朱凯华，初中文化程度。在网上从一个重庆人手中购买了50万条上海机动车主的信息。之后朱又从招商银行信用卡中心贷款审核员胡斌、中国工商银行黄陂支行客户经理曹晓军等人手中，以每份几十元到100元不等的价格，购买了3000条个人银行卡信息和个人征信报告。通过对这两份信息进行对比整理，朱掌握了“目标对象”的个人身份证号码、银行卡账号、账户余额、手机电话号码、家庭电话，甚至包括配偶及子女的生日等信息。再经过“数据分析”，朱猜测和筛选出最有可能的6位银行卡密码，密码猜测成功率竟高达20%。到被抓获时，其已经通过网银代缴水电费等手段盗走300余万元。

       这是2012年央视3.15晚会中曝光出的一幕。分析这条盗窃产业链，没有胡斌、曹晓军等“内鬼”的里应外合，个人征信报告等信息不可能轻易流出，而缺乏响应的防数据泄露管理机制和IT系统，也使 “内鬼”们有了可乘之机。

Check 北亚洲区产品销售总监李若怡：攻击是综合性的，防范体系也应该是综合性的。

赛门铁克中国区安全产品总监卜宪录：应该以风险管理的思路和方法论来实施数据安全，而不是只将其当做工具。

       不知从何入手？

       其实，近两年关于个人及企业信息泄露安全事件屡见不鲜。2011年3月，RSA种子令牌被盗，一个安全神话由此终结；2011年12月，CSDN网站用户数据库遭黑客入侵，包括600余万个明文的注册邮箱账号和密码被盗。

       但是，与如此频繁的数据泄露事件相比，防数据泄露市场似乎一直不温不火。究其原因，可以体现在三方面：

       其一，相关法律、法规仍不健全。其实，目前我国已有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。工信部电子科技情报研究所副所长刘九如表示，“针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。”例如， 2009年刑法修正案（七）确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是，这一犯罪主体是 “国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外，还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

       其二，个人和企业用户的防范意识淡漠。对别人出现的数据泄露问题总抱有“看热闹”的心态，事情没落在自己身上，不知道痛在何处。CSDN出事了，似乎没听说其他哪家网站提高了安全措施。

       其三，用户即使知道数据安全的重要性，也不知道从何入手。造成数据泄露的原因很多，例如面向外部开放的网站、服务器存在安全隐患被攻击渗透，这种问题最常见也最典型；内部人员（包括企业内部人员、第三方合作伙伴、供应商等）有意或无意泄露数据；存有重要数据的终端设备如笔记本电脑、移动硬盘、U盘、手机、平板电脑丢失或被盗。

       很多用户有这样一种错误认识：数据安全就是DLP（防数据泄露）。其实，由于数据泄露渠道众多，有意的无意的内部的外部的。各家安全厂商虽然都声称自己推出的是“数据安全解决方案”，但方案之间也相差十万八千里。

       这些解决方案，所针对用户群和防范对象也都不尽相同。Websense、Fortinet的防数据泄露解决方案主要指DLP；Imperva的数据安全解决方案，以“Web 安全+文件安全+数据库安全”为核心；甲骨文有针对数据库安全的DBFW；McAfee的数据保护方案是终端保护、DLP等。一个不恰当的比喻，用户就像瞎子摸象，我摸到了腿，以为防范了数据泄露；你摸到了头，也以为进行了防范，其实都不全面。

       现在几乎所有安全厂商都推出了数据安全解决方案，这是一件好事，但有时也会让用户很困惑。数据安全问题在整个数据生命周期中始终存在，任何单点的解决方案都不能解决全部问题。对此，Check Point北亚洲区产品销售总监李若怡表示， “攻击是综合性的，防范体系也应该是综合性的。 Check Point几乎每三个月都会推出一款软刀片，在统一的安全平台中，集成不同的软刀片产品，客户可以按照自身的业务需求和IT规划，灵活选择不同的软刀片。例如对有移动办公需求的客户，Check Point 可以提供访问控制软刀片；对数据泄露可以提供 DLP、磁盘加密、移动介质等软刀片；对于恶意软件商业伙伴41 business partner 入侵，可以提供IPS、防火墙、防僵尸软刀片。”

       启明星辰公司DLP资深产品经理吴鲁加表示，业内对防火墙、防病毒的定义和防范对象的认识基本保持一致，但用户对防数据泄露的需求分散，解决方案也很难完全统一。国内推出防数据泄露的厂商要么向权限控制方向发展，要么侧重于加密。原因在于，国内最早认识到数据泄露危害性的用户大多为制造业，阻断数据泄露通道是用户的核心需求。“而国外企业的思路有所不同，解决方案偏重审计。其思路是，我不一定拦断数据流出通道，但一旦数据泄露就能很快定位，并追责，电信、金融等用户也更倾向于采用这种解决方案。”

