选型宝访谈：面对APT攻击，如何以DLP构建数据泄漏的最后防线？

写在前面

在“数据即一切”的时代，数据安全是选型宝社区用户讨论最多的话题之一，也是这些IT管理和决策者们平时绷得最紧的那根神经。对于银行、保险等金融企业的CIO和CSO来说，情况更是如此，因为与其他行业相比，金融企业拥有的数据资产更庞大，也更关键：账户信息、交易数据、用户身份信息……保障这些核心数据资产的安全，对CIO和CSO们来说，是份内工作，更是使命和责任。

然而，要选择一款合适的数据安全产品，却不是一件容易的事情。长期以来，数据安全技术一直被国外企业所垄断，相关产品不但价格昂贵，还无法满足国内很多企业的合规性要求。

近两年来，这一尴尬局面正悄悄发生着变化：一家成立时间并不长的中国数据安全公司，经过几年的潜心研究和精心打磨，推出了以UCS（统一内容安全）技术为核心的DLP（数据泄漏防护）产品和解决方案，不仅缩小了我国新一代信息安全技术与世界先进水平的差距，更有效提升了我国在数据安全领域的自主可控能力。

这家公司，就是天空卫士。

那么，天空卫士到底是怎样一家企业？他们是如何在短短几年内，以自主技术，打造出“中国智造”的DLP产品的？带着这些问题，选型直播采访了天空卫士的合伙人兼技术总监杨明非先生。

下面，就让我们一起来听，选型宝首席架构师李维良与杨明非先生的精彩对话吧。

杨明非 天空卫士 合伙人&技术总监

李维良 选型宝 首席架构师

李维良（主持人）

信息安全、网络安全、数据安全，它们之间的区别是什么？

杨明非

信息的概念很宽泛，它可以是落在纸面上的，也可以是存在电脑里的，也可以是记在大脑中的，当我们需要对这些信息进行保护的时候，信息安全的概念就出现了。因此，在这3个概念中，信息安全最大，也提出得最早。

随着计算机网络的出现和普及，网络安全的概念应运而生了。顾名思义，网络安全是和通信链路相关的，它更关注数据在传输过程中有没有被攻击和窃取。

近年来，数据安全的概念越来越受到关注，并频繁出现在我们的技术话语中。一方面，随着大数据时代的到来，数据已成为企业的核心资产，被人们称为“没有进入资产负债表的资产”,其价值正日益凸显。另一方面，来自内部和外部的安全威胁也变得日益频繁和复杂，而无论是防护还是窃取，目标都会落在数据上，数据安全无疑是信息安全的核心与灵魂。

从信息安全到网络安全，再到数据安全，是一个逐步聚焦的过程，也基本代表了安全理念和安全技术的发展历史。

李维良

今天的企业，特别是银行、保险等金融企业，所面临的安全威胁有哪些新的变化？

杨明非

在所有行业中，金融无疑是最受黑客“青睐”的行业。在银行、保险、证券等企业中，存有大量和钱相关的信息，如账户信息、交易数据等，同时还有大量的客户信息，如身份证号、电话号码等。这些信息数量大、价值高，很容易成为攻击者的猎取目标。

随着时间的推移和技术的发展，这些企业所面临的安全威胁，也发生了“日新月异”的变化。大家可能还记得，在2008年奥运会期间，发生过多起针对银行系统的DDoS攻击，这些攻击以业务系统的“可用性”为目标，利用目标系统网络服务功能缺陷，或直接消耗其系统资源，使目标系统无法提供正常的服务。

而今天，APT（Advanced Persistent Threat）攻击开始大量出现，这类攻击均以窃取数据为目标，而且更加隐蔽，更加专业。新型威胁的大量出现，为金融企业的数据安全，带来了新的挑战。

李维良

今天，面对日益复杂和频繁的安全威胁，我们需要哪些新的理念、技术和产品？

杨明非

为了抵御各类安全威胁，金融企业配备了防火墙、IPS（入侵防护）、IDS（入侵检测）等安全设备，这些传统的安全设备有一个共同的特点：它们无法感知内容。

比如，它们能够检测到，某个URL中包含了一个SQL注入攻击，但它们无法知道，一个正在出站的WORD文档中的某张图片，包含了50条敏感的个人身份信息。

在新的安全威胁面前，传统防护设施已显得捉襟见肘，力不从心，无法为企业的核心数据资产提供更有效的保护。在这种情况下，一种新的理念和趋势出现了，那就是以数据为中心的安全，而基于UCS（统一内容安全）技术的DLP（数据泄漏防护），就是在这一趋势下诞生的典型产品。今天，业界普遍认为，采用UCS技术的DLP和ASWG（增强型Web安全网关）是保护用户核心资产的最有效途径。

