从 2008 年起欧美科技界就已经开始推出新一代的信息安全技术和产品，针对 APT 攻击、钓鱼信息、内部 数据窃取等新的安全威胁采用统一内容安全 UCS(Unified Content Security，简称 UCS)技术。 UCS技术在全球的政府、 企业大量部署使用。中国大量的企事业单位、500 强企业也在频繁使用这类的国外产品。 统一内容安全架构（UCS）将安全 Web 网关所具有的实时网页内容分析技术和恶意软件保护技术与数据防泄露技术及邮件安全、智能手机数据安全技术相结合，帮助企业及其关键数据对抗各种混合威胁攻击和 APT 攻击。 同时，简化管理流程、降低总体拥有成本。UCS 技术能够在一个策略管理下为拥有众多分支机构，并混合部署了 边界解决方案 (On Premise) 和安全即服务 (SaaS) 的企业 提供不间断的进站威胁和出站风险保护。

业界普遍接受的对于数据防泄露（Data Loss Prevention：简称 DLP）技术的定义是“以统一策略为基础， 采用深层内容分析、对静态数据、动态数据及使用中的数 据进行即时的识别、监控、保护的相关技术”。 传统企业安全体系主要面向以网络与已知威胁，安 全技术路线主要是防火墙、IDS/IPS、防病毒等被动防御 手段，主要防范的风险是由外往内的网络攻击。而针对企 业内部最核心的数据资产包括知识产权、商业机密、个人 信息等数据，缺乏针对性的、有效的防护措施及安全管理 制度技术落地与审计技术手段，需要基于内容感知的 DLP 技术应对来自内部、外部的数据泄露与窃取威胁。 天空卫士数据防泄露解决方案 ( 天空卫士 DLP，也称 为 SecGator DLP) 采用深度内容识别技术，如自然语言、复 合型指纹、智能学习、图像识别、标签分类等，通过统一 的安全策略，对静态数据、动态数据及使用中的数据进行 全方位多层次的分析和保护，对各种违规行为执行监控、阻断等措施，并对数据的全生命周期进行审计，防止企业 核心数据以违反安全策略规定的方式流出而导致的泄密， 实现对企业最宝贵核心机密数据的保护和管理。天空卫士 DLP 按部署位置与产品形态主要分为网络数据防泄露与终 端数据防泄露；产品可以单独部署，也可以联合部署，通过 统一内容安全管理平台（UCSS）集中管理设备、事件与策略。 除了一般非企业级 DLP 具备的简单文件提取识别能 力外，天空卫士 DLP 还包括更先进的深度内容检测识别 技术与管理能力，包括：

天空卫士网络数据防泄露安全网关 ( 网络 DLP， Data Security Gateway：简称 DSG)，根据用户网络边界定 义、网络数据流转通道与保护需求，网络数据防泄露支持 多种协议（HTTP/S、SMTP/S、FTP/S、SMB、自定义协议 等），深度审计所有通过网络通道进行外发的数据内容， 按照 DLP 策略集中定义网络通道数据安全类型与敏感数 据安全策略，对于违反合规与管理要求的数据事件及时 阻断或告警，记录完整的泄露路径，包括来源目标、通道、 内容、敏感数据、原始事件与证据，便于集中数据安全审 计与追溯

覆盖所有主流数据传输协议

支持多种协议，如 http/https、smtp、smtps、ftp、 smb 等常用数据传输协议，并支持自定义协议。 价值：能够实现对于网络边界、出口的数据流量与传输内容全方位深度审计，及时发现用户通过上网、邮件 外发、上传下载、数据共享等传输敏感数据的行为，防止重大数据泄密与窃取风险。

支持多种灵活部署方式与在线切换

企业内部网络架构复杂多样，天空卫士网络 DLP 产 品同时支持多种常见的部署方式，并支持按需进行在线切换，包括网络旁路、串联 Inline、MTA 邮件传 输代理以及通过 ICAP 为外部应用提供集成。

