导语:现阶段,我国正面临着日益增长的数据安全风险和挑战,随着数字化的快速推进和互联网的广泛应用,大量个人和企业的敏感信息被存储和传输,数据泄露、网络攻击和恶意软件等安全事件也呈上升趋势。在此背景下,我国政府加大了对网络数据安全监管的力度,推出了一系列相关法规和政策,加强监管力度,推动数据基础制度建设,促进数据流动和合规使用,并要求企业和机构加强数据保护和隐私保护措施。
引言
现阶段,我国正面临着日益增长的数据安全风险和挑战,随着数字化的快速推进和互联网的广泛应用,大量个人和企业的敏感信息被存储和传输,数据泄露、网络攻击和恶意软件等安全事件也呈上升趋势。
在此背景下,我国政府加大了对网络数据安全监管的力度,推出了一系列相关法规和政策,加强监管力度,推动数据基础制度建设,促进数据流动和合规使用,并要求企业和机构加强数据保护和隐私保护措施。2023年1月,工信部等十六部门印发《关于促进数据安全产业发展的指导意见》,对数据安全产业提出产业规模、复合增长率、先进示范区、产业园、专精特新等具体数字指标要求;2023年2月,中共中央、国务院印发《数字中国建设整体布局规划》强化数字技术创新体系和数字安全屏障“两大能力”数据安全和个人信息保护连续三年被写入政府工作报告。同时,企业和组织也增加了对数据安全的投入,加强安全技术和人员培训,提升数据防护能力。我国也在积极探索和推动数据安全的技术创新与合作,致力于建立健全数据安全体系,保护个人和企业的数据安全和隐私权益。
嘶吼界定 | 数据防护安全保障数据免受威胁
嘶吼安全产业研究院认为,数据防护安全旨在建立一个全面的安全框架,确保数据受到适当的保护,并减少数据遭受安全威胁的风险。通过数据防护安全的措施,企业和组织可以建立可靠的信息安全体系,提高数据管理的可信度和可靠性,保护数据的隐私性和完整性,从而为用户和组织提供更安全的数字环境。
嘶吼安全产业研究院认为,数据防护安全的重要性尤为重要,因此将数据防护安全分为:数据防泄漏、数据脱敏、数字水印、数据加密四类,从而保护数据免受潜在安全威胁的控制和保护。
数据防泄漏是数据安全重要的防护手段,根据嘶吼安全产业研究院的界定,数据防泄漏隶属于数据防护安全旗下,主要指通过AI、数字指纹和图像识别等技术,对各种潜在数据漏洞、外部威胁或内部人为错误进行及时识别、监测、管理和防范,防止企业核心数据流出泄密,实现对企业核心机密数据的保护和管理。数据泄漏可能导致严重的财务损失、声誉损害和法律责任,因此保护数据免受泄漏织重要的安全目标之一。
嘶吼安全产业研究院《时维鹰扬·履践致远:数据安全细分市场调研报告》将数据防泄漏分类界定为:终端DLP、网络DLP 、邮件DLP、应用DLP、存储DLP等。
嘶吼洞察 | 市场、技术、行业三方面解读数据防泄漏
嘶吼洞察一:数据防泄漏在数据安全细分领域市场规模尤为突出
根据嘶吼安全产业研究院自主调研企业提供的细分产品汇总的数据了解到,目前数据防护安全整体市场规模15.6亿元,而数据防泄漏8.6亿元,占比达到55%,主要包括:终端DLP、网络DLP、邮件DLP、应用DLP、存储DLP等。
根据嘶吼安全产业研究院的数据,数据防泄漏是在数据安全防护细分领域中参与厂商最多的一个分类,共有60家企业提供相关产品。数据防泄漏这个概念最早在本世纪初引入国内,并经过了十多年的发展。目前国内已经涌现出多家相对成熟的数据防泄漏产品供应商,市场上出现了各种不同类型的产品。这些产品为组织提供了多种选择,以满足不同需求和业务背景下的数据防泄漏需求。
嘶吼洞察二:精确数据比对、指纹匹配等技术共同引领数据防泄漏升级更新
1、高精度对比提取指纹信息,加强身份文档的真实性
