數(shù)據(jù)分類分級(jí)方法及典型應(yīng)用場(chǎng)景

01 數(shù)據(jù)分類分級(jí)概述



數(shù)據(jù)安全是指保護(hù)數(shù)據(jù)的機(jī)密性、完整性和可用性。當(dāng)前數(shù)據(jù)安全領(lǐng)域主要關(guān)注的防護(hù)對(duì)象包括個(gè)人信息和重要數(shù)據(jù)。



個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。



重要數(shù)據(jù)是指不涉及國(guó)家秘密,但與國(guó)家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù),包括但不限于公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的各類機(jī)構(gòu)在開(kāi)展業(yè)務(wù)活動(dòng)中采集和產(chǎn)生的,不涉及國(guó)家秘密,但一旦泄露、篡改或?yàn)E用將會(huì)對(duì)國(guó)家安全、經(jīng)濟(jì)社會(huì)發(fā)展和公共利益造成不利影響的數(shù)據(jù)。



為了更好的理解和認(rèn)識(shí)什么是數(shù)據(jù)分類分級(jí),從數(shù)據(jù)、數(shù)據(jù)來(lái)源、數(shù)據(jù)分類以及數(shù)據(jù)分級(jí)等方面展開(kāi)。

1、數(shù)據(jù)

數(shù)據(jù)是指任何以電子或其他方式對(duì)信息的記錄。同時(shí)也指信息可再解釋的形式化表示,以適用于通信、解釋或處理,可以通過(guò)人工或自動(dòng)手段處理數(shù)據(jù)。也指通過(guò)事實(shí)或觀察的結(jié)果,是對(duì)客觀事物的邏輯歸納,是用于表示客觀事物的未經(jīng)加工的原始素材,它是可識(shí)別的、抽象的符號(hào)。
數(shù)據(jù)類型包括結(jié)構(gòu)化數(shù)據(jù)(如RDD、SQL、JSON、NOSQL、表格數(shù)據(jù)等)、半結(jié)構(gòu)化數(shù)據(jù)(如日志文件、XML文檔、JSON文檔、Email等)、非結(jié)構(gòu)化數(shù)據(jù)(如辦公文檔、文本、圖片、XML、HTML、各類報(bào)表、圖像和音頻/視頻信息等)。
通俗點(diǎn)講,我們把人體的血液比作數(shù)據(jù),器官比作企業(yè)各個(gè)部門(mén)。流動(dòng)的數(shù)據(jù)才能為各個(gè)部門(mén)傳遞信息,從而更好的協(xié)作。
2、數(shù)據(jù)來(lái)源
數(shù)據(jù)的來(lái)源主要來(lái)自于三個(gè)方面:
第一源于企業(yè)內(nèi)部,如交易、運(yùn)營(yíng)、財(cái)務(wù)、人力等部門(mén)產(chǎn)生的自有數(shù)據(jù)。
第二源于三方數(shù)據(jù),如網(wǎng)絡(luò)數(shù)據(jù)、通信數(shù)據(jù)、信用數(shù)據(jù)、客戶數(shù)據(jù)等。
第三源于采集數(shù)據(jù),如通過(guò)傳感器、圖像視頻、社交媒體、物聯(lián)網(wǎng)等途徑接收到的數(shù)據(jù)。
不論是哪種數(shù)據(jù),都將作為企業(yè)的數(shù)據(jù)資產(chǎn),納入數(shù)據(jù)分類分級(jí)范圍。下圖是數(shù)據(jù)來(lái)源示意圖:

251505bk-1.png
數(shù)據(jù)的來(lái)源
3、數(shù)據(jù)分類
數(shù)據(jù)分類是指根據(jù)組織數(shù)據(jù)的屬性或特征,將其按照一定的原則和方法進(jìn)行區(qū)分和歸類,并建立起一定的分類體系和排列順序,以便更好地管理和使用組織數(shù)據(jù)的過(guò)程。數(shù)據(jù)分類是數(shù)據(jù)保護(hù)工作中的一個(gè)關(guān)鍵部分,是建立統(tǒng)一、準(zhǔn)確、完善的數(shù)據(jù)架構(gòu)的基礎(chǔ),是實(shí)現(xiàn)集中化、專業(yè)化、標(biāo)準(zhǔn)化數(shù)據(jù)管理的基礎(chǔ)。

4、數(shù)據(jù)分級(jí)
數(shù)據(jù)分級(jí)是指在數(shù)據(jù)分類的基礎(chǔ)上,采用規(guī)范、明確的方法區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異,按照一定的分級(jí)原則對(duì)其進(jìn)行定級(jí),從而為組織數(shù)據(jù)的開(kāi)放和共享安全策略制定提供支撐的過(guò)程。