李维良

UCS技术有哪些核心内容？它是如何对文件的复杂内容进行分析的？

杨明非

UCS基于统一的企业数据安全策略，通过指纹识别、数据分类、实时安全扫描等先进的数据安全技术，对企业各种数据内容进行全方位的保护，包括企业敏感数据的泄漏检测和阻断、恶意代码或病毒的下载保护、恶意网站访问的识别和拦截等。

文件内容分析是UCS的核心技术之一，它的实现细节，讲起来时间会比较长，我在这里只为大家简要介绍一下。首先，我们要建立各种通道，将数据捕获过来，这个通道可以是网络中的一个旁路，也可以是终端上的一个插件，或者是一个代理服务器。获得数据之后，我们要做的第一个动作，是按照协议和格式，将其还原成文件。如果文件的内容是图片，我们会利用OCR（光学字符识别）技术，将其转换成文字。对于文字内容，我们会进一步做自然语言的语义分析，判断其中是否包含敏感信息，如果有敏感信息，再做阻断、加密等后续处理。

将上述过程拆开来看，每一步都不是特别复杂，但要将其整合起来，并在网络上实时运行，快速处理大量数据，就非常具有挑战性了。

李维良

做为专业的数据安全厂商，天空卫士都有哪些产品？

杨明非

基于UCS技术的数据安全，是天空卫士成立之初就定下的目标，几年来，我们一直在这个方向上不断努力着。

为了将UCS技术落地到产品，我们开发了几个引擎：一个是“内容识别”引擎，负责对存储中的数据、传输中的数据和使用中的数据做深度的内容分析和识别；第二个是”数据获取”引擎，它的任务是将数据高速地抓取过来；第三，我们利用云技术，扩大系统的部署规模，实现对数据的更灵活、更强大的保护。

以上述几个UCS引擎为基础，我们布局了DLP（数据泄漏防护）、ASWG（增强型Web安全网关）、SEG（邮件安全网关）、云安全、移动安全等产品，它们共同构成了基于统一内容安全技术的企业数据安全防护体系。

李维良

您今天带来的SecGator DLP，它的产品形态是怎样的？

杨明非

SecGator DLP是我们的主打产品之一，它实际上是一个产品系列。从形态上来说，既有硬件盒子，也有虚拟机这样的纯软件。从功能上来划分，则有三个大的类型：第一种是网关，它主要是以旁路、代理等方式，获取网络流量；第二种是终端，它以软件的形态，安装在Windows或苹果电脑上，并对USB口输出等行为进行监控和管理；第三种是管理平台（UCSS），它是整个系统的大脑。

李维良

SecGator DLP 支持哪些部署方式？

杨明非

SecGator DLP的部署方式非常灵活，既支持传统的本地部署，也支持混合云部署和纯云化部署。

传统部署是大家比较习惯的一种方式，在这种方式下，SecGator DLP网关（UCSG）以合盒子的形态，串接在企业内网的出口处。UCSG监控所有的网络请求，并将监控到的敏感信息发送至UCSS做DLP事件记录。

对那些拥有很多分支机构的大型企业来说，购买大量的盒子，不但需要庞大的费用支出，也会带来管理上的难题。在这种情况下，混合云部署是不错的选择。在这种方式下，网关（UCSG）被搬到了云端，成为Hybrid UCSG，本地终端通过路由器GRE方式，将流量指向Hybrid UCSG，后者监控所有的网络请求，并将监控到的敏感信息发送至UCSS做DLP事件记录。

而对于100人左右，甚至规模更小的企业来说，纯云部署无疑是更经济适用的方式。纯云部署将UCSG和UCSS全部搬到了云端，企业只需通过路由器的GRE方式，将流量导向云端的Cloud UCSG，自身不需要额外购买任何硬件设备。

李维良

面对海量数据和深度内容分析所带来的大吞吐量和高密度运算，SecGator DLP是如何解决性能瓶颈问题的？

杨明非

SecGator DLP系列产品的高性能，是通过两种方式得到保证的。首先，在设计上，我们采用了统一而灵活的系统架构，在这个架构下，我们又使用了很多新技术，以确保每个单体的高性能。

