随着互联网、大数据应用的爆发,人们越来越多地享受到数据带来的红利和价值,数据成为新的生产要素。
然而数据价值的变化,也让数据泄漏带来的损失升级,同时也带来了恶性的社会影响,数据丢失和个人信息泄漏事件频发,地下数据交易(黑灰产)造成内部恶意数据泄漏事件频出,社会热点事件层出不穷,甚至危害国家安全。
企业在数据泄漏防护方面,往往认为内网相对安全,而将重点都落在了对黑客和外部攻击的威胁防护上,殊不知内部威胁已经成为数据泄漏的主要元凶。
根据IBM与Ponemon Institute基于对全球17个国家500多家真实经历过数据泄露企业进行的分析调研报告指出,2021年遭受数据泄露的企业单次数据泄露事件平均耗费成本为424万美元,这个数字相比2020年增长了10%。
数据防泄露(Data Loss Prevention,简称 DLP)作为国内广泛应用的数据安全防护手段,在提升数据安全管理能力,促进数据合理、合法、合规使用和流通,夯实数字经济基座的作用上发挥着关键作用。
那么评判一款数据防泄漏的产品标准是怎样的?DLP技术又该如何应用落地?DLP未来的发展方向是怎样的?
2022年4月26日,中国信息协会信息安全专业委员会和天空卫士共同发布了《数据防泄露(DLP)技术指南》。
国家信息中心信息与网安部副主任禄凯表示:“数据安全作为当前国家安全的重要组成部分,被提到前所未有的高度。当前迫切需要技术手段推动两法的落实,尽快有效的解决数据安全问题,特别是数据泄露的问题。而数据的流通和共享、规模与效率、管制与开放、安全与发展、应用与保护等是我们亟待解决的问题。希望能够通过对数据防泄露技术的不断研究、探索和实践,逐步建立完善数据防泄漏技术的方法和解决方案。进一步降低数据泄露风险。促进业务健康发展。”
中国信息协会信息安全专业委员会叶红主任表示: “随着数字经济的不断发展,各类数据海量聚集,数据安全已经成为关乎国家安全与社会经济发展的重大问题。近年来,我国电信、金融等行业的业务数据规模在不断扩大,数据泄露风险也日益提高,数据泄露防护市场需求迫切。中国信息协会信息安全专业委员会作为主办单位,在推动数据安全技术的规范性、标准性、创新性,以及提高数据信息安全技术等方面起着重要的带头作用。”
中国科学技术大学网络空间安全学院教授左晓栋对《重要数据识别指南》做了详细介绍,他指出,数据安全法明确了数据分类分级保护制度,这是做好数据安全工作的基础。国家已经明确将数据分为一般数据、重要数据和核心数据。他还强调由中央网信办起草的“数据安全管理条例”正在制定中,该条例就是针对不同重要级别数据的监管制度。
中国信通院云与大数据研究所副主任姜春宇说道:国家高度重视标准化工作,当前我国安全评估工作的重点在于信息安全,而面向数据安全的市场化评测评估尚处于起步阶段。中国信通院推出国内首个数据安全治理能力评估体系(DSG),《数据安全治理能力评估方法2.0》于2021年发布。2022年中国信通院发起数据安全推进计划,目前拥有168家成员单位,面向数据技术/服务提供方提供数据安全服务能力评估和数据安全产品评测。数据防泄露是数据安全治理核心部分,信通院也在开展相关标准和测评工作
天空卫士董事、合伙人、高级技术总监杨明非对《数据防泄露技术(DLP)技术指南》做了详细介绍。
杨明非表示:企业级DLP通过动态平衡数据安全与业务风险,建立持续、自适应的数据安全防御体系,帮助企业构建完善的数据防泄露解决方案,保护数据资产安全。而完善的数据防泄露解决方案必然贯穿于数据生命周期的全过程,提供对整个组织的网络、邮件、数据库、移动应用、端点、内部业务应用的全IT架构覆盖,在统一的数据安全策略下保护组织的核心数据资产。在未来的数据防泄露(DLP)领域,将行为分析技术与数据保护体系相结合,通过人工智能的多维度风险建模匹配,实现对内部用户的行为和意图进行监控和预测。
数据安全是国家安全、经济发展的根基,其治理离不开法律、法规以及行业标准、规范的建立,其落地更离不开有效的技术抓手。而数据防泄漏是数据安全治理的核心,《数据防泄露技术指南》的发布在夯实数据安全基座的同时,对指导该领域厂商、服务商等发展也将发挥重要作用,更能够在认知、选择、管理等数据防泄漏相关各方面指引广大的企事业用户,推动数据安全的主体迈向新的台阶。(雷峰网(公众号:雷峰网))