DLP市场分析报告

1、 DLP市场分析报告包英明二一三年二月文档说明文档属性属性内容文档主题：DLP市场分析报告文档编号：最后更新：2013-02-25文档状态：初稿文档作者：包英明扩散范围：内部文档文档历史文档版本修订日期修订人描述V0.12013-2-25包英明加入赛门铁克信息V0.22013-2-26包英明加入国内亿赛通、明朝万达的信息目 录第一章DLP市场概述51DLP概念52综述53市场容量6第二章DLP国外产品71综述72魔力象限83赛门铁克（Symantec）83.1解决方案83.2技术原理93.3优势103.4客户群体(国内情况)104WEBSENSE104.1解决方案104.2技术原理114.3优

2、势114.4客户群体115RSA(EMC)115.1解决方案115.2技术原理125.3优劣势125.4客户群体126MACFEE136.1解决方案136.2技术原理146.3优劣势146.4客户群体15第三章DLP国内产品161综述162亿赛通162.1解决方案162.2技术原理182.3优劣势192.4客户群体192.5竞争者193明朝万达193.1解决方案193.2技术原理203.3优劣势213.4客户群体21第四章推荐选型221综述222现金产品223自主产品22内部文档 22第一章 DLP市场概述1 DLP概念国外DLP，以集中策略为基础，采用深层内容分析，对静态数据、动态数据及使用

3、中的数据进行识别、监控、保护的相关产品。国外的DLP很具体，聚焦在防数据丢失功能，从安全域出去时要限制含机密内容的文件等。国外DLP主要是聚焦的防数据外部窃取、内部无意间泄露。国内DLP主要聚焦在防数据外部窃取、内部有意、无意间泄露，国内DLP主要通过权限管理、加密的方式来实现DLP方案。无论国内还是国外DLP都旨在解决组织内部数据防外泄的问题。在DLP的方案概念中，首先需要定位出用户的关键数据、机密数据等重要数据，普遍认为，组织中的重要数据根据存放位置来划分，可分为以下几种：A. 终端：组织中的重要数据绝大部分都存放在终端，由终端生成、通过终端流转。总而言之，终端数据含盖了几乎所有的核心数据

4、。B. 服务器：随着信息技术的发展，组织中会将很多数据和流程都集中到PDMOA等系统中，服务器的核心数据由于集中性强，一旦被他人恶意登录或者入侵，损失的数据远远大于单台终端的数据，而现在有的服务器的数据完全处于敞开状态，内部员工、合作伙伴等均可通过用户和密码访问到应用系统。在数据使用过程中，可能需要对外对内进行交互，DLP厂商普遍认为，使用过程也需要进行防护。如果根据数据的使用方式来划分，又可以划分为以下几种情况：A. 组织内部部门之间数据进行交互。研发部门与其他部门的交互较少，而行政、管理等与其他部门的交互较多B. 组织与其他外部组织之间业务往来，需要进行数据交互。C. 智能终端通过远程等方

5、式访问内部数据。无论国内还是国外的DLP厂商，均是为以上情况为用户提供对应的解决方案。这其中有很多中小型公司只提供对其中一种或集中重要数据防护提供对应的解决方案，而DLP厂商中领导型企业对以上各种情况都可以提供全面完整的解决方案。只是每个厂商的技术侧重点和解决问题的侧重点不同。2 综述DLP，数据泄露防护，市场上烽烟四起，从最初的几家企业从事该行业，到最近几年，DLP市场越来越被大部分的客户接纳，越来越多的企业开始以各种方式进入该行业。从表象看上去，该行业内从事企业众多，大大小小的企业达到1000多家，面临的竞争对手也很多。但如果从实现的技术原理上划分，可分为国内和国外两派。在国外，个人信息一

