本博客地址：https://security.blog.csdn.net/article/details/131033616

一、数据分类分级概述

数据分类分级是为了加强企业对数据的安全管理而对数据进行类别划分与级别划分的一种管理措施。它是数据安全管理的关键部分，是建立统一、完善、准确的数据安全架构的基础。同时也是一个理论上很简单，但实际操作起来非常复杂的事情，本文主要介绍数据分类分级的实践。

单从数据分类分级工作本身来说，其在数据安全管理中产生的价值并不大，它的真正价值在于将数据分类分级的结果输入给其他安全管理平台，其他安全管理平台就可以根据分类分级的结果，对不同类别、不同级别数据实施不同的安全管理措施，从而开展差异化的数据安全管理。

数据分类管理``和数据活动监控是帮助保护关键信息的两种有效方法。在充分保护敏感数据之前，需要对数据进行识别和分类，对数据进行自动发现并分类的过程是对数据进行保护的关键策略。通过对数据活动进行监控，不仅可以了解谁在访问敏感信息，还可以了解正在访问哪些信息。当满足某些条件时，会触发警报，并且可以在必要的情况下阻止或隔离数据访问连接。

二、建立数据分类分级制度

做数据分类分级，第一步要做的就是建立分类分级管理制度，由于制度具有文档属性，因此这一步做起来相对较为容易，这里主要介绍编写数据分类分级管理制度的思路。

在数据分类分级管理制度中，首先要明确数据分类分级的原则和数据分类分级的大致步骤，数据分类分级的步骤一般都是先对业务进行划分，然后根据划分好的业务来归类数据，之后再根据分级要求来划分数据的级别，最后是分类分级完成后的一些工作。

在明确了以上后，第二步是对数据分类分级的步骤进行详细的描述。在对数据进行分类时，不同的企业会将业务分为不同的大类，这样数据也就会跟着分为不同的大类，不同的大类又会分为不同的小类，这个根据企业的具体情况而定。最终从大到小形成一级类别、二级类别、三级类别……等等。

在对数据进行分级时，一般都是按照【数据一旦遭到篡改、破坏、泄漏或者非法获取、非法利用，对国家安全、公共利益或个人、组织合法权益造成的危害程度】来进行分级的，一般情况下分为3-5个级别，不同级别的命名也是随意命名的，考虑到级别的通用性（比如你叫秘密级，他叫敏感级等等，导致概念对不齐），通常不会将数据级别定义为机密级、秘密级等，而是定义为L1级、L2级这种级别。

最后，在该制度中还应当根据公司的具体情况列明不同类别和不同级别都有哪些数据字段（这里列明主要数据即可）。数据分类分级的管理制度是为了后续给数据全生命周期涉及到的技术和管理提供依据的。

三、建立数据分类分级平台

对于数据分类分级平台，这里只有外采和自研两种方案，具体就不多说了。

数据分类分级的实际工作全部都集中在数据分类分级平台上开展，平台的权限按照最小权限、互相隔离的原则进行分配，设置管理员、操作员和审计员角色。管理员负责账号分配、分类分级模版管理、配置敏感数据特征规则库等，操作员认领和管理数据资产并定期执行扫描任务、处理扫描结果，审计员查看审计日志，识别违规操作行为。

四、数据资产梳理及接入

这里梳理的数据资产主要是指数据库，除了靠人工梳理数据资产外，还可以通过扫描的方式发现数据资产，并对数据资产进行梳理。

人工梳理数据资产梳理方面，主要通过两种方式进行梳理，一是通过自上而下的业务视角，分析业务数据流转过程中所涉及的数据资产信息，形成资产清单列表。二是自下而上的梳理，通过从底层数据库存储方面进行敏感数据的发现，明确数据资产所属的系统，从而形成资产清单。

梳理数据资产主要是梳理数据资产的名称、链接地址、端口号、数据库名、账号密码、所属部门等，之后将梳理出来的数据资产逐一接入数据分类分级平台，接入时可以选择抽取样本的条数，一般为10条左右，一来减轻服务压力，二来降低数据泄露的风险。对于数据的更新时间，选择一个不忙的时间就可以了，例如凌晨2点。

