我跟我的同事從2005年就開始逐步意識到信息戰的最后陣地實際上是信息，也就是說我們不管網絡邊界在什么地方，我們也不用去管黑客是怎么進來的，最后我需要守住的是信息或者數據這個陣地，只要這個陣地沒丟，還不算一敗涂地。

我們在做的主要工作是讓黑客沒有辦法帶著敏感數據逃離網絡。從2005年開始，我們主要做數據加密。有幾年我們覺得做完加密后問題就不大，但隨著現在APT攻擊越來越多，數據加密只能在很大程度上增加攻擊成本，但是很難百分之百的防住APT攻擊。我們甚至遇到過這樣一種情況，就是有了加密，反而放松了警惕，帶來了另外的一些安全問題。

所以后來我們又做了DLP方面的工作。簡單來說，DLP有幾個關鍵詞，一個是策略，就是定義好什么是敏感信息;然后是發現，在終端、網絡上自己主動的發現和挖掘敏感信息存在于哪些地方;然后是監控，進一步監控這些PC、移動終端和網絡上的所有敏感信息的流動，通過對敏感信息、敏感操作的監控，來發現可疑行為，進行報警或者阻斷，或者是采用加密的手段對敏感信息進行加密，或者是通過其他的一些企業內控的方法來解決這個問題;最后是優化，優化管理規范。

網絡DLP實際上首先是遠程報文獲取，并且把所有文件的所有協議解析出來。這個時候我們尤其關注用戶往外發的郵件，在文本解析引擎里面進行判斷、識別，看有沒有敏感信息，再根據策略來判斷是不是屬于敏感事件。企業的信息安全建設方面，現在應該是設備比較多，但是終端上的軟件相對少一點，而防御APT需要在終端上多花心思，所以我們在終端上關注了很多目標，包括：和內容相關的文件名、文件內容、文件的特征甚至是一些數據塊的內容，拷貝粘貼的內容、QQ截圖、圖片的內容等等，這些都是關注的目標，都是和行為相關的敏感行為。

對敏感操作的監控也包括冷數據的激活。什么是冷數據呢?每個人的電腦上都會有過去的一些重要文檔，而我們現在可能不會打開這些文檔幾次。但是，在某些特殊的情況下，這些文檔被密集的訪問了，這就很有可能說明有APT攻擊發生了，因為攻擊者做的第一件事就是檢索一下受害者的電腦上有什么敏感信息，這時候他必然會密集的訪問以前的數據。還有對應用的深度分析，比如對非關聯程序訪問文件，會做一些控制，舉個例子，DOC文檔通常是由Word和WPS來打開，如果有其他的進程來訪問DOC文檔，就可能存在風險。

我們不僅關注敏感操作，還關注常規行為。比如大多數人都用某一個進程，這個進程執行的某個操作是一樣的，但是有少數幾個人的操作有異常，連接到一個異常的服務器上，這種非常規行為分析對挖掘APT攻擊也有一定的作用。