背景现状

近十几年来，大数据与云计算的发展让电子数据价值得到了充分的发挥，大数据的力量推动了全球经济的快速发展。

然而，“水能载舟亦能覆舟”，数据时代、大数据、云计算、经济全球化给企事业单位带来重大机遇的同时，也带来了巨大的风险挑战。

网络安全已逐步转变为数据安全，网络攻击目的由最开始的“炫技”变为现在的经济获利。目的更明确，攻击手段更加复杂多变，外网攻击、剽窃式“入职”、利益诱惑等等诸多问题让所有互联网机构焦头烂额。

如何在数据充分交互使用的过程中确保数据安全是数据保护的首要难题。

客户需求

我们首先需要解决以下问题：

1. 清晰明了地掌握我们所产生的数据内容与类型，各类数据的价值以及不同价值的数据该如何建立防护策略；

2. 据统计，当前大型数据泄露事件中，有超过3/4是由内部员工无意或有意的泄露造成，因此，如何发现员工的数据泄露或窃取行为并及时阻断，是各个单位数据安全需求的重点之一；

3. 数据量呈几何倍数增长，传统的数据防护手段已经无法满足当前的数据泄露防护需要，为了达到数据安全与便捷工作的平衡，必须要一种新的基于数据内容的识别技术，所有的防护策略必须针对企业敏感数据制定，非敏感文件应不受任何影响；

4. 互联网的发展使得企业办公异常便利，但数据泄露防护又不能以损失便捷性为前提。当前数据传输途径异常庞杂、种类多样，所以如何在各类传输途径中发现企业敏感数据并进行保护是数据保护中最难的问题；

5. 内部员工有意或无意的数据泄露行为往往都隐藏在正常的办公行为中，如何在诸多行为中精确识别这些异常行为，让客户不必在出现数据安全事件时再如大海捞针般地追溯事件源；

6. 数据泄露防护应以预防为主、防护为辅，因此，数据安全防护方案建设后需要能够提示展现相应单位的数据安全风险趋势，让客户能够更早地预见到可能出现的数据安全风险并提前采取预防措施。

解决方案

1. 建立全面的数据防泄露管理体系

数据安全保护还是应该以信息化数据生命周期为主线，聚焦信息化数据泄露防护相关的四大体系：组织、管理、技术、执行。

针对客户的数据安全管理能力进行评估，能够很好地帮助客户评估信息化数据安全管理能力，找到差距，有的放矢地提升安全管理能力。

数据安全保护的开展，首要任务还是从自身实际情况出发，对自身的数据安全进行定级、分类，分阶段进行定向安全防护。如下图所示，即数据安全管理能力成熟度模型，主要由5个等级组成，分别是：

弱化安全（等级1：无序、被动的安全管理）

计划安全（等级2：主动、未实施的安全管理）

规范安全（等级3：正式的、规范的安全管理）

量化安全（等级 4：指标可控的安全管理）

动态安全（等级 5：持续优化改进的安全管理） 

2. 数据防泄露平台建设

部署说明：

数据泄露防护系统平台

作用：整个数据泄露防护系统的管理中枢，负责对全网数据泄露防护模块进行统一策略下发，审计日志收集，数据安全风险趋势分析与可视化展现。

部署：部署网络安全管理区，采用旁路路由方式部署，只需路由可达即可。

数据泄露防护平台包括各类防护模块部署方式包括：

（1）网络数据防护模块部署

作用：网络数据泄露审计模块提供对网络传输中的数据及内容提供实时监控，对敏感数据外发行为提供预警、拦截和审计机制。

部署：通过一台可镜像的交换机或旁路代理方式把被监听的数据镜像或代理至网络数据防护模块的采集口，完成对内网数据的采集工作。

（2） 终端数据泄露防护模块部署

作用：终端数据泄露防护系统提供对终端敏感数据的保护。发现和定位存储在终端的敏感数据类型以及内容，对敏感数据的使用操作提供实时阻断和审计。进一步实现外发审批机制，实现特殊数据外发的需求。

部署：终端数据泄露防护系统旁路单臂连接至核心交换机中，通过路由机制实现对各区域终端主机的网络可达，完成主机策略下发的操作。

（3）客户端DLP代理软件

作用：接收来自终端数据泄露防护模块的终端数据防护策略，对保护主机的操作行为提供实施监测、阻断与审计。

部署：在受控终端中安装轻量级数据防护客户端。终端配置建议：I3处理器、2G以上内存。

方案效果

通过数据防泄露管理体系的建设，能够帮助企业全面梳理内网敏感数据，建立了一套完整的数据分类分级体系，明确的数据安全管理策略与防护规范，后期只需要按照制度执行，做到了有据可依。

系统采用基于自然语言与中文分词技术的新型数据内容识别技术，所有的防护策略只针对企业敏感数据，非敏感的数据使用不受任何影响，员工的日常使用习惯不会因安全而发生改变。

数据监控模块能够时刻监控企业网络环境中的敏感数据动态，发现日常工作中的数据泄露行为并及时告警，在安全事件发生之初采取果断措施，减少或消除事件影响。不再如以前那样被动防御，在事件溯源时如大海捞针般地查询海量日志。

终端防护模块能够阻止和审计纷繁复杂的数据泄露行为，支持禁用物理外设）、内容识别，拍照与截图溯源水印。

DLP系统兼容Windows/Windows Server等主流系统，且兼容MAC OS系统（国内首家），对复杂的终端环境进行全面数据泄露防护。

数据防泄露平台对防护模块进行统一管理，统一下发策略，集中收集各类违规行为日志，并进行数据风险趋势分析与可视化展示，让客户数据安全动态一目了然，助力快速决策。

世平特色

世平数据防泄露系统非常注重本身的安全性和高效性，选用了自主研发加固的安全操作系统（IDEAOS）和专用的硬件设备，系统文件采用全程加密，从而避免了自身安全漏洞带来的安全风险。

世平数据防泄露系统除了系统自身安全性考虑外，还研发了多项优势与特色功能，确保世平的DLP系统能够切实有效地保护客户数据安全。

世平数据防泄露采用的特色功能有：

全面数据的内容识别：支持文档类型有OFFICE办公文档、PDF、纯文件、标记文本、源代码、图片内容等超千种以上，涵盖当前市面中99%以上的文档类型。

特色OCR识别技术：系统采用独有的基于保密行业的OCR识别技术，实现对图片格式文件的敏感信息检查。

多核多线程并行处理：系统采用多核多线程的技术架构，实现多任务的并行处理，以充分利用设备的处理性能，大大地提高数据检查的效率。