企事業單位、政府機構，采用的數據防護主要有三套體系：第一套體系是行政規定和法規，什么事情能做，什么不能做，這是管理手段，更多的是亡羊補牢的作用；第二套體系是所謂的權限管理，就是把所有的文件機密數據，設置不同的等級，絕密、機密、普秘、商秘、沒有秘密，某些符合這些規定的人才能去獲取相關的這些信息，但這套體系，也不是特別的管用，有權限的人同樣可以犯罪，泄露數據，所以權限管理作用也比較有限。第三套體系就是加密，現在國內提到數據防泄密，很多人都是用加解密這種方法來做的，加解密是有作用的，但加解密最大的問題在于只適合于很小范圍的信息傳輸，不適合于在一個很大的范圍里適用，也不適合在需要跟外界有非常多交往的情況下使用。

那么，我們應該如何做好數據防護？目前在國際上最領先的是基于內容的數據泄漏防護，就是以統一策略為基礎，采用深層內容分析、對靜態數據、動態數據及使用中的數據進行即時的識別、監控、保護的相關技術。

過去，我們采用的郵件加密、URL過濾、入侵防護、外設管控等一系列數據安全管理手段，這些手段有一個共同的問題，就是對內容不敏感，不知道正在傳輸的是什么?，F在，我們要用技術手段去感知內容，我們叫它DLP，就是基于內容的數據防泄漏技術。數據防泄漏在美國市場普及率已經高達50%了，在國內也就只有個2%-3%，而且這2%-3%還含了用加解密的所謂的DLP技術去做的，所以國內的網絡對于黑客來講是一個完全透明的網絡。企業為什么需要DLP，有幾個因素：第一個就是APT的攻擊，APT是現在最常用的一個攻擊手段；第二就是個人信息的防護和合規，《網絡安全法》實施以后，每個企業都有法律義務保護所收集的企業的數據和個人的數據；第三是知識產權的保護，防止與知識產權有關的數據的外泄；第四個就是商業伙伴合規，現在很多企業，尤其是國外的一些企業，除了自己要講合規性以外，它還要求合作伙伴上下游滿足合規性的要求。

基于內容的數據防泄漏的價值在什么地方？第一個就是策略部署的一體化，可以通過完整的數據防泄漏技術手段將企業數據安全管理制度及流程加以實現，并可以覆蓋到各種應用場景，確保建立完整的數據防泄漏體系；第二是員工行為可視化，可以清晰了解員工日常工作中對于敏感數據操作行為；并結合企業對于數據安全的管理要求加以監督，從而達到提高員工安全意識，強化員工操作規范等目的；第三是安全事件可追溯，對于出現的違規事件可以完整記錄，并在必要時加以追溯，同時記錄的事件可確保其完整性、防篡改性及不可抵賴性，以滿足審計部門的要求；第四是行業規范可落地，隨著競爭壓力的不斷提高以及客戶的法律意識不斷加強，各監管機構也出臺了與信息安全特別是敏感數據保護相關的各種合規要求，因此需要通過相應的技術手段來將合規落地。

簡單說下我們產品的特色。這是APT攻擊的七步曲，在這個七步曲里，從偵查到最后把所有數據都盜走，每一步都有廠商做得不錯。但是有一個問題，每一個步驟之間是不通的，這對于企業安全管理來講是一個非常大的災難，我們的優勢在于，把APT攻擊視作一個整體，整個解決方案里覆蓋了從第一步到第七步整個過程，這是非常關鍵的一點。

DLP的實現方式，一個是多維度防護，安全發展，第二是多層次防護，最底層是關鍵字的匹配。再往上是正則表達式，最高級是指紋，我們現在七個方面全都做，但最核心是指紋。還有一些獨到的優勢，一個是點滴式DLP，檢測可疑的“少量或緩慢”數據傳輸（如在一小時發送5個身份證號碼）。還有一個是混合云的部署方式，我們支持云部署，支持完全的私有云的方式，也支持私有云加公有云的方式，也支持全公有云的方式。還有一個叫電郵審批流，讓管理層直接介入核心數據審核流程，在保證企業核心資產的同時避免影響業務系統的工作。還有關鍵字光學字符識別，通過提取圖片甚至視頻中的文字，識別圖片中的敏感信息。最后一個就是機器學習，基于人工智能的預測機制，通過分類樣本中的共同”特征”來進行預測，通過自動尋找與已知內容相似的內容，輕松發現敏感內容。

現在傳統的安全手段已經越來越無法去應對下一代安全的威脅，因此提出要把大數據引進來，通過大數據把行為分析加進來。下一代的防護是要把用戶的行為加進來。大數據安全解析（BDSA）就是把你每天做的這些事情分成若干個patten,形成若干個模式，然后根據這些模式來判別，并通知DLP系統，這樣起到保護企業安全的作用，現在在美國最流行的所謂基于大數據分析的BDSA跟UCS可以做到這一點。我們今年打算在成都建一個大數據研發實驗室來研發這個東西，預計今年年底才能有一個Beta產品問世。