技术原理

UCWI可以作为企业应用数据安全的“外脑”，对应用交付过程的数据进行深度内容检查，或者我们可以将UCWI视作企业应用内容的安检平台。第三方应用通过调用UCWI Webservice API, 可以获得文件内容安全状态与违规信息。

UCWI的工作模式如下：

▪ 用户端和APP应用之间进行交互，进行文档的上传或者下载工作

▪ APP应用在接收到用户端上传文件、下载文件、共享文件的请求后，将文件内容发送给UCWI

▪ UCWI根据预先定义的策略对内容进行识别处理

▪ UCWI将文件的密级、命中策略等相关信息返回给应用系统

▪ 应用系统根据返回的结果做出判断

▪ 管理员可以通过UCSS统一管理平台查看文档的检查情况，生成数据内容检查报告

产品功能

对数据流转的渠道全面覆盖

UCWI数据保护的对象和能力不能仅仅局限于某个场景，不仅要针对过往的数据泄露行为进行管控，还需要跟上企业的IT发展步伐，兼顾企业数据流转的方方面面（ 应用、终端、网络、云数据、邮件、移动终端）。

对海量数据的内容识别检测

通过简单的接口调用，数据中转平台将业务数据通过 API 发送给 UCWI，解决了以往人工无法完成的任务：

▪ 海量数据的脱敏检查：审查脱敏数据内容是否脱敏合格，防止敏感 / 价值数据流入办公 / 研发区域。

▪ 检查数据异常传输，对异常的数据下载进行监控。

▪ 对中转数据内容进行识别，帮助管理者掌控数据资源传输情况

结合人工智能技术实时保护应用中的数据资产

对用户业务应用中所有文件调用的数据进行审计与保护。通过大数据与人工智能技术与上下文内容感知技术结合，对用户内外网区域调用业务应用中的数据进行持续可视化与可信度评估，实时检测异常文件调用风险，并通过与业务应用的管控策略进行联动，实时保护用户业务应用中核心数据资产。

业务系统自动调用RESTful，对数据内容进行深度检测

在业务系统区部署接口形式的UCWI设备，业务应用自动进行内部调用数据、调用方、接收方、时间等信息，通过RESTful方式发送给UCWI设备的接口，由该设备对该数据进行深度上下文内容和安全风险识别解析。

业务系统根据策略自动执行响应

UCWI设备及时发现数据风险信息和安全状态，并将检测结果返回给业务系统。业务系统根据检测结果、触发策略等级与类型，结合内部管理流程对该行为进行审计与阻断保护，同时配合用户安全策略，进而实现对用户业务应用安全审计、自动化保护与审批流程工作流。

支持多种内容检查接口模式

通过接口对接，对业务流程中传输的数据进行内容分析，将扫描结果反馈给平台，UCWI支持通过同步接口，异步接口，外部检查接口的形式返回检测结果。

实现对不同系统中文件的细粒度权限管理

UCWI可对文件的使用权限进行细粒度的控制，拥有10余类的权限控制（浏览、阅读、关联、修改、创建、打印、下载、更改权限、更改所有者、删除、更改位置、禁止拷贝、禁止截屏、启用视频监控、完全控制）。通过UCWI对文件的内容分析结果反馈，自动关联文件内部对该文档的访问权限，实现文档的自动分类分级管理。

只有具有相应权限的用户才能进行相应的操作(例如文件的上传，没有权限看不到相应的文件)，没有权限的用户访问和使用文件，必须通过用户权限申请，由资料库管理员审核，实现了部门内部数据的最小权限管理，有效保护了数据的安全。

统一内容响应策略，同步不同业务系统的策略管控

部署统一的系统管理平台，对于所有UCWI设备进行统一管理，包括统一的策略定制与推送、对各组件捕捉到的安全事件进行统一事件管理、详细证据管理，供今后进行管理审计；能够进行刷选、统计、生成灵活的报表，同时收集所获得的泄漏事件。

识别多种风险，有效防止内部各种威胁

传统信息安全关注于“防外不防内”，对于来自内部的数据威胁，或者通过APT潜伏与内部的外部攻击威胁，防护能力薄弱。针对当前内部威胁极具增长的现状，UCWI能够提供更加有效的内部威胁防护，采用了本地加云端实时威胁查杀技术，可以减少最新的病毒、蠕虫、木马、恶意软件、未知威胁等对企业用户安全的影响。

