数据安全之全景图系列——数据分类分级落地实践

news2024/11/14 5:35:23

1、数据分类分级现状

我们正处于一个数据爆炸式增长的时代,随着产业数字化转型升级的推进,数据已被国家层面纳入生产要素,并且成为企业、社会和国家层面重要的战略资源。数据分类分级管理不仅是加强数据交换共享、提升数据资源价值的前提条件,也是数据安全保护场景下的必要条件。《数据安全法》(草案)、《科学数据管理办法》、《国务院关于印发“十三五”国家信息化规划的通知》等法规与发文从法律层面对数据分类分级提出了明确要求。

数据分类分级对于数据的安全管理至关重要,数据分类可以为数据资产结构化管理、UEBA(用户及实体行为分析)、个人信息画像等数据治理工作提供有效支撑;数据分级通过对不同级别的数据设置相应访问权限、加密规则、脱敏规则等,可大大提升数据安全管控效率,是数据安全精细化管理的重要一步。此外等级化管理也是一种普遍适用的管理方法,适用于我国当前实际的一种有效的数据安全管理方法。沿用等保2.0等级化保护和等级化管理思路,数据分类分级管理可有效优化信息安全资源配置,对数据资源分级实施保护,重点保护关系国家安全、经济命脉、社会稳定、个人隐私等方面的重要敏感数据。

目前数据分类分级相关的法律法规及国标、各地方标准亦在陆续出台中,但往往仅止步于提出要求,并未对如何分类分级、如何通过分类分级达到安全管控提出进一步的方案。本文基于安恒咨询团队对数据安全细分领域的经验实践,与您一起探讨数据分类分级工作的“落地可操作性”。

2、方法论实践

2.1. 规范制定

数据分类和数据分级是两个不同的概念。其中,数据分类是指企业、组织的数据按照部门归属、业务属性、行业经验等维度对数据进行类别划分,是个系统的复杂工程。数据分级则是从数据安全、隐私保护和合规的角度对数据的敏感程度进行等级划分。确定统一可执行的规则方法是数据分类分级实践的第一步,通常以业务流程、数据标准、数据模型等为输入,梳理各业务场景数据资产,识别敏感数据资产分布,理清数据资产使用的状况。从业务管理、安全要求等多维度设计数据分类分级规则和方法,制定配套的流程机制。同时完成业务数据分类分级标识,形成分类分级清单,结合数据场景化设计方案,明确不同敏感级别数据的安全管控策略和措施,构建不同业务领域的场景化数据安全管理矩阵,最后输出《数据分类分级方法和工作手册》、《基于业务场景的数据分类分级清单和管理矩阵》做为数据分类分级工作的具体参考依据。

2.2. 数据分类

业内推荐的分类方法一般按业务条线总分法结合数据归类总分法的逻辑体系结构开展,即从总业务条线出发,对业务梳理细分,得到数据分类框架;然后将细分业务的数据进行汇合,按实际需要的数据颗粒度进行细分(数据分类层级过少,不利于定级;过多则不利于管理。一般划分到适合本机构定级需要即可,不宜超过三个层级)即可得到数据资产目录,这些数据细分结果为数据分级的前提条件。

图片
2.2.1. 业务条线梳理

数据一般因业务而产生,供业务需要使用;若无业务需求,也不会有数据的产生和消费。数据分类首先需厘清业务,才能区分业务涉及的具体数据。业务条线梳理工作从核心业务条线着手, 进行提炼分析, 通过理清业务条线建立关键实体,最终实现全业务覆盖。

2.2.2. 数据归类

数据归类“总分”方式指数据资产的汇总与汇总后数据的按需分组,首先需要收集整理各细分业务范围内的数据资产,包含以物理或电子形式记录的数据表、数据项、数据文件等,资产梳理方式可参考《GB/T 21062-2007 政务信息资源目录体系》、《证券期货行业数据模型》等规范中的方法。

数据归类可通过工具发现结合人工判断的方式进行,结构化数据可通过数据探测任务发现数据库服务后,对数据库服务进行数据资产盘点。非结构化数据需通过访谈、收集、调研等方式进行盘点。针对关系型数据库,一般需要客户提供数据库的账号和密码,登录后获取该数据库的元数据,经过分析后梳理出该数据库所有用户表信息,包括表名、表创建时间、修改时间、表内各字段名称、数据类型等信息。

2.3. 数据分级

在完成数据分类的前提下,对数据进行安全定级。基本思路是根据某类数据的安全属性(完整性、保密性、可用性),发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成三到四个安全级别。