6、直受到法律的高度保护。1974年美国颁布隐私权法，德国1976年颁布联邦资料保护法，1984年英国制订数据保护 法，1995年欧盟制订了关于个人信息运行和自由流动的保护指令，1998年美国与欧盟签订了“安全港”协定（safe harbor），而最近新加坡也出台对垃圾信息给以高额处罚等等。对于侵犯个人信息保护法律的个人和单位，在国外都受到严厉的制裁。在强有力的法律手段保护下，任何单位和个人都不敢轻易碰触法律这个高压线。对单位来说，凡是违反此类法律的，其赔偿金额是极为惊人的。2007年在美国TJX零售公司发生的4500多万客户的信息卡及保密资料丢失，导致其客户和银行业对其提起诉讼，最终TJX公司需

7、要向客户赔付1.01亿美元，并承受严重的企业声誉损失。国外个人信用体系的完备，也是防止个人从内部泄密的主要原因。在美国敢于从内部泄密获利者，其下场是非常明显的，很可能终身失业。国外法律环境的完善，比较有效地震慑内部有意泄密者，所以在国外内部有意泄密者较少。据此，国外关于个人信息保护的产品设计理念，所以国外的DLP发展方向是除了加密方式外，大型案例基本都是基于网络扫描、内容检测、审计、告警方式来实施DLP系统。在国内，法律法规不健全，不能有效追究内部泄密者的责任，并且很多中小型企业在初期成长过程中都是通过模仿或者抄袭成熟企业的产品来发展，企业内部资料、程序等内容很容易通过内部员工流落到外部。并且

8、再加上国内网络建设不完善，国内制造业、代码研发行业的文件、数据保密要求高，最初从事该行业的企业便选择了透明加密的方式来为国内企业建设DLP方案。我们将通过分析目前国内外比较领先的企业在实施DLP是采用的解决方案、技术原理、优势、以及各自针对的客户不同来进行统筹分析。以使我们对目前纷繁复杂的DLP行业有一个清晰的理解。我们通过分析，将根据天融信的客户群来分析具体采用何种方案的DLP产品来进行合作，作为我方的拳头现金产品进行销售，将天融信DLP产品推向市场。由于在信息安全领域，DLP市场在近几年将是一个逐渐成熟、逐步完善的市场，市场内领头羊不是非常突出，所以我方可根据目前市场的发展、客户的占有率情

9、况以及领头企业的发展规划，来确定我方开发DLP的产品方向，并规划和开发天融信的自主产品。3 市场容量Gartner统计显示，在过去的7年时间里，预防内容感知数据丢失(DLP)市场一直在稳步增长， 从2010年的 30亿美元到2011年的42.5亿美元，再到2012年的53.5亿美元。 Gartner预计2013年的市场容量将达到67亿美元。第二章 DLP国外产品1 综述在国外，由于大部分是基于防止外部入侵窃密和内部无意泄密的需求，国外IT厂商纷纷推出数据泄漏防护（DLP）解决方案，其中主要的代表厂商有趋势科技、赛门铁克、RSA（EMC）、Websense、MACFEE等。国外DLP产品的目标主

10、要是防止信息的无意泄漏，因此在实现手段上多以“检测”“审计”为主。一般的模式是构建一个策略数据库，这个数据库中包含了所有的检测策略以及对敏感数据的定义，当员工做出某种行为（如外发一封E-mail）时系统会进行扫描，以判断这种行为是否符合安全策略并做出相应的动作，如阻止、警告等。在这个基本模式之上，再加上权限控制、审计、端点控制等功能，最终形成一套DLP解决方案。以下将对各厂商的情况分别进行说明。无论是赛门铁克、趋势科技、麦咖啡，还是RSA（EMC）、Websense，在全球市场上都具备举足轻重的地位。以赛门铁克为例，这家全球第四大软件企业，最大的信息安全企业，在全球杀毒软件市场，排名第一，市场

11、份额高达22%，营收超过30亿美元。赛门铁克在中国地区增长更是连续十个季度超过计划，在电信、金融、政府等行业，赛门铁克正在树立独特的竞争力。但是，在中国数据泄露防护（DLP）市场，国外DLP产品销售额却惨不忍睹。趋势科技、麦咖啡、RSA、Websense大体相似，经过了两年的市场导入和培育期，产品销售方面却仍然不见起色。进入2010年以来，国外DLP厂商加大了在中国市场的推广力度，意欲取得销售额的猛增。主要方式有以下几种：1. 通过广泛的媒体宣传、市场活动、渠道招募、售前支持等手段，从市场营销层面加大力度；2. 国外DLP厂商与国内信息安全厂家成立合资公司，通过技术合作，实现产品和服务本地化，

