【IT168 资讯】机密数据的暴露对于企业而言，已成为最大的网络信息安全威胁之一。IDC在对于木马、病毒等外部恶意攻击相关的信息安全市场追踪已行之有年，然而近年来，IDC发现企业面对的最大威胁却是来自内部。

　　在电子商务 (Electronic Business) 从B2B的应用普及到B2C甚至C2C，加上业界以及政府部门大量将数据电子化的趋势之下，以利益窃取为出发点的电子犯罪行为及案件，在全球各地不断传出，因此，不管是法规遵循的考虑，或者是防止机密数据的外泄，以保护企业名誉与客户个人私密信息，信息保护与管控 (IPC, Information Protection and Control) 将逐渐成为政府与企业信息安全建置的优先项目之一。

　　IDC对IPC相关解决方案的定义为，保护政府与企业所拥有的客户与员工的私人数据，以及本身的电子资产，包括智能财产权、产品设计数据与契约单据等。IPC解决方案可细分为下列三种技术：

　　Data-in-motion IPC: 包含监控、加密、阻挡任何透过电子邮件、实时讯息、点对点传输、档案传输等流向外部的内容。

　　Data-at-rest IPC: 包含管控及保护储存在计算机/笔记型计算机、档案服务器、USB装置等的数据。

　　Data-in-use IPC: 包含保护及管控机密数据的正确性，诸如契约、合同及任何商业机密相关文件。

　　IDC在2007年一份针对美国市场378家中大型企业的资安调查报告指出，27%的受访企业已采用相关Data-in-use产品，46%已采用相关Data-at-rest产品，Data-in-motion相关产品的采用率，在受访企业中更高达55%；此外，IDC预测上述三大类别解决方案，在2006-2011年的将分别表现出33%、40%、15%的年复合成长率。

　　根据IDC在2006年以前的信息安全市场调查发现，防火墙、入侵侦测与预防以及防毒软件是企业解决资安威胁最大的依靠，但是从2007年开始，透过笔者在与信息安全厂商及企业的访谈中发现，很多企业对于资料遗失防护 (DLP, Data loss prevention) 与数据加密 (Encryption) 产生兴趣（IDC是以IPC解决方案的观点来包含DLP市场）。DLP的实践方式包罗万象，其中不乏牵涉到企业政策(organizational policy) 的配合；而相关的数据加密软件产品，大多针对桌上型计算机/ 笔记型计算机/ 手持装置等市场为主，另外电子邮件内容加密及数据库加密相关产品，在市场上为数亦不少。这一切都显示了企业的确显露出管控资料的决心。

　　DLP实践方式包罗万象，提供相关产品与服务的厂商繁多，像趋势、微软、思科(Cisco)都提出类似方案。不过，厂商不见得会有独立的DLP解决方案，可能会包含在例如web security, content security等方案中，另外又可分为software-base及 appliance-based，而思科则是结合防毒公司如趋势，将防泄密机制放在网络交换器上。

　　何以造成市场需求的改变？IDC研究发现，在近来一连串国内外企业资料外泄事件的警讯之下，保护智能财产权将是驱动企业推行并采用IPC相关解决方案的最大动力，其中包括产品专利、注册商标、品牌形象、商业机密、商业设计样板、著作权、算法、程序原始码、硬件架构、商业流程，以及其它以任何格式表现在外的企业资产。在数据电子化及因特网大量运用的情况下，任何疏忽管理的电子邮件、实时通讯，甚至是USB装置的不当使用，都可能造成企业机密外泄；此外，即使企业可以容许单一智慧财产权的泄漏，但是客户数据的遗失，所造成的客户信任丧失与企业名誉的破坏，却是不容忽视的。

　　再者，国际贸易的盛行，效率为成功关键，企业广泛使用可携式装置，诸如笔记型计算机、智能型手机等，并成为连结回企业内部应用程序如ERP、 CRM等内部数据的信道，用以达成商业的时效性与便利性；然而，这些工具也可能沦为有心人士提供窃取数据的管道。以行动装置相关的资安部署来说，有40%的受访企业已部署DLP相关产品与解决方案，其中大型企业的建置率高达49%，这个现象与国内金融产业与高科技产业的部署率较高的趋势不谋而合。

　　IDC认为，IPC相关解决方案将是未来五年当中，企业主要的IT投资之一，完善保护敏感资料将是IPC解决方案的基本要求。以加州 SB1386法案为例，当企业发现客户数据外泄时，必须公开受害状况，并主动通知客户，目前国内的个人数据保护法修正草案中，也纳入相关的精神与做法；在法规遵循对于企业的要求愈来愈严谨的趋势下，企业必须从被动式的反应，在合理采购与管理成本的前提之下，转变成为主动式的采用IPC概念，此外，合理的规范员工使用 IT的行为，杜绝任何有害及不符法规的的动作，将是企业对抗内部威胁的最大武器。