1. 概述

　　當前，企業數據的快速增長以及數據存儲與獲取方式正變得越來越便利，企業數據泄密的風險也越來越高。終端移動化促使企業業務的移動化，即便是核心數據也不可能僅僅限制在企業內部，數據流動性的加強不可避免地增大了數據泄密的風險。防火墻、入侵檢測系統等傳統的防護手段無法有效應對來自企業內部的泄密風險。在制造企業，從產品研發到產品銷售都關乎到企業的核心競爭力，而近年來接連不斷的制造企業泄密事件也給企業帶來的嚴重的后果，有些數據泄密直接導致了企業市場競爭力的下降。因此，如何更好地保護企業核心數據已成為企業管理者必須思考的問題。

　　e-works 調查顯示，近年來隨著制造企業轉型升級步伐的加快，中國制造企業的自主創新能力也在不斷提升，對于自主核心資產的保護意識也正在逐步加強，制造企業對于數據防泄漏產品的關注也在不斷提升。

　　數據泄密防護（Data leakage prevention, DLP）又稱為數據丟失防護(Data Loss prevention, DLP)，是通過一定的技術手段，防止企業的數據或信息資產以違反安全策略的形式流出企業。一般企業可通過安裝防火墻、殺毒軟件等方法來阻擋外部的入侵，但是事實上97%的信息泄密事件源于企業內部，而信息外泄的根源在于：

圖 1 企業信息外泄的根源 

　　• 使用泄漏。操作失誤導致技術數據泄漏或損壞；通過打印、剪切、復制、粘貼、另存為、重命名等操作泄漏數據。

　　• 存儲泄漏。數據中心、服務器、數據庫的數據被隨意下載、共享泄漏；離職人員通過U 盤、CD/DVD、移動硬盤隨意拷走機密資料；移動筆記本被盜、丟失或維修造成數據泄漏。

　　• 傳輸泄漏。通過email、QQ、MSN 等輕易傳輸機密資料；通過網絡監聽、攔截等方式篡改、偽造傳輸數據。

　　從數據泄露的特點來分析，大多時候是由于人的因素占據主導，如果防火墻、入侵檢測系統是防止外部攻擊來竊取企業內部關鍵信息，那么數據防泄漏的價值在于保證企業關鍵信息不從企業內部流出，因此，從某種意義來講，數據防泄露產品是一款基于業務流程的安全管理軟件，主要是通過與企業業務流程結合來保證數據的安全。

　　2. 概念與主要功能

　　數據防泄露系統是專門針對“重要或敏感文件”進行安全管理的軟件產品。它以文檔為對象，實現文檔加密和權限控制，確保文檔只能被授權的人，在指定環境、時間和權限范圍內使用，從而實現對文檔的全生命周期的安全管控，防止文檔因使用不當而造成泄密問題。

　　2.1 主要功能

　　2.1.1 數據加密

　　1) 可對不同的用戶定義不同的密級，高密級用戶可以打開低密級用戶產生的文檔，反之禁止。

　　高密級用戶可以選擇文檔進行降級操作。

　　2) 可用解密工具對需要的文檔進行批量的手工解密和加密，且在服務端記錄。

　　3) 可對數據本體加密，數據加解密過程可自動、強制、實時的執行，加密文檔流轉到企業外面時，不能查看內容。

　　4) 對已經加密的文檔，可以在企業內部進行權限的再分配，可以限制不同員工的加密文檔是否可以互相使用2.1.2 行為控制

　　1) 可以支持文件加密狀態下授權流轉、授權文件可以設置不同的使用范圍、使用權限等。授權文件可以通過各種傳播途徑進行流轉。

　　2) 所有在USB 移動存儲設備上新建、修改文檔的操作均會記錄到數據庫中，包括文件名、時間、計算機名、IP 地址等。

　　3) 可自定義審批流程，由請求解密者發起流程，逐級審批后，獲得自動解密的文檔，整個流程過程及文檔本身均保存在數據庫中可查詢。

　　2.1.3 權限控制

　　1) 對于光驅、軟驅、USB 存儲(包括U 盤和移動硬盤)的權限控制，可選擇正常、只讀、禁用3種狀態。

　　2) 可禁用紅外、藍牙、手機同步，可禁止打印，可禁止互聯網，可禁止截屏，可禁止客戶端訪問其他計算機的共享文檔。

　　2.1.4 外發控制

　　1) 外發出去的文檔，使用過程依然安全可控，不會被隨意泄密或擴散使用。外發過程記錄日志。。

　　2) 對于安全等級不高的文檔外發，需要設定策略過濾敏感內容信息，需要監控并記錄日志，避免敏感內容被外發。

　　3) 對于涉及到企業核心信息的文檔外發，必須建立審批制度，由請求外發人員發起申請，經過逐級審批后，獲得外發文檔。所有審批信息、文檔使用權限以及原文檔等，在系統中有記錄，可以查詢和審計。

　　2.2 關鍵技術

　　2.2.1 控制類技術

　　控制類技術主要是通過權限的設置，對計算機輸入輸出進行集中控制和管理，并定期進行檢查和事后審計，實現對關鍵數據的傳輸進行控制，防止未經授權的數據外泄。在具體實現上主要采用軟件控制、端口控制等手段對計算機的各種端口和應用實施嚴格控制和強審計。該類技術通常不對數據的存儲進行加密保護，而主要關注數據在傳輸過程中的合法性，控制類技術的這一特點使得單純采用該技術的數據防護方案往往無法解決如磁盤丟失、筆記本被盜等被動泄密風險。

　　2.2.2 加密類技術

　　加密類技術是較為傳統的數據防護技術，其主要理念是將數據的二進制存儲轉為密文，能夠簡單有效地解決數據的存儲安全問題。加密類技術在數據安全防護領域中的應用可細分為：

　　1) 文件級加密技術：文件級加密是目前國內使用最為廣泛的數據安全解決方案，之所以被廣泛采用，主要是因為用戶接受度高。文件級加密技術最普遍的應用是“透明加解密”，其原理主要是通過建立應用程序的進程和相應文件之間的關聯來達到對特定文件數據加密的目的，通常采用內核級文件過濾驅動在操作系統底層對文件進行處理，其加解密過程對用戶透明。

　　文件級加密技術要區分應用層加密和驅動層加密。應用層加密技術實現簡單、開發周期短。

　　但是對性能有一定影響，另外加解密過程與應用軟件關聯比較緊，有新增應用軟件時很可能涉及二次開發，因此不能很好的支持自定義加密策略。驅動層加密相對來說技術實現復雜、開發周期長。但是對性能影響低、加解密過程與應用軟件無關，可以透明支持新增應用軟件，不涉及二次開發，可以支持自定義策略。目前主流文件級加密廠商都會選擇驅動層加密技術。

　　2) 磁盤級加密技術：磁盤級加密技術通過在磁盤讀寫時對磁盤扇區進行加解密來實現，由于避開了文件讀寫的處理，該技術避免了與應用程序相關的限制。采用該技術的數據防泄漏方案以Windows Vista 中集成的BitLocker 為代表，但是單一的磁盤加密技術主要適用于被動泄密防護需求，無法防止通過網絡和其他途徑的主動泄密行為，這一弱點極大地限制了磁盤級加密技術在數據防泄漏方面的應用。

　　3) 硬件級加密技術：該技術直接由數據的存儲設備提供加密的特性，利用硬盤與計算機系統中其他組件完全隔離的特點，提供基于硬件安全功能的加密平臺。在系統或硬盤丟失、被盜、被廢棄或轉售時，可以有效防止未經授權訪問其中存儲的數據。但這類技術的弱點與磁盤級加密技術相同，無法有效防止通過網絡等突進的泄密行為。

　　4) 網絡級加密技術：該技術通常與其他加密技術結合使用，用于保障數據在網絡傳輸時的安全，根據實現層次可以分為：網絡層IPSec VPN、應用層SSL VPN、專用IP 數據包格式變換等。

　　由于此類技術無法對通過存儲介質傳遞的數據進行保護，因此通常不能作為完整的數據防泄露解決方案，而需要與其他技術結合使用。

　　2.2.3 過濾類技術

　　相對于其他技術而言，此類技術的有點是無須在終端安裝軟件，其使用模式是在內網的出口，即網關處安裝內容過濾設備，這些設備可以分析HTTP、POP3、FTP、即時通訊等常見的網絡協議，并且對協議的內容進行分析及過濾，比較先進的設備可以識別上百種文件格式，安全管理人員通過設置過濾規則和關鍵字過濾出關的內容，防止銘感數據的泄密。但這種方案的弱點在于，首先無法識別一些特殊的網絡協議；其次是無法識別被用戶特殊處理的通訊內容，如果惡意用戶對出關的數據進行加密和隱寫術處理，便可以輕易地穿透網關；最關鍵是由于要進行深度內容過濾，這往往也成為限制應用的瓶頸。

