隨著“十四五”規(guī)劃推行�,數(shù)據(jù)要素概念與意識全面鋪開�,國家、政府機(jī)構(gòu)����、企業(yè)數(shù)據(jù)安全意識愈發(fā)強(qiáng)烈。2021年9月1號���,《數(shù)據(jù)安全法》正式生效���,數(shù)據(jù)資產(chǎn)安全進(jìn)入“有法可依”時(shí)代。
如何基于數(shù)據(jù)安全五大原則(數(shù)據(jù)隔離�、風(fēng)險(xiǎn)識別、數(shù)據(jù)生命周期保護(hù)���、維持合規(guī)���、事件響應(yīng))����,構(gòu)建安全領(lǐng)域“三道防線”(技術(shù)防線、管理防線�、法律防線)��,是國家�、政府機(jī)構(gòu)����、企業(yè)的關(guān)注重點(diǎn)。而數(shù)據(jù)分類分級是數(shù)據(jù)安全的必由之路�,也是讓數(shù)據(jù)真正用起來的首要前提。
01 數(shù)據(jù)分類分級管理概述
大數(shù)據(jù)時(shí)代��,數(shù)據(jù)呈現(xiàn)多源異構(gòu)的特點(diǎn)�����,價(jià)值各不相同�,企業(yè)應(yīng)根據(jù)數(shù)據(jù)的重要性、價(jià)值指數(shù)等方面予以區(qū)分���,便于采取不同的數(shù)據(jù)保護(hù)措施��,防止數(shù)據(jù)泄露�。因此����,數(shù)據(jù)分類分級管理是數(shù)據(jù)安全保護(hù)中的重要環(huán)節(jié)之一����。
1.數(shù)據(jù)分類
數(shù)據(jù)分類是指根據(jù)組織數(shù)據(jù)的屬性或特征���,將其按照一定的原則和方法進(jìn)行區(qū)分和歸類�,并建立起一定的分類體系和排列順序��,以便更好地管理和使用組織數(shù)據(jù)的過程�����。
數(shù)據(jù)分類是數(shù)據(jù)保護(hù)工作中的關(guān)鍵部分之一��,是建立統(tǒng)一����、準(zhǔn)確、完善的數(shù)據(jù)架構(gòu)的基礎(chǔ)�����,是實(shí)現(xiàn)集中化����、專業(yè)化、標(biāo)準(zhǔn)化數(shù)據(jù)管理的基礎(chǔ)�����。
2.數(shù)據(jù)分級
數(shù)據(jù)分級是指按照公共數(shù)據(jù)遭到破壞(包括攻擊�����、泄露�、篡改、非法使用等)后對受侵害各體合法權(quán)益(國家安全�、社會(huì)秩序、公共利益以及公民����、法人和其他組織)的危害程度,對公共數(shù)據(jù)進(jìn)行定級�����,為數(shù)據(jù)全生命周期管理進(jìn)行的安全策略制定�。
02 數(shù)據(jù)分類分級方法及細(xì)則
數(shù)據(jù)分類的常用方法:按關(guān)系分類,基于業(yè)務(wù)(來源)��、基于內(nèi)容、基于監(jiān)管等�。
數(shù)據(jù)分級的常用方法:按特性分級,基于價(jià)值(公開�、內(nèi)部、重要核心等)�、基于敏感程度(公開、秘密���、機(jī)密�����、絕密等)�����、基于司法影響范圍(大陸境內(nèi)����、跨區(qū)�、跨境等)。
公用數(shù)據(jù)分類的常用方法:重要數(shù)據(jù)�����、個(gè)人及企業(yè)信息、業(yè)務(wù)數(shù)據(jù)����。下面就來具體說明這三類公用數(shù)據(jù)��。
重要數(shù)據(jù):指一旦泄露則可導(dǎo)致危害國家安全���,或危害公共利益����、生命�����、財(cái)產(chǎn)安全����,或危害國家關(guān)鍵基礎(chǔ)設(shè)施,或擾亂市場秩序���,或可推論出國家秘密等的數(shù)據(jù)�。
