【51CTO.com 綜合報(bào)道】近期，個(gè)人信息保護(hù)成為業(yè)界熱點(diǎn)。隨著3.15晚會濟(jì)南移動(dòng)垃圾短信事件的曝光，所有人都意識到個(gè)人信息保護(hù)不再是一個(gè)遙遠(yuǎn)的話題，而是發(fā)生在我們每個(gè)人身邊。管理手段的孱弱，技術(shù)手段的缺失，導(dǎo)致數(shù)據(jù)泄漏事件的頻頻爆發(fā)，已經(jīng)成為國內(nèi)公共結(jié)構(gòu)的夢魘。針對越演越烈的數(shù)據(jù)泄露事件，國內(nèi)外IT廠商紛紛推出關(guān)于數(shù)據(jù)泄漏防護(hù)的的解決方案。

一、國內(nèi)外環(huán)境的不同，誕生不同的產(chǎn)品設(shè)計(jì)理念

在國外，個(gè)人信息一直受到法律的高度保護(hù)。1974年美國頒布《隱私權(quán)法》，德國1976年頒布《聯(lián)邦資料保護(hù)法》，1984年英國制訂《數(shù)據(jù)保護(hù)法》，1995年歐盟制訂了《關(guān)于個(gè)人信息運(yùn)行和自由流動(dòng)的保護(hù)指令》，1998年美國與歐盟簽訂了“安全港”協(xié)定（safe harbor），等等。

對于侵犯個(gè)人信息保護(hù)法律的個(gè)人和單位，在國外都受到嚴(yán)厲的制裁。在強(qiáng)有力的法律手段保護(hù)下，任何單位和個(gè)人都不敢輕易碰觸法律這個(gè)高壓線。對單位來說，凡是違反此類法律的，其賠償金額是極為驚人的。2007年在美國TJX零售公司發(fā)生的4500多萬客戶的信息卡及保密資料丟失，導(dǎo)致其客戶和銀行業(yè)對其提起訴訟，最終TJX公司需要向客戶賠付1.01億美元，并承受嚴(yán)重的企業(yè)聲譽(yù)損失。國外個(gè)人信用體系的完備，也是防止個(gè)人從內(nèi)部泄密的主要原因。在美國敢于從內(nèi)部泄密獲利者，其下場是非常明顯的，很可能終身失業(yè)。國外法律環(huán)境的完善，比較有效地震懾內(nèi)部有意泄密者，所以在國外內(nèi)部有意泄密者較少。據(jù)此，國外關(guān)于個(gè)人信息保護(hù)的產(chǎn)品設(shè)計(jì)理念，立足在防止外部入侵和內(nèi)部無意的泄密。

在國內(nèi)，法律法規(guī)不健全，不能有效追究內(nèi)部泄密者的責(zé)任，所以國內(nèi)個(gè)人信息保護(hù)基本形同虛設(shè)，內(nèi)部人員違法違規(guī)將內(nèi)部信息主動(dòng)泄密，這是造成國內(nèi)個(gè)人信息保護(hù)不力的主要原因。

因此，國內(nèi)IT廠商針對個(gè)人信息保護(hù)的解決方案，采用“事前主動(dòng)防御，事中實(shí)時(shí)控制，事后及時(shí)追蹤，全面防止泄密”的設(shè)計(jì)理念，不僅防止外部入侵，更重要的是防止內(nèi)部泄密，包括有意泄密和無意泄密。

二、國外主要解決方案

基于防止外部入侵竊密和內(nèi)部無意泄密的需求，國外IT廠商紛紛推出數(shù)據(jù)泄露防護(hù)（DLP）解決方案，其中主要的代表廠商有趨勢科技、賽門鐵克、RSA（EMC）、Websense、麥咖啡等。

2008年6月17日，趨勢科技收購Provilla 公司，推出數(shù)據(jù)外泄管理系統(tǒng)LeakProof 3.0。LeakProof采取服務(wù)端－客戶端模式，當(dāng)員工在對敏感文件進(jìn)行不合適的操作時(shí)，該系統(tǒng)可以發(fā)出警報(bào)，這一警報(bào)將在員工電腦屏幕上以對話框的形式出現(xiàn)。這些警報(bào)框?qū)⒅笇?dǎo)員工如何處理機(jī)密信息，提高他們的安全意識并獲得他們的支持，從而防止數(shù)據(jù)“出門”。管理員可以對警報(bào)對話框進(jìn)行詳細(xì)定制，當(dāng)違規(guī)行為發(fā)生時(shí)，員工電腦屏幕上會彈出對話框，說明正在進(jìn)行什么操作、為什么要這么操作以及到那里獲取詳細(xì)信息（用URL鏈接形式給出）。管理員還有一種選擇是對敏感數(shù)據(jù)進(jìn)行特定的操作之前，要求他們提供正當(dāng)?shù)睦碛?。這種質(zhì)詢/應(yīng)答特性提供了另一層面的正確處理敏感數(shù)據(jù)的意識，而且如果該操作不是有意為之，還提供了取消這個(gè)操作的途徑。