人工梳理资产接入如图所示：

自动扫描发现数据资产如图所示：

五、分类分级模板维护

数据分类分级模板维护是数据分类分级工作中最为关键的一步，也是最难的一步。

这一步我们首先需要根据前面编写好的《数据分类分级管理制度》来设计数据分类分级的架构，简单来讲就是将制度中的类别和级别录入到系统中，例如分多少个类，每个类叫啥名，分多少个级，每个级如何定义等。但需要注意的是管理制度和实际可能会有出入，不能照本宣科。

在这里，分类分级模板需要覆盖到所有数据，我们会发现实际上的数据远比理论上的数据要复杂的多，会冒出很多奇奇怪怪的数据字段出来，例如这个名称或那个类型的种种，所以在分类分级制度中只需要列举主要字段所在的类别和级别就可以了，因为制度中是写不全的。

另外，实际中的数据还会存在诸多问题，例如姓名字段，有可能会叫name、names、username、usersname、xingming、yonghu、yonghuming、shouhuoren……等各式各样的名称，如果数据库中的字段没有写备注，那就只能挨个排查，而面对天量的数据字段，这是一个很难完成的工作。除此之外，还有例如在这个库中username字段是指姓名，而另一个库中username是指口令名（可能是邮箱、QQ号、手机号之类的东西），导致同一个字段的释义是完全是两个不同的概念。此类奇怪问题多到例举不完。

可以看到，实际中的数据存在的问题非常多，这些问题会严重影响分类分级模板的准确性与维护的难度！

目前对于分类分级模板的维护尚未有较好的解决办法，相对比较柔和的办法是为每个库都维护一个独立的分类分级模板，毕竟就单一库来说，存在一些坑爹问题的概率要低很多。而分类分级模板可以直接复制，这样相同字段的规则就可以直接使用了。

模板如下所示（图片不涉及泄密，因为这是官方的demo）：

六、分类分级任务执行

数据分类分级模板设置完成之后，选中对应的数据资产使用这个分类分级模板执行分类分级任务即可，分类分级任务是一键执行的。

那这里我们主要做什么工作呢？这里主要关注并解决的问题是：由于数据分类分级模板的不完善，导致部分数据字段没有被匹配到或者匹配错误的问题。

对于以上问题，主要的解决办法是通过回头完善数据分类分级模板，之后再次执行数据分类分级任务，以此往复不断完善。同时也可以对未匹配到的数据字段进行人工打标，即人工直接指定该字段所属的类型与级别。

这里的工作量主要取决于数据分类分级模板的完善程度，即产生问题字段的多少，如果产生问题的数据字段不多，则可以很快完成问题字段的修补，如果产生问题的数据字段很多，则工作量较大。

将所有数据字段都划分到对应的类别和级别后，数据分类分级工作就算是基本完成了。但数据库中的数据不是一成不变的，因此接下来需要维护好新增数据库表和新增数据字段的分类分级。

最后，可以通过数据分类分级平台生成一些分类分级的数据报表，便于直观的对分类分级工作进行管理。

分类分级任务执行如图所示：

分类分级数据报表如图所示：

七、分类分级结果与其他平台联动

我们前面说到，单纯的只做数据分类分级工作并没有特别大的价值，数据分类分级的目的是为了对数据进行更好的差异化管理，而不是一把梭式的管理，所以对数据做完分类分级后，需要将分类分级的结果对接到其他的安全管理平台中进行差异化管理。

举个例子，我们将数据分类分级结果对接到OA审批系统中，即可实现数据外发审批的自动化，当数据是公开级别时，可自动判定无审批通过，当数据级别不是公开级别时，可以依据不同的数据级别自动对接不同的审批层级。

再举个例子，我们将数据分类分级的结果对接到数据防泄漏系统中，公开级别的数据外发不会触发DLP的拦截规则，而非公开级别的数据外发，则会根据外发数据的敏感度、数据量来触发不同的告警。

八、总结

总体来说，使用数据分类分级平台可以帮助我们完成资产的梳理与发现工作，并大大降低了数据分类分级的难度，弥补手工分类分级的各种短板。

数据安全--22--数据安全管理之分类分级相关推荐

1. 芜湖人社×美创科技，人社局数据安全管理制度与数据分类分级建设

   2021年以来,国家.行业监管单位先后陆续出台了包括<数据安全法>在内多部重要数据安全法规和规范指引,数据安全和隐私保护的顶层监管合规框架日趋完善. 人力资源与社会保障信息系统涉及多个部门 ...

