【51CTO.com 綜合報道】近期，個人信息保護成為業界熱點。隨著3.15晚會濟南移動垃圾短信事件的曝光，所有人都意識到個人信息保護不再是一個遙遠的話題，而是發生在我們每個人身邊。管理手段的孱弱，技術手段的缺失，導致數據泄漏事件的頻頻爆發，已經成為國內公共結構的夢魘。針對越演越烈的數據泄露事件，國內外IT廠商紛紛推出關于數據泄漏防護的的解決方案。

一、國內外環境的不同，誕生不同的產品設計理念

在國外，個人信息一直受到法律的高度保護。1974年美國頒布《隱私權法》，德國1976年頒布《聯邦資料保護法》，1984年英國制訂《數據保護法》，1995年歐盟制訂了《關于個人信息運行和自由流動的保護指令》，1998年美國與歐盟簽訂了“安全港”協定（safe harbor），等等。

對于侵犯個人信息保護法律的個人和單位，在國外都受到嚴厲的制裁。在強有力的法律手段保護下，任何單位和個人都不敢輕易碰觸法律這個高壓線。對單位來說，凡是違反此類法律的，其賠償金額是極為驚人的。2007年在美國TJX零售公司發生的4500多萬客戶的信息卡及保密資料丟失，導致其客戶和銀行業對其提起訴訟，最終TJX公司需要向客戶賠付1.01億美元，并承受嚴重的企業聲譽損失。國外個人信用體系的完備，也是防止個人從內部泄密的主要原因。在美國敢于從內部泄密獲利者，其下場是非常明顯的，很可能終身失業。國外法律環境的完善，比較有效地震懾內部有意泄密者，所以在國外內部有意泄密者較少。據此，國外關于個人信息保護的產品設計理念，立足在防止外部入侵和內部無意的泄密。

在國內，法律法規不健全，不能有效追究內部泄密者的責任，所以國內個人信息保護基本形同虛設，內部人員違法違規將內部信息主動泄密，這是造成國內個人信息保護不力的主要原因。

因此，國內IT廠商針對個人信息保護的解決方案，采用“事前主動防御，事中實時控制，事后及時追蹤，全面防止泄密”的設計理念，不僅防止外部入侵，更重要的是防止內部泄密，包括有意泄密和無意泄密。

二、國外主要解決方案

基于防止外部入侵竊密和內部無意泄密的需求，國外IT廠商紛紛推出數據泄露防護（DLP）解決方案，其中主要的代表廠商有趨勢科技、賽門鐵克、RSA（EMC）、Websense、麥咖啡等。

2008年6月17日，趨勢科技收購Provilla 公司，推出數據外泄管理系統LeakProof 3.0。LeakProof采取服務端－客戶端模式，當員工在對敏感文件進行不合適的操作時，該系統可以發出警報，這一警報將在員工電腦屏幕上以對話框的形式出現。這些警報框將指導員工如何處理機密信息，提高他們的安全意識并獲得他們的支持，從而防止數據“出門”。管理員可以對警報對話框進行詳細定制，當違規行為發生時，員工電腦屏幕上會彈出對話框，說明正在進行什么操作、為什么要這么操作以及到那里獲取詳細信息（用URL鏈接形式給出）。管理員還有一種選擇是對敏感數據進行特定的操作之前，要求他們提供正當的理由。這種質詢/應答特性提供了另一層面的正確處理敏感數據的意識，而且如果該操作不是有意為之，還提供了取消這個操作的途徑。

2008年10月23日，賽門鐵克宣布推出數據丟失防護解決方案9.0版（DLP 9.0），旨在幫助企業和組織增強發現、監測和保護機密信息的能力，無論這些信息在何處存儲和使用。賽門鐵克的數據丟失防護技術可跨越端點、網絡和存儲系統，通過單一的集成界面為企業和組織提供全面的數據丟失防護覆蓋，從而對員工在與公司網絡斷開的情況下使用筆記本電腦發送電子郵件、網絡郵件和即時信息時造成的數據泄露事件也能加以監控。在端點處，新版數據丟失防護解決方案的設計不但可以防止對敏感信息的復制或粘貼，甚至可以阻止將這些信息以電子版方式打印或傳真。這些新功能與賽門鐵克現有的控制能力相結合，用以防止敏感數據被復制到USB裝置和CD/DVD磁盤中。賽門鐵克在內容感知（content-aware）監測方面的專業技術及識別特殊內容（無論該內容是否被打包）的能力對成功實現端點數據丟失防護都是至關重要的。

