《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的實(shí)施，進(jìn)一步推動(dòng)了國(guó)內(nèi)數(shù)據(jù)安全體系建設(shè)。解決數(shù)據(jù)安全問(wèn)題，特別是數(shù)據(jù)泄露問(wèn)題，備受行業(yè)關(guān)注。作為一個(gè)比較成熟的技術(shù)，數(shù)據(jù)防泄露（Data Loss Prevention，簡(jiǎn)稱(chēng) DLP）是國(guó)內(nèi)外廣泛應(yīng)用的數(shù)據(jù)安全防護(hù)手段，衍生技術(shù)也多種多樣，但國(guó)內(nèi)市場(chǎng)對(duì)數(shù)據(jù)防泄露還沒(méi)有建立統(tǒng)一的標(biāo)準(zhǔn)。

《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)的實(shí)施，進(jìn)一步推動(dòng)了國(guó)內(nèi)數(shù)據(jù)安全體系建設(shè)。解決數(shù)據(jù)安全問(wèn)題，特別是數(shù)據(jù)泄露問(wèn)題，備受行業(yè)關(guān)注。作為一個(gè)比較成熟的技術(shù)，數(shù)據(jù)防泄露（Data Loss Prevention，簡(jiǎn)稱(chēng) DLP）是國(guó)內(nèi)外廣泛應(yīng)用的數(shù)據(jù)安全防護(hù)手段，衍生技術(shù)也多種多樣，但國(guó)內(nèi)市場(chǎng)對(duì)數(shù)據(jù)防泄露還沒(méi)有建立統(tǒng)一的標(biāo)準(zhǔn)。

繼2020年中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)對(duì)數(shù)據(jù)防泄露產(chǎn)品進(jìn)行測(cè)評(píng)之后，中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)于近日聯(lián)合DLP廠商天空衛(wèi)士發(fā)布《數(shù)據(jù)防泄露（DLP）技術(shù)指南》。圍繞數(shù)據(jù)防泄露、數(shù)據(jù)分級(jí)分類(lèi)等當(dāng)前我國(guó)數(shù)據(jù)安全工作熱點(diǎn)問(wèn)題，記者采訪了中國(guó)科學(xué)技術(shù)大學(xué)教授左曉棟。

記者：不同行業(yè)重要數(shù)據(jù)目錄不同，那么，將如何建立重要數(shù)據(jù)的目錄？

左曉棟：建立重要數(shù)據(jù)目錄是我國(guó)《數(shù)據(jù)安全法》提出的法定任務(wù)。顯然，重要數(shù)據(jù)目錄和行業(yè)的具體特點(diǎn)密切相關(guān)，不同行業(yè)對(duì)于重要數(shù)據(jù)的認(rèn)識(shí)是不一樣的。根據(jù)定義，重要數(shù)據(jù)直接關(guān)系國(guó)家安全，某些數(shù)據(jù)在一個(gè)行業(yè)很普通，但在另一個(gè)行業(yè)的應(yīng)用背景下，便可能屬于重要數(shù)據(jù)。但是，數(shù)據(jù)的分類(lèi)分級(jí)又是國(guó)家制度，核心問(wèn)題是如何理解國(guó)家分類(lèi)分級(jí)制度實(shí)施與行業(yè)特性之間的關(guān)系。

根據(jù)數(shù)據(jù)分類(lèi)分級(jí)制度，數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。不同行業(yè)在國(guó)家分類(lèi)分級(jí)制度之下，可以根據(jù)行業(yè)特性，進(jìn)一步明確重要數(shù)據(jù)的行業(yè)特征。這可以從兩個(gè)角度理解：

一是國(guó)家會(huì)對(duì)重要數(shù)據(jù)的識(shí)別給出統(tǒng)一規(guī)定，即重要數(shù)據(jù)識(shí)別規(guī)則。但這是原則性規(guī)定，不同行業(yè)要根據(jù)國(guó)家標(biāo)準(zhǔn)的原則性規(guī)定，制定反映自己行業(yè)特色的重要數(shù)據(jù)識(shí)別細(xì)則；二是數(shù)據(jù)的分級(jí)按照一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)劃分，但國(guó)家不會(huì)對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一分類(lèi)，即國(guó)家層面只分級(jí)不分類(lèi)，到了行業(yè)和地方層面則可以自行根據(jù)實(shí)際情況來(lái)確定分類(lèi)方法。原因是，分類(lèi)與數(shù)據(jù)重要性沒(méi)有關(guān)系，某種程度上說(shuō)是為了監(jiān)管的需要，而監(jiān)管的需求則是各異的，不可能統(tǒng)一規(guī)定。

