从2013年12月29日起，2014年春运火车票在网络上全面开售，但是重金打造的12306网站还是没能经受住“考验”，在当日上午10点抢票大战最“白热化”的时候，“卡壳”一个小时。就在同日下午3点左右，网站出现大规模“串号”事故，用户只要登录自己的账号，就可以看到大量订票旅客的姓名、身份证号码、手机号码等信息。有关安全专家对此表示，这种极其敏感的个人隐私信息一旦被不法分子利用，其危害后果是非常严重的。在数据泄露事件层出不穷、信息安全一直不缺话题的2013年，12306网站出现的用户信息泄露事件，更将数据泄露防护推向风口浪尖。

个人信息安全保护刻不容缓
　　据了解，12306网站系统已发生过几次瘫痪，但“串号”问题却是首次出现。对此专家认为，造成串号可能是以下四个方面的原因之一：一是访问流量过大，导致其账号体系出现异常；二是12306网站新版的代码不稳定，存在BUG，系统有漏洞；三是12306网站的新版和旧版后台出现了兼容性问题；四是订票系统的PC版与移动版出现兼容性问题。其中绝大多数专家赞同：2013年12月初推出的12306网站新版与手机客户端“铁路12306”或许存在系统漏洞和兼容性问题，这才是发生“串号”的深层次原因。虽然铁路总公司很快回应表示漏洞已经修复，但由于串号会导致用户权限混乱，更重要的是已经导致大量用户信息泄露，造成的影响非常大。专家提醒，如果近期有人以12306客服人员为名，主动提供订票服务，并熟知你的姓名、身份证号码等，请不要汇款并要及时投诉。


　　
　　　“春运”到来12306网站广受关注
　　有关专家认为，当前国内公民信息保护意识缺乏是一个较为普遍的现象，因此造成12306网站泄露个人信息并没有引起个人或者团体的追责。在国内，个人信息被泄露、盗用和滥用，与许多人的个人信息保护意识不强有直接关系，他们经常会在有意无意间将个人信息泄露出去。譬如，有的人接受了陌生人的问卷调查，在对方的要求下，留下了姓名、电话、职业、工作单位等信息；还有的人在办理消费会员卡时，不假思索地填写真实详尽的个人信息，这些个人信息有可能因为商家的管理不善或者恶意泄露而被盗用。面对日益严峻的个人信息泄露问题，许多业内专家学者表示，加强个人信息保护势在必行。他们建议从立法、文化、技术等多个方面入手，捍卫个人信息权。目前，从中央到地方，对该问题高度重视，并进行了许多行之有效的积极探索。
　　据中国社会科学院法学研究所课题组的调研显示，面对日益严重的个人信息滥用状况，仅有4%左右的公众进行过投诉或者提起过诉讼。其中，仅有8.1%的人通过投诉或者诉讼获得了救济或者达到了目的，其他的或者因为处理个人信息的机构推诿、搪塞而不了了之，或者因为当事人预料到无法通过投诉、诉讼得不到救济而中途放弃。专家认为，互联网企业要强化自律，加强技术和管理，普通大众也要提高个人信息安全保护的意识和能力，防范网络行为可能带来的潜在风险。中国软件评测中心常务副主任黄子河说，公众可根据个人意愿来提供信息，发现个人信息泄漏，要积极向信息管理者提出投诉。
　　面对当前新的数据安全威胁，国内外主流做法是采用DLP（Data Leakage Prevention）数据泄露防护技术从源头上保护数据的安全，并与传统安全防御手段构成纵深防御体系。在一个DLP数据泄露防护平台上，适应内部办公、移动智能终端(iPhone、iPad以及Android等移动智能终端)、U盘、文档外发(邮件等各种途径)、BYOD设备、云计算以及离线等各种应用场景；各功能模块可按需部署、联动配合、集中管理，并可与域控系统无缝结合以及与ERP、OA、SVN、PLM等各种应用系统相兼容；DLP平台能够从源头上保护数据安全并适应用户不同的应用场景，为用户提供针对性数据泄露防护解决方案。
　　随着BYOD(Bring Your Own Device)逐渐被企业采纳，将会有更多的移动智能终端用于处理企业的敏感数据。从源头上保护数据安全并适应不同应用场景，或是数据泄露防护必然的发展趋势。

