隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等實(shí)施，進(jìn)一步推動(dòng)了數(shù)據(jù)安全體系的建設(shè)和發(fā)展。解決數(shù)據(jù)安全問(wèn)題，特別是數(shù)據(jù)泄露問(wèn)題，備受行業(yè)關(guān)注。

作為一個(gè)比較成熟的技術(shù)，數(shù)據(jù)防泄露（Data Loss Prevention，簡(jiǎn)稱 DLP）是國(guó)內(nèi)外廣泛應(yīng)用的數(shù)據(jù)安全防護(hù)手段，衍生技術(shù)也多種多樣，但國(guó)內(nèi)市場(chǎng)對(duì)數(shù)據(jù)防泄露還沒(méi)有建立統(tǒng)一的標(biāo)準(zhǔn)。

繼2020年中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)對(duì)數(shù)據(jù)防泄露產(chǎn)品進(jìn)行測(cè)評(píng)之后，中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)于近日聯(lián)合天空衛(wèi)士發(fā)布《數(shù)據(jù)防泄露（DLP）技術(shù)指南》，從DLP與數(shù)字安全治理的關(guān)系，DLP的定義、應(yīng)用、核心技術(shù)、擴(kuò)展等方面進(jìn)行深入探討，旨在促進(jìn)企業(yè)的數(shù)據(jù)合理、合法、合規(guī)使用和流通，發(fā)揮數(shù)據(jù)價(jià)值和創(chuàng)新活力。

數(shù)據(jù)泄露防護(hù)需求迫切

數(shù)據(jù)是國(guó)家發(fā)展、企業(yè)生存的命脈?！半S著云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的發(fā)展，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)發(fā)展過(guò)程中最具價(jià)值的生產(chǎn)要素，而數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)的基石，也是數(shù)字經(jīng)濟(jì)發(fā)展的底線保障?！睌?shù)世咨詢創(chuàng)始人李少鵬說(shuō)。

中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)主任葉紅認(rèn)為，隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展，各類數(shù)據(jù)海量聚集，數(shù)據(jù)安全已經(jīng)成為關(guān)乎國(guó)家安全與社會(huì)經(jīng)濟(jì)發(fā)展的重大問(wèn)題。近年來(lái)，我國(guó)電信、金融等行業(yè)的業(yè)務(wù)數(shù)據(jù)規(guī)模在不斷擴(kuò)大，數(shù)據(jù)泄露風(fēng)險(xiǎn)也日益提高，數(shù)據(jù)泄露防護(hù)市場(chǎng)需求迫切。

對(duì)此，中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟認(rèn)為，數(shù)據(jù)安全要從四方面理解：一是環(huán)境安全，也就是數(shù)據(jù)安全與所處網(wǎng)絡(luò)系統(tǒng)密切相關(guān)，網(wǎng)絡(luò)系統(tǒng)如果被侵入則難以保障數(shù)據(jù)安全。二是數(shù)據(jù)資產(chǎn)自身安全，主要體現(xiàn)在是不是被攻擊、被竊取、被篡改。三是合規(guī)問(wèn)題，即數(shù)據(jù)安全要符合法律法規(guī)規(guī)定。四是生產(chǎn)要素安全，涉及到數(shù)據(jù)確權(quán)、數(shù)據(jù)定價(jià)、數(shù)據(jù)開(kāi)發(fā)利用主體、數(shù)據(jù)開(kāi)發(fā)利用過(guò)程中監(jiān)管等一系列問(wèn)題。

“現(xiàn)在我們面臨的是數(shù)據(jù)自身安全，也就是保密性，簡(jiǎn)言之就是防泄露問(wèn)題。這是最起碼、最基本的問(wèn)題?！弊髸詶澱f(shuō)。

數(shù)據(jù)安全落地離不開(kāi)標(biāo)準(zhǔn)規(guī)范

2022年是貫徹落實(shí)《數(shù)據(jù)安全法》的關(guān)鍵性一年。數(shù)據(jù)分類分級(jí)是《數(shù)據(jù)安全法》提出來(lái)的一項(xiàng)重要制度?！皩?duì)數(shù)據(jù)分類分級(jí)的前提是要先識(shí)別敏感數(shù)據(jù)?！弊髸詶澖榻B，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2019年7月批準(zhǔn)了“重要數(shù)據(jù)識(shí)別指南”研究項(xiàng)目，并于2020年7月立項(xiàng)制定國(guó)家標(biāo)準(zhǔn)《重要數(shù)據(jù)識(shí)別指南》。兩年來(lái)，標(biāo)準(zhǔn)起草組共收到18家單位的92條意見(jiàn)，均已處理完畢。

