2.2 内容识别

区别于传统的防泄漏技术手段，如加解密产品、数字权限管理产品等，DLP 以数据为中心，采用数据内容识别、发现的方法，对经过其监控通道的数据进行分析，一旦 发现敏感数据就会触发相应安全行为。

DLP 采用完全自主开发的识别引擎对数据进行识别和检测。它支持常用的大 多数格式的文档内容检查。包括 Word、Excel、Ppt、Pdf、Txt、Rar、Zip、7z 等。并支持文 档嵌套以及文档不同部分内容如页眉页脚、文本框的检测。在检测算法上，DLP支持正则 表达式、关键字、关键字模糊匹配、多关键字（词典）、关键字间距、非结构化文件指纹、 结构化数据确切匹配、支持向量机等，保证了在不同条件下针对不同数据的检测手段。

DLP 不仅支持非结构化数据，如普通 Doc 文档，也支持结构化数据的安全检测，包括 xls 文档、数据库内容。最大限度的保障企业不同类型数据资产的安全。

2.3 防护范围

DLP 与其它安全产品相比，它的防护面积更加广泛。它不仅针对结构化和非 结构化数据，同时在防护手段上，它能覆盖终端所有的泄密通道以及可能的网络泄密通道。 从而构成了一个以企业网络出口为边界的防护面积。

在终端，DLP 可以监控打印、CD/DVD 刻录、U 盘、移动硬盘、存储卡、网络 共享、红外、串口、文件拖拽、内容拷贝等行为，对通过 IM、邮件客户端等发送敏感信息 的方式也进行监控，从而最大程度的降低终端泄密的可能性。

在网络端，DLP 通过部署在边界上对来往的数据流量进行分析，审计或者防 止敏感数据的外泄。它支持 SMTP、FTP、HTTP、P2P、Telnet 等大量协议，完整性较高。

同时 DLP 也通过邮件子系统对内网邮件内容安全进行管理，可及时发现通过 企业内部邮件系统收发的所有邮件交互所携带的敏感数据，或者不合适的接收者。

2.4 防护目标

DLP 的目标是保障企业核心数据的安全，不被泄露。这些数据包括企业知识 产权，如产品代码、设计文档等；还包括机密内容，如政府涉密文件、财务报表、重要邮件 等；以及隐私数据，如身份信息、薪资数据等。这些数据一旦泄露，给企业带来的风险以及 损失难以估量。

以上数据可能会存在用户的不同位置，被用户以不同的方式使用。DLP能够保护用户 终端、网络以及存储服务器中的数据安全。通过在不同的位置采用不同的技术手段，确保在 任何位置任何使用方式下，数据泄露风险都能得到有效降低。

2.5 防护手段

    分类分级

DLP 提供先进的数据分级分类技术，对企业内网中分布的各种文档数据进行 自动化归类处理。它采用自主研发具备自主知识产权的分类引擎，能高效的鉴别文档

分类，进而形成文档分级，为数据下一步管理提供重要依据。

    敏感发现

DLP 提供的检测手段包括实时分析以及数据发现。实时分析针对当前被访问 的文件或者内容，通过快速的检测得到结果，譬如用户将一个敏感文件复制到 U 盘中时会 触发实时分析。数据发现则是面向存储容器中大量的数据而言，通过一定的扫描方式定位敏 感数据的位置。

    处置

当敏感数据存在泄露的可能性时，DLP 通过相关手段进行处理，尽最大可能 确保数据安全。

加密: DLP 集成了自主知识产品的文件透明加密功能，可根据需要对文 件数据进行加密，防止文件被恶意窃取或意外丢失后内容泄密。

阻止:  发现敏感数据即将离开本地时，如被移动到 U 盘中，DLP 可以进行阻止， 防止文件被拷贝或发送到外部。

警告:  对可能存在的泄密行为提出警告，警告一般以弹出警告窗口方式对用户进行提醒。 用户可根据选项选择继续进行或中断操作。

记录:  对敏感度较低的内容系统会进行记录，将安全事件发送到统一管理平台做统一存 储。该行为不中断用户的操作，对用户透明。

告警:  对系统鉴定的安全事件，发送邮件到相应人员通知该安全事件，以便管理人员及 时采取防范措施。

    审计及管理

DLP 采用统一安全管理平台，对企业内所有安全事件进行统一采集和审计管 理。