2008年10月23日，賽門鐵克宣布推出數(shù)據(jù)丟失防護(hù)解決方案9.0版（DLP 9.0），旨在幫助企業(yè)和組織增強(qiáng)發(fā)現(xiàn)、監(jiān)測和保護(hù)機(jī)密信息的能力，無論這些信息在何處存儲和使用。賽門鐵克的數(shù)據(jù)丟失防護(hù)技術(shù)可跨越端點(diǎn)、網(wǎng)絡(luò)和存儲系統(tǒng)，通過單一的集成界面為企業(yè)和組織提供全面的數(shù)據(jù)丟失防護(hù)覆蓋，從而對員工在與公司網(wǎng)絡(luò)斷開的情況下使用筆記本電腦發(fā)送電子郵件、網(wǎng)絡(luò)郵件和即時(shí)信息時(shí)造成的數(shù)據(jù)泄露事件也能加以監(jiān)控。在端點(diǎn)處，新版數(shù)據(jù)丟失防護(hù)解決方案的設(shè)計(jì)不但可以防止對敏感信息的復(fù)制或粘貼，甚至可以阻止將這些信息以電子版方式打印或傳真。這些新功能與賽門鐵克現(xiàn)有的控制能力相結(jié)合，用以防止敏感數(shù)據(jù)被復(fù)制到USB裝置和CD/DVD磁盤中。賽門鐵克在內(nèi)容感知（content-aware）監(jiān)測方面的專業(yè)技術(shù)及識別特殊內(nèi)容（無論該內(nèi)容是否被打包）的能力對成功實(shí)現(xiàn)端點(diǎn)數(shù)據(jù)丟失防護(hù)都是至關(guān)重要的。

2008年10月，EMC的信息安全事業(yè)部RSA發(fā)布DLP6.0版本。RSADLP是為了在企業(yè)內(nèi)提供統(tǒng)一的、無縫的政策安排而設(shè)計(jì)的，它使得客戶能夠發(fā)現(xiàn)和監(jiān)控敏感信息，應(yīng)用適當(dāng)?shù)膹?qiáng)化機(jī)制來保護(hù)整個(gè)IT存儲棧的敏感信息。數(shù)據(jù)丟失防護(hù)組合包括RSA數(shù)據(jù)丟失防護(hù)終端、RSA數(shù)據(jù)丟失防護(hù)網(wǎng)絡(luò)，以及RSA數(shù)據(jù)丟失防護(hù)資料處理中心，由RSA數(shù)據(jù)丟失防護(hù)企業(yè)管理人員對組合進(jìn)行總體管理。

Websense自2007年1月收購PortAuthority公司進(jìn)入DLP市場，推出了終端內(nèi)容保護(hù)套件解決方案。后來通過與Lumension建立合作伙伴關(guān)系來解決移動(dòng)存儲所導(dǎo)致的終端數(shù)據(jù)丟失問題，Websense與Lumension的技術(shù)整合使雙方客戶都可以利用Websense的內(nèi)容識別技術(shù)保護(hù)數(shù)據(jù)，實(shí)現(xiàn)對產(chǎn)品線的全面報(bào)告和對安全事件的有效管理。2009年9月Websense發(fā)布新版數(shù)據(jù)外泄防護(hù)（DLP）產(chǎn)品Data Security Suite，新版Data Security Suite加入端點(diǎn)控管，也就是防止數(shù)據(jù)從USB等管道外泄。Websense透過收購而來的Precise ID技術(shù)，可更準(zhǔn)確辨認(rèn)出泄密行為，并根據(jù)不同的應(yīng)用程序/應(yīng)用程序群組設(shè)定不同安全政策。Precise ID技術(shù)可將企業(yè)數(shù)據(jù)都轉(zhuǎn)換為數(shù)字指紋，加上安全政策控管，藉以比對、分析數(shù)據(jù)是否有存取、傳送的權(quán)限。

McAfee在2006年買下Onigma后，在2007年2月推出了數(shù)據(jù)遺失保護(hù)軟件Data Loss Prevention（DLP）Host，并在2007年11月將其整合進(jìn)安全管理控制臺ePO 4.0。

