非结构化文档数据在数据的形态、文档内容的识别和处置方面与结构化数据存在着很大的技术差异。鸿翼携手天空卫士，发挥天空卫士在数据安全领域优势与鸿翼非结构化数据治理能力，可以对不同类型不同级别的数据设置不同的管控策略，大幅降低了企业文档在存储、流转、外发过程中的面临的风险威胁，在多个场景中有着很好的应用。

以下内容来源于天空卫士数据安全咨询售前技术总监在鸿翼云生态大会上的演讲分享。

关注非结构化数据的机密性安全

非结构化数据是跟结构化数据不同，在数据的形态、种类、内容识别和处置方面存在着很大的技术差异。《数据安全法》规定，数据安全是指通过采取必要的技术措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续的安全状态的能力。

从安全的维度来讲，这种能力分为三个层次：可用性，完整性和机密性。相对来说，传统安全更多的侧重在对文档的权限控制、访问、审计、防篡改等维度，即主要是在可用性和完整性上，而对于机密性，普遍是比较欠缺的。
机密性也就是强调对于文档数据是否包括了相应的机密和敏感数据，数据种类和级别。
对于这类机密性的保护场景，通常有几种类型：
一、对于非结构化文档数据在客户间的文档数据交换、摆渡这一类应用，强调在记录文件的日志文件名的需求之上，需要对敏感性进行内容安全审查和处置，检查文档是否存在敏感数据泄露、窃取的风险。
二、对于文档数据内容合规、风险级别的检查和脱敏处置。通常在结构化以及关系型数据库中，这一类应用比较普遍，但是相对于文档类型是比较少的。需要洞察文档的安全级别和风险状态及结合文档的文档应用的一些处理流程，进行自动智能的权限或者标签设置。
三、对于ECM文档应用，这种典型应用通常会包括文件的编辑、预览、查看、管理这类功能体系。以往主要是依赖于用户角色和权限，丧失了对文件的机密性的管控，需要结合合规检查和脱敏处置，以进一步地提升数据内容安全级别。

在数据交换平台中的内容合规和风险检查，可以结合现有的用户上传、领导审批、传递、结合审批审计和阻断流程，进行相应的控制。业务应用在进行核心文件的上传、请求访问、下载传输时，可以根据整个文档的机密性或者敏感性，实现数据的分类分级，所有内容基于统一的安全策略进行管理和法规审计留痕。在这几类的保护场景中，强化补充在可用性、完整性方面的不足，提升机密性保护。

文档数据安全能力和企业数据安全策略

需保持一致

文档数据安全能力和企业数据安全策略的一致主要是在数字化办公维度。我们已经建立了基于邮件、终端、网络等主要场景下的数据安全和相应的保护策略和合规基线，而文档类型应用通常和内部的业务应用，比如：摆渡、OA，内外网文件交换、网盘等这类业务结合。这种应用通常在数字化办公或者企业统一的数据安全策略范畴之外。因此，可以为文档的类型应用赋予统一的企业级深度内容分析能力，进而建立统一的敏感数据事件，证据管理与统计、违规信息追溯能力。这是在文档内容深度检查审计能力，检查文件的敏感性类型，一旦发现了敏感性以后，我们要形成一个完整的闭环，对文档的敏感数据进行脱敏处置。

这是因为大量的业务应用，除了要了解文件的敏感性以外，还可能要结合自身的流程，进行去敏感化，不中断用户的交互和业务流程，因此，用户可以建立统一的脱敏策略，结合内容审计策略，进行去敏感化的脱敏处理流程。将上述两种能力进行结合，就能将文档数据安全能力和企业的数据安全策略保持一致，并且提升这一类应用在数据安全的审计、敏感数据的发现、分类分级和脱敏处置方面的完整能力。

文档风险与敏感内容审查

对于风险和敏感内容审查而言，在应用侧企业网盘、云文档、文件交换，在内部分享、上传下载、文件分发和数据交换时，需要洞察文件的敏感性或者机密性，可以通过标准的非常简单的RESTful API接口和统一内容安全审查平台进行结合。通常，这种集成是松耦合，可以快速集成，不做大的二次开发和调整，现在主流的这些应用也预留了此类的标准接口，一旦集成，就可以和现有的数字化办公的统一的内容安全遵从一致的安全策略，记录完整事件，遵从企业的AD组织架构。整个管理平台下发相应的统一的策略以后，审查平台会进行文档风险和内容敏感性分析，包括文件具备什么样的风险、是否包含病毒、文件的密级、甚至具体包含了哪些类型的敏感信息，整个管理平台会记录完整的事件详情：包括上下文、违规策略命中的相应规则，具体包括哪些违规内容以及原始的证据文件。

