当安全能力逐渐成为业务发展的重要支撑，确保数据资产的安全，特别是敏感数据，也受到安全工作的格外重视。无论是财务数据、人事数据、还是诸如 VIP 客户等重要的业务数据，几乎没有企业愿意接受这些重要数据的外泄。这些数据泄露事件的发生，或因曝光导致公众形象受到负面影响，或直接帮助了商业竞争对手，甚至可以侵害到国家安全。

文档加密、数据防泄露 (DLP) 是预防和制止数据泄露发生最为直接的两种安全能力。而且在国内，都占有重要的市场份额。但是在能力侧重点上，又有明显区分。文档加密通过兼具效率和强度的加密技术，以及文档水印（可显可隐），在牺牲一定办公效率和体验的前提下，在事前阶段实现泄密的预防以及事后的审计追责。DLP 则是基于深度内容发现能力，在终端、邮件服务器、Web 出口等位置，对包含敏感内容的数据进行发现，并根据基于企业架构、业务流程和数据资产价值预设的安全策略，事中阶段进行不同的响应操作，譬如告警、阻断等。相比于加解密方案，基于内容检测的 DLP 对使用人员的业务流程的改动最小，在允许的范围内，基本上不会改变使用者的使用习惯。

本文聚焦在以 DLP 为核心技术体系与解决方案的发展路线，基于安全牛近期对成立近 5 年，专注数据安全的安全初创企业——天空卫士董事合伙人、高级技术总监杨明非的采访内容，从天空卫士的视角阐述对数据安全体系的理解与变化。

从DLP到UCS，再到ITP

统一内容安全 (UCS) 是天空卫士在成立之初就在推行，以 DLP 为核心基础能力的安全体系。

Gartner 从十年前就已经开始关注 DLP 的市场，到今天，杨明非认为，DLP 的内容识别和发现能力，并不是一个多么新颖的安全技术或应用。通过在员工办公终端安装客户端，以及在网络出口旁路镜像流量的方式，对敏感内容进行识别、发现，是非常经典的一种 DLP 方案。

天空卫士在 2015 年推出 UCS 的理念，则要更为复杂、全面。

从方案来看，为了更好地应对大型企业多分支机构管理方面的困难和挑战（这包括 DLP 客户端的覆盖率、策略的有效性等），天空卫士在典型的 DLP 方案中，基于 DLP 的内容发现能力，以代理或网关形式，扩充了对邮件服务器、Web 访问的管控，并通过集中的管控平台，集中进行策略的下发、部署和更新。

当然，UCS 的方案虽然更加能力覆盖更加全面（特别是从邮件角度做了重要补充），但是，在实施，特别是策略的配置、优化方面，需要大量的原厂工程师配合的人力投入，仍是不小的挑战。

此外，部分行业客户，如互联网，在实施时也有来自员工对隐私担忧的阻力。

对此，杨明非表示，目前普遍的情况是，基于终端对员工的深度监控能否顺利推行，和相关地区的国家的法律、企业的战略和内部文化都有关系。配发办公终端的情况，企业一般会提前告知；但其它情况，一般是只对涉及企业工作空间的应用进行监控，在后端工作和个人的界线会比较清楚。

推行 DLP 的决心和成本，对企业而言都是不小的考验。有时，这是隐私和监管的平衡。愿意去做这件事情的企业，更多情况是如果管控不到位，大概率会给企业带来更多商业上的损失。

当然，也有收获和发展。那就是越来越多的客户，看到、愿意相信基于 DLP 能力的方案价值。直接表现就是，在客户环境测试一段时间后，越来越多的客户选则了（部分）串联阻断，而不只是旁路告警或审计的方式。

近几年，内部威胁事件频发，各行业都对内部威胁防范工作愈加重视。这也是天空卫士在 2018 年初，将原有 UCS 体系结合 UEBA、统计学模型、威胁情报和机器学习算法，提出内部威胁防护 (ITP) 的契机。

天空卫士和 Gartner 合作的报告 (Newsletter)《市场洞察：先进内部威胁检测产品的市场进入策略》对四种典型的内部威胁检测技术的优缺点进行了分析。

这四种技术可大致分为三类，一是以数据为中心的审计和保护，二是用户和实体行为分析，三是基于代理对雇员进行监控。

总体而言，每种技术都有各自的优势和成本，每个客户的需求也有不同的侧重点。因此，对多种关键技术和能力的有效融合，是天空卫士 ITP 解决方案的重要价值。

天空卫士认为，内部威胁的检测和防护，要更关心人和数据的行为，并实现人员和实体的风险评估，以此来持续优化安全管理。

ITP 方案从（移动端）终端（行为）、网络、邮件、APT活动等角度，结合用户现有的威胁情报、上网行为、NGFW、身份认证等安全能力，汇总到 ITM 分析引擎进行风险评估，评估结果将用于策略的优化、更新，设备的管理和统计报表生成。

