术语库

安全策略即组织内部的安全策略，安全管理员可直接应用安全策略模板对违反策略的流量或敏感内容进行监控或拦截。

安全级别是指策略安全等级，指定命中策略时的事件严重程度，在事件及统计报告等安全监控报告或统计中可显示事件安全级别的详细数据。系统默认命中策略的事件安全级别为高、中、低和信息，用户也可根据命中策略内容的敏感级别来定义。

AD即动态目录，用于存储网络对象的相关信息，例如用户、用户组、计算机、域、组织单位（OU）以及安全策略等信息。

APT即高级持续性威胁，是指组织(特别是政府组织)或者小团体以窃取核心资料为目的，针对客户所发动的长期持续性网络攻击和侵袭行为。

数据异常行为风险ARS评分是指从海量日志中抽取出一组最典型的特征组，并使用统计学算法对所有主机进行全天候的检测，得到每个用户或者IP的异常风险分值。

协议分析ATS引擎是指高性能、模块化的HTTP代理和缓存服务器。

增强型Web安全网关ASWG设备承载天空卫士™安全鳄®统一内容安全UCS解决方案中的Web安全模块。设备基于大数据和机器学习的动态分类技术，集成高级安全内容扫描引擎，跨时间、跨空间、跨计算平台，有效防范APT攻击。

增强型安全邮件网关ASEG设备承载天空卫士™安全鳄®统一内容安全UCS解决方案中的邮件安全模块。设备主要防范对企业入向、出向、内部邮件的攻击、垃圾、病毒、恶链和数据防泄漏DLP，以及个人邮件管理、邮件归档等。

必现是指当策略配置多项匹配规则时，只有匹配标记为必现的规则后，才会继续匹配其他策略规则。

并发连接数即设备的最大TCP并发连接数。该指标通常用于衡量一台网关设备的最大连接容量。

天空卫士™的安全策略包括数据安全策略，Web安全策略，邮件安全策略和移动安全策略等。策略用于监控通过Web、Email、数据发现等通道发送的信息，同时用于监控企业或组织内部员工的Web访问行为。

策略匹配是指分析系统中发生的事件，并基于策略判断是授权事件还是违反策略的事件。

将相似的策略分组形成策略类型。天空卫士™统一内容安全管理平台UCSS支持数据防泄漏DLP策略和数据发现策略两种策略类型。

将多个策略类型分组形成策略组，可以将这些群组分配给特定管理员，以用于事件管理和监控。通常，一个策略类别组反映与这些事项关联的部门，例如“财务部”或“市场部”

策略等级即将策略分级，数据防泄漏DLP和增强型Web安全网关ASWG策略分别支持31 个等级（其中包含默认等级），策略等级高的优先进行内容匹配。

策略路由通过用户制定的数据防泄漏DLP或增强型Web安全网关ASWG 策略进行转发，且该策略优于路由表的转发，只有本设备发起的数据包匹配其策略路由规则。

数据保护设备的部署方式，串行部署模式即设备部署在网络的数据通道上。

每秒新建连接数CPS指每秒钟可以通过防火墙建立起来的完整TCP/U的数量。该指标主要用于衡量网关设备对报文连接的处理速度，如果该指标低会造成上网速度慢，在用户量较大的情况下容易造成网关设备处理能力急剧下降，并且会造成网关设备网络攻击防范能力降低。

公共网关接口CGI描述了Web 服务器与同一计算机上的软件的通信方式，可以让一个客户端从网页浏览器向在执行在Web 服务器上的程序请求数据。是互联网上网页内容生成与应用的标准技术。

CSV 是一种通用的、相对简单的文件格式，以纯文本形式存储表格数据（数字和文本）。广泛应用于程序之间转移表格数据。

对比扫描也称差示扫描，收集器只对指定的字段进行扫描，对应于完整扫描。

动作脚本可用于配置策略引擎和终端触发策略时的行为。

万维网上作为域名和IP 地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP 数串。

数据安全网关DSG设备承载天空卫士™安全鳄®统一内容安全UCS解决方案中的数据安全模块。设备以集中策略为基础，采用深层内容分析，对静态、传输中及使用中的数据进行识别、监控和保护，智能地管理和保护企业内部的海量的机密及关键数据。

数据安全自动化治理DSAG。从资源发现到数据分级分类，再到数据分级分类保护，全方位覆盖数据安全治理周期的所有环节。

天空卫士™分级分类保护策略聚焦于数据分类对象，定义了针对不同数据类型的访问应该交由哪一种数据安全子系统（DLP检测、脱敏）进行进一步的安全检查，从而根据保证客户的安全的访问业务数据。。

