某知名企业属于制造行业，生产资料和图纸属于公司机密文件，如果这些数据被泄露，将对用户产生重大损失，并造成不可预料的影响。因此用户希望通过业界知名安全厂商的数据防泄密方案来实现数据泄密管控。

用户起初通过对内部文件加解密以及终端强管控的方式来实现数据防泄密。但实施之后发现，该强管控方式存在员工体验差、无法识别IM 工具外发泄密、无法追溯泄密责任人等问题，并不能完全满足公司对数据防泄密的诉求。

用户痛点

用户在使用终端强管控和加解密产品的过程中，具体痛点有以下几个方面。

1.为了实现数据泄密防护效果，管控的策略设置得比较严格，代价则是部分员工的正常操作被视为违规行为，导致员工体验较差，同时运维人员需要花费大量时间和精力处理“误杀”问题，这就导致在企业内部大规模推广困难。

2.主要进行终端上的泄密管控，缺乏网络侧的数据泄密审计措施，员工使用IM工具外发机密文件时无法有效识别，容易漏报。

3.用户原有方案主要关注事中的阻断、加密，对事前的风险预警、事后的快速追溯支持不足。一旦阻断失败，便意味着无法对泄密原因及责任人作出相应的处理措施，既找不到泄密原因，也找不到相应的泄密责任人。

4.由于业务的需求，需要给不少员工开放解密权限，导致加密解密的方案无法有效应用，达不到预期效果。

方案部署情况

深信服在了解用户的详细情况之后，提供了具体的解决方案：通过部署全网行为管理AC 与内部威胁管理系统TM 两大组件来解决现有问题。

1.全程监控：在出口部署全网行为管理AC，对主要外发行为进行审计，包括HTTP、HTTPS、网盘、邮件以及IM 等。

2.外发管控：通过AC 对主流外发途径做管控，如禁止IM、网盘、GitHub 上传等。

3.泄密分析：上网日志同步给内部威胁分析平台ITM 做泄密风险分析，同时配合管理制度，对发现的事件进行处罚，以提高全员防泄密意识。

4.终端管控：在不影响正常业务的情况下，适当放宽原有终端强管控措施，从而既不影响业务，又能执行部分必要的管控措施。

实施方案的具体拓扑如图1 所示。

方案功能

深信服新一代数据防泄密解决方案提出“识别、管控、监测、追溯”四位一体的全周期数据防泄密理念，大幅降低配置维护的成本，同时补齐持续监测预警的能力，并确保全量审计对事后追责溯源提供有效的证据。

图1 深信服新一代数据防泄密解决方案部署拓扑图

1.识别：通过各种技术手段识别敏感数据，并对包含敏感数据的文件进行分级分类，包括机密文档智能识别、文件类型识别、文件内容提取以及OCR 智能识别等方式。

2.管控：在原有的终端强管控的基础上，额外对网络行为等进行管控，防止有意或无意的数据泄密。

3.监测：基于UEBA 技术对终端行为、网络数据进行监测和分析，及时发现敏感数据外发、业务数据泄密等行为，包括泄密风险监测预警、业务风险监测分析、异常行为监测分析等。

4.追溯：一旦发生敏感数据泄密事件(即终端管控措施失效)，通过相应技术手段追溯泄密原因及找到相应责任人，包括关键字搜索、文件相似度搜索、OCR 图片追溯等技术。

方案实施效果与经验价值

深信服数据防泄密解决方案根据用户具体需求，提供全面的数据防泄密解决方案，方案价值如下。

1.全网审计：实行全网审计及日志留存，可以发现未事先定义的敏感数据泄密行为，帮助用户改进泄密拦截策略。

2.有效溯源：在拦截功能之外提供溯源取证能力，帮助用户分析泄密原因及找到责任人。

3.优化资源：方案中并未废弃用户原有终端防泄密产品，仅是在策略设置上作了一些调整，实现弱管控，强审计的目的。

该用户有6 个分公司，深信服通过在每个分支部署AC 审计网络行为日志，并通过专线把全网行为日志传到总部进行泄密分析，帮助用户构建总部-分支的防泄密整体方案。用户利用这套解决方案实现了全员防泄密，并可以通过统一平台进行管理，覆盖全面，运维简单。

编辑点评深信服新一代数据防泄密解决方案相较于业界同类型方案，在诸多方面实现了创新：数据外泄通路管控可识别业界最全的外发途径；基于UEBA 的泄密风险识别技术可识别出偏离个人历史基线的各种违规行为；基于大数据的泄密追踪溯源技术，可提供关键字搜索、文件相似度搜索、OCR 图片追溯功能，并展示出可能泄密的文件及用户上下文信息。