2002年，美國(guó)國(guó)會(huì)通過(guò)了針對(duì)上市公司財(cái)務(wù)和公司治理的《塞班斯法案》（Sarbanes-Oxley Act，簡(jiǎn)稱(chēng)SOX法案或塞班斯法案）。該法案被普遍認(rèn)為是美國(guó)自1933年證券法和1934年證券交易法之后影響上市公司的最重要的金融法案，它對(duì)在美國(guó)上市的公司（無(wú)論是本土的和外來(lái)的公司）產(chǎn)生了巨大的影響，影響范圍涉及到公司治理、內(nèi)部控制、財(cái)務(wù)報(bào)告、管理流程、信息系統(tǒng)、法律責(zé)任等各個(gè)方面。SOX法案規(guī)定，上市公司的內(nèi)控管理必須切實(shí)做到保護(hù)財(cái)務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶(hù)數(shù)據(jù)免遭盜竊與破壞，以提高公司披露的準(zhǔn)確性和可靠性。受Sarbanes-Oxley法案的約束，所有在美國(guó)上市的中國(guó)公司也因此加強(qiáng)了對(duì)公司的治理，對(duì)其流程進(jìn)行重組或構(gòu)建，并運(yùn)用新的技術(shù)手段和工具構(gòu)建新的系統(tǒng)，實(shí)現(xiàn)管理流程的透明度，以確保企業(yè)在包括財(cái)務(wù)管理的戰(zhàn)略管理過(guò)程中，增強(qiáng)內(nèi)部控制并促進(jìn)溝通。其中很重要的一個(gè)部分是強(qiáng)制、嚴(yán)密的審計(jì)管理和對(duì)文檔的規(guī)范性管理。

中國(guó)移動(dòng)集團(tuán)是在美國(guó)上市的公司之一，也同樣必須遵循Sarbanes-Oxley法關(guān)于數(shù)據(jù)和文檔安全管理的規(guī)定。為此，中國(guó)移動(dòng)集團(tuán)從2007年開(kāi)始對(duì)全國(guó)31個(gè)省、直轄市、自治區(qū)和集團(tuán)總部開(kāi)始實(shí)施“文檔安全管理系統(tǒng)”（據(jù)悉，該系統(tǒng)由北京億賽通公司提供）。該系統(tǒng)采用了目前最先進(jìn)的文檔加密體系，對(duì)集團(tuán)內(nèi)部文檔實(shí)現(xiàn)可控、授權(quán)。中國(guó)移動(dòng)在全國(guó)有近10萬(wàn)終端，通過(guò)文檔加密和權(quán)限管理的文件管理系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)和文檔的安全。無(wú)獨(dú)有偶，深圳過(guò)人通信也是在美國(guó)納斯達(dá)克上市的公司，同樣受薩班斯法案的約束。為此，國(guó)人通信于2008年實(shí)施了北京億賽通的數(shù)據(jù)泄漏防護(hù)（DLP）體系，以遵從薩班斯法案的要求。

 在美國(guó)塞班斯法案通過(guò)6年之后，中國(guó)也頒布了中國(guó)版的“薩班斯法案”。2008年6月28日，國(guó)家財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，并要求自2009年7月1日起先在上市公司范圍內(nèi)施行。同時(shí)鼓勵(lì)非上市的其他大中型企業(yè)執(zhí)行。該項(xiàng)法律被知名專(zhuān)家稱(chēng)之為中國(guó)版的“塞班斯法案”。 
 

在中國(guó)版塞班斯法案中，與企業(yè)信息化相關(guān)的條款是第四十一條。該條款中規(guī)定：“ 企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行?！睆脑摋l款可知，作為上市公司必須遵循的法律，《企業(yè)內(nèi)部控制基本規(guī)范》要求企業(yè)必須建立一個(gè)有效的安全性信息管理平臺(tái)，尤其體現(xiàn)在數(shù)據(jù)的安全性、保密性、完整性等方面。這項(xiàng)法律的頒布，將對(duì)中國(guó)數(shù)據(jù)安全市場(chǎng)產(chǎn)生巨大的影響。