2008年10月，EMC的信息安全事業部RSA發布DLP6.0版本。RSADLP是為了在企業內提供統一的、無縫的政策安排而設計的，它使得客戶能夠發現和監控敏感信息，應用適當的強化機制來保護整個IT存儲棧的敏感信息。數據丟失防護組合包括RSA數據丟失防護終端、RSA數據丟失防護網絡，以及RSA數據丟失防護資料處理中心，由RSA數據丟失防護企業管理人員對組合進行總體管理。

Websense自2007年1月收購PortAuthority公司進入DLP市場，推出了終端內容保護套件解決方案。后來通過與Lumension建立合作伙伴關系來解決移動存儲所導致的終端數據丟失問題，Websense與Lumension的技術整合使雙方客戶都可以利用Websense的內容識別技術保護數據，實現對產品線的全面報告和對安全事件的有效管理。2009年9月Websense發布新版數據外泄防護（DLP）產品Data Security Suite，新版Data Security Suite加入端點控管，也就是防止數據從USB等管道外泄。Websense透過收購而來的Precise ID技術，可更準確辨認出泄密行為，并根據不同的應用程序/應用程序群組設定不同安全政策。Precise ID技術可將企業數據都轉換為數字指紋，加上安全政策控管，藉以比對、分析數據是否有存取、傳送的權限。

McAfee在2006年買下Onigma后，在2007年2月推出了數據遺失保護軟件Data Loss Prevention（DLP）Host，并在2007年11月將其整合進安全管理控制臺ePO 4.0。

三、國內主要解決方案

國內關于個人信息保護的解決方案，只有北京億賽通明確發布相關產品線。

2008年4月北京億賽通發布其數據泄露防護（DLP）體系。億賽通DLP以“驅動層透明動態加解密技術”為基礎，采用對應中國用戶需求的各種策略，以透明加密和權限管理兩功能為核心，結合身份認證、日志審計、文檔自動備份、文檔外發管理、設備安全管理、磁盤全盤加密等功能，建立完善的體系。在系統自身的安全性方面，還采用容災管理，確保系統可靠、安全地運行。DLP體系對數據（文檔）安全進行全方位、多角度、全生命周期的保護，徹底實現數據保護的完整性、保持性和安全性。

億賽通DLP體系主要包含的產品線有：文檔透明加密系統（SmartSec）、文檔權限管理系統(DRM)、文檔安全管理系統(CDG)、文檔外發管理系統（ODM）、磁盤全盤加密系統（DiskSec）、文檔安全網關(DNetSec)、設備安全管理系統(DeviceSec)等。其中，文檔透明加密系統（SmartSec）、文檔權限管理系統(DRM)、文檔安全管理系統(CDG)是整個產品線的核心。

四、國內外DLP解決方案相同點

從國內外DLP解決方案來看，在解決數據泄露防護需求的思路上，大體上是相同的。

通常認為，DLP可分為6個步驟：(一) 企業先將數據進行分類，同時預先對“涉密數據”進行定義，然后確定哪些數據需要保護；(二)確定涉密數據在企業系統中的存放位置，企業確定有多少數據存放在員工的計算機、公司的服務器或數據庫等；(三) 清楚掌握數據的位置，便能為數據的流出、流入提供實時的監控及保護，包括經電子郵件、http、即時消息等途徑發放的資料；(四) 數據泄漏多數是人為所致，因此企業必須制定員工傳送機密數據的權限；(五) 企業亦需監控數據被送達的地方是否安全，如商業伙伴或網上電子郵件等；(六) 企業必需注意員工運用什么途徑傳送檔案，這些途徑包括所有移動儲存硬盤和點對點傳送等。

五、國內外DLP解決方案不同之處

分析國內外個人信息保護解決方案，我們可以發現其不同之處：

1、設計理念不同

國外DLP基于良好的法律環境，內部有意泄密相對極少，對內部人員確認為可信，數據泄露主要來自外部入侵和內部無意間的泄密。因此，國外DLP主要用來防止外部入侵和內部無意間泄密。

