数据安全--分类分级
背景
近年来国家相继出台一些互联网安全相关的法律法规,如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施保护条例》、《GB/T 35273 个人信息安全规范》、《电信和互联网用户个人信息保护规定》、《网络数据安全管理办法》、《个人信息和重要数据出境安全评估办法》等,从国家法律层面强调对网络,数据安全方面要进行怎么样的处理和防护。
为了企业能满足国家和行业内等安全要求,同时也是为了保护公司和用户利益,免受恶意攻击和泄漏敏感信息等风险,在数据分离分级方面做出了如下思考。
目的
梳理敏感数据域
做分类分级为什么要先梳理敏感数据域,什么是敏感数据域?某些密级程度较高的数据集合,在这里称为敏感数据域。因为“分级”涉及到敏感数据,这些数据不以业务为导向,只以其自身的属性决定等级归属,也就是说,这个字段本身是什么意思,它对应的数据域就是什么。举个例子,name字段的值是“张三”,那么name字段就属于姓名域。但如果不考虑分级,只考虑分类,就可以不必引入数据域的感念,根据业务将name划分为个人信息分类也无可厚非。在常见的梳理方法中,会将敏感数据域划分为公共敏感数据域(法律角度)、行业敏感数据域(行业规范角度)、企业敏感数据域(内部规范角度),公共敏感数据域和行业敏感数据域一般在法规文件里都会有定义,但企业敏感数据域的梳理工作就需要依靠参与人员对业务系统的理解程度。
制定敏感等级
与数据类别以业务为驱动不同,敏感等级是以数据的密级程度进行划分的,因此一个企业中的敏感等级不会太多,通常五级左右。制定敏感等级的方法同样见仁见智,如果未有明确的法律法规或标准,建议可以根据数据泄露所造成的影响范围、影响对象、影响程度来进行划分,此处同样不做过多赘述。如以下示例:
- 绝密(G1)这是极度敏感的信息,如果受到破坏或泄漏,可能会使组织面临严重财务或法律风险,例如财务信息、系统或个人认证信息等。
- 机密(G2):这是高度敏感的信息,如果受到破坏或泄漏,可能会使组织面临财务或法律风险,例如xinyongka信息, PII或个人健康信息(PHI)或商业秘密等。
- 秘密(G3):受到破坏或泄漏的数据可能会对运营产生负面影响,例如与合作伙伴和供应商的合同,员工审查等。
- 内部公开(G4):非公共披露的信息,例如销售手册,组织结构图,员工信息等。
- 外部公开(5):可以自由公开披露的数据,例如市场营销材料,联系信息,价目表等。
制定数据类别
通常情况下,在一个业务系统里,一个业务范畴就可以划分为“爷爷类”、“父类”、“子类”、“孙子类”、“曾孙子类”,甚至更多的分类,严格来说,数据域可以算作最小分类。 这个可参考:证券期货业数据分类分级指引中的数据分类层次结构
元数据归属数据域
梳理完敏感数据域,需要将字段划分到敏感数据域下,以方便后续的归级操作。如果具备元数据管理的能力,或者在梳理敏感数据域的时候已经将字段进行了预处理,可以忽略此阶段。否则,需要对字段进行敏感数据域的归属处理,当然此处不必一定投入大量人力,可以依靠智能发现软件辅助完成。
数据归类归级
建设了元数据管理系统,并且元数据管理系统维护了分类分级的对象系统,那这个过程会轻松很多,因为已经完成了字段和数据域的归属工作。前面说过,数据域是颗粒度最小的类别定义,直接将数据域进行归类处理即可。如果没建设过元数据管理系统,就需要对业务系统中涉及的每个数据库的每张表的每个字段进行归类归级处理。当然,也有一些智能化的软件可以辅助完成这项工作,达到节省人力的目的。
多套分类分级
在企业中,并不一定只可以建设一套分类分级体系,原因在于有些法律之间本身存在冲突,或关注点不同,为了企业是可以建立多套分类分级体系来应对不同监管要求的。如果为了满足监管部门的要求才做分类分级,那么首先要注意究竟需要满足哪些合规要求。这项工作需要法务和咨询团队一起合作,根据企业的业务范围理出必须要遵守的法律法规。我们这里参考一些标准结合业务进行制定。