命中分级分类策略并且动作是脱敏的用户访问，会被服分级分类务将用户的访问请求转给数据脱敏服务 ，对用户的请求进行数据脱敏策略匹配，数据脱敏策略会使用检测内容中定义的策略元素对各通道内容进行脱敏处理。

天空卫士™数据防泄漏DLP产品以集中策略为基础，采用深层内容分析，对静态、传输中及使用中的数据进行识别、监控和保护，智能地管理和保护企业内部的海量的机密及关键数据。

数据防泄漏DLP使用DSA 数据收集器提取指纹规则元素用于创建策略检测内容。

唯一识别名：系统中标识用户的唯一识别名称。

恶链邮件是指包含恶意网络链接的邮件。

专家模型行为风险ERS评分结合专家经验和大数据分析结果，针对得到每个用户或者IP与同已知风险模式匹配的风险概率值。

天空卫士™统一内容安全管理平台UCSS 检查数据是否包含需要保护的含敏感信息的流程。

对违反策略的行为进行放行操作。

DKIM，电子邮件验证标准——域名密钥识别邮件标准。Domain Keys Identified Mail的缩写。发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开密钥后进行验证。

指纹数据库服务器负责存储、管理、同步系统指纹等功能，也提供部分查询功能。

天空卫士™统一内容安全管理平台UCSS即UCSS，对内部威胁管理ITM、增强型Web安全网关ASWG 和数据安全网关DSG等模块进行统一管理。

即企业安全管理员，负责定义安全策略，并监控安全策略在组织内的分发，以及授权将被阻止的传输内容分发到预定收件人。

规则为策略提供逻辑，是约束策略行为的条件。

通用路由封装采用Tunnel（隧道）技术，对某些网络层协议（如IP 和IPX）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。

增强型Web安全网关ASWG模块支持全局黑名单，在特殊情况下阻止指定客户的Web访问请求。

如果事件涉及的文件或附件被认为并未违规，或者并没有危害，那么它们可以被设置为忽略。理解忽略事件有助于优化策略，防止对信息流通造成非必要的阻断。天空卫士™统一内容安全管理平台UCSS默认不忽略任何事件。

ICAP 是在HTTP message 上执行RPC 远程过程调用的一种轻量级的协议。

指的是代理软件或代理服务器，也可以认为是一种网络访问方式。

即时通讯是一个实时通信系统，允许两人或多人使用网络，实时传递文字消息、文件、语音与视频交流。

内部威胁管理ITM基于海量数据对内部用户的异常行为或内部威胁进行预测，主动防御数据泄漏，为安全分析人员提供可靠的依据。

内部威胁防护ITP基于现有的统一内容安全UCS技术和内部威胁管理ITM技术，实现对内部异常用户行为进行主动防御的解决方案。

角色拥有统一内容安全管理平台UCSS系统各功能模块不同的访问和操作权限，无需为每个用户定义安全详细信息即可应用到多个用户的安全配置文件。

被判断为假的正样本。

轻量目录访问协议基于TCP/IP，提供邮件客户端查询联系人信息所使用的协议标准。天空卫士™统一内容安全管理平台UCSS使用LDAP 自动添加用户和用户组到数据库。

移动安全网关MAG设备承载天空卫士™安全鳄®统一内容安全UCS解决方案中的移动安全模块。移动安全解决方案包含Mobile Email 模块和Mobile App模块。Mobile Email 模块部署于邮件服务器和移动设备邮件客户端之间，对客户端同步的邮件进行数据防泄漏DLP内容检测，放行或阻断命中数据防泄漏DLP策略的邮件；Mobile App模块作为移动安全模块， 保护移动设备用户远离任何移动设备通道中的安全威胁。

MIME (Multipurpose Internet Mail Extensions)为多用途互联网邮件扩展类型。它是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。

