隨著《數(shù)據(jù)安全法》《個人信息保護法》等實施，進一步推動了數(shù)據(jù)安全體系的建設(shè)和發(fā)展。解決數(shù)據(jù)安全問題，特別是數(shù)據(jù)泄露問題，備受行業(yè)關(guān)注。

作為一個比較成熟的技術(shù)，數(shù)據(jù)防泄露（Data Loss Prevention，簡稱 DLP）是國內(nèi)外廣泛應(yīng)用的數(shù)據(jù)安全防護手段，衍生技術(shù)也多種多樣，但國內(nèi)市場對數(shù)據(jù)防泄露還沒有建立統(tǒng)一的標準。

繼2020年中國信息協(xié)會信息安全專業(yè)委員會對數(shù)據(jù)防泄露產(chǎn)品進行測評之后，中國信息協(xié)會信息安全專業(yè)委員會于近日聯(lián)合天空衛(wèi)士發(fā)布《數(shù)據(jù)防泄露（DLP）技術(shù)指南》，從DLP與數(shù)字安全治理的關(guān)系，DLP的定義、應(yīng)用、核心技術(shù)、擴展等方面進行深入探討，旨在促進企業(yè)的數(shù)據(jù)合理、合法、合規(guī)使用和流通，發(fā)揮數(shù)據(jù)價值和創(chuàng)新活力。

數(shù)據(jù)泄露防護需求迫切

數(shù)據(jù)是國家發(fā)展、企業(yè)生存的命脈?！半S著云計算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的發(fā)展，數(shù)據(jù)已成為數(shù)字經(jīng)濟發(fā)展過程中最具價值的生產(chǎn)要素，而數(shù)據(jù)安全是數(shù)字經(jīng)濟的基石，也是數(shù)字經(jīng)濟發(fā)展的底線保障?！睌?shù)世咨詢創(chuàng)始人李少鵬說。

中國信息協(xié)會信息安全專業(yè)委員會主任葉紅認為，隨著數(shù)字經(jīng)濟的不斷發(fā)展，各類數(shù)據(jù)海量聚集，數(shù)據(jù)安全已經(jīng)成為關(guān)乎國家安全與社會經(jīng)濟發(fā)展的重大問題。近年來，我國電信、金融等行業(yè)的業(yè)務(wù)數(shù)據(jù)規(guī)模在不斷擴大，數(shù)據(jù)泄露風險也日益提高，數(shù)據(jù)泄露防護市場需求迫切。

對此，中國科學技術(shù)大學網(wǎng)絡(luò)空間安全學院教授左曉棟認為，數(shù)據(jù)安全要從四方面理解：一是環(huán)境安全，也就是數(shù)據(jù)安全與所處網(wǎng)絡(luò)系統(tǒng)密切相關(guān)，網(wǎng)絡(luò)系統(tǒng)如果被侵入則難以保障數(shù)據(jù)安全。二是數(shù)據(jù)資產(chǎn)自身安全，主要體現(xiàn)在是不是被攻擊、被竊取、被篡改。三是合規(guī)問題，即數(shù)據(jù)安全要符合法律法規(guī)規(guī)定。四是生產(chǎn)要素安全，涉及到數(shù)據(jù)確權(quán)、數(shù)據(jù)定價、數(shù)據(jù)開發(fā)利用主體、數(shù)據(jù)開發(fā)利用過程中監(jiān)管等一系列問題。

“現(xiàn)在我們面臨的是數(shù)據(jù)自身安全，也就是保密性，簡言之就是防泄露問題。這是最起碼、最基本的問題。”左曉棟說。

數(shù)據(jù)安全落地離不開標準規(guī)范

2022年是貫徹落實《數(shù)據(jù)安全法》的關(guān)鍵性一年。數(shù)據(jù)分類分級是《數(shù)據(jù)安全法》提出來的一項重要制度?！皩?shù)據(jù)分類分級的前提是要先識別敏感數(shù)據(jù)?！弊髸詶澖榻B，全國信息安全標準化技術(shù)委員會于2019年7月批準了“重要數(shù)據(jù)識別指南”研究項目，并于2020年7月立項制定國家標準《重要數(shù)據(jù)識別指南》。兩年來，標準起草組共收到18家單位的92條意見，均已處理完畢。

