随着《数据安全法》《个人信息保护法》等实施，进一步推动了数据安全体系的建设和发展。解决数据安全问题，特别是数据泄露问题，备受行业关注。

　　作为一个比较成熟的技术，数据防泄露（Data Loss Prevention，简称 DLP）是国内外广泛应用的数据安全防护手段，衍生技术也多种多样，但国内市场对数据防泄露还没有建立统一的标准。

　　继2020年中国信息协会信息安全专业委员会对数据防泄露产品进行测评之后，中国信息协会信息安全专业委员会于近日联合天空卫士发布《数据防泄露（DLP）技术指南》，从DLP与数字安全治理的关系，DLP的定义、应用、核心技术、扩展等方面进行深入探讨，旨在促进企业的数据合理、合法、合规使用和流通，发挥数据价值和创新活力。

　　数据泄露防护需求迫切

　　数据是国家发展、企业生存的命脉。“随着云计算、大数据、区块链等新技术的发展，数据已成为数字经济发展过程中最具价值的生产要素，而数据安全是数字经济的基石，也是数字经济发展的底线保障。”数世咨询创始人李少鹏说。

　　中国信息协会信息安全专业委员会主任叶红认为，随着数字经济的不断发展，各类数据海量聚集，数据安全已经成为关乎国家安全与社会经济发展的重大问题。近年来，我国电信、金融等行业的业务数据规模在不断扩大，数据泄露风险也日益提高，数据泄露防护市场需求迫切。

　　对此，中国科学技术大学网络空间安全学院教授左晓栋认为，数据安全要从四方面理解：一是环境安全，也就是数据安全与所处网络系统密切相关，网络系统如果被侵入则难以保障数据安全。二是数据资产自身安全，主要体现在是不是被攻击、被窃取、被篡改。三是合规问题，即数据安全要符合法律法规规定。四是生产要素安全，涉及到数据确权、数据定价、数据开发利用主体、数据开发利用过程中监管等一系列问题。

　　“现在我们面临的是数据自身安全，也就是保密性，简言之就是防泄露问题。这是最起码、最基本的问题。”左晓栋说。

　　数据安全落地离不开标准规范

　　2022年是贯彻落实《数据安全法》的关键性一年。数据分类分级是《数据安全法》提出来的一项重要制度。“对数据分类分级的前提是要先识别敏感数据。”左晓栋介绍，全国信息安全标准化技术委员会于2019年7月批准了“重要数据识别指南”研究项目，并于2020年7月立项制定国家标准《重要数据识别指南》。两年来，标准起草组共收到18家单位的92条意见，均已处理完毕。

　　“标准对重要数据的重要性描述原则，在实际工作中能否发挥指导意义，关键一步是地方、行业要基于国家标准制定地方或行业标准、规范。下一步要继续完善《重要数据识别规则》，抓紧报批发布，其次是研究起草《重要数据处理安全要求》。”左晓栋还提到，对于数据分类分级，特别是在对重要数据标识的问题上，还应该更多强调国家安全和公共利益属性。

　　在标准化体系建立方面，中国信通院云与大数据研究所副主任姜春宇提到，当前我国安全评估工作的重点在于信息安全，而面向数据安全的市场化评测评估尚处于起步阶段。2022年中国信通院发起数据安全推进计划，目前拥有168家成员单位，面向数据技术/服务提供方提供数据安全服务能力评估和数据安全产品评测。通过标准体系的建立，推动法律法规及监管要求的贯彻落实。

　　数据防泄露是数据安全治理前提

　　根据《数据安全法》规定，企业要建立全流程数据安全管理制度。左晓栋认为，这也就意味着，企业保护数据安全时，不能仅仅关注某一个环节，从数据收集、存储、传输、使用、提供、公开、销毁等，都要做到充分的安全保护，而且每个阶段关注的点都不一样。

　　“因此，下一步企业也需要高度关注这个问题，在管理制度、技术措施等方面都要做好准备，要做到全流程保护。此外，随着数据上云新模式，在云环境下数据访问者众多，应用模式复杂，对于数据防泄露也提出了新的要求。”左晓栋说。

　　天空卫士董事、合伙人、高级技术总监杨明非认为，市场上大多数的数据防泄露产品针对的是网络数据防泄露和终端数据防泄露（PC），而对应用数据防泄露和移动终端数据防泄露却很少提及。如何处理好数据在全生命周期的流通与共享，规模与效率、应用与保护，安全和发展的关系，是亟待解决的问题。

　　数据分级分类是做好数据安全工作的前提，而数据防泄露（DLP）技术天生具有数据分类分级的能力，对数据的识别和保护能力贯穿于数据生命周期的全过程。

　　针对《数据防泄露技术（DLP）技术指南》，杨明非表示，企业级DLP通过动态平衡数据安全与业务风险，建立持续、自适应的数据安全防御体系，帮助企业构建完善的数据防泄露解决方案，保护数据资产安全。

　　“数据防泄露（DLP）保护的不是静态数据库中的数据，而是数据流通的各个管道，不是将数据‘锁’起来，而是要在流通和使用中保障安全。”杨明非说，在未来数据防泄露（DLP）领域，将行为分析技术与数据保护体系相结合，通过人工智能的多维度风险建模匹配，实现对内部用户的行为和意图进行监控和预测。（光明网记者 李政葳）