价值

灵活的部署方式能够有效支持小规模用户节点，项目初期可以使用多种混合部署（例如同时采用邮件 MTA、旁路、ICAP），或者在邮件数据防泄露的场景中第一阶段采用旁路事后审计，在第二阶段在线切换为 MTA 方式以支持邮件的隔离审批，满足用户的多种部署需求。

企业级 DLP 网络内容识别能力

由 UCSS 统一策略管理，支持关键字、字典、正则表达式、标签、分类 / 分级、指纹等识别方式；支持超过 500+ 种文件格式，包括主流所有压缩、加 密格式识别，支持文件真实格式识别以及文件深层 次压缩、文件对象嵌套识别；内置高性能 OCR 引擎， 外发图片文字内容提取 / 识别等。

价值

企业级 DLP 内容识别能力是区别于工具型或 轻量级 DLP 产品的核心能力。一方面全体系的 DLP 策略 结构能够为企业数据分类分级保护策略化的落地提供灵活支持；另一方面，覆盖更多文件格式内容、更深层次的识别能力将有效阻止各种恶意的数据窃取与技术逃逸行为。

网络文件外部存储

可以将网络中传输的文档进行捕获并集中存储至在外部存储中，供大数据平台、文件分类分级梳理样 本收集者或者其他分析系统使用。

价值

企业进行数据安全治理与数据泄露风险评估 时，需要了解及收集数据在企业内流转过程中真实的状 态与分布。通过网络 DLP 对传输的文件进行还原抓取， 设置需抓取的文件类型，将抓取到的指定类型文件存储至 指定的文件共享服务器，便于后期取证或二次开发、统计。

网络数据标签识别

在网络通道中对于标记好的文件进行识别和检测， 通过标签识别与终端的标签功能进行联动，建立敏感文件流转识别体系。

价值

利用数据分类标签能够在数据生命周期多个 阶段识别、追踪保护敏感文档。在数据创建、文档分类阶 段可以利用终端分类手工或强制标签定义数据分类与标 记属性，在敏感内容识别的基础上，通过分类、标签规则 识别特定分类标签文档，防止数据以违规的方式流出企业网络边界。

支持软硬件、虚拟化部署方式

支持定制的高性能一体化设备以及在客户提供的虚 拟化资源中进行部署；支持多种云端部署，包括阿 里云、腾讯云、华为云、AWS 等多种云环境下的部署和使用。

企业级内容识别能力及与数据分类与标签识别

天空卫士 DLP 是 Gartner 全球企业级 DLP 市场指南唯一入选的中国 DLP 产品。企业级 DLP 网络数据识别能力能够支持更多、更深层次文件内容的识别， 结合最新的标签与数据分类技术，进一步与终端的标签功能进行联动，建立敏感文件流转识别、追溯体系。

其他特性

支持在 IPv6 环境下部署和使用； 支持串联 /Inline 部署，在审计的基础上支持 SSL 流量解密，支持外发数据阻断；支持高性能、高吞吐量网络数据协议内容深度分析。

网络 DLP 典型部署方式有旁路、代理 /ICAP 以及 MTA，通常以网络 DLP 设备部署在企业互联网出口或网 间边界。网络 DLP 部署通常较为简单、维护容易，在不影 响现有业务及不改变现有网络架构情况下，实现快速部 署以达到基础合规。数据传输协议内容审计支持 http(s)、 smtp、ftp、smb、pop3、imap 协议。

天空卫士终端数据安全产品防泄露产品 ( 终端 DLP，Endpoint DLP) 是基于深度内容感知的统一内容 安全 (UCS) 技术，同时结合 Web 安全、行为监控技术 为企业数据提供完整的终端数据安全能力防护。不同于 传统文档防泄密、数据加密型的产品，终端 DLP 能够 对主流的 Windows 、macOS、Linux UOS、Ubuntu 等 操作系统上的多种网络通道与协议、应用程序、即时通 讯、终端 USB 等外设通道传输的机密敏感数据内容进 行深度审计与分类分级保护，有效降低数据泄露与窃取 风险。 终端数据防泄露 DLP 安 装 部 署 在 企 业 用 户 的 Windows/macOS/Linux UOS 计算机终端上，防止企业的 核心数据资产以违反安全策略规定的形式流出企业。天 空卫士终端 DLP 支持防范终端全方位通道的数据泄露风 险、Web 安全过滤并支持用户行为监控。

