。

首先，谈到安全离不开有关政策或国家大的趋势，最早1999年，政府就开始建设中央信息化安全领导小组，那时候从国家层面上还只是国家总理级别来挂这个帅，去组织这个小组。小组在后面基本没有做太多在信息安全方面的事情，当然，我们也有等保以及各种各样安全手段在出，但没有提高到国家安全战略角度。2010年开始，胡主席上台以后，提出一个非常响亮的口号，让很多在安全界的人都觉得非常振奋，提出“没有网络安全就没有国家安全”，这一下子就把整个安全提高到了国家级别的高度上，习主席也是亲自挂帅做网信办的组长。从网络安全来说，我们一下子感觉到提高到这么高的角度。

国际形势。

前面邵处提到爱恩斯坦计划（einstein），美国70年代、80年代军队、国防部就开始做这个einstein计划，做了很多东西，前面花了60亿美金做国防、军队安全系统建设上，对人民币来说好几百亿，花费是巨大的。最后得到的效果，在美国也发生过数据窃取事件，最典型的是美国国家政府联邦人事管理局的很多数据被窃取了。我们看到的是公开的，包括这次的WannaCry病毒，起因是美国国家军火库被盗了，里面一个代码拿出来做个小小的东西，这只是他军火库里一个非常小的东西就造成如此轩然大波。可想而知，如果其他东西都放出来的话会造成什么样的影响。因为他花的60亿美金建立的安全系统，发现这个东西不管用。

怎么处理呢？这就涉及到商业操作的问题，美国现在新花了10亿美金重新搭了一个盖子，美国排名前三的军火商雷神（Raytheon），它本来是一家军火商，爱国者导弹和萨德系统里面以雷达著称，其中有很大一块，雷神是个大气团，其中有一块是做和IT信息相关的，原来是以大数据分析平台为主，收购了美国一家公司Websense，收购之后把两块合到一起，大数据分析平台加上DLP技术（内容分析技术，原来Websense做的），把两个数据包在一起，给原来做爱因斯坦计划的，又花了10亿美金做了盖子。这个盖子是什么呢？无论你怎么进来的，我不轨再让你数据出去。他原来花60亿美金大量建设在外部的防护上，现在新的APT攻击手段出现之后，它的防护已经完全失效了，它就重新建了一个盖子，我不让你出去，你进来了，不管你怎么进来的，我不让你出去。国外的形势都是这种发展。

国内形势。

现在从国家立场上，为了加强国家网络安全角度，最近有很多发生在我们身边的各种各样数据泄露，每个人遇到骚扰电话，现在最受欢迎的就是360、腾讯手机管家，一打电话过来我就知道这是骚扰电话，这是一个广告等，这是因为我们个人自己身边的信息被泄露出去了，包括大的刑事案件。《网络安全法》在去年底发布，在今年6月1号开始正式实施，我已经看到有几个根据《网络安全法》判的案。因为《网络安全法》里定义，超过50条，交易金额超过5000元就可以按照犯罪入刑去定义。《网络安全法》定义里有4个地方，6个非常重要的细节都提到了，对于关键基础设施，不管是金融还是政务，国家关键基础设计上必须要保护用户自己数据本身的安全，这已经进入法律的保护。

这种形势下，这些数据是怎么出去的？我们又拿出一份国外的报告，因为中国国内信息泄露还没有权威的报告，Verizon是一家美国的运营商，每年都会发这么一个信息数据泄露的安全报告，已经累计发的10年，2017年发了十周年纪念版。从中可以看到很多数据是怎么出去的，既有以黑客的方式窃取的，还有很大一部分是由于内部人员主动和被动的泄露方式。泄露方式有内部的泄露。使用手段很多都是通过现在新的社交、黑客攻击手段，都会造成数据泄露。行业来说金融是个很大的目标，当然医疗也是很大的目标。今天最多的方式是通过邮件和其他手段，不像以前是通过攻击你的防火墙绕过防火墙，现在绕过防火墙的方法非常多，非常有手腕。还有很多是内部人员去泄露，前段时间在有些网站里抓到的内鬼案，非常得多。

数据泄露情况这么严重，我看到在座有很多做安全的老兵。我个人，刚接触电脑时，所谓讲安全，那时候只要谈安全，在我的镜像KVR版、瑞星杀毒，我装个杀毒软件就叫做安全，因为那时候电脑都没有联网，只是防止从软件拷进来有病毒就叫安全了，后面是防火墙，再往后WAF、IPS各种各样的东西，这个东西越堆越多，安全管理也会越来越复杂，今天APT攻击出现的时候基本就防不胜防了。

