楊大力 孫鵬科

隨著近年信息經(jīng)濟(jì)發(fā)展，數(shù)據(jù)價值的重要性已經(jīng)得到各界廣泛認(rèn)同，2020年4月9日，中共中央、國務(wù)院公布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》（簡稱“意見”），明確要素的范疇為土地、勞動力、資本、技術(shù)、數(shù)據(jù)。數(shù)據(jù)作為一種新型生產(chǎn)要素被提升至前所未有的高度，數(shù)據(jù)將充分發(fā)揮對其它要素效率的倍增作用，成為推動經(jīng)濟(jì)高質(zhì)量發(fā)展的新動能，關(guān)系經(jīng)濟(jì)增長長期動力，關(guān)系國家發(fā)展未來。

國家出臺了系列政策標(biāo)準(zhǔn)，推動數(shù)據(jù)治理和安全保護(hù)工作。中共中央辦公廳、國務(wù)院辦公廳2016年7月印發(fā)《國家信息化發(fā)展戰(zhàn)略綱要》（簡稱“《綱要》”），要求將信息化貫穿我國現(xiàn)代化進(jìn)程始終，加快釋放信息化發(fā)展的巨大潛能，以信息化驅(qū)動現(xiàn)代化，加快建設(shè)網(wǎng)絡(luò)強(qiáng)國?！毒V要》是規(guī)范和指導(dǎo)未來10年國家信息化發(fā)展的綱領(lǐng)性文件，其中明確提出“建立信息資源基本制度體系。探索建立信息資產(chǎn)權(quán)益保護(hù)制度，實(shí)施分級分類管理，形成重點(diǎn)信息資源全過程管理體系”；《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 25070-2019）（簡稱“《等保2.0》”）明確要求網(wǎng)絡(luò)運(yùn)營單位“應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理”，提出對重要數(shù)據(jù)資產(chǎn)進(jìn)行分類、分級管理；《意見》要求推動完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保護(hù)制度，加強(qiáng)對政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個人數(shù)據(jù)的保護(hù)。國家最新發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020）（簡稱“《規(guī)范》”）于2020年10月1日實(shí)施， 《規(guī)范》要求“個人信息控制者應(yīng)根據(jù)有關(guān)國家標(biāo)準(zhǔn)的要求，建立適當(dāng)?shù)臄?shù)據(jù)安全能力，落實(shí)必要的管理和技術(shù)措施，防止個人信息的泄漏、損毀、丟失、篡改”。

伴隨數(shù)據(jù)呈現(xiàn)的價值越來越高，數(shù)據(jù)面臨的風(fēng)險急劇加大，近年來各企事業(yè)單位的重要數(shù)據(jù)被外部人員竊取、內(nèi)部人員惡意泄漏和無意泄漏的事件層出不窮，數(shù)據(jù)安全愈發(fā)引起管理者的高度重視，對數(shù)據(jù)安全投入也持續(xù)增長。國際調(diào)查研究機(jī)構(gòu)ESG在疫情背景下發(fā)布了2020年度企業(yè)IT投入調(diào)查報告，從調(diào)查結(jié)果看，62%的機(jī)構(gòu)將在2020年增加網(wǎng)絡(luò)安全投入，來加強(qiáng)網(wǎng)絡(luò)安全防護(hù)與管控措施。網(wǎng)絡(luò)安全投入的四個重點(diǎn)領(lǐng)域占比：用于檢測威脅的人工智能/機(jī)器學(xué)習(xí)（32%）；數(shù)據(jù)安全（31%）；網(wǎng)絡(luò)安全（30%）；云應(yīng)用安全（27%）?？梢姅?shù)據(jù)安全的投入超過了網(wǎng)絡(luò)安全，數(shù)據(jù)安全管控點(diǎn)正在經(jīng)歷從傳統(tǒng)網(wǎng)絡(luò)安全到內(nèi)容安全的轉(zhuǎn)變，防止單位內(nèi)部敏感數(shù)據(jù)泄露已成為各單位安全防護(hù)監(jiān)管的重點(diǎn)。