當(dāng)然，雖然不同行業(yè)必須明確其重要數(shù)據(jù)級(jí)別，但還可基于國(guó)家標(biāo)準(zhǔn)做出更進(jìn)一步的級(jí)別細(xì)分，例如對(duì)重要數(shù)據(jù)進(jìn)一步劃分為三級(jí)或者五級(jí)，這也由行業(yè)自行確定。

記者：針對(duì)近日發(fā)布的《數(shù)據(jù)防泄露（DLP）技術(shù)指南》，請(qǐng)談?wù)勂湟饬x？

左曉棟：數(shù)據(jù)安全可以從四方面理解：一是環(huán)境安全，即數(shù)據(jù)所在的網(wǎng)絡(luò)與系統(tǒng)的安全，因?yàn)閿?shù)據(jù)安全與所處網(wǎng)絡(luò)和系統(tǒng)密切相關(guān)，網(wǎng)絡(luò)和系統(tǒng)如果被侵入則是“皮之不存毛將焉附”；二是數(shù)據(jù)資產(chǎn)安全，主要體現(xiàn)在數(shù)據(jù)自身是不是被攻擊、竊取、篡改；三是合規(guī)問(wèn)題，即數(shù)據(jù)處理過(guò)程要符合法律法規(guī)規(guī)定，一個(gè)機(jī)構(gòu)即使對(duì)數(shù)據(jù)做到了很好的保護(hù)，確保其不會(huì)受到外部威脅，但如果其自己濫采濫用呢？這是當(dāng)前國(guó)家擔(dān)心的大問(wèn)題；四是生產(chǎn)要素安全，數(shù)據(jù)是新的生產(chǎn)要素，而這個(gè)要素的作用發(fā)揮涉及到數(shù)據(jù)確權(quán)、數(shù)據(jù)授權(quán)、數(shù)據(jù)定價(jià)、數(shù)據(jù)開(kāi)發(fā)利用主體選擇、數(shù)據(jù)開(kāi)發(fā)利用過(guò)程監(jiān)管等一系列新問(wèn)題，這也是數(shù)據(jù)安全需要解決的痛點(diǎn)。

現(xiàn)在我們解決問(wèn)題到什么程度了呢？以上的第一類(lèi)問(wèn)題基本解決了，但第二類(lèi)問(wèn)題還處在初級(jí)階段，后兩類(lèi)問(wèn)題解決得更不理想。即，數(shù)據(jù)自身安全——即保密性，簡(jiǎn)言之就是防泄露問(wèn)題，是最起碼、最基本的問(wèn)題。而且從歷史看，防泄露問(wèn)題是一個(gè)老問(wèn)題，但今天“老革命遇到新問(wèn)題”，面對(duì)一系列新的安全威脅，數(shù)據(jù)防泄露任重道遠(yuǎn)，例如云環(huán)境下的既要防泄露又要確保授權(quán)人員公開(kāi)可訪問(wèn)，這就需要新的密碼算法

記者：當(dāng)前，不管是個(gè)人數(shù)據(jù)還是企業(yè)數(shù)據(jù)，都在從商業(yè)層面走向政治層面，與國(guó)家安全密切相關(guān)，后續(xù)在分類(lèi)分級(jí)方面，有哪些需要重點(diǎn)關(guān)注？

左曉棟：就分類(lèi)分級(jí)問(wèn)題，國(guó)家正在制定兩個(gè)標(biāo)準(zhǔn)，一個(gè)是數(shù)據(jù)分類(lèi)分級(jí)指南，另一個(gè)是重要數(shù)據(jù)識(shí)別規(guī)則。由于形勢(shì)變化和國(guó)家需求，現(xiàn)在對(duì)數(shù)據(jù)分類(lèi)分級(jí)特別是對(duì)重要數(shù)據(jù)識(shí)別問(wèn)題上，應(yīng)該更多強(qiáng)調(diào)數(shù)據(jù)的國(guó)家安全和公共利益屬性。