事件行为感知泄密风险MRS评分，即针对特定数据泄漏事件进行回溯得到数据防泄漏DLP安全风险模式相似分值。

统一内容安全管理平台UCSS通过MTA模块检测和管理其收发的邮件，并记录邮件日志信息。

统一内容安全管理平台UCSS支持将样本文件存放NFS服务器上，可以通过网络访问获取并生成指纹文件，减少本地终端存储空间的压力。

当发件人向限制接收该发件人邮件的收件人发送邮件时，可能会收到一个类似于以下内容的未送达报告(NDR)：邮件未送达部分或任何预期的收件人。

安全鳄®系列产品外置图像识别OCR服务器，可以解析网络流量中的图片内容并进行数据防泄漏DLP分析。

爬虫工具负责查找文件中的敏感数据。

关键字指的是文档中必须受保护的预定义文本字符串，可能指示文档包含机密信息。

数据保护设备的部署方式，即设备部署在数据通道外，通过旁路端口连接。

PAC 为脚本文件，帮助系统判断使用哪一台代理服务器进行联机以实现代理功能。

用户在统一内容安全管理平台UCSS系统中可进行操作的权限。

RMS是一种信息保护技术，它与启用RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用。

事件是违反策略的一项或一组交易。根据配置规则的方式，可为每个策略违反或在规定时间段内发生的匹配创建事件。

事件标签是事件的一种自定义属性，用于识别和筛选具有相似特点的事件。

数据发现是通过扫描文件服务器，邮件服务器，数据库，终端设备和内容共享平台（Microsoft SharePoint 等），以确定敏感性内容在企业网络中的位置的行为。常见的数据发现任务显示设备中被扫描的文件数量、被过滤的文件数量、文件类型分布、敏感文件分布等信息。

数据聚类利用无监督智能学习对选择的文档自动聚类，提取出数据样本的语义信息生成分类结果形成策略元素。

安全分析引擎SPE又称安全策略引擎，是天空卫士™内容安全解决方案的策略分析核心组件。其功能主要是按照从安全策略服务器SPS中获取的用户策略，对安全代理SA截获的用户内容（包括上行和下行的内容）进行安全分析、扫描以及数据泄漏检测，并根据策略下发相应的处理动作（允许、阻止、警告、日志和通知等）。

SIEM 可以过滤电子邮件，搜索关键词和发现安全缺口，为网络、系统和应用产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析。

SSL 安全套接字层加密连接到服务器，增强外部网络传输的安全性。

系统对用户行为中属于SSL 例外的IP 视为安全事件，不进行策略检测。

SMB 协议用于Web 连接，客户端与服务器之间的信息沟通。

SAM 用于存储本地用户帐户的安全信息。

SMTP 是一种TCP 协议支持的提供可靠且有效电子邮件传输的应用层协议，用于发送邮件给外网用户。

内容安全引擎CAE负责查杀病毒、木马、网络威胁和未知威胁等。

事件所发生的通道，包括Email、Web、FTP、HTTPS、网络打印、IMAP、POP3、WebService应用和文件共享等。

提级为数据防泄漏DLP事件的显示状态，其它事件状态还包括新、进行中、关闭和误报。

通过邮件发送告警信息到管理员或相关人员，包括事件信息、命中策略详情等。

异常风险评分TRS是由数据异常行为风险ARS、事件行为感知泄密风险MRS、专家模型行为风险ERS综合得到的用户内部威胁风险评分值。

统一内容安全UCS是天空卫士™首创的基于内容安全的企业级安全解决方案，包括安全鳄®统一内容安全管理平台UCSS，以及注册于该平台的增强型Web安全网关ASWG，数据安全网关DSG等网络安全设备。

统一内容安全管理平台UCSS是天空卫士™首创的基于内容安全的安全管理平台，企业安全管理员可以对注册至平台的安全设备进行统一的策略编排和设备管理。

统一内容安全管理平台扩展设备UCSS-Lite作为统一内容安全管理平台UCSS的扩展设备，主要包括指纹爬虫工具DSA，终端服务器，图像识别OCR服务器和打印机服务器等组件，满足用户集中管理平台的扩展需求。

天空卫士™统一内容安全UCS网关系列产品包括增强型Web安全网关ASWG、数据安全网关DSG、增强型安全邮件网关ASEG、内部威胁管理ITM 、移动安全网关MAG和混合云网关等。

天空卫士™统一内容安全UCS终端监控终端用户的文件共享、邮件、Web、应用程序等传输的数据，并根据安全策略执行管控。

天空卫士™统一内容安全审查平台UCWI，与WebService应用实现API 对接，检测通道流量并按照检测结果生成安全事件。

天空卫士™URL分类包含最准确，最新以及最全的URL分类列表。

UUID是指流量通用唯一识别码。其目的，是让分布式系统中的所有元素，都能有唯一的辨识信息，而不需要通过中央控制端来做辨识信息的指定。

外部邮箱是指位于组织或域外部的邮箱账号。

误报是指被判断为真的数据负样本。

文件系统目录是指操作系统中存储文件信息的目录路径。

文件指纹是由爬虫工具扫描共享文件或文件网站服务器根据一定算法生成的。

文件类型是指电脑为了存储信息而使用的对信息的特殊编码方式，用于识别内部储存的资料。

完整扫描是指对任务设定的全部文件进行扫描，相对于对比扫描。

MAC主机的System Integrity Protection (SIP)功能，即系统完整性保护。启用该功能后，可确保即使恶意代码以root权限运行也不会破坏核心系统文件。

