《數據防泄露技術指南》發佈 數據安全能力如何提升?

2022年04月27日21:31

  中新財經4月27日電 (記者 夏賓)中國高層近期強調,要始終緊繃數據安全這根弦。數據泄露防護正是支撐這根“弦”的重要落地技術。《數據防泄露技術指南》發佈會近日召開,指南的發佈,旨在提升數據安全管理能力,為加快構建數字經濟全方位安全保障體系,促進數據合理、合法、合規使用和流通,夯實數字經濟的基座,做出相應的貢獻。

  隨著數字經濟的不斷髮展,各類數據海量聚集,數據安全已經成為關乎國家安全與社會經濟發展的重大問題。近年來,我國電信、金融等行業的業務數據規模在不斷擴大,數據泄露風險也日益提高,數據泄露防護市場需求迫切。

  中國科學技術大學教授左曉棟在接受中新網記者採訪時稱,企業要高度重視數據安全問題,原因在於兩方面。第一,數據安全已成為國與國競爭博弈的前沿陣地,其面臨的威脅巨大,很多傳統防護手段已經落後。第二,應看到數據安全不僅僅是商業問題,而是直接關係國家安全,從而使企業在處理數據時極易觸及國家安全紅線。

  “俄烏衝突已經明顯表明,個人信息已經具有了國家安全屬性。”左曉棟表示,對於在商業運營中獲得的個人信息,一旦發生極端情況,一些第三國的商業機構並沒有保持其中立性,其政治傾向暴露無遺,甚至直接服務於某一方。“因此,我們現在急需把數據安全從商業層面的認識,上升到國家層面的認識,沒有數據安全就沒有國家安全。”

  值得注意的是,數據分類分級是《數據安全法》提出來一項重要制度,對數據進行分類分級的前提是要先識別重要數據,那麼如何有效識別重要數據呢?

  左曉棟指出,全國信息安全標準化技術委員會於2019年7月批準了“重要數據識別指南”研究項目,並於2020年7月正式立項製定國家標準《重要數據識別指南》。2年以來,標準曆經多次徵求意見。最近一次公開徵求意見中,起草組共收到18家單位的92條意見,均已處理完畢。

  他進一步稱,標準對重要數據的重要性描述很原則,在實際工作中能否發揮指導意義,關鍵一步是地方、行業要基於國家標準製定地方或行業標準、規範。目前,標準已更名為《重要數據識別規則》,下一步的工作一是要繼續完善《重要數據識別規則》,抓緊報批發佈;其次是研究起草《重要數據處理安全要求》。

  左曉棟強調,對於數據分類分級,目前國家也正在製定分類分級標準。由於形勢的變化和國家的需求,現在對數據分類分級,特別是對重要數據標識的問題,應更多強調國家安全和公共利益屬性。

  如何判斷一個數據是否屬於國家重要數據?“要重點突出它對國家安全的影響。”左曉棟舉例稱,當用戶收到的信息是運營者利用算法推薦推送時,其算法推薦的過程就可用來進行輿論動員,具備輿論引導條件,那就有足夠的理由認定包括用戶的畫像、用戶推送地址等在內的數據屬於重要數據。

  在數據漫長的生命週期中存在很多環節,例如傳輸、儲存、使用、流轉、銷毀等,任何一個環節如果出現紕漏的話,都可能出現數據安全的問題。在數據應用跨部門、跨行業、跨企業的過程中,應如何避免風險呢?

  左曉棟認為,根據《數據安全法》的規定,企業要建立全流程數據安全管理制度,這就意味著企業保護數據安全時,不能僅僅關注某一個環節或某一個節點,全過程都應做到充分地安全保護,而且每個階段關注的重點還有不同。

  “比如說數據收集階段,數據來源是不是合法,數據的質量能不能保證,這要重點關注,否則收集過來之後數據開發利用可能會導致錯誤結果。而且,數據開發利用是為了生成數據產品,這個過程能否保護相關方權益?這都非常複雜。”左曉棟說。

  數據防泄露(DLP)是數據安全治理的前提,也是實現數據分類分級的重要技術工具。市場上大多數的數據防泄露產品針對的是網絡數據防泄露和終端數據防泄露(PC),而對應用數據防泄露和移動終端數據防泄露卻很少提及。

  如何處理好數據在全生命週期的流通與共享,規模與效率、應用與保護,安全和發展的關係,是亟待解決的問題。

  天空衛士董事、合夥人、高級技術總監楊明非表示,企業級DLP通過動態平衡數據安全與業務風險,建立持續、自適應的數據安全防禦體系,幫助企業構建完善的數據防泄露解決方案,保護數據資產安全。而完善的數據防泄露解決方案必然貫穿於數據生命週期的全過程,提供對整個組織的網絡、郵件、數據庫、移動應用、端點、內部業務應用的全IT架構覆蓋,在統一的數據安全策略下保護組織的核心數據資產。(完)

關注我們Facebook專頁
    相關新聞
      更多瀏覽