個(gè)人及企業(yè)信息:包含直接個(gè)人信息�����,以電子或其他方式記錄的、能夠單獨(dú)或與其他信息結(jié)合識別的自然人個(gè)人身份或企業(yè)的各種信息��。
業(yè)務(wù)數(shù)據(jù):包含企業(yè)或公共組織從事經(jīng)營活動(dòng)或例行社會(huì)管理功能�、事務(wù)處理等一系列活動(dòng)所產(chǎn)生的可存儲(chǔ)的數(shù)據(jù)。
根據(jù)上述公用數(shù)據(jù)的分類��,重要數(shù)據(jù)分級��、個(gè)人及企業(yè)信息分級和業(yè)務(wù)數(shù)據(jù)分級的方法分別如圖1�����、圖2和圖3所示����。
圖1 重要數(shù)據(jù)分級方法示意圖
圖2 個(gè)人及企業(yè)信息分級方法示意圖
圖3 業(yè)務(wù)數(shù)據(jù)分級方法示意圖
企業(yè)可基于上述公用數(shù)據(jù)分類分級策略,結(jié)合自身業(yè)務(wù)和合規(guī)需求實(shí)際情況�,規(guī)劃出適合企業(yè)自身的數(shù)據(jù)分類分級方法,建立適合組織自身的數(shù)據(jù)分類分級原則和方法�����,將數(shù)據(jù)按照重要程度進(jìn)行分類���。
然后在數(shù)據(jù)分類的基礎(chǔ)上����,根據(jù)數(shù)據(jù)安全在受到破壞后對組織造成的影響和損失進(jìn)行分級,如果組織層面已經(jīng)具有相關(guān)的分類分級標(biāo)準(zhǔn)�����,則可酌情進(jìn)行參考�����。在實(shí)際執(zhí)行時(shí)���,如果一次性做不到完全細(xì)粒度區(qū)分,則可以多步實(shí)現(xiàn)�����,循序漸進(jìn)�,不要設(shè)計(jì)過度復(fù)雜的方案。
企業(yè)自主分類分級可參考如圖4所示的思路����,基于非敏感��、敏感�、涉密三個(gè)等級���,對應(yīng)上述重要數(shù)據(jù)的五個(gè)等級進(jìn)行分級���。
圖4 企業(yè)自主分類分級參考示意圖
03 常見數(shù)據(jù)分類分級標(biāo)準(zhǔn)
1.數(shù)據(jù)分類分級框架
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處
2.分類標(biāo)準(zhǔn)
數(shù)據(jù)分類具有多種視角和維度,其主要目的是便于數(shù)據(jù)管理和使用����。數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)分類時(shí),應(yīng)優(yōu)先遵循國家����、行業(yè)的數(shù)據(jù)分類要求,如果所在行業(yè)沒有行業(yè)數(shù)據(jù)分類規(guī)則��,也可從組織經(jīng)營維度進(jìn)行數(shù)據(jù)分類�。常見的數(shù)據(jù)分類維度,包括但不限于:
公民個(gè)人維度:將數(shù)據(jù)分為個(gè)人信息��、非個(gè)人信息���。
公共管理維度:將數(shù)據(jù)分為公共數(shù)據(jù)����、社會(huì)數(shù)據(jù)。
信息傳播維度:將數(shù)據(jù)分為公共傳播信息����、非公共傳播信息。
行業(yè)領(lǐng)域維度:將數(shù)據(jù)分為工業(yè)數(shù)據(jù)��、電信數(shù)據(jù)���、金融數(shù)據(jù)、交通數(shù)據(jù)�����、自然資源數(shù)據(jù)��、衛(wèi)生健康數(shù)據(jù)���、教育數(shù)據(jù)�����、科技數(shù)據(jù)等����。
組織經(jīng)營維度:將數(shù)據(jù)分為用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)���、經(jīng)營管理數(shù)據(jù)��、系統(tǒng)運(yùn)行和安全數(shù)據(jù)�����。
