【IT168 资讯】从最初的应用杀毒软件,到部署防火墙、入侵检测,到桌面安全、网络流量监控、上网行为监控、文档安全管理、各类行为审计,信息安全的发展从个人应用到企业级的建设,历经近十年的发展,已越来越被人们所关注,也日益成为各个企业CIO案头最最重要的建设重点。
笔者2001年进入信息安全领域,当时企业在信息安全方面的建设主要是防火墙、入侵检测和防病毒,俗称“老三样”。随着企业协同办公的发展和企业信息的积累,信息在企业内部的流转越来越频繁,员工接触到的核心信息也越来越多,企业所面临的安全威胁也逐步从外部入侵转为内部泄密。2002年国内开始出现了文档安全管理的概念,当时主要以国外的一些产品理念为主,象微软的RMS,韩国的MarkAny,美国的AirZip。这些产品均是基于DRM的文档权限管理系统。2003年开始国内的一些企业也开始了DRM产品的研发和推广,像前沿科技、亿赛通等。相比国外的产品,国内厂商更注重国内企业的企业文化,贴近国内企业的需求,所以在2005年左右成功地抵御了国外相关产品,成为国内文档安全市场的主力。随着企业对文档安全的认识逐步清晰,以及国内厂商对企业文档安全需求的深挖,2006年初由国内安全厂商提出的“自动加解密”技术成为新一轮的安全理念冲击着文档安全市场。到2007年下半年,基于“自动加解密”技术的产品如雨后春笋般地涌现到企业客户的面前,瞬间文档安全的竞争从蓝海变为了红海。
国内的一些老牌信息安全厂商,像天融信、启明星辰、中软、国富安等也纷纷OEM或自主研发文档安全产品,并结合原有的产品形成了整套从外到内的信息安全解决方案。
与此同时,在国内的文档安全市场上的国外产品也仅剩微软的RMS和EMC的Documentum IRM了。而老牌的关注信息安全的国外厂商,像赛门铁克、趋势、McAfee等则是以DLP(Data Leekage Prevention数据防泄漏)的产品形态出现在信息安全市场中。DLP是个庞大的体系,从用户管理、资产管理、数据管理、到网络规划、准入管理等方面形成一整套解决方案。而DLP在细分的文档安全市场中又无法满足国内企业的个性化需求,仅作为信息安全的基础建设,目前尚无法和国内的文档安全厂商抗衡。而国内出现的一些号称DLP的厂商,但仅是借用名词而已,属概念炒作。
面对如此纷繁复杂的信息安全市场,国内企业该如何建设文档安全呢?笔者通过几年的思考,总结如下几点关键要素,供大家讨论。
1. 选择服务,而不是选择产品。
企业文档安全建设的目标绝不是在出现信息泄漏事件后的亡羊补牢,而是“巩固和提升企业核心竞争力”。文档安全是将企业的文档安全管理规范落地的工具,应不断地根据企业战略需要而变化的。所以传统的产品供应商或解决方案提供商在一次产品部署后就离开是无法达到企业建设文档安全目标的。
文档安全建设作为企业IT建设的一部分,应是长期的、变化的。产品只能满足企业的一时之需,而注重提供服务的厂商则会将企业的长期利益和自身利益联系起来,这些厂商在不断完善安全理念、提升安全技术手段的同时,也会把新的理念、先进的技术引入到企业中来。
文档安全建设能否成功,即使是在短期内成功,一个重要的指标就是文档安全管理规范是否适合企业。制定文档安全管理规范是一件复杂的工作,不仅要了解企业的人员、资产、业务流程、保密制度,还得充分考虑员工的接受程度,要让规范达到效果,人性化也是不能少的,传统的说法“安全和效率永远是一对矛盾”,现在真得转变一下了。这也对厂商有了新的要求,一定还是注重提供服务的厂商能够有耐心、凭良心地服务于企业。
2. 全面设计信息安全,文档安全建设不是独立的一部分。
越来越多的企业意识到安全文档应和企业的业务系统无缝集成起来,这样能够在获得安全的同时保障安全。然而根据木桶原理,信息泄漏是从最短的“木板”流出的。因此,文档安全作为企业信息安全的一部分,首先应与企业的信息安全基础建设无缝整合,例如:CA数字证书认证、VPN安全接入、4A(Authentication、Account、Authorization、Audit)平台等。无论企业已具备信息安全基础平台,或是尚未建设,在建设文档安全时都应充分考虑今后整个信息安全平台的整合。
3. 文档安全服务提供商应具备多维的安全视角。
文档安全是不断发展变化的,信息泄漏的途径和手段也在不断地丰富和隐蔽,因此这就对文档安全服务提供商提出了更多的要求,不能仅关注于桌面数据的安全,还应在用户身份、网络接入、终端类型(PC、笔记本、手机等移动终端)等方面有着夯实的技术基础,只有这样才能和企业紧密合作,共同应对各式各样复杂环境下的信息泄漏。
展望一下,目前越来越多的企业选择了IT外包(通过选择SaaS服务,放弃企业自建),这样能够让企业腾出更多的精力和资金更专注于企业业务。笔者相信将来会出现安全外包,那么信誉好的安全服务运营商将是会是热门选择。