支持多种操作系统，充分适配国内不同企业的合规

需求 支 持 主 流 操 作 系 统， 如 Windows XP/7/8/10、 Windows server、macOS、Linux 等主流操作系统， 同时也支持国产化 X86 统信 UOS Linux 系统、ARM麒麟 Linux 系统。

价值

适用群体更加广泛，可以全面了解敏感数据 在员工终端的分布，以及对终端外发数据进行实时审计与保护，为数据生命周期管理流程提供技术支撑。

企业级 DLP 内容识别能力

天空卫士终端 DLP 支持业界领先的企业级 DLP 内 容识别能力，支持超过 500+ 种文件格式，包括主流所有压缩、加密格式识别，支持文件真实格式识别以及文件深层次压缩、文件对象嵌套识别。 终端全通道内容识别与保护终端 DLP 对终端上的设备上网、邮件、上传、下载、 共 享 等（http、https、smtp、ftp、smb 协 议）、IM 即时通讯、应用程序、终端外设 (USB、蓝牙、红外、 刻录、打印 ) 传输的数据进行深度内容审计与保护， 在数据进行操作之前对其进行管控，并根据安全策略产生相关的动作 ( 如阻止、审计、提示、确认、加密等 )，同时生成日志和审计日志。

价值

使企业能够最大化的加强对关键数据的管控，及时阻断敏感数据的违规存储与外发。 一体化水印技术防止外部拍摄、截屏与打印泄密天空卫士终端 DLP 无需部署多个 Endpoint 程序或插件，可以依据终端配置对全局或特定用户与策略启用水印技术，支持应用程序水印、屏幕水印、打印水印。

应用程序水印：依据应用程序显示窗口水印，可依据打开文件内容的敏感性显示水印，并可在管理平台记录敏感文件打开记录与原始证据。

屏幕显示水印：在用户桌面顶层显示全局明文 ( 显 式 ) 水印或暗 ( 隐性 ) 水印。隐性水印在用户截屏前完全不可见水印信息，在截屏后通过 UCSS 管理平台还原后可将隐性水印信息显示出来。 打印水印：打印文件时根据内容敏感性或强制添加水印 , 支持打印明文水印以及添加暗水印。打印暗水印可避免打印水印开启后对用户打印特殊文件的影响（合同、财务报表等）以及在文件中携带不必要的文字信息。

价值

水印适用于追溯用户的截屏、打印等行为， 通过管理平台对带水印的文件进行追溯定位 , 在不影响用户体验的前提下，对员工的违规行为产生震慑效果，减少终端数据的违规操作。

终端分类标签技术支持

手动标签 : 通过右键弹窗方式为指定文档打上物理标签，文档外发、另存及文档复制时分类标签也将被携带。

强制标签 : 用户在保存 / 发送从未打标签的文档 / 邮件时弹出“手动分类标签编辑器”弹窗，提示终端用户对操作文档 / 邮件设置分类标签。

程序插件标签 : 将 标 签 插 件 程 序 作 为 Microsoft Office 文档操作项的一部分。用户编辑 / 查看 Office 类文档时，在文档内可以直接通过点击数据保护菜单图标项打开“手动分类标签编辑器”弹窗设置分类标签。

数据发现标签 : 通过对目标进行敏感数据的内容发现，将符合条件的文件自动为其增加上相关的分类 标签。

URL 下载标签 : 对指定网站、文件共享所下载和拷贝的文件自动附加对应的分类标签。

价值

标签可以标记文件属性，系统依据属性自动 执行数据安全管理策略，如阻断、替换、隔离、弹窗等。 利用数据标签技术能够监控到敏感文件全生命周期的流动，无论数据是在传输、存储、使用、共享中都可以被记录。

通过统一管理平台与其他产品联动

终端 DLP 支持与网络、邮件、应用等采用统一管理 控制台 (UCSS) 以及 UCSS-Lite 终端二级管理平台进 行总部分支架构部署及跨网络管理，集中下发策略与管理事件与违规证据。

