过了“安全检查站”，数据天高海阔任逍遥

数据安全防护存在的短板

数据资产与硬件资产不同，数据需要进行流动，也只有流动的数据才能给企业带来价值。数据在流动的过程中会在终端、网络、应用、存储等位置上进行传输、使用和留存，无处不在。也许在企业安全防护中，您已经采用了很多安全措施，比如，为了保障外发邮件的数据安全，使用了邮件审计和加密，为了保护电脑终端的数据安全安装了终端DLP，为了互联网外发数据的保护安全，添置了网络DLP等等防护措施，只愿敏感数据“安好”。但是，似乎我们还忽略了什么。除了这些可见的办公数据、个人数据，作为企业最重要的应用系统，他们之间交互数据的安全我们是否考虑过由谁来保障？在著名的Facebook事件中，数据泄漏的根本起因就是将应用获得的用户意向数据发给了数据挖掘公司，直接导致它的股价下跌，引起大众对其隐私泄露的信任危机。

可见疏于对应用系统中的数据做防护，已经成为企业数据安全防护的短板。这些企业核心的数据资产，一旦发生泄密，将给企业造成巨大的经济损失和名誉损失。

用什么技术来解决短板

我们需要有一种能力，对应用中传输数据的内容进行检测，知道系统中输出了什么数据，有哪些数据是合理允许传输的，哪些数据是不安全的、是含有敏感数据或者不正当内容的（比如是否含有不正当的政治言论）从而禁止这些数据被传输。这种能力在下面要介绍的UCWI（天空卫士统一内容安全审查平台）得到了完美的体现。

UCWI的技术原理

我们知道，应用中的数据可以分为静态的数据和传输中的数据。静态数据我们可以理解为存储在应用内的数据。而传输中的数据可以有各种类型，包括上传数据、下载数据、分享给第三方的数据，应用内部间流转的数据，这些数据构成了应用数据保护的基础场景，使用UCWI与应用进行对接，可以对于应用中的数据内容进行检查和保护，如下图：

针对这些数据应用场景，UCWI是如何配合应用实现数据安全防护的呢？

存储中的数据：

可以让应用将这些数据所分布的存储位置发送给UCWI，UCWI可以到相应的存储位置获取数据进行检测，并将数据安全相关的信息（文档的类型、数据的类别、涉及的风险、敏感信息数量、是否存在恶意数据操作行为、风险级别有多少等等）反馈给应用系统。这样应用就可以利用这些信息对相应的位置进行标记，并实现精细化的安全控制。

流动中的数据：

针对流动中的数据，这里其实流动的概念极其广泛，包括对应用的数据上传（如网盘）、数据下载（报表、日志的下载）、数据对外传输（向第三方应用传递数据，比如网闸传递数据）、数据对内流转（ 如：IM内的不同用户间的数据传递）。这些数据都可以投递给UCWI进行检查，并将对检测结果反馈给应用，由应用根据检查结果来决定下一步的动作。

UCWI的应用价值应用赋能：

有了UCWI，我们的应用就具备了数据识别的能力，能够很清晰的掌握传输、存储的数据是否合规、是否涉密、是否含有病毒木马等。识别并记录敏感信息的流动，能很清楚知道某一个敏感信息在什么时间被谁使用过、在哪篇文档中使用过、发送给了谁。在基于角色、权限的控制之外，增加了对于数据内容的判断，为应用赋予内容识别，这样应用可以更加精细的进行数据存储控制、分享控制、使用控制、传输控制，使得应用数据安全得到最贴身的安全防护。

应用更加智能：

UCWI除了给应用做了安全赋能以外，同时还让我们的应用更加“聪明”。在国外，DevOps强调了高效组织团队之间如何通过自动化的工具协作和沟通来完成软件的生命周期管理，从而更快、更频繁地交付更稳定的软件。同样，应用也需要能够有一套智能的、更加聪明的自动化管理和运维的流程。利用UCWI，应用非常清晰地掌握被使用的数据的风险，并完全能够利用这样的识别能力进行自动化的操作而无需人工介入。（如：研发网的数据通过网闸进行传递，再也不需要让人进行审批，应用非常清楚传递了什么，哪些该传，哪些应该自动拒绝。）

天空卫士UCWI的特点

天空卫士UCWI能通过与应用的对接，对于应用内流转的数据进行深度分析，通过预先制定的策略，对这些内容进行匹配，发现其中的敏感信息或者不正当传输信息，并且通过与应用系统或其他安全系统的联动，实现对于数据审计和控制。天空卫士的UCWI具备了以下的特点：

通过灵活的部署方式保护核心业务

区别于传统网络信息安全产品的部署模式，UCWI可灵活的通过API接口与应用进行联动，因此部署位置和形式更加贴近于系统或平台本身，更有效的为企业核心资产提供保护。

基于内容识别的安全保护

以用户为对象，通过数据内容的维度，提供更加直观、有效的数据防护理念。

针对内部威胁更加有效的防护

传统信息安全关注于“防外不防内”，对于来自内部的数据威胁防护能力薄弱。针对当前内部威胁极具增长的现状，UCWI能够提供更加有效的内部威胁防护。