在这里插入图片描述
2.3.1. 数据定级流程

数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准,具体工作流程如下图所示。

图片

2.3.2. 数据定级流程基本步骤

数据资产梳理:

第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。

数据安全分级准备:

第二步:明确数据分级的颗粒度( 如库文件、表、字段等) ;

第三步:识别数据安全定级关键要素(影响对象、影响范围、影响程度)。

数据安全级别判定:

第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定;

第五步:综合考虑数据规模、数据聚合、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。

数据安全级别审核:

第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本单位数据安全保护目标相一致。

数据安全级别批准:

第七步:最终由数据定级工作领导组织对数据安全分级结果进行审议批准。

2.3.3. 级别变更

数据级别变更应由数据的主管业务部门/属主部门或数据安全管理部门发起,并按照数据定级流程实施。在数据定级完成后出现下列情形时,应对相关数据的安全级别进行变更:

数据内容发生变化,导致原有数据的安全级别不适用变化后的数据;

数据内容未发生变化,但因数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用;

不同数据类型经汇聚融合形成新的数据类别,使得原有的数据级别不适用,应重新进行级别判定;

因国家或行业主管部门要求,导致原定的数据级别不再适用;

需要对数据级别进行变更的其它情形。

2.4. 数据安全管控策略制定

根据数据分类分级结果,从管理、流程和技术等方面,制定基于数据安全视角的全生命周期数据安全管控策略,管理方面包括不限于规范管理决策职责、规范日常维护职责、规范岗位人员职责等;流程方面包括不限于制定数据安全管理整体机制流程安全管控策略、权限管理操作流程管控策略等;技术方面包括不限于制定基础架构的整体安全支撑技术、加密、脱敏、数据防泄漏等的管控策略。

2.5. 自动化数据分类分级打标

标签化可以通过对数据打标签的方式降低数据安全管理的门槛,帮助单位进行数据的分类管理,分级防护。目前业内的专用工具可基于关联补齐后的数据,结合数据分类分级结果,在原数据基础上进行标记。

2.5.1. 结构化数据的打标过程

2.5.1.1. 工具自动方式

工具自动打标签可以通过两种方式实现,一种是通过从数据库中提取元数据,进行自动分级分类,分级分类策略可配置。另一种为借助敏感标签能力,对元数据中的敏感程度和数据定级自动智能推荐,并快速完成数据分级管理。同时自动化工具能够支持数据分级支持对表、字段进行识别和分级标识,可自定义定级规则,并支持标记和变更数据敏感级别,通用的敏感级别包括公开、内部、敏感、机密等。

2.5.1.2. 机器学习方式

目前业内智能化打标一般指的是针对敏感数据进行打标。借助正则表达式、关键词、文档指纹、OCR、机器学习、自然语言处理等先进AI技术提取敏感数据特征,建立相应敏感识别规则,然后统一录入规则引擎。识别规则除机器学习获得以外,还包括系统内置规则及用户根据敏感特征自定义规则,可进行精确的、更多场景的敏感数据识别。识别后的数据与敏感标签库进行匹配,命中规则数据则会打上相应标签,根据标签则可以查看数据分级分类结果以及敏感数据分布情况。

2.5.2. 非结构化数据的打标过程

针对文档、图像、视频等非结构化数据,通过标记文件头的方式进行打标。

  1. 基于数据分类分级的某市政务数据安全管控实践

政务数据由基础信息、行业、主题等各类别的结构化、非结构化数据的汇集而成。某市政数据为规范市政数局、区委办局两级数据管理的相关标准,规范政务数据安全管控的规则,基于政务数据分类分级管理方法论进行了数据安全管控。

3.1. 工作流程说明
在这里插入图片描述
3.2. 制度建设

由政务数据主管部门牵头,信息安全部门制定分类分级相关的制度规范,包括组织人员岗位职责规范、分类分级规范、分类分级矩阵(含定级方法、安全管控策略)等。

3.3. 培训推广

由政务数据主管部门组织,信息安全部门为业务部门提供数据安全培训,除了针对分类分级制度规范解读、工具使用、安全管控实施细则等,培训内容还涵盖数据安全的常识、数据加密方式方法、数据脱敏方式方法、数据防泄漏等相关方面。通过开展不同角色的安全培训,覆盖政务管理培训和技术培训,将数据安全理论、数据安全最佳实践赋能XX市政务人员,达到培训提高数据安全意识、增强数据分类分级能力的目的。