企业级 DLP 终端内容识别与终端数据通道覆盖

支持超过 500+ 种文件格式识别，包括主流所有压缩、 加密、文件真实格式以及文件深层次压缩、文件嵌 套识别。 终端 DLP 监控与保护多种终端传输通道，包括网络 (HTTP、HTTPS、FTP、SMTP、SMB 等 )、应用程序、 即时通讯、蓝牙、红外、移动存储设备 /USB、光盘刻录、打印等不同数据传输通道。在终端离线、出差漫游、移动远程办公时各类保护依然有效，并基于不同位置对终端离线、在线设备提供保护策略。

集成终端分类标签与水印技术

能够在终端数据安全 DLP 策略与终端配置管理的基 础上，按需启用标签与水印能力，无需部署更多客户端或插件，结合数据分类标签与水印技术，能够支持从创建阶段到传输、使用阶段对数据的识别、 追溯与保护；支持用户在屏幕显示、应用程序操作显示明文或隐性水印，支持打印文件时依据文件敏感性添加明文水印或暗水印，进一步强化数据泄露防护与追溯能力。

具备终端 Web 访问管控与钓鱼防护的全方位数据

安全终端 终端用户在线或离线时容易访问不受控网站，导致数据泄露或遭受网络钓鱼导致数据被窃取。天空卫士终端 DLP 可以按需启用 Web 访问控制与网络防 钓鱼功能，在终端离开办公网络的环境下可以控制 终端访问特定的 Web 网站类别，支持安全 URL 过 滤功能，对于恶意 URL 识别率超过 95%，从用户操作源头进一步防范终端数据安全风险。

企业研发数据源代码数据保护

由于企业核心研发人员离职、源代码发布、存储、 传输途径监控保护手段缺乏，给应用开发源代码安全构成重大威胁，一旦发生泄密与恶意滥用，将会直接影响企业市场信誉、核心竞争力，甚至关键业 务的正常稳定运营。 源代码类型数据除了结构与内容的特征外，对于研发团队而言，各类业务应用的开发基于不同的系统 开发运行环境 ( 如 Visual Studio、macOS XCode 等 )， 并且代码文件处于动态管理、编译状态中，因此， 这种机制下采用传统文件加解密、文档防泄密技术 会对项目开发、代码存储状态与编译打包过程产生 重大影响。

天空卫士源代码内容识别保护能力： 

预置主流开发语言 Java、C、C++、Python、Perl、 Shell、PHP、JSP 等源代码文件内容识别数据模版， 快速创建源代码保护策略；

支持基于相似度指纹策略，学习企业自研应用 / APP 的源代码，识别与保护特定应用、项目的源代 码的部分或相似 ( 经过部分修改、伪装、篡改 ) 内容 泄露； · 支持源代码机器学习策略学习企业应用源代码特征，以识别与保护具有企业同类代码风格、特征的源代码数据；跨平台、深度企业即时通讯数据内容识别与保护 当前企业内部各类即时通讯工具的广泛使用造成了难以管控的数据安全风险，并且通常难以通过桌面管控、网络权限层面进行“一刀切”性质的放开或彻底禁用；同时，即时通讯也被用户广泛使用在私人沟通场景，如果采用聊天记录“无差异”全面监控记录的技术反而会造成隐私侵犯与保护不当。 天空卫士终端 DLP 支持最广泛的即时通讯系统数据 实时监控与防护，支持 QQ、微信、企业微信、钉钉、 飞书等聊天软件。可以对聊天内容、外发文件等行为进行自动化的审计和管理，实时识别与企业有关的商业机密与敏感数据并支持放行、阻断、确认动作， 同时支持外发敏感内容可以将当前上下文页面截图 以及记录用户即时通讯用户 ID 以作为辅助证据。

