2002年,美国国会通过了针对上市公司财务和公司治理的《塞班斯法案》(Sarbanes-Oxley Act,简称SOX法案或塞班斯法案)。该法案被普遍认为是美国自1933年证券法和1934年证券交易法之后影响上市公司的最重要的金融法案,它对在美国上市的公司(无论是本土的和外来的公司)产生了巨大的影响,影响范围涉及到公司治理、内部控制、财务报告、管理流程、信息系统、法律责任等各个方面。SOX法案规定,上市公司的内控管理必须切实做到保护财务数据、维护系统安全、保护客户数据免遭盗窃与破坏,以提高公司披露的准确性和可靠性。受Sarbanes-Oxley法案的约束,所有在美国上市的中国公司也因此加强了对公司的治理,对其流程进行重组或构建,并运用新的技术手段和工具构建新的系统,实现管理流程的透明度,以确保企业在包括财务管理的战略管理过程中,增强内部控制并促进沟通。其中很重要的一个部分是强制、严密的审计管理和对文档的规范性管理。
中国移动集团是在美国上市的公司之一,也同样必须遵循Sarbanes-Oxley法关于数据和文档安全管理的规定。为此,中国移动集团从2007年开始对全国31个省、直辖市、自治区和集团总部开始实施“文档安全管理系统”(据悉,该系统由北京亿赛通公司提供)。该系统采用了目前最先进的文档加密体系,对集团内部文档实现可控、授权。中国移动在全国有近10万终端,通过文档加密和权限管理的文件管理系统,实现数据和文档的安全。无独有偶,深圳过人通信也是在美国纳斯达克上市的公司,同样受萨班斯法案的约束。为此,国人通信于2008年实施了北京亿赛通的数据泄漏防护(DLP)体系,以遵从萨班斯法案的要求。
在美国塞班斯法案通过6年之后,中国也颁布了中国版的“萨班斯法案”。2008年6月28日,国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,并要求自2009年7月1日起先在上市公司范围内施行。同时鼓励非上市的其他大中型企业执行。该项法律被知名专家称之为中国版的“塞班斯法案”。
在中国版塞班斯法案中,与企业信息化相关的条款是第四十一条。该条款中规定:“ 企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”从该条款可知,作为上市公司必须遵循的法律,《企业内部控制基本规范》要求企业必须建立一个有效的安全性信息管理平台,尤其体现在数据的安全性、保密性、完整性等方面。这项法律的颁布,将对中国数据安全市场产生巨大的影响。
中国上市公司到目前有近2000家,《企业内部控制基本规范》将首先针对这些企业的内部控制产生效力。2000家上市公司的数据安全市场是巨大的。以每家公司采购费用150万元计算,这是一个30亿的大市场。企业数据安全管理首先要考虑的解决方案是”数据泄露防护(DLP)解决方案”。目前国外主流的DLP厂商有Reconnex(被McAfee收购)、Verdasys、Vericept、 Websense、RSA(被EMC收购)和 Symantec等,中国国内DLP厂商有北京亿赛通等。
各家DLP厂商已经纷纷把目光看准了这个领域,意图在这个市场上各争高下。但是从各家DLP厂商的解决方案来看,这个市场对国内DLP厂商有利。其主要原因有两点:
1、据所部署的位置的不同,数据泄漏防护方案可以分成基于网络的数据泄漏防护方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。基于网络的数据泄漏防护方案NDLP通常部署内部网络和外部网络连接的出口处,所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防护方案HDLP则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。国外DLP厂商大部分数据泄漏防护方案是基于网络类型,因为国外用户的网络环境和信息化水平与国内大不相同,基于网络的NDLP比较符合国外用户的需求。从中国国内的信息化现状来看,国内上市公司比较适合采用基于主机的HDLP解决方案。
2、DLP通常集成的功能有:数据流失保护、透明强制加解密、文件权限控制、终端加密、文档外发控制、自动备份、移动设备控制、日志审计等。在DLP系统中,透明强制加解密、文件权限控制、终端加密、文档外发控制等功能属于加密的范围。而在中国国内,生产和销售关于密码和密码产品的信息系统,必须要具备国家法定的资质和认证,主要有:“商用密码产品生产定点单位”和“商用密码产品销售许可单位”资质 (国家密码管理委员会颁发)、安全专用产品销售许可证(公安部颁发)、涉密信息系统产品检测证书(国家保密局颁发)、军用信息安全产品认证证书(中国人民解放军信息安全测评认证中心颁发)。没有这些资质认证,就属于非法生产和销售,将遭受国家法律的制裁。由于众所周知的原因,这些资质认证只颁发给国内厂商,那国外的带有加密功能的DLP产品不能在国内销售。否则,一旦遭到查处,那就是灭顶之灾。如果国外产品去除加密部分功能模块,那又完全失去了数据保护的能力,无法满足企业用户的需求。
