随着網際網路、大資料應用的爆發,人們越來越多地享受到資料帶來的紅利和價值,資料成為新的生産要素。
然而資料價值的變化,也讓資料洩漏帶來的損失更新,同時也帶來了惡性的社會影響,資料丢失和個人資訊洩漏事件頻發,地下資料交易(黑灰産)造成内部惡意資料洩漏事件頻出,社會熱點事件層出不窮,甚至危害國家安全。
企業在資料洩漏防護方面,往往認為内網相對安全,而将重點都落在了對黑客和外部攻擊的威脅防護上,殊不知内部威脅已經成為資料洩漏的主要元兇。
根據IBM與Ponemon Institute基于對全球17個國家500多家真實經曆過資料洩露企業進行的分析調研報告指出,2021年遭受資料洩露的企業單次資料洩露事件平均耗費成本為424萬美元,這個數字相比2020年增長了10%。
資料防洩露(Data Loss Prevention,簡稱 DLP)作為國内廣泛應用的資料安全防護手段,在提升資料安全管理能力,促進資料合理、合法、合規使用和流通,夯實數字經濟基座的作用上發揮着關鍵作用。
那麼評判一款資料防洩漏的産品标準是怎樣的?DLP技術又該如何應用落地?DLP未來的發展方向是怎樣的?
2022年4月26日,中國資訊協會資訊安全專業委員會和天空衛士共同釋出了《資料防洩露(DLP)技術指南》。
國家資訊中心資訊與網安部副主任祿凱表示:“資料安全作為目前國家安全的重要組成部分,被提到前所未有的高度。目前迫切需要技術手段推動兩法的落實,盡快有效的解決資料安全問題,特别是資料洩露的問題。而資料的流通和共享、規模與效率、管制與開放、安全與發展、應用與保護等是我們亟待解決的問題。希望能夠通過對資料防洩露技術的不斷研究、探索和實踐,逐漸建立完善資料防洩漏技術的方法和解決方案。進一步降低資料洩露風險。促進業務健康發展。”
中國資訊協會資訊安全專業委員會葉紅主任表示: “随着數字經濟的不斷發展,各類資料海量聚集,資料安全已經成為關乎國家安全與社會經濟發展的重大問題。近年來,大陸電信、金融等行業的業務資料規模在不斷擴大,資料洩露風險也日益提高,資料洩露防護市場需求迫切。中國資訊協會資訊安全專業委員會作為主辦機關,在推動資料安全技術的規範性、标準性、創新性,以及提高資料資訊安全技術等方面起着重要的帶頭作用。”
中國科學技術大學網絡空間安全學院教授左曉棟對《重要資料識别指南》做了詳細介紹,他指出,資料安全法明确了資料分類分級保護制度,這是做好資料安全工作的基礎。國家已經明确将資料分為一般資料、重要資料和核心資料。他還強調由中央網信辦起草的“資料安全管理條例”正在制定中,該條例就是針對不同重要級别資料的監管制度。
中國信通院雲與大資料研究所副主任姜春宇說道:國家高度重視标準化工作,目前大陸安全評估工作的重點在于資訊安全,而面向資料安全的市場化評測評估尚處于起步階段。中國信通院推出國内首個資料安全治理能力評估體系(DSG),《資料安全治理能力評估方法2.0》于2021年釋出。2022年中國信通院發起資料安全推進計劃,目前擁有168家成員機關,面向資料技術/服務提供方提供資料安全服務能力評估和資料安全産品評測。資料防洩露是資料安全治理核心部分,信通院也在開展相關标準和測評工作
天空衛士董事、合夥人、進階技術總監楊明非對《資料防洩露技術(DLP)技術指南》做了詳細介紹。
楊明非表示:企業級DLP通過動态平衡資料安全與業務風險,建立持續、自适應的資料安全防禦體系,幫助企業建構完善的資料防洩露解決方案,保護資料資産安全。而完善的資料防洩露解決方案必然貫穿于資料生命周期的全過程,提供對整個組織的網絡、郵件、資料庫、移動應用、端點、内部業務應用的全IT架構覆寫,在統一的資料安全政策下保護組織的核心資料資産。在未來的資料防洩露(DLP)領域,将行為分析技術與資料保護體系相結合,通過人工智能的多元度風險模組化比對,實作對内部使用者的行為和意圖進行監控和預測。
資料安全是國家安全、經濟發展的根基,其治理離不開法律、法規以及行業标準、規範的建立,其落地更離不開有效的技術抓手。而資料防洩漏是資料安全治理的核心,《資料防洩露技術指南》的釋出在夯實資料安全基座的同時,對指導該領域廠商、服務商等發展也将發揮重要作用,更能夠在認知、選擇、管理等資料防洩漏相關各方面指引廣大的企事業使用者,推動資料安全的主體邁向新的台階。(雷峰網)