内部数据资产主要分布在企业的业务系统和办公终 端电脑中，其中应用系统包含了大部分集中存放、处理的敏感数据，包括各类业务系统、文件交换、企业网盘、OA 协同平台与在线办公类应用等。这些系统有独立的业务逻辑、参差不齐的数据安全控制手段，通常主要依赖权限 / 角色 (RBAC) 进行数据安全 ( 可用性 ) 控制，导致有权限用户或特权用户可以无差异访问所有数据造成巨大数据 安全隐患；同时各业务应用难以对重点数据保护目录、分类分级数据进行差异化识别与处置保护，面临较大的法 律合规风险。 天空卫士应用数据安全审查平台（Unified Content Webservice Inspector： 简称 UCWI）采用 Webservice 接 口模式，在网络中提供内容安全企业 DLP 审查识别服务。 各类应用系统通过对 RESTful API 的调用，可将需要检查 的内容发送到 UCWI，UCWI 通过内置的数据安全策略对 内容进行分析后，向应用系统返回文档文件风险（病毒） 以及泄密风险（敏感数据分类、违规策略详情与动作建议）， 应用系统根据收到的返回结果进行文档的下一步操作， 比如存储、下载或者共享等。

为企业应用提供统一的内容审查与处理能力，并与企业安全策略保持一致

对于已经建立了网络、邮件、终端等数据安全防护 的天空卫士用户，可以进一步将成熟的数据安全策略扩展至所有业务应用， 覆盖更多的数据泄露通道。 UCWI 与邮件、终端、网络遵从一致的数据内容安全策略与合规基线，以及敏感数据事件、证据管理统计、违规信息追溯能力。

价值

赋予业务系统统一的数据内容的安全威胁检 查和企业级 DLP 内容识别能力，实现对应用系统数据的病毒、恶链风险与敏感数据检测。

提供完整的 Webservice RESTful API 对于文件病毒风险以及文本、消息与文件进行统一深度内容分析审计，与网络、邮件、终端数据安全策略保持一致

可支持超过 500 种文件格式的识别（各种办公文档、 数据库文件、加密文件，纯文本、主流图片文件格式的 OCR 光学字符识别等），自动识别扩展名更改、深度压缩、文档嵌套、篡改、伪装等行为，支持 OSS、COS、S3 存储链接内容分析请求。

价值

对应用系统的数据收集、处理、外发、共享 等操作按照统一的数据安全策略进行相关的数据处置， 防止敏感数据、不合规数据、含有病毒或者恶链的数据 进出系统导致数据安全风险。 基于内容敏感性对应用中的非结构化文档进行脱敏 支持对非结构化常见办公文档的脱敏，UCWI 根据 DLP 策略、脱敏策略判断是仅作内容分析，还是内 容分析和脱敏处理。脱敏规则支持关键字、正则、 字典、脚本、数据库指纹；脱敏算法支持替换、屏蔽、 截断、置空、随机。 价值：业务应用对大量非结构化文档敏感数据进行 自动化的审计与脱敏处置流程，遵从统一的敏感内容识 别审计策略与“去敏感化”脱敏策略，将敏感数据审计与 脱敏应用于原有业务流程中，保护敏感数据同时不打断用户交互流程。

应用存储、企业网盘的数据安全

在很多的业务系统中，存在有大量的非结构化文档 的交互，比如各类网盘系统，用户可以自由的上传和下载文档，也可以非常容易的将这些文档进行共享。而接收共享的人无需系统的用户名和密码就可以下载这些文档，这样，在一定的程度上，存在有秘密内容不正当扩散的风险。因此，需要有必要的手段，增强文档管理系统的内容识别能力，在用户上传、下载、共享的时候对内容进行识别，对其中的敏感数据的不正当扩散进行审计和阻止。

应用系统的数据操作 / 上传 / 下载 / 使用数据安全

尽管采用了很多的对外防护安全手段，但实际上网 站发生泄密的事件仍然层出不穷。当黑客绕过了所有的外部攻击手段后，就可以顺利的将内部的数据进行下载，通常情况下，一次成功的 SQL 注入或者挂马就可以将后台存放的用户身份信息，信用卡信息等直接通过页面进行窃取。大多数的网站对服务器返回的数据并没有进行审查，同时，对获取的数据内容、传输数量等没有进行控制和限制，因此， 需要有必要的手段在网站下行位置对服务器的返回内容进行分析和检测，发现其中可疑的操作及时进行审计和阻止。

