中国高层近期强调,要始终紧绷数据安全这根弦。数据泄露防护正是支撑这根“弦”的重要落地技术。《数据防泄露技术指南》发布会近日召开,指南的发布,旨在提升数据安全管理能力,为加快构建数字经济全方位安全保障体系,促进数据合理、合法、合规使用和流通,夯实数字经济的基座,做出相应的贡献。
随着数字经济的不断发展,各类数据海量聚集,数据安全已经成为关乎国家安全与社会经济发展的重大问题。近年来,我国电信、金融等行业的业务数据规模在不断扩大,数据泄露风险也日益提高,数据泄露防护市场需求迫切。
中国科学技术大学教授左晓栋在接受中新网记者采访时称,企业要高度重视数据安全问题,原因在于两方面。第一,数据安全已成为国与国竞争博弈的前沿阵地,其面临的威胁巨大,很多传统防护手段已经落后。第二,应看到数据安全不仅仅是商业问题,而是直接关系国家安全,从而使企业在处理数据时极易触及国家安全红线。
“俄乌冲突已经明显表明,个人信息已经具有了国家安全属性。”左晓栋表示,对于在商业运营中获得的个人信息,一旦发生极端情况,一些第三国的商业机构并没有保持其中立性,其政治倾向暴露无遗,甚至直接服务于某一方。“因此,我们现在急需把数据安全从商业层面的认识,上升到国家层面的认识,没有数据安全就没有国家安全。”
值得注意的是,数据分类分级是《数据安全法》提出来一项重要制度,对数据进行分类分级的前提是要先识别重要数据,那么如何有效识别重要数据呢?
左晓栋指出,全国信息安全标准化技术委员会于2019年7月批准了“重要数据识别指南”研究项目,并于2020年7月正式立项制定国家标准《重要数据识别指南》。2年以来,标准历经多次征求意见。最近一次公开征求意见中,起草组共收到18家单位的92条意见,均已处理完毕。
他进一步称,标准对重要数据的重要性描述很原则,在实际工作中能否发挥指导意义,关键一步是地方、行业要基于国家标准制定地方或行业标准、规范。目前,标准已更名为《重要数据识别规则》,下一步的工作一是要继续完善《重要数据识别规则》,抓紧报批发布;其次是研究起草《重要数据处理安全要求》。
左晓栋强调,对于数据分类分级,目前国家也正在制定分类分级标准。由于形势的变化和国家的需求,现在对数据分类分级,特别是对重要数据标识的问题,应更多强调国家安全和公共利益属性。
如何判断一个数据是否属于国家重要数据?“要重点突出它对国家安全的影响。”左晓栋举例称,当用户收到的信息是运营者利用算法推荐推送时,其算法推荐的过程就可用来进行舆论动员,具备舆论引导条件,那就有足够的理由认定包括用户的画像、用户推送地址等在内的数据属于重要数据。
在数据漫长的生命周期中存在很多环节,例如传输、储存、使用、流转、销毁等,任何一个环节如果出现纰漏的话,都可能出现数据安全的问题。在数据应用跨部门、跨行业、跨企业的过程中,应如何避免风险呢?
左晓栋认为,根据《数据安全法》的规定,企业要建立全流程数据安全管理制度,这就意味着企业保护数据安全时,不能仅仅关注某一个环节或某一个节点,全过程都应做到充分地安全保护,而且每个阶段关注的重点还有不同。
“比如说数据收集阶段,数据来源是不是合法,数据的质量能不能保证,这要重点关注,否则收集过来之后数据开发利用可能会导致错误结果。而且,数据开发利用是为了生成数据产品,这个过程能否保护相关方权益?这都非常复杂。”左晓栋说。
数据防泄露(DLP)是数据安全治理的前提,也是实现数据分类分级的重要技术工具。市场上大多数的数据防泄露产品针对的是网络数据防泄露和终端数据防泄露(PC),而对应用数据防泄露和移动终端数据防泄露却很少提及。
如何处理好数据在全生命周期的流通与共享,规模与效率、应用与保护,安全和发展的关系,是亟待解决的问题。
天空卫士董事、合伙人、高级技术总监杨明非表示,企业级DLP通过动态平衡数据安全与业务风险,建立持续、自适应的数据安全防御体系,帮助企业构建完善的数据防泄露解决方案,保护数据资产安全。而完善的数据防泄露解决方案必然贯穿于数据生命周期的全过程,提供对整个组织的网络、邮件、数据库、移动应用、端点、内部业务应用的全IT架构覆盖,在统一的数据安全策略下保护组织的核心数据资产。