产品特点

部署方式灵活

区别于传统网络信息安全产品的部署模式，UCWI可通过与被监控系统API接口对接的方式进行联动，因此部署位置和形式更加贴近于系统或平台本身，更有效的为企业核心资产提供保护。

基于深度内容识别的安全保护

不同于传统的基于威胁的安全防护理念，UCWI以用户为对象，通过数据内容的维度，提供更加直观、有效的数据防护理念，防止企业的指定数据或信息资产以违反安全策略规定的形式通过合法数据外发通道流出企业。

无依赖，不改变操作习惯

不依赖任何业务资源独立部署，无需改变网络架构。该项目不涉及对原始数据进行加密解密，不改变用户日常的使用习惯与业务流程。

审计流程自动执行

对调用的数据进行深度数据监测审计与阻断，同时配合企业安全策略，进而实现对用户业务应用安全审计、自动化保护与审批流程工作流。

支持云环境部署

UCWI支持公有云、混合云、私有云部署。

关键技术

基于DLP引擎的内容识别

在UCWI中的数据内容识别方面，延用天空卫士DLP深度内容识别技术。天空卫士在2018～2021年连续三年入选“Gartner全球DLP市场指南(Market Guide for Enterprise Data Loss Prevention)” ，是唯一的中国厂商以及亚洲地区唯一代表厂商。

数字指纹技术

无论是具有结构化格式的数据，如客户或员工数据库记录；还是非结构化格式的数据，如Office或PDF文档，SkyGuard可对其进行扫描和提取，并可以配置为定期自动更新，保证指纹数据永远和机密数据同步，不管信息泄露者采用何种数据变形手段都无处遁形。

▪ 结构化数据(数据库)，如客户信息，数据库管理员无需分配特殊权限或干预数据库服务，DLP仅需以只读权限对数据库表抓取指纹并录入指纹数据库，并可指定安全策略引擎进行整行数据记录匹配，减少误拦截。

▪ 非结构化数据(文件)，如红头文件，将文本文件分段后选择性地计算各片段的哈希值，并将哈希值存入指纹数据库中供安全策略引擎进行相似度对比，既可以非常精确的辨认出原始文件内容，也能够识别在一定范围内修改后的文件内容。

OCR光学识别

DLP安全策略分析引擎对图片、打印文件等提取文字并执行安全策略检查，无论是网络、邮件、还是存储通道。进行光学字符识别内容分析，特别适用于网络传输、数据发现以及打印服务器的信息泄露。

▪ 提取图片甚至视频中的文字敏感信息

▪ 打印文件中的文字敏感信息识别

▪ 截屏（截图）等行为进行监控分析

▪ 对于红头文件扫描件、传真页、票据，表单等也能解析和识别

▪ 识别多种语言

机器学习

机器学习可以对大量的无特定格式文件样本进行快速学习和分类，分类产生的模型（Model）可用来对数据进行分析并计算该数据是否属于某一个分类。机器学习的优势在于其生成的模型的大小基本恒定，所以很适合处理大量的样本，另外机器学习技术可以对新的、并未出现在样本中的数据进行较为准确的预测。

▪ 基于人工智能的预测机制，通过分类样本中共同的”特征”进行预测和分析

▪ 无格式文本文件样本进行快速的分类

▪ 适合处理大量的样本

▪ 对新的、并未出现在样本中的数据进行较为准确的预测

风险识别技术

除支持数据上下文识别，还包括数据风险识别（病毒、木马、恶意数据行为等）能力。UCWI集成了URL分类查询功能，并采用了Web信誉评分技术，用于根据指定的敏感度级别来识别风险，以及确定是否允许URL访问，采用本地加云端实时病毒查杀技术，实时应对最新的病毒、木马、网络威胁、未知威胁。