如何判定一個(gè)數(shù)據(jù)是不是屬于重要數(shù)據(jù)？要重點(diǎn)突出它對(duì)國(guó)家安全的影響。比如說(shuō)，算法推薦、定向推薦是一種輿論動(dòng)員能力。此時(shí)，這些用戶地址、用戶特征、用戶畫(huà)像等，都是用來(lái)進(jìn)行信息推送、輿論引導(dǎo)、社會(huì)動(dòng)員的必備條件，這些就應(yīng)當(dāng)屬于重要數(shù)據(jù)。

記者：我國(guó)數(shù)據(jù)防泄露技術(shù)發(fā)展情況如何？

左曉棟：數(shù)據(jù)防泄露不是一個(gè)新產(chǎn)品。說(shuō)起數(shù)據(jù)安全保護(hù)，一直以來(lái)有兩類(lèi)典型產(chǎn)品，一類(lèi)是數(shù)據(jù)加密類(lèi)，這是保護(hù)數(shù)據(jù)的重要技術(shù)；另外就是數(shù)據(jù)防泄露類(lèi)，即防止非授權(quán)人員訪問(wèn)數(shù)據(jù)。但是這些年數(shù)據(jù)防泄露一直“不溫不火”，直到現(xiàn)在數(shù)據(jù)安全成為了重點(diǎn)工作，DLP產(chǎn)品才煥發(fā)青春。

我們一方面要保護(hù)數(shù)據(jù)的安全，另一方面還要把數(shù)據(jù)用起來(lái)，所以簡(jiǎn)單把數(shù)據(jù)做加密是不夠的。尤其在當(dāng)前云環(huán)境下，數(shù)據(jù)訪問(wèn)者眾多、應(yīng)用模式復(fù)雜，這就對(duì)數(shù)據(jù)防泄露提出了一系列新的要求。而且，很多時(shí)候“防內(nèi)”比“防外”的需求更為強(qiáng)烈，因此數(shù)據(jù)防泄露產(chǎn)品依然具有巨大的生命力。

記者：在數(shù)據(jù)生命周期中，存在儲(chǔ)存、使用、流轉(zhuǎn)、銷(xiāo)毀等環(huán)節(jié)，任何一個(gè)環(huán)節(jié)如果出現(xiàn)紕漏，都可能出現(xiàn)數(shù)據(jù)安全問(wèn)題。企業(yè)應(yīng)該如何應(yīng)對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)？

左曉棟：根據(jù)《數(shù)據(jù)安全法》規(guī)定，企業(yè)要建立全流程數(shù)據(jù)安全管理制度。這就意味著企業(yè)保護(hù)數(shù)據(jù)安全時(shí)，不能僅僅關(guān)注某一個(gè)環(huán)節(jié)、某一個(gè)點(diǎn)，且每個(gè)階段、每個(gè)關(guān)注點(diǎn)還不一樣。比如，數(shù)據(jù)收集階段，要考慮數(shù)據(jù)來(lái)源是不是合法、數(shù)據(jù)質(zhì)量能不能保證；數(shù)據(jù)開(kāi)發(fā)利用階段，需要通過(guò)數(shù)據(jù)生成產(chǎn)品，要考慮能不能保護(hù)相關(guān)方的權(quán)益，這是非常復(fù)雜的過(guò)程。

《數(shù)據(jù)安全法》提出了原則性的要求，但是這個(gè)要求還不夠。所以，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在今年的國(guó)家標(biāo)準(zhǔn)需求清單中列出的第一項(xiàng)標(biāo)準(zhǔn)，就是《重要數(shù)據(jù)處理安全要求》。因此，下一步各類(lèi)企事業(yè)單位需要高度關(guān)注這個(gè)問(wèn)題，在管理制度上、技術(shù)措施上做好準(zhǔn)備，做到對(duì)數(shù)據(jù)的全流程保護(hù)，因?yàn)檫@是法定義務(wù)。

來(lái)源：光明網(wǎng)

- END -