過去一年來,企業(yè)級(jí)信息防泄漏市場有了非常迅猛的發(fā)展,DLP成為在企業(yè)級(jí)信息安全市場中成為了提及度最高的安全方案。隨著信息防泄漏事故發(fā)生的頻率越來越高,影響范圍越來越大,未來信息防泄露市場的熱度必然會(huì)持續(xù)攀升。日前,國內(nèi)領(lǐng)先的企業(yè)級(jí)信息防泄漏與內(nèi)網(wǎng)安全廠商溢信科技綜合其自身數(shù)據(jù)與市場公開信息,發(fā)布了一份2011-2012市場研究簡報(bào),提出了一些關(guān)于企業(yè)級(jí)信息防泄漏市場的有參考價(jià)值的數(shù)據(jù)。
瀏覽專題請(qǐng)點(diǎn)擊
信息防泄漏方案已經(jīng)成為提及度最高的內(nèi)網(wǎng)安全解決方案
近年來頻發(fā)且影響深遠(yuǎn)的信息泄漏事件,表明企業(yè)和各類組織信息系統(tǒng)中的敏感信息正遭到威脅。僅2011一年,就發(fā)生了RSA遭入侵導(dǎo)致安全令牌丟失、LulzSec、Anonymous等黑客大規(guī)模攻擊、Duqu工業(yè)病毒爆發(fā)等多起引起嚴(yán)重后果的信息安全事件。這些事件不僅僅造成了企業(yè)的實(shí)際經(jīng)濟(jì)損失,更帶來了嚴(yán)重的聲譽(yù)傷害。覬覦企業(yè)機(jī)密信息的攻擊活動(dòng)變得目的更加明確,頻率更加頻繁,同時(shí)攻擊方式也更加多樣化,更加隱蔽和耐心。另外,包括微博在內(nèi)的社交網(wǎng)絡(luò)的蓬勃發(fā)展,以及以智能手機(jī)、平板電腦為代表的移動(dòng)設(shè)備的爆發(fā)式增長,也使得企業(yè)面臨的信息泄漏風(fēng)險(xiǎn)更加多樣化和難以防范。
圖-1:最受關(guān)注的信息安全類方案熱度
在溢信科技2011年底針對(duì)國內(nèi)部分用戶的調(diào)研中,大部分企業(yè)的IT管理人員都表達(dá)了對(duì)于信息泄漏風(fēng)險(xiǎn)加劇的擔(dān)憂,以及信息一旦泄漏所造成的不良影響的心有余悸。如圖-1所示,在受訪的客戶中,近7成的客戶認(rèn)為未來一年自己所在組織對(duì)于信息防泄漏方案的需求位于所有信息安全方案需求的首位。同時(shí),為了加強(qiáng)對(duì)于社交網(wǎng)絡(luò)與智能終端的管理,對(duì)于桌面管理與規(guī)范類產(chǎn)品的需求仍然旺盛。
值得注意的是,過去幾年來國內(nèi)一直提倡的一個(gè)細(xì)分市場“內(nèi)網(wǎng)安全”,在本次的調(diào)研中呼聲不高,溢信科技認(rèn)為,這可能由于國內(nèi)“內(nèi)網(wǎng)安全”概念本身比較缺乏準(zhǔn)確的內(nèi)涵,包括信息防泄漏、桌面管理、上網(wǎng)管理、系統(tǒng)運(yùn)維等多種類別的產(chǎn)品都可以歸類于內(nèi)網(wǎng)安全旗下,因此用戶可能存在認(rèn)知上的不確定。未來的發(fā)展中,更加專業(yè)化和準(zhǔn)確的產(chǎn)品細(xì)分,更能抓住用戶的心。
加密熱度不減,信息防泄漏高歌猛進(jìn)
圖-2:最受關(guān)注的信息防泄漏功能需求
作為眾多信息防泄漏實(shí)現(xiàn)方案中的一種,加密類產(chǎn)品在過去一年中依然保持了較高的關(guān)注度,報(bào)告中加密類功能高居功能需求榜第一位也說明了這一點(diǎn)。溢信認(rèn)為,這一方面是由于加密類產(chǎn)品以信息為中心的“自動(dòng)透明加解密”的理念更加接近信息防泄漏的定義;另一方面,也是用戶在面臨信息泄漏渠道暴增,分別封堵可能“防不勝防”的現(xiàn)實(shí)情況時(shí),更傾向于尋求更加直接的以信息本身為保護(hù)對(duì)象的解決方案。