02 數(shù)據(jù)分類分級(jí)方法



開(kāi)展數(shù)據(jù)安全的第一步就是要識(shí)別數(shù)據(jù)、基于業(yè)務(wù)特點(diǎn)進(jìn)行數(shù)據(jù)的分類和分級(jí)。數(shù)據(jù)分類分級(jí)的準(zhǔn)確度是后續(xù)數(shù)據(jù)保護(hù)策略部署的基礎(chǔ)。



一般數(shù)據(jù)分類分級(jí)的流程包括:制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),準(zhǔn)備數(shù)據(jù)樣本、建立敏感數(shù)據(jù)規(guī)則庫(kù),掃描目標(biāo)存儲(chǔ)設(shè)備,自動(dòng)化數(shù)據(jù)測(cè)繪。



01

制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)

根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)、行業(yè)相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)業(yè)務(wù)特性制定企業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)/規(guī)范,例如:



251505bk-2.png



02

準(zhǔn)備數(shù)據(jù)樣本、建立敏感數(shù)據(jù)規(guī)則庫(kù)


251505bk-3.png



03

掃描目標(biāo)存儲(chǔ)設(shè)備,自動(dòng)化數(shù)據(jù)測(cè)繪

通過(guò)專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備對(duì)結(jié)構(gòu)化/半結(jié)構(gòu)化/非結(jié)構(gòu)化數(shù)據(jù)掃描,自動(dòng)發(fā)現(xiàn)敏感數(shù)據(jù)的大小、數(shù)量等屬性信息及存儲(chǔ)位置,形成數(shù)據(jù)資產(chǎn)的測(cè)繪圖。



251505bk-4.png



03 數(shù)據(jù)分類分級(jí)的幾個(gè)典型應(yīng)用場(chǎng)景



01

 企業(yè)用戶的使用場(chǎng)景

一般需求

企業(yè)用戶做數(shù)據(jù)安全建設(shè)工作:首先梳理企業(yè)數(shù)據(jù)資產(chǎn)、分類分級(jí),根據(jù)分類分級(jí)結(jié)果制定數(shù)據(jù)管控策略,實(shí)施管控措施,全景展示數(shù)據(jù)安全態(tài)勢(shì),持續(xù)運(yùn)營(yíng)改進(jìn)。



(1) 開(kāi)放API接口,允許其他數(shù)據(jù)安全防護(hù)設(shè)備讀取敏感數(shù)據(jù)信息進(jìn)行數(shù)據(jù)安全防護(hù)策略的配置和部署。



(2) 針對(duì)數(shù)據(jù)庫(kù)的Schema掃描,將掃描結(jié)果通過(guò)郵件發(fā)送給Schema負(fù)責(zé)人,通知其跟進(jìn)處理。

解決方案

專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備做全網(wǎng)數(shù)據(jù)資產(chǎn)識(shí)別和分類分級(jí),開(kāi)放通用API接口,可分別與數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái)和數(shù)據(jù)安全防護(hù)設(shè)備聯(lián)動(dòng)。



與數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái)聯(lián)動(dòng),將數(shù)據(jù)分類分級(jí)結(jié)果上傳給平臺(tái),通過(guò)平臺(tái)統(tǒng)一將策略下發(fā)給各數(shù)據(jù)安全防護(hù)設(shè)備。



專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備或者數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái),將敏感數(shù)據(jù)結(jié)果發(fā)送給各數(shù)據(jù)資產(chǎn)管理員分別進(jìn)行整改,形成數(shù)據(jù)安全運(yùn)營(yíng)閉環(huán)。



251505bk-5.png



02

高校用戶使用場(chǎng)景

一般需求

專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備由學(xué)校的網(wǎng)管中心統(tǒng)一負(fù)責(zé)維護(hù),具體敏感數(shù)據(jù)識(shí)別業(yè)務(wù)則由各個(gè)學(xué)院自行完成,各學(xué)院數(shù)據(jù)互相隔離。

解決方案

專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備支持多用戶分權(quán)管理,即系統(tǒng)管理員統(tǒng)一創(chuàng)建不同的用戶賬號(hào),每個(gè)用戶單獨(dú)分配數(shù)據(jù)空間,數(shù)據(jù)相互隔離。用戶通過(guò)自己賬號(hào)登陸設(shè)備可以自行完成所負(fù)責(zé)數(shù)據(jù)資產(chǎn)的分類分級(jí)工作。


