针对当前企业数据安全问题，企业大多部署防火墙、防病毒软件来防止外部黑客、病毒木马的攻击；使用行为管控网关或代理服务器限制内部用户访问外网的权限。但是对于内部员工主动将重要数据带离企业导致泄密，却往往心有余而力不足。在此背景下DLP数据防泄密系统应运而生，解决内部员工主动泄密的问题。DLP数据防泄密系统，采用的是文档加密的技术，管理数据的源头，未经授权解密在外部环境均无法正常打开。从根本上解决了数据丢失或泄密造成的安全风险。

   企业员工的数据往往不局限于个人使用，必定存在彼此间的文档流转和协同。例如OA、ERP、CRM、PDM/PLM等信息系统在很大程度上帮助企业解决员工协同办公的问题，大大了提升了工作效率。数据的存储方式由分散式存储转变为集中式存储。在高效使用、管理数据的同时却又衍生出数据集中存储安全性问题。此类信息系统采取权限访问控制来限制用户的操作行为。但是用户非法访问可将集中存储的数据全部导出，造成的后果将会是致命的。

大多数的数据安全产品只能解决终端电脑的文档安全问题，对于信息系统的安全保护存在着先天的不足，无法从根源上解决信息系统数据安全的问题。在此背景下加密网关很好得解决了信息系统数据的安全性问题。通过对访问信息系统的身份进行认证，合法用户可正常访问，非法用户拒绝访问，并且对信息系统中导出的数据进行加密处理。从而实现对信息系统的强保护。

   加密网关特指对信息系统的数据进行前置安全管控的硬件设备。常见的网关设备的用途主要用于准入控制、缓存代理等。而加密网关主要对登陆信息系统的用户预先进行身份认证，并对上传的加密数据进行解密转码，对用户下载的数据进行加密处理。其功能特点主要包含如下三个方面：

1、对指定应用系统的内容进行安全加密保护

2、对用户即有应用系统无缝集成，无需二次开发

3、对应用系统网络链路及服务器中的数据内容进行加密保护

加密网关作为网关设备架设于信息系统服务器和终端之间，在处理数据过程中对于用户和应用系统完成透明，不改变用户的任何操作习惯和网络的结构，不对信息系统造成任何影响。

   DLP数据防泄密+加密网关的数据安全解决方案很好得将企业分散存储的数据和集中存放的数据进行了加密保护。

一、加密硬件网关系统相对稳定。如硬件本身出现故障，可支持双机热备，自动切换到另一台加密网关。对于大型企业非常适用，对于小型或预算不够的企业需要考虑成本的问题。但是一旦部署加密网关，信息系统的安全管理和使用就完全依托于网关设备，如果设备出现故障不仅仅关系到信息系统数据的安全，而且关系到信息系统是否可正常使用，这其中的风险需要充分考虑。

二、加密网关最重要的两个特性身份认证和上传下载加解密。其中身份认证通过网关对所有访问信息系统的用户身份进行过滤，认证通过的允许访问，认证不通过的拒绝访问。在此基础上对上传到信息系统的数据自动解密，从信息系统下载的数据自动加密。加解密动作都经过网关处理。由于身份认证和加解密操作负载均由网关来承载，所以加密网关设备支持的用户并发量是受一定限制的，如果大量用户集中访问信息系统，单台设备压力就会增加，可能会造成信息系统应用故障。那就需要多台加密网关共同处理。但是网关集群只能承载数据加解密的负载，是无法承载信息系统的应用会话同步等任务。比如网关设备出现故障，其它网关可以接管，但是可能出现正在登录的信息系统突然断开，必须重新登录方可使用，这样会造成在故障前工作内容全部报废。

三、综合第二点所述，部分加密网关产品考虑到多用户同时登陆信息系统时，大量进行加解密处理必然会影响信息系统的使用效率和带来一些不确定因素。所以只利用网关进行身份认证，加解密动作通过软件在终端PC执行，这就不属于真正意义上的加密网关，只能说是身份认证网关。

四、我们知道大多数信息系统，如OA、PDM系统、ERP系统等大多都是基于HTTP、FTP协议进行文件传输的，一般采用的是纯文本流进行传输。部分系统（如windchill、Teamcenter）文件传输均有自己的传输协议，采用二进制流进行传输，加密网关是介于信息系统服务器和客户端之间的第三方设备，根本就无法识别传输的二进制流的数据包，自然也就无法在网关设备上进行加解密操作。那就再次印证了一点，加密网关根本就不对信息系统的数据进行加密处理，作用仅仅是一个身份的验证。

五、如果加密网关只是一个身份认证的设备，那可以替代的工具就非常多，路由就能做身份的验证，根本无需单独一台网关设备去执行。这样的网关功能就显得比较单一，设备利用率就降低。

六、加密网关架设于应用服务器前，所有访问经过网关认证。如果不经过网关，直连到应用服务器，自然而然所有的数据可轻而易举得带离。还有一种可能，通过搭桥的方式，非授信用户通过代理连接到授信的计算机电脑，最终访问应用服务器将数据泄密。

七、加密网关部署的时候为了不改变企业现有的网络架构，可能会采用旁路模式，但是旁路模式由于其监控不是实时性的，所以是存在漏洞的。

   DLP+加密网关的数据安全解决方案有利有弊，但总体来说，弊大于利，且风险很高。我们要正确的认识加密网关的特性。