资产盘点
在企业数据安全治理中,通常都会遇到以下问题:
- 分类难
- 数量多、形式多,数据关系复杂,难以进行梳理
- 对于内容是否敏感由人主观意愿判定,缺乏标准性
- 缺乏自动化的数据内容分类和标记技术手段
- 识别难
- 无法明确某类敏感数据在组织的整体分布情况
- 数据类型多、形态多、数量多,增加内容识别的难度
- 缺乏处理漏报和误报的技术手段
- 需要覆盖终端、网络、系统、数据库、存储等所有位置
- 防护难
- 缺乏数据分类保护规范和分类分级安全策略
- 缺乏对不同数据在不同位置的风险评估视图,保护难以下手
- 覆盖不同位置的存储、传输、使用全过程的保护成本高
- 评价难
- 缺乏数据保护评价指标、方法和数据
- 数据保护管控措施的有效性无法客观评价
- 缺乏评价导致无法有效改进,难以保证事件再次发生
针对这些问题,我们需要更好的对资产进行盘点梳理,清晰的感知数据安全状态,以便于后续可以做出针对性的防护措施,更好的保护数据资产信息,对企业的数据进行安全治理和管控。
持续分类分级的能力
每个企业的信息化建设都不是停滞不前的,如果依靠智能化软件做了分类分级,那么就需要系统具备持续的能力(运营)。
落地
目标
基于数据分类分级标准来进行,实现数据自动化分类分级,明确我们需要保护的数据并清晰感知数据的安全现状和分布。
大体架构
流程
以下为数据标准分类分级标准化系统的大致流程:
- 归纳整理只需要对标各类行业或者国家规定的数据分类分级标签: 车联网分类分级,个人隐私分类分级,办公网分类分级
- 编写自动化识别引擎和规则进行识别(由于企业性质,有些数据分类分级标准没有出来,所以在流程上做了变更先采集业务线已知的数据类型然后根据企业自身进行分类分级定义)
- 定义数据安全组织,对存在异常分类分级的数据标签,数据归属业务部门的数据安全执行人需要对数据进行校准, 也便于后阶段对敏感数据进行操作的权限审批管理。
主体包含几个部分:数据分类分级标准定义,数据分级分级标准管理,自动化分类分级和校准,数据操作权限审批。
数据分类分级标准
数据分类分级标准定义,主要参考以下信息(主要分三种国家,行业,国外)如下:
工业数据分类分级指南(试行)
https://www.miit.gov.cn/n1278117/n1648113/c7574748/part/7574762.pdf
证券期货业数据分类分级指引
http://www.csrc.gov.cn/pub/zjhpublic/zjh/201809/P020180929383740214007.pdf
信息安全技术个人信息安全规范
https://www.tc260.org.cn/upload/2018-01-24/1516799764389090333.pdf
国外个人信息保护
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf
车联网信息数据安全技术要求Y/DT 3751-2020
http://www.ccsa.org.cn/standardDetail?standardNum=YD%2FT%203751-2020
落地
- 制定标准: 根据企业的业务类型制定数据分类分级标准,录入系统-- 输出: 对外的分类分级标准api
- 规范标准:在数据创建初期,需要根据数据分类分级标准录入对应的级别、分类,校准结果(抓住入口[数据库,代码,对象,应用等]),如果是按照应用进行分类分级,应用下的数据也可以直接默认继承应用的分类分级,校准结果默认不进行校准(保留校准字段)
- 结果对齐:利用工具采集已有的基础数据进行识别,对识别出来的结果提醒安全运营进行分类分级校准,校准完成以后同步至对应的采集部门
- 权限控制:根据采集和识别的结果数据构建基础分类分级资产信息,并建立对应的权限管理(控制不了的权限,直接对接业务做权限控制,预留接口给安全,方便安全做统一的权限管理入口),后期所有的资产需根据级别走流程申请权限。