数据安全之数据分类分级系统建设
一、数据分类分级的意义
数据分类分级在数据安全治理过程中至关重要,数据的分级是数据重要性的直观化展示,是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配精力及力度的基础(80%精力关注重要数据,20%精力关注普通数据)。
数据分类分级起到成承上(管理)启下(技术)的作用。承上:从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制(管理体系与分类分级的结合,可强化体系落地执行性)。启下:根据不同数据级别,实现不同安全防护,如高级数据需要实现细粒度规则管控和数据加密,低级别数据实现单向审计即可。
总而言之,数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础,是迈向数据安全年精细化管理的重要一步。
二、数据分类分级系统架构
目前业界数据分类分级多数属于数据资产管理系统的一个重要模块,大体实现思路是自动发现敏感数据,再结合人工方式进行分级(因为数据分类分级主观占比较重)操作,虽可帮助相关人员快速发现敏感数据,但针对主观数据还是力不从心,分级方式不灵活,不能适应各种组织的数据安全分级需要。整体而言,业界系统其实并不能满足所倡导的数据分类分级要求(主要是因为业界数据分类分级没有标准),多数解决方式是利用具有行业、业务、安全多方面经验的人员进行梳理,特点是准确性高、效果好但效率低、周期长、无规范依据。
为尽可能解决两者不匹配的问题,更好支撑组织对数据安全分类分级需要,在结合自身数据安全经验及对数据分类分级了解的基础上,初步形成了数据分类分级系统应具有的特性和功能架构,以期助力数据安全治理工作的发展。
数据分类分级系统应具的特性,如下图:
2.1主观判定与客观判断的支持
主观判定与客观判断主要是针对数据的敏感性(机密性)。组织内部数据分级判断常分为客观数据及主观数据,客观数据可直接辨别敏感性(如电话、身份证等),而有些数据则需要进行主观判定。
2.2具有敏感数据发现能力
敏感数据发现是数据分类分级的基础,也是客观判断的前期条件,如对电话、身份证号码、社保卡号、银行账号等多种数据进行判断,及时发现组织内部敏感数据。
2.3现有安全环境的系统映射能力
数据分类分级要考虑数据多种特性,其中包括数据安全可控性的问题,如果组织内部具有高强度的安全可控环境,那数据分级价值则会有限,如果环境中安全防护能力有限,则需考虑如何利用现有设备(或部分新购设备)有针对性的加深数据防护粒度,从而减轻资金、人员、运维精力等综合投入成本,在此环境下数据分类分级则显得尤为重要。
2.4动态扩展能力
动态扩展能力是适应不同场景的需要,是系统能否适用组织内部不同数据形态、不同分类分级需求的基础(如果不具备动态扩展的能力且但满足需求,则可初步认定该系统是项目级,非产品级)。动态扩展能力包括敏感数据发现规则的动态拓展、元数据管理的动态扩展、标准自定义的动态扩展等。
2.5上下游系统结合能力
数据分类分级的意义不在于对数据进行分类分级,而是在于对分类分级后的数据如何进行精细化安全管控,所以数据分类分级应具有上下游系统结合的能力(即需要丰富的接口)。可提供上游态势可视化展示(数据分布可视化、数据流程可视化等)、资产应用等,下游的数据安全管控(审计、防火墙、脱敏、加密、数据防泄漏)等。
2.6系统架构设计
依托数据分类分级系统应有的几个特性,数据分类分级系统功能应包括但不限于:规则管理、元数据管理、安全映射管理、指标管理、数据分类分级管理、接口管理、血缘分析等,简易架构图如下:
应用层:应用层是数据分类分级价值输出层,包括资产管理、态势感知、安全管理(审计、防火墙等)。该层业务系统是利用不同数的分类分级进行细粒度操作,如态势感知系统进行高级别数据请求、使用、分布的态势展现,安全管控系统形成定向防护策略等。
应用支撑层:该层是数据分类分级应具有的功能。包括规则管理、元数据管理、指标管理、安全映射管理、数据分类分级管理、接口管理、血缘分析等。
规则管理:通过建立的规则引擎,实现敏感数据发现(客观数据),方案(标准)的组合执行规则、指标判定规则等。
元数据管理:是系统的基础支撑功能,如满足指标管理中各种指标的动态管理。
指标管理:是数据分类分级的判定指标,是方案管理中基础元素。
安全映射管理:是现有安全环境的映射,利用如SNMP协议自动爬取网络环境,通过规则形成安全可控情况。
数据分类管理:客观数据利用规则引擎进行分类。结合机器学习方式进行主观类别分类,形成初步的分类方案,最终需要人员介入。
数据分级管理:客观数据利用规则引擎进行分级。结合机器学习方式进行主观数据分级,形成初步的分级方案,最终需要人员介入。
接口管理:打通上下游应用的唯一途径,包括获取数据分类、分级信息,判断数据的分类分级结果等。
数据层:数据分类分级的基础数据内容。
以上便是数据分类分级系统建设大致思路,由于业界没有相关标准且行业最佳实践屈指可数,难免会出现仁者见仁智者见智的情况,如您有更好建设思路,望互相交流。
数据安全之数据分类分级系统建设相关推荐
- 芜湖人社×美创科技,人社局数据安全管理制度与数据分类分级建设
2021年以来,国家.行业监管单位先后陆续出台了包括<数据安全法>在内多部重要数据安全法规和规范指引,数据安全和隐私保护的顶层监管合规框架日趋完善. 人力资源与社会保障信息系统涉及多个部门 ...