12、进一步满足中国本地客户的求；3. 通过技术授权，允许国内信息安全厂商采用其核心技术，利用国内公司来实现产品销售。2 魔力象限2013年Gartner出具的最新DLP市场供应商魔力象限。处理领导者位置的有：Symantec、Websense、RSA(EMC)、Mcafee、CA、Verdasys厂商之间竞争已经很少有技术方面的差距。连续多年处在魔力象限领导者的厂商为：Symantec、Websense3 赛门铁克（Symantec）3.1 解决方案赛门铁克为用户提供的解决方案可分为以下几步来完成：1、 首先需要定义出涉密数据，并且通过扫描发现的方式定位他们的位置，协助企业确定涉密数据的存放位置，

13、确定有多少数据存放在那些计算机以及服务器上。2、对数据流转到外部过程进行监控，具体包括电子邮件、HTTP、即时消息、U盘、移动终端等途径。3、对于监控到涉密数据在外出时，提醒员工、管理者或者网络阻断。赛门铁克产品族包含以下内容：赛门铁克为用户提供了一套完整的解决方案：1. 为文件服务器、WEB服务器、数据库服务/lotus/sharepoint等准备的存储DLP2. 为本地硬盘、移动终端、U盘、CD/DVD、OUTLOOK等准备的终端的端点DLP3. 为email、webmail、https、ftp等网络应用准备的网络DLP。3.2 技术原理1. 首先，通过自定义策略模块，定义出用户规定的涉密

14、数据，关键字、指纹、密级等信息。2. 通过网络扫描的形式发现涉密数据存在的位置，包括网络、个人终端或服务器上。3. 通过网络、外设监控网络或端点上对涉密数据的操作4. 对于不同的涉密信息，根据策略模板可以采取对应的措施进行处理，可进行阻断、删除或者加密、隔离文件、通知员工及其经理等。3.3 优势1. 能够为最新技术环境提供整套DLP解决方案，比如云、移动以及虚拟化环境。2. DLP支持平板电脑的功能有明显的改善3. 内容提取技术也有了改进，能够提供更加全面的解决方案来解决知识产品保护问题。4. 可以将本地DLP功能集成到赛门铁克现有的客户端中。这对于已经安装了赛门防病毒或者其他产品的厂商来说更

15、加容易接受。5. 全球范围发布，非常强的网络功能，对于大型，地址位置分散的企业有很大的吸引力。3.4 客户群体(国内情况)1. 银行证劵：工商、招行、银河证券等多家2. 电信 ：移动(多个分支机构)、联通3. 大型企业：华为、贝尔、中海油、用友、现代、一汽、宝马、龙湖地产、西门子等4 WEBSENSE4.1 解决方案Websense的DLP解决方案也是经过过去几年的发展，目前已经是一个能够提供全方位解决方案的厂商。Websense提供了端点保护、网络监控、涉密数据识别全方面的能力。Websense的解决方案也是通过类似赛门铁克3个步骤来完成DLP产品的部署。首先根据内置安全策略或自定义策略，通

16、过涉密内容识别技术识别、标识涉密内容。然后通过网络监控，根据策略检测正在传输和使用中的数据。最后根据检测的结果，对涉密数据采用合适的保护措施。最后提供详尽的报告及告警查询。Websense 数据防泄漏解决方案的具体性能包括：数据发现：识别网络和个别端点上的静态数据、风险数据数据监控：通过数据传输目的地上下文，覆盖所有业务渠道，识别动态数据数据保护：防止内外部数据泄漏数据终端：不论用户是否在线，均可防止终端数据泄漏 产品组成：数据安全：Websense Data Security Suite(Websense Data Monitor、Websense Data Endpoint、Websens

17、e Data Discover)。Websense Data Monitor：电子邮件、即时通讯Websense Data Endpoint：打印机、U盘Websense Data Discover:数据分类网站可下载Websense Data Security Suite。 4.2 技术原理类似赛门铁克。采用了websense特有的内容识别技术。4.3 优势1. 企业级水准 2. 易于安装和部署，直接提供下载安装。无需复杂的部署过程。3. 将Web 安全, 电子邮件安全和数据丢失防护安全技术合并到一个统一架构。令内容更安全、成本更节约，具备理想的控制能力和灵活性。4. 有一套强大的策略库5.