　　2.3 產品部署

圖 2 數據防泄露產品部署策略

　　數據防泄露產品的部署需要結合企業自身的業務流程進行，與安全防護類軟件不同，數據防泄漏重點在于對企業內部數據及文檔的管控。因此，數據防泄露產品的部署第一步是實現對企業全文檔的透明加密，這樣既能保證數據及文檔在企業內部的無限制使用，也能保證外發文檔的安全。同時，配合流程進行一系列權限管控、身份認證、安全審計策略，保證企業員工能通過互聯網安全訪問內網系統。

　　3. 業界主流廠商

表1 業界廠商

　　4. 主流廠商和主流產品介紹

　　4.1 中國軟件與技術服務股份有限公司

　　4.1.1 企業簡介

　　中國軟件與技術服務股份有限公司（簡稱“中國軟件”，股票代碼600536）是一家大型綜合IT 上市企業，承擔著“信息安全國家隊”的使命，是國內最早、最大的數據泄漏防護產品及完整解決方案提供商，累計為全球500 萬終端提供核心數據保護服務。中國軟件信息安全業務主要由中軟通用產品事業部承擔，作為國內最早研究數據泄漏防護技術的安全團隊，已累計申請數十項相關發明專利，其核心產品中軟防水壩數據防泄漏系統多次獲得省部級科技進步獎，軟博會創新獎、金獎等一系列獎項。中軟通用產品事業部在產品研發過程中以產品質量為核心，是國內唯一通過CMMI-L5 級軟件能力成熟度模型評估的信息安全廠商。

　　4.1.2 產品功能

　　中軟防水壩數據防泄漏系統基于虛擬文件系統、多緩存技術、安全虛擬沙箱、應用智能識別、敏感內容感知等相關技術，通過密級標識、透明加密、追蹤審計等方式提供新一代數據防泄露解決方案，更安全、更智能、更穩定。中軟防水壩數據防泄漏系統支持Windows 平臺（win2000-win8.1 所有版本）、Linux平臺、移動終端（Android、IOS）、虛擬化平臺及國產操作系統平臺，提供數據從創建、存儲、使用、流轉到銷毀的全生命周期安全防護。

　　1.終端文檔透明加密：根據安全策略對終端中的文檔進行自動、強制的加密。加密的文檔只能在企業內部安全環境里使用，拿到外面后看不到文檔內容。文檔透明加密能夠阻止內部員工有意或無意的泄露內部機密，也能防止外部間諜黑客侵入計算機竊取涉密文檔。

　　1) 支持任意軟件的自動加密；支持任意格式的文檔加密；支持任意大小的文檔加密，包括幾個字節的小文檔以及幾百G 的視頻。

　　2) 支持工作模式、普通模式及回家模式。工作模式下終端文檔自動加密，打開自動解密。普通模式下文檔不會自動加密，已加密文檔無法打開。支持用戶使用回家模式U 盤在無客戶端環境下使用加密文件(例如回家加班)，加密文件只能在U 盤中使用導出后不能打開。

　　3) 可控制針對加密文件內容的拷貝、拖拽等行為，同時支持剪貼板加密。

　　4) 可智能控制各種截錄屏操作，包括專用截錄屏軟件以及其他軟件的輔助截錄屏功能，支持屏幕浮動水印。

　　5) 支持物理打印和虛擬打印控制，支持打印水印，并可記錄打印日志及源文件。

　　6) 支持離線管理，包括定制離線策略，設定離線策略生效時間和延遲控制，離線策略動態更新以及主動申請離線策略變更等。

　　7) 支持歷史文檔自動掃描加密，可設定掃描的時間，掃描文檔類型等等。

　　8) 支持文檔本地備份以及服務器遠程備份。

　　2. 業務系統數據保護：對業務系統中核心數據進行針對性的保護，從業務系統下載核心數據到本地時自動加密，非核心數據則不做保護。即只保護企業所關心的核心數據，不過量保護非涉密數據或者用戶的私人數據。業務系統數據保護既支持集中式的網關加密保護，也支持分布式的終端加密保護。

　　1) 支持OA、SVN、ERP、PDM 等各種主流的業務系統的上傳下載控制。

　　2) 支持網絡共享的加解密控制。

　　3) 支持按類型加密核心數據，同時防止本地的非涉密文檔以及用戶個人文檔過量加密。

　　4) 支持下載和在線查閱的控制，如下載到本地時加密；只能在線查看，禁止下載到本地；或者可以下載到本地，但必須保存到保險箱。

　　5) 支持下載行為的日志記錄和審計。

　　6) 支持業務系統準入控制，未安裝客戶端或者未下發保護策略的機器禁止訪問指定業務系統。

　　7) 支持業務系統防偽冒，防止用戶將涉密文檔傳到非指定(仿冒)的業務系統中。

　　3. 內部文檔隔離管理：對企業內部的文檔進行隔離管理，尤其是控制不同職能部門，不同用戶，以及不同級別的角色之間的涉密信息，不允許互相查看，以保證企業內部的敏感信息獨立可控，防止涉密文檔在企業內部交叉泄密。

　　1) 支持不同的隔離范圍控制，包括部門隔離、個人隔離以及虛擬組隔離。

　　2) 支持按用戶角色對文檔進行強制密級保護。

　　3) 支持特權用戶，允許特權用戶，比如直屬領導可以訪問已處于隔離范圍中的涉密文檔。

　　4. 內部文檔權限管理：企業內部不同用戶或者不同部門之間交流共享涉密文檔時，可以對涉密文檔進行使用權限的授權限制，包括指定文檔只讀、修改、打印以及哪些用戶可以使用等等。通過文檔權限的授權和訪問控制，能夠將敏感信息限制在可控的范圍內，防止敏感內容在企業內部被惡意擴散或篡改。

　　1) 支持各種細粒度的使用權限授權，包括哪些用戶可以使用，使用時間，是否可以修改，是否可以拷貝拖拽，截屏控制，打印，打印水印以及日志追蹤等。

　　2) 支持在線審批授權，文檔授權必須經過完整審批流程處理。授權成功后系統自動通知授權文檔作者及所有被授權人。

　　3) 支持離線授權，可通過策略配置允許終端用戶自己授權文檔，管理員也可以事先指定離線授權文檔的最大可授權權限。

　　4) 支持授權文檔在線管理，已授權文檔可以自動分發給授權用戶，提供授權文檔的收件箱和發件箱功能，管理員或授權文檔作者可以對授權文檔進行權限的修改、鎖定、轉移以及銷毀等操作。

　　5) 支持批量授權，拖放到指定目錄的文檔，按照權限模板自動批量授權。

　　6) 支持共享授權，即文件服務器上設置共享授權目錄，終端用戶將文檔放到共享中時，文檔自動按照已指定的權限進行授權，填補了現有共享系統只能約束訪問用戶，無法約束文檔使用權限的空白。

　　5. 文檔流轉管理：企業的涉密文檔在經過加密或者授權保護以后，只能在企業內部裝有客戶端的環境中使用。如果用戶需要將一些文檔，交給企業中沒有安裝客戶端的特殊用戶或者是外部的合作伙伴查閱，可以通過文檔解密、郵件解密或者文檔外發對涉密文檔進行轉換。既支持寬松的流轉控制，也支持嚴格的審批控制和訪問控制。

　　1) 支持離線自解密，管理員可設置用戶是否可以離線自解密，并記錄解密日志。解密后的文檔可以在任意環境里使用。

　　2) 支持在線審批解密，即待解密的文檔必須提交解密申請，并通過審批后，才能解密文檔。

　　3) 支持郵件附件自動解密，即管理員可設置郵件收件人白名單，發送給指定白名單的郵件附件自動解密。

　　4) 支持文檔外發，即帶出去的文檔，必須經過外發授權。其中，外發文檔可支持任意文件類型，任意文件格式；支持多文件多目錄同時制作外發授權；支持任意Windows 用戶使用外發文檔；支持細粒度的使用權限控制（口令認證、使用范圍（綁定機器或U 盤）、使用時間、使用次數、修改、打印、追蹤等）；支持使用權限在線認證以及USBKey 認證等。

