中国版“塞班斯法案”对数据安全市场的影响

日期: 2009-01-06 作者:韦一 来源:TechTarget中国

  2002年,美国国会通过了针对上市公司财务和公司治理的《塞班斯法案》(Sarbanes-Oxley Act,简称SOX法案或塞班斯法案)。该法案被普遍认为是美国自1933年证券法和1934年证券交易法之后影响上市公司的最重要的金融法案,它对在美国上市的公司(无论是本土的和外来的公司)产生了巨大的影响,影响范围涉及到公司治理、内部控制、财务报告、管理流程、信息系统、法律责任等各个方面。SOX法案规定,上市公司的内控管理必须切实做到保护财务数据、维护系统安全、保护客户数据免遭盗窃与破坏,以提高公司披露的准确性和可靠性。受Sarbanes-Oxley法案的约束,所有在美国上市的中国公司也因此加强了对公司的治理,对其流程进行重组或构建,并运用新的技术手段和工具构建新的系统,实现管理流程的透明度,以确保企业在包括财务管理的战略管理过程中,增强内部控制并促进沟通。其中很重要的一个部分是强制、严密的审计管理和对文档的规范性管理。

  中国移动集团是在美国上市的公司之一,也同样必须遵循Sarbanes-Oxley法关于数据和文档安全管理的规定。为此,中国移动集团从2007年开始对全国31个省、直辖市、自治区和集团总部开始实施“文档安全管理系统”(据悉,该系统由北京亿赛通公司提供)。该系统采用了目前最先进的文档加密体系,对集团内部文档实现可控、授权。中国移动在全国有近10万终端,通过文档加密和权限管理的文件管理系统,实现数据和文档的安全。无独有偶,深圳过人通信也是在美国纳斯达克上市的公司,同样受萨班斯法案的约束。为此,国人通信于2008年实施了北京亿赛通的数据泄漏防护(DLP)体系,以遵从萨班斯法案的要求。

  在美国塞班斯法案通过6年之后,中国也颁布了中国版的“萨班斯法案”。2008年6月28日,国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,并要求自2009年7月1日起先在上市公司范围内施行。同时鼓励非上市的其他大中型企业执行。该项法律被知名专家称之为中国版的“塞班斯法案”。

  在中国版塞班斯法案中,与企业信息化相关的条款是第四十一条。该条款中规定:“ 企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”从该条款可知,作为上市公司必须遵循的法律,《企业内部控制基本规范》要求企业必须建立一个有效的安全性信息管理平台,尤其体现在数据的安全性、保密性、完整性等方面。这项法律的颁布,将对中国数据安全市场产生巨大的影响。

  中国上市公司到目前有近2000家,《企业内部控制基本规范》将首先针对这些企业的内部控制产生效力。2000家上市公司的数据安全市场是巨大的。以每家公司采购费用150万元计算,这是一个30亿的大市场。企业数据安全管理首先要考虑的解决方案是”数据泄露防护(DLP)解决方案”。目前国外主流的DLP厂商有Reconnex(被McAfee收购)、Verdasys、Vericept、 Websense、RSA(被EMC收购)和 Symantec等,中国国内DLP厂商有北京亿赛通等。

  各家DLP厂商已经纷纷把目光看准了这个领域,意图在这个市场上各争高下。但是从各家DLP厂商的解决方案来看,这个市场对国内DLP厂商有利。其主要原因有两点:

  1. 据所部署的位置的不同,数据泄漏防护方案可以分成基于网络的数据泄漏防护方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。基于网络的数据泄漏防护方案NDLP通常部署内部网络和外部网络连接的出口处,所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防护方案HDLP则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。国外DLP厂商大部分数据泄漏防护方案是基于网络类型,因为国外用户的网络环境和信息化水平与国内大不相同,基于网络的NDLP比较符合国外用户的需求。从中国国内的信息化现状来看,国内上市公司比较适合采用基于主机的HDLP解决方案。
  2. DLP通常集成的功能有:数据流失保护、透明强制加解密、文件权限控制、终端加密、文档外发控制、自动备份、移动设备控制、日志审计等。在DLP系统中,透明强制加解密、文件权限控制、终端加密、文档外发控制等功能属于加密的范围。而在中国国内,生产和销售关于密码和密码产品的信息系统,必须要具备国家法定的资质和认证,主要有:“商用密码产品生产定点单位”和“商用密码产品销售许可单位”资质 (国家密码管理委员会颁发)、安全专用产品销售许可证(公安部颁发)、涉密信息系统产品检测证书(国家保密局颁发)、军用信息安全产品认证证书(中国人民解放军信息安全测评认证中心颁发)。没有这些资质认证,就属于非法生产和销售,将遭受国家法律的制裁。由于众所周知的原因,这些资质认证只颁发给国内厂商,那国外的带有加密功能的DLP产品不能在国内销售。否则,一旦遭到查处,那就是灭顶之灾。如果国外产品去除加密部分功能模块,那又完全失去了数据保护的能力,无法满足企业用户的需求。

  从上述两点原因来看,中国版的“塞班斯法案”的颁布带来的新市场,国外DLP产品不会有太大的机会。对中国DLP厂商来说,是一个绝佳的时机。从产品上看 ,中国DLP厂商已经完全具备了国外产品的功能和性能,甚至在某些方面超过了国外DLP产品,能完全满足用户的需求,所以,今后几年中国国内DLP厂商如北京亿赛,将会有飞速的发展。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

韦一
韦一

相关推荐

  • McAfee全面数据丢失防护产品概述

    去年9月,英特尔以9亿美元将其安全业务主要股权出售给私募股权公司TPG,该交易预计将于今年4月完成,之后Intel Security将更名为McAfee。与很多主流信息安全供应商一样,Intel Security提供数据丢失防护软件,帮助企业预防潜在的信息泄露……

  • 保护IoT设备上的数据:有哪些可用的加密工具?

    随着物联设备的增多,保护那些经由物联设备进行传输的数据变得越发困难。那么,有哪些可用的加密工具呢?

  • 纯云架构DLP防护 打破模糊的数据安全边界

    天空卫士近日发布了基于UCS技术的万兆数据防泄露(DLP)产品和纯云架构的数据防泄露(DLP)解决方案,掀起了一股关注和认可国际顶级信息安全技术国产化的浪潮。

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……