高速检测技术

能同步或者异步方式返回检测结果，可扫描高达2GB单个文件的全部内容

多种接口检测技术

同步接口

客户端通过 RESTful 接口将内容提交到 UCWI ，等待 UCWI 分析完毕后返回检查结果。

异步接口

客户端通过 RESTful 接口将内容提交到 UCWI，无需等待分析结果。事后可以通过事件查询指 令查询检查结果，通过证据文件查询指令获取对应的证据文件。

外部检测接口

对于 S3 类型外部存储，客户端将被检查 URL 提交到 UCWI，UCWI 主动去分析提交的 URL 所对应的数据存储，并将检查结果返回给客户端。

应用场景

通用应用方式

▪ 统一内容安全管理平台直接管理

▪ 业务系统 / 功能模块 接口对接。将业务流程中传输的数据进行内容分析。

▪ 依据策略，将结果返回业务平台，平台可以根据结果进行动作

▪ UCWI 将出发策略的扫描结果作为事件反馈安全平台

▪ 需要时留存必要的证据，作为事后分析参考

云盘的安全防护

企业云盘通过接口的调用，在用户通过内外网上传资料时或定期对文件进行扫描，将扫描结果反馈给UCWI，根据UCWI反馈结果允许或阻断文件，保证文件外发的合规安全。
UCWI旁路部署：由文件云的数据识别模块调用，对传输的内容进行深度检查。一般情况下，企业云盘都基于不同存管空间的多种共享方式，无论何种方式共享系统都可以通过UCWI完善的安全机制保障文件的安全共享。

网间数据交换

文件云可通过集成UCWI应用数据内容安全平台的防泄密检测功能，对系统数据进行防泄密保护。UCWI对已定义的特征文件进行保护，诸如应用程序生成某些类型的文件、包含关键字或字典集的文件、已经生成文档指纹的文件等。

在用户请求文件交换之后，将待交换文件经由UCWI做内容检测，确认文件不涉及机密或者无需审核时，系统才将交换文件进行加密、添加验证信息、打包等处理后传输至网间交换区。如果文件涉及机密信息，则根据文件不同的信息敏感等级，进入审批流程，发送给相关审核员及管理员进行二次审核，只有当审核通过后，系统方才处理用户的交换文件传输请求。否则，文件无法进入到交换区。

文件外链分享

对于超过数10MB的大文件，往往很难分直接发给外部用户，文件云可通过外链将文件进行分发，轻松实现大文件外放需求。

云邮件安全防护

第三方应用为云邮件，系统通过调用天空卫士WebService Inspector扫描用户发送邮件中是否有违反公司DLP策略的内容。

业务系统的安全防护

UCWI通过API接口的方式与业务系统进行结合，可最大限度的对进出数据的实时状态进行监控，并通过结合业务逻辑做出相应判断与业务系统进行联动，以最大限度降低上述风险的发生，并可对发生的事件进行记录并用于以人为对象的快速反查和定位。

▪ 相关平台的数据传输的内容控制：避免内容与标题不一致，防止数据资产流失

▪ 审批可监控：检查审批事件与流转数据的真实性，避免恶意敏感数据外泄。

▪ 流转数据监控：记录敏感数据通过业务系统通过正常通道流转，数据使用可追溯。

应用的安全防护

对应用之间流转的数据进行监控，对非法的内容流转进行阻拦，防止合法内容的不合规流转进行监控、审计，例如数据管理员借助数据流转通道传输其他数据内容，或者不按正常流程传输合法数据内容的操作。

通过UCWI可对在数据流入或流出的接口处对数据的脱敏状况进行检验，以防止脱敏失败、人为规避、恶意攻击导致的敏感数据曝光。

大数据安全域管控

行业云大数据平台一般包括各种数据的收集应用、数据存储、数据挖掘分析、数据交换分发等应用以及其他各型各色的各种数据生产者和消费者应用。基于行业的大数据平台作为最基础的架构提供者，针对其行业特点往往需要将平台上运行的各种应用归纳入几个不同的安全域，数据在不同安全域之间的流转必须通过大数据平台的基本数据安全策略检测。天空卫士UCWI则起到了安全域数据流转策略中央控制台的作用，当不同安全域的各种应用在将数据流转到其他安全域的时候，可以Web Services的方式将数据送交给天空卫士UCWI设备来检查要流转的数据和场景是否符合大数据平台的数据安全策略。例如，负责将进行数据发掘后的结果分发给平台外的第三方消费者的应用将结果分发给外部安全域时，将要分发的数据送给UCWI设备，UCWI设备则可以有效防止一些残留的敏感信息，例如不良信息、个人隐私信息、或者政务敏感信息等被送到平台外。

产品案例

在招商银行、中国银行均有相似案例提供技术支持。

另外，在建行前期的国产DLP项目中，在数据资源池项目对接中天空卫士已经完成了对接测试且效果出众。