18、 内容识别技术非常强大4.4 客户群体国外行业：金融服务、医药行业、政府行业、高新技术企业、电信、交通运输、传统制造业、媒体、零售业国内客户：移动、银行保险、电信、高新技术、石油石化、政府、互联网5 RSA(EMC)5.1 解决方案RSA 防数据丢失 (DLP) 解决方案提供了保护敏感数据的方法，并使企业能够精确定位最常见方面（数据中心中、网络上，以及端点）的风险来源。RSA-DLP可帮助组织解决有关静态数据、移动数据以及使用数据的难题：RSA DLP Datacenter 可针对驻留在文件共享、数据库、存储系统（SAN/NAS）、ShartPoint和其他数据存储库的敏感数据制定策略并强制实

19、施。RSA DLP Network 可针对公司电子邮件系统、基于WEB的电子邮件系统，即时消息和基于WEB的协议中的敏感数据制定策略并强制实施RSA DLP Endpoint可针对笔记本电脑和台式机上存储或使用的敏感数据制定策略并强制实施。5.2 技术原理类似赛门铁克。5.3 优劣势1. 终端型，面临的竞争对手是早期以终端为中心的防病毒厂商2. 多个产品的集成方式稍显复杂，部署不容易3. 政策性壁垒，在中国销售加密类产品的资质壁垒；4. 品牌优势，全球很多国家都有办事处；5. 产品质量稳定性高；研发力量强；6. 产品生命周期管理念；7. 产品线长，可以在产品供应链的上下游内部集成，起到上下游产

20、品相互带动市场的双赢效果；8. 代理商实力较强，北大青鸟、神州数码、怡德数码都是其代理商。9. 虚拟系统的支持性好5.4 客户群体国内：金融银行、制造业、医疗、保险6 MACFEE6.1 解决方案具有最全的DLP解决方案，以下是DLP解决方案用到的产品组件。数据丢失预防（Data Loss Prevent）-Host DLP-Network DLP：Monitor、Discover、Prevent设备控制(Device Control) -Host DLP端点加密(Endpoint Encryption)-Endpoint Encryption for PC-Endpoint Encrypti

21、on for Files and Folders-Encryption USB集中管理-Network DLP Manager-McAfee ePOMcAFee整体解决方案：6.2 技术原理整体技术原理同赛门铁克。6.3 优劣势1、 McAfee的入侵防御系统、端点安全、邮件安全、WEB安全、DLP均被Gartner评级为领导级象限2、 是唯一能够提供完整的基于数据生命周期的数据保护解决方案的安全厂商3、 良好扩展性：各种产品均可通过ePO开发平台统一部署4、 经济性：单一Console，单一Agentde 管理平台ePO 满足各种规模企业的需求5、 可以侦测非文字化数据，比如图片。通过内容和

22、meta数据检测。6、 端点产品等可以独立部署6.4 客户群体国外：金融服务、医疗、制造业、高新技术、政府、教育 行业国内：永亨银行、东风汽车、丰田、中银国际、电讯盈科第三章 DLP国内产品1 综述在国内，基于防止外部入侵窃密和内部有意、无意泄密的需求，国内IT厂商纷纷推出数据泄漏防护（DLP）解决方案，其中领导者厂商主要有亿赛通、明朝万达等。国内厂商以亿赛通为代表，技术上大部分均采用透明加解密的方式来保护客户的数据。而明朝万达以加解密技术为辅，以管控、监控审计为主。2 亿赛通2.1 解决方案亿赛通可以为用户提供全面的DLP解决方案。具体亿赛通的产品线如下：1、 文档管理系统系列(DLP)文档