3.4. 实施落地

  1. 梳理数据现状。业务部门梳理本部门的全量数据范围,明确数据产生方式、数据结构化特征、数据更新频率、数据应用情况、数据质量情况、数据敏感程度等。

  2. 初步确定数据分类分级。依据GB/T 21063.6-2007政务信息资源目录体系第4部分:政务信息资源分类相关要求,业务部门结合自身业务,初步判定数据在确定各分类维度的分类类别和数据安全等级。

  3. 部门自主审核。业务部门应对数据在各维度的初步分类结果及数据分级结果进行部门内部自主审核,审核通过后提交至政务数据主管部门审查。

在这里插入图片描述
5) 数据分类分级管控策略矩阵示例

在这里插入图片描述
3.5. 检查评审

合规性审查。政务数据主管部门对本级及下级业务部门的数据分类和分级结果进行合规性审查。经政务数据主管部门合规性审查通过后,最终确定业务部门的数据在各维度分类下的结果和数据安全等级。

3.6. 安全管控

  1. 确定最终数据分类分级。经政务数据主管部门合规性审查通过后,最终确定业务部门的数据分类分级结果。

  2. 数据安全分级管控。依据数据分级分类规范中的分级管控要求,落实具体管控措施。

  3. 变更维护。业务部门应定期组织对分类分级结果的合理性、有效性进行评估,当数据状态、服务范围等方面发生变化时,及时对分类分级结果进行调整,并记录变更过程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/797052.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Unreal MorphTarget Connect Bone MetaData Curve功能学习

MorphTarget Connected Bone和MetaData Curve是两个较冷门功能,近期在制作一些功能时留意到这2个内容,故研究一下。 1.MorphTarget Connected Bone 在骨架编辑面板中,选中MorphTarget时,可找到Connected Bone选项: …

[数据库]对数据库事务进行总结

文章目录 1、什么是事务2、事务的特性(ACID)3、并发事务带来的问题4、四个隔离级别: 1、什么是事务 事务是逻辑上的一组操作,要么都执行,要么都不执行。 事务最经典也经常被拿出来说例子就是转账了。假如小明要给小红…

图解SQL基础知识,小白也能看懂的SQL文章

本文介绍关系数据库的设计思想: 在 SQL 中,一切皆关系。 在计算机龄域有许多伟大的设计理念和思想,例如: 在 Unix 中,一切皆文件。 在面向对象的编程语言中,一切皆对象。 关系数据库同样也有自己的设计…

mybatis_使用注解开发

第一步&#xff1a;使用注解写一个接口 Select("select * from user")List<User> getUsers(); 第二步&#xff1a;绑定接口 第三步&#xff1a;测试 官方提示&#xff1a; 使用注解来映射简单语句会使代码显得更加简洁&#xff0c;但对于稍微复杂一点的语句&…

Spring AOP (面向切面编程)原理与代理模式—实例演示

一、AOP介绍和应用场景 Spring 中文文档 (springdoc.cn) Spring | Home 官网 1、AOP介绍&#xff08;为什么会出现AOP &#xff1f;&#xff09; Java是一个面向对象&#xff08;OOP&#xff09;的语言&#xff0c;但它有一些弊端。虽然使用OOP可以通过组合或继承的方…

使用网络 IP 扫描程序的原因

随着网络不断扩展以满足业务需求&#xff0c;高级 IP 扫描已成为网络管理员确保网络可用性和性能的关键任务。在大型网络中扫描 IP 地址可能具有挑战性&#xff0c;这些网络通常包括具有动态 IP、多个 DNS、DHCP 配置和复杂子网的有线和无线设备。使用可提供全面 IP 地址管理 &…

哈尔滨的全年平均气温和降水特点

哈尔滨全年平均气温和降水特点 哈尔滨是我国最靠北的省会城市&#xff0c;冬季那边特别冷&#xff0c;但夏季比较凉爽&#xff0c;下面根据中国气象台的1981-2010年的统计数据[1]&#xff0c;分析哈尔滨全年平均气温和降水的特点有以下几点&#xff1a; 1.全年最高气温在7月&…

ubuntu18.04安装autoware1.15

目录 前言一、准备工作1.安装autoware1.152.安装依赖3.把src/autoware/common/autoware_build_flags/cmake文件夹下的CUDA版本改为11.4&#xff08;或者你电脑上的版本&#xff09; 二、解决报错错误类型1错误类型2错误类型3错误类型4错误类型5错误类型6 前言 本文参考链接&am…