嘶吼安全产业研究院认为,通过文件与指纹相匹配技术,可以对文件中的指纹信息进行高精度比对和验证,从而确保身份文档的真实性和合法性,提供了安全可靠的身份验证手段,能够有效防止身份欺诈和伪造文档的风险。文件与指纹相匹配技术还可以通过对大量身份文档的自动化比对和验证,提高处理效率和准确性,降低了人力成本和出错的可能性。
2、识别并消除冗余数据,精准数据比对技术提升数据准确性
嘶吼安全产业研究院认为,精准数据比对技术主要用于识别数据中的重复项、验证数据的准确性、寻找相似的数据记录等。精准数据比对技术能够识别并消除数据中重复、冗余或不完整的部分,从而提高数据的准确和完整性。通过比对和修复数据,在数据中引入更高的质量标准,从而提高数据质量和可信度。这些优势能够帮助组织更好地管理和利用数据资源,提高业务效率和决策质量。
3、结合向量化能力,准确识别分类敏感数据
嘶吼安全产业研究院认为,DLP向量分类比对技术的优势在于它结合了向量化和机器学习方法的优点,能够更准确地识别和分类敏感数据。通过训练一个有效的向量分类模型,可以将传统的敏感数据识别技术与机器学习的能力相结合,提高数据泄露防护的准确性和效率。该技术可以应用于各种场景,包括数据传输监测、数据存储安全、数据泄露检测等,以提供全面的数据保护。
嘶吼洞察三:金融、运营商对数据防护安全需求最为明显
嘶吼安全产业研究院认为,对数据防护安全需求较大的行业排序依次是:金融、运营商、政务、互联网及非政企事业单位、能源。不同行业对数据防护安全的具体需求大不相同,如金融行业对数据的需求已经变为数据要素价值提取的高度,需要更前瞻的安全防护,政务行业目前更聚焦合规、国产化方向。
金融行业的数据包括客户的个人身份信息、财务数据、交易记录等,这些数据对客户和金融机构本身都具有极高的价值。金融机构需要确保这些敏感数据受到严格的保护,防止数据泄露、滥用或未经授权的访问。合规性要求方面,金融行业受到严格的合规性法规和标准的约束,要求金融机构采取措施以确保数据的安全和隐私保护,金融机构需要满足这些要求并进行合规性审计和报告;交易保密性方面,金融行业存在大量涉及资金交易的数据,包括电子支付、交易结算等,保护这些交易数据的安全和保密性对于防止欺诈、非法访问和数据篡改至关重要;客户隐私保护方面,金融机构必须保护客户的个人身份信息和敏感账户信息,数据防护措施需要包括客户身份认证、数据加密、访问控制等,以防止客户信息被盗取、滥用或未经授权访问;业务连续性方面,金融交易的高度依赖性和对实时性的要求,要求金融机构必须对数据的备份、恢复和灾难恢复进行有效的管理和保护,以保障业务的连续性和数据的可用性。
政务行业对数据安全防护的需求主要集中在保护政府机构数据、维护公共安全、应对灾难和紧急情况、促进政府间数据共享和合作,以及确保危机管理和国家安全的需要。政府机构需要采取多层次的防护措施,包括访问控制、加密、身份认证、安全审计和灾难恢复计划,以确保政务数据的保密性、完整性和可用性。
嘶吼洞察四:数据防泄漏技术能有效保护敏感数据不被泄露
嘶吼安全产业研究院认为,数据防泄漏具有三大功能,有效保证敏感数据不被泄露,分别是:保护敏感数据、遵守合规要求、应对外部威胁,具体来说:
第一,保护敏感数据。数据防泄漏可以帮助组织在数据流转过程中实时监测、识别和保护敏感数据,防止数据泄露和不当使用。
第二,遵守合规要求。数据防泄漏可帮助组织满足合规性要求,通过监测和控制数据流动,避免敏感数据的非法访问、使用和泄露,减少合规风险。
第三,应对外部威胁。数据防泄漏可以识别和拦截黑客攻击、网络钓鱼等威胁,防止攻击者获取和利用敏感数据。
