数据资产管理难：企业数据资产众多，且难以管理，难以实现对于信息资产使用行为的合规性识别与事中控制，

数据风险监控能力缺失：一般企业很难定量配置专业人才分析海量数据日志中存在的数据安全风险，导致企业在面对安全事件时无从下手。

敏感数据泄露风险高：企业缺少敏感数据内容识别、过滤能力，容易导致关键信息资产外泄与非授权访问。

数据安全事件难以溯源：企业对于自身敏感/重要数据的情况缺乏了解、审计手段缺失，导致数据安全事件发生前无法进行防护策略调整，事后也难以溯源。

山石网科数据泄露防护方案通过由统一管理平台、网络DLP网关（NDLP）、和终端DLP（EDLP）组成覆盖全域的数据泄露防护体系。

统一管理平台：集中管理数据泄露防护产品模块；实现在线数据梳理及分类分级；集中下发数据分类识别规则、不同产品模块数据防泄漏策略；集中进行敏感数据安全事件监控、处理、审计和统计分析。此模块为数据泄露防护产品的必要组件，配合其他产品模块实现不同场景下的数据泄露防护功能。

网络DLP网关（NDLP）：在网络出口部署，发现并监控网络流量中的敏感数据传输，监控并控制HTTP、HTTPS、SMTP、POP3、FTP、SMB、IMAP等网络协议传输的敏感数据行为。

终端DLP（EDLP）：部署在企业内各计算机终端，发现、识别、监控终端中的敏感数据，对企业数据资产分布、敏感数据的违规存储进行展现，同时对敏感数据的违规使用、扩散等敏感行为进行策略响应控制。

数据资产梳理能力：协助用户高效完成数据资产梳理、数据分类分级，为后续数据安全策略提供基础。

用户异常行为分析能力：帮助企业分析敏感数据分布情况，总结用户异常行为。

数据防泄漏能力：以深度内容识别技术为核心，在数据存储、传输和使用过程中，发现并监控敏感数据，确保敏感数据的合规使用。

审计及处置能力：对企业内数据安全风险和违规事件进行现状统计，跟踪变化趋势，协助企业完成自动化审计的同时，追踪溯源数据泄漏事件。

人工智能实现数据分类
数据发现是数据泄露防护系统的核心业务能力，数据发现的基础是数据分类（分级），如果不能建立良好的数据分类（分级）体系，就会遇到不知道到底哪些数据该怎么防护的问题，这有可能直接导致数据泄露防护整体建设失败。

山石网科数据泄露防护系统采用人工智能引擎，处理数据发现过程中依靠数据识别与内容标记作为基础，通过对数据的识别，区分不同的数据价值。在拥有多家分支机构、区域分散、网络复杂、 端点众多的企业内，数据管理部门能够借助山石网科数据安全系列产品中数据分类能力，实时梳理不同业务类别数据，统一管理每个终端、服务器、邮件、和网络中的敏感数据，全局掌控数据资产，可视化展现和钻取，所以能够随时向管理层进行出色汇报。

分类分级策略管理
系统贯彻数据分类分级治理理念，在制定数据防泄漏策略之前先进行数据分类的治理工作，再通过对分类（分级）类别的价值差异决定对数据的具体保护方式；通过数据分类的治理功能一方面实现了对不同价值数据的区别保护，同时，系统数据保护策略依据的也是基于数据分类分级的场景保护，实现了对不同风险事件的差异识别。

支持在线数据梳理
通过现在机器学习功能，支持数据在线无监督聚类及有监督的机器学习，使数据管理人员可通过系统平台快速、准确的实现业务数据的梳理。通过强大的机器学习算法亦可实现数据梳理结果及数据分类识别规则的持续优化改进。

数据量多且难以实现集中分析，常规的以人工方式进行排查分析或者提取数据到SOC中的方式，需要耗费大量的数据准备工作，而且淡出数量维度的统计并不能带给安全分析或审计人员最直观的结果，导致事件处置时无从下手。山石网科为解决这一问题，引入用户行为分析功能，通过后台算法每天定期对事件及详情进行统计、关联和挖掘，根据综合分析评价得出结论，利用机器学习技术对用户行为学习，具体可呈现如下能力：

归纳统计风险事件详情
智能展现每24小时、每3天、每7天哪些用户的综合风险排名
用户风险排名及用户象限分布情况
用户风险的数据分类分级情况
用户风险的协议和具体操作动作
异常行为分类及综合分析展现

通过用户行为分析有利于审计人员快速发现问题的用户和异常的风险行为，立刻定位到某个用户身上，第一时间避免更大的泄露风险。

基于业务流程的数据合规保护
系统的安全策略由策略维度要素和权限控制策略组合而成，每一条策略的颗粒度可达到综合所有策略维度要素及操作权限。

网络数据泄露防护
网络数据泄露防护分为网络监控和网络阻断两种，在网络监控保护中，依靠网络发送者的IP可以追溯到风险事件的发起源，审计网络泄露行为的来源、目的地、传输内容、文件等，同时可以监控终端部分应用程序后台偷偷传输数据的行为，以监控用户非主动泄露的场景下的泄露行为；在网络阻断保护中，通过与网络代理服务器的联动配合，可实现网络上严重数据泄露行为的阻断，防止敏感数据扩散至外网。

同时，网络防护策略支持内外网域名、传输IP、网段、域名等黑白名单设置，实现颗粒度更加细致的网络防护策略。

终端数据泄露防护
通过部署终端数据泄露防护客户端，系统可实现对敏感数据的以下操作进行监控和管控：
终端敏感数据的打开、内容拷贝、打印、截屏、
终端敏感数据网络发送、网络共享、IM发送
终端设备通过MTP/ADB/USB的传输
同时支持禁用终端外设端口，支持多种屏幕水印功能。

数据安全建设的最佳实践并不是一成不变的。随着业务发展、组织扩张、和机构调整等变化，敏感数据的安全边界、责任岗位、管理制度、和关键流程等都会随之改变，内控部门和数据管理部门必须能够预见这些调整，立即应对，才能跟上企业快速发展的步伐。

山石网科数据泄露防护方案对企业内数据安全风险和违规事件进行现状统计，跟踪变化趋势，追踪溯源数据安全泄露事件，便于内控部门和数据管理部门及时直观地发现哪类数据的安全管理漏洞最严重，哪些设备的权限过于宽松，哪些使用行为最危险，哪些用户连续违规，从而明确找出薄弱环节和重要检查点，针对性地调整管理策略，有的放矢改进完善制度与流程，及时反馈效果，使得内控部门能够更准确更快速地评估，为下一阶段的改进目标提供数据支持。

高效、准确完成数据资产梳理：山石数据安全防泄漏方案可有效协助用户完成资产梳理，帮助用户摸清家底，同时通过数据内容识别能力，重点对敏感数据进行识别，可有效协助用户完成数据分类分级工作，

实时分析用户行为，第一时间控制数据安全隐患：协助用户分析海量数据日志，监控敏感数据，及时发现数据安全风险

精准内容识别，降低数据泄露风险：山石数据防泄漏方案通过深度数据内容识别技术，及时将涉及敏感数据的流量控制，防止敏感数据扩散至外网。

实时追踪审计，为防护策略提供判断依据：对企业内数据安全风险和违规事件进行实时追踪，方便用户了解数据安全隐患，协助企业合理调整数据安全防护策略。