       吴鲁加从用户需求的角度分析了国内外数据安全解决方案的不同，但也有人这样形象地总结了一句话——“国内解决方案防小人；国外解决方案防君子。”

在失败中汲取教训

       防数据泄露市场一直不温不火，一方面是安全厂商众说纷纭；另一方面也是因为在前期推广的过程中，用户的体验不好，甚至出现了很多失败的案例。

       失败原因一：管的太细，影响业务。

       启明星辰吴鲁加表示，多数数据安全失败案例来自于前期加密和权限控制类解决方案。首先，想用一种权限控制系统来解决所有权限控制问题，这是不现实的，“当用户的数量非常大时，要给系统每个用户逐一授权（授角色），是件非常烦琐的事情，这也会给用户的业务流转造成诸多不便”；其次、采用加密的方式防止数据外泄最大的弊病，是有可能造成用户工作效率下降，“设想一下，用户每向外发出一封邮件，都要等待管理员审核，用户对这种解决方案的意见反弹可想而知”。

       其实，从防数据泄露技术上看，近两年并没有什么革命性的变革和更新，但正是看到了之前，防数据泄露解决方案中的诸多弊病，现在安全厂商也正在调整自己的设计思路。启明星辰的设计思路是，对全体员工采用审计的方式，确保信息部门知道数据被谁使用，以及数据流向，同时只对核心部门的核心数据采用加密的方式，将对业务的影响控制在最小范围之内。

       失败原因二：简单粗暴。

       某些防数据泄露解决方案的设计思路，以关键词检索为主，即含有被定义的敏感关键词，一律阻断发送，甚至有些文件格式一律不能发送。Check Point李若怡说：“出现这种问题是因为，很多公司的解决方案只是站在IT的角度进行控制，没有将数据泄露与用户的业务相结合。”

       例如，有些为设计公司提供的解决方案规定，所有AutoCAD格式的文件图纸都不能对外发送，但在实际业务中，图纸在最后确定前，要与客户进行几轮的往来沟通。李若怡介绍，Check Point的解决方案基于内容相似性的检索，即发送的图纸与最终稿达到一定象征度后，将被阻止，而设计草案可以被允许发送。

       同时，Check Point也反对简单粗暴的阻断式设计思路。“对于无意识泄密行为，Check Point的解决方案不是给每名员工一份安全策略，告诉哪些内容可以发出，哪些内容不能发出，哪些网站可以访问，哪些网站高危，不能访问。”李若怡表示，“我们的策略是，在员工发出敏感文件时，系统自动发送提示邮件，在接收到这封邮件时，员工会重新审视是否要继续发送信息。这种方式相对人性化，潜移默化地降低员工无意识泄密行为。”

       举例说明，公司未上市的产品信息资料通常被判断为敏感信息，但为配合产品上市宣传，市场部会将此类信息需要发送给制作公司，如果采用阻断的方式，无疑会降低工作效率、破坏工作心情。而采用提示的方式，经过确认的发送行为不会被阻断。

       失败原因三：贪大求全。

       很多防数据泄露失败的原因是项目实施周期过长，动辄9个月，甚至一年。某些IT厂商为了实施一套 “完美”的系统，前期咨询时间过长，并由此陷入一个怪圈，乙方咨询-甲方业务更改-乙方再咨询，在超长的咨询过程中，刚刚制定的安全策略可能已经过时。吴鲁加说：“任何IT系统都不可能保证100%地防范数据泄露，在系统实施过程中，首先要了解用户最主要的信息泄露途径，至少保证90%的最重要泄露渠道受到保护，之后逐步调整安全策略。”

       李若怡建议：“Check Poi nt 采用软刀片的防护体系，在2~3周即可完成对一部分信息渠道的防护。在之后半年中，Check Point软刀片逐渐完成对用户业务的学习，完善安全策略制定。”

       赛门铁克中国区安全产品总监卜宪录也是 “贪大求全”的反对者，他表示：“任何解决方案在市场推广初期都会遇到类似问题，客户期待值过高，或销售经理过度承诺，希望一个产品能解决100种泄露场景。”对于数据安全的实施步骤，赛门铁克通常会建议采用“三·三”原则——