嘶吼洞察五:数据分类标识、遗漏误报等问题亟待解决
嘶吼安全产业研究院认为,随着数据的规模和复杂性不断增加,企业和组织需要管理和保护大量的数据,使得数据防护安全变得更加困难。不断涌现的安全威胁和攻击技术让数据泄漏的风险也随之增加,黑客和攻击者不断寻找新的方式来获取和滥用数据。在数据防泄漏技术发展的过程中,仍面临众多难点亟待解决,如:准确识别敏感数据、遗漏误报数据问题、隐私合规性等。
准确识别敏感数据:准确识别和分类敏感数据是有效进行数据防泄漏的基础,然而组织内大量多样的数据格式增加了分类和标识的复杂性,数据的动态变化和流通也增加了数据分类和标识的难度。
遗漏和误报问题:DLP在检测敏感数据泄漏时会发生未能检测到实际的敏感数据泄漏事件或者将非敏感数据识别为敏感数据导致误报警告, 这些问题可能导致用户对DLP失去信任,并影响其有效性。
运维复杂性:DLP需要监控大量的数据流量和网络通信,并进行实时识别和分析。这要求强大的计算和存储能力,同时增加了系统的维护和管理工作量。
支持加密通信和云环境:DLP需要支持对加密数据的分析和监控,同时要能适应云环境中数据的复杂流动和共享。
隐私和合规性:数据防泄漏需要平衡数据安全和用户隐私之间的关系。DLP在监控敏感数据时需要保护用户隐私,并确保符合相应的合规性要求,如通用数据保护条例等。
数据防泄漏典型厂商-观安信息
观安信息聚焦数据安全、网络空间安全、5G 安全、人工智能安全、工业互联网安全及公共安全等核心方向,为运营商、政府、金融、电力、公安、医疗等行业用户提供全面的信息安全解决方案。公司核心团队有着20多年信息安全专业技术经验、10多年大数据分析经验。在国内外网络安全技术竞赛中,多次斩获金奖,并多次参与国家重大活动信息安全保障工作。
观安信息典型案例-某金融保险
(一)项目背景
某保险作为国内保险行业第一梯队的龙头型企业,每天有数以万计的保单交易发生。但不时存在诸如保单号、投保人/被保人信息等保单信息泄露,导致刚下单不久的客户被第三方销售电话侵扰、保单客户被诱导代理骗保等情况发生,除了给企业带来了巨大经济损失外,也严重损害了客户对公司的信任,影响续保率,产生了极为不佳的负面影响。保单泄露的风险一般发生在市场等相关业务人员接触最多的前台业务链上;前台业务链业务繁杂,业务系统繁多,每天有大量不同岗位角色的人员接触,基于保单信息的经济价值诱惑,非常容易滋生泄露事件发生。因此,希望在业务部门提供泄露的保单信息前提下,对泄露源头进行追溯排查。
(二)数据泄漏溯源场景
1.痛点/需求
(1)敏感接口发现
(2)敏感接口风险点监测
(3)基于敏感接口访问进行溯源
(4)对人为数据泄漏行为进行分析等
2.解决方案
通过业务应用流量接入后,对接口中token信息进行账号提取,形成账号/源IP访问业务系统应用接口的完整信息。经过1-2周的运行,系统通过监测模型和溯源能力,依照5W1H,完整描绘出包含保单信息的业务接口访问。
3.客户价值
(1)通过数据溯源能力,输入泄漏的信息,通过线索自动聚合分析,将可疑人为推举出来,供安全人员查证分析,并形成报告;
(2)产品上线后实现对企业80%+泄露数据的溯源查证,减少客户投诉数量50%+,有效提升企业品牌价值、客户续保率,有效提升企业品牌价值;
(3)风险效果
敏感数据伪脱敏:该接口传输中包含了手机号,前端展示采用了静态JS遮蔽,存在信息泄露风险。敏感信息展示,建议采用数据脱敏、数据水印等技术手段。
接口存在SQL注入并获取敏感信息:攻击者可以通过构造特殊 URL 的手段,利用 SQL 注入漏洞从数据库中获取敏感数据。建议对用户输入的数据进行全面的安全检查或过滤。