251505bk-6.png


03

云端用戶的使用場(chǎng)景

一般需求

業(yè)務(wù)系統(tǒng)部署在云環(huán)境,需要支持云端數(shù)據(jù)資產(chǎn)分類分級(jí)。

解決方案

1、專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備提供虛擬化鏡像,支持虛擬化部署,對(duì)目標(biāo)數(shù)據(jù)資產(chǎn)服務(wù)器進(jìn)行掃描并提供數(shù)據(jù)分類分級(jí)。



2、專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備以硬件部署,通過(guò)交換機(jī)接入目標(biāo)云環(huán)境進(jìn)行掃描,提供數(shù)據(jù)分類分級(jí)。


251505bk-7.png


04

監(jiān)管機(jī)構(gòu)的使用場(chǎng)景

一般需求

1、 監(jiān)管機(jī)構(gòu)需要對(duì)大數(shù)據(jù)企業(yè)/單位做綜合數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,包括數(shù)據(jù)資產(chǎn)識(shí)別、數(shù)據(jù)分類分級(jí)、平臺(tái)組件安全掃描等。



2、 在各企業(yè)/單位完成掃描檢查后,將掃描結(jié)果上傳至數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái)。

解決方案

專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備提供全網(wǎng)數(shù)據(jù)資產(chǎn)測(cè)繪、智能數(shù)據(jù)分類分級(jí)、實(shí)時(shí)數(shù)據(jù)流轉(zhuǎn)測(cè)繪、平臺(tái)組件安全掃描功能,可通過(guò)計(jì)劃管理模式定期對(duì)目標(biāo)數(shù)據(jù)資產(chǎn)進(jìn)行掃描,提供綜合數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告和整改建議。



專業(yè)數(shù)據(jù)分類分級(jí)設(shè)備提供通用API接口,可以實(shí)時(shí)或者手動(dòng)將掃描結(jié)果上傳至數(shù)據(jù)安全運(yùn)營(yíng)管理平臺(tái)。



251505bk-8.png



04 數(shù)據(jù)分類分級(jí)的意義



1、滿足合規(guī)要求
滿足合規(guī)是企業(yè)平穩(wěn)運(yùn)行最基本要求,《網(wǎng)絡(luò)安全法》第二十一條(四)、《數(shù)據(jù)安全法》第二十一條、《民典法》第六章,以及等保、標(biāo)準(zhǔn)規(guī)范等都有要求,企業(yè)應(yīng)當(dāng)去研究,按照本行業(yè)的監(jiān)管要求去執(zhí)行,采用流程和技術(shù)手段切實(shí)落實(shí)數(shù)據(jù)分類分級(jí)工作。



2、滿足自身發(fā)展

隨著大數(shù)據(jù)、人工智能、云計(jì)算等新型技術(shù)的深入應(yīng)用,往信息化資產(chǎn)轉(zhuǎn)變成為必然趨勢(shì)。在信息化水平不斷提升的同時(shí),也將產(chǎn)生多種多樣的數(shù)據(jù),前期沒(méi)做好數(shù)據(jù)管理方面的規(guī)劃,后期維護(hù)成本更高。

3、提升數(shù)據(jù)使用價(jià)值

如何更好的從數(shù)據(jù)中提取價(jià)值,持續(xù)性為企業(yè)提供精準(zhǔn)的數(shù)據(jù)服務(wù)。在提升運(yùn)營(yíng)能力同時(shí),數(shù)據(jù)資產(chǎn)的精細(xì)化管理,必將成為企業(yè)業(yè)務(wù)優(yōu)化的發(fā)力點(diǎn)或突破點(diǎn),也是企業(yè)競(jìng)爭(zhēng)力之一。數(shù)據(jù)資產(chǎn)的確認(rèn)和計(jì)量極有可能納入企業(yè)資產(chǎn)負(fù)債表,成為企業(yè)的資產(chǎn)之一。



4、減少數(shù)據(jù)安全風(fēng)險(xiǎn)

采用規(guī)范的數(shù)據(jù)分類、分級(jí)方法,有助于企業(yè)厘清數(shù)據(jù)資產(chǎn),確定數(shù)據(jù)重要性或敏感度,哪些數(shù)據(jù)誰(shuí)可以用怎么用、哪些數(shù)據(jù)可以公開(kāi)哪些數(shù)據(jù)不可以公開(kāi)等情況,針對(duì)性地采取適當(dāng)、合理的管理手段和安全防護(hù)措施,形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制,從而減少數(shù)據(jù)遭受篡改、破壞、泄露、丟失或非法利用的可能。



作者:數(shù)據(jù)學(xué)堂


歡迎關(guān)注微信公眾號(hào) :大數(shù)據(jù)球球