 
信息数据泄露的深层次原因
　　纵观2013年国内几大信息数据泄露事件，包括腾讯QQ群数据泄露和多家酒店开房记录数据的泄露，任何一件信息数据泄露事件都引发社会各界的广泛讨论。人们对这些数据泄露事件所产生的不良影响谈论不止，却很少在第一时间去关注数据泄露的过程。Web安全、数据安全、电子邮件安全、移动安全及数据泄露防护(DLP)解决方案提供商Websense，在认真分析近年来重大数据泄密事件的细节后，总结出十大安全隐患，它认为当前造成企业信息安全防护体系松动，并引发数据泄露的隐患可分为业务层面及技术层面。
　　　1.业务层面引发的数据泄露 
　　在业务层面，第一是企业管理者缺乏对安全角色的正确理解。人们对便利性的需求远胜于安全，为了加速盈利而轻视安全问题的例子不在少数。安全防护其实是一套自上而下的业务解决方案，各企业的CTO需要积极参与产品及服务的研发过程，并将安全整合到企业的发展战略中，促进安全智能转化为商业价值。第二企业管理者认为安全方案达标即万事大吉，在数据安全的监管压力下，所投入的预算往往仅仅能满足项目的需求，而不是以保护数据安全为出发点。而实际上，达到监管部门的要求也只是能让系统正常运作而已，黑客们可以通过网络跳板或窃取特权访问到企业的敏感数据。如常见的网络分段其实是不堪一击的，通过数字证书盗用，入侵者可以轻易地骗取更深层网段用户的信任，方便以周详的计划套取到更多的机密信息。


捍卫个人信息安全刻不容缓

　　第三，企业的信息安全体系更多是围绕基础设施而非数据安全打造。多数企业更习惯于在项目的基础设施和业务方案中投入精力与预算，如安装杀毒软件与防火墙等，但这没有真正考虑到当前高级安全威胁带来的挑战，这些手段虽然还能保持一定的作用，但会因相对无效性从未来的安全体系中逐渐淡出。第四，企业过于关注先进技术，诚然，关注先进的技术无可厚非，但单纯的技术往往治标不治本。要成功实现全面的IT安全，必须整合进成套的员工管理方法及业务安全操作流程，作为企业文化的一部分被长期贯彻。第五，企业未能充分调动员工的主观能动性。仅仅提升员工对信息安全威胁的识别能力是远远不够的，许多员工并不了解他们正在使用的数据的价值，并错误地认为数据安全是由专人负责的，并未充分认识到自己也是企业数据安全中的重要角色。企业需要对员工进行纵向及交叉的培训，让各部门对彼此在信息安全防护中的职责和战略有相互的了解，并结合周期性的信息安全攻击演习，以检验培训的成果。
　　　2.技术层面引发的数据泄露
　　在技术层面，第一是新旧技术之间的融合问题，企业所面临的最大挑战之一就是如何在现有的基础设施上融入新兴的技术，以提升信息安全体系的等级。为了与新兴技术相匹配，许多企业将基础设施作为发展的重点，却忽略了所要保护的数据本身，也没有意识到一些先进的技术很可能导致部署的不一致，白白耗费大量时间、人力与财力，反而留下了信息安全隐患。第二是移动互联与云计算将弱化基础设施的作用，在移动互联及云计算高度发展的今天，数据可能出现在任何位置，这也是企业必须将关注重心由基础设施转为数据的另一个重要原因，移动化及数据增值正在弱化基础设施在多层架构中的安防效果，加大基础设施的建设力度，并不能对云数据提供相匹配的安全保障。