2. 数据安全--分类分级

   背景 近年来国家相继出台一些互联网安全相关的法律法规,如<中华人民共和国网络安全法>.<中华人民共和国数据安全法>.<关键信息基础设施保护条例>.<GB/T ...

3. 一种海量数据安全分类分级架构的实现

   该专栏是腾讯云开发者社区为腾讯技术人与广泛开发者打造的分享交流窗口.栏目邀约腾讯技术人分享原创的技术积淀,与广泛开发者互启迪共成长.本文作者是腾讯高级开发工程师杨波. 本文主要总结个人在数据安全分类落 ...

4. Dataphin核心功能（四）:安全——基于数据权限分类分级和敏感数据保护，保障企业数据安全

   简介: <数据安全法>的发布,对企业的数据安全使用和管理提出了更高的要求.Dataphin提供基于数据分级分类和数据脱敏的敏感数据识别和保护能力,助力企业建立合规的数据安全体系,保障企业数 ...

5. 【转】数据的分类分级简介

   原文链接:https://blog.csdn.net/watson2017/article/details/126388340 1.数据分类分级实施标准 2021年12月31号,全国信息安全标准化技术 ...

6. CDGA|数据治理中数据如何分类分级呢？

   CDGA|数据治理中数据如何分类分级呢? 数据分类是数据管理的第一步,如果企业不对数据进行分类分级,就谈不上数据治理和数据保护,甚至都不会清楚企业到底有哪些数据,更别说要了解哪些是敏感数据,以及他们都 ...

7. 数据安全分类分级实施指南_不平衡数据集分类指南

   数据安全分类分级实施指南 重点 (Top highlight) Balance within the imbalance to balance what's imbalanced - Amadou J ...

8. 平安银行数据安全分类分级平台建设与实践

   随着信息技术的飞速发展,20 世纪 90 年代开始数据库技术日益成熟,各行各业凭借计算机技术的支撑,在日常经营运作的过程中产生了海量数据,数据已然成为新技术环境下的关键生产要素.特别是近年来全球经济数 ...

9. 数据安全管理软件-企业如何保护数据安全？

   数据是企业的核心资产,是企业发展的保障,保护数据安全,是每个企业管理者都应当重视的问题.保护数据最有效的方法就是安装企业数据安全管理软件.墨门云安全平台基于云原生架构,采用全新交互设计,融合多项核心专 ...

最新文章

1. php 导出excel 特殊字符,export 导出的excel sheet名字包含特殊字符
2. 《The Corporate Startup》作者访谈
3. ios解锁动态图片_iOS 苹果开机启动的 滑动来解锁动画
4. 2011-2020年中国新经济十年回顾研究报告
5. ireport怎么套打_方向盘套你选对了吗？老司机告诉你该这样做|酷斯特玩车
6. 计算机组成原理 mov(r0)，-(sp),第三章作业
7. java加互斥锁关键字_Java中用于给对象加“互斥锁”标记的关键字是。（　）
8. 大数据_Hbase-API访问_Java操作Hbase_数据操作_表删除_表获取所有数据---Hbase工作笔记0014
9. ajax get 缓存 ie,Ajax异步同步请求被IE缓存的问题解决方法(get方式)
10. 运行Eclipse出现：a java runtime environment(JRE) or java development kit(JDK) must be....
11. Ubuntu 16.04 配置vsftpd使用 ssl 传输
12. python爱好者社区 周琦_这么多年来，我算想明白了！
13. Java 网络爬虫，就是这么的简单
14. 汉字转换为拼音 第一篇
15. 夜间模式 css,网站夜间模式的实现
16. 怎么解决idea中yaml无法识别或者飘红?
17. 利用cookie进行模拟登录并且抓取失败
18. activity串行多实例审批
19. 夫妻之间赠与房产，没过户前可以反悔
20. 黑马JAVA P163 字节缓冲流的性能分析

热门文章

1. 基于胡诌的物理光照模型
2. 计算机会考操作题页面设置,信息技术考试操作题
3. HTML — 淡入淡出边框按钮
4. 【软件工程】软件编码
5. 【C语言总结篇】新起点
6. 我用tcgames电脑玩绝地求生：刺激战场这么久的感受
7. element-ui的el-upload自定义上传头像
8. PPTP服务器配置选项详解
9. snomed ct concept
10. 【小记】BatchSize的数值是设置的越大越好吗