有一个常见的的泄密场景,就是用户刚刚发送了一封含有公司重要信息的邮件,但是仅仅在10分钟之后,就有人通过QQ截图把重要信息泄露出去了。所以DLP技术的中文图片识别能力非常重要,但很多国内外的产品在这方面都有所欠缺,所以在这方面我们也做了一些工作,比如不同的字体、不同的字号,我们可以把它们变得可检索,防止通过QQ截图泄密。
数据挖掘的工作中也是非常重要的,就是在用户的环境中,抓取PC、服务器以及网络上的大量数据,同时对数据进行各种各样的分析。这件事情其实做起来很简单,我们在一个有2万台PC和3000台笔记本的运营环境里头,从20亿条日志中剥离出20条的一级事件,这些一级事件就是需要有人去处理的事件。当然在这样一个企业里,每年还会有100起左右的轻度感染和一定量的安全事故,但是已经把安全运营控制在一个相当可控的环境里了。
我们这十几年来所做的数据防泄密工作,第一是不让黑客带着数据出去;第二是从信息入手,对信息加密,监控对敏感数据的动作;第三是简单的事情长期的做和大量的做,我们现在发现非常有效的就是长期监控一些事件的趋势,当机器数量从一台变成一百台、一千台、一万台机器的时候,很多事件都会浮现出来。