网络任务用于在网络文件系统、共享目录、Domino 服务器、数据库、Outlook PST、Exchange Online、Salesforce 和邮件反查上设置数据发现。

终端任务用于在终端所在的主机上设置数据发现。

用户是指组织内可以进行数据接收和发送的个人。

用户目录是指在天空卫士™统一内容安全管理平台UCSS上使用的AD用户目录，或使用LDAP 进行的用户目录自动配置。

智能学习是指通过正向或反向学习受保护数据的样例，提炼相似信息形成策略规则元素的过程。

终端是指安装于用的户计算机和移动设备等终端设备上，监控终端用户行为的应用程序。

阻断是指系统执行的防止需要保护的敏感信息被发送给未授权的用户的行为。

证据或证据文件是指可用于法律证据的数据泄漏事件鉴定资料。

真实源 IP 检测使用邮件头信息和到达增强型安全邮件网关ASEG的网络活跃点数来确定网络外围第一个发件人的 IP 地址。此功能可以识别真实的发件人IP地址，即使该邮件经过了NAT或是多重MTA转发以后也可以识别真实的发件人IP地址，并且该真实IP地址可以应用于RBL、全局黑名单等连接状态IP层的控制。

流量整形（Traffic Shaping）的典型作用是限制流出某一网络的某一连接的流量与突发，使这类报文以比较均匀的速度向外发送。流量整形通常使用缓冲区和令牌桶来完成，当报文的发送速度过快时，首先在缓冲区进行缓存，在令牌桶的控制下再均匀地发送这些被缓冲的报文。

客户端首先与增强型Web安全网关ASWG创建连接，接着发出一个对其目标服务器的文件或其它资源的连接请求，增强型Web安全网关ASWG通过与目标服务器连接或从缓存中取得请求的资源，并返回给客户端。

客户端根本不需要知道有增强型Web安全网关ASWG的存在，它改变报文内容，并会传送真实IP，多用于路由器的NAT转发中。

增强型Web安全网关ASWG位于客户端与目标服务器之间，但是对于用户而言，增强型Web安全网关ASWG就相当于目标服务器，即用户直接访问增强型Web安全网关ASWG就可以获得目标服务器的资源。同时，用户不需要知道增强型Web安全网关ASWG的地址，也无须在用户端作任何设定。

域名劫持就是在劫持的网络范围内拦截域名解析的请求，通过DNS域名劫持，将访问流量指向增强型Web安全网关ASWG的代理IP，实现强制代理的部署方式。

实时黑名单RBL，也被称作动态黑名单，是一个动态的活跃垃圾邮件发送者或垃圾邮件来源列表。实时黑名单RBL列表通常包括被互联网服务供应商ISP实时更新，列为常见垃圾邮件发送者或垃圾邮件来源的对象，或被垃圾邮件发送者劫持的ISP服务器等。

策略黑名单PBL，是一个动态的不可接受行为来源列表。策略黑名单PBL列表通常包括被互联网服务供应商ISP按照可接受使用策略AUP，列为常见的不可接受行为来源的对象等。

可接受使用策略AUP，规定了企业或组织使用的信息资源、计算机设施，包括桌面、便携式电脑、无线设施、电话和网络等的使用规范。可接受使用策略通常包括每个用户可接受和不可接受的行为列表，并详细叙述了违规行为的后果。

启发式垃圾邮件检测是指天空卫士™自研的基于启发式规则对垃圾邮件进行检测的技术，与传统的基于特征值反垃圾邮件检测技术相比，其优点在于能够对新型未知垃圾邮件进行防御。

反弹地址标记验证BATV是一种轻量级电子邮件认证技术，该技术利用签名算法生成标记，并插入外发邮件地址的相关位置，如邮件数字签名等属性中。当系统接收到该外发邮件的反弹邮件时，将自动检测反弹邮件地址中的标记，如不包含添加的标记，或标记中的签名验证失败，则将该邮件判定为非法的反弹邮件。