数据分类分级方法及典型应用场景.docx

数据分类分级方法及典型应用场景 《数据平安法》的第二十一条明确规定了由国家建立数据分类分级保 护制度，根据数据在经济社会开展中的重要程度，以及一旦遭到篡改、 破坏、泄露或者非法获取、非法利用，对国家平安、公共利益或者个 人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家 数据平安工作协调机制统筹协调有关部门制定重要数据目录，加强对 重要数据的保护。 实行数据分类分级是保障数据平安的前提，也是数据平安治理过程中 极为重要的一环。本文在整理法规要求的基础上，结合最正确实践, 为开展数据分类分级工作提供一些思路和建议。 01数据分类分级概述 数据平安是指保护数据的机密性、完整性和可用性。当前数 据平安领域主要关注的防护对象包括个人信息和重要数据。 个人信息是指以电子或者其他方式记录的能够单独或者与 其他信息结合识别自然人个人身份的各种信息，包括但不限 于自然人的姓名、出生日期、身份证件号码、个人生物识别 信息、住址、 号码等。 （1）开放API接口，允许其他数据平安防护设备读取敏感 数据信息进行数据平安防护策略的配置和部署。 （2）针对数据库的Schema扫描，将扫描结果通过邮件发送 给Schema负责人，通知其跟进处理。 解决方案专业数据分类分级设备做全网数据资产识别和分类分级，开 放通用API接口，可分别与数据平安运营管理平台和数据安 全防护设备联动。 与数据平安运营管理平台联动，将数据分类分级结果上传给 平台，通过平台统一将策略下发给各数据平安防护设备。 专业数据分类分级设备或者数据平安运营管理平台，将敏感 数据结果发送给各数据资产管理员分别进行整改，形成数据 平安运营闭环。 © v-w» 02 高校用户使用场景一般需求 专业数据分类分级设备由学校的网管中心统一负责维护，具 体敏感数据识别业务那么由各个学院自行完成，各学院数据互 相隔离。 解决方案专业数据分类分级设备支持多用户分权管理，即系统管理员 统一创立不同的用户账号，每个用户单独分配数据空间，数 据相互隔离。用户通过自己账号登陆设备可以自行完成所负 责数据资产的分类分级工作。 fl© 03 高校网管中心 云端用户的使用场景 一般需求 业务系统部署在云环境，需要支持云端数据资产分类分级。 解决方案1、专业数据分类分级设备提供虚拟化镜像，支持虚拟化部 署，对目标数据资产服务器进行扫描并提供数据分类分级。 2、专业数据分类分级设备以硬件部署，通过交换机接入目标云环境进行扫描，提供数据分类分级。 分类分 级设备 04 监管机构的使用场景 一般需求1、监管机构需要对大数据企业/单位做综合数据平安风险评 估，包括数据资产识别、数据分类分级、平台组件平安扫描 等。 2、在各企业/单位完成扫描检查后，将扫描结果上传至数据 平安运营管理平台。 解决方案专业数据分类分级设备提供全网数据资产测绘、智能数据分 类分级、实时数据流转测绘、平台组件平安扫描功能，可通 过计划管理模式定期对目标数据资产进行扫描，提供综合数 据平安风险评估报告和整改建议。 专业数据分类分级设备提供通用API接口，可以实时或者手 动将扫描结果上传至数据平安运营管理平台。 04数据分类分级的意义 1、满足合规要求满足合规是企业平稳运行最基本要求，《网络平安法》 第二十一条（四）、《数据平安法》第二十一条、《民 典法》第六章，以及等保、标准规范等都有要求，企业 应当去研究，按照本行业的监管要求去执行，采用流程 和技术手段切实落实数据分类分级工作。 2、满足自身开展随着大数据、人工智能、云计算等新型技术的深入应用， 往信息化资产转变成为必然趋势。在信息化水平不断提 升的同时，也将产生多种多样的数据，前期没做好数据 管理方面的规划，后期维护本钱更高。 3、提升数据使用价值如何更好的从数据中提取价值，持续性为企业提供精准 的数据服务。在提升运营能力同时，数据资产的精细化 管理，必将成为企业业务优化的发力点或突破点，也是 企业竞争力之一。数据资产确实认和计量极有可能纳入 企业资产负债表，成为企业的资产之一。 4、减少数据平安风险采用规范的数据分类、分级方法，有助于企业厘清数据资产，确定数据重要性或 敏感度，哪些数据谁可以用怎么用、哪些数据可以公开哪些数据不可以公开等情 况，针对性地采取适当、合理的管理手段和平安防护措施，形成一套科学、规范 的数据资产管理与保护机制，从而减少数据遭受篡改、破坏、泄露、丧失或非法 利用的可能。 重要数据是指不涉及国家秘密，但与国家平安、经济开展以 及公共利益密切相关的数据，包括但不限于公共通信和信息 服务、能源、交通、水利、金融、公共服务、电子政务等重 要行业和领域的各类机构在开展业务活动中采集和产生的， 不涉及国家秘密，但一旦泄露、篡改或滥用将会对国家平安、 经济社会开展和公共利益造成不利影响的数据。 为了更好的理解和认识什么是数据分类分级，从数据、 数据来源、数据分类以及数据分级等方面展开。 1、数据数据是指任何以电子或其他方式对信息的记录。