从2005年开始，中国信息安全市场热点逐渐转向以数据安全、数据防泄密为主的加密软件。在经历多年的技术、产品、市场和应用的发展之后，加密软件已经成为当前国内信息安全最为热火的领域。以文档和数据加密为核心，辅以文档的权限管理、备份、审计等多种功能的加密软件，已经在国内普遍应用开来。

　　2012年中旬，由国内数据安全专家和相关机构联合组成的"中国加密软件调查专家委员会",以不记名问卷调查方式，针对加密软件厂商、媒体、用户单位、渠道代理商等相关产业链上下游单位，发出10万份调查问卷，从市场、产品、技术、应用等多方面进行深度调研，并委托天思数据调查公司做出调查统计分析报告。本文为调查报告的《中国信息防泄漏产品分析》部分。

　　一、以北京思智泰克为代表的ERM

　　从全球主流的信息防泄漏产品来看，首先要介绍企业权限管理ERM.

　　企业权限管理ERM(Enterprise Right Management)是信息防泄密首选的企业级信息安全解决方案，在国外的一些专业市场分析和技术类内容和文献中，ERM也被称为EDRM(Enterprise Digital Right Management)。ERM系统在具体功能上全面整合了网络访问控制、强身份认证、数据通讯机密性、数据存贮机密性、数据使用可控性等多项先进的信息安全技术，为企业用户开发了全新的电子文档安全管理解决方案。

　　在全球，ERM产品运用十分的广泛，ERM的提供商包括Microsoft、Adobe、EMC等，是世界级的主流防泄密产品，在国内尤其以北京思智泰克ERM产品系列最为知名。

　　信息安全一向分为大中型客户市场和中小客户市场。以北京思智泰克企业权限管理ERM为代表的EDRM产品能满足大企业、跨地域、集团管理的需求，在架构上能适应集团管理的要求，也能支持海量客户端的性能。自从2003年创立以来，思智泰克在大中型客户需求度满足方面，获得了极高的赞誉。因此，目前中国信息防泄漏领域中高端市场，思智泰克知名度最高。

　　二、以赛门铁克为代表的DLP

　　所谓DLP(Data Leakage Prevention)，一般被译为"数据丢失防护",DLP技术是指在客户端、网络边界部署专用检查软件，对客户端本地硬盘、U盘、DVD盘等外设、互联网和外单位网络访问的内容，以及网络存储、网络出口流量中的内容进行识别检查、告警阻断和记录审计，以检测控制企业内部重要敏感信息的未授权使用和传送。

　　近年来国内DLP名称非常流行，许多人误以为信息防泄漏就是DLP,有的厂商也故意误导用户，把本来不是DLP产品的软件也冠以"DLP"之名。"不是所有的牛奶，都叫特仑苏。"这句话在这里也适用。DLP是一种国外非常盛行的防止数据丢失的软件产品，有其特定的技术、产品和解决方案。

　　以赛门铁克为首，主要有McAfee、EMC、Check Point、趋势科技、Websense等公司推出的DLP产品，在全球应用广泛。DLP(Data Leakage Prevention)技术的核心是网络内容检查识别。通过对涉密信息的判断和阻截，审计日志等手段，来避免内容涉密信息被有意或者无意发送至外部。该项技术本身依赖于内容识别技术的成功率，而且网络出口的封堵也不可能完全实现，产品本身是存在巨大漏洞的。而且，对于内部信息没有进行加密，也没有进行信息权限控制。因此，DLP产品在法律完善、社会信用体系发达的环境下有一定的防范作用。但对于国内网络环境来说，DLP产品形同虚设。

　　ERM和DLP都是全球主流的信息防泄漏产品。从技术理念、产品适用性等多方面来看，ERM适合于中国国情，对于防止内部泄密为主的国内需求来看，ERM是最佳解决方案。

　　三、国内加密软件(国产DLP)

　　由于国内防泄密市场逐渐升温，国内一些软件厂商为满足国内用户需求，推出了以加密技术为核心的各种软件。其中大家耳熟能详的名词有透明强制加密软件、磁盘加密软件等。这些国产加密软件为了提升知名度，纷纷采用DLP为名，其实与赛门铁克为代表的DLP完全不一样。

　　所谓强制透明加密，是指采用后台自动加密方式，对操作者所存储的文档和数据实时进行强制加密，而操作者并无直观的感知。强制透明加密软件对于研发部门、设计部门或者其他核心部门的所有指定格式文档，均采用加密方式存储。由于这种加密方式太过于"霸道",对部门之间的文档数据交互，以及对外信息交流产生直接的影响，因此，这种软件往往只部署在单位最核心的部门，或者是小型用户单位。不可能大规模部署在大集团用户。

