这是一场与“大”时代威胁的较量,信息化的不断演进中,对数据安全的担忧不会停止。
最近奥运会大热,作为全球最受关注的赛事,东京奥运会也遭到了网络安全的挑战,据安全圈(ID:ChinaAnQuan)发文称,东京奥运会出现148个钓鱼网站,导致门票购买者及志愿者信息泄露,加上此前滴滴打车非法采集个人信息数据、“运满满”、“货车帮”、“BOSS直聘”等相继接受网络安全审查,数据安全俨然已从个人、企业上升到国家安全,受到了不同层面的关注。
今年的6月10日,《中华人民共和国数据安全法》(简称:数据安全法)正式发布,并将于2021年9月1日施行。企业的数据安全保护该从何做起?第一步要弄清楚数据在哪里,这就涉及到数据的分类分级。
《数据安全法》指出“国家建立数据分类分级保护制度”,“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。数据的分类分级已成为企业数据安全治理的必选题。
如何理解数据分级分类
数据的分类分级可以从以下几个方面来理解:
数据分级分类的原则:科学性、实用性、自主性。
数据标准化:是对数据的定义、组织、监督和保护进行标准化的过程。数据标准化可以厘清进行数据分类分级的管理范围。但一个企业的原始数据量之大,难以对每一条数据进行分级分类管理。因此数据分类分级管理的目标,只能是“有限可控”的数据标准项。
数据分类:把数据标准按照一定的规则和类目体系进行归类,抽取它们的某一属性的共性,形成不同属性主题的归类。
安全等级:一般根据数据的完整性、保密性、可用性遭到破坏、损失后的影响对象(国家安全、公众权益、个人隐私、企业合法权益)和影响程度划分等级。
数据安全的流程与步骤
企业数据安全定级总体来说是一个庞大的数据治理咨询工作,联软认为从流程上主要分为5个步骤,其中的难点为:
✔建立响应的组织架构与项目团队:组织架构为长期,项目团队为临时。
✔前期背景、环境、数据的调研:庞大的调研与收集工作,如由第三方落地将面临许多权限与协调问题(难点:数据形态多和分布广、自身保密性不同)。
✔数据梳理:对收集到的数据通过技术手段进行聚类分类,形成不同的业务数据类型,人工校对(难点:分类的准确性)。
✔数据定级:针对不同类型的业务数据进行安全数据影响评估及定级(难点:逐条数据定级不现实,只能对一类数据进行评估定级,依赖数据梳理的准确性)。
✔定级审核和管理流程制定:内部数据安全分级与管理制度的制定。
联软科技数据安全方案之“摸清家底”
数据安全建设是为了避免敏感数据的泄露。首先通过定义敏感数据的内容,借助技术手段进行有效管控,是数据安全建设的重点。以数据智能识别和发现为基础,通过授权控制、智能隔离、安全流转、审计追溯等手段,保护企业业务系统和终端上的业务数据,保证数据的高效传输、分享和交换。在“摸清家底”上,联软UniDLP数据防泄露系统利用更高效简单的方法帮助企业发现和识别数据。
✔数据调研梳理
任何管理动作和技术措施最终要保护的对象是信息本身,调硏梳理能够准确识别需要保护的对象。企业中各业务部门对自己所掌握的各类信息是最清楚的,需要用统一的方法论结合业务实际情况,才能完成对敏感信息的准确识别。
同时,UniDLP数据防泄露系统提供数据梳理服务,对企业典型数据进行调研,通过半自动化的梳理工具对数据进行分类分级,并对数据面临的风险进行评估,帮助企业制定数据治理方案。
✔敏感数据定义
UniDLP数据防泄露系统提供数据识别功能,支持对文档、源代码、图片等文件进行文件源格式识别,并基于关键字、正则表达式、数据标识符、智能聚类、文档相似度/唯一标记/流转记录/信息容量等方法对内容进行感知,实现对文档所属类别、级别的判定,以及数据血缘关系、分布地图、风险态势等分析。
数据分类分级是企业数据安全合规使用的基础,做好数据分级分类是保护重要资产的第一步,通过对敏感及重要数据的分类,降低企业数据泄露的风险,提升整体数据安全防护和运营能力。
参考文献:
1、地方标准DB 3301/T 0322.3—2020《数据资源管理:政务数据分类分级 》
2、《金融数据安全 数据安全分级指南》(JR/T 0197—2020)
3、安全圈公众号文《东京奥运会出现148个钓鱼网站 门票购票者及志愿者信息泄露》
4、新华社《为防范国家数据安全风险,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查》