分类分级在数据安全建设中的重要作用
作者: 日期:2021年08月24日 阅:2,050

1.     背景分析

互联网时代是万物互联的时代,也是大数据时代。基于此,政务、医疗、教育、交通、制造业以及传统各行各业都迎来了前所未有的高速发展。我们的日常工作、生活也无时无刻不在享受着互联网、大数据带来的便利。然而,凡事都具有两面性,我们在享受便利的同时,也在面临着信息泄露带来的严峻挑战。

让我们来回顾一下2020年信息泄露的大事件:

  • 7000多名武汉返乡人员信息遭泄露
  • 万豪520万客户信息被泄露
  • Facebook认领50亿美元天价罚单
  • 银行频出客户隐私泄露丑闻
  • 英国航空公司认领本土最大罚单——2580万美元

信息泄露事件频发,每一次信息泄露都给公民带来极大的安全隐患,同时对泄露企业来说,不仅会造成巨大的经济损失,也严重影响了企业的声誉。

因此,对每一个企业来说做好数据安全防护都应提上日程,对每一个公民来说都是最基本的安全保障需求。

2.     数据安全建设的必要性

  • 国家层面法律法规日益完善

习近平总书记指出,在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》明确将数据列为生产要素。随着数据活动在生产生活中的海量增加,数据安全问题愈发凸显,给公民个人权益、产业健康发展甚至国家安全带来诸多风险,将数据安全问题纳入法治轨道具有必要性和紧迫性。

《数据安全法》在第十三届全国人大常委会第二十九次会议上表决通过。这是我国进入数据时代后,对数据安全问题积极的立法回应,该法在数据安全领域具有基础性法律地位,将与《网络安全法》《个人信息保护法》等法规共同构建起我国的数据监管与保障的法律体系。

  • 国标/行标陆续出台

国标近几年已经发布如下标准:《信息安全技术 数据出境安全评估指南》《信息安全技术 个人信息安全影响评估指南》《信息安全技术 政务信息共享 数据安全技术要求》《信息安全技术 网络预约汽车服务数据安全指南》《信息安全技术 电信领域大数据安全防护实现指南》。

电信网和互联网行业数据安全相关标准陆续制定,目前有5个标准处于征求意见稿阶段,另外还有9个送审稿、20个申请立项的标准在路上。

3.     捍卫数据安全的第一步——分类分级

数据安全是指保护数据的机密性、完整性和可用性。当前数据安全领域主要关注的防护对象包括个人信息和重要数据。

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

重要数据,是指不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据,包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的,不涉及国家秘密,但一旦泄露、篡改或滥用将会对国家安全、经济社会发展和公共利益造成不利影响的数据。

开展数据安全的第一步就是要识别数据、基于业务特点进行数据的分类和分级。数据分类分级的准确度是后续数据保护策略部署的基础。一般数据分类分级的流程包括:制定数据分类分级标准、准备数据样本、建立敏感数据规则库,扫描目标存储设备、自动化数据测绘

  • 制定数据分类分级标准

根据国家相关标准、行业相关标准、结合企业业务特性制定企业数据分类分级标准/规范,例如:

  • 准备数据样本、建立敏感数据规则库
  • 扫描目标存储设备,自动化数据测绘

通过专业数据分类分级设备扫描结构化/半结构化/非结构化数据,自动发现敏感数据的大小、数量等属性信息及存储位置,形成数据资产的测绘图。

4.     分类分级的几个典型应用场景

  • 企业用户的使用场景

一般需求:

企业用户做数据安全建设工作:首先梳理企业数据资产、分类分级,根据分类分级结果制定数据管控策略,实施管控措施,全景展示数据安全态势,持续运营改进。

  • 开放API接口,允许其他数据安全防护设备读取敏感数据信息,进行数据安全防护策略的配置和部署;
  • 针对数据库的Schema扫描,将扫描结果通过邮件发送给Schema负责人,通知其跟进处理。

解决方案:

专业数据分类分级设备做全网数据资产识别和分类分级,开放通用API接口,可分别与数据安全运营管理平台和数据安全防护设备联动。

与数据安全运营管理平台联动,将数据分类分级结果上传给平台,通过平台统一将策略下发给各数据安全防护设备。

专业数据分类分级设备或者数据安全运营管理平台,将敏感数据结果发送给各数据资产管理员分别进行整改,形成数据安全运营闭环。

  • 高校用户使用场景

一般需求:

专业数据分类分级设备由学校的网管中心统一负责维护,具体敏感数据识别业务则由各个学院自行完成,各学院数据互相隔离。

解决方案:

专业数据分类分级设备支持多用户分权管理,即系统管理员统一创建不同的用户账号,每个用户单独分配数据空间,数据相互隔离。用户通过自己账号登陆设备,可以自行完成所负责数据资产的分类分级工作。

  • 云端用户的使用场景

一般需求:

业务系统部署在云环境,例如阿里云、腾讯云、华为云、沃云等云端环境。需要支持云端数据资产分类分级。

解决方案:

1、专业数据分类分级设备提供虚拟化镜像,支持虚拟化部署,对目标数据资产服务器进行扫描并提供数据分类分级。

2、专业数据分类分级设备以硬件部署,通过交换机接入目标云环境进行扫描,提供数据分类分级。

  • 监管机构的使用场景

一般需求:

  1. 监管机构需要对大数据企业/单位做综合数据安全风险评估,包括数据资产识别、数据分类分级、平台组件安全扫描等。
  2. 在各企业/单位完成扫描检查后,将扫描结果上传至数据安全运营管理平台。

解决方案:

专业数据分类分级设备提供全网数据资产测绘、智能数据分类分级、实时数据流转测绘、平台组件安全扫描功能,可通过计划管理模式定期对目标数据资产进行扫描,提供综合数据安全风险评估报告和整改建议。

专业数据分类分级设备提供通用API接口,可以实时或者手动将扫描结果上传至数据安全运营管理平台。


相关文章