同时 也指信息可再解释的形式化表示，以适用于通信、解 释或处理，可以通过人工或自动手段处理数据。也指 通过事实或观察的结果，是对客观事物的逻辑归纳， 是用于表示客观事物的未经加工的原始素材，它是可 识别的、抽象的符号。数据类型包括结构化数据（如 RDD、SQL、JSON、NOSQL、表格数据等）、半结构化数 据（如日志文件、XML文档、JSON文档、Email等）、 非结构化数据（如办公文档、文本、图片、XML、HTML、 各类报表、图像和音频/视频信息等）。通俗点讲，我 们把人体的血液比作数据，器官比作企业各个部门。 流动的数据才能为各个部门传递信息，从而更好的协 作。2、数据来源数据的来源主要来自于三个方面： 第一源于企业内部，如交易、运营、财务、人力等部 门产生的自有数据。 第二源于三方数据，如网络数据、通信数据、信用数 据、客户数据等。 第三源于采集数据，如通过传感器、图像视频、社交 媒体、物联网等途径接收到的数据。 不管是哪种数据，都将作为企业的数据资产，纳入数 据分类分级范围。下列图是数据来源示意图： IT/OT 数据 交易 运营 财务 人力 亘回回 数据 结构化数据 半结构化数据 非结构化数据 传慝器 效据 网珞 通信 信用 客户 图2数据的来源3、数据分类 数据分类是指根据组织数据的属性或特征，将其按照 一定的原那么和方法进行区分和归类，并建立起一定的 分类体系和排列顺序，以便更好地管理和使用组织数 据的过程。数据分类是数据保护工作中的一个关键部 分，是建立统一、准确、完善的数据架构的基础，是 实现集中化、专业化、标准化数据管理的基础。 4、数据分级数据分级是指在数据分类的基础上，采用规范、明确 的方法区分数据的重要性和敏感度差异，按照一定的 分级原那么对其进行定级，从而为组织数据的开放和共 享平安策略制定提供支撑的过程。 02数据分类分级方法 开展数据平安的第一步就是要识别数据、基于业务特点进行 数据的分类和分级。数据分类分级的准确度是后续数据保护 策略部署的基础。 一般数据分类分级的流程包括：制定数据分类分级标准，准 备数据样本、建立敏感数据规那么库，扫描目标存储设备，自 动化数据测绘。 01制定数据分类分级标准 根据国家相关标准、行业相关标准、结合企业业务特性制定 企业数据分类分级标准/规范，例如： 类别一级子类 (A类)用户身份相关数据(A1)用户身份和标识信息 (A2)用户网络身份鉴权信息(B类)用户服务内容数据 (B1)服务内容和资料数据(C1)用户服务使用数据 (C类)用户服务衍生数据(C2)设备信息 (D1)企业管理数据二级子M (A1-1)自然人身份标识(A1-2)网络身份标识 (A1-3)用户基本资料(A1-4)实体身份证明 (A1-5)用户私密资料(A2-1)用户密码及关联信 (B1-1)服务内容数据(B1-2)联系人信息 (C1-1)业务订购关系(C1-2)服务记录和日志 (C1-3)消费信息和账单(C1-4)位置数据 (C1-5)违规记录数据(C2-1)终端设备标识 (C2-2)终端设备资料(D1-1)企业内部核心管理 (D1-2)企业内部重要管理(D1-3)企业内部一般管理 (D1-4)市场核心经营类数(D1-5)市场重要经营类数 (D1-6)市场一般经营类数(D1-7)企业公开披露信息 (D1-8)企业上报信息(D2-1)重要业务运营服务 (D类)企业运营管理数据(D2)业务运营数据 (D3)网络及IT系统运维数据(D2-2)一般业务运营服务 (D2-3)公开业务运营服务 (D2-4)数字内容业务运营 (D3-1)网络设备及IT系统 (D3-2)核心网络设备及IT (D3-3)重要网络设备及IT (D3-4)一般网络设备及IT (D3-5)公开网络设备及IT (D3-6)网络设备及IT系统 02准备数据样本、建立敏感数据规那么库 敏感数据类型 特征表示 用户身份信息（身份证、护照号等） 正那么表达式 A] 用户通讯信息（ 号码、电子邮箱）正那么表达式短信计费话单 短信计费话单 复合规那么 C1 短信统计话单 OA办公审批流信息 复合规那么 复合规那么 C1 Dl-3j 合同样本文件 关键字规那么 Dl-2j 03扫描目标存储设备，自动化数据测绘 通过专业数据分类分级设备对结构化/半结构化/非结构化数 据扫描，自动发现敏感数据的大小、数量等属性信息及存储 位置，形成数据资产的测绘图。 扫描多种数据存储体 分类分 级设备 Oracle MySQL SQLServer Hive Hbase Hdfs !表/文件名称 'J I i存储路径敏感字段 1 ：! L .d Il— ——_—一一一 一一一一一 — 一 一一一 一 一 一一.1— —一― ―—• !；文件大小文 :「文件属主账号; 1 I | L 一一一一一 一 .一一一一一一一一一一一一」 ------ \;文件读写执行权限 、 多维度数据资j 03数据分类分级的几个典型应用场景01 企业用户的使用场景一般需求 企业用户做数据平安建设工作：首先梳理企业数据资产、分 类分级，根据分类分级结果制定数据管控策略，实施管控措 施，全景展示数据平安态势，持续运营改进。