安全防护 防泄密产品选型指南

前段公司采购防泄密产品，历时半年，与相关厂商打交道无数，得到部份经验，与同行共享。本文尽量不对具体产品做优劣评述——什么样的鞋合脚，您还是得自个儿穿穿看，我只能告诉你我的“试穿过程”和我最关注的“核心功能”。

另外，某大企业的安全经理跟我提到过一个观点：“但凡加一种安全控制措施，多需要再打开一个新的通道。因此控制措施不是越多越好，而是必须简洁明了，抓住核心。”

我们部署防泄密产品，很大程度上是认识到了数据是安全保护的核心。之前公司上的设备，无论是防火墙、IPS、漏洞扫描这些网络型产品还是补丁管理、防病毒这些终端产品，都是“从外围保障”，数据加密会更直接了当些。

一、需求定义：搞清楚自己的需求是什么

要买东西，自然第一步是搞清楚自己究竟想买什么，那么我建议先问自己这几个问题：

1、我要保护什么？

换句话说，就是“老板最担心哪些资料泄露”或者“公司里最重要的信息资产是什么”，在我们公司很简单，是设计图纸。我和一些企业的CIO在聊天时讨论过，下面是一部份企业要保护的东西，你可以看看能不能对号入座：

设计图纸（机械制造、广告设计、服装鞋帽等行业）；

办公文档（律师、投资银行、金融证券、政府部门等行业及每家企业的财务、研发）；

源代码（开发类企业，游戏、手机等开发目前尤其重视）；

客户信息，可能包括文档和数据库（金融、运营商甚至大量互联网企业）；

全部数据（有的老板认为，除了我认为可以外发的资料外，全部都是秘密）；

肯定有更多需要保护的东西，但我只了解一部份，你可以根据自己的情况写下这个问题的答案。

2、目前的泄密渠道主要有哪些？

也就是说：现在东西是怎么丢的？

我认真思考了我们公司的情况，想出了下面一些泄密渠道，供参考：

QQ、MSN等即时通讯工具在线传输发走；

邮件（PDM/PLM/OA邮件、公司邮箱、WEB邮箱发走）；

U盘、移动硬盘拷走；

将文件资料打印带走；

照像或手抄然后OCR；

通过笔记本电脑、手机的无线（蓝牙、红外）传输带走；

通过FTP、SCP等各种网络协议传输后带走；

拆硬盘带走数据；

QQ截图、各种截图工具截图后发走；

屏幕录像工具录走；

一些比较极端的泄密渠道，涉及到程序员、数据库管理员、系统管理员，可以考虑一下：

将源代码打包到资源文件中编译带走，执行特殊参数后释放；

通过数据库管理工具导出数据库的sql带走；

另外还有“被动泄密”——当然，在我理解中，防主动泄密比防被动泄密更高了一个层次，无法主动泄密，天然就无法被动泄密了。被动泄密可能发生在：

硬件遗失（笔记本、硬盘、U盘等丢失）；

硬件换代时更换未消密；

病毒、木马、黑客攻击；

错误的网络共享（如共享文件夹、BT/电驴共享等）；

3、我希望买来的这款产品解决什么问题？

通过很多“失败”，我得到了一个教训是：“不要指望一个产品能解决所有问题。”放到防泄密产品选型上，这个道理同样适用。

有些问题适合用防泄密软件解决，有些问题适合通过防火墙、打印控制、应用虚拟化等产品解决，还有些问题可能需要还有些问题可能需要通过管理手段配合。这时候建议你填写下面的表单：