(三)数据脱敏防泄漏场景
1.痛点/需求
核心生产库的个人信息需实时同步至业务库,分发渠道范围扩大,数据泄露后溯源定责难;个人信息,比如身份证、手机号,经过脱敏之后再同步出库,则对业务侧使用造成影响。
2.解决方案
通过数据脱敏平台读取核心业务库数据;数据脱敏平台采用可逆仿真脱敏算法,将个人信息(身份证、手机号)脱敏后同步分发给各个业务库;业务系统一般展示脱敏后个人信息;当需要联系客户时,将脱敏后个人信息(身份证、手机号等)、加密密钥上传到脱敏平台;脱敏平台利用可逆算法,将数据还原,并返回原始数据;业务系统将真实个人信息(脱敏前)展示给用户。
3.客户价值
(1)通过脱敏算法减少敏感数据暴露面;
(2)从源头对数据进行脱敏处理;
(3)用户日常访问的客户信息为脱敏数据,减少数据泄露防护面,解决数据分发过多的问题;
(4)针对需要使用真实敏感数据的业务进行重点审计监控;
(5)对业务干扰较小,安全治理成本低;
(6)有效收紧数据泄露的泄露源头及泄露途径,提高数据泄露的治理效果。
数据防泄漏典型厂商-天融信
天融信科技集团(以下简称“天融信”)创始于1995年,是中国领先的网络安全、大数据与云服务提供商。天融信为客户提供高效、准确、友好的敏感数据防泄漏解决方案,经过多年市场积累,形成了数据防泄漏集中管理系统、网络数据防泄漏、终端数据防泄漏、邮件数据防泄漏、应用数据防泄漏等丰富的产品家族,适用于基础网络、物联网、车联网、工业互联网和云场景等多种应用场景。
天融信典型案例-北京某三甲医院数据防泄漏项目
1.项目背景
医疗行业作为与国民经济和人民生活密切相关的基础性行业,经过多年的信息化建设,沉淀形成了规模巨大具备行业特性的数据集合。随着信息化大数据时代的到来,IT系统逐渐渗透至医疗行业的各个环节,如医院的HIS系统、PACS系统、LIS系统、EMR系统、OA办公系统、ERP系统等,大量的患者信息存储采用电子化留存,在助力我国医疗互联互通改革的同时也存在巨大风险。
2.客户需求
医疗信息化发展普遍面临数据边界模糊、数据暴露面增加、数据防护手段有限等问题,导致患者信息泄露事件和医疗违规事件频发。同时,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 健康医疗信息安全指南》以及等保2.0等法律法规要求中,均明确指出重要数据需要实行重点保护。因此,建立对应的医疗数据安全管理机制并采取适宜的技术措施,实现对医院数据的有效保护,以规避潜在的违法违规和患者隐私数据泄露风险,是医疗信息化建设必须重点考虑的问题。
3.客户痛点
数据泄露是困扰医疗行业的重大问题之一,医疗行业涉及大量个人敏感信息,单条数据的价值就非常大。因此,防止数据泄露是保护医院数据安全非常重要的一环。
满足合规要求:数据安全成为《“十四五”全民健康信息化规划》部署的关键领域,《医疗卫生机构网络安全管理办法》重磅出台,为医疗机构网络安全和数据安全管理提供指引。医院的数据安全建设需要满足相关法律法规的要求。
隐私泄露风险:大量患者的信息集中存储在一起,且由于诸多医疗设备处于开放或者半开放的网络环境中,入侵者可以轻易地进入医院网络进行物理攻击。此外,内部人员(如系统管理人员、系统维护人员、办公人员等)泄露也是患者信息安全面临的重要威胁。
数据滥用风险:医院内部敏感数据高度集中,其数据价值非常之高,医疗数据存在被滥用的风险,例如存在用于药企非授权科研合作、跨国非法基因数据采集等。
数据安全追溯:该医院的数据存储和传输安全性有待提升,可能存在数据被黑客攻击或意外泄露的风险。一旦发生数据泄露,需要根据监管部门要求提供该敏感文件在医院内部的流转情况,并对其进行追踪溯源。
