中国数据泄露防护(DLP)呼唤标准出台

众所周知,行业标准、技术标准和产品标准,对于高科技行业来说,具有战略制高点的意义。在国家“核高基”战略和信息安全等级保护制度的大背景下,出台数据安全和数据防泄露产品的标准,对于DLP行业的发展具备至关重要的作用。当前,由于标准缺失,中国数据泄露防护行业的发展处于深度困扰和迷茫状态中。为了改变这种现状,一部由中国人首创的数据泄露防护(DLP)标准,亟待相关部门制订出来。

一、为什么要制订数据泄露防护(DLP)标准?

1、 数据泄露防护(DLP)具备国家信息安全的战略高度,必须由国家来牵头

政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。

2、国外DLP产品的入侵有霸占中国数据安全市场的危险

自2007年以来,赛门铁克、麦咖啡、趋势科技等跨国信息安全巨头,纷纷收购数据泄露防护(DLP)公司、技术和产品,涉足推动数据泄露防护(DLP)领域,在全球推出以内容检测为核心技术、辅以身份认证和访问控制、日志审计等技术的DLP产品。于此同时,这些跨国巨头凭借其强大的资金实力和技术背景,其DLP产品如同洪水猛兽般向中国涌来,在中国广泛宣传,必将对中国信息安全产品市场造成强大的冲击。

信息安全产品的技术含量非常高,这就要求知识积累一定要充足,才能开发出有竞争力的产品。在中国信息安全市场,尤其在防火墙、防病毒及人侵检测方面,基本上是国外产品一边倒的局面。国内安全产品市场近八成高端用户的首选是国外产品。由于国内产品的技术水平相对于国外的同类产品还比较落后,产业化水平较低。而国内厂商整体上是以技术模仿和重复投资的手段争夺区区几亿元的低端市场。

如果任由国外DLP厂商圈占和蚕食国内市场,那么在这个相对来说还比较新,国际国内都还有广阔发展前景的领域,必然又将像防火墙、防病毒及人侵检测市场那样,完全沦陷于跨国信息安全巨头的铁蹄之下。长此以往,中国信息安全市场将不再有中国信息安全厂商的生存之地,必将沦为别国厂商的附庸。

3、国内DLP正处于高速发展的成长期,需要建立相应成熟的软环境

目前中国信息安全市场已进人成长期,这一时期的特点为:市场增长率很高,需求高速增长,技术渐趋定型,行业竞争状况和用户特点比较明朗,顾客对产品的认知能力迅速提高,产品形成差别化趋势以满足顾客不同的需求,生产能力呈现不足;市场竞争逐渐形成,进人壁垒拔高,企业应付风险的能量得到增强,利润呈加速增长态势。

据权威机构调查数据显示,中国2010年数据泄露防护市场容量可达10亿元以上。而且也每年30%的速度上升。

4、国内DLP产品走向国际市场

从全球信息安全发展的历程来看,基本是欧美国家走在前列,不论是防火墙、杀毒软件、IDS/IPS等传统产品,还是近年来新兴的其他产品,基本都是由少数跨国信息安全巨头主宰着全球信息安全市场。众多发展中国家的信息安全厂家都是在学习和模仿这些巨头的技术,开发适合本地的对应产品,很少有发展中国家有独创产品领先于发达国家产品,并在全球市场推广开来的。

但是,这种局面很可能会有所改变。从传统的经济学理论来说,发展中国家有“后发优势”,可以站在巨人的肩上,创造出全新的技术理论体系和产品。这一点在数据泄露防护领域已经有所体现。

北京亿赛通作为中国唯一一家具备开发数据泄露防护体系的信息安全厂商,从2008年首创以“透明加密”为核心的数据泄露防护体系。其中,关于文档安全管理系统的“透明加密技术”和针对服务器和数据库加密保护的“文档安全网关技术”,在全球均属首创。亿赛通DLP体系完全不同于国际上其他DLP产品,具备开创性的独有优势。如果能进一步得到发展,将很有可能开辟出一条全新的技术路线,在全球信息安全领域中占据一席之地。

5、 劣质产品充斥市场,误导用户,给用户带来损害

当前,在中国数据泄露防护(DLP)市场上,充斥着大量的不合格劣质产品。主要有两种表现:一、部分加密软件功能简单,性能低下,运行非常不稳定,漏洞很多,完全满足不了电子文档和数据的加密需求;二、有的信息安全产品主要功能是内网安全管理,通过OEM集成了部分加密功能,就打着加密软件的旗号,愚弄和欺骗用户,这部分产品在功能上就不完善,完全属于不合格产品。

根据业内资深人士介绍,作为成熟的文档加密和数据泄露防护产品,从业者必须经过五年以上加密产品开发经验,并且有客户终端实施超过30万以上。根据中国ESN调查机构的报告,符合这一标准的加密软件厂商仅有北京亿赛通一家而已。

由于不良商家的不规范经营,市场上产品鱼龙混杂,概念混乱,给用户选购产品带来极大的困扰。部分用户在实施不合格产品之后,往往造成系统瘫痪,信息保密形同虚设,根本无法做到数据泄露防护。因此,广大用户深感困扰,纷纷呼吁相关领导部门制订出台相关标准。

二、数据泄露防护(DLP)产品标准的相关依据

制订数据泄露防护(DLP)标准,其法律依据来自《中华人民共和国标准化法》,同时还必须参照等级保护和分级保护的相关政策法规。

根据中华人民共和国标准化法的有关规定,“企业生产的产品没有国家标准和行业标准的,应当制定企业标准,作为组织主产的依据。企业的产品标准须报当地政府标准化行政主管部门和有关行政主管部门备案。已有国家标准或行业标准的,国家鼓励企业制定严于国家标准或者行业标准的企业标准,在企业内部适用。”就我国数据泄露防护(DLP)市场现状来看,无论是DLP产品,还是加密软件,都还没有统一的国家标准。为此,制订DLP产品的国家标淮,是当前关于DLP领域的重大事件。

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。

1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。

三、DLP产品标准的深远意义

数据泄露防护(DLP)标准的出台,是一件利国利民的大事,对于国家管理部门、产品生产厂家和用户都具有重要作用,对于DLP行业的健康、可持续发展具有强大的推动作用。

有利于厂商研发生产标准化DLP产品,使得市场规范化发展。

有利于用户产品选型、实施和测评,选用优质产品保护数据安全

真正落实国家关于信息安全等级保护和分级保护政策

间接支持国家“核高基”战略实施