　　国内的磁盘加密软件，是采用封堵网络出口、管理外设，并对磁盘上的数据进行加密的方式，来防止信息泄漏。

　　国内加密软件厂商有大大小小数以200余家。由于资金少，技术实力薄弱，产品稳定性和安全性尤有不足。而许多加密软件厂商急功近利，在产品不完善的阶段就进行销售，因此，市场总体口碑不佳。

　　虽然国内加密软件有这样那样的缺点，但仍已有六年历史。随着市场需求的猛增，加密软件的运用也越来越广。通过调查统计，各家加密软件多数应用在中小型制造业客户。

　　四、其它信息防泄漏产品

　　除上述三种主要产品，市场上其它防泄漏系统还有以下两种：

　　1、类似于安全过滤网关的防泄密产品。

　　针对防泄密需求，有安全厂商推出了以关键词查询为核心技术的安全过滤网关。这种产品一般是针对网页发帖、IM信息交互、邮件外发等内容进行深度过滤。利用深度的内容钻取技术获取传输的真实内容，附件可以准确地还原，并能够根据2000多个用户自己制定的关键字进行外发内容过滤。

　　像这样通过对网络出口进行内容过滤的方式，一方面是因为内容本身没有进行加密和控制权限，另一方面是防范的途径非常有限。因此，往往不能从源头上解决泄密问题，而且防范过于粗疏，只能局部无法解决信息泄漏问题。

　　2、移动存储介质管理产品

　　随着各种移动存储设备的广泛使用，移动存储介质往往成为一种泄密出口和泄密工具。近些年来，关于移动介质管理的各种产品已经非常多，一般会有部署在单位内部的移动介质管理系统，和单个的加密移动存储产品两种类型。

　　移动存储介质只是网络出口的一部分。不管移动存储介质管理产品多么的完善，都不足以防止单位内部信息泄漏。因此，移动存储介质管理产品只能是防泄漏解决方案的局部，可以作为信息防泄漏解决方案的辅助系统进行部署。

　　思智泰克企业权限管理ERM等产品也自带这种系统。

　　3、端口外设管理产品

　　这类产品功能大体与防水墙相似，其功能大多数都已经被集成到上网行为管理软件中。单独的端口外设管理软件，无法防止信息泄漏，这已经是共识。许多上网行为管理软件集成了端口外设管理功能之后，就声称其产品是信息防泄漏的产品，这对用户来说是极为不负责的虚夸行为。

　　端口外设管理产品现在只能作为信息防泄漏的加强辅助设备。比如，在思智泰克企业权限管理ERM等产品中，均已经继承这些功能。

　　五、相邻产品

　　有文章认为，信息防泄漏还有两类产品：一类是面向涉密行业的监控与审计类产品，包括主机监控与审计、打印审计、刻录审计、等产品，主要服务于军工集团。二类是桌面管理类产品，包括补丁软件、软件分发、远程维护等产品。这类产品主要面向政府、央企或其它大型企业。购买这类产品更多的出于管理类需求。

　　其实，这两类产品基本上都不属于信息防泄漏产品，而属于传统网络安全架构中的部分，其目的不是用于信息防泄漏。前一类产品主要用于网络信息审计，是对网络的"操作记录",与信息防泄漏相距十万八千里。后一类产品也是用于网络维护和管理，对于文档和数据的安全，作用不大。从使用单位来看就知道，前者用于军工，后者用于政府、央企等，都是用来应付上级检查时的"样子货",根本无法实现信息防泄漏。所以这两类产品不属于信息防泄漏领域，只是信息防泄漏的相邻产品。

　　从网络分级管理体系中，信息防泄漏属于最核心层级的安全防护。网络审计产品和桌面管理产品，是网络基础系统，在多年来的网络体系中已然存在，却起不到信息防泄漏的作用，不可与信息防泄漏产品混为一谈。

　　六、总结

　　信息防泄漏的核心是文档和数据进行加密授权，这已经是安全业界的共识。综合市场上所有的技术和产品来看，由北京思智泰克在国内倡导的企业权限管理ERM.以加密和授权为核心，结合移动介质管理，审计记录、端口管控的综合解决方案，最适合于中国国情的信息防泄漏需求。

　　在大中型用户方面，由于终端数量庞大，管理机构众多，业务繁杂多样，业务流程交错共生，必须采用成熟、稳定的信息防泄漏系统。通过调查结果来看，北京思智泰克的知名度、适用性、可靠性和安全性最高。