隨著《數據安全法》《個人信息保護法》等實施，進一步推動了數據安全體系的建設和發展。解決數據安全問題，特別是數據泄露問題，備受行業關注。

　　作為一個比較成熟的技術，數據防泄露（Data Loss Prevention，簡稱 DLP）是國內外廣泛應用的數據安全防護手段，衍生技術也多種多樣，但國內市場對數據防泄露還沒有建立統一的標準。

　　繼2020年中國信息協會信息安全專業委員會對數據防泄露產品進行測評之后，中國信息協會信息安全專業委員會于近日聯合天空衛士發布《數據防泄露（DLP）技術指南》，從DLP與數字安全治理的關系，DLP的定義、應用、核心技術、擴展等方面進行深入探討，旨在促進企業的數據合理、合法、合規使用和流通，發揮數據價值和創新活力。

　　數據泄露防護需求迫切

　　數據是國家發展、企業生存的命脈。“隨著云計算、大數據、區塊鏈等新技術的發展，數據已成為數字經濟發展過程中最具價值的生產要素，而數據安全是數字經濟的基石，也是數字經濟發展的底線保障。”數世咨詢創始人李少鵬說。

　　中國信息協會信息安全專業委員會主任葉紅認為，隨著數字經濟的不斷發展，各類數據海量聚集，數據安全已經成為關乎國家安全與社會經濟發展的重大問題。近年來，我國電信、金融等行業的業務數據規模在不斷擴大，數據泄露風險也日益提高，數據泄露防護市場需求迫切。

　　對此，中國科學技術大學網絡空間安全學院教授左曉棟認為，數據安全要從四方面理解：一是環境安全，也就是數據安全與所處網絡系統密切相關，網絡系統如果被侵入則難以保障數據安全。二是數據資產自身安全，主要體現在是不是被攻擊、被竊取、被篡改。三是合規問題，即數據安全要符合法律法規規定。四是生產要素安全，涉及到數據確權、數據定價、數據開發利用主體、數據開發利用過程中監管等一系列問題。

　　“現在我們面臨的是數據自身安全，也就是保密性，簡言之就是防泄露問題。這是最起碼、最基本的問題。”左曉棟說。

　　數據安全落地離不開標準規范

　　2022年是貫徹落實《數據安全法》的關鍵性一年。數據分類分級是《數據安全法》提出來的一項重要制度。“對數據分類分級的前提是要先識別敏感數據。”左曉棟介紹，全國信息安全標準化技術委員會于2019年7月批準了“重要數據識別指南”研究項目，并于2020年7月立項制定國家標準《重要數據識別指南》。兩年來，標準起草組共收到18家單位的92條意見，均已處理完畢。

　　“標準對重要數據的重要性描述原則，在實際工作中能否發揮指導意義，關鍵一步是地方、行業要基于國家標準制定地方或行業標準、規范。下一步要繼續完善《重要數據識別規則》，抓緊報批發布，其次是研究起草《重要數據處理安全要求》。”左曉棟還提到，對于數據分類分級，特別是在對重要數據標識的問題上，還應該更多強調國家安全和公共利益屬性。

　　在標準化體系建立方面，中國信通院云與大數據研究所副主任姜春宇提到，當前我國安全評估工作的重點在于信息安全，而面向數據安全的市場化評測評估尚處于起步階段。2022年中國信通院發起數據安全推進計劃，目前擁有168家成員單位，面向數據技術/服務提供方提供數據安全服務能力評估和數據安全產品評測。通過標準體系的建立，推動法律法規及監管要求的貫徹落實。

　　數據防泄露是數據安全治理前提

　　根據《數據安全法》規定，企業要建立全流程數據安全管理制度。左曉棟認為，這也就意味著，企業保護數據安全時，不能僅僅關注某一個環節，從數據收集、存儲、傳輸、使用、提供、公開、銷毀等，都要做到充分的安全保護，而且每個階段關注的點都不一樣。

　　“因此，下一步企業也需要高度關注這個問題，在管理制度、技術措施等方面都要做好準備，要做到全流程保護。此外，隨著數據上云新模式，在云環境下數據訪問者眾多，應用模式復雜，對于數據防泄露也提出了新的要求。”左曉棟說。

　　天空衛士董事、合伙人、高級技術總監楊明非認為，市場上大多數的數據防泄露產品針對的是網絡數據防泄露和終端數據防泄露（PC），而對應用數據防泄露和移動終端數據防泄露卻很少提及。如何處理好數據在全生命周期的流通與共享，規模與效率、應用與保護，安全和發展的關系，是亟待解決的問題。

　　數據分級分類是做好數據安全工作的前提，而數據防泄露（DLP）技術天生具有數據分類分級的能力，對數據的識別和保護能力貫穿于數據生命周期的全過程。

　　針對《數據防泄露技術（DLP）技術指南》，楊明非表示，企業級DLP通過動態平衡數據安全與業務風險，建立持續、自適應的數據安全防御體系，幫助企業構建完善的數據防泄露解決方案，保護數據資產安全。

　　“數據防泄露（DLP）保護的不是靜態數據庫中的數據，而是數據流通的各個管道，不是將數據‘鎖’起來，而是要在流通和使用中保障安全。”楊明非說，在未來數據防泄露（DLP）領域，將行為分析技術與數據保護體系相結合，通過人工智能的多維度風險建模匹配，實現對內部用戶的行為和意圖進行監控和預測。（光明網記者 李政葳）