23、透明加解密系统(SmartSEC)：采用透明加解密技术，将终端上的文件根据相应的策略进行透明加解密处理，这样可达到内部可畅通使用，外部非法用户无法访问的目的。外部合法用户可通过合法外发的方式使用。可外放密文或者明文。文档权限管理系统(DRM)：改变文档格式，给文档赋予权限。不用的用户对该文档具有不同的权限，文档权限可以传递。可授的权限包括：只读、修改、打印、再授权等。文档管理系统(CDG)：是SmartSec和CDG的混合体。DLP系统可方式有意、无意泄密。如通过EMAIL、U盘复制等方式时，不执行解密策略，则此时用户带走的文件为密文。以上产品支持：Windows 32位 64位、Linux(

24、只有透明加解密产品)。Linux版本主要用在代码研发类企业。2、 文件外发系统文件外发系统(ODM)：由外发管理员设置文档的访问权限(口令、UKEY、电脑绑定)，并且可以设定文档的操作行为及时间控制( 可设置读几次、多长时间等，当达到条件时，文件物理粉碎，不可逆)。3、 文档加解密网关文档加解密网关：主要对安全性要求高，对权限要求不明显的客户，需要防护服务器上的数据防泄密问题而提供的产品。透过文档加解密网关，根据对应的策略，用户从服务器下载下来的数据会是密文。只有终端用户安装了DLP终端，并且有对应的策略时，密文才能够打开。网关和DLP终端的策略通过DLP服务器配置。4、 安全准入网关安全准入

25、网关：只有合法的客户端软件才能访问合法的服务器。通过终端用户安装的DLP终端与准入网关交互，可判断那些客户端软件是合法的，可以访问到目的服务器。网关和DLP终端的策略可通过DLP服务器配置。准入网关可支持PC、智能终端(Android)客户端使用。5、 可信介质管理系统可信介质安全管理系统从介质访问控制、终端注册授权、介质注册授权、介质外出监控、介质存储数据安全保护、介质使用权限控制、介质使用安全审计以及结合终端端口控制、终端光盘刻录监控与审计等方面对存储介质进行数据泄漏防护管理，用技术手段实现存储介质的安全使用及存储的数据安全保护。通过对介质的访问控制与注册授权，实现非注册介质接入内网计算机

26、上不能使用，内网专用介质接入非内网计算机上不能使用。数据始终以密文形式存储在专用介质上，非授权用户不能解密，保证涉密介质丢失后不会造成泄密事故。详细的介质使用审计日志，确保介质可追踪。可信介质管理系统可接入亿赛通U盘和普通UPAN。6、 全磁盘加解密系统全磁盘加解密系统：旨在解决磁盘、电脑丢失时数据泄密问题。通过将笔记本全磁盘进行数据加密处理，包括操作系统盘。当笔记本不在打开状态时，数据将是安全的。如果在打开后，用户输入合法口令，解密后，启动了。此时对用户来讲，看见的数据将是明文。用户可通过其他U盘、EMAIL等方式主动泄密。此系统可方式无意泄密，无法防止有意泄密。7、 安全U盘安全U盘，分为

27、加密区和公共区，公共区无法格式化。可通过运行公共区软件输入正确口令，打开加密区进行操作。可方便携带重要数据。与市场其他安全U盘不同的是，它可以提供对本地磁盘上的文件进行静态加解密、文件粉碎的功能。加密后的文件，只能插入安全U盘才能解密。8、 文件保险箱文件保险箱：安装软件后，通过配置保险箱，可在磁盘上指定位置创建一个文件，该文件加密存储，无法通过其他方式打开。只有通过保险箱软件、UKEY，输入口令后，打开保险箱。保险箱打开后是虚拟磁盘形式，用户可网虚拟磁盘中进行文件操作。退出软件后，保险箱关闭。此软件旨在保护存储在电脑中的隐私数据被其他非法用户窃取。此软件当时的宣传噱头就是：程冠希事件。2.2