如何降低TCP在局域网环境下的数据传输延迟

以Ping为例。本案例是一个测试题目&#xff0c;只有现象展示&#xff0c;不含解决方案。 ROS_Kinetic_26 使用rosserial_windows实现windows与ROS master发送与接收消息_windows 接收ros1 消息 什么是ping&#xff1f; AI&#xff1a; ping是互联网控制消息协议&#xff08;…

数学建模-预测模型 神经网络

设置测试集&#xff0c;算sse&#xff0c;进行过拟合检验

无涯教程-jQuery - jQuery.get( url, data, callback, type )方法函数

jQuery.get(url&#xff0c;[data]&#xff0c;[callback]&#xff0c;[type])方法使用GET HTTP请求从服务器加载数据。 该方法返回XMLHttpRequest对象。 jQuery.get( url, [data], [callback], [type] ) - 语法 $.get( url, [data], [callback], [type] ) 这是此方法使用的…

电动汽车市场的减速,正在让小鹏汽车付出代价

来源&#xff1a;猛兽财经 作者&#xff1a;猛兽财经 总结&#xff1a; &#xff08;1&#xff09;由于价格压力上升、竞争加剧和需求减弱&#xff0c;小鹏汽车的交付量出现了明显下滑&#xff0c;6月份的交付量已经同比下降了43%。 &#xff08;2&#xff09;小鹏汽车对2023年…

ancos注册中心、网关和静态化freemarker、对象存储服务MinIO

1、docker安装ancos ①&#xff1a;docker拉取镜像 docker pull nacos/nacos-server:1.2.0②&#xff1a;创建容器 docker run --env MODEstandalone --name nacos --restartalways -d -p 8848:8848 nacos/nacos-server:1.2.0③&#xff1a;访问地址&#xff1a;http://192…

【论文阅读】The Deep Learning Compiler: A Comprehensive Survey

论文来源&#xff1a;Li M , Liu Y , Liu X ,et al.The Deep Learning Compiler: A Comprehensive Survey[J]. 2020.DOI:10.1109/TPDS.2020.3030548. 这是一篇关于深度学习编译器的综述类文章。 什么是深度学习编译器 深度学习&#xff08;Deep Learning&#xff09;编译器将…

getInputStream has already been called for this request 问题记录

问题背景 HttpServletRequest.getReader() HttpServletRequest.getInputStream() 不能在过滤器中读取一次二进制流&#xff08;字符流&#xff09;&#xff0c;又在另外一个Servlet中读取一次&#xff0c;即一个InputSteam(BufferedReader)对象在被读取完成后&#xff0c;将无…

FPGA XDMA 中断模式实现 PCIE3.0 AD7606采集 提供2套工程源码和QT上位机源码

目录 1、前言2、我已有的PCIE方案3、PCIE理论4、总体设计思路和方案AD7606数据采集和缓存XDMA简介XDMA中断模式QT上位机及其源码 5、vivado工程1--BRAM缓存6、vivado工程2--DDR4缓存7、上板调试验证8、福利&#xff1a;工程代码的获取 1、前言 PCIE&#xff08;PCI Express&am…

全方位支持图文和音视频、100+增强功能,Facebook开源数据增强库AugLy

Facebook 近日开源了数据增强库 AugLy&#xff0c;包含四个子库&#xff0c;每个子库对应不同的模态&#xff0c;每个库遵循相同的接口。支持四种模态&#xff1a;文本、图像、音频和视频。 最近&#xff0c;Facebook 开源了一个新的 Python 库——AugLy&#xff0c;该库旨在帮…

Error: unknown flag: --export 【k8s,kubernets报错】

报错情况如下&#xff1a; [rootk8smaster ~]# kubectl get deploy nginx -oyaml --export > my2.yaml Error: unknown flag: --export See kubectl get --help for usage.原因&#xff1a; --export在所使用的版本中已被移除 解决&#xff1a;去除--export即可&#xff0c…

基于Javaweb实现ATM机系统开发实战(十五)退卡和转账跳转实现

首先创建一个servlet接受和处理请求&#xff1a; package com.atm.servlet;import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import java.io.IOException;//用户退出 WebServlet("/logout") public class ExitServlet ex…

14、php面向对象3(final、显示调用父类构造方法、static静态变量与方法)

1、如果父类中的方法被声明为 final&#xff0c;则子类无法覆盖该方法。如果一个类被声明为 final&#xff0c;则不能被继承。 <?php class BaseClass{public function test(){echo "BaseClass::test() called".PHP_EOL;}final public function moreTesting(){e…