企业即时通讯消息与文件外发数据安全

对于企业自研的即时通讯工具或采用钉钉、飞书、 企业微信等私有化或混合云部署的产品，还可以在产品级别与天空卫士应用数据安全审查平台（UCWI）进行内容分析 API 集成，能够支持移动 APP 端、电 脑端内容全面分析审查、内外部群文件共享、审批 流等更为灵活的对接集成，满足企业更为灵活全面 的数据安全能力需求。

天空卫士增强型安全邮件网关（Advanced Secure Email Gateway：简称 ASEG）以高性能邮件转发功能为基础，通过 MTA 的部署方式对企业入站、出站、内部的邮 件进行全方位的安全防护，提供反垃圾邮件、反恶意邮件 （病毒、木马、恶意脚本等）、邮件恶链防护、邮件自动 中继（海内外投递中继）、邮件代理认证（防爆破、弱密 码保护）、邮件标记跟踪、邮件归档及反查、邮件审核流、 数据防泄露深层次内容分析以及 API 对接大数据平台等 功能，有效防止敏感数据丢失或滥用，防止恶意邮件、恶链邮件、钓鱼邮件等隐蔽的电子邮件威胁。

邮件攻击防护

ASEG 使用了多层过滤保护技术，有效的检测、阻止、 标记、隔离已知或可疑电子邮件威胁。 价值：通过多种认证技术对发送方进行身份验证， 有效防止非法身份的邮件攻击。通过连接控制、发件频率 异动阻隔、目录攻击、RBL、IP 信誉以及智能 Domain 信誉等技术有效防止已知或可疑的恶意邮件攻击。

高级威胁防护、邮件恶链防护、邮件欺诈防护

ASEG 集成了多个高级安全扫描引擎和丰富的 URL 分类库，通过本地与云端实时查询技术，结合 URL 信誉技术，可以对邮件里嵌入的 URL进行分类分析 和跳转分析。管理员可以通过策略对含有恶意、钓鱼、木马等有风险的 URL 提供 URL 替换、删除、隔离等。ASEG 的邮件欺诈防护可通过 DKIM 域名秘钥识别、DKIM 签名发送技术、DMARC 验证、SPF 验证、 反向 DNS、对邮件头中的发件人进行校验策略等技术。

价值

可以减少最新的病毒、蠕虫、木马、恶意软件、 未知威胁等恶意邮件对企业用户安全的影响，防止用户受到高级风险威胁和欺诈邮件对用户的侵扰。

垃圾邮件防护、邮件信誉服务

ASEG 邮件信誉功能是基于云的全方位实时 URL 信誉、发件人 IP 信誉服务，通过检测发件人 IP 信誉和邮件内容里嵌入的 URL 信誉对有威胁的电子邮件在网关上进行阻止。云端的实时信誉技术将垃圾邮件发送模式和 IP 行为等因素相结合，以确定可疑邮件是恶意邮件的可能性。

价值

通过多种检测技术，对入向、出向邮件进 行检测，保护企业客户免受已知垃圾邮件威胁以及新兴可疑威胁，有效防范企业数据被破坏和被窃取，将高达 99% 的恶意和有害邮件阻挡在用户的的网络大门外，提高员工生产力。 集成 DLP 数据防泄露价值：ASEG 无缝集成业界领先的企业级 DLP 数据 防泄露模块，可以优化并保护入站、出站、内部邮件的高级威胁和数据窃取。 邮件审批流及审批平台 价值：支持邮件审批流操作，管理层可以直接介入 核心邮件数据审核流程，在保证企业核心资产的同时避 免影响业务系统的工作。 集成内部威胁防护体系价值：ASEG 可以与内部威胁防护（ITP）系统集成， 将 Email 日志及 DLP 事件送至 ITM 模块进行行为分析， 并将 ITM 分析的风险结果反馈至 ASEG 邮件策略，对不 同风险级别的用户执行不同标准的策略，以提高策略精 准度。

