原文链接:https://blog.csdn.net/weixin_52069830/article/details/124553895
前言
数据分类分级,作为数据安全治理的基础和首要工作,重要性无需赘言,关于数据分类分级的解决方案请看金融数据安全分类分级解决方案,可以了解下整体思路和基本概念。
《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》等相继出台,国家层面明确提出建立数据分类分级保护制度;金融、工业等行业监管也早已制定相关配套标准规范;上海市、武汉市和浙江省等多地分别发布公共数据开放分级分类试行指南,为落实数据分类分级管理提供指导性参考。
由于很多行业客户人力资源和专业能力限制,同时数据分类分级又是一项长期周期性的工作,随着业务和数据变化定期开展分类分级工作,形成周期性的分类分级清单,供数据精细化保护使用。客户逐步更倾向购买数据安全治理服务,数据分类分级目前业界大多数是以产品+人工服务的形式去落地,本文详细介绍数据分类分级产品的技术原理和基本的产品功能。
1、产品介绍
数据分类分级系统是一款资产自动发现及数据分类分级管理的安全产品,具有高性能、高易用性、高融合性等特点。系统通过自动发现技术梳理出数据资产信息,有效帮助组织机构轻松管理数据资产;根据不同数据级别,实现不同安全防护,针对性安全防护减低人力投入。
2、技术原理
数据安全分类分级系统通过扫描网络内设备IP流量信息,检测出数据资产,发现数据库分布,通过系统内置发现规则发现敏感数据,对扫描出来的敏感数据分类分级,呈现可视化敏感数据分布,并可以导出分类分级结果。
3、业务流程
第一步,确定需要分类分级的对象数据集合,通过扫描网络流量协议信息,自动识别出存储数据的资产信息的分布,或者手动配置数据库资产信息。
第二步,需要先梳理行业及实施项目的数据库表字段的敏感类型,并且配置敏感类型的识别策略,如:正则表达式,字符串包含、数据字典等信息,只有识别出敏感数据,才能进行分类并确定安全级别。
第三步,进行行业标准配置,配置分类的标准和定级的标准,每个行业数据类别不同重要程度也不同,需要人工配置并且确认标准的有效性和可执行性。
第四步,进行分类分级任务的添加,针对某一个数据库或者数据集合进行分类分级,同时要引用第三步中配置好的分类分级策略,然后开始执行任务。
第五步,对分类分级结果进行人工校正与确认,最后得到一份分类分级清单,提供给其他产品使用。
以上是数据分类分级产品的基本业务流程,不同厂商的产品可能中间穿插其他步骤以及优化技术实现,这五个步骤每一步都很关键,此处不展开讨论。
4、部署方式
4.1常规部署
通常支持硬件和软件进行旁路部署,无需安装额外插件,不必对业务网络结构做任何更改即可实现单机、多点、混合部署模式,适宜于用户各种网络环境的应用。
4.2docker镜像部署
分发docker镜像一键部署;底层探针内置负载均衡模式,既能实现轻量化应用,又可承担大型存储集群的资产测绘工作;同时底层探针可独立封装,并对外部系统开放能力配套,系统内数据可实现授权共享,方便与其他业务、安全系统联动扩展。
5、产品主要功能
产品功能是根据业务流程来的,功能点需要覆盖分类分级的基本业务流程。每个厂商产品对应的功能大致相同,只有在实际项目中,客户的需求挖掘出来之后才能越做越好。
数据分类分级的准确度和效率取决于工具的识别能力是否强大,即“工具是不是真的能够看到数据、看懂数据”。对于“业务数据”,在数据分类分级的框架下往往不具备明显的数据特征,甚至还可能存在歧义。比如一个姓名,他可能是企业员工,也可能是企业用户,在不同的业务场景和数据类别中,其重要程度和敏感度是不一样的。又比如运营商行业常见的话单数据,一串串经过编码的无逻辑数字仅从数据特征层面是无法做识别的。
因此,能落地的数据分类分级工具必须经过大量实际项目的沉淀,通过深度接触客户的业务,理解具体场景中的数据含义,掌握各种数据处理活动中的数据流动情况,再将这些知识和经验凝练到技术工具中,才能发挥实际作用。
5.1数据资产扫描
数据分类分级系统对组织机构内网的数据库、大数据平台、文件系统、WEB业务系统、数据接口等数据资产进行智能化探测、数据资产梳理、敏感数据识别定位、数据分类分级,并形成数据资产清单和多维度可视化地图。
5.2敏感数据自动发现
数据分类分级系统内置各行敏感数据类型,能够从海量数据中快速发现敏感数据,定位敏感数据存储与分布,统计敏感数据量,可以通过敏感数据自动发现能力,对数据库中的字段信息进行扫描,发现个人敏感数据信息、企业敏感信息。
5.3数据分类分级管理