3.分級標(biāo)準(zhǔn)
從國家數(shù)據(jù)安全角度出發(fā)�,數(shù)據(jù)分級基本框架分為一般數(shù)據(jù)����、重要數(shù)據(jù)、核心數(shù)據(jù)三個(gè)級別�。數(shù)據(jù)處理者可在基本框架定級的基礎(chǔ)上,結(jié)合行業(yè)數(shù)據(jù)分類分級規(guī)則或組織生產(chǎn)經(jīng)營需求�����,考慮影響對象���、影響程度兩個(gè)要素進(jìn)行分級�����。各級別與影響對象�����、影響程度對應(yīng)關(guān)系如下表所示:
來源:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處
下面列舉了幾種行業(yè)分級標(biāo)準(zhǔn)��,影響程度從低到高:
政府?dāng)?shù)據(jù):公開���、內(nèi)部��、涉密���。
金融數(shù)據(jù):1級�����、2級����、3級、4級��、5級。
證券期貨數(shù)據(jù):低��、中�����、高����、超高。
分類分級標(biāo)準(zhǔn)詳見:6000字��,詳細(xì)解析數(shù)據(jù)的分類與分級
04 基于實(shí)際應(yīng)用場景的分類技術(shù)
基于實(shí)際應(yīng)用場景的數(shù)據(jù)分類主要包含以下幾種手段���,其中�����,實(shí)際運(yùn)用的技術(shù)手段可能涵蓋內(nèi)容感知分類方法和情景感知分類方法中的多種方法����。
標(biāo)簽庫:根據(jù)分類分級規(guī)則建立標(biāo)簽庫;既可以單獨(dú)成一個(gè)靜態(tài)庫�,也可以直接在打標(biāo)工具或系統(tǒng)后臺(tái)進(jìn)行自定義配置。我們可以根據(jù)不同的文件格式類型建立標(biāo)簽庫。比如�,對于數(shù)據(jù)庫文件(.mdf),我們可以根據(jù)業(yè)務(wù)類型由大類到小類定義多個(gè)標(biāo)簽��。再比如���,對于旅游業(yè)���,我們可以建立(商業(yè)、旅游���、用戶信息)的標(biāo)簽庫���。除了文件后綴名之外,我們還可以通過關(guān)鍵字��、正則表達(dá)式等方式設(shè)定標(biāo)簽規(guī)則���。
結(jié)構(gòu)化數(shù)據(jù)打標(biāo):用戶在建表時(shí)可以對字段標(biāo)簽直接進(jìn)行設(shè)置,基于數(shù)據(jù)庫的權(quán)限模型�����,對底層數(shù)據(jù)表的列權(quán)限進(jìn)行控制。遍歷讀取數(shù)據(jù)庫的表名���、列名��,甚至是列的內(nèi)容���,結(jié)合標(biāo)簽庫中設(shè)定的規(guī)則,或者自定義規(guī)則���,對發(fā)現(xiàn)的表名��、列名以更細(xì)的粒度對數(shù)據(jù)進(jìn)行分類劃分�����。
非結(jié)構(gòu)化數(shù)據(jù)打標(biāo):引入自然語言處理�、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)等技術(shù)�����,對內(nèi)容進(jìn)行識別�����,并與標(biāo)簽庫相關(guān)的特征進(jìn)行匹配,從而對非結(jié)構(gòu)化的數(shù)據(jù)進(jìn)行分類�����。
標(biāo)注:首先����,對一批文檔進(jìn)行人工分類,以作為訓(xùn)練集��,然后利用機(jī)器學(xué)習(xí)算法����,經(jīng)過一段時(shí)間的學(xué)習(xí)之后,依據(jù)學(xué)習(xí)結(jié)果�,對其他數(shù)據(jù)進(jìn)行大批量打標(biāo)。