    我的完整表单就不列出来了，给方法胜过给工具，不是么？

如果你真的需要完整的表单，可以给我邮件索取。

二、产品入围测试：搞清楚你选的东西怎么样

搞清楚了需求之后，就得搞清楚产品了。我大致总结了自己关注的一些功能、性能方面的内容，记录如下：

1、总体关注点

    2、服务器端关注点

    3、客户端关注点

这些关注点，可以从厂商提供的功能表中综合提炼，例如这是铁卷的客户端功能列表：

我报给老板的报告、各个厂家的文档，不太方便公开发出来，如果你感兴趣，可以给我邮件索取。

三、企业能力评估：搞清楚做这个产品的公司怎么样

1、成功案例考察

考察成功案例，说起来容易，实际上做起来不太轻松。我考察成功案例的经验是：

不仅仅看这家公司在自己网站上的宣传，可能的话，可以打电话问问这些公司的使用效果——如果你是企业的IT主管，这点人脉应该还是能有的吧；

观察他们成功案例的“特性”，从而判断这家公司的能力和资源投入方向。有的公司集中在某个行业，例如大成天下铁卷集中于制造业、军工；有的全面开花，例如亿赛通从手机开发到政府采购都有案例；

要求参观。当然参观的时候必然是厂商“安排”好的，这里的重点有二，一是尽量随机找到用户了解真实感受，二是找到IT高管了解管理者的感受——这两类人比较不会太受厂商的销售影响。

2、企业资质考察

我主要关注这几方面：

企业的注册资本、员工数量

产品的研发领导资历

公司管理层在信息安全方面的资历和经验

在我看来，信息安全产品的“技术对抗”很重要，因此要找就得找真正懂安全，了解攻防对抗技术的企业与团队。

3、实施方案考察

基本选定几家入围企业后，请这些厂商出具相关的实施方案——这时的入围厂商不能太多了，毕竟需要在一定程度上透露自己公司的IT信息。我看过的大多数方案，项目管理部份都是一个调调——天下方案一大抄，能言简意赅讲清楚项目怎么安排，人员怎么协调，需要甲方怎么配合的少之又少。我主要看这么几个“核心要素”：

对项目边界定义是否清晰？

对甲方的资源投入是否清晰定义？

项目交付是否清晰定义？

有没有知识传递（交钥匙）的过程——毕竟系统是需要我们自己维护。

四、其它我关注的内容

1、价格

这没啥说的，老板批的费用有限，我只能选择我买得起的。关于防泄密产品的价格，我在构思另一篇文章《防泄密产品选型指南（价格篇）》，后续和大家讨论。

2、服务能力

其实所谓服务能力，在我看来就两个问题：

在我们所在的城市是否有这家公司的总部或分公司？除非代理商证明了他的服务实力，否则我只认厂商；

有哪些服务内容？什么情况下厂商会到现场为我们解决问题？

附1：目前防泄密产品主要采用的技术路线简述

看了这么多产品，也做过不少对比测试，对我看过的产品，我还是有一定的发言权的。当然，所有评论都是一家之言，不一定公正，一定不科学，掺杂了很多个人观感，读者自辩。不过我相信，如果你拿着我这个《防泄密产品选型指南》，带着自己的思考、测试来选产品，，无论选中哪家，都是“最合适”的。

目前防泄密产品的主要技术路线包括这么几种（只枚举，不展开说明了），各有各的产品局限，整个产品类型尚未完全统一：

外设控制：如禁用U盘、机箱加锁等方式；

磁盘加密：如TrueCrypt、PGPDisk等方式；

网络审计：国外主流DLP均采用网络审计方式；

本地审计：通过本地应用程序进行日志记录、分析；

无盘（虚拟应用）：类似网吧管理系统、Citrix；

格式转换：例如pdf方案；

身份认证：例如各种USB KEY方案、CA方案；

透明加解密：如前沿、铁卷、亿赛通产品；

权限控制：大量OA、ERP中的权限功能，微软RMS的权限功能等；

网络准入：只允许特定客户端接入特定网络环境。

很难说哪种技术路线最好，目前国内主流的防泄密软件厂商都是一种或多种技术路线的结合，我估计，在未来2-3年，应该会逐渐“统一”，某几种技术成为防泄密产品的“标配”。

总而言之，买东西，不一定买最好的，而是买最合适的

大成天下：  http://www.unnoo.com/，联系电话0755-86158355

查阅更多相关主题的帖子: 防泄密 透明加解密 图纸加密 文件审计