中國(guó)上市公司到目前有近2000家，《企業(yè)內(nèi)部控制基本規(guī)范》將首先針對(duì)這些企業(yè)的內(nèi)部控制產(chǎn)生效力。2000家上市公司的數(shù)據(jù)安全市場(chǎng)是巨大的。以每家公司采購(gòu)費(fèi)用150萬(wàn)元計(jì)算，這是一個(gè)30億的大市場(chǎng)。企業(yè)數(shù)據(jù)安全管理首先要考慮的解決方案是”數(shù)據(jù)泄露防護(hù)（DLP）解決方案”。目前國(guó)外主流的DLP廠商有Reconnex（被McAfee收購(gòu)）、Verdasys、Vericept、 Websense、RSA（被EMC收購(gòu)）和 Symantec等，中國(guó)國(guó)內(nèi)DLP廠商有北京億賽通等。

各家DLP廠商已經(jīng)紛紛把目光看準(zhǔn)了這個(gè)領(lǐng)域，意圖在這個(gè)市場(chǎng)上各爭(zhēng)高下。但是從各家DLP廠商的解決方案來(lái)看，這個(gè)市場(chǎng)對(duì)國(guó)內(nèi)DLP廠商有利。其主要原因有兩點(diǎn)：

1、據(jù)所部署的位置的不同，數(shù)據(jù)泄漏防護(hù)方案可以分成基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防護(hù)方案(NDLP)和基于主機(jī)的數(shù)據(jù)泄漏防御方案(HDLP)?；诰W(wǎng)絡(luò)的數(shù)據(jù)泄漏防護(hù)方案NDLP通常部署內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的出口處，所針對(duì)的對(duì)象是進(jìn)出單位內(nèi)部網(wǎng)絡(luò)的所有數(shù)據(jù)?；谥鳈C(jī)的數(shù)據(jù)泄漏防護(hù)方案HDLP則部署在存放敏感數(shù)據(jù)的主機(jī)上，當(dāng)其發(fā)現(xiàn)被保護(hù)主機(jī)上的數(shù)據(jù)被違規(guī)轉(zhuǎn)移出主機(jī)時(shí)，HDLP會(huì)采取攔截或警報(bào)等行為。國(guó)外DLP廠商大部分?jǐn)?shù)據(jù)泄漏防護(hù)方案是基于網(wǎng)絡(luò)類(lèi)型，因?yàn)閲?guó)外用戶(hù)的網(wǎng)絡(luò)環(huán)境和信息化水平與國(guó)內(nèi)大不相同，基于網(wǎng)絡(luò)的NDLP比較符合國(guó)外用戶(hù)的需求。從中國(guó)國(guó)內(nèi)的信息化現(xiàn)狀來(lái)看，國(guó)內(nèi)上市公司比較適合采用基于主機(jī)的HDLP解決方案。

2、DLP通常集成的功能有：數(shù)據(jù)流失保護(hù)、透明強(qiáng)制加解密、文件權(quán)限控制、終端加密、文檔外發(fā)控制、自動(dòng)備份、移動(dòng)設(shè)備控制、日志審計(jì)等。在DLP系統(tǒng)中，透明強(qiáng)制加解密、文件權(quán)限控制、終端加密、文檔外發(fā)控制等功能屬于加密的范圍。而在中國(guó)國(guó)內(nèi)，生產(chǎn)和銷(xiāo)售關(guān)于密碼和密碼產(chǎn)品的信息系統(tǒng)，必須要具備國(guó)家法定的資質(zhì)和認(rèn)證，主要有：“商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位”和“商用密碼產(chǎn)品銷(xiāo)售許可單位”資質(zhì) （國(guó)家密碼管理委員會(huì)頒發(fā)）、安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證（公安部頒發(fā)）、涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)（國(guó)家保密局頒發(fā)）、軍用信息安全產(chǎn)品認(rèn)證證書(shū)（中國(guó)人民解放軍信息安全測(cè)評(píng)認(rèn)證中心頒發(fā)）。沒(méi)有這些資質(zhì)認(rèn)證，就屬于非法生產(chǎn)和銷(xiāo)售，將遭受?chē)?guó)家法律的制裁。由于眾所周知的原因，這些資質(zhì)認(rèn)證只頒發(fā)給國(guó)內(nèi)廠商，那國(guó)外的帶有加密功能的DLP產(chǎn)品不能在國(guó)內(nèi)銷(xiāo)售。否則，一旦遭到查處，那就是滅頂之災(zāi)。如果國(guó)外產(chǎn)品去除加密部分功能模塊，那又完全失去了數(shù)據(jù)保護(hù)的能力，無(wú)法滿足企業(yè)用戶(hù)的需求。