今天，我们进入了云和大数据时代。前两天，我在贵阳参加数博会时，和做大数据那边一聊天，聊的很嗨的是，我们能拿到越来越多的数据，才能做大数据，数据量小了都不能叫大数据，数据量小的都是假的大数据。后面有个问题，当数据量越来越多时，我们需要有个方式和手段去保护数据不被泄露出去，数据给的越来越多时，价值就会越来越提高。

传统的数据安全技术，我们常用的，不管是做加密的，有做管控的，各种各样安全手段，实际上在真正运行过程中，这些所谓的内鬼或内部人员泄露信息时发现都没有用，我们发现很多审批是由新毕业的学生去做审批的事情，他做审批基本形同虚设，相信在很多单位里有这种现象，就是解密之后往外发，一定是新毕业的学生干。因为真正很有技术背景的，很有能力的人一定不会去做这种事情。

他们的共通点是，在这种技术安全手段里的共通点。

一是无法感知内容。所有的技术里没有一个技术告诉你，今天你的word文档里嵌入了一个图片，包含身份证号和信用卡号，没有技术能达到这个功能，他无法感知这个内容，因为它们都不具有内容的识别能力。

二是APT攻击带来的泄露很谈做防护，尤其是以防火墙为代表的，基本过就过了。很多的单位，现在的很多建设是防外不防内，银行的话来说，内网里是开着敞篷车去运现钞，就是内网的很多弱口令，没有补丁，直接把SEC（音）一级直接写在页面里，非常常见。

三是也无法防止内部人员泄露，现在很多大的单位里还在使用，说我把U盘关闭，这样就有数据防泄露手段了。

有了这些手段我们有什么办法呢？这是我们天空卫士在做的事情。

UCS系统（统一内容安全防护），通过对内容安全识别处理，对所存在的整个数据生命周期，数据的创立、数据的使用、数据的传输、数据备份一直到数据销毁，对整个数据生命周期的设计，通过统一的方式，以内容分析手段来做数据方面的安全保护。我们有三大部分引擎，一是针对云的，二是针对数据本身分析的，三是针对安全平台，如何把数据更快、更有效地、更高速地输入进来进行分析。这是我们三大引擎重点。三个核心引擎下面可以延伸出来一系列产品，有专门针对代理方式去工作的，可以以数据方式工作的，以防护DLP方式工作的，以云、移动终端的方式去工作的。最核心的是我们针对DLP数据防泄露，就是数据保护部分。

DLP的概念。

很多时候会被误导，因为在很多场合下，上次我参加RSA大会时发现一个很有意思的事情，参会的大概500多家厂商，300多家厂商都提到自己的产品，自己做的东西是和数据防泄露相关的。确实本身对数据的保护是现在所有人关心的重点，在谈到DLP时，通用的标准是以内容分析手段对使用中的数据，传输中的、存储中的数据进行分析和保护。

传统DLP的技术构成。

1、对数据的发现，今天对网络管理里，特别是谈到数据治理时，大部分安全管理人员都有很痛苦的事情，不知道自己的敏感数据在哪里，这是我们调研中或者接触客户时发现最多的事情，不知道自己的敏感数据在哪里，一是不知道什么内容是敏感的，二是不知道敏感的内容究竟在哪里，这是发现DLP，它会做这个事情，对存储数据进行分析。

2、网络DLP，网络所有纯属的内容做分析，这个用途很广，有时候对于邮件，对于上网的公司，上网的带宽，包括上次提到政务云，有三张网，政务外网里，军队里也碰到同样的问题，非涉密，公开的网络上面，我发现上面是不是有密切的文件做传输，秘密的内容在传输。这也是一种分析，DLP对数据的发现和保护。

3、终端DLP，刚才邵处提到5个，终端云、数据，终端也是很重要的管控接口，数据传输通道越来越多。比如今天USB，其实USB是很好的东西，做大容量传输时非常得方便，不用走网络，但如果只是把它简单地关闭和禁掉的话，这也会带来其他的问题。今天我们谈到的重点，对云上的DLP、数据保护，大部分企业上云时都有一个痛苦点，担心我把数据放到云上之后，我的数据被泄露了怎么办？这里面包含了对云数据防泄露的保护。整个DLP的机制和运行，我通过监测和控制两个手段，首先发现敏感数据在传输；第二我要知道我发现之后要做什么样的处理。