4.解决方案
本方案在运维区部署数据防泄漏集中管控系统,实现对网络防泄漏的统一管理、策略下发和事件分析、事件统一展示等功能。同时,在互联网出口以及专网出口处部署网络数据防泄漏系统(以下简称:网络DLP),提供如下核心能力:
启用网络 DLP 内置的医疗行业策略模板,对该医院传输敏感数据进行发现、检测并生成告警;
对通过HTTP、SMTP、FTP等协议上传的文件、发表的敏感言论进行实时检测;
对通过邮件发送的敏感内容如敏感主题、敏感正文、 敏感附件等进行检测,对通过邮件渠道传输的敏感内容进行识别和管理控制;
提供文件水印能力,针对外发重要文件进行水印标注,实现文件溯源能力;
识别多种非正常工作场景的异常行为,杜绝员工风险行为;
在内部专网出口的网络 DLP 系统上启用识别数据库协议的能力,针对数据库的访问操作进行监测,防止相关人员违规访问、绕行访问等风险;
提供网络 DLP 事件脱敏能力,针对网络 DLP 事件中的敏感数据信息进行脱敏处理,防止二次泄露;
针对账户访问应用系统相关 API接口进行全量发现,并生成数据日志上报给第三方平台,完成对 API 接口的审计以及画像。
5.客户收益
满足合规要求:满足《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 健康医疗信息安全指南》、等保2.0等国家、行业对于数据安全防护的相关要求;
提高医院数据安全防护能力:构建了内外网的数据安全,降低因有意或者无意泄漏重要信息带来的损失,进一步提高医院的数据安全防护和保障能力;
保护患者隐私:针对重要数据、个人信息、敏感数据,依据有效的数据分类分级结果对网络渠道进行有效的管控和审计,实现对敏感数据的防护,有效防止敏感数据被非法获取、使用或泄露,从而保护患者的隐私权;
维护医院声誉:如果医院数据发生泄漏,可能导致患者对医院的信任度下降,进而影响医院的声誉。通过建设数据防泄漏系统,可以降低数据泄漏风险,维护医院的良好声誉。
嘶吼前瞻 | 未来从云原生、行业定制化等方面布局提升数据防泄漏能力
嘶吼安全产业研究院认为,未来,想要提高数据防泄漏对于数据安全的能力,需要从云原生化、行业定制化、合规化等方面入手。
首先,是云原生化方面,云原生和混合环境支持促进DLP升级换代。随着云计算的普及和组织对云服务的依赖增加,DLP将需要提供云原生的支持和功能。未来的DLP系统将能够与云服务提供商的平台和工具集成,并提供专门针对云环境的敏感数据保护和监控能力。此外,由于许多组织在云和本地环境之间采用混合部署模式,DLP系统还将提供对混合环境的无缝支持,确保数据在各个环境中的一致性保护。
其次是行业化定制化方面,不同行业面临的数据泄漏风险和合规性要求可能有所不同。因此,具备DLP的厂商需要了解不同行业的特殊需求,提供专门为各行业量身定制的解决方案。例如,在金融行业,DLP可能会更加关注对客户个人身份信息和金融交易数据的保护,而在医疗行业,重点可能是保护患者的健康记录和医疗图像数据。
增强DLP合规性支持。随着数据保护法规和合规性要求的不断加强,DLP系统将提供更强大的合规性支持功能。未来的DLP将能够更好地满足各个行业的特定合规性标准,并提供更详细和全面的合规性报告和审计功能,帮助组织满足监管机构的要求,并保持数据安全和合规性。
嘶吼安全产业研究院取得数据的途径来源于公开资料、厂商调研和行业访谈等,报告力求内容客观、公正,但所载观点仅供参考使用,对依据或使用本报告及本司其他相关研究报告所造成的一切后果,本司及作者不承担法律责任。