　　6.文檔傳播途徑管控：對企業的涉密文檔，使用者可能通過移動存儲設備、打印輸出、網絡等多種途徑傳播出去。文檔傳播途徑管控能夠針對文檔各種方式的傳輸進行控制，涵蓋了移動存儲、打印行為、外設接口以及網絡行為（如郵件、即時通訊工具、網絡共享等）等多個維度，達到事前有預防、事中有監控、事后有審計的安全目標。

　　1) 支持移動存儲設備的各種使用權限的控制，包括禁止使用移動存儲設備；只能從移動存儲設備拷貝文檔出來，禁止將文檔拷貝到移動存儲設備中；允許拷貝文檔到移動存儲設備并對文檔加密；以及對拷貝的文檔記錄日志和源文件。

　　2) 支持輔助硬盤的控制，包括自由使用和禁用。

　　3) 支持刻錄機/CDROM 的使用權限控制，包括自由使用、只讀、禁用等。

　　4) 支持打印機的控制，可分別對物理打印和虛擬打印進行監控，也可限制指定軟件可使用打印機。對打印機的使用權限控制，包括自由使用打印機、禁止使用打印機，以及允許使用打印機的同時，對打印的對象記錄日志和源文件。

　　5) 支持各種外設接口的控制，包括USB 設備、SCSI 設備、串/并行總線、紅外線設備、PCMCIA 設備、1394、無線網卡、DVD/CD-ROM 驅動器、藍牙、軟盤等等。能夠按USB 的功能分別控制，比如USB 鼠標/鍵盤的使用不受影響，帶有存儲功能的USB 設備受約束。

　　6) 支持網絡行為的監控，如郵件、即使通訊工具、網絡共享等等。對網絡傳輸的行為，可以禁用，也可以根據關鍵字限制當前的行為，同時記錄行為日志以及所傳輸的內容、附件等等。

　　7) 各種設備和網絡的控制，可通過策略靈活配置，并且可以分別配置在線狀態時的控制策略以及離線狀態時的控制策略。

　　4.1.3 產品優勢

　　1. 技術優勢

　　1) 唯一具有微軟授權Windows 操作系統源代碼查看權的數據泄漏防護廠商，掌握真正的內核級加密，技術積累成熟；2) 國內最早使用微軟MiniFilter 框架的多緩存加密內核，產品穩定、高效、兼容性強；3) 智能識別企業數據與個人數據，在保護企業核心資產的同時，可以對個人數據不過量加密。

　　4) 結合虛擬沙箱技術，進一步提升數據安全性，以及業務流程的持續性。

　　2. 密鑰與算法優勢

　　1) 密鑰管理安全、智能，不需要用戶手動參與，減少管理員人工管理密鑰帶來的各種風險。

　　2) 支持AES 等各種國際主流加密算法，支持SM1/2/3/4 等國密算法，并支持加密算法替換。

　　3. 平臺優勢

　　1) 支持Windows 平臺、Linux 平臺、移動終端以及國產操作系統平臺下數據泄漏防護。

　　2) 支持虛擬化及云計算環境下的數據泄密防護。業內唯一獲得Citrix Ready 認證的數據泄漏防護產品。

　　4. 適配優勢

　　1) 支持各類軟件，支持任意格式、任意大小的文檔加密保護以及文檔外發控制。

　　2) 支持包含OA、SVN、ERP、PDM、數據庫、郵件系統等所有B/S、C/S 類型的業務系統的數據保護。

　　3) 與AD 域、LDAP 及OpenLDAP 等無縫集成。

　　4) 擴展性強，可以支持任意新增軟件或者新增業務系統，無需重新開發。

　　5) 支持與用戶業務系統的深度結合，提供多種形態的二次開發接口。

　　5. 審批優勢

　　1) 集中式的管理，文檔流轉可通過集中的審批平臺進行審批，支持審批流程模板管理以及審批過程審計。

　　2) 可配置性強，提供矩陣式審批流配置機制，支持多級、多步驟的審批流程配置。

　　3) 適配場景豐富，支持多級審批、角色審批、審批超時自動處理、委托審批、級別審批、審批轉閱等各種場景配置。

　　4.2 Websense

　　4.2.1 企業簡介

　　Websense, Inc.（納斯達克：WBSN）是全球領先的整合Web、信息和數據安全防護解決方案提供商，總部位于美國加利福尼亞州的圣地亞哥，在北美、歐洲、中東、亞太、非洲擁有數十個分支機構。作為全球網絡安全領域的領跑者，Websense 曾連續三年（2004-2006）被《福布斯雜志》評為“25 家頂尖科技公司” 之一，其安全解決方案被《財富》世界500 強及FTSE100 企業廣為采用，為全球5 萬多家企業的4400 多萬名員工提供關鍵信息防護。公司通過全球渠道合作伙伴網絡分銷其解決方案，Websense 軟件和托管式安全解決方案可幫助企業攔截惡意代碼、防止丟失機密信息以及實施因特網使用和安全策略。

　　4.2.2 產品功能

　　Websense 數據安全套件可以規避各種數據泄漏情況。它為網絡和端點數據泄漏防護（DLP）以及機密數據發現提供了一個單一的策略框架。

　　1) 輕松采用可擴展的解決方案防止入站威脅，并管理與數據泄漏和法規符合性相關的出站風險。

　　2) 超過1700 個預定義策略和模板，按地區和行業分類，大大簡化了策略創建過程。

　　3) Websense 數據識別和分類引擎（DICE）還嵌入到Websense TRITON•統一架構下的Web 和電子郵件安全網關解決方案中。

　　4) Websense 數據安全套件包括以下模塊（這些模塊也可以單獨提供），具備最高的部署靈活性：

　　5) Websense 數據安全網關（Data Security Gateway）：監控常見的網絡通信通道，例如Web、電子郵件、FTP、用于移動電子郵件的ActiveSync 等。當發現敏感數據時，數據安全網關可以阻止其傳輸，記錄事件或自動運行補救措施。

　　6) Websense 數據終端（Data Endpoint）：監控實時流量，全面深入地監控機密數據遷移目的地、使用者、使用方式、傳輸目的地，以及在端點為防止數據泄漏而采取的實時措施。

　　7) Websense 數據發現（Data Discover）：使用DICE 的三個數據分類器（描述、記錄、學習），準確識別機密數據，并讓您深入了解數據。

　　Websense 數據安全套件內置的數據識別和分類引擎（DICE）利用多個分類器，實時上下文監控用戶、數據和目的地，在整個TRITON 架構提供高度精確和一致的數據泄漏防護。DICE 支持三種數據類別：描述數據、注冊數據和學習數據。描述數據包括正則表達式、字典和自然語言分類器（包含1700多個策略和模板）。注冊數據包括可以壓縮并存儲在端點的指紋數據，從而實現脫網保護。學習數據指高級機器學習技術，采用算法分析小數據樣本，以填補掃描數據和注冊數據之間的漏洞，提高精度和效率。數據竊取防護功能包括：使用OCR 分析圖像內文本、檢測自定義加密文件和密碼文件竊取、緩慢數據泄漏和地理位置監控。DICE 廣泛用于發現、網關和端點，從單一控制臺管理策略。

　　4.2.3 產品優勢

　　1) 一致的策略創建：超過1700 個預定義策略和模板（按地區和行業分類），讓您只需編寫一份策略并跨端點、網絡和數據存儲庫進行應用。由Websense 專業研究人員定期更新和審查模板。

　　2) 保護存儲在圖像中的數據：只有Websense 推出OCR 技術，可分析圖像內文本并發現、監控和保護數據。

　　3) 簡化和統一的架構，易于使用，總體擁有成本更低：數據安全套件完全集成到TRITON 架構。數據識別和分類引擎內置在所有的DLP 功能中，并在所有的TRITON 解決方案之間保持統一。數據終端、數據安全網關和數據發現共享一個單一的管理界面。

　　4) 簡化工作流程：Websense 允許管理員通過回復電子郵件通知管理事件，從而簡化了工作流程。

　　5) 集中式事件管理和報告：分發按設備及應用程序通道、用戶組、策略、規則、實施措施等顯示事件總數的執行報表或詳情報表。顯示合規狀態。

　　6) 深入了解從您的網絡流出的數據：通過將起始地和目的地監控與Websense 分類器相結合，讓您能夠了解數據訪問者、數據類型、使用方式和傳輸目的地，這樣，您的企業就可以實時做出最明智的決策，并制定有效的策略以備將來使用。

　　7) 保護數據，防止復雜、緩慢的數據泄漏：Websense 又一次開創業界先河，推出點滴流出式DLP 技術，該技術可以在累計事件期間實施監控，保護您的數據免遭緩慢泄漏。

