数据分类分级的实践方法论与更深层次的思考
数据分类分级的实践方法论与更深层次的思考
- 数据安全的未来
-
- 未来的世界观
- 价值和意义
- 数据分类分级实践方法论
-
- 背景
- 数据分类分级介绍
- 数据分类分级建设方案
-
- 1.数据安全整体规划
- 2.数据安全体系制度及实践指南
- 数据分类分级效果衡量标准
数据安全的未来
未来的世界观
在本文开始我想先解释一下,为什么我在解读完《中华人民共和国数据安全法》之后,不去按照传统思路聊聊数据安全治理体系建设的方法论,或者阐述下数据安全治理体系的规划、建设方案,又或者说说具体的数据安全治理体系的架构设计、产品设计与专业技术,而是要先讲一讲数据分类分级这件事呢!
这是因为我是非常的重视数据分类分级这件事的,其实看过我解读安全法的文章的朋友也可以发现,我对数据安全法中数据分类分级的解读的也是最详细的。从整体上来说,与传统数据安全治理体系建设方法论不同的是,我个人在基于长期以来的数据领域积累的的规划和实践经验,同时经过不断的思索后,认为数据安全的未来一定是基于分类分级后的加密存储、加密使用、解密交易,所有数据都在公网,不同数据有且仅有一个秘钥可以解密,除了数据拥有者本人以外的其他任何人都无法知道数据的真实含义,这个时候的数据必将成为可被货币确切衡量的、可以在市场上流通交易的真实资产,就像(1元)人民币、(1颗)大白菜一样,为了介绍方便我先将数据的单位命名为昊,或许未来的某天,我们可以像(1元)人民币购买(1颗)大白菜一样,也可以花(1元)人民币购买(1昊)数据!
具体一些来说说,我认为的未来是这样的:
1.未来数据安全将较少的受到网络层面的影响,所有的数据都在公网上、在云上,网络层面将不再存在隔离;
2.数据在产生之前就需要确认数据拥有者,需保密数据的拥有者用自己的秘钥(或其他方式)将数据加密,秘钥仅支持解密一次,解密后若不重新加密,则数据会直接丢失,那么从数据产生开始,所有人都可以看到这些数据,但只有数据拥有者知道这些数据的真实含义是什么;
3.数据在交易的时候,有专业的机构来衡量数据价值几昊,就像我们在现实世界买东西一样,我们用钱买对方的一次性秘钥,交易的结果是数据换成我们的一次性秘钥,那么这个数据就是属于我们自己的资产。
价值和意义
到了这个时候,我们就可以避免目前绝大多数的数据安全风险,包括数据经过(外部攻击、内部盗取)泄露、数据被骗取等风险均可以避免,例如我们去酒店住宿,酒店可以只记录房间的入住信息(房间的所有人是酒店,那么例如房间被占用等信息的由酒店所有,用来管理和结算费用等),我们的个人信息和入住不会进入酒店的系统,而是直接进入公安的系统中(依法身份认证),此时哪怕酒店的数据所有人将酒店数据的秘钥卖掉、丢失,也不会使得房客的信息被泄露。
除了规避了风险,还可以给企业和个人带来极大的经济效益,包括但不限于:
1.所有的数据均在公有云或者公网上,减少了私有化部署的成本;
2.所有的数据按照分类分级的原则,那么理论上所有主数据都可以设置为公开数据,由数据所有人对外提供,所有人使用同样的主数据,同时由于不存在一份数据随意复制多处存储,降低了数据冗余,综合来说会大幅度的降低了数据存储的占用的资源;
3.数据成为真实的资产交易,有具体价值也可以增值升值,真正意义上提高了企业的收入和利润;
对于企业的IT部门,从职能层面也会出现根本上的转变,包括但不限于:
1.数据质量难保障,由于涉及到了具体的收入和利润,数据质量的重要程度直线上升,会削弱很多由于“没人管”、“没权管”、“不愿管”而无法保障数据质量的问题;
2.由成本中心直接转变成为利润中心,由企业的支撑组织直接变成了业务组织,组织和我们诸多的程序员,可以更直观的为社会、为企业创造价值;
为什么我一直在强调公网,因为写在数据安全专栏下面,所以在本文中尽量少提系统和网络,实际上在数据放在公网之后,系统自然而然就可以放在上公网了,也就不会在存在我们目前企业里面常见的外网、办公网、生产网等其他网络的区分了。数据将会像真实资产一样,被数据所有人持有,在计算企业、个人资产时候,数据也会像不动产等其他资产一样换算成钱记在我们企业的资产负债表中。
这个时候我想大家自然明白我为什么说目前最重要的就是数据的分类分级,我认为其它绝大多数当前流行的数据安全方法论、产品和技术终将无用。关于数据安全未来的分享就说到这里,希望大家有更好的想法可以一起交流,下面将分享的是目前传统的数据分类分级的方法论。
数据分类分级实践方法论
背景
“数字时代之始,数据经济之始,数据开始爆炸的年代”,这是我对当前时代的定义,在数据经济之始,数据的价值越来越高,很多人铤而走险将手伸向隐私数据,数据安全的问题也越来越多。如电信2亿用户数据被内部员工售卖,获利2000余万元;微博1.72亿有账户的信息被人在暗网以0.177比特币的价格贩卖;圆通10亿条快递数据被人在暗网以1比特币的价格贩卖;顺丰的数据被人在暗网以2比特币的价格贩卖;浙江一家银行泄露客户信息被罚30万;在“净网2018”、“净网2019”、“净网2020”专项行动中,公安机关在侵犯公民个人信息案件中抓获各行业“内鬼”3000余名。