第二，我们同时使用了并行计算技术。SecGator DLP中的任何一个模块，我们都可以把它拆分出来，并按需进行横向扩展。通过灵活扩展和并行计算，可以大幅提高SecGator DLP的整体性能。

李维良

哪些行业、哪种类型的企业更需要SecGator DLP这样的产品？目前有没有成功的应用案例？

杨明非

针对DLP产品，我们前段时间刚做了一个市场分析，发现各行各业都需要它， 只要你的企业有数据，并认为数据是企业的重要资产。

当然，这其中也有一些热点行业。首先是金融企业，它们自身有数据保护的强烈需求，同时又有更多的合规性要求；第二个是互联网企业，特别是那些2C的公司，它们手里有大量的个人隐私信息需要保护。另外，医疗、制造业、军队、政府等，也是DLP产品的需求主体。

目前，天空卫士的SecGator DLP等数据安全产品，已经在航空、快递物流、金融（银行、保险、基金、证券）等行业，得到了非常广泛的应用。

李维良

SecGator DLP和ASWG与新一代防火墙（NGFW）是什么关系？

杨明非

ASWG和NGFW在功能上有一些交集，比如，它们都可以对URL进行分类，知道用户访问了哪些网站。SecGator DLP/ASWG与NGFW、传统防火墙、上网行为管理等设备等并不冲突，它们可以配合使用，共同为数据提供多重保护。

但是，与DLP产品相比，其他安全设备都无法对文件的内容进行深度分析。比如，某个员工向外发送了一个WORD文档，这个动作很多设备都可捕捉到，但是只有基于UCS的DLP会告诉你：这个文档内嵌了一张图片，而图片中含有50个敏感的电话号码。

李维良

SecGator DLP是从那一年开始研发的？当时为何选择了数据安全这样一个创业方向？天空卫士的创业团队有哪些优势？

杨明非

天空卫士公司创立与2015年1月。当时，基于深度内容分析的DLP技术都掌握在外国公司手里，相关产品也是对中国禁运的。而在国内，做DLP的企业都以加解密为主，没有一家是基于UCS的。

在这样的背景下，我们成立了天空卫士这样一家安全公司，立志要打破国外企业在数据安全领域的垄断，立志要做一家中国最顶级的基于UCS技术的数据安全厂商。

数据安全是一个需要深厚知识沉淀和经验积累的行业，我们的几位合伙人，大多是来自全球顶尖安全企业的高管，年龄都超过了40岁。我们公司的创始人兼CEO刘霖是原Websense公司的中国区负责人，在数据安全行业摸爬滚打了16年。

目前，我们已在北京和成都，建立了两个研发创新中心，技术团队的核心成员，来自于美国硅谷、跨国安全公司在华研发中心、大型互联网及知名网络安全企业。

李维良

与国外厂商的同类产品相比，天空卫士的产品有什么特点和优势？

杨明非

像Symantec（赛门铁克）这样国外老牌安全企业，它们的产品线都比较长，各种各样的安全产品一应俱全，而我们则专注于数据安全这个细分领域，这是我们的劣势，也是我们的优势。

与国外的同类产品相比，我们不仅具有自主可控的优势，也正努力在技术和产品上实现超越。通过在数据安全领域的深耕细作，我们已经在四五十个功能点上超越了国外的同类产品。

与国外的安全企业相比，我们更了解中国的国情，并能为国内用户提供更及时、更贴心的支持和服务。

李维良

大数据和人工智能等新技术的出现，对数据安全产品有哪些影响？在IT新时代，天空卫士对未来有怎样的规划。

杨明非

大数据和人工智能技术的研究和应用，是我们努力的重要方向之一，基于这些技术的新功能，也会是我们下一代产品的重要组成部分。

未来，我们的产品会收集更多的数据，并以此为基础，利用大数据分析、机器学习能算法，在深度内容分析之外，强化用户行为分析功能，并形成数据泄漏防护的更完整的框架。

大数据、人工智能等新技术的出现，为我们提供了弯道超车的机会。对新技术来说，大家处在相同的起跑线上，而我们没有任何的历史包袱。在数据安全领域，我们会不断努力，为中国用户持续提供更多更好的产品和服务。

李维良

谢谢杨总的分享。