随着以人工智能、大数据和物联网为代表的信息技术革命的推进,数据的价值进一步凸显,数据成为企业的重要资产和持续创新的推动力。因此,保障数据在采集、传输、利用和共享等各个环节安全的重要性不言而喻。
数据泄露的发生一方面给受害企业带来直接或间接的经济损失,另一方面大规模安全事件中绝大部分包括个人信息及敏感数据,这给涉及的用户个人信息与隐私安全带来潜在的危害。因此,数据泄露防护产品成为保障数据安全的重要屏障。
数据泄露防护是指通过一定的技术和管理手段,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或无意泄露出去。
数据泄露防护产品以数据资产为中心、泄露风险为驱动,依据数据信息特点,有效识别敏感数据,灵活采用加密、隔离、内容智能识别、监测、审计、拦截等多种不同技术手段,防止存储、网络、终端、移动计算、云计算等各种应用场景下的数据泄露及扩散,对用户泄密行为进行记录、告警及阻断,并对用户行为进行审计。
一、数据安全政策背景
随着近年来国内网络安全事件频繁发生,我国政府的信息安全防护建设意识逐渐加强,政策支持力度不断上升。2020年,数据安全相关的政策法规已经涵盖到从国家网络安全、重点行业信息安全到个人信息保护等各个层面,从顶层设计逐渐向落地实施转变。2016年11月,我国颁布了《中华人民共和国网络安全法》,这是我国网络安全领域的第一部完整法律,明确了个人信息保护规则、关键信息基础设施重要数据跨境传输规则等。
此外,我国还相继出台了《加强网络信息保护的决定》《电信和互联网用户个人信息保护的规定》《互联网个人信息安全保护指南》《工业数据分类分级指南(试行)》等一系列保障数据安全及个人信息的法律规范。2021年6月发布的《中华人民共和国数据安全法》也提出了从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置的数据全生命周期各环节的安全评估与防护要求。
近三年来,国家在关键信息基础设施安全保护制度方面及个人信息和重要数据保护制度方面出台了众多法律法规,关键信息基础设施运营者的安全保护义务得以进一步明确,对个人信息权的保护在各项重要法规中建立了相应的保护机制。将来,国家在法律法规不断完善的基础上会出台各种实施细则,涉及网络安全的配套政策将快速下沉到电信和互联网、工业、教育、农业等各行各业,推动网络安全行业发展。
二、中国数据泄露防护产品市场发展现状
从政策颁布频率可以看出,针对国家秘密、商业秘密以及个人隐私保护等方面的监管不断趋严,数据泄露防护相关法规及条例也在不断出台,作为中国数据安全领域的重点产品之一的数据泄露防护产品的市场需求也逐步提高。
2020年中国数据泄露防护产品市场增长有所放缓。2020年,新冠肺炎疫情期间数据泄露事件仍然频发,在线及远程办公的场景增多,政企客户对数据泄露防护产品的需求依旧较多,但受到疫情对整个经济行情的影响,增速有所放缓。2020年,中国数据泄露防护市场规模为10.3亿元,增长率为8.4%。
企业内部泄密成为泄密事件的重点渠道。从历年企业数据泄露事件来看,绝大部分的泄密风险来自企业内部,邮件外发和互联网上传是泄密事件发生概率最高的两个渠道。数据资产对企业经营的重要性越来越大,然而多数企业对数据安全风险预估不足,对数据安全的重视程度、资源投入不够。
当前,企业数据资产保护主要采取网络边界防护和终端管控手段,缺少对内容的深度识别和感知技术,缺乏对敏感数据的全方位治理与安全管理。因此,面向“外部”入侵的防护将向基于敏感数据检测、监控、防护等面向“内部”的风险防护方向演进。数据泄露防护可以利用终端产品对用户行为的监控能力,构建基于用户行为模型的数据安全防护体系,将用户行为异常分析能力赋予数据防泄露检测设备,实现动态赋能、提前预警与全网协同监控。