       首先向用户提出三个问题：哪些是敏感信息、敏感信息的传输和使用途径、敏感信息可能在泄露渠道。在明确三个问题后，分三个阶段解决问题：第一步，推荐以内容识别技术为核心DLP解决方案，此类方案适用性广泛，满足企业的基本要求；第二步，针对已经发现某些部门的某些特别重要的文档，建议采用数字权限管理解决方案；第三步，针对某些部门的某些特别机密的文档，建议采用数字加密解决方案。

       卜宪录指出，“任何加密和权限管理解决方案，都会加大业务应用的复杂性，员工需要重新培训、流程需要重新调整，尽量将加密和权限管理缩减在核心部门。”

       失败原因四：跟不上时代步伐。

       数据爆炸化、服务云端化、终端移动化——这三大IT发展趋势，导致传统网络安全边界已经荡然无存，在新的挑战之下，数据安全必须拿出新的解决思路。

       现在还有一些安全厂商是用绑定IP地址的方式防止信息泄露，但随着移动互联的发展，员工在进行业务操作时，不可能绑定一个IP地址，这种方式显然已经过时。李若怡介绍，“Check Point的解决方案不是绑定IP，而是绑定人的业务行为，解决方案中的身份识别功能，可以保证员工无论是通过公司设备还是家庭电脑，都会实现防护。”

       赛门铁克发布的《2011安全状况调查报告》显示，47%的调查对象表示，移动计算增加了在线安全防护的难度；45%则表示“IT消费化”令人担忧。 2011年11月，赛门铁克推出针对平板电脑的DLP解决方案；2012年，赛门铁克又先后收购了移动设备管理软件提供商Odyssey公司和移动应用管理软件厂商 Nukona。卜宪录表示，“一个管理良好的移动终端才是安全的；传统的防数据泄漏都已经移植到移动终端中，赛门铁克已经可以提供移动终端上的DLP解决方案。”他同时介绍，2012年3月，赛门铁克推出被称为O3“臭氧层”的云身份和访问控制解决方案。赛门铁克O3是企业的云信息保护平台，可以为云应用提供三层保护：访问控制、信息安全和信息管理。

       失败乃成功之母

       上面谈到了很多数据安全项目失败的原因，但正是总结了这些原因，近两年数据安全市场保持了高速的成长。从狭义的DLP市场看，来自赛迪的研究数据显示，从2009年~2011年，DLP市场销售额增速达到60%，2012年增长率将达到70%，预计全年销售额将达到11.5亿元。从广义的数据安全市场看，2011 年中国数据安全市场已经到达132.59亿元。

       从用户群体分析，金融、电信、高科技企业、制造企业对数据安全相对重视；此外，政府、医疗、地产已经成为最具潜力的市场。以金融客户为例，其首先倾向于在内部办公系统中采用防数据泄露解决方案，之后业务系统也将解决方案实施的重点。

       此外，有中国版“萨班斯法案”之称的《企业内部控制基本规范》，将在2012年全面落地实施，这将加强上市公司在信息防范方面的意识。

       “赛门铁克从2008年开始在中国市场着力推广防数据泄露解决方案。初期客户处于观望状体，特别希望能看到一个本行业的解决方案；在2011年市场进入爆发期，在狭义防数据泄露（DLP）市场，赛门铁克销售增长了300%~400%。”卜宪录介绍，中国前五大商业银行，有四家采用了赛门铁克DLP的产品和解决方案。有超过20家省级电信运营商是赛门铁克的客户。

       成功三要素

       数据安全市场客观存在，而且高速增长。而要取得项目成功，必须具备三要素：争取企业高层支持、梳理清楚应用场景、分阶段项目实施。而在具体实施过程中，一个成功的数据安全项目可分四个步实施——

       一、风险识别。创建数据安全管理策略，评估违规频度和策略精度。

       二、修复流程。建立IT部门与业务部门的沟通机制，修改流程策略，完善IT规章制度。

       三、教育员工。调查显示，2/3 的数据泄露事件是由于部分善意内部人员犯了“严重错误”而引发的。

       能够做好以上三个步骤，将可阻止90%以上的数据泄露。针对另10%的泄露行为，通过自动阻断、权限控制、文档加密等产品完善防护体系，当然，针对极少数靠技术手段无法控制的“故意”泄密行为，必须诉诸法律手段。

       卜宪录将数据安全项目的成功总结为一句话： “以风险管理的思路和方法论来实施数据安全，而不是将其当做工具。”

       防数据泄露主要手段及解决方案：

      1、管控：防水墙、U盘管理、外发控制

      2、加密：手动加密、透明加密、磁盘加密

      3、权限：权限控置

      4、审计：终端审计、网关审计、审计扫描

      5、虚拟化：集中管理 

      6、数据库：加密、审计、阻断