　　8) 易于部署和管理：Websense 為網關、端點和發現提供一個統一的控制臺，便于用戶管理DLP 策略、事件和報表。

　　4.3 RSA

　　4.3.1 企業簡介

　　RSA 信息安全公司在電子安全界享負盛名，致力開發雙因素用戶認證、加密和公鑰管理系統，為有志開拓電子商務的企業建立安全穩妥的基礎建設。RSA 掌握市場脈搏，以其領導全球的科技和系統管理經驗，配合電子商務千變萬化的安全需求，令網上商業活動更加安全及可靠。RSA 于2006 年并入EMC公司，現在的稱呼是EMC 信息安全事業部RSA。

　　4.3.2 產品功能

　　RSA DLP 企業管理軟件提供了五個主要功能：

　　1) 儀表盤。在一個單一的視圖中監控事件的發展趨勢，并確定新出現的數據安全風險。

　　2) 事件工作流程。對事件進行搜索、篩選和向下鉆取，查看所有的相關信息，包括所有者/發送者、接收者、政策違反事件以及相匹配的內容。

　　3) 報告。創建，查看和保存可用于演示的報告，它對在多個領域中的事件進行了概述，并自動發送到關鍵的利益相關者。

　　4) 政策管理。使用或微調超過170 個現有的開箱即用的政策，或創建自己的政策。所有的工具都是基于GUI 的，不需要手動配置。

　　5) 系統管理。集中部署、管理和監控所有代理和掃描組的狀態和進度。使用GUI 控件可以配置幾乎任何事情。

　　RSA DLP 主要是幫助組織解決在保護處在靜止中的數據、移動中的數據以及使用中數據的安全方面所面臨的挑戰。

　　4.3.3 產品優勢

　　防數據泄露不僅僅只是發現數據和防止信息泄露、被盜或濫用。一個好的策略能夠幫助組織解決他們每天所面臨的復雜的業務問題，包括簡化合規性、簡化業務流程以及保護知識產權和品牌價值。RSA防數據泄露套件可以幫助企業為那些處于靜態狀態的數據、移動中的數據和使用中的數據應對這些挑戰：

　　1) RSA DLP 數據中心版可以識別駐留在文件共享、數據庫、存儲系統（SAN/NAS）、MicrosoftSharePoint•網站和其他數據存儲庫中的敏感數據，并對此執行相應的政策。

　　2) RSA DLP 網絡版可以識別企業電子郵件系統、基于Web 的電子郵件系統、即時通訊以及基于Web的協議中傳輸的敏感數據，并對此執行相應的政策。

　　3) RSA DLP 終端版可以識別在筆記本電腦和臺式機上存儲和使用的敏感數據，并對此執行相應的政策。

　　4.4 明朝萬達

　　4.4.1 企業簡介

　　北京明朝萬達科技有限公司是國家級高新技術企業和國家級軟件企業，是中國領先的數據安全、移動安全、云安全和內網安全解決方案提供商。明朝萬達自主研發的Chinasec（安元）數據安全管理系列產品，以數據生命周期管理和防泄密為核心構建統一的全IT 架構數據安全管理平臺，實現對信息網絡中服務器群、系統應用、計算機終端、移動智能終端、云終端和物聯網終端中統一的用戶身份安全、接入安全、文檔數據加密、終端安全、應用系統保護及用戶行為審計等管理。移動信息化和云計算的浪潮已經來臨，明朝萬達推出保障移動信息化安全的移動安全管理平臺，致力于解決用戶身份安全、接入安全、手機終端管理（MDM）和移動數據保密等；針對桌面云（虛擬化）的數據存儲安全、用戶身份安全、網絡安全域劃分及云終端管理等也推出全面的解決方案。明朝萬達將幫助用戶守護數據的價值，提升管理績效，讓安全真正服務于業務系統，推動用戶業務的發展。

　　4.4.2 產品功能

　　Chinasec(安元)數據安全管理平臺是基于網絡和數據的安全管理產品，通過認證、加密、監控和追蹤等手段在傳統PC 終端和移動終端提供系統數據保護、文檔加密、應用保護、系統管理、桌面管理和安全通訊等整體解決方案。系統采用C/S 架構和B/S 架構相結合，內外網相互通的架構思路，對網絡安全和數據安全提供全IT 架構的多套解決方案。

　　1) 移動存儲設備管控方案

　　Chinasec 為移動存儲設備提供完善的管理方案，提供設備的注冊、授權、掛失、注銷等實現已注冊設備、未注冊設備的統一管理；并且支持設備全盤加密實現“未注冊設備行內禁止使用，注冊設備行外禁用”；提供豐富的事后審計功能，如設備的插拔、文件操作、文件內容等詳細日志。

　　2) Chinasec 移動辦公安全解決方案

　　Chinasec 移動辦公安全解決方案從網絡的移動用戶身份安全、移動終端接入安全、網絡通信安全、應用訪問控制和移動終端信息存儲安全等環節進行綜合安全防護，構成多層次、全方位的移動安全管理體系。

　　為智能手機用戶、掌上電腦以及移動PC 用戶提供安全的移動信息安全服務，為用戶提供了強有力的數據信息安全支撐。

　　3) 數據導出平臺保護方案

　　表單數據從平臺導出時會自動加密。Chinasec 實現了生產網中導出的敏感數據可以在開發、測試、非生產環境及外包環境中安全使用。

　　4) 業務系統數據保護方案

　　從業務系統（OA 系統、報表系統及郵件系統等）下載的文件將被自動加密，并且可根據用戶、部門分別進行權限控制。同時，Chinasec 安全服務體系為各類業務系統提供認證、加密、追蹤和日志等服務，實現業務系統安全可控制、可度量及標準化管理。

　�。�) Chinasec 文檔安全解決方案

　　Chinasec 文檔安全解決方案從客戶端的身份認證管理、電子文檔的手動/自動加密、電子文檔的密集權限控制、日志審計等環節進行綜合安全防護，構成多層次、全方位的文檔終端安全管理體系，為用戶提供安全的移動信息安全服務，以及強有力的文檔信息安全支撐。

　　6) Chinasec 終端防泄密系統

　　采用嚴格數據邊界防護技術，以企業單位內局域網為邊界(支持手機、PAD 等移動設備)，對敏感數據進行保護，實現環境加密。數據脫離邊界時自動管控或自動管控或自動加密，例如U 盤拷貝、網絡外發等，加密與文件格式無關。

　　7)Chinasec 郵件安全系統

　　Chinasec 郵件安全系統，以郵件加密為基礎防止郵件密碼被破解或郵件服務器被攻擊的郵件泄密，通過郵件透明加解密技術，在不影響用戶使用習慣的情況下，在全IT 架構下(PC、移動設備)實現防止郵件主動泄密和郵箱密碼被破解等被動泄密風險，并通過設置郵件地址的黑名單，滿足單位內部的實際需求。

　　4.4.3 產品優勢

　　Chinasec 敏感數據防泄密方案采用國密算法，基于“安全服務于業務”的理念，提供各種安全組件供業務系統或用戶使用，建立安全服務體系，實現敏感數據從產生、存儲、使用、流轉、追蹤到銷毀的整個生命周期的安全管控。

　　1) 以加密技術為核心的數據安全體系

　　以多年自主研發的數據加解密技術為核心，結合身份認證和訪問控制等多種技術手段，為用戶打造完善的數據安全體系。支持PKI 體系數字證書，支持國密SM1、SM2、SM3 及SM4 算法并兼容國際主流標準加解密算法，實現本地存儲數據加密、移動存儲數據加密、文檔加密、郵件加密、業務應用數據加密和數據傳輸加密等豐富的加密功能，支持跨平臺，異構終端統一管理實現數據流暢互通。

　　2) 全IT 架構管理

　　平臺可統一管理PC 終端、云桌面及虛擬化終端、移動智能設備和物聯網設備等各種終端，有效應對企業IT 架構的快速變革與延伸，構建全IT 架構統一管理的數據安全體系，極大提高IT 安全管理人員的工作效率。

　　• 統一設備管理，同一平臺上可展現不同設備特性

　　• 統一身份管理，支持身份在不同終端上漫游• 統一密鑰管理，加密文件在不同終端上流暢互通

　　• 統一日志審計，集中查詢、統計

　　3) 可與現有業務系統靈活結合平臺提供安全中間件，現有業務系統經過簡單調用即可實現業務數據安全，使安全成為標準化服務，為規范化管理提供技術支撐。

　　• 多平臺：Windows、Linux、IOS、Android、Win Phone

　　• 多層次：業務層、系統層，硬件設備層

　　• 多接口集成：4A、LDAP、SSO、CA

　　4) 敏感數據全生命周期安全管理

　　對于敏感數據的防護，提供全生命周期的安全管理和審計。安全防護貫穿于數據產生、訪問、傳輸、使用和銷毀的過程中，進而對泄密的明文根據標簽進行溯源，實現事前安全管理、事后行為審計。