另外,從圖-2中可以看出,除了高居榜首的加密類需求,對(duì)移動(dòng)存儲(chǔ)、外設(shè)等設(shè)備邊界,Email、IM等網(wǎng)絡(luò)邊界渠道的防護(hù)需求,仍然占很大比例。在此次調(diào)研中,亦有眾多客戶提及,單純的加密方案,無論是文檔加密還是磁盤加密,都無法完全忽略終端、外設(shè)、網(wǎng)絡(luò)等傳統(tǒng)邊界的安全防護(hù)需求,用戶更多的傾向于采用“加密+邊界防護(hù)”的整合信息防泄漏方案。溢信科技也同樣贊同此種方案,提出的“IP-guard信息防泄漏三重保護(hù)”方案,整合運(yùn)用“審計(jì)-控制-加密”的多層次防護(hù)技術(shù),獲得了用戶的廣泛認(rèn)可。
更多管理層參與并推動(dòng)信息防泄漏項(xiàng)目
從溢信科技長期的行業(yè)經(jīng)驗(yàn)來看,與傳統(tǒng)的反病毒、防火墻、IDSIPS等信息安全項(xiàng)目相比,信息防泄漏項(xiàng)目更加直接的與業(yè)務(wù)流程相關(guān),同時(shí),由于其保護(hù)的是對(duì)于企業(yè)來說最為重要的核心數(shù)據(jù)與信息,因此一般會(huì)得到更高的管理層級(jí),如IT部門負(fù)責(zé)人甚至企業(yè)高管等人群的關(guān)注與推動(dòng)。以下的調(diào)研數(shù)據(jù)即是很好的證明。
圖-3:信息防泄漏項(xiàng)目發(fā)起推動(dòng)者
本次接受調(diào)研的企業(yè)大多數(shù)已經(jīng)部署了信息防泄漏產(chǎn)品,其中,近五成的信息防泄漏項(xiàng)目是由最高級(jí)別的IT經(jīng)理直接推動(dòng),同時(shí),高管(11%)和業(yè)務(wù)部門(8%)也有不同程度的參與。
在信息安全領(lǐng)域中,安全與效率的矛盾眾所周知,而信息防泄漏項(xiàng)目,恰恰或多或少的會(huì)影響原有的業(yè)務(wù)流程,也就有可能發(fā)生因造成效率損失而招致用戶反對(duì)等執(zhí)行受阻的情況。這時(shí),高更級(jí)別管理層的支持與意志就決定了項(xiàng)目執(zhí)行上的成敗。IT經(jīng)理更多的尋求高級(jí)別的支持有利于保證項(xiàng)目的成功。值得注意的是,過于強(qiáng)勢(shì)的推動(dòng)也可能招致更嚴(yán)重的反彈,IT經(jīng)理也應(yīng)該考慮如何制定更加靈活的安全策略,同時(shí)在項(xiàng)目實(shí)施全程都加強(qiáng)與普通用戶的溝通。
信息防泄漏項(xiàng)目不再一“密”俱“密”
我應(yīng)該在多大范圍內(nèi)部署信息防泄漏項(xiàng)目?這可能是眾多IT經(jīng)理經(jīng)常問自己的一個(gè)問題。的確,信息防泄漏產(chǎn)品從來都不像廠商宣稱的那樣“完全不改變用戶的使用習(xí)慣”,部分普通部門完全沒有必要一起“陪跑”。同時(shí),考慮到信息防泄漏產(chǎn)品不菲的價(jià)格,精打細(xì)算成了IT經(jīng)理的必然選擇。
圖-4:用戶選擇在多大范圍內(nèi)部署信息防泄漏項(xiàng)目
從本次調(diào)研的結(jié)果來看,大部分企業(yè)部署信息防泄漏項(xiàng)目的規(guī)模都相對(duì)較小,受訪的IT經(jīng)理們也表示,與全盤部署相比,他們更傾向于在最核心的機(jī)密部門部署信息防泄漏產(chǎn)品,而其他普通的業(yè)務(wù)部門采取普通防護(hù)措施或者干脆放開。
針對(duì)此種情況,溢信科技表示,“輕重有別,區(qū)分對(duì)待”的信息防泄漏原則是正常的,但不能因此完全放開對(duì)于非核心部門的保護(hù),因?yàn)槲覀儫o法保證非核心部門就不會(huì)接觸到機(jī)密部門的敏感信息并有意或無意泄漏;另外,由業(yè)務(wù)流程聯(lián)系起來的企業(yè)是有機(jī)的整體,如果只在核心部門內(nèi)部署嚴(yán)格的保護(hù),可能在企業(yè)內(nèi)形成人為的區(qū)隔,阻礙了業(yè)務(wù)的運(yùn)轉(zhuǎn)。因此,企業(yè)應(yīng)該更多的考慮內(nèi)部統(tǒng)一部署整合的信息防泄漏方案,只是根據(jù)實(shí)際情況,為不同的部門分配輕重有別的針對(duì)性安全策略。
