資料安全防護存在的短板

資料資產與硬體資產不同，資料需要進行流動，也只有流動的資料才能給企業帶來價值。資料在流動的過程中會在終端、網路、應用、儲存等位置上進行傳輸、使用和留存，無處不在。也許在企業安全防護中，您已經採用了很多安全措施，比如，為了保障外發郵件的資料安全，使用了郵件審計和加密，為了保護電腦終端的資料安全安裝了終端DLP，為了網際網路外發資料的保護安全，添置了網路DLP等等防護措施，只願敏感資料“安好”。但是，似乎我們還忽略了什麼。除了這些可見的辦公資料、個人資料，作為企業最重要的應用系統，他們之間互動資料的安全我們是否考慮過由誰來保障？在著名的Facebook事件中，資料洩漏的根本起因就是將應用獲得的使用者意向資料發給了資料探勘公司，直接導致它的股價下跌，引起大眾對其隱私洩露的信任危機。

可見疏於對應用系統中的資料做防護，已經成為企業資料安全防護的短板。這些企業核心的資料資產，一旦發生洩密，將給企業造成巨大的經濟損失和名譽損失。

用什麼技術來解決短板

我們需要有一種能力，對應用中傳輸資料的內容進行檢測，知道系統中輸出了什麼資料，有哪些資料是合理允許傳輸的，哪些資料是不安全的、是含有敏感資料或者不正當內容的（比如是否含有不正當的政治言論）從而禁止這些資料被傳輸。這種能力在下面要介紹的UCWI（天空衛士統一內容安全審查平臺）得到了完美的體現。

UCWI的技術原理

我們知道，應用中的資料可以分為靜態的資料和傳輸中的資料。靜態資料我們可以理解為儲存在應用內的資料。而傳輸中的資料可以有各種型別，包括上傳資料、下載資料、分享給第三方的資料，應用內部間流轉的資料，這些資料構成了應用資料保護的基礎場景，使用UCWI與應用進行對接，可以對於應用中的資料內容進行檢查和保護，如下圖：

針對這些資料應用場景，UCWI是如何配合應用實現資料安全防護的呢？

儲存中的資料：

可以讓應用將這些資料所分佈的儲存位置傳送給UCWI，UCWI可以到相應的儲存位置獲取資料進行檢測，並將資料安全相關的資訊（文件的型別、資料的類別、涉及的風險、敏感資訊數量、是否存在惡意資料操作行為、風險級別有多少等等）反饋給應用系統。這樣應用就可以利用這些資訊對相應的位置進行標記，並實現精細化的安全控制。

流動中的資料：

針對流動中的資料，這裡其實流動的概念極其廣泛，包括對應用的資料上傳（如網盤）、資料下載（報表、日誌的下載）、資料對外傳輸（向第三方應用傳遞資料，比如網閘傳遞資料）、資料對內流轉（ 如：IM內的不同使用者間的資料傳遞）。這些資料都可以投遞給UCWI進行檢查，並將對檢測結果反饋給應用，由應用根據檢查結果來決定下一步的動作。

UCWI的應用價值

應用賦能：

有了UCWI，我們的應用就具備了資料識別的能力，能夠很清晰的掌握傳輸、儲存的資料是否合規、是否涉密、是否含有病毒木馬等。識別並記錄敏感資訊的流動，能很清楚知道某一個敏感資訊在什麼時間被誰使用過、在哪篇文件中使用過、傳送給了誰。在基於角色、許可權的控制之外，增加了對於資料內容的判斷，為應用賦予內容識別，這樣應用可以更加精細的進行資料儲存控制、分享控制、使用控制、傳輸控制，使得應用資料安全得到最貼身的安全防護。

應用更加智慧：

UCWI除了給應用做了安全賦能以外，同時還讓我們的應用更加“聰明”。在國外，DevOps強調了高效組織團隊之間如何透過自動化的工具協作和溝通來完成軟體的生命週期管理，從而更快、更頻繁地交付更穩定的軟體。同樣，應用也需要能夠有一套智慧的、更加聰明的自動化管理和運維的流程。利用UCWI，應用非常清晰地掌握被使用的資料的風險，並完全能夠利用這樣的識別能力進行自動化的操作而無需人工介入。（如：研發網的資料透過網閘進行傳遞，再也不需要讓人進行審批，應用非常清楚傳遞了什麼，哪些該傳，哪些應該自動拒絕。）

天空衛士UCWI的特點

天空衛士UCWI能透過與應用的對接，對於應用內流轉的資料進行深度分析，透過預先制定的策略，對這些內容進行匹配，發現其中的敏感資訊或者不正當傳輸資訊，並且透過與應用系統或其他安全系統的聯動，實現對於資料審計和控制。

天空衛士的UCWI具備了以下的特點：

透過靈活的部署方式保護核心業務

區別於傳統網路資訊保安產品的部署模式，UCWI可靈活的透過API介面與應用進行聯動，因此部署位置和形式更加貼近於系統或平臺本身，更有效的為企業核心資產提供保護。

基於內容識別的安全保護

以使用者為物件，透過資料內容的維度，提供更加直觀、有效的資料防護理念。

針對內部威脅更加有效的防護

傳統資訊保安關注於“防外不防內”，對於來自內部的資料威脅防護能力薄弱。針對當前內部威脅極具增長的現狀，UCWI能夠提供更加有效的內部威脅防護。