企业级DLP是一种能力体系

从经典的 DLP 旁路方案，到集成 DLP 深度内容发现能力，根据客户需求和技术发展趋势延展而出的UCS和 ITP 方案，我们不难发现，DLP 方案中，DLP 技术似乎已经慢慢从原来的绝对 C 位退下，成为一个基础能力。并且，DLP 方案还在根据事件、需求、（安全&IT）技术的发展、变化，而不断扩大、吸纳更多的能力。

那么，我们还可以继续称之为 DLP 方案么？

对这个疑问，杨明非认为，从天空卫士的积累和实践来看，企业级 DLP 能力不能只狭义的认为是旁路部署的 DLP 盒子，而应是一个以理解数据为基础能力，随着 IT 架构和应用场景不断变化而延展的安全能力体系。

安全保护的对象是数据，只有理解数据，能够更好的利用数据，才能有效的保护数据。

Gartner 在其 2018 年企业级 DLP 的魔力象限报告中也陈述了类似的观点：

DLP 是一个定义良好的安全过程……企业级 DLP 方案应提供集中式的策略和事件的管理，用于定义、分发、监控多个部署方案（如终端、网络边界/云访问安全代理、邮件、云、发现等）的 DLP 策略……同时，企业级 DLP 解决应采用高级内容检测技术，提供广泛且灵活的部署方案，以适用诸如法律和内部策略合规、知识产权保护等不同需求。

顺应此趋势，天空卫士在 2019 年年初发布了其云战略，作为原有 ITP 方案在数字化转型的大趋势下，聚焦云内数据安全，进行能力延伸。

云应用数据安全是企业级DLP的未来

天空卫士的云数据安全方案，有两个角度。一是云内应用的数据安全，这包括存储数据的敏感内容发现、数据流动的监控和保护、以及数据内容的安全分析，以便进一步处理。另一个角度是对企业云应用的访问，也有两个方向，分别是从移动端的访问，以及处于分支机构或互联网来自 PC 的访问。

其中，云内（敏感）存储数据的发现能力，天空卫士云数据安全方案的核心应用，也是后续数据管理、安全策略制定的前提。

杨明非介绍，存储数据的风险，主要有三点，分别是敏感数据未经加密或脱敏，或者加密和脱敏措施没有完全成功，以及在开放区域存放了敏感内容。但是，混合的云环境，让实现敏感数据分布的可视相较于经典IT架构更加困难。天空卫士的优势在于对IT架构和云应用覆盖的全面性，无论是本地数据中心、终端，还是 SaaS 或 IaaS 提供服务的云应用，客户都可以根据预先定制的策略（如敏感数据的格式、内容、匹配方式等），对存放在 NAS 服务器、云应用、云盘等位置的存储数据进行敏感内容的发现，而且是可以定时、持续的数据发现。

云应用的广泛和灵活，也让云内的数据发现和治理更加复杂和困难。无论是从合规，还是源码、用户隐私等敏感信息存储配置的审查以及防泄露的角度，敏感数据发现能力都是有关键意义的。

此外，云环境下还有大量机构化和非结构化数据的交换场景。云应用自身对数据出入缺乏管控的依据和能力，也是亟待补充的一点。

所以，在整个云数据安全方案中，天空卫士的思路是应用也要能对出入数据进行实时内容安全审查。企业级应用往往自带丰富、细致的控制能力，通过 RESTful API，天空卫士可以将出入特定应用数据的深度内容分析结果反馈给应用，用户可以从应用管理的角度，对流转数据进行实时审计，并对异常行为进行响应。

后续，杨明非表示，扩充企业级 DLP 方案的适用场景，更多的依托云的灵活与便捷、探索（托管式）数据安全服务会是天空卫士的重点方向。

安全技术和方案的价值在于能够真正解决客户的痛点，而不是理念的新颖、前沿。以深度内容发现能力为代表技术的 DLP，能够针对性的结合其它技术（不局限于安全），并持续适应客户 IT 环境和安全需求变化而变化，这也正从侧面体现了这一安全技术的生命力。而这，从更宏观的角度看，也正与信息安全的定位的转变——从事件驱动、安全厂商的 “噱头” 转向 IT 和核心业务的重要底层支撑相匹配。数据安全是近两年安全行业的热点，顺应各行业数字化转型的浪潮，以内容发现能力为基础，企业级 DLP 方案的能力内涵势必会跟加丰富。