天空卫士增强型 Web 安全网关（Advanced Secure Web Gateway：简称 ASWG）在深层次内容解析的基础上， 不断增强对 Web 威胁的防护能力，致力于提供不间断的 威胁检测和攻击防御，凭借准确和实时的数据分析，提供 高效而及时的安全措施，能够检测、预防并清除 Web 的 威胁和其他攻击行为。 ASWG 的 Web 威胁防护及内容安全技术可以让 IT 管理员确切知道“谁” 在“什么时间”、在“哪里”做了 “什么事情”，以及是否有安全风险，可以跨时间、跨空间、 跨各种计算平台有效防范各种 APT 的攻击。

支持双向 Web 威胁检测功能

ASWG 可以对于基于 SSL 协议传输的内容进行有效 的检测 ; 提供了可扩展的、快速的URL 分类查询功能， 同时采用了 Web 信誉评分技术，根据指定的敏感度 级别来识别风险，以及确定是否允许 URL 访问。

价值

实时应对最新的病毒、木马、网络威胁、未知威胁等，在威胁到达网络之前进行拦截，全方位持续的 保护用户的网络安全。

集成全球领先的数据防泄露 DLP 模块

ASWG 集成企业 DLP 模块，对 Web 通道中传输的 数据进行识别、监控、保护，防止企业核心数据以 违反安全策略规定的方式流出。

价值

可以优化并保护网络上用户的 Web 应用和网 络上传输的数据内容安全，防止整个数据链中的入站和出站的高级威胁和数据窃取。

灵活支持多种部署方式，统一管理 Web 安全策略

与数据安全策略 ASWG 可以使用显示代理、透明代理、串联、旁路镜像等部署方式接入用户网络，也可使用 ICAP、 MTA 等部署方式实现对 Web、Email 的数据防泄露 （DLP）检测。 ASWG 将 Web 安全策略和数据安全策略相结合，执行对用户 Web 访问请求进行监控、拦截、告警、时 间限额、上网认证、带宽管理等相应的动作，并将用户网络访问日志、数据泄露事件和证据发送给统— 内容安全管理平台（UCSS）。同时，能够通过反向代理的方式对企业对外的应用提供安全防护，如上传、下载内容的检测，应用、API 接口的代理发布等。

价值

实时监控病毒、木马、恶意脚本、未知威胁等 Web 攻击行为，保护用户的网络和数据安全。通过 UCSS 统一管理平台在线修改配置实现不同部署模式之间的切换，部署、管理灵活，从而降低企业运维成本。

URL 分类和网页实时分类技术

静态分类库：近亿个 URL，持续定期更新；

初始库：综合网站排行榜和企业内用户访问日志， 生成针对企业特定的初始库；

基于云端的查询服务：云端基于 ElasticSearch 集群， 提供可扩展的、快速的 URL 分类查询服务；

人工干预：URL 分类反馈系统提供人工干预并能实 时入库和应用于后续的机器学习训练；

设备自动更新 URL 库：设备可设定时间，定期从天 空卫士云端服务器获得最新 URL 库，保证设备 URL 的实效性。

集成 CASB 云与 SaaS 应用识别与控制模块

可识别超过 4000 种云应用（SaaS)；

支持对企业内部使用的云服务器、非授权 IT 应用（影 子 IT）识别；

集中化的视图展示，包括用户行为、客户端设备的 统计支持 ；

对异常行为进行检测、阻断和记录。

强大的 Web 安全分析技术

灵活的策略和完备的风险类别库进行 URL 过滤，其中安全风险类别包括了恶意网站、钓鱼网站、僵尸网络等在内的十几个子类；

采用了 Web 信誉分值技术，用于根据指定的敏感度 级别来识别是否允许 URL 访问。

强大的带宽管理能力 通过带宽管理降低成本、提高用户生产力和竞争力、 降低风险，包括： 限制来源、目标的带宽 ，限制应用程序的带宽 ，限制流媒体的带宽 ； 保障应用程序、来源的合规使用带宽，ASWG 提供内容缓存和带宽优化，以确保企业关键应用或关键业务分配适当的保障带宽，以达到优化整体性能、 提高效率、降低带宽使用的目标。 加密流量可视化 ASWG 安全网关可以解析加密的 SSL 数据，消除 SSL 盲点，让经过 SSL 加密方式传输的软件，如钓鱼、 间谍、恶意软件、病毒、木马、未知威胁等无所隐藏。 强大的缓存技术 ASWG 高速缓存技术让企业大幅度降低网络成本、 提高效率，为企业提供更好的业务协作、更快的决策、 更高的敏捷性。