- 迈出数据安全建设的第一步|公安数据分类分级建设案例实践
前言 从随处可见的移动新警务到蓬勃开展的大数据建设:从汗水警务向高效精准的现代警务机制变革--在科技兴警战略指导下,我国各级公安机关不断加快数字化转型步伐,警务数据成为重要资源.然而,警务数据规模急速 ...
- 【数据治理-06】做好数据分类分级,为数据安全有序流动保驾护航
我们常说人以类聚,物以群分,确实是这样,杜威说过"所有知识都是分类"!很好理解,分类是认知经济,任何有效分类,都可以极大地节省我们的认知精力.数据分类分级具体说来,其实包含了2个方 ...
- 数据分类分级方法及典型应用场景
<数据安全法>的第二十一条明确规定了由国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改.破坏.泄露或者非法获取.非法利用,对国家安全.公共利益或者个人.组 ...
- 什么是数据分类分级?
自<数据安全法>明确对数据实行分类分级保护后,国家和地方都在加紧该项工作的进行.据行业专家透露,目前国家标准<信息安全技术重要数据识别指南>已经到送审稿阶段,而国标<信息 ...
- 《数据安全法》第二十一条【数据分类分级保护】 解读与合规实践探究
<中华人民共和国数据安全法> 第二十一条: 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改.破坏.泄露或者非法获取.非法利用,对国家安全.公共利益或者个 ...
- 一文详解|高校到底如何开展数据分类分级?
数据安全是高校的生命线,在数据安全合规要求不断升级的大背景下,加强数据有效保护,确保数据安全共享应用,已成为高校信息化建设的前线. 安全高楼平地起,作为数据安全建设的基础工作,通过数据分类分级,掌握数 ...
- 数据分类分级的实践方法论与更深层次的思考
数据分类分级的实践方法论与更深层次的思考 数据安全的未来 未来的世界观 价值和意义 数据分类分级实践方法论 背景 数据分类分级介绍 数据分类分级建设方案 1.数据安全整体规划 2.数据安全体系制度及实 ...
- 数据分类分级的深度思考
文章目录 前言 1.敏感数据识别 1.1落地难点 1.2技术实现 1.2.1常规识别技术 1.2.2AI(人工智能)和ML(机器学习) 1.3敏感数据识别存在的问题 2.分类分级进阶功能 2.1数据资 ...
- 金融行业数据分类分级“五步走” | 盾见
文|查浩奇 <数据安全法>明确提出,国家要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改.破坏.泄露或者非法获取.非法利用,对国家安全.公共利益或者个人.组 ...
最新文章
- java批量下载文件为zip包
- 布线须知:机柜在数据中心机房的三个新用途
- ARP协议全面实战手册——协议详解、攻击与防御(内部资料)
- Windows Server 2012 存储 (四) SMB 对SQL 数据库和Hyper-V的支持
- Sql2005自动备份并邮件通知状态之二创建维护计划
- 转发:听老罗讲这一代人的学习方法有感
- 没有足够多的数据怎么办?计算机视觉数据增强方法总结
- ACL 2018论文解读 | 基于排序思想的弱监督关系抽取选种与降噪算法
- python储存_python数据储存
- Asp.Net实例:C# 绘制统计图(三) ——扇形统计图的绘制
- 10个基于 Ruby on Rails 构建的顶级站点
- html5 2.5d,修仙三国:首款HTML5三国背景2.5D角色扮演页游
- termios 详解
- vncserver 看不到桌面解决办法
- 网站被攻击了怎么办?
- 阿里云生态峰会实录(中)
- java时间日期获得0点0分0秒(本地时间(时区)),获取当天零点零分时间(本地时间(时区))
- Vue学习记录07--vue路由的使用
- Dash macOS 安装
- Android双波浪自定义控件(DoubleWaveView)