左曉棟:對重要數據識別問題應更多強調國家安全屬性
《數據安全法》《個人信息保護法》等法律法規的實施,進一步推動了國內數據安全體系建設。解決數據安全問題,特別是數據泄露問題,備受行業關注。作為一個比較成熟的技術,數據防泄露(Data Loss Prevention,簡稱 DLP)是國內外廣泛應用的數據安全防護手段,衍生技術也多種多樣,但國內市場對數據防泄露還沒有建立統一的標準。
繼2020年中國信息協會信息安全專業委員會對數據防泄露產品進行測評之后,中國信息協會信息安全專業委員會于近日聯合DLP廠商天空衛士發布《數據防泄露(DLP)技術指南》。圍繞數據防泄露、數據分級分類等當前我國數據安全工作熱點問題,記者采訪了中國科學技術大學教授左曉棟。
記者:不同行業重要數據目錄不同,那么,將如何建立重要數據的目錄?
左曉棟:建立重要數據目錄是我國《數據安全法》提出的法定任務。顯然,重要數據目錄和行業的具體特點密切相關,不同行業對于重要數據的認識是不一樣的。根據定義,重要數據直接關系國家安全,某些數據在一個行業很普通,但在另一個行業的應用背景下,便可能屬于重要數據。但是,數據的分類分級又是國家制度,核心問題是如何理解國家分類分級制度實施與行業特性之間的關系。
根據數據分類分級制度,數據分為一般數據、重要數據、核心數據。不同行業在國家分類分級制度之下,可以根據行業特性,進一步明確重要數據的行業特征。這可以從兩個角度理解:
一是國家會對重要數據的識別給出統一規定,即重要數據識別規則。但這是原則性規定,不同行業要根據國家標準的原則性規定,制定反映自己行業特色的重要數據識別細則;二是數據的分級按照一般數據、重要數據、核心數據劃分,但國家不會對數據進行統一分類,即國家層面只分級不分類,到了行業和地方層面則可以自行根據實際情況來確定分類方法。原因是,分類與數據重要性沒有關系,某種程度上說是為了監管的需要,而監管的需求則是各異的,不可能統一規定。
當然,雖然不同行業必須明確其重要數據級別,但還可基于國家標準做出更進一步的級別細分,例如對重要數據進一步劃分為三級或者五級,這也由行業自行確定。
記者:針對近日發布的《數據防泄露(DLP)技術指南》,請談談其意義?
左曉棟:數據安全可以從四方面理解:一是環境安全,即數據所在的網絡與系統的安全,因為數據安全與所處網絡和系統密切相關,網絡和系統如果被侵入則是“皮之不存毛將焉附”;二是數據資產安全,主要體現在數據自身是不是被攻擊、竊取、篡改;三是合規問題,即數據處理過程要符合法律法規規定,一個機構即使對數據做到了很好的保護,確保其不會受到外部威脅,但如果其自己濫采濫用呢?這是當前國家擔心的大問題;四是生產要素安全,數據是新的生產要素,而這個要素的作用發揮涉及到數據確權、數據授權、數據定價、數據開發利用主體選擇、數據開發利用過程監管等一系列新問題,這也是數據安全需要解決的痛點。
現在我們解決問題到什么程度了呢?以上的第一類問題基本解決了,但第二類問題還處在初級階段,后兩類問題解決得更不理想。即,數據自身安全——即保密性,簡言之就是防泄露問題,是最起碼、最基本的問題。而且從歷史看,防泄露問題是一個老問題,但今天“老革命遇到新問題”,面對一系列新的安全威脅,數據防泄露任重道遠,例如云環境下的既要防泄露又要確保授權人員公開可訪問,這就需要新的密碼算法。
記者:當前,不管是個人數據還是企業數據,都在從商業層面走向政治層面,與國家安全密切相關,后續在分類分級方面,有哪些需要重點關注?
左曉棟:就分類分級問題,國家正在制定兩個標準,一個是數據分類分級指南,另一個是重要數據識別規則。由于形勢變化和國家需求,現在對數據分類分級特別是對重要數據識別問題上,應該更多強調數據的國家安全和公共利益屬性。
如何判定一個數據是不是屬于重要數據?要重點突出它對國家安全的影響。比如說,算法推薦、定向推薦是一種輿論動員能力。此時,這些用戶地址、用戶特征、用戶畫像等,都是用來進行信息推送、輿論引導、社會動員的必備條件,這些就應當屬于重要數據。
記者:我國數據防泄露技術發展情況如何?
左曉棟:數據防泄露不是一個新產品。說起數據安全保護,一直以來有兩類典型產品,一類是數據加密類,這是保護數據的重要技術;另外就是數據防泄露類,即防止非授權人員訪問數據。但是這些年數據防泄露一直“不溫不火”,直到現在數據安全成為了重點工作,DLP產品才煥發青春。
我們一方面要保護數據的安全,另一方面還要把數據用起來,所以簡單把數據做加密是不夠的。尤其在當前云環境下,數據訪問者眾多、應用模式復雜,這就對數據防泄露提出了一系列新的要求。而且,很多時候“防內”比“防外”的需求更為強烈,因此數據防泄露產品依然具有巨大的生命力。
記者:在數據生命周期中,存在儲存、使用、流轉、銷毀等環節,任何一個環節如果出現紕漏,都可能出現數據安全問題。企業應該如何應對可能出現的風險?
左曉棟:根據《數據安全法》規定,企業要建立全流程數據安全管理制度。這就意味著企業保護數據安全時,不能僅僅關注某一個環節、某一個點,且每個階段、每個關注點還不一樣。比如,數據收集階段,要考慮數據來源是不是合法、數據質量能不能保證;數據開發利用階段,需要通過數據生成產品,要考慮能不能保護相關方的權益,這是非常復雜的過程。
《數據安全法》提出了原則性的要求,但是這個要求還不夠。所以,全國信息安全標準化技術委員會在今年的國家標準需求清單中列出的第一項標準,就是《重要數據處理安全要求》。因此,下一步各類企事業單位需要高度關注這個問題,在管理制度上、技術措施上做好準備,做到對數據的全流程保護,因為這是法定義務。
