数据防泄密市场的分析与预测

数据防泄密市场的分析与预测
摘要：数据防泄密，在国外有个专有名词DLP。

DLP(Data Loss Prevention，数据丢失防护)是一个计算机
安全术语，指系统识别，监测，并保护在各种状态中的数据。

在国内，更为广泛意义被接受的概念包括“防
水墙”、“终端安全”、“数据安全”、“文档安全”等名词。

从2002年国内最早出现以防止敏感信息泄露为目的的防火墙系统开始，数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入、数据安全、透明加解密、加密网关、文档外发管理、文档权限管理等一系列的细分方向，并形成了一个特有的细分市场。

从开只有少数竞争场上的绝对蓝海市场，发展到部分细分领域已经泛赤、甚至完全变为了红海市场。

总体而言，市场主要分为三大方向。

一是面向涉密行业的监控与审计类产品，包括主机监控与审计、打印审计、刻录审计、等产品。

主要服务于11大军工集团。

因为这些军工企业具有明显的政策性准入要求。

这也是过去的7年中市场份额最大的一块。

但是正因为如此，这个市场也是最早出现竞争饱和的市场，而且由于这个市场的技术门槛较低，可复制性较强，进入的企业也非常多，竞争也非常激烈，导致现在的平均成交价格不及2004年的五分之一。

这个市场的竞争更多的是依靠商务背景和关系，存在着依靠某一个或几个大的军工集团生存的企业。

整体而言，这个市场随着过去几年的保密检查的大力推进，虽然还存在一定的市场空间，但发展趋势和增长幅度都已经明显趋缓。

但是其中的终端终端与文件保护、电子文档安全管理系统等新型的保密产品呈现出高速增长的趋势。

在这个市场进行销售的产品需要获得国家保密局测评认证，基本上只有国内企业可以进入。

跨国公司和外企在这个市场几乎没有任何声音。

二是桌面管理类产品，包括补丁软件、软件分发、远程维护等产品。

这类产品主要面向政府、央企或其它大型企业。

购买这类产品更多的处于管理类需求。

严格意义上说，并非直接的数据防泄密产品，但是由于安全和管理的双生性和终端代理的唯一性的潜在特性，此类产品也发展成为市场中一个主要的组成部分。

这个市场主要的领导型企业是Landesk。

但国内也有很多厂商从不同方向进入这个领域，有的从防泄密市场进入、有的从传统安全市场进入、有的从网管软件市场进入。

但国内企业在这个市场的竞争中都存在一个问题，产品的符合度与企业的需求之间存在较大的差距，虽然不少企业也购买并在使用桌面管理类软件，但与其期望存在不小差距。

如果国内企业能够通过加大研发力度和市场调研，推出更贴近用户需求的产品，这个市场的发展空间还是比较大的。

三是数据安全类产品，包括透明加解密、文档安全、权限管理、加密网关、文档外发管理、文件密级标识等产品。

这类产品主要面向的研究所、设计企业、高科技企业、广义制造业等自身对知识产权高度敏感的单位。

数据安全类产品是最为直接和根本的数据防泄密产品。

最近4年左右的时间是其高速发展期。

企业购买这类产品，基于都缘于对其自身信息资产防护的考虑，因为这类企业自身所处的行业大部分都面临着激烈的商业竞争，购买数据安全类产品，就是为了保证自己在商业竞争中的利益和安全。

这个市场没有太多的政策门槛，所以进入的企业也相当的多，有的是通过自主开发产品进入的，也有的通过合作OEM的方式进入，甚至部分企业通过购买二进制代码的形式也进入了这个市场，导致市场出现了战国纷争、
良莠不齐的局面。

很多企业在进入这个市场2年左右时间后，因为没有研发和技术支撑，无力维系而退出。

也有企业在不断通过各种途径进入。

相对于监控与审计类产品，这个市场整体的销售价格还保持在一个比较合理的空间。

这个市场小企业较多，存在部分企业以首付款为目的，将价格压到比较低的范围，拿走走人，留下一个残局的情况出现。

总体而言，数据安全类产品的市场空间较大，市场需求可能呈现井喷趋势，处于高速发展阶段。

但是这个市场与前两个相比，与客户的业务系统关系密切，结合紧密。

如何更好的适应和满足企业业务系统的需求是其面临的一个挑战，种类繁多的使用场景、制造类企业中存在着品种复杂的ERP、OA、PLM、PDM系统，或研发类企业中也有各种版本控制软件，例如ClearCase、SVN、CVS、VSS等，如何与这些系统实现无缝结合，对很多小的厂商而言都是巨大的挑战。

在过去的十年间，作为取代防火墙、IDS、防病毒老三样安全产品之一的防泄密软件，处于高速成长和发展期，伴随着这个市场的发展，也挽救或催生了一批IT企业，目前行业内做的比较好的企业，基本都横跨监控与审计、桌面管理、数据安全三个方面。

