概念定义
数据分类分级应该将分类和分级分开进行理解。
分类指根据数据的用途和含义去定义数据。更偏向数据治理,而非数据安全治理。
分级指依据数据分类的结果以及数据价值对数据进行分级。是数据安全治理的范畴。
分级类别及依据目前大部分标准将分级定义为核心、重要、一般,
同时又有一些更加细化的分级。
主要依据分为正向和反向,
正向指根据数据重要性或者经济效益大小进行定级,
反向指根据数据泄露后造成的影响进行定级。
目标对数据进行标识,给数据“身份证”;依据数据“身份证”,对数据的访问、共享利用、安全审计进行管控。意义数据分类分级是数据安全的基础,要不就是传统网络安全的范畴。网络安全是传统的数据安全,主要依托于策略进行数据安全检测,例如传统数据防泄漏设备主要根据关键字、正则表达式等对数据的泄露行为进行监测。数据安全,主要依托于机构内部数据分类分级的结果和数据标识对数据进行全生命周期的安全管控,例如同样类比数据防泄漏设备将主要根据机构内部的数据标识对数据泄露行为进行监测,将会更加全面和准确。实施步骤建立内部数据分类分级标准规范;梳理形成内部数据分类分级目录;使用分类分级工具对数据进行扫描,并分类分级;建立数据标识表,可分为嵌入标识(与数据绑定,主要应用到数据共享利用)和分离标识(与数据松耦合并关联,主要应用到业务数据库或者大数据平台的访问控制和审计);
使用数据标识应用到:
(1)业务数据访问控制;
(2)业务数据安全审计;
(3)数据对外共享利用;
根据一定规则(时间或者业务数据更新情况)对数据标示表进行更新。
1)人工验证和评估
通过人工检查的方式,定期review数据打标签的正确性、敏感数据的存储使用状态等。
2)自动化验证和评估
基于数据分类分级清单和基于hive维护出来的敏感信息级别清单,制定敏感信息发现规则,主动识别静态数据和动态数据,自动发现和告警未按照策略要求防护的数据。(此处会在之后的数据识别章节详细介绍)