IBM发布调研报告,2020年统计数据表明数据泄露造成的平均总损失为386万美元,发现并控制安全漏洞所用的平均时间280天,同时数据泄露的影响会持续数年。这样的案例和报告说明,数据泄露有外部攻击还有内部泄露,不仅受到损失还要依法被处罚,所以数据安全对于企业而言是必须且首要的工作之一。
数据分类分级则是数据安全的基础,是数据保护和使用中的一个平衡点。
数据分类分级介绍
目前,从国家法律、法规、政策文件中已明确提出数据分类分级这个概念,《中华人民共和国数据安全法》明确国家建立数据分类分级制度,《网络安全等级保护基本要求》明确“应对信息分类与标识方法做出规定”,《金融数据安全 数据安全分级指南》、《工业数据分类分级指南》也相继发布,相关机构已经快速推进数据分类分级的行业标准制定。
DAMA数据管理知识体系的数据安全模块中也有相关方法论介绍。
在互联网企业中网上可以查到有赞大数据安全体系的具体介绍。
数据分类分级虽然没有明确的概念解释,但比较统一的说法,可以认为数据分类分级是:先按照数据种类、主题、属性等因素进行分类,再按照数据层次、大小等因素进行分级。
数据分类分级建设方案
1.数据安全整体规划
任何信息化工作都建议“无规划不建设”,同时建议大家推动数据安全规划纳入企业整体规划,挂帅数据安全的领导级别尽量的高,因为数据安全工作缺乏短期可体现的经济效益,如果不在企业规划中、没有高层领导主导的话成功率几乎为零。
建议数据分类分级从数据源(业务系统)开始落实,而不是在数据仓库或ods中才开始落实。
由于数据安全整体规划不是本章重点,就不在这里展开阐述,后续我会撰写相关内容的文章。
2.数据安全体系制度及实践指南
应该分开写的,可惜因为我虽然看过很多的企业分类分级体系,但这些内容不能公开,所以把制度体系和实践指南揉到了一起,大家可以理解本小节既有制度,又解释了如何落实该制度。
(1)制度背景
数据安全体系制度是一个全面的制度,本文讲的数据分类分级仅是其一部分;
确认数据分类分级的目的、适用范围,根据各企业实际情况编写;
(2)数据分类分级组织机构划分及角色责任
(2)数据分类标准
制定数据分类录入、变更、删除流程。
明确数据分类的规则,务必遵循行业主管部门制定的规范、指南,再根据本企业实际情况补充。建议大家做数据分类的时候大类以全局的视角按照用户、设备等类型来划分,尽量不要按照业务来划分;对划分的层级不要超过4层,例如C端企业可以一级分类是用户身份信息(C)、二级分类是用户身份鉴权信息(C1)、三级分类用户密码信息(C11),之所以这样是因为所有的分类分级本质都是为了解耦,根据经验,无法解耦的分类和过多的层级将增加管理的难度。
(3)数据分级标准
制定数据分级录入、变更、删除流程。
数据分级同样需要遵循行业主管部门制定的规范、指南,同时建议数据分级不要超过4级,一般来说通过敏感等级来分级,我比较推荐分为公开、低敏感级、敏感级(企业级别敏感)、高敏感级(法律法规层面)。
数据分类分级详细内容均可以参照我在数据分类分级介绍中提到的案例,一般来说数据表的分类分级时需要精确分析到每一个字段,等级是按照最高级的字段来确认。
(4)数据分类分级实施
制定数据表、指标和标签的具体分类分级工作的责任人、流程。
建议先根据按需梳理+全局梳理并行的方式,梳理企业数据资产清单,在这个基础上由负责人对数据表、指标和标签进行分类分级工作。
(4)数据分类分级管控
制定不同级别数据的管控方式。
按照我分4级的前提,一般来说高敏感级数据必须要求严禁公开、脱敏、实时监控,同时需要最严格的技术和制度保障数据安全,例如上文中举例的用户密码(C11)就一定属于此范围中;公开级别的数据理论上可以直接公开,但最好考虑好数据量和方式方法,一般来说需要对外公开的指标数据可以纳入此级;中间两级大家需要根据自己企业的实际情况来制定管控原则。
数据分类分级效果衡量标准
1.数据分类分级制度制定:完成数据分类分级制度的制定;
2.数据分类分级组织体系建立:任命数据分类分级责任人,各数据生产部门均需要配备人员,一同组成数据分类分级团队;
3.数据分类分级覆盖率:受数据资产管理情况的情况影响,通常企业中永远无法保障已梳理出来所有的数据资产,那么我们可以将数据分类分级覆盖率达标的条件是:重要数据完成数据分类分级比率达到100%;优秀则是数据资产目录中所有数据完成数据分类分级比率达到100%;
4.重要数据溯源:重要数据均可以追溯到数据产生的源头之处;
本次数据分类分级的分享就到这里,文章有些长,十分感谢大家的阅读。