斯诺登“棱镜门”事件以来，国内信息安全领域发生了重要的变化，首先政府、企业和个人对信息安全高度重视，以前只有一些保密单位、重要政府部门和企事业单位比较重视信息安全，“棱镜门”之后广大网民对个人数据隐私的重视程度急剧提升；第二个变化是信息安全界从传统的网络边界防护迈向数据安全防护，信息安全所关注的三个基本目标即保密性、完整性和可用性归根结蒂是针对数据进行的，网络空间所有的价值所在都体现在虚拟的数据之上，如何保护好数据安全是最关键、最核心的问题。

随着知识经济时代的到来，企业的资产形态发生了很大的变迁，无形的知识资产在企业经济活动中发挥出越来越重要的价值和地位。据分析估算，2010年标准普尔500企业无形资产价值高达总资产价值的80%，而在15年前无形资产仅占总资产价值的32%（Ocean Tomo LLC）。企业的无形资产中包括了专利技术、版权、商业秘密、专有数据、业务过程和市场计划等内容，其中相当大的部分都是以数据文件的形态存储在信息系统中。在经济发展从传统形式向知识经济形态的转化过程中，企业的数据也从单纯的数据向着数据资产的转化。

企业数据资产日益重要吸引了犯罪分子追随着价值从物理世界迁移到网络空间，这就是为什么今天数据盗取事件此起彼伏、愈演愈烈的根源。企业数据对业务发展起到支撑甚至驱动作用，使得企业数据被盗取将对业务产生造成严重甚至致命的影响，这也是为什么许多组织的管理层对当前数据保护高度重视，不断地在寻找更有效的数据保护方法。此外，频发的数据外泄事件更是使得组织管理层对组织内数据保护状态的担忧、无法确信组织内信息安全管理是否能够有效发挥作用，迫切需要一种体系化的数据保护解决方案。

金融行业由于业务高度依赖信息系统，天然对信息安全的要求很高。经过二十多年的快速发展，目前国内的金融行业信息化水平处于领先水平，信息安全的重视程度也远远高于其他行业。金融企业的信息安全防护主要经历了以下几个历程：早期互联网不发达的时候，信息安全防护主要是查杀毒和恶意代码方面，确保单机的正常运行；后来随着网络的普及，开始在网络边界处进行防护，部署了防火墙、IDS、IPS等设备，可以保护网络设施的安全可靠性；随着攻击手段的日益复杂化和APT攻击的盛行，安全防护措施也日趋复杂。如何确保在新形势下的信息安全成为金融行业当前的一个重要话题。由于金融行业的特殊性决定了金融行业的信息安全主要是针对数据的各种防护。信息安全所关注的三个基本目标即保密性、完整性和可用性中都是针对数据的防护，回归到信息安全的本质核心问题。

面对数据保护和防止数据外泄这些诸多的挑战，明朝万达一直致力于研究更有效的方法来加以应对，经过多年来在金融行业的经验，总结了一些基本的原则和实践总结如下：

明确数据防外泄的需求

企业应根据自身的关键业务确定需要保护的敏感数据、控制的风险和要遵循的法规：

- 业务驱动：任何金融企业都有自己的关键业务和核心数据，分析这些业务的过程以及这些业务过程产生或依赖的数据资产，将为识别真正需要保护的数据对象提供了可靠的基础，进而为数据外泄的风险评估和保密与隐私保护的合规性提供了路线图。

- 风险评估：数据外泄具有多种可能的渠道，如物理的、逻辑的和人为的等，需要根据所保护的数据和这些数据的环境来识别、评估具体外泄渠道以及这些外泄的可能性。

- 合规性：合规性需求是强制性的，需要根据金融行业相关的法规来加以执行，合规性要求也包括组织内部的数据治理规定和管理要求，特别是涉及到与客户或第三方的数据保护要求。

数据资产的分级分类

一旦明确了数据防外泄的需求，就需要梳理企业数据资产，并且对数据资产进行分级分类。数据防外泄的一个关键问题就是数据资产的分类。企业的数据资产非常庞大，存储类型包括格式化数据、非格式化数据等各种类型，种类繁多。需要保护的数据资产主要依据起本身的内容而不是文件格式，这对防护技术提出更高的要求。因此必须对企业数据资产进行分级分类进行管理，配合数据防泄漏的技术手段才能起到良好作用。

协同的控制手段

数据资产的动态性和数据威胁的多样性很难采用简单的安全手段来控制数据的外泄。信息安全保障依赖于过程、人和技术，对数据保护也同样如此。其中过程方面需要关注的是数据的治理和数据生命周期的管理；人员方面需要关注的是数据责任、安全意识和能力；技术方面则需要关注如何将利用各种安全技术控制协同地进行数据外泄防护。

持续的改进过程

防止数据外泄的安全策略建立之后可以对敏感数据外传进行良好的监控和阻断，随着数据防泄漏系统的运行，有可能会影响到业务流程。对敏感信息的准确识别目前无论从技术还是从管理角度，很难做到精确定位，大量的错报甚至会影响到企业员工的正常办公。即便采用监控而非阻断的模式，也会给IT运维人员带来极大的不表，因此需要持续的完善和改进过程，针对敏感数据采用智能学习的方式不断更新策略见效误报率。