　　4.5 溢信科技

　　4.5.1 企業簡介

　　溢信科技是中國最早從事內網安全領域的企業之一。當時主要提供郵件管控和網絡管控的產品。而今，溢信科技已成為領先的內網安全整體解決方案提供商，自主研發的“IP-guard 內網安全管理系統”

　　是國內唯一能夠提供內網安全整體解決方案的產品。

　　4.5.2 產品功能

　　1） 智能緩沖技術，穩定性更出眾

　　IP-guard 加密基于成熟的應用層兼驅動層加密技術，更具獨有的智能緩沖技術，讓系統保持穩定，嚴防文檔損壞現象。加密軟件作為信息防泄露的利器，就應該在其最大程度保護企業信息安全的同時，將發生故障的概率降到最小，而這也正是IP-guard 加密的突出優勢。

　　2） 三種加密模式，滿足不同需求

　　IP-guard 提供了強制加密、非強制加密與只讀加密三種加密模式，特別是只讀加密，更是IP-guard獨有功能，可以滿足用戶的多種應用場景需求。IP-guard 三種加密模式率先滿足了用戶的這個需求，做到想客戶所想，為各種場景需求提供解決方案。

　　3） 三重災備方案，確保有備無患

　　IP-guard 擁有最完備的三重災備方案，包括備用服務器、網絡故障應急機制和明文備份服務器，面對主服務器無法連接、斷網、斷電等各種狀況，都可從容應對。當出現危機情況時候，災備方案能夠力挽狂瀾，減少損失甚至不受損失。IP-guard 加密完善的災備方案，能夠全方位多角度保護企業信息，為IP-guard 加密優勢再添重碼。

　　4） 加密管理范圍全面，覆蓋各種應用場景

　　IP-guard 加密擁有權限管理、加密安全網關、外發管理、離線授權管理四大功能，對加密文件的內部流轉、服務器上的存取、外發給合作伙伴使用、公司員工離線使用四大常見應用場景進行全面覆蓋，確保數據無論何時何地都享有高強的保護。

　　5） 與審計、管控一起形成IP-guard 三重保護信息泄露防護整體解決方案IP-guard 加密與審計、管控一起組成三重保護信息防泄露整體解決方案，以IP-guard 內網安全平臺為核心，以審計洞察業務流程和安全風險，以豐富的權限控制功能降低各種渠道的泄密風險，以強大的透明加密對文檔本身進行強制保護，三種強力技術，幫助企業達到一流的信息防泄露效果。

　　4.5.3 產品優勢

　　1） 應用層+驅動層加密，加密的方式更加靈活

　　2） 智能緩沖技術，穩定性更優

　　3） 三種加密模式，獨有的只讀加密，滿足不同需求

　　4） 最完備的三重災備方案，確保有備無患

　　5） 客戶端能夠自動升級

　　6） 支持Linux 操作系統加密

　　7） 加密文件中的縮略圖和預覽圖可見

　　8） 能夠與審計、管控一起形成IP-guard 三重保護信息泄露防護整體解決方案

　　9） 擁有五種語言版本和最廣泛的國際化客戶成功案例

　　4.6 億賽通

　　4.6.1 企業簡介

　　億賽通是中國第一家文檔安全管理系統的生產者，最大的數據防泄露產品解決方案提供商，以推動信息安全技術發展、加強信息安全管理、保護核心知識資產和機密信息安全為已任，為政府、部隊、企業組織提供信息安全管理咨詢服務和數據防泄露（DLP）軟件產品和基于行業用戶需求的數據防泄露（DLP）解決方案。

　　4.6.2 產品功能

　　1) 智能透明加密：實現對任意文檔自動透明加密的同時，不影響用戶的使用習慣。

　　2) 內容安全防護：防止核心數據通過復制拖拽、截屏錄制、打印輸出以及副本另存等方式泄密。

　　3) 細粒權限控制：細化設置文檔的閱讀、編輯、復制、打印等組合權限，并可根據管理需要設定文檔生命周期，同時提供靈活的二次授權、歸檔、交接管理及版本變更管理等功能。

　　4) 完善權限控制：每個用戶都設有文件收件箱、發件箱、還原箱，方便對權限文檔的使用和管理。用戶還可以通過在線申請的方式向作者申請文檔權限，申請和審批流程簡單。同時考慮到文檔離線使用情況，系統還可生成離線權限文件，并可設定文件的閱讀次數和使用時長。

　　5) 群功能特設置：方便企業在項目過程中建立跨部門組織，方便業務交流，加快項目進展。

　　6) 批量授權功能：通過模板功能的啟用，完成文檔的自動及批量授權，降低用戶文檔授權及管理成本。

　　7) 安全分級控制：實現人員密級、數據密級的安全分級管理控制，滿足組織數據分級安全管理要求。

　　8) 流程審核通知：為流程各級節點提供業務代辦提醒、審核結果通報等支持，如客戶端消息、E-Mail通知等。

　　9) 安全水印支持：通過自動添加安全警示及版權標識信息，來降低屏幕錄制和自主打印所帶來的泄密風險。

　　10) 開放式策略庫：用戶可根據業務及管理需要進行安全策略自定義，開放、靈活的策略配置可降低企業后續維護成本。

　　11) 身份認證集成：支持與基于Ldap 和OpenLdap 協議的統一身份認證平臺(如AD、ED、TDS 等)進行無縫集成，如實現組織架構及用戶賬號信息的自動完整同步和單點登錄認證集成等。

　　12) 離線辦公支持：可通過離線審核、策略預設及離線補時等功能滿足各種離線辦公要求。

　　13) 工作模式切換：提供“密文/明文”切換模式，保障業務涉密數據安全處理的同時，不影響用戶個人數據處理。

　　4.6.3 產品優勢

　　1) 高度的安全性：系統采用“驅動級終端保護技術”，對終端程序安裝目錄、常駐進程以及注冊表等進行安全保護，防止用戶惡意破壞終端運維服務和配置環境。系統具備自保護設置，一旦有用戶通過非法手段強制移除或終止客戶端，將自動轉入安全自保護模式，系統進入只加密、解密的安全保護狀態。

　　2) 權限動態控制：系統支持動態文檔權限控制，持久保護文檔安全，作者可以實時更改和回收文檔權限，實現對權限的動態控制。只有經過授權的用戶才能在授權范圍內使用機密文件，在沒有任何權限的情況下無法打開文檔。

　　3) 權限模板授權：系統支持權限模塊設置，提供授權靈活性和效率。支持創建個人模板和全局模板，全局模板對所有用戶可見，可針對模板將常用用戶進行授權并套用到模板中，可將權限模板賦予磁盤目錄，文件落到相應目錄進行自動授權。

　　4) 良好的兼容性：系統可與AD、LDAP 等多種身份認證系統集成，支持用戶信息自動同步。系統兼容目前主流的操作系統和殺毒軟件，支持對所有格式的文件進行加密，方便企業后續的需求升級和應用拓展。

　　5) 行為預警審計：系統可對數據使用、流程審批、業務操作、特權業務及違規操作進行預警通知和行為審計，支持郵件預警通知和終端消息冒泡提醒，可以自定義預警管理員。

　　6) 策略靈活多樣：系統配備強大的策略庫，支持透明加密、落地加解密、目錄加解密等。用戶可根據業務需求進行編輯，多樣的策略組合方式使得企業在策略配置上擁有更多選擇，能夠同時滿足不同部門的安全需求。

　　7) 系統簡單易用：系統采用了眾多人性化的設計，界面友好、設計合理，管理操作相當簡單。

　　8) 運行高效穩定：系統具有雙機熱備功能，如果服務器出現故障停止運行，則備份服務器能立即接管，同時系統還具備容災機制和數據庫備份還原功能，能夠有效應對可能出現的各種特殊情況，最大程度保障系統穩定可靠運行。

　　億賽通數據防泄露體系以數據加密為核心，秉承“事前主動防御、事中靈活控制、事后全維追蹤”的設計理念，實現核心信息資產防泄露的安全目標。DLP 體系從終端、網絡和存儲三個層次入手，對核心數據的形成、存儲、使用、傳輸、歸檔及銷毀等過程進行全生命周期安全控制，結合企業、組織機構特有的業務需求、業務模式和管理文化，為企業、組織機構定制完整的數據防泄露體系。