通过集中化的事件和日志管理，将应用侧对敏感文件的交换，在统一的数据安全平台上进行留痕审计。一旦出现重大的数据安全事件，可以在统一的集中的更大规模层面，结合网络终端邮件应用这样的范畴，进行审计和追溯。相对常规的简单的文件名、日志、权限、敏感词这种简单的轻度的保护而言，当前的文件风险合并内容审查能力是能够支持主流的，500多种的文件格式的深度识别，以及对于常见的技术逃逸，包括拓展名更改、夹带、深度压缩、嵌套、伪装等等，并且在文档类型技术架构的支持上，支持主要的对象存储类型。方案也已经跟主流的包括鸿翼这一类的企业文档存储云盘，摆渡交换类的应用进行过集成。

一旦发现有敏感内容，可以进行脱敏处置。这也是在数据安全法和个人信息保护法，这一类应用中，应用场景里面要求不打断不中断用户的流程，完成文件的交换和分发。业务系统同样采用脱敏策略，利用脱敏算法，根据用户的脱敏规则，对文档中包含的敏感信息进行替换、屏蔽、截断等相应的处理。同样，也支持常见的办公类型文件以及跟不同的网盘对象存储技术机制进行集成，通过审查和脱敏处置，形成一个完整的数据安全、内容审计和处置的闭环。

文档风险与典型场景一：

文档存储、交换传输内容安全审计流程敏感内容审查

在该场景中，可以在事前事中审批、事后不同的阶段补充现有流程，强化对文档风险和信息风险的识别能力，帮助主管用户在进行敏感文件的上传审批过程中获得更多的信息。

典型场景二：

文档协作与办公机密性安全审查与脱敏

该场景主要是针对于内部建立云存储，或者说进行在线办公云文档，在进行内容的传输、下载、审计、外发、外传以及对一些文档的编辑，实时在线编辑和保存这种状态，并且要结合内容的敏感性进行权限控制，而不是仅仅依赖权限控制这种方式。
在技术机制上，因为要响应云文档产品的特性，因此在版本控制，快速交互，同步异步，对于大文档的支持方面，热文档等等都支持提供各种灵活性处理。一旦发现用户在进行导出、下载、外链，一些敏感信息时，允许用户进行脱敏处理。实际应用中，会遮蔽去除敏感的用户信息。用户既可以完成整个操作流程，同时也可以最大程度地规避文档的泄密、窃取风险。

关于天空卫士

天空卫士专注于数据安全以及数据安全治理技术的落地。天空卫士已经完全可以对标国外一线数据安全公司，是国内完成国外数据安全产品替换最多的企业，客户覆盖多家国内中大型企业，特别是金融业、航空、高科技、新能源的头部企业。公司的核心团队来自于硅谷及国外一线顶级安全厂商，具备超大规模和项目部署实施的经验。天空卫士是全球网络安全企业百强，作为中国唯一企业多次入榜Gartner的全球数据防泄漏DLP企业级市场指南和全球邮件安全市场指南，并与Gartner合作发布了《数据融合时代下的隐私保护白皮书》及《以人为中心的数据安全白皮书》。

关于鸿翼

上海鸿翼软件技术股份有限公司（以下简称鸿翼），是国内知名的ECM（企业内容管理）及智能大数据管理服务商。基于先进的非结构化数据获取、存储、管理、安全、洞察和数字化技术而形成的多种产业化应用，构建了完整而又具有开放性的非结构化数据管理体系；融合领先的NLP自然语言处理、深度学习、知识图谱、可视化技术以及大数据应用管理技术，打造一系列大数据智能管理解决方案。 

鸿翼业务覆盖智能制造、工程设计、金融、医药、能源、军工、政府等多个行业，为贵州大数据局、中海油、上汽集团、扬子江药业集团、招商银行等逾3000家政企客户提供ECM产品及解决方案。