“標(biāo)準(zhǔn)對(duì)重要數(shù)據(jù)的重要性描述原則，在實(shí)際工作中能否發(fā)揮指導(dǎo)意義，關(guān)鍵一步是地方、行業(yè)要基于國(guó)家標(biāo)準(zhǔn)制定地方或行業(yè)標(biāo)準(zhǔn)、規(guī)范。下一步要繼續(xù)完善《重要數(shù)據(jù)識(shí)別規(guī)則》，抓緊報(bào)批發(fā)布，其次是研究起草《重要數(shù)據(jù)處理安全要求》。”左曉棟還提到，對(duì)于數(shù)據(jù)分類分級(jí)，特別是在對(duì)重要數(shù)據(jù)標(biāo)識(shí)的問(wèn)題上，還應(yīng)該更多強(qiáng)調(diào)國(guó)家安全和公共利益屬性。

在標(biāo)準(zhǔn)化體系建立方面，中國(guó)信通院云與大數(shù)據(jù)研究所副主任姜春宇提到，當(dāng)前我國(guó)安全評(píng)估工作的重點(diǎn)在于信息安全，而面向數(shù)據(jù)安全的市場(chǎng)化評(píng)測(cè)評(píng)估尚處于起步階段。2022年中國(guó)信通院發(fā)起數(shù)據(jù)安全推進(jìn)計(jì)劃，目前擁有168家成員單位，面向數(shù)據(jù)技術(shù)/服務(wù)提供方提供數(shù)據(jù)安全服務(wù)能力評(píng)估和數(shù)據(jù)安全產(chǎn)品評(píng)測(cè)。通過(guò)標(biāo)準(zhǔn)體系的建立，推動(dòng)法律法規(guī)及監(jiān)管要求的貫徹落實(shí)。

數(shù)據(jù)防泄露是數(shù)據(jù)安全治理前提

根據(jù)《數(shù)據(jù)安全法》規(guī)定，企業(yè)要建立全流程數(shù)據(jù)安全管理制度。左曉棟認(rèn)為，這也就意味著，企業(yè)保護(hù)數(shù)據(jù)安全時(shí)，不能僅僅關(guān)注某一個(gè)環(huán)節(jié)，從數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用、提供、公開(kāi)、銷毀等，都要做到充分的安全保護(hù)，而且每個(gè)階段關(guān)注的點(diǎn)都不一樣。

“因此，下一步企業(yè)也需要高度關(guān)注這個(gè)問(wèn)題，在管理制度、技術(shù)措施等方面都要做好準(zhǔn)備，要做到全流程保護(hù)。此外，隨著數(shù)據(jù)上云新模式，在云環(huán)境下數(shù)據(jù)訪問(wèn)者眾多，應(yīng)用模式復(fù)雜，對(duì)于數(shù)據(jù)防泄露也提出了新的要求。”左曉棟說(shuō)。

天空衛(wèi)士董事、合伙人、高級(jí)技術(shù)總監(jiān)楊明非認(rèn)為，市場(chǎng)上大多數(shù)的數(shù)據(jù)防泄露產(chǎn)品針對(duì)的是網(wǎng)絡(luò)數(shù)據(jù)防泄露和終端數(shù)據(jù)防泄露（PC），而對(duì)應(yīng)用數(shù)據(jù)防泄露和移動(dòng)終端數(shù)據(jù)防泄露卻很少提及。如何處理好數(shù)據(jù)在全生命周期的流通與共享，規(guī)模與效率、應(yīng)用與保護(hù)，安全和發(fā)展的關(guān)系，是亟待解決的問(wèn)題。

數(shù)據(jù)分級(jí)分類是做好數(shù)據(jù)安全工作的前提，而數(shù)據(jù)防泄露（DLP）技術(shù)天生具有數(shù)據(jù)分類分級(jí)的能力，對(duì)數(shù)據(jù)的識(shí)別和保護(hù)能力貫穿于數(shù)據(jù)生命周期的全過(guò)程。

針對(duì)《數(shù)據(jù)防泄露技術(shù)（DLP）技術(shù)指南》，楊明非表示，企業(yè)級(jí)DLP通過(guò)動(dòng)態(tài)平衡數(shù)據(jù)安全與業(yè)務(wù)風(fēng)險(xiǎn)，建立持續(xù)、自適應(yīng)的數(shù)據(jù)安全防御體系，幫助企業(yè)構(gòu)建完善的數(shù)據(jù)防泄露解決方案，保護(hù)數(shù)據(jù)資產(chǎn)安全。

“數(shù)據(jù)防泄露（DLP）保護(hù)的不是靜態(tài)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，而是數(shù)據(jù)流通的各個(gè)管道，不是將數(shù)據(jù)‘鎖’起來(lái)，而是要在流通和使用中保障安全?！睏蠲鞣钦f(shuō)，在未來(lái)數(shù)據(jù)防泄露（DLP）領(lǐng)域，將行為分析技術(shù)與數(shù)據(jù)保護(hù)體系相結(jié)合，通過(guò)人工智能的多維度風(fēng)險(xiǎn)建模匹配，實(shí)現(xiàn)對(duì)內(nèi)部用戶的行為和意圖進(jìn)行監(jiān)控和預(yù)測(cè)。（光明網(wǎng)記者 李政葳）