数据安全治理-数据分类分级落地实践

admin 2022年10月15日14:27:36评论115 views字数 2829阅读9分25秒阅读模式

数据分类分级对于数据的安全管理至关重要,数据分类可以为数据资产结构化管理、UEBA(用户及实体行为分析)、个人信息画像等数据治理工作提供有效支撑;

数据分级通过对不同级别的数据设置相应访问权限、加密规则、脱敏规则等,可大大提升数据安全管控效率,是数据安全精细化管理的重要一步。

此外等级化管理也是一种普遍适用的管理方法,适用于我国当前实际的一种有效的数据安全管理方法。

一、方法和实践

1.1 规范制定

数据分类和数据分级是两个不同的概念。

其中,数据分类是指企业、组织的数据按照部门归属、业务属性、行业经验等维度对数据进行类别划分,是个系统的复杂工程。

数据分级则是从数据安全、隐私保护和合规的角度对数据的敏感程度进行等级划分。

确定统一可执行的规则方法是数据分类分级实践的第一步,通常以业务流程、数据标准、数据模型等为输入,梳理各业务场景数据资产,识别敏感数据资产分布,理清数据资产使用的状况。从业务管理、安全要求等多维度设计数据分类分级规则和方法,制定配套的流程机制。同时完成业务数据分类分级标识,形成分类分级清单,结合数据场景化设计方案,明确不同敏感级别数据的安全管控策略和措施,构建不同业务领域的场景化数据安全管理矩阵,最后输出《数据分类分级方法和工作手册》、《基于业务场景的数据分类分级清单和管理矩阵》做为数据分类分级工作的具体参考依据。

1.2 数据分类

业内推荐的分类方法一般按业务条线总分法结合数据归类总分法的逻辑体系结构开展,即从总业务条线出发,对业务梳理细分,得到数据分类框架;然后将细分业务的数据进行汇合,按实际需要的数据颗粒度进行细分(数据分类层级过少,不利于定级;过多则不利于管理。一般划分到适合本机构定级需要即可,不宜超过三个层级)即可得到数据资产目录,这些数据细分结果为数据分级的前提条件。

数据安全治理-数据分类分级落地实践

1.2.1 业务条线梳理

数据一般因业务而产生,供业务需要使用;若无业务需求,也不会有数据的产生和消费。数据分类首先需厘清业务,才能区分业务涉及的具体数据。业务条线梳理工作从核心业务条线着手, 进行提炼分析, 通过理清业务条线建立关键实体,最终实现全业务覆盖。

1.2.2 数据归类

数据归类“总分”方式指数据资产的汇总与汇总后数据的按需分组,首先需要收集整理各细分业务范围内的数据资产,包含以物理或电子形式记录的数据表、数据项、数据文件等,资产梳理方式可参考《GB/T 21062-2007 政务信息资源目录体系》、《证券期货行业数据模型》等规范中的方法。

数据归类可通过工具发现结合人工判断的方式进行,结构化数据可通过数据探测任务发现数据库服务后,对数据库服务进行数据资产盘点。非结构化数据需通过访谈、收集、调研等方式进行盘点。针对关系型数据库,一般需要客户提供数据库的账号和密码,登录后获取该数据库的元数据,经过分析后梳理出该数据库所有用户表信息,包括表名、表创建时间、修改时间、表内各字段名称、数据类型等信息。

1.3 数据分级

在完成数据分类的前提下,对数据进行安全定级。基本思路是根据某类数据的安全属性(完整性、保密性、可用性),发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成三到四个安全级别。

数据安全治理-数据分类分级落地实践

1.3.1 数据定级流程

数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准,具体工作流程如下图所示。

数据安全治理-数据分类分级落地实践

1.3.2 数据定级流程基本步骤

数据资产梳理:

  • 第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。

数据安全分级准备:

  • 第二步:明确数据分级的颗粒度( 如库文件、表、字段等) ;

  • 第三步:识别数据安全定级关键要素(影响对象、影响范围、影响程度)。

数据安全级别判定:

  • 第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定;

  • 第五步:综合考虑数据规模、数据聚合、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。

数据安全级别审核:

  • 第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本单位数据安全保护目标相一致。

数据安全级别批准:

  • 第七步:最终由数据定级工作领导组织对数据安全分级结果进行审议批准。

1.3.3 级别变更

数据级别变更应由数据的主管业务部门/属主部门或数据安全管理部门发起,并按照数据定级流程实施。在数据定级完成后出现下列情形时,应对相关数据的安全级别进行变更:

  • 数据内容发生变化,导致原有数据的安全级别不适用变化后的数据;

  • 数据内容未发生变化,但因数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用;

  • 不同数据类型经汇聚融合形成新的数据类别,使得原有的数据级别不适用,应重新进行级别判定;

  • 因国家或行业主管部门要求,导致原定的数据级别不再适用;

  • 需要对数据级别进行变更的其它情形。

1.4 数据安全管控策略制定

根据数据分类分级结果,从管理、流程和技术等方面,制定基于数据安全视角的全生命周期数据安全管控策略。

管理方面包括不限于规范管理决策职责、规范日常维护职责、规范岗位人员职责等;

流程方面包括不限于制定数据安全管理整体机制流程安全管控策略、权限管理操作流程管控策略等;

技术方面包括不限于制定基础架构的整体安全支撑技术、加密、脱敏、数据防泄漏等的管控策略。

1.5 自动化数据分类分级打标

标签化可以通过对数据打标签的方式降低数据安全管理的门槛,帮助单位进行数据的分类管理,分级防护。

目前业内的专用工具可基于关联补齐后的数据,结合数据分类分级结果,在原数据基础上进行标记。

1.5.1 结构化数据的打标过程

  • 工具自动方式


工具自动打标签可以通过两种方式实现,一种是通过从数据库中提取元数据,进行自动分级分类,分级分类策略可配置。

另一种为借助敏感标签能力,对元数据中的敏感程度和数据定级自动智能推荐,并快速完成数据分级管理。

同时自动化工具能够支持数据分级支持对表、字段进行识别和分级标识,可自定义定级规则,并支持标记和变更数据敏感级别,通用的敏感级别包括公开、内部、敏感、机密等。

  • 机器学习方式


目前业内智能化打标一般指的是针对敏感数据进行打标。借助正则表达式、关键词、文档指纹、OCR、机器学习、自然语言处理等先进AI技术提取敏感数据特征,建立相应敏感识别规则,然后统一录入规则引擎。

识别规则除机器学习获得以外,还包括系统内置规则及用户根据敏感特征自定义规则,可进行精确的、更多场景的敏感数据识别。

识别后的数据与敏感标签库进行匹配,命中规则数据则会打上相应标签,根据标签则可以查看数据分级分类结果以及敏感数据分布情况。

1.5.2 非结构化数据的打标过程

针对文档、图像、视频等非结构化数据,通过标记文件头的方式进行打标。

原文始发于微信公众号(数据安全治理技术):数据安全治理-数据分类分级落地实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月15日14:27:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数据安全治理-数据分类分级落地实践https://cn-sec.com/archives/1350448.html

发表评论

匿名网友 填写信息