中國版“塞班斯法案”對數據安全市場的影響
2002年,美國國會通過了針對上市公司財務和公司治理的《塞班斯法案》(Sarbanes-Oxley Act,簡稱SOX法案或塞班斯法案)。該法案被普遍認為是美國自1933年證券法和1934年證券交易法之后影響上市公司的最重要的金融法案,它對在美國上市的公司(無論是本土的和外來的公司)產生了巨大的影響,影響范圍涉及到公司治理、內部控制、財務報告、管理流程、信息系統、法律責任等各個方面。SOX法案規定,上市公司的內控管理必須切實做到保護財務數據、維護系統安全、保護客戶數據免遭盜竊與破壞,以提高公司披露的準確性和可靠性。受Sarbanes-Oxley法案的約束,所有在美國上市的中國公司也因此加強了對公司的治理,對其流程進行重組或構建,并運用新的技術手段和工具構建新的系統,實現管理流程的透明度,以確保企業在包括財務管理的戰略管理過程中,增強內部控制并促進溝通。其中很重要的一個部分是強制、嚴密的審計管理和對文檔的規范性管理。
中國移動集團是在美國上市的公司之一,也同樣必須遵循Sarbanes-Oxley法關于數據和文檔安全管理的規定。為此,中國移動集團從2007年開始對全國31個省、直轄市、自治區和集團總部開始實施“文檔安全管理系統”(據悉,該系統由北京億賽通公司提供)。該系統采用了目前最先進的文檔加密體系,對集團內部文檔實現可控、授權。中國移動在全國有近10萬終端,通過文檔加密和權限管理的文件管理系統,實現數據和文檔的安全。無獨有偶,深圳過人通信也是在美國納斯達克上市的公司,同樣受薩班斯法案的約束。為此,國人通信于2008年實施了北京億賽通的數據泄漏防護(DLP)體系,以遵從薩班斯法案的要求。
在美國塞班斯法案通過6年之后,中國也頒布了中國版的“薩班斯法案”。2008年6月28日,國家財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》,并要求自2009年7月1日起先在上市公司范圍內施行。同時鼓勵非上市的其他大中型企業執行。該項法律被知名專家稱之為中國版的“塞班斯法案”。
在中國版塞班斯法案中,與企業信息化相關的條款是第四十一條。該條款中規定:“ 企業應當利用信息技術促進信息的集成與共享,充分發揮信息技術在信息與溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。”從該條款可知,作為上市公司必須遵循的法律,《企業內部控制基本規范》要求企業必須建立一個有效的安全性信息管理平臺,尤其體現在數據的安全性、保密性、完整性等方面。這項法律的頒布,將對中國數據安全市場產生巨大的影響。
中國上市公司到目前有近2000家,《企業內部控制基本規范》將首先針對這些企業的內部控制產生效力。2000家上市公司的數據安全市場是巨大的。以每家公司采購費用150萬元計算,這是一個30億的大市場。企業數據安全管理首先要考慮的解決方案是”數據泄露防護(DLP)解決方案”。目前國外主流的DLP廠商有Reconnex(被McAfee收購)、Verdasys、Vericept、 Websense、RSA(被EMC收購)和 Symantec等,中國國內DLP廠商有北京億賽通等。
各家DLP廠商已經紛紛把目光看準了這個領域,意圖在這個市場上各爭高下。但是從各家DLP廠商的解決方案來看,這個市場對國內DLP廠商有利。其主要原因有兩點:
1、據所部署的位置的不同,數據泄漏防護方案可以分成基于網絡的數據泄漏防護方案(NDLP)和基于主機的數據泄漏防御方案(HDLP)。基于網絡的數據泄漏防護方案NDLP通常部署內部網絡和外部網絡連接的出口處,所針對的對象是進出單位內部網絡的所有數據。基于主機的數據泄漏防護方案HDLP則部署在存放敏感數據的主機上,當其發現被保護主機上的數據被違規轉移出主機時,HDLP會采取攔截或警報等行為。國外DLP廠商大部分數據泄漏防護方案是基于網絡類型,因為國外用戶的網絡環境和信息化水平與國內大不相同,基于網絡的NDLP比較符合國外用戶的需求。從中國國內的信息化現狀來看,國內上市公司比較適合采用基于主機的HDLP解決方案。
2、DLP通常集成的功能有:數據流失保護、透明強制加解密、文件權限控制、終端加密、文檔外發控制、自動備份、移動設備控制、日志審計等。在DLP系統中,透明強制加解密、文件權限控制、終端加密、文檔外發控制等功能屬于加密的范圍。而在中國國內,生產和銷售關于密碼和密碼產品的信息系統,必須要具備國家法定的資質和認證,主要有:“商用密碼產品生產定點單位”和“商用密碼產品銷售許可單位”資質 (國家密碼管理委員會頒發)、安全專用產品銷售許可證(公安部頒發)、涉密信息系統產品檢測證書(國家保密局頒發)、軍用信息安全產品認證證書(中國人民解放軍信息安全測評認證中心頒發)。沒有這些資質認證,就屬于非法生產和銷售,將遭受國家法律的制裁。由于眾所周知的原因,這些資質認證只頒發給國內廠商,那國外的帶有加密功能的DLP產品不能在國內銷售。否則,一旦遭到查處,那就是滅頂之災。如果國外產品去除加密部分功能模塊,那又完全失去了數據保護的能力,無法滿足企業用戶的需求。