　　4.7 安騰軟件

　　4.7.1 企業簡介

　　安騰軟件（ITEN）是中國計算機信息反泄密軟件和文檔加密軟件的始創者和領導品牌，長期專注政府和企業計算機信息反泄密研究，為企事業單位提供領先的計算機信息反泄密解決方案。旗下擁有“文檔守望者”、“鳳凰衛士”等多個品牌產品線，產品涵蓋文檔加密、內網安全、終端安全、外發文安全、數據備份、信息安全等領域，能夠滿足不同行業和規模客戶的信息安全保密需求。安騰軟件（ITEN）始終專注于透明加密軟件的研發，是國內最早從事文檔、圖紙、代碼等透明加密的研發廠商，對于加密軟件有著深刻的理解。安騰力求產品的部署快速、使用簡潔、功能實用、運行可靠，八年來得到客戶的廣泛認可和信賴，客戶遍布政府、軍工、設計院、機械、電子、化工、服裝、廣告等諸多行業。

　　4.7.2 產品功能

　　1) 透明加密

　　安裝鳳凰衛士客戶端的計算機，其生成的文檔自動加密，加密文檔在內部授權環境內可正常使用，未經授權解密，私自帶到外部或未經授權的內部環境均無法打開。

　　2) U盤管控

　　可以自動識別并限制各種移動存儲設備的使用，包括U盤、MP3、手機、相機等。而對于鍵盤鼠標、打印機等非存儲類的設備則不受影響。

　　3) 打印控制

　　可以禁止某臺或者某些計算機使用打印機。防止無意義打印通過打印方式泄密。

　　4) 日志審計

　　可以對用戶的操作過程做詳盡的記錄，包括打印、復制、移動、涉密文件的審批、服務器操作情況等，以便監督檢查和事后追溯。

　　5) 文檔備份

　　自動將相關的涉密文檔定時備份至文檔服務器，防止重要文檔被有意無意刪除和遭受病毒損壞。

　　6) 截屏監控

　　定時或手動對指定電腦的屏幕進行抓取，監控員工桌面操作。對員工工作期間從事無關事情，起到震懾作用，幫助單位規范員工行為。

　　7) 審批流程

　　可以結合用戶的管理需求，針對不同的操作分別指定審批手續和權限，靈活設計單極和多級審批流程，支持異地審批。

　　4.7.3 產品優勢

　　1) 采用國際領先的介于內核與應用層之間的專有加密技術，支持更多格式的文件目前為止，該方案將加密標識內置于文件內，成為文件的一部分。當需要打開文件時，會首先識別此文件是否含有加密標識。如果有加密標識，則對此文件進行透明解密。當需要保存文件時，對內存中的文件進行透明的加密，然后寫上加密標識。指紋內置方案，使得身份認證技術成為可能。

　　這種加密技術真正實現一份文檔某些人（身份）可以打開，而其他人（身份）則不可以。另外從UG 等從Unix 轉過來的程序，導入導出等操作依舊可以無障礙進行。

　　2) 完全透明的加密過程

　　當用Word 打開一個DOC 文檔，用AutoCAD 打開一個DWG 文件時。文檔守望者會自動監測到此操作，并進行相關的解密工作，當要保存此文件時，又會進行相關的加密工作。所有的這些過程都是文檔守望者在背后默默完成的，用戶根本無需也無法進行干預。這些被加密過的文件無論采用何種方式：用U 盤拷貝、用光盤刻錄、發郵件、用Ftp 上傳、用QQ 等P2P 工具上傳，泄漏出去的文件均無法打開。

　　3) 內容識別，而非擴展名識別

　　依賴擴展名識別就像是依賴姓名來識別一個人。而我們采用的方案類似DNA 識別，只要文件的內容是需要受控的話，無論將其保存成為什么擴展名，都將被自動加密。

　　4) 精確識別受控程序

　　文檔守望者并不依賴可執行程序的名稱來確定是否是受控程序，也并不計算可執行程序的MD值。而是有一套專用智能識別算法。智能識別技術，無論怎么改變程序的名稱，甚至用UPX 等軟件壓縮可執行程序來改變MD 值，依舊不會逃過文檔守望者的監測。

　　5) 人性化的復制/粘貼/拖放/截屏控制

　　若采用復制/粘貼可將加密的內容拷貝至非加密內容中，即可導致信息的泄密。但若限制復制粘貼等功能，則用戶的日常工作將會受到影響。文檔守望者的設計是在提供信息保密的同時又不影響用戶的使用習慣。對此文檔守望者采用的策略是：加密文件之間可以互相復制/粘貼，非加密文件之間也可互相復制/粘貼，非加密文件的內容可粘貼至加密文件，但加密文件的內容不可粘貼至非加密文件中。對于拖放，守望者也采用同樣的策略。對于拷屏的策略是：如果有加密的文件處在打開狀態，則禁止拷屏，否則允許。

　　6) 靈活的組策略

　　根據用戶的工作需要，客戶可以對整個組設置規則，也可以針對單臺電腦進行設置，同時一臺電腦可以在不同的組中。如技術部（組）、財務部（組）、銷售部（組）等，可以對整個工作組進行設置，同時也可對某臺電腦進行單獨的設置。

　　7) 雙密鑰設計

　　當軟件提供給客戶的時候，廠商為客戶提供全球唯一的密鑰確�？蛻舻募用芨袷讲粫�相同�？蛻粼僮孕性O置一個密鑰，使供應商亦無法解開被加密的文件，解除客戶的后顧之憂。

　　4.8 敏捷科技

　　4.8.1 企業簡介

　　公司主導產品有：敏捷安全衛士系統（Agile DG）、文件外發管理系統（Agile FD）、桌面安全管理系統（Agile DSM）、數據主動備份系統（Agile BAK）、打印安全管理系統（Agile PSM）、電子文檔管理系統（Agile DM）、電子文件管理系統（ERMS）、私有云安全解決方案（Agile PCloud-S）等，能為各類企業、社會團隊、政府和個人提供全方位的數據安全軟件產品和服務。

　　4.8.2 產品功能

　　DG 系統主要是提供如下功能：服務器管理根密鑰、自動升級功能、服務器可設置卸載碼、自定義密鑰、DG 管理機可解密文件并記錄日志、客戶機可配置各種安全策略、DG 提供密級管理、DG 域集成功能、組織機構管理、角色管理、策略模板等。

　　1） 自由空間守護無痕

　　2） 實時加密全程守衛

　　3） 智能監控

　　4） 無縫集成

　　5） 無窮密鑰

　　6） 運行穩定

　　7） 資源占用少

　　8） 安全方便的維護

　　4.8.3 產品優勢

　　簡捷：簡單易用，免培訓

　　透明：不改變用戶操作習慣；透明、實時、強制、主動加密穩定：擁有100 萬級別的安裝點，軟件成熟穩定高效：優化的算法和Windows 內核技術，不影響使用效率集成：與OA、ERP、PDM 等系統具有良好的集成。

　　4.9 華途軟件

　　4.9.1 企業簡介

　　華途軟件有限公司成立于2007 年，是國內領先的、擁有完全自主知識產權的專業信息安全軟件公司�？偛课挥诤贾�，經過多年發展，已在華北、華南、華東、華中、西南等7大區域的一線城市設立了分支機構和服務中心，服務網絡遍布全國30 多個省、市、自治區，建立了覆蓋全國的“24 小時響應”

　　服務體系。

　　4.9.2 產品功能

　　1) 透明加密

　　2) 電子審批系統

　　3) 客戶端綁定和準入

　　4) 郵件白名單和黑名單

　　5) 域用戶導入和同步

　　6) 日志記錄和審計功能（含報表和報警）

　　7) 系統自動更新（可推送任意腳本）

　　8) 反截屏

　　9) 打印水印，屏幕水印

　　4.9.3 產品優勢

　　1) 透明加密和主動加密以及半透明結合，采用國家標準算法對文件進行加密處理（強度高）2) 客戶端工作模式無需改變，系統后臺存在3) 服務器基于B/S 架構，支持實時策略更新4) 全面支持windows 操作系統以及移動平臺（iPhone/iPad，Android）

　　4.10上海全灣

　　4.10.1 企業簡介

　　Trustview（全灣信息科技有限公司）是全球最信賴的信息泄漏防護軟件提供商之一，由畢業于美國斯坦福大學的留學生創建而成。Trustview 擁有世界級的數字化權限管理技術，已獲得全球9 項獨家專利。