制造業(yè)打頭陣,競爭升級(jí)催生普遍性安全保密需求
圖-5:信息防泄漏行業(yè)關(guān)注度排行
作為信息化的先行者,制造業(yè)企業(yè)理所當(dāng)然的在信息防泄漏項(xiàng)目的實(shí)施上走在了最前列。因此,電子電氣、機(jī)械重工等行業(yè)出現(xiàn)在信息防泄漏產(chǎn)品關(guān)注與實(shí)施排行榜的前兩位也就不足為奇。真正值得注意的是,以往傳統(tǒng)意義上的勞動(dòng)密集型行業(yè)如紡織服飾,其信息防泄漏需求也正在在升溫。根據(jù)溢信科技的調(diào)研與市場數(shù)據(jù),紡織服飾、咨詢文化、貿(mào)易等傳統(tǒng)意義上信息化應(yīng)用并不發(fā)達(dá)的行業(yè),正表現(xiàn)出對(duì)于信息防泄漏方案的強(qiáng)烈關(guān)注。
事實(shí)上,行業(yè)屬性的不同,只是表面的分別;而信息防泄漏受到各個(gè)行業(yè)的普遍關(guān)注表明,我們正處在一個(gè)以信息為資產(chǎn),以信息為競爭力的時(shí)代。制造業(yè)的圖紙、流程是核心競爭力,紡織服飾的設(shè)計(jì)樣板是競爭力,甚至經(jīng)營數(shù)據(jù)、客戶列表更加是競爭力…不同的行業(yè),需要保護(hù)的信息載體與種類可能不同,溢信科技認(rèn)為,以后的信息防泄漏解決方案,應(yīng)該是“以信息和數(shù)據(jù)為中心,綜合考慮業(yè)務(wù)流程和保密需求”而制定的多層次安全策略的組合。
信息防泄漏前路方向明確,實(shí)施之路依然荊棘滿布
盡管大多數(shù)用戶對(duì)于信息防泄漏的重要性與緊迫性都有足夠的認(rèn)識(shí),但顯然并不是所有的用戶,都知道如何去做。通過結(jié)合自身市場數(shù)據(jù)以及互聯(lián)網(wǎng)上的公開信息,溢信科技在本次報(bào)告中還總結(jié)出了在實(shí)施信息防泄漏項(xiàng)目過程中,項(xiàng)目執(zhí)行者最經(jīng)常提及的5大難題,如下:
在眾多的信息防泄漏方案中,哪一種才是最適合我的,強(qiáng)審計(jì),邊界封堵,信息過濾,還是加密?
我該如何做才能更好調(diào)和部署信息防泄漏方案過程中所必然面臨的效率、安全和成本三者之間的矛盾呢?
信息防泄漏怎樣才能順利的從紙上的方案被卓有成效的實(shí)施推進(jìn)呢?
信息防泄漏解決方案怎樣才能與原有的ERPPLMOA等業(yè)務(wù)系統(tǒng)更好的整合呢?
我應(yīng)該怎樣看待審計(jì)在信息防泄漏體系中的角色?如何才能避免審計(jì)帶來隱私難題呢?
以上5大難題,有的反映了用戶對(duì)于當(dāng)今信息防泄漏市場宣傳眾說紛紜亂象的迷惘,有的反映了IT部門面臨的項(xiàng)目執(zhí)行力困境,有的更直擊目前信息防泄漏項(xiàng)目的癥結(jié)所在。
溢信科技認(rèn)為,雖然信息防泄漏在過去一年中得到了很高的關(guān)注度,市場表現(xiàn)良好,但總體來看,信息防泄漏市場依然處在一個(gè)概念和噱頭競爭的時(shí)代,產(chǎn)品與方案很多都缺乏經(jīng)得住推敲的理論支撐,信息防泄漏產(chǎn)品也面臨著從理論到實(shí)際執(zhí)行效果之間的差距鴻溝。新的一年,信息泄漏威脅不會(huì)減少,用戶的需求將會(huì)更加明確和多樣化,但如何解決上述5大問題,是擺在用戶和業(yè)界面前的共同難題。
請(qǐng)關(guān)注溢信科技稍后即將發(fā)布的后續(xù)文章,將帶來2012信息防泄漏市場的更多解讀。