　　
2012年中国数据泄露防护（DLP）产品应用行业分布
　　第三是传统安全解决方案没有完全跟上各类威胁的快速演变。即便拥有充足的预算，新技术的落实与安全解决方案的开发都很难与威胁的演变同步，两者之间的差距使得多数的解决方案在用户覆盖上有所不足。如何覆盖移动用户、顾及HTTPS与私有VPN的盲点、以行为分析摆脱对签名技术的过度依赖，才是真正需要投入预算的地方。第四是多数安全系统没有自主学习能力，在传统的安全技术下，攻击者可以通过改变代码的方式绕过安全监测，让防火墙和反病毒解决方案失效。如果系统不能实时升级以应对新的乱码攻击，就会留下许多极易被利用的漏洞。第五，缺乏整合是大多数企业的致命弱点。在很多情况下，网络附加的安全功能并不是越多越好，他们在功能上的重叠不会让系统变得更强大，相反会因为不能共享彼此的信息而浪费资源。企业需要一些新的途径部署统一的控制面板，在实现对安全项目高度统合管理的同时，实时收集相关数据，供安全团队作出明智的决策。
　　在12306网站出现大量信息串号引起舆论一片哗然之余，或许我们更应反思如何有效做好数据泄露防护工作才是重中之重。因为当前移动智能终端、邮箱已被大量地用于处理公司信息、数据，实际上泄露的数据已涉及企业的大量敏感信息，而不仅仅是个人信息。尽管报纸、杂志和电视新闻都会报道关于个人信息数据泄露的消息。但在国人眼里，数据泄露防护似乎是一个未受尊重的喜剧角色。在数据泄露防护方面投入的资金总是有点儿捉襟见肘(占IT总投入不足1%)。更为遗憾的是，大多数用户将有限的资金全部投入到防火墙、入侵检测、反病毒软件等传统安全产品上。殊不知我们当前所面临的数据安全威胁已今非昔比，防止内部人员有意或无意泄密，并适应日益开放的移动互联网以及不受控制的BYOD应是重中之重。
　　对如何有效进行数据泄露防护，业内人士认为：数据安全威胁总是体现在具体的应用场景之中，移动智能终端、邮箱是企业当前进行数据流转、使用的两种常见的典型应用场景，但并不是全部。不能“头痛医头、脚痛医脚”，而应寻求根本解决之道。如何从源头上保护数据安全，并适应用户不同的应用场景，是未来发展的必然趋势。

 
需求与技术将驱动DLP市场井喷
　　对于国内的数据泄露防护市场，业界也是一片看好。据CCID预测，2013年、2014年、2015年、2016年，国内DLP产品的销售额分别可达到17.84亿元、26.38亿元、35.24亿元、46.38亿元，增长率分别为53.9%、47.9%、33.6%、31.6%；而随着第三季度国家相关信息安全政策的发布，业界对国内数据泄露防护市场的预期进一步调高。相信在政策的引导下，势必会激发出众多领域的潜在需求，如政府、金融银行、电信运营商、电子商务、汽车销售、房产销售、物流公司等。据统计，国内信息安全产业近几年年平均增长率达到20%以上，数据泄露防护市场空间巨大，将迎来新一轮高速发展浪潮。 
　　从技术层面看，本土信息安全厂商能否顺应安全形势及时推出过硬的数据泄露防护产品以满足用户个性化需求，同样关系到数据泄露防护市场能否又好又快地发展。长期以来，依据数据特点以及应用场景提供针对性解决方案，始终是用户关注的焦点。但令人遗憾的是，大多数本土信息安全厂商在过去一段时间内热衷于围绕单一文档透明加密产品打价格战。在满足用户个性化需求上，鲜有创新之举。
　　对此，国内数据与内容安全知名厂商虹安表示：信息安全为技术密集型行业，技术与研发是优秀信息安全厂商的灵魂。当前数据泄露防护市场正发生积极变化，在DLP平台化以及移动安全等技术上已取得重大突破，可帮助用户从源头上保护数据安全并能适应不同应用场景，或将成为行业拐点。


虹安推行军工行业 DLP 全面解决方案

　　据了解，最新一代数据泄露防护产品可在一个平台上，灵活采用加密、隔离、网络敏感数据内容拦截、审计等多种安全手段，适应内部办公、移动智能终端(iPhone、iPad以及Android等移动智能终端)、U盘、文档外发(邮件等各种途径)、BYOD设备、云计算及离线等各种应用场景。最新一代数据泄露防护产品的各功能模块可按需部署、联动配合、集中管理并可与域控系统无缝结合，并与ERP、OA、SVN、PLM等各种应用系统相兼容，为用户提供针对性数据泄露防护解决方案，满足用户的个性化需求。
　　　小结：面对12306网站出现的大量“串号信息”，到目前为止没有个人或者机构对泄露的个人信息数据的危害进行权威的评估，而大多数订票旅客还不知道自己的信息已经泄露。面对这种局面，有关专家建议，数据信息泄露防护不仅要从个人防护入手，还必须要求像12306这种掌握着大量个人信息的互联网业务营运服务商真正落实数据泄露防护措施，部署相关的防护数据泄露的平台，杜绝类似“串号”现象的再次出现，当然，在国内DLP平台化以及移动安全等技术取得重大突破的环境下，业界专业人士以及用户感到了新的希望，笔者认为在技术创新以及旺盛的数据泄露防护需求双重驱动下，数据泄露防护产业将迎来新局面，企业数据泄露的势头也会得到有力遏制。