“標準對重要數(shù)據(jù)的重要性描述原則，在實際工作中能否發(fā)揮指導意義，關(guān)鍵一步是地方、行業(yè)要基于國家標準制定地方或行業(yè)標準、規(guī)范。下一步要繼續(xù)完善《重要數(shù)據(jù)識別規(guī)則》，抓緊報批發(fā)布，其次是研究起草《重要數(shù)據(jù)處理安全要求》。”左曉棟還提到，對于數(shù)據(jù)分類分級，特別是在對重要數(shù)據(jù)標識的問題上，還應(yīng)該更多強調(diào)國家安全和公共利益屬性。

在標準化體系建立方面，中國信通院云與大數(shù)據(jù)研究所副主任姜春宇提到，當前我國安全評估工作的重點在于信息安全，而面向數(shù)據(jù)安全的市場化評測評估尚處于起步階段。2022年中國信通院發(fā)起數(shù)據(jù)安全推進計劃，目前擁有168家成員單位，面向數(shù)據(jù)技術(shù)/服務(wù)提供方提供數(shù)據(jù)安全服務(wù)能力評估和數(shù)據(jù)安全產(chǎn)品評測。通過標準體系的建立，推動法律法規(guī)及監(jiān)管要求的貫徹落實。

數(shù)據(jù)防泄露是數(shù)據(jù)安全治理前提

根據(jù)《數(shù)據(jù)安全法》規(guī)定，企業(yè)要建立全流程數(shù)據(jù)安全管理制度。左曉棟認為，這也就意味著，企業(yè)保護數(shù)據(jù)安全時，不能僅僅關(guān)注某一個環(huán)節(jié)，從數(shù)據(jù)收集、存儲、傳輸、使用、提供、公開、銷毀等，都要做到充分的安全保護，而且每個階段關(guān)注的點都不一樣。

“因此，下一步企業(yè)也需要高度關(guān)注這個問題，在管理制度、技術(shù)措施等方面都要做好準備，要做到全流程保護。此外，隨著數(shù)據(jù)上云新模式，在云環(huán)境下數(shù)據(jù)訪問者眾多，應(yīng)用模式復(fù)雜，對于數(shù)據(jù)防泄露也提出了新的要求?！弊髸詶澱f。

天空衛(wèi)士董事、合伙人、高級技術(shù)總監(jiān)楊明非認為，市場上大多數(shù)的數(shù)據(jù)防泄露產(chǎn)品針對的是網(wǎng)絡(luò)數(shù)據(jù)防泄露和終端數(shù)據(jù)防泄露（PC），而對應(yīng)用數(shù)據(jù)防泄露和移動終端數(shù)據(jù)防泄露卻很少提及。如何處理好數(shù)據(jù)在全生命周期的流通與共享，規(guī)模與效率、應(yīng)用與保護，安全和發(fā)展的關(guān)系，是亟待解決的問題。

數(shù)據(jù)分級分類是做好數(shù)據(jù)安全工作的前提，而數(shù)據(jù)防泄露（DLP）技術(shù)天生具有數(shù)據(jù)分類分級的能力，對數(shù)據(jù)的識別和保護能力貫穿于數(shù)據(jù)生命周期的全過程。

針對《數(shù)據(jù)防泄露技術(shù)（DLP）技術(shù)指南》，楊明非表示，企業(yè)級DLP通過動態(tài)平衡數(shù)據(jù)安全與業(yè)務(wù)風險，建立持續(xù)、自適應(yīng)的數(shù)據(jù)安全防御體系，幫助企業(yè)構(gòu)建完善的數(shù)據(jù)防泄露解決方案，保護數(shù)據(jù)資產(chǎn)安全。

“數(shù)據(jù)防泄露（DLP）保護的不是靜態(tài)數(shù)據(jù)庫中的數(shù)據(jù)，而是數(shù)據(jù)流通的各個管道，不是將數(shù)據(jù)‘鎖’起來，而是要在流通和使用中保障安全?！睏蠲鞣钦f，在未來數(shù)據(jù)防泄露（DLP）領(lǐng)域，將行為分析技術(shù)與數(shù)據(jù)保護體系相結(jié)合，通過人工智能的多維度風險建模匹配，實現(xiàn)對內(nèi)部用戶的行為和意圖進行監(jiān)控和預(yù)測。（光明網(wǎng)記者 李政葳）