三、國內(nèi)主要解決方案

國內(nèi)關(guān)于個(gè)人信息保護(hù)的解決方案，只有北京億賽通明確發(fā)布相關(guān)產(chǎn)品線。

2008年4月北京億賽通發(fā)布其數(shù)據(jù)泄露防護(hù)（DLP）體系。億賽通DLP以“驅(qū)動(dòng)層透明動(dòng)態(tài)加解密技術(shù)”為基礎(chǔ)，采用對應(yīng)中國用戶需求的各種策略，以透明加密和權(quán)限管理兩功能為核心，結(jié)合身份認(rèn)證、日志審計(jì)、文檔自動(dòng)備份、文檔外發(fā)管理、設(shè)備安全管理、磁盤全盤加密等功能，建立完善的體系。在系統(tǒng)自身的安全性方面，還采用容災(zāi)管理，確保系統(tǒng)可靠、安全地運(yùn)行。DLP體系對數(shù)據(jù)（文檔）安全進(jìn)行全方位、多角度、全生命周期的保護(hù)，徹底實(shí)現(xiàn)數(shù)據(jù)保護(hù)的完整性、保持性和安全性。

億賽通DLP體系主要包含的產(chǎn)品線有：文檔透明加密系統(tǒng)（SmartSec）、文檔權(quán)限管理系統(tǒng)(DRM)、文檔安全管理系統(tǒng)(CDG)、文檔外發(fā)管理系統(tǒng)（ODM）、磁盤全盤加密系統(tǒng)（DiskSec）、文檔安全網(wǎng)關(guān)(DNetSec)、設(shè)備安全管理系統(tǒng)(DeviceSec)等。其中，文檔透明加密系統(tǒng)（SmartSec）、文檔權(quán)限管理系統(tǒng)(DRM)、文檔安全管理系統(tǒng)(CDG)是整個(gè)產(chǎn)品線的核心。

四、國內(nèi)外DLP解決方案相同點(diǎn)

從國內(nèi)外DLP解決方案來看，在解決數(shù)據(jù)泄露防護(hù)需求的思路上，大體上是相同的。

通常認(rèn)為，DLP可分為6個(gè)步驟：(一) 企業(yè)先將數(shù)據(jù)進(jìn)行分類，同時(shí)預(yù)先對“涉密數(shù)據(jù)”進(jìn)行定義，然后確定哪些數(shù)據(jù)需要保護(hù)；(二)確定涉密數(shù)據(jù)在企業(yè)系統(tǒng)中的存放位置，企業(yè)確定有多少數(shù)據(jù)存放在員工的計(jì)算機(jī)、公司的服務(wù)器或數(shù)據(jù)庫等；(三) 清楚掌握數(shù)據(jù)的位置，便能為數(shù)據(jù)的流出、流入提供實(shí)時(shí)的監(jiān)控及保護(hù)，包括經(jīng)電子郵件、http、即時(shí)消息等途徑發(fā)放的資料；(四) 數(shù)據(jù)泄漏多數(shù)是人為所致，因此企業(yè)必須制定員工傳送機(jī)密數(shù)據(jù)的權(quán)限；(五) 企業(yè)亦需監(jiān)控?cái)?shù)據(jù)被送達(dá)的地方是否安全，如商業(yè)伙伴或網(wǎng)上電子郵件等；(六) 企業(yè)必需注意員工運(yùn)用什么途徑傳送檔案，這些途徑包括所有移動(dòng)儲存硬盤和點(diǎn)對點(diǎn)傳送等。

五、國內(nèi)外DLP解決方案不同之處

分析國內(nèi)外個(gè)人信息保護(hù)解決方案，我們可以發(fā)現(xiàn)其不同之處：

1、設(shè)計(jì)理念不同

國外DLP基于良好的法律環(huán)境，內(nèi)部有意泄密相對極少，對內(nèi)部人員確認(rèn)為可信，數(shù)據(jù)泄露主要來自外部入侵和內(nèi)部無意間的泄密。因此，國外DLP主要用來防止外部入侵和內(nèi)部無意間泄密。

國內(nèi)DLP主要基于國內(nèi)環(huán)境，法律威懾力小，追蹤難度大，泄密者比較容易逃脫法律制裁，犯罪成本比較?。煌瑫r(shí)，國內(nèi)各種管理制度不完善，內(nèi)部人員無意間失密的概率也比較大。所以國內(nèi)DLP既能防止內(nèi)部泄密，包括內(nèi)部有意泄密和無意泄密，同時(shí)也能防止外部入侵竊密。
 
2、主要功能不同

從趨勢科技、賽門鐵克、RSA（EMC）、Websense、麥咖啡等發(fā)布的產(chǎn)品來看，國外DLP產(chǎn)品主要包含的功能模塊有：內(nèi)容識別分類、輸出內(nèi)容監(jiān)控、敏感信息阻截、審計(jì)、移動(dòng)設(shè)備管理。這些功能對于內(nèi)部無意間泄密基本上是滿足需求的，但是對于外部入侵防護(hù)的效果相當(dāng)有限。這里還有一個(gè)比較大的問題在于內(nèi)容識別分類。內(nèi)容識別分類是國外DLP產(chǎn)品的核心功能，但是這項(xiàng)功能的有效性還有待改進(jìn)。結(jié)構(gòu)化數(shù)據(jù)相對來說比較容易被識別和分類，但對于非結(jié)構(gòu)化數(shù)據(jù)來說，有效性不高，這是目前國外DLP比較致命的缺陷之一。從總體上說，國外DLP產(chǎn)品還是采用被動(dòng)防范的手段來解決。