ASWG 的典型应用场景主要包括显示代理模式、透 明代理模式、反向代理模式、旁路监听模式、串行部署模式，列举三个最常用的应用场景说明如下：

① 显示代理模式 通过指定代理地址、PAC、WPAD 方式配置代理代 理 所 有 网 络 请 求 (HTTP(s)、FTP、App Over HTTP、流媒体、IM 等 ) ； 功能包含：用户身份认证，管理用户上网行为 (URL 分类、应用识别、带宽管理等），防止病毒、木马、 恶意脚本、未知威胁等 Web 攻击行为，同时集成数据防泄露能力。

② 反向代理模式 通过反向代理的方式代替应用、API 服务对外发布， 用户直接访问到的实际是 ASWG 代理网关； ASWG 代理网关与后端应用、API 接口进行数据交互；一台 ASWG 代理网关可以代理多个应用、API 接口 对外发布； ASWG 代理网关可以对于用户、第三方合作伙伴或 者其他应用上传、下载的数据内容进行检测、审计。

③ 串行部署模式 串接在企业网络出口，支持 Bypass 网卡； 支持的协议类型 (HTTP(s)、FTP、App Over HTTP、 流媒体、IM、SMTP(s)、POP3(s)、IMAP(s)、自定义协议等 )； 功能包含：用户身份认证，管理用户上网行为，防止病毒、木马、恶意脚本、未知威胁等 Web 攻击行为， 同时集成数据防泄露能力。

在移动互联网无处不在的形势下，个人智能移动设 备越来越多的开始被企业和组织用于承载关键业务和核 心应用，企业和组织需要一个高安全性、高可用性的移动 安全解决方案，用于完善企业和组织的应用程序安全以及企业数据安全。

天空卫士移动安全产品解决方案（Mobile Access Gateway：简称 MAG）以虚拟安全域技术为核心，从移动设备监控、企业移动应用管理、移动设备中的企业数据存储安全、移动设备网络传输安全四个角度出发，采用终端安全域作为应用载体，基于统一的企业数据安全策略平台， 实现对企业移动安全的覆盖。同时，结合天空卫士其他数据安全产品，为企业移动应用运行和控制提供统一的数 据安全管理环境，实现数据安全有效落地。

移动端虚拟安全域技术价值

在 BYOD 的模式下，最大化的平衡了企业数 据安全保护的刚需与个人隐私保护需求，企业相关应用数据与个人应用隔离，充分保护终端用户个人隐私。

统一数据安全平台管理、统一策略管理价值

获得了基于 Gartner E-DLP 的数据安全框架整体交付能力，对涉敏数据或数据资产风险的识别，移动端应用和其他数据安全防护保持了策略的一致性，具备灵活的响应能力。 统一的用户体验（跨设备、跨平台）、统一的身份管理， 多维度全方位的保护机制（应用防护、数据保护、 设备安全、网络安全），基于零信任模型的访问管理价值：在移动应用管理较为离散的场景下，从数据安全维度契合了零信任模型，在设备授信、网络链路层的 安全、访问应用识别、访问角色凭证、访问目标资源的鉴 权许可与响应配置等方面，把数据安全保护能力，包括分 类分级的治理落地，从原来的数据中心无缝的延申到了 企业数字化转型的移动业务应用最远端。

应用级 VPN 保证通讯安全价值

在离散的数字化业务应用的终端管控层面， 最大程度收缩了风险暴露面，移动应用与企业安全入口在链路层面全程加密，防止了通信窃听风险，从而也规避 了随之而带来的凭证窃取与协议端口嗅探的风险。

灵活集成 Web 数据防泄露价值

无缝集成天空卫士 ASWG 在移动应用端的数 据防泄露能力，使得数据安全总体建设成本与收益最大化。