对于传统的DLP部分具体产品不再单独聊。

今天我们谈到的都是UCS。UCS叫统一的内容安全保护，涵盖了整个今天大部分企业生态环境，在这个生态环境里有自己的数据中心，有自己的办公，在一些大型企业里还有很多分支机构，很多企业现在开使用SaaS，Office365，有很多移动终端，不管今天的政务云、行业云、私有云，各种各样的云，这是今天IT组成大的环境，我们谈到UCS时，这是我们很传统的部分，网络DLP，部署所有的网络接口，对所有的流量进行检查。

对应用的安全有两个模式，反向DLP模式，原来是上网的，反过来去用，对应用进行保护，我们和很多大的企业，和一些科技公司做这个事情，反向DLP对网站返回内容的检查具有独一无二的功能；我们也参加了近期国家大的项目里，高密集项目里，给他做这个事情。

对应用的检查，我们现在独家提供Web Service Inspector云服务，部署在云里，针对整个云环境提供SaaS服务。对于很多的公有云，我们也和一些运营商、行业私有云做合作，通过运营商网络提供更多的SaaS服务给中小企业，以前SaaS服务很多企业不知道，还有就是太贵，将来我们会以云的方式，和运营商进行合作，把它推到更多几十人的小型企业提供更多的DLP服务。

我们还另外关注数据治理有一系列支撑工具，会加速DLP部署。

下一代数据防泄露模式。

DLP走到下一代会变成什么样子。现在我们已经在做开发，把下一代模式做完，我们的目标是瞄准美军最后加的盖子，这里面有大数据行为分析技术。这里面有两点，现在谈到安全大数据时，都有一个缺憾，我和Detex（音），美国做UEBA的厂商聊过，他们有个缺憾点，可以用各种手段收集各种行为，比如对文件的增删改，在终端上看他做了什么样的事情，网络上分析他有多少个连接行为，这个缺憾是什么呢？他们不知道传输的数据是什么，传输的内容是什么，真正要做用户行为分析，只有把用户在传输了什么数据，再加上用户的行为，今天往外发一个文档，只是网络管理信息，我只是发了一个内容，你不知道我发的这个内容行为是好还是坏。所以谈到UEBA，对内容和行为两条一定要一起去做，这也是我们下一步要做的未来方向。

大数据分析案例。

大数据行为分析时，它是解决掉传统安全行为里都是以策略为驱动的，就和防火墙一样，没命中策略，就是说如果我命中这个策略就过了，叫策略分析，以前我们做的DLP里，这也都是以策略为驱动的，命中了敏感文件就认为你是犯法的，新的策略分析和APT攻击很难去，因为APT供给是3M，面向很多目标，很长的时间，很多的资产可能都被涉及到里面。3M一下去，面向防护的策略很难做防护。下一代安全做到一定是行为加上内容的方式。

2013年，RSA、EMC和美国东北大学一起做的案例分析，他抓了EMC公司自己两周的数据，通过这个数据（非监督行为学习），用聚类算法把所有相关因素全部都抓到一起，对中间网络行为传输数据出现的峰值和问题点它抓出来，当时它得到一个非常好的效果，发现了484个事件，只有8个事件当时在他安全设备上，WAF、防火墙上发现。通过SOC核实之后其中25%是真实的恶性事件，得逞没得逞另外一说，里面还有39%是属于违规事件，当然还有未能识别的原因，不知道它为什么会出现这么一个东西。这代表着将来网络安全发展的趋势，通过行为加上前面所谈到的内容，这是我们将来会再去做的一个主要方向。

今年底我们会推出一整套，DLP超越传统安全的，除了很大的覆盖之外，我覆盖了云，覆盖的应用，覆盖了网络，覆盖了终端，在这之外会加上整个内部行为分析，通过这个内部行为分析之后，达到整体的目的是防范内部的威胁。有25%的数据泄露实际是来自于内网，内部人员，这个比例在真实世界里会更高，我们看到实际是50%以上内部人员造成的泄密。DLP今天做的是什么呢？所有的攻击加上最后一层盖子，不管是SQL注入还是Webshell方式，我们会防止真正的数据泄露出去。