國內DLP主要基于國內環境，法律威懾力小，追蹤難度大，泄密者比較容易逃脫法律制裁，犯罪成本比較小；同時，國內各種管理制度不完善，內部人員無意間失密的概率也比較大。所以國內DLP既能防止內部泄密，包括內部有意泄密和無意泄密，同時也能防止外部入侵竊密。
 
2、主要功能不同

從趨勢科技、賽門鐵克、RSA（EMC）、Websense、麥咖啡等發布的產品來看，國外DLP產品主要包含的功能模塊有：內容識別分類、輸出內容監控、敏感信息阻截、審計、移動設備管理。這些功能對于內部無意間泄密基本上是滿足需求的，但是對于外部入侵防護的效果相當有限。這里還有一個比較大的問題在于內容識別分類。內容識別分類是國外DLP產品的核心功能，但是這項功能的有效性還有待改進。結構化數據相對來說比較容易被識別和分類，但對于非結構化數據來說，有效性不高，這是目前國外DLP比較致命的缺陷之一。從總體上說，國外DLP產品還是采用被動防范的手段來解決。

國內DLP產品以透明加密和權限管理為核心，結合身份認證、日志審計、文檔自動備份、文檔外發管理、設備安全管理、磁盤全盤加密等功能，其實是針對文檔（數據）采用雙重保護手段。一是文件級的加密權限保護，二是磁盤級的加密保護。其中文檔透明加密系統（SmartSec）、文檔權限管理系統(DRM)、文檔安全管理系統(CDG)、文檔外發管理系統（ODM）是文件級加密權限保護，磁盤全盤加密系統（DiskSec）和文檔安全網關是磁盤級加密保護。國內DLP是從主動防范的立足點來解決問題的。  
 
3、產品適用范圍不同

國外DLP基本實施在中國的外企。這是由于外企在國外總部基本采用了國外DLP產品，在中國只是延續其總部的防范手段。從目前的市場應用來看，一部分外企比較容易接受國外DLP產品，并有實施。

國內DLP考慮中國特殊國情，基于國內環境設計，所以其適用范圍相當廣泛。以北京億賽通DLP為例，當前主要適用在政府、軍隊、軍工、制造、通信、規劃設計院所、汽車等行業。其產品在中華人民共和國外交部、中國人民解放軍第二炮兵、中國移動集團、中國一汽集團、京東方科技集團、正泰集團、亞迪集團、國人通信、晨訊集團、宇龍通信等全國有300多家用戶在使用，終端數量超過30萬點。

4、產品實施后效果不同

國外DLP在中國存在普遍的水土不服現象，主要原因還是在防內和防外的問題上。國外DLP無法防止內部主動泄密。國內DLP以加密權限為核心，從主動預防的立足點來防止數據泄露，對數據（文檔）進行加密，從源頭上進行控制。即使內部數據流失到外部，也因為已被加密而無法使用，從而保證了數據（文檔）的安全。

六、國內DLP解決方案總體上優于國外DLP

綜上所述，國內DLP解決方案的優勢是顯而易見的。從技術上講，國內DLP完全能防止數據（文檔）的泄露問題，是適合中國國情的解決方案。

國外DLP解決方案不適合中國用戶情況，無法滿足用戶需求。從總體上講，可以解決部分問題，但無法嚴密地防范泄密，只能更多地依賴管理手段。關于這一點，國外DLP廠商也有清醒的認識。趨勢科技公司高級產品顧問徐學龍也承認：“在預防數據泄密和安全威脅的問題上，公司需要擁有主動性戰略。安全產品確實有效果，但是還需要廣大員工在日常工作中積極參與。人們需要知道他們的一些行為，比如把文件拷到U盤帶出辦公室，可能會損害公司的數據安全。有了LeakProof 3.0，各企業就能夠使保證數據安全成為公司文化的一部分，使員工們投身于敏感數據的保衛戰中”。從以上言論可以看出，國外DLP產品的有效性確實有所欠缺，只好寄希望于員工自覺遵守制度來保證；對于內部員工主動泄密和竊密者，卻是無能為力。