28、 技术原理亿赛通的产品都是基于加解密、进程管控技术实现的。有静态加解密、动态加解密、磁盘加解密方式。加解密原理如下图：透明加解密驱动根据通过在真正的文件系统及系统API接口之间嵌入加解密的操作，及可完成透明加解密动作。由于加解密的过程会修改Window或Linux内核结构，所以会具有不稳定性，有一些特定的文件格式可能不支持，需要进行定制开发。行业内都知道采用该种技术有一个潜在的问题，目前还无法进行处理。就是加解密的过程，可能会对一些特殊格式的文件或者一些大的文件，造成损坏，并且会无法修复。这也是很多大型企业不愿意采用国内DLP的原因之一。据说目前亿赛通正在闭关研发新的技术：沙盒。这种技术不会造

29、成用户数据损坏无法修复的情况。2.3 优劣势1、 国内知名DLP行业品牌2、 加解密技术相对比较稳定3、 大部分情况下，产品部署简单快捷。4、 早起积累了很多客户，卖出的终端数差不多30W个。大大小小的客户很多。5、 近几年开始攻大客户，对之前的DLP架构进行了改造。目前DLP新架构的性能较好。同时在线数能达到30W，当进行下发及更新策略时，并发数大约在800/s多；登录业务的并发数大约在2500左右。6、 会损坏文件。一般都能修复，但是也有不能修复的情况。2.4 客户群体1、 传统制造业、研发企业、政府机关、电信、石油、汽车、军队、证劵等2.5 竞争者1、 以文档加密方式竞争的厂商有：思智泰

30、克、大成铁卷、上海前沿、华途、时代亿信等等。这几家的技术原理都差不多，不过文档加密方面目前竞争力比较强的是亿赛通。2、 以不以加密为主导的为用户DLP的厂商有：明朝万达。3 明朝万达3.1 解决方案Chinasec（中安源）可信网络安全平台，是所有产品共同的工作平台，其基本结构分为服务器（Server）、客户端代理（Agent）和控制台（Management Console）三部分，全部为软件系统。Chinasec可信网络安全平台的系列产品都运行在这个共同的平台上，使用共同的服务器、共同的控制台和共同的核心客户端代理。它们的通信体系和通道也是共同的，基于这个平台，Chinasec的全系列产品能

31、够相互协调，并保证了占用最少的系统资源和网络资源。在平台的基础上开发出Chinasec（中安源）可信网络认证系统（TIS）、Chinasec（中安源）可信网络保密系统（VCN）、Chinasec（中安源）可信网络监控系统（MGT）和Chinasec（中安源）可信数据管理系统(DMS)，针对内部网络的用户身份和计算机管理、数据信息保密、数字知识产权保护以及网络状况监控维护等安全问题提出了整体一致的解决方案。对加解密技术的投入和技术实力没有亿赛通强。Chinasec（中安源）可信网络认证系统（TIS）：主要提供了单位对用户身份认证、计算机授权管理、服务器授权访问、计算机使用安全和个人安全磁盘等功能

32、。Chinasec可信网络监控系统：提供了对内网计算机终端进行集中的资源和用户行为授权管理，并提供详细的审计记录，减少单位内网的安全漏洞和风险，提高了管理效率。具有网络监控审计、客户端监控审计等功能Chinasec可信网络保密系统(VCN)主要用于构造内网保密网络，对网络传输和存储设备两个主要途径进行有效控制和管理。根据单位需要，VCN系统可以将内网划分为一个或者多个保密子网（VCN），同一个保密子网内部的计算机可以实现相互自由的数据交换（通过网络或者存储设备），不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换，除非获得管理员的授权。Chinasec可信数据管理系统(DMS)通过不同工作模式的切换，实现了数字知识产权保密和互联网资料获取使用兼容的效果。在DMS部署的时候，要求所有需要保密的数字知识产权都存放在集中的文件服务器或者应用服务器中。工作模式下不能上网，可以访问重要数据。普通模式下可以上网，不能访问重要数据。Chinasec可信平台网关：包括安全网关、转发网关、VPN网关。安全网关类似一个准入网关，合法认证的用户才能访问特定的应用。转发网关，当用户需要访问外部网络或者部署公共服务器区时，