众所周知,行业标准、技术标准和产品标准,对于高科技行业来说,具有战略制高点的意义。在国家“核高基”战略和信息安全等级保护制度的大背景下,出台数据安全和数据防泄露产品的标准,对于DLP行业的发展具备至关重要的作用。当前,由于标准缺失,中国数据泄露防护行业的发展处于深度困扰和迷茫状态中。为了改变这种现状,一部由中国人创新的数据泄露防护(DLP)标准,亟待相关部门制订出来。
一、 为什么要制订数据泄露防护(DLP)标准?
1、 数据泄露防护(DLP)具备国家信息安全的战略高度,必须由国家来牵头
政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。
2、 国外DLP产品的入侵有霸占中国数据安全市场的危险
自2007年以来,赛门铁克、麦咖啡、趋势科技等跨国信息安全巨头,纷纷收购数据泄露防护(DLP)公司、技术和产品,涉足推动数据泄露防护(DLP)领域,在全球推出以内容检测为核心技术、辅以身份认证和访问控制、日志审计等技术的DLP产品。于此同时,这些跨国巨头凭借其强大的资金实力和技术背景,其DLP产品如同洪水猛兽般向中国涌来,在中国广泛宣传,必将对中国信息安全产品市场造成强大的冲击。
信息安全产品的技术含量非常高,这就要求知识积累一定要充足,才能开发出有竞争力的产品。在中国信息安全市场,尤其在防火墙、防病毒及人侵检测方面,基本上是国外产品一边倒的局面。国内安全产品市场近八成高端用户的首选是国外产品。由于国内产品的技术水平相对于国外的同类产品还比较落后,产业化水平较低。而国内厂商整体上是以技术模仿和重复投资的手段争夺区区几亿元的低端市场。
如果任由国外DLP厂商圈占和蚕食国内市场,那么在这个相对来说还比较新,国际国内都还有广阔发展前景的领域,必然又将像防火墙、防病毒及人侵检测市场那样,完全沦陷于跨国信息安全巨头的铁蹄之下。长此以往,中国信息安全市场将不再有中国信息安全厂商的生存之地,必将沦为别国厂商的附庸。
3、 国内DLP正处于高速发展的成长期,需要建立相应成熟的软环境
目前中国信息安全市场已进人成长期,这一时期的特点为:市场增长率很高,需求高速增长,技术渐趋定型,行业竞争状况和用户特点比较明朗,顾客对产品的认知能力迅速提高,产品形成差别化趋势以满足顾客不同的需求,生产能力呈现不足;市场竞争逐渐形成,进人壁垒拔高,企业应付风险的能量得到增强,利润呈加速增长态势。
据权威机构调查数据显示,中国2010年数据泄露防护市场容量可达10亿元以上。而且也每年30%的速度上升。其中,北京亿赛通公司的文档安全管理系统、
4、 国内DLP产品走向国际市场
从全球信息安全发展的历程来看,基本是欧美国家走在前列,不论是防火墙、杀毒软件、IDS/IPS等传统产品,还是近年来新兴的其他产品,基本都是由少数跨国信息安全巨头主宰着全球信息安全市场。众多发展中国家的信息安全厂家都是在学习和模仿这些巨头的技术,开发适合本地的对应产品,很少有发展中国家有独创产品领先于发达国家产品,并在全球市场推广开来的。
但是,这种局面很可能会有所改变。从传统的经济学理论来说,发展中国家有“后发优势”,可以站在巨人的肩上,创造出全新的技术理论体系和产品。这一点在数据泄露防护领域已经有所体现。
北京亿赛通作为中国精品一家具备开发数据泄露防护体系的信息安全厂商,从2008年创新以“透明加密”为核心的数据泄露防护体系。其中,关于文档安全管理系统的“透明加密技术”和针对服务器和数据库加密保护的“文档安全网关技术”,在全球均属创新。亿赛通DLP体系完全不同于国际上其他DLP产品,具备开创性的独有优势。如果能进一步得到发展,将很有可能开辟出一条全新的技术路线,在全球信息安全领域中占据一席之地。
5、 劣质产品充斥市场,误导用户,给用户带来损害
当前,在中国数据泄露防护(DLP)市场上,充斥着大量的不合格劣质产品。主要有两种表现:一、部分加密软件功能简单,性能低下,运行非常不稳定,漏洞很多,完全满足不了电子文档和数据的加密需求;二、有的信息安全产品主要功能是内网安全管理,通过OEM集成了部分加密功能,就打着加密软件的旗号,愚弄和欺骗用户,这部分产品在功能上就不完善,完全属于不合格产品。
根据业内资深人士介绍,作为成熟的文档加密和数据泄露防护产品,从业者必须经过五年以上加密产品开发经验,并且有客户终端实施超过30万以上。根据中国ESN调查机构的报告,符合这一标准的加密软件厂商仅有北京亿赛通一家而已。
由于不良商家的不规范经营,市场上产品鱼龙混杂,概念混乱,给用户选购产品带来极大的困扰。部分用户在实施不合格产品之后,往往造成系统瘫痪,信息保密形同虚设,根本无法做到数据泄露防护。因此,广大用户深感困扰,纷纷呼吁相关领导部门制订出台相关标准。