数据分类分级系统支持自定义行业的分类分级策略,除了通用行业内置策略外,支持精细化自定义配置。分级和分类配置是对资产等级的定义,分为用户自定义和系统内置两类,对资产进行分类分级时所使用的分类信息就来源于此。分类配置需要关联具体的分级信息,每一类数据对应不同的安全等级。
5.4分类分级结果导出
用户可以通过图形报表的形式直观的展示资产地图,对数据分类分级结果的批量及部分导出,导出项包含并不限于任务名称、数据源名称、主机、数据库名、表名、字段名、匹配结果、敏感信息等。支持通过API接口将分类分级后的结果同步给其他设备。
6、产品价值
全面性:辅助客户从制度、流程、管理、技术建立完善全面的数据安全分类分级建设体系。
高实用性:数据分类分级能指导安全团队恰当有效地保护重要数据资产,减少不必要的资源消耗。
满足自身运营要求:基于业务的分类可以更好地将数据资产化,持续性为自身提供精准的数据服务;提升自身信息化水平和运营能力。
合规性:推进数据确权和分类分级管理,满足合规要求。
7、安全服务
目前大多数组织机构开展数据分类分级工作面临缺乏明确的标准指导、业务及数据的持续更新、跨部门难以协调等挑战,一般都要寻求专业数据安全和数据治理公司的帮助,但是这些企业更多的是提供技术工具和专业的思想指导数据分类分级工作,涉及到行业数据的分类及数据定级需要和客户一起制定,数据分好类别以及定好安全级别都需要和客户的专家一起评审通过,并不断优化,这样分类分级的效果会更好,并且做好持续运营优化的。
安全服务的内容:
从客户数据的专有属性出发,综合国家、行业定义的数据分级分类方法,以及数据开发和共享需求,制定适合客户数据的分类标准;在数据分类的基础上,结合数据的重要性、敏感程度,以及篡改、破坏、泄露或非法获取、非法利用造成的危害程度,制定适合客户数据的分级标准。
前期规划阶段,针对企业的业务和数据现状进行全面的调研,根据企业实际情况和安全诉求设计数据分类分级实施方案,结合行业标准、合规要求、企业数据现状和业务需求等形成企业敏感数据清单目录,构建适用于企业的数据分类分级标准,帮助企业建立健全数据安全的组织架构和规章制度。
项目实施阶段,通过部署数据分类分级,自动完成数据源自动发现、采集样本数据、自动分类分级标识,形成敏感数据和重要数据清单。并通过不断优化识别策略、调整分类分级模版等方式,实现全面梳理企业内数据,形成贴合企业实际情况的数据分类分级效果。
后期维护阶段,面对数据和业务的不断发展变化,制定并落实持续性的数据分类分级运营方案,通过增量扫描、周期扫描、定期的策略和标准更新、数据抽查与稽核等手段,最终实现企业数据分类分级建设的落地。
8、技术发展趋势
8.1具备机器学习和数据挖掘技术
数据分类分级最佳状态是具有机器学习能力,判断数据的使用场景,而不是单纯依赖于系统内置的分类分级标准,从而减轻人工的投入。
8.2敏感数据识别精准度大幅提升
支持各个行业上百种类的敏感数据识别,同时支持用户自定义识别规则、自训练算法识别模型,快速适应用户的新业务和增量数据。
8.3数据标签
经过数据分类分级系统的数据打上特定标签用于对外共享交换和针对性监控防护,前提是不影响数据的真实性。
8.4API接口对接
数据分类分级产品是整个数据安全治理的基础和底座。分类分级标准制定完成后,数据分类分级产品能够对客户的数据资产进行自动的扫描与识别,形成分类分级结果清单。
系统提供对外的接口服务,为外部系统或安全产品提供分类分级清单与支持,形成联防联动机制,提升的客户安全治理服务能力。
总结
数据分类分级是偏数据治理领域的技术,专业的数据治理公司缺乏技术工具,一般是寻求安全厂商的协助,越来越多的企业对于数据分类分级这件事,大家都知道要做,但是这个投入成本超乎预期,存在一定的阻力。监管机构、企业用户和专业厂商的合作探索将为这项工作指明越来越明晰的方向和步骤。
一个成功的数据分类分级产品背后依靠的是大量项目经验的长期积累和对产品持续的细节优化。随着数据的价值和重要性在组织机构业务运行中的不断强化,数据识别和分类分级将逐步成为组织机构的常态化能力,为组织机构的数据价值挖掘和数据保护提供方向和指导。
本文只是介绍了目前数据分类分级这个技术工具的技术原理和它背后的业务逻辑关系,数据分类分级是一项宏大的工程,如果厂商在一个行业有一个成功案例,则这种经验可以帮助他们迅速扩张市场规模,专业的数据分类分级人才也非常稀缺,关于如何落地实践是一个较大的考验,方案原理大家都知道,你的产品如何,你落地怎么样,你后续运营做的如何,我想这些实际的效果才是客户所关心的点,也是优秀数据分类分级解决方案的护城河。