訓(xùn)練:計(jì)算機(jī)從這些文檔中挖掘出一些能夠有效分類的規(guī)則����,生成分類器(即總結(jié)出來的規(guī)則集合)。
分類:將生成的分類器應(yīng)用在有待分類的文檔集合中����,獲取文檔的分類結(jié)果。由于機(jī)器學(xué)習(xí)方法在文本分類領(lǐng)域有著良好的實(shí)際表現(xiàn)���,因此該方法已經(jīng)成為該領(lǐng)域的主流���。
數(shù)據(jù)分類與訪問控制
分級指的是在分類的基礎(chǔ)上,依據(jù)數(shù)據(jù)的敏感程度�、影響范圍及自身的價(jià)值等對數(shù)據(jù)進(jìn)行等級劃分,如上表所示���,依據(jù)分類產(chǎn)生的標(biāo)簽結(jié)果�,可根據(jù)標(biāo)簽定義數(shù)據(jù)的敏感程度�����,對數(shù)據(jù)進(jìn)行進(jìn)一步分級�����。
05 數(shù)據(jù)分類分級應(yīng)用實(shí)踐舉例
數(shù)據(jù)平臺(tái)對數(shù)據(jù)分類分級的規(guī)劃實(shí)現(xiàn)架構(gòu):
平臺(tái)以“高密低訪”為基本原則�����,即高密的數(shù)據(jù)不能被低密的用戶訪問�,高密的用戶可以訪問低密的數(shù)據(jù)。通過權(quán)限控制與數(shù)據(jù)脫敏相結(jié)合�����,可以完成更加精細(xì)化的數(shù)據(jù)安全管控場景。
類別管理:對于數(shù)據(jù)分類下的數(shù)據(jù)�����,可以針對不同的人設(shè)置不同的數(shù)據(jù)脫敏方式�,達(dá)到相同數(shù)據(jù)展現(xiàn)給每個(gè)人不同的結(jié)果。在數(shù)據(jù)沒有設(shè)置級別時(shí)����,也可以通過分類達(dá)到訪問控制的效果。
級別管理:通過對數(shù)據(jù)�、用戶設(shè)置不同的級別,可以完成對用戶訪問權(quán)限的控制����。當(dāng)用戶級別大于等于數(shù)據(jù)級別時(shí),用戶才可訪問���。
展示層:用于驗(yàn)證數(shù)據(jù)分類分級的安全管控效果�����。例如數(shù)據(jù)是否可訪問�、是否脫敏。
應(yīng)用舉例:
1.數(shù)據(jù)說明:
a) 級別定義
本案例采用三級模型:公開�、秘密、機(jī)密����。
b) 設(shè)置級別
為數(shù)據(jù)設(shè)置級別:
為用戶設(shè)置級別:
c) 新建脫敏規(guī)則
d) 員工保密數(shù)據(jù)類別設(shè)置脫敏策略
關(guān)聯(lián)數(shù)據(jù):id_number
脫敏對象:小B
脫敏規(guī)則:身份證號碼脫敏
數(shù)據(jù)總結(jié)如下:
2.場景分析:
在數(shù)棲平臺(tái)安全管控下:
小A只能訪問id��、name數(shù)據(jù)��,當(dāng)其訪問id_number�����、salary時(shí)�����,會(huì)被拒絕訪問;
小B可以訪問id���、name��、id_number����、salary全部數(shù)據(jù);但是當(dāng)訪問id_number時(shí)看到的是被脫敏后的數(shù)據(jù),例如41111119961127xxxx�����。
總結(jié):
只有當(dāng)用戶級別大于等于數(shù)據(jù)級別時(shí)�,才被允許訪問。允許訪問之后�����,如果有脫敏策略���,會(huì)進(jìn)行脫敏處理��。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議�����,請謹(jǐn)慎對待�����。投資者據(jù)此操作�,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號