　　在成立一開始即向行業至高點挑戰，為全球頂級企業提供信息泄露防護解決方案，滿足世界型大公司的挑剔要求。在企業文件權限管理(Enterprise-DRM)領域，Trustview 利用自身的技術優勢結合國內企業對電子文件的安全管理需求，推出多項信息防泄漏軟件。

　　4.10.2 產品功能

　　全灣信息泄漏防護系統提供了廣泛的功能，這些功能能夠管理產品信息的所有方面，包括支持各種應用格式。對于企業已有的知識資產，如設計圖紙、工程文檔等，按照子公司/部門、分類批量加密進入服務器，實現共享。根據企業密級進行管理，用戶按權限對文檔進行操作。對于個人文檔，根據策略實現手動/自動加密。

　　• 系統全面考慮了企業目前各類圖紙安全需求現狀，主要解決如下問題：

　　• 保障圖檔僅在企業內部使用，脫離企業網絡環境，圖檔無法使用

　　• 實現企業各類產品圖檔企業內部流轉安全，不同部門，不同權限

　　• 保障解決企業研發部門的終端研發文檔安全

　　• 實現企業圖文檔內容級別的細粒度權限管理－可以控制圖紙是否可以編輯、復制、打印及圖紙的使用時間等

　　• 解決企業圖文檔外帶（如：出差），可能出現的安全隱患

　　我們的方案是一種以圖紙本身為中心的安全解決方案。利用密碼技術，以圖檔加密為核心，構建企業信息的安全使用環境，使圖檔能在企業內部正常使用，在未授權的情況，利用U 盤拷貝帶走及通過網絡發送等都是無法打開圖紙的。

　　制造業信息泄漏防護系統關鍵功能包括：

　　• 圖檔安全管理－按企業策略配置

　　根據企業的實際情況，對重點部門－研發設計部門的客戶端，可以實現強制加密措施，使個人終端電腦里的研發文檔自動加密保護。對于其它部門的終端電腦，可以根據業務需要，按照策略實現手動/自動加密。

　　• 實現細粒度權限控制，嚴防內部泄密

　　對企業重要的知識資產實現細粒度的權限控制，除了提供打印、時效、復制等基本的權限控制之外，還要能控制圖檔的編輯功能，特別是對各類編輯器的菜單的控制，例如對于圖紙做到可不可編輯的權限設定等。

　　• 實現圖紙外帶安全

　　提供對于外帶安全控制功能，在保障離開企業環境的情況下，根據授權使用圖檔。外帶審批作為權限可以根據不同用戶進行配置，做到靈活與安全兼顧。

　　• 完善審計，事后追蹤

　　系統提供基于圖檔的詳細的操作審計日志，可以記錄使用者對的所有行為。系統管理員將可以利用管理接口工具所提供的查詢紀錄功能來搜尋并檢查這些紀錄。

　　4.10.3 產品優勢

　　1) 端點數在100users 以內，目前競爭最激烈的市場。非Trustview 核心市場。國內絕大多數同行廠商進入價格競爭階段。沒有形成品牌及技術優勢競爭。Trustview 云安全及Safebay365 產品會進入這個市場。

　　2) 用戶數在100users－1000users 之間。目前trustview 的核心市場，較之國內廠商具有明顯的產品優勢，較之國外廠商有方案優勢。國外廠商以防被勱泄密為主，防主勱泄密是國內需求的關鍵。

　　3) 客戶端數在1000users 以上，以大行業用戶、上市公司及跨國公司為主。目前市場上是很活躍，是未來2～3 年市場的重點。借劣Trustview 已有的高端客戶案例優勢，是Trustview 積極布局的市場。

　　4.11上訊信息

　　4.11.1 企業簡介

　　上海上訊信息技術股份有限公司是中國信息安全領域領導企業之一，可提供信息安全咨詢及評估、數據安全產品、合規與審計產品、企業SaaS 服務解決方案、信息安全及優化整體解決方案與安全運維服務。公司以前瞻性的眼光，組織頂尖信息安全專家自主研發以及甄選出最符合市場發展方向且覆蓋各個層面的尖端安全產品以滿足中國市場的客戶需求。

　　4.11.2 產品功能

　　1) 自動透明加密

　　系統采用沙盒保護技術對核心文件進行加密保護，解決了因筆記本/硬盤等設備丟失或修理造成的數據泄漏問題。系統可以自動加密任意類型的文件，用戶無需關心何時加密以及密鑰的存儲，同時不改變用戶對文件的使用習慣，加密過程完全透明。

　　2) 內容安全防護

　　系統禁止對文件內容的復制拖拽、截屏、打印以及副本另存為等非法行為，杜絕了使用者主動泄密核心文件的行為。支持文件打印水印的設置，自動打印使用者姓名、文件名稱、打印時間等背景水印，不僅對非法操作產生震懾作用，同時方便事后責任的追溯。

　　3) 文件外發控制

　　系統支持對外發給合作伙伴文件的權限進行管理，可以設置外發文件的瀏覽、、復制、編輯、打印、另存為等多種權限，同時限制外發文件的瀏覽時間，自動銷毀外超過瀏覽時間的外發文件。

　　防止合作伙伴、客戶等企業外部單位對核心文件的二次泄密。

　　4) 外部介質管理

　　支持對U盤、移動硬盤等移動存儲介質進行注冊管理，可以授權已注冊U 盤可以被哪些部門以及人員所使用，未進行授權部門/人員不能使用該設備，同時支持對藍牙、1394、串口、并口等設備的啟停管控，禁止隨意使用非法設備，不僅防止了因設備使用混亂而產生的數據泄露，而且也降低了木馬病毒事件的頻率。系統也支持將安全U 盤的制作，即使U 盤丟失，也無法獲取U 盤中的核心文件。

　　5) 終端身份認證

　　支持使用雙因子認證代替傳統的用戶名和密碼認證方式，除了知道密碼之外，還需要具備手持令牌，沒有手持令牌將無法登陸解密程序，同時拔出令牌后，計算機將進入待機狀態，任何非法用戶都無法登陸系統，最終防止外部人員以及內部無關人員對他人終端的非法登陸，進而防止因登陸風險而造成的數據泄露事件發生。

　　6) 實時同步備份

　　為了保證所有文件不被丟失，系統采用實時的文件同步功能，同步功能可以實時地同步用戶修改的內容，不是簡單的復制，而是同步內容的差異部分，減少了網絡與系統的開銷，同時也解決了因員工離職而造成文件丟失的問題。

　　7) 文件全生命周期審計

　　文件全周期審計可以幫助用戶隨時隨地查看核心文件的使用以及違規情況，可以對文件的創建、存儲、編輯、復制、打印、重命名、刪除等所有使用狀態進行記錄，同時可以記錄所有文件的使用者、使用時間等詳細信息，方便用戶對數據泄露事件發生后進行查詢和追溯。

　　4.11.3 產品優勢

　　采用文件虛擬化方式提供對文件自身的保護，利用系統底層虛擬出保護層，對核心文件進行強制自動防護，禁止拷貝/截屏/打印等非法操作，同時記錄文件的各項操作，根據辦公環境自動劃分可信區域，區域內的數據都是透明流轉，區域外的數據都進行加密傳輸。

　　1) 優秀的性能參數：采用文件虛擬化技術對為用戶提供文件保護，不對文件自身進行強制加密，本地操作文件完全明文，沒有任何性能損耗；

　　2) 無風險的保護技術：底層技術不對文件自身進行加密，無文件損壞風險，沒有磁盤加密的操作系統損壞風險，在保證安全的前提下，也同時杜絕了新技術對正常業務的影響。

　　3) 全面豐富的監控指標：可以對文件的相關核心操作進行監控，同時進行記錄，可以直觀全面的展示內部的文件流轉過程。

　　5. 數據防泄露產品選型要點

　　5.1 資質評估

　　資質是指由國家認可的權威第三方認證機構，證明一個組織的產品、服務、管理體系符合相關標準、技術規范或其強制性要求的證明。目前數據防泄漏產品資質主要包括企業資質、產品資質、知識產權三個方面。數據防泄漏產品是否具有資質，以及資質的權威性都是產品競爭力的體現。因此，關注資質是企業進行產品選型的第一步。

　　5.1.1 企業資質

　　信息安全服務資質是信息安全服務機構提供安全服務的一種資格，包括法律地位、資源狀況、管理水平、技術能力等方面的要求。信息安全服務資質認證是依據國家法律法規、國家標準、行業標準和技術規范，按照認證基本規范及認證規則，對提供信息安全服務機構的信息安全服務資質進行評價。