終端（指泛終端概念，包括計算機(jī)終端、虛擬云桌面、手機(jī)移動端、PAD等）是數(shù)據(jù)之始、交互之所、沉積之地。絕大多數(shù)重要文件均在終端上起草、編輯、審閱，也是通過終端與終端、服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)訪問、傳遞、維護(hù)與管理，終端上駐留了大量的歷史數(shù)據(jù)和操作痕跡。數(shù)據(jù)泄漏事件往往與終端密不可分，業(yè)務(wù)用戶、數(shù)據(jù)運(yùn)維分析人員內(nèi)部泄密的主要方式是將敏感數(shù)據(jù)下載到客戶端，并進(jìn)行加工處理，最終通過外設(shè)接口導(dǎo)出（如USB、光驅(qū)等）或軟件外發(fā)（如交互軟件、郵件等）；黑客等外部人員竊密的主要方式是以終端為跳板，直接或間接獲取終端、文件服務(wù)器、數(shù)據(jù)庫和應(yīng)用系統(tǒng)中的數(shù)據(jù)。據(jù)統(tǒng)計，2018年我國終端安全產(chǎn)品市場規(guī)模已達(dá)百億元，相關(guān)咨詢機(jī)構(gòu)預(yù)測到2023年終端安全產(chǎn)品市場規(guī)模將達(dá)400億元。數(shù)據(jù)是終端安全保護(hù)的核心內(nèi)容，企事業(yè)單位對終端數(shù)據(jù)安全防護(hù)監(jiān)管的重視程度不斷提高，終端數(shù)據(jù)治理與安全防護(hù)恰逢其時。

如何高效保護(hù)終端數(shù)據(jù)的安全成為當(dāng)務(wù)之急。數(shù)據(jù)安全風(fēng)險存在于數(shù)據(jù)采集、傳輸、存儲、處理、共享交換及銷毀的整個數(shù)據(jù)生命周期。在數(shù)據(jù)生命周期中，應(yīng)及時評估潛在的數(shù)據(jù)安全風(fēng)險，制定有效、合理的數(shù)據(jù)安全技術(shù)策略、措施，從而降低數(shù)據(jù)泄露風(fēng)險，實(shí)現(xiàn)數(shù)據(jù)泄漏保護(hù)和數(shù)據(jù)丟失防護(hù)，形成面向用戶、面向業(yè)務(wù)應(yīng)用的基礎(chǔ)文件與數(shù)據(jù)服務(wù)的安全運(yùn)營平臺。結(jié)合Gartner數(shù)據(jù)安全治理總體框架，終端數(shù)據(jù)治理與安全防護(hù)應(yīng)重視數(shù)據(jù)分類分級能力、監(jiān)控審計能力和大數(shù)據(jù)分析能力；通過數(shù)據(jù)分類分級管理、在線分類梳理、用戶及組織管理、識別規(guī)則及策略管理、集中進(jìn)行事件監(jiān)控、處理、審計和統(tǒng)計分析，同時配合對異常行為、外部威脅的監(jiān)管響應(yīng)控制，實(shí)現(xiàn)對終端數(shù)據(jù)內(nèi)容掃描發(fā)現(xiàn)、分類分級、數(shù)據(jù)分布、追蹤溯源、威脅檢測響應(yīng)等功能。同時隨著云技術(shù)的應(yīng)用和發(fā)展，本地終端數(shù)據(jù)將逐步與云端數(shù)據(jù)同步處理，因此終端數(shù)據(jù)安全框架體系應(yīng)涵蓋云端處理的數(shù)據(jù)治理與防護(hù)。

終端中存儲的數(shù)據(jù)中包含了個人信息，在開展數(shù)據(jù)治理與安全防護(hù)工作中要充分考慮個人信息保護(hù)工作，產(chǎn)品設(shè)計開發(fā)應(yīng)滿足國家的相關(guān)標(biāo)準(zhǔn)規(guī)范要求。如《規(guī)范》要求“涉及通過界面展示個人信息的（如顯示屏幕、紙面），個人信息控制者應(yīng)對需展示的個人信息采取去標(biāo)識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險”、“在向個人信息主體提供業(yè)務(wù)功能的過程中使用個性化展示的，應(yīng)建立個人信息主體對個性化展示所依賴的個人信息（如標(biāo)簽、畫像維度等）的自主控制機(jī)制，保障個人信息主體調(diào)控個性化展示相關(guān)程度的能力”；《等保2.0》明確運(yùn)營單位“應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息”、“應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息”。

國家對數(shù)據(jù)安全的高度重視及企事業(yè)單位國有數(shù)據(jù)安全的內(nèi)在需求提速發(fā)展，終端數(shù)據(jù)治理與安全防護(hù)產(chǎn)業(yè)迎來發(fā)展機(jī)遇期。數(shù)據(jù)安全相關(guān)企業(yè)需持續(xù)圍繞“數(shù)據(jù)”生產(chǎn)要素這一核心驅(qū)動力，結(jié)合新時代發(fā)展需求，設(shè)計出源于用戶又高于用戶需求的數(shù)據(jù)安全類產(chǎn)品，形成涵蓋終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫、云平臺的整體安全解決方案，做好“保鏢式”貼身服務(wù)。

作者單位：中孚信息（北京）研究院