且部分企业或已经启动上市流程，期望从资本市场获得更多的资金支持，或已经从VC处募得资金，或依托大平台实现稳步发展。

基本已经度过了行业初期的混沌状态，进入了相对有序阶段。

2011年行业整体的增长服务超过了25%，整体销售额估计在15个亿左右。

部分企业的增幅远高于这个数字，预计在2012年，行业的整体增幅会达到34%。

特别是在数据安全类产品领域中，已经出现了需求倒逼厂商的情况出现，只要各企业持续进行研发投入，调整、优化并推出新的适应市场需求的产品，未来5年将是这个市场高速发展的5年。

数据防泄密：整体性解决方案是大多数用户的需求倾向
摘要：如今数据泄密事件依旧不断上演，国内整体数据安全形势不容乐观，数据泄密防护任重道远。

紧跟时代发展，贴近用户需求，勇于创新成为数据泄密防护厂商的必然选择。

关键词：数据防泄密数据泄密
如今数据泄密事件依旧不断上演，国内整体数据安全形势不容乐观，数据泄密防护任重道远。

紧跟时代发展，贴近用户需求，勇于创新成为数据泄密防护厂商的必然选择。

一、企业数据防泄密意识增强
数据泄密事件的惨痛教训已使得越来越多的企业意识到防止数据泄密的重要性。

据统计，2011年数据泄密行业发展增速在20%以上，2012年行业增速预计将达到30%。

这也从侧面说明了企业数据防泄密意识的增强。

如火如荼的数据安全需求，瞬间催生了国内一大批数据安全厂商。

尽管形势喜人，却依然难掩高速发展背后的脆弱性。

二、单个产品难以满足用户需求
过去，文档加密是企业防泄密的主流，而今，它也是一种有效的数据防泄密手段之一。

数据泄密防护行业发展至今，文档加密已演变为企业数据泄密防护的基本需求。

诚然，在随后的发展中，也有不少厂商开始增加终端安全、移动存储介质管理、文档外发管理等等功能，但其本质上仍只是产品的简单组装，并没有从根本上为用户建立起完整的数据安全防护体系。

随着移动办公设备在企业的广泛应用，企业信息安全新需求情况不断增加，这种拼凑式的解决方案使得数据泄密防护漏洞百出。

令人欣慰的是越来越多用户及数据泄密防护厂商开始认识到这一点。

三、整体性解决方案才是王道
所谓整体性解决方案是指依客户实际需求，采用统一平台统一策略管理，从数据源和数据使用环境上，对数据整个生命周期实施加密、认证、授权、审计等综合性防护手段，形成完整的数据安全防护体系。

可以从如下几个个方面去判别方案的整体性：1）是否有统一平台行使统一策略管理；2）能否从数据源、数据使用环境去实施全面防护；3）能否对整个数据生命周期进行防护；4）是否采用加密、授权、认证、审计等综合性防护手段；5）能否对证书、密钥进行有效管理。

虹安公司是业内为数不多的能够提供整体性数据泄密防护解决方案的企业之一，是国家商用密码产品定点生产、销售企业，产品通过国家保密局、公安部等多家权威认证，也是省市两级政府采购供应商。

虹安拥有业内最全的产品线，并能支持安卓Android平台（国内首款），完全有实力为用户提供整体性数据泄密防护解决方案。

泄密事件引关注再谈数据外泄和数据库安全
2011年末国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网，引起了亿万网民的关注、怀疑互联网的安全性，似乎一夜之间数据外泄和数据库安全成为流行。

其实不然，数据外泄从05年开始就在国外爆发，典型代表为美国的数千万信用卡数据失窃事件。

从历史上看，往往一个大的事件会引起人们的警醒，甚至一定程度会影响到法律法规的制订和全员对安全意识和手段的提高。

面对此类安全事件，我们需要的不是过多的责难，而是不断改进的问题本，站在信息系统安全高度来看待这些层出不穷的安全事件。

信息安全不能头痛医头脚痛医脚
这次事件引发了很多互联网企业、电子商务、电子政务等诸多在线业务系统关于数据库防泄露的探讨与分析，安全厂商也纷纷拿出了各自的防数据库信息泄露的解决方案。

深入分析这次事件，不难看出，数据库泄露事件仅仅是信息安全事件的一种表现形式而已。

这次被公布的账户信息不过是黑客产业链输出的已经失去价值的信息残渣;这背后可能存在修改核心数据库的记录、获取特定社会公众人物的重要信息、涉嫌大宗商业诈骗等违法行为等更为严重的不为人知的恶性安全事件。