　　對于企業資質的考察可關注該企業是否通過ISO9001 質量保證體系認證，ISO9001 是ISO9000 族標準所包括的一組質量管理體系核心標準之一，ISO9001 是迄今為止世界上最成熟的質量框架，目前全球有161 個國家/地區的超過75 萬家組織正在使用這一框架。ISO9001 用于證實組織具有提供滿足顧客要求和適用法規要求的產品的能力，目的在于增進顧客滿意。凡是通過認證的企業，在各項管理系統整合上已達到了國際標準，表明企業能持續穩定地向顧客提供預期和滿意的合格產品。站在消費者的角度，公司以顧客為中心，能滿足顧客需求，達到顧客滿意，不誘導消費者。在選型過程中，關于企業資質的查詢需由供應商提供相關證書信息，并到指定認證機構查詢并確認信息。

　　5.1.2 產品資質

　　數據防泄漏產品在進入市場銷售之前，必須申請由公安部公共信息網絡安全監察局頒發的《計算機信息系統安全專業產品銷售許可證》。由于該資質是市場準入的強制標準，除必須具備該資質以外，對于數據防泄漏產品的選型還需重點關注以下資質：

　　1） 具有信息產業部頒發的《計算機信息系統集成資質證書》（一級或二級），并有網絡安全集成的成功范例。

　　2） 具備國家保密局《涉密信息系統產品檢測證書》，通過BMB15-2004 保密檢測標準。

　　 3） 具備中國信息安全認證中心的《ISCCC 中國國家信息安全產品認證證書》，通過GB/T20945-2007 檢測標準在數據防泄露產品選型過程中，需優先關注企業資質、產品認證以及行業標準，產品認證越全面，通過的行業標準越多，表明產品的可靠性及技術性能越高。因此，對于產品資質的評估，使用者在購買之前務必了解全面，才能綜合評估。

　　5.1.3 知識產權

　　知識產權是一家企業的核心資產，代表企業的核心競爭力。對于數據防泄露產品來說，知識產權主要包括軟件著作權和發明專利兩方面。軟件著作權目前主流廠商基本都是具有的，專利部分分為三大類：

　　發明專利、實用新型專利和外觀設計專利，而其中發明專利在數據防泄露中占據核心地位。特別要注意的是反映產品技術的發明專利，因為發明專利反映了某一產品的核心創新性，而且是該產品獨占的，在一定期限內享有的獨占實施權。在供應商的數據防泄露白皮書中都會有對自身創新性技術的描述，企業可根據需求作重點分析和評估。

　　5.2 需求評估

　　需求評估的全面性和準確性關乎選型的成敗。因此，需求評估是產品選型最為關鍵的一步。做好需求評估，需要綜合業務特點以及企業管理者對于員工產品泄露防護需求。

表2 企業需求評估

　　5.3 功能評估

　　企業在決定購買數據防泄漏管理產品時，可先向供應商提交試用申請，一般而言，供應商在確定企業有購買需求后，會提供幾周到幾個月不等的產品試用周期。這期間，供應商會安排技術人員上門部署和調試系統，并組織對企業人員進行培訓。

　　產品試用期間應該注意以下幾個問題：

　　1） 結合企業的業務流程對產品功能進行測試。

　　2） 根據企業的需求來制定適合企業自身的數據防護策略。

　　3） 對于云計算及虛擬化等新興技術環境下的產品功能進行測試。

　　4） 移動辦公場景數據防泄露功能測試。

　　一般而言，企業至少要試用兩家以上的產品，通過對比試用效果及測試數據來綜合評估哪一家的產品更適合企業的需求。

表3 產品選型要點

　　5.4 成本評估

　　除試用及性能評估之外，在購買產品前企業還需與供應商進行充分溝通，包括：

　　1) 供應商根據企業需求給出綜合報價，詳細列明每一項費用，包括設備采購、部署實施、后期維護及產品升級等費用。

　　2) 報價需全面涵蓋可能涉及的所有費用，若有費用無法在前期報價給出，需給出價格計算方式。

　　3) 若同時有多家供應商產品均滿足企業要求，企業可根據供應商給出的報價進行綜合成本評估，評估因素包括廠商口碑、市場影響力以及售后服務評價等。

　　5.5 合同與技術協議要點

　　在綜合進行資質評估、需求評估、性能評估以及成本評估后，企業才可最后確定選型產品。

　　在部署實施前，企業需與供應商進行服務合同的敲定。

　　合同內容至少需包括以下幾點：

　　1) 合同金額及詳細的產品與服務報價

　　2) 實施周期

　　3) 驗收標準和方法

　　4) 雙方責任

　　5) 違約責任

　　6) 付款方式

　　6. e-works 研究院簡介

　　e-works 研究院（e-works Research）是e-works（數字化企業網）研究、分析性質的組織機構。

　　e-works 研究院的研究領域方向立足于兩化融合所涵蓋的管理信息化、產品創新數字化、IT 技術與應用、數控技術等領域。e-works 研究院是網聚了e-works 專家、精英等智力資源強力打造的研究、分析品牌。

　　e-works Research 致力于成為中國制造業與信息化進程中的智庫。作為全國首個制造業與信息化研究實驗室，e-works Research 一直秉承客觀、中立的原則，對制造業與信息化的各領域進行深入觀察與研究。通過發布行業調查、白皮書、選型手冊，發表文章和演講，舉辦高層論壇、研討會等形式，與各級政府、高層企業管理者、信息化廠商伙伴們分享e-works Research 的研究成果、預見行業發展趨勢、發現和評估戰略機遇、確保預期回報、制定發展計劃和確定業績評估標準等，以便在隨需應變時代創造最大價值。

　　通過多年專注的積累，目前，e-works 研究院擁有了一套科學、嚴謹的調研、整理和分析方法，并通過與各級政府、企業、信息化廠商、其他研究機構廣泛開展合作，已成功取得了多項研究成果。

　　作為專業的市場研究機構，e-works Research 整合業內專家資源，將咨詢服務的所診斷出來的個性問題，放到產業層面上，通過溝通、調查、研究等最終形成相應的產業分析報告，對中國制造業信息化相關技術、市場、應用與產業發展起到了積極的推動作用。

　　e-works Research 累計發布各類產業研究報告20 余份：

　　• 制造執行系統（MES）選型與實施指南(2013 年)

　　• 中國制造業PLM 產業發展報告（從2004 年開始連續九年發布該報告。其中，從2009 年開始，e-works 與國際知名市場研究機構CIMDATA 合作，聯合在全球發布中英文版的中國制造業PLM 研究報告）；

　　• 中國制造業信息化投資趨勢研究報告（2009-2014 年四次）；

　　• 中國制造業SCM 應用研究報告（2009 年、2011 年兩次）；

　　• 中國制造業ERP 產業發展報告（2005 年、2007 年、2008 年三次）；

　　• 中國民營企業ERP 應用研究報告（2006 年）；

　　• 中國制造業供應鏈管理研究報告（2011 年）；

　　• 中國制造業人力資源發展研究報告（2010 年）；

　　• 中國制造業軟件維護市場研究報告（2009 年）；

　　• 中國制造業虛擬現實及仿真應用研究報告（2009，2010 年）

　　• 中國CAE 發展研究報告（2008 年）等權威報告。

圖 3 e-works Research各類產業研究報告 

　　先后有麥肯錫、IDC、IBM、羅克韋爾、達索系統、PTC、西門子PLM、安世亞太、聯想、金蝶、用友、CAXA、Autodesk、源訊等近百家企業購買了e-works 的市場研究報告。此外，由于信息技術是一個前瞻性的新興技術，且技術含量比較高，推廣難度巨大，更為關鍵的是如何站在客戶需求的角度來對相應的技術進行闡述，是廣大供應商面臨的挑戰，為此e-works Research 結合自身的專業性，從需求出發，先后幫助：

　　• IBM 撰寫了IBM 智慧工廠白皮書

　　• Kronos 撰寫了中國勞動力管理白皮書

　　• 用友撰寫了用友U9 V2.0 ERP 系統評估報告

　　• 金蝶公司撰寫了K/3 WISE 白皮書

　　• 用友PDM 應用白皮書

　　• 安世亞太PERA 精益研發平臺評估報告

　　• SAGE 集團SAGE CRM 白皮書

　　• 西門子PLM 數字化制造白皮書

　　• 惠普公司中小企業解決方案

　　• 中國制造業設計仿真一體化應用研究報告等。

圖 4 e-works Research 研究系列評估報告

　　e-works Research 網聚優質資源，客觀、中立、敏銳地洞察制造業與信息化的發展！ 

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：數據防泄漏產品選型手冊

本文網址：http://www.guhuozai8.cn/html/consultation/10839515817.html