随着企业对内部管控重视程度的不断提升,数据泄露防护产品的重要地位也将逐渐凸显。
数据的流转和场景决定数据泄露防护产品的应用范围。做好数据泄露防护工作就要从数据存储、网络传输和终端应用等多方面部署防护产品,实现对数据泄露的有效监管。国内的数据泄露防护产品主要针对网络、端点、邮件及应用等数据存储、传输和应用的全生命周期进行数据安全防护。随着云计算的快速部署,数据的使用范围和场景很多已经迁移到云平台上,因此,也衍生出了云数据泄露防护相关的产品,来有效保障云上数据安全。
未来,随着物联网、人工智能技术的不断发展,数据赖以生存的环境在不断发生变化,数据泄露防护产品的防护范围也将随之不断拓展。
用户需求驱动数据泄露防护产品市场快速发展。从2002年国内首次出现以防止敏感信息泄露为目的的防火墙开始,数据泄露防护领域先后发展了主机监控与审计、桌面管理、移动存储介质管理、终端准入、透明加解密、加密网关、文档外发管理、文档权限管理等一系列细分方向,并形成了一个特有的产品市场。数据泄露防护是数据安全类最为直接和根本的产品,相较于监控与审计类产品,数据泄露防护产品的市场销售价格保持在一个比较合理的区间。
此外,企业购买这类产品,基本都缘于对自身信息资产的防护要求较高,并且企业所处的行业都面临着较为激烈的商业竞争等考虑,而数据泄露防护产品可以很好地保证企业在商业竞争中的利益和安全。总体而言,数据泄露防护产品的市场需求未来很可能呈现井喷趋势,发展速度较快。
三、未来数据防泄露产品发展建议
数据泄露防护产品要应对多场景、精细化、协同化的数据防护需求。数据泄露防护是系统性问题,应在数据的存储、传输和使用阶段均提供防护机制。因此,为实现有针对性的全过程安全防护,数据泄露防护需要与公司业务系统进行深度融合,针对不同阶段和不同业务场景,根据数据特点提供相应保护,实现数据的分级、分类、分层管控,避免“过保护”或“弱保护”。
同时,未来将推出更多具备精细管控、全面防护、深度可视、协同防御、智能运维等特点的新一代数据安全产品。态势感知将成为持续安全监测、响应处置、调查分析与溯源的关键决策支撑;大数据安全分析平台作为积极防御的核心,在与EDR、NDR等产品结合后,也将使数据驱动的安全协同成为主流。
以数据全生命周期安全为思路打造动态数据防控体系。针对数据泄露防护面临的问题,构建以数据全生命周期安全防护为思路的动态安全防控体系,通过数据治理、安全机制、风险识别和审计溯源等手段识别和控制数据在访问、应用和流转动态过程中面临的安全风险。把握大数据环境中数据安全的本质和特点,从静态数据泄露防护过渡到分析挖掘和交易共享等数据流动过程中的数据泄露防护。以数据全生命周期安全防护为核心,通过对数据流转过程中的风险分析,挖掘数据泄露行为,由被动安全防护转向主动风险控制,高效识别数据泄露风险。最终,根据数据泄露原因和数据泄露防护面临的问题,建立涵盖无意数据泄露、有意数据泄露、黑客攻击窃取等全方位的安全防护机制。
数据泄露防护产品应当充分融入数据治理体系。大数据时代,要在数据安全合规和隐私保护的前提下打破数据孤岛促进数据流动,因此,数据安全以技术防护为主的传统方式将转变到数据安全治理的思路。
为了更好地保障个人信息安全,避免相关数据泄露事件发生,企业应该未雨绸缪,从治理层面摸清企业敏感数据分布与流动态势,对重要的数据资产服务器进行重点防护与安全配置检查,进行分级分类、数据脱敏和权限管控,定期进行漏洞扫描与风险评估等。
随着业务场景和问题挑战的愈发多样,数据泄露防护产品也应该和一些新的数据安全技术和理念相结合,充分融入从管理到技术及运营的一整套数据安全治理体系当中去。
