三、当前五种主要的防泄密手段概述

　　1、内网管理软件

　　内网管理一般是指对单位内部网络终端的综合管理。内网管理软件主要通过禁止远程屏幕拷贝、远程屏幕监控、全硬盘文件监控和文件监视、上网行为检查和打印监控等网络监控功能(可选组件);具有有禁用USB、禁用光驱、软驱、管理非法外联等阻断管理功能;具有禁用QQ、禁用BT、禁用游戏、远程修改IP、禁止修改IP、通过进程知识库进行木马分析和查杀、自动补丁分发的补丁管理、注册表监控、流量排名和流量报警阻断等运行维护功能。

　　内网管理软件属于早期的初级防泄密手段。从技术上讲，内网管理不可能阻截所有的泄密通道，而且没有对文档和数据进行加密，所以其防泄密程度有限，难以做到真正的数据泄露。因此，内网管理软件更多被视为网络运维管理软件，而作为防泄密方式逐渐被淘汰。

　　2、文档加密软件

　　文件加密主要是指文档加密软件，最早由北京亿赛通公司研发，目前在中国大概有300家左右的文档加密软件企业。文档加密软件是通过对内网终端的产生和存储的文档进行透明加密或者文档使用权限管理，使终端得到控制，实现文档安全管理。

　　随着技术的发展和用户需求的延伸，不仅要求对内网终端进行管控，还需要从磁盘、端口、服务器、数据库等多方面进行管理。单一的文档加密软件只能对终端进行加密控制，不是一个完整的解决方案，已经不能完全满足用户需求，而是逐渐成为一种标准工具。

　　3、硬件加密

　　硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时，加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算，同时写入硬盘的主分区表。这时加密芯片、专有电子钥匙、硬盘就绑定在一起，缺少任何一个都将无法使用。经过加密后硬盘如果脱离相应的加密芯片和电子钥匙，在计算机上就无法识别分区，更无法得到任何数据。

　　硬件加密方式往往是对硬盘上的数据进行管控，使用范围相当有限，不是主要的防泄密手段。

　　4、国外数据泄露防护(DLP)

　　从2006年开始，基于防止外部入侵窃密和内部无意泄密的需求，国际信息安全巨头包括趋势科技、赛门铁克、RSA(EMC)、Websense、麦咖啡等，陆续推出了DLP(数据泄露防护)产品。国外DLP核心技术包括：内容识别分类、输出内容监控、敏感信息阻截、审计、移动设备管理。这些功能对于内部无意间泄密基本上是满足需求的，但是对于外部入侵防护的效果相当有限。国外DLP比较致命的缺陷之一是对内部有意带走资料的行为无法防范。

　　5、国内数据泄露防护(DLP)

　　由于中国国情的特殊性，防泄密的重点是防止内部泄密，同时也要防外部窃密。因此，基于国内用户的需求，北京亿赛通于2008年发布了全新的数据泄露防护体系。亿赛通数据泄露防护(Data Leakage Prevention，DLP)体系采用分域安全理论，将网络分为终端、端口、磁盘、服务器和局域网五大安全域，并以笔记本电脑、移动存储设备、数据库为安全域特例，针对各个安全域及特例实施相应安全策略，形成终端文档加解密、端口管理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系列DLP产品，在确保网络各个节点数据安全的基础上，构建整体一致的立体化DLP解决方案。

　　亿赛通DLP产品线基于驱动层智能动态加解密技术，通过文档透明加密、文档权限管理、文档外发控制、文档备份、业务流程审批、磁盘全盘加密、磁盘分区加密等基本功能，融合身份认证、日志审计、端口管理、移动存储管控和系统容灾管理等功能，实现非结构化数据和结构化数据的全面防护。