國內(nèi)DLP產(chǎn)品以透明加密和權(quán)限管理為核心，結(jié)合身份認(rèn)證、日志審計(jì)、文檔自動(dòng)備份、文檔外發(fā)管理、設(shè)備安全管理、磁盤全盤加密等功能，其實(shí)是針對文檔（數(shù)據(jù)）采用雙重保護(hù)手段。一是文件級的加密權(quán)限保護(hù)，二是磁盤級的加密保護(hù)。其中文檔透明加密系統(tǒng)（SmartSec）、文檔權(quán)限管理系統(tǒng)(DRM)、文檔安全管理系統(tǒng)(CDG)、文檔外發(fā)管理系統(tǒng)（ODM）是文件級加密權(quán)限保護(hù)，磁盤全盤加密系統(tǒng)（DiskSec）和文檔安全網(wǎng)關(guān)是磁盤級加密保護(hù)。國內(nèi)DLP是從主動(dòng)防范的立足點(diǎn)來解決問題的。  
 
3、產(chǎn)品適用范圍不同

國外DLP基本實(shí)施在中國的外企。這是由于外企在國外總部基本采用了國外DLP產(chǎn)品，在中國只是延續(xù)其總部的防范手段。從目前的市場應(yīng)用來看，一部分外企比較容易接受國外DLP產(chǎn)品，并有實(shí)施。

國內(nèi)DLP考慮中國特殊國情，基于國內(nèi)環(huán)境設(shè)計(jì)，所以其適用范圍相當(dāng)廣泛。以北京億賽通DLP為例，當(dāng)前主要適用在政府、軍隊(duì)、軍工、制造、通信、規(guī)劃設(shè)計(jì)院所、汽車等行業(yè)。其產(chǎn)品在中華人民共和國外交部、中國人民解放軍第二炮兵、中國移動(dòng)集團(tuán)、中國一汽集團(tuán)、京東方科技集團(tuán)、正泰集團(tuán)、亞迪集團(tuán)、國人通信、晨訊集團(tuán)、宇龍通信等全國有300多家用戶在使用，終端數(shù)量超過30萬點(diǎn)。

4、產(chǎn)品實(shí)施后效果不同

國外DLP在中國存在普遍的水土不服現(xiàn)象，主要原因還是在防內(nèi)和防外的問題上。國外DLP無法防止內(nèi)部主動(dòng)泄密。國內(nèi)DLP以加密權(quán)限為核心，從主動(dòng)預(yù)防的立足點(diǎn)來防止數(shù)據(jù)泄露，對數(shù)據(jù)（文檔）進(jìn)行加密，從源頭上進(jìn)行控制。即使內(nèi)部數(shù)據(jù)流失到外部，也因?yàn)橐驯患用芏鵁o法使用，從而保證了數(shù)據(jù)（文檔）的安全。

六、國內(nèi)DLP解決方案總體上優(yōu)于國外DLP

綜上所述，國內(nèi)DLP解決方案的優(yōu)勢是顯而易見的。從技術(shù)上講，國內(nèi)DLP完全能防止數(shù)據(jù)（文檔）的泄露問題，是適合中國國情的解決方案。

國外DLP解決方案不適合中國用戶情況，無法滿足用戶需求。從總體上講，可以解決部分問題，但無法嚴(yán)密地防范泄密，只能更多地依賴管理手段。關(guān)于這一點(diǎn)，國外DLP廠商也有清醒的認(rèn)識。趨勢科技公司高級產(chǎn)品顧問徐學(xué)龍也承認(rèn)：“在預(yù)防數(shù)據(jù)泄密和安全威脅的問題上，公司需要擁有主動(dòng)性戰(zhàn)略。安全產(chǎn)品確實(shí)有效果，但是還需要廣大員工在日常工作中積極參與。人們需要知道他們的一些行為，比如把文件拷到U盤帶出辦公室，可能會損害公司的數(shù)據(jù)安全。有了LeakProof 3.0，各企業(yè)就能夠使保證數(shù)據(jù)安全成為公司文化的一部分，使員工們投身于敏感數(shù)據(jù)的保衛(wèi)戰(zhàn)中”。從以上言論可以看出，國外DLP產(chǎn)品的有效性確實(shí)有所欠缺，只好寄希望于員工自覺遵守制度來保證；對于內(nèi)部員工主動(dòng)泄密和竊密者，卻是無能為力。