首頁IT—正文
《數(shù)據(jù)防泄露技術(shù)指南》發(fā)布 數(shù)據(jù)安全能力如何提升?
2022年05月03日 09:38 來源:中國新聞網(wǎng)

  中新財經(jīng)4月27日電 (記者 夏賓)中國高層近期強調(diào),要始終緊繃數(shù)據(jù)安全這根弦。數(shù)據(jù)泄露防護正是支撐這根“弦”的重要落地技術(shù)。《數(shù)據(jù)防泄露技術(shù)指南》發(fā)布會近日召開,指南的發(fā)布,旨在提升數(shù)據(jù)安全管理能力,為加快構(gòu)建數(shù)字經(jīng)濟全方位安全保障體系,促進數(shù)據(jù)合理、合法、合規(guī)使用和流通,夯實數(shù)字經(jīng)濟的基座,做出相應的貢獻。

  隨著數(shù)字經(jīng)濟的不斷發(fā)展,各類數(shù)據(jù)海量聚集,數(shù)據(jù)安全已經(jīng)成為關(guān)乎國家安全與社會經(jīng)濟發(fā)展的重大問題。近年來,我國電信、金融等行業(yè)的業(yè)務(wù)數(shù)據(jù)規(guī)模在不斷擴大,數(shù)據(jù)泄露風險也日益提高,數(shù)據(jù)泄露防護市場需求迫切。

  中國科學技術(shù)大學教授左曉棟在接受中新網(wǎng)記者采訪時稱,企業(yè)要高度重視數(shù)據(jù)安全問題,原因在于兩方面。第一,數(shù)據(jù)安全已成為國與國競爭博弈的前沿陣地,其面臨的威脅巨大,很多傳統(tǒng)防護手段已經(jīng)落后。第二,應看到數(shù)據(jù)安全不僅僅是商業(yè)問題,而是直接關(guān)系國家安全,從而使企業(yè)在處理數(shù)據(jù)時極易觸及國家安全紅線。

  “俄烏沖突已經(jīng)明顯表明,個人信息已經(jīng)具有了國家安全屬性。”左曉棟表示,對于在商業(yè)運營中獲得的個人信息,一旦發(fā)生極端情況,一些第三國的商業(yè)機構(gòu)并沒有保持其中立性,其政治傾向暴露無遺,甚至直接服務(wù)于某一方!耙虼耍覀儸F(xiàn)在急需把數(shù)據(jù)安全從商業(yè)層面的認識,上升到國家層面的認識,沒有數(shù)據(jù)安全就沒有國家安全!

  值得注意的是,數(shù)據(jù)分類分級是《數(shù)據(jù)安全法》提出來一項重要制度,對數(shù)據(jù)進行分類分級的前提是要先識別重要數(shù)據(jù),那么如何有效識別重要數(shù)據(jù)呢?

  左曉棟指出,全國信息安全標準化技術(shù)委員會于2019年7月批準了“重要數(shù)據(jù)識別指南”研究項目,并于2020年7月正式立項制定國家標準《重要數(shù)據(jù)識別指南》。2年以來,標準歷經(jīng)多次征求意見。最近一次公開征求意見中,起草組共收到18家單位的92條意見,均已處理完畢。

  他進一步稱,標準對重要數(shù)據(jù)的重要性描述很原則,在實際工作中能否發(fā)揮指導意義,關(guān)鍵一步是地方、行業(yè)要基于國家標準制定地方或行業(yè)標準、規(guī)范。目前,標準已更名為《重要數(shù)據(jù)識別規(guī)則》,下一步的工作一是要繼續(xù)完善《重要數(shù)據(jù)識別規(guī)則》,抓緊報批發(fā)布;其次是研究起草《重要數(shù)據(jù)處理安全要求》。

  左曉棟強調(diào),對于數(shù)據(jù)分類分級,目前國家也正在制定分類分級標準。由于形勢的變化和國家的需求,現(xiàn)在對數(shù)據(jù)分類分級,特別是對重要數(shù)據(jù)標識的問題,應更多強調(diào)國家安全和公共利益屬性。

  如何判斷一個數(shù)據(jù)是否屬于國家重要數(shù)據(jù)?“要重點突出它對國家安全的影響。”左曉棟舉例稱,當用戶收到的信息是運營者利用算法推薦推送時,其算法推薦的過程就可用來進行輿論動員,具備輿論引導條件,那就有足夠的理由認定包括用戶的畫像、用戶推送地址等在內(nèi)的數(shù)據(jù)屬于重要數(shù)據(jù)。

  在數(shù)據(jù)漫長的生命周期中存在很多環(huán)節(jié),例如傳輸、儲存、使用、流轉(zhuǎn)、銷毀等,任何一個環(huán)節(jié)如果出現(xiàn)紕漏的話,都可能出現(xiàn)數(shù)據(jù)安全的問題。在數(shù)據(jù)應用跨部門、跨行業(yè)、跨企業(yè)的過程中,應如何避免風險呢?

  左曉棟認為,根據(jù)《數(shù)據(jù)安全法》的規(guī)定,企業(yè)要建立全流程數(shù)據(jù)安全管理制度,這就意味著企業(yè)保護數(shù)據(jù)安全時,不能僅僅關(guān)注某一個環(huán)節(jié)或某一個節(jié)點,全過程都應做到充分地安全保護,而且每個階段關(guān)注的重點還有不同。

  “比如說數(shù)據(jù)收集階段,數(shù)據(jù)來源是不是合法,數(shù)據(jù)的質(zhì)量能不能保證,這要重點關(guān)注,否則收集過來之后數(shù)據(jù)開發(fā)利用可能會導致錯誤結(jié)果。而且,數(shù)據(jù)開發(fā)利用是為了生成數(shù)據(jù)產(chǎn)品,這個過程能否保護相關(guān)方權(quán)益?這都非常復雜!弊髸詶澱f。

  數(shù)據(jù)防泄露(DLP)是數(shù)據(jù)安全治理的前提,也是實現(xiàn)數(shù)據(jù)分類分級的重要技術(shù)工具。市場上大多數(shù)的數(shù)據(jù)防泄露產(chǎn)品針對的是網(wǎng)絡(luò)數(shù)據(jù)防泄露和終端數(shù)據(jù)防泄露(PC),而對應用數(shù)據(jù)防泄露和移動終端數(shù)據(jù)防泄露卻很少提及。

  如何處理好數(shù)據(jù)在全生命周期的流通與共享,規(guī)模與效率、應用與保護,安全和發(fā)展的關(guān)系,是亟待解決的問題。

  天空衛(wèi)士董事、合伙人、高級技術(shù)總監(jiān)楊明非表示,企業(yè)級DLP通過動態(tài)平衡數(shù)據(jù)安全與業(yè)務(wù)風險,建立持續(xù)、自適應的數(shù)據(jù)安全防御體系,幫助企業(yè)構(gòu)建完善的數(shù)據(jù)防泄露解決方案,保護數(shù)據(jù)資產(chǎn)安全。而完善的數(shù)據(jù)防泄露解決方案必然貫穿于數(shù)據(jù)生命周期的全過程,提供對整個組織的網(wǎng)絡(luò)、郵件、數(shù)據(jù)庫、移動應用、端點、內(nèi)部業(yè)務(wù)應用的全IT架構(gòu)覆蓋,在統(tǒng)一的數(shù)據(jù)安全策略下保護組織的核心數(shù)據(jù)資產(chǎn)。(完)