《資料安全法》的第二十一條明確規定了由國家建立資料分類分級保護制度,根據資料在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對資料實行分類分級保護。國家資料安全工作協調機制統籌協調有關部門制定重要資料目錄,加強對重要資料的保護。
實行資料分類分級是保障資料安全的前提,也是資料安全治理過程中極為重要的一環。本文在蒐集整理法規要求的基礎上,結合最佳實踐,為開展資料分類分級工作提供一些思路和建議。
捍衛資料安全的第一步:分類分級
資料安全是指保護資料的機密性、完整性和可用性。當前資料安全領域主要關注的防護物件包括個人資訊和重要資料。
個人資訊是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。
重要資料是指不涉及國家秘密,但與國家安全、經濟發展以及公共利益密切相關的資料,包括但不限於公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的各類機構在開展業務活動中採集和產生的,不涉及國家秘密,但一旦洩露、篡改或濫用將會對國家安全、經濟社會發展和公共利益造成不利影響的資料。
開展資料安全的第一步就是要識別資料、基於業務特點進行資料的分類和分級。資料分類分級的準確度是後續資料保護策略部署的基礎。一般資料分類分級的流程包括:制定資料分類分級標準,準備資料樣本、建立敏感資料規則庫,掃描目標儲存裝置,自動化資料測繪。
1、制定資料分類分級標準
根據國家相關標準、行業相關標準、結合企業業務特性制定企業資料分類分級標準/規範,例如:
2、準備資料樣本、建立敏感資料規則庫
3、掃描目標儲存裝置,自動化資料測繪
透過專業資料分類分級裝置對結構化/半結構化/非結構化資料掃描,自動發現敏感資料的大小、數量等屬性資訊及儲存位置,形成資料資產的測繪圖。
分類分級的幾個典型應用場景
1、企業使用者的使用場景
一般需求
企業使用者做資料安全建設工作:首先梳理企業資料資產、分類分級,根據分類分級結果制定資料管控策略,實施管控措施,全景展示資料安全態勢,持續運營改進。
(1) 開放API介面,允許其他資料安全防護裝置讀取敏感資料資訊進行資料安全防護策略的配置和部署。
(2) 針對資料庫的Schema掃描,將掃描結果透過郵件傳送給Schema負責人,通知其跟進處理。
解決方案
專業資料分類分級裝置做全網資料資產識別和分類分級,開放通用API介面,可分別與資料安全運營管理平臺和資料安全防護裝置聯動。
與資料安全運營管理平臺聯動,將資料分類分級結果上傳給平臺,透過平臺統一將策略下發給各資料安全防護裝置。
專業資料分類分級裝置或者資料安全運營管理平臺,將敏感資料結果傳送給各資料資產管理員分別進行整改,形成資料安全運營閉環。
2、高校使用者使用場景
一般需求
專業資料分類分級裝置由學校的網管中心統一負責維護,具體敏感資料識別業務則由各個學院自行完成,各學院資料互相隔離。
解決方案
專業資料分類分級裝置支援多使用者分權管理,即系統管理員統一建立不同的使用者賬號,每個使用者單獨分配資料空間,資料相互隔離。使用者透過自己賬號登陸裝置可以自行完成所負責資料資產的分類分級工作。
3、雲端使用者的使用場景
一般需求
業務系統部署在雲環境,需要支援雲端資料資產分類分級。
解決方案
1、專業資料分類分級裝置提供虛擬化映象,支援虛擬化部署,對目標資料資產伺服器進行掃描並提供資料分類分級。
2、專業資料分類分級裝置以硬體部署,透過交換機接入目標雲環境進行掃描,提供資料分類分級。
3、監管機構的使用場景
一般需求
1、 監管機構需要對大資料企業/單位做綜合資料安全風險評估,包括資料資產識別、資料分類分級、平臺元件安全掃描等。
2、 在各企業/單位完成掃描檢查後,將掃描結果上傳至資料安全運營管理平臺。
解決方案
專業資料分類分級裝置提供全網資料資產測繪、智慧資料分類分級、實時資料流轉測繪、平臺元件安全掃描功能,可透過計劃管理模式定期對目標資料資產進行掃描,提供綜合資料安全風險評估報告和整改建議。
專業資料分類分級裝置提供通用API介面,可以實時或者手動將掃描結果上傳至資料安全運營管理平臺。