亡羊补牢为时不晚，但若我们安全建设的策略仅聚焦在数据泄露这个安全事件的表象上，这将会是危险的。

信息安全建设切忌头痛医头脚痛医脚，如前些年网站出现的大量篡改事件，从而导致防篡改解决方案、防篡改产品，防篡改要求纷纷上阵;去年医药价格的暴光推动了防统方的需求。

这都表现为过于被动的安全策略，如果没有CSDN账户信息的大量丢失事件，可能我们对信息安全依然陌生，对WEB应用系统的安全仍然停留在防篡改的层面，对WEB 攻击的认识只会知道有SQL注入，对数据库安全认识也只是弱口令。

这些事件给我们的信息安全建设敲响了警钟。

值得庆幸的是这次事件的很多受害网友都是程序员，因此也直接增强了程序员安全意识教育。

对于信息系统的安全建设我觉得应该从如下几个方面着手考虑。

安全意识的培养与管理层的重视
很多人都听说过“七分管理，三分技术”，也听说过“70%风险来自内部”，这两个准黄金分割其实没有必然联系，其实谁在管理，如何管理，如何运用合理的技术，如何控制风险，如何把风险降到可控的范围，里面最重要的是人，特别是管理层的决策。

从我这些年的观察来看，在实践中大部分都体现了人性的一些弱点“不遇到痛处，不会意识到”。

伴随着08奥运安保、09建国60周年、10年世博会和亚运会安保活动的成功，一个功劳是进行全国性的信息安全教育和安全意识的提高(尤其是
在领导层面)，这方面的影响将是深远的，而且这次数据库信息泄露事
件我想最值得总结的教训就是应当提高管理层的安全意识和决策层对
信息安全的重视。

很多企业信息安全没有专职部门，甚至只是网管部门某个职工的兼职工作内容。

这样的组织架构是很难落实信息安全工作的。

我们应优化组织架构，尽可能建立专职部门并赋予一定的权限，这样才能较好地展开信息安全建设工作。

立足信息系统安全的高度来看待问题
信息安全是一项系统工程，我们在进行安全的规划就是应立足系统安全的高度来分析需求。

从基本的物理安全、：机房门禁制度、网络访问控制、操作系统安全、应用安全、安全访问人员的认证、授权、审计管理等，其中任何一个环节安全措施处理的不当都有可能带来严重的后果。

比如我们信息资产的价值与敏感程度是与相应的访问角色相对应，从核心数据库的维护、管理、中间件读取再到普通用户的浏览的每一个层面的权限控制、访问审计等安全措施是否到位都应纳入其中。

信息安全是技术和管理的统一体，内部运维和外部访问的安全管理同等重要。

安全管理制度要建立，但更需采用一定的手段来监测我们的管理制度能否落到实处。

比如我们的制度要求定期修改密码、敏感数据访问需要审批、权限调整变更需要审批，但这些制度是否得到执行我们不得而知。

内部管理工作应采用制度建设与技术手段相结合的方式来展开，如我们对数据库的操作进行审计，上述的制度是否得到有效执行将能直观的体现到审计报表中，从而促使管理制度得到良好的执行。

以信息资产的价值来权衡安全的投入
我想强调的是我们做信息安全规划时应当以信息资产的价值重要
程度和相应的安全风险来决定信息安全的投入。

网站仅为了发布一些日
常信息时，可能部署一套防篡改软件就足够了，但如果我们是一个重要的交易系统，或者是涉及大量用户信息的社交网络则需要更为全面的安全考虑。

比如我们的网上应用系统由大量服务器群构成，如文件服务器、缓存服务器、多媒体服务器、广告服务器、交易应用服务器、账户会话服务等等，我们在制定安全策略时应当对风险指数高的交易服务器、账户会话服务器进行较多的安全投入，而不需要对所有的服务器都采用相同的安全策略从而带来巨大的信息安全投入本成。

应具有社会责任感
最后我想说的是以信息技术为载体的企业，无论是专业的安全公司还是互联网企业都应具有良好的社会责任感。

如今几乎所有银行、证券、电信、移动、政府以及电子商务企业都提供在线交易、查询和交互服务，这也意味着社会公民的财产、身份信息、账户信息、家庭信息、社交关系等均在互联网上有了全面的记录。

如果其中的某个环节的信息被泄露，这些信息将可能被别有用心的人关联起来，并结合社会工程学等攻击手段给我们广大民众带来非常大的威胁。

比如近期的信息泄露可能导致社会民众的恐慌，而日益严重的如网页挂马、网络钓鱼也给民众造成了实质性的伤害，可能这些安全问题对我们服务器本身、核心数据库、业务等并不会有直接的影响;用户因为
这些安全问题遭受经济损失后，从法律上讲，也许我们的企业并没有承
担责任的义务，但我们应在这几个方面加强安全防御措施，尽可能降低类似事件的发生，不但为健康的网络环境做一份贡献，同时也是为我们自己的企业信誉做一份努力。