在今年的6月28日,全国人大初次审议了《中华人民共和国数据安全法(草案)》,并在7月3日在中国人大网公布,面向社会征求意见;10月,全国人大就《个人信息保护法(草案)》公开征求意见,草案在第十九条第一款明确列举了国家对数据进行分级分类的要求,足见国家、相关部门对分类分级的重视。本文将重点围绕企业数据分类分级情况展开些许探讨,在此之前我们先看看百科对数据、数据分类的相关定义:
数据:指事实或观察的结果,是对客观事物的逻辑归纳,是用于表示客观事物的未经加工的原始素材。它是可识别的、抽象的符号。
数据分类:通过具有某种共同属性或特征的数据归并其类别的属性或特征来对数据进行区别。遵循约定的分类原则和方法,实现数据共享和提高处理效率,从而更好地管理和使用数据的过程。
数据分级:按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分,从而为数据的开放和共享安全管控策略提供支撑的过程。
一、为什么会延伸出分类分级
提到分类分级必然要提一下数据安全。由于大部分的企业对数据的管理方式五花八门,数据定义混乱,导致数据分散成信息孤岛,而过期失效的数据又占用了大量的资源,企业想要统一、有效地管理分散在各业务的数据,合理有效地分配存储数据的资源,更是难上加难。而企业对数据资产管理混乱,没有清楚地梳理,对于敏感数据分布在哪些数据资产中,关联了哪些业务,暴露在哪些人员面前等情况了解得不够清晰全面。这无疑又增加了数据泄露的风险,极有可能在不经意间就将内部的敏感信息泄露了出去。
而传统数据安全主要着力于数据作为资产的保密、完整和可靠性性,更多的停留在硬件和边界保护层面。但随着信息化的高速发展,传统的边界防护方法已经无法满足当下的需求,各种数据安全事件层出不穷。
根据Risk Based Security的最新报告,2020年第一季度数据泄露的数据量猛增至84亿,与2019年第一季度相比增长了273%,创下至少自2005年详细报告开始以来的同期记录。同时,IBM 的年度数据泄露成本报告显示,数据泄露的平均总成本接近 400 万美元。
为此,数据安全已经成为企业、消费者、监管机构的头等大事。这就要求新数据安全需要更加关注数据在采集、传输、存储、处理、交换、销毁方面对外部可能造成的危害。对数据进行更精细化的管理。
同时国家也相继出台了各种数据保护法规:《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》及《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。
二、数据分类分级的发展现状
数据分类分级作为数据安全的“桥头堡”,在数据安全治理过程中至关重要,一般企业的数据可以分为公开数据、非公开数据(敏感数据)。为此我们需要把主要精力放在敏感数据的管控上,制定精细化的管控原则。根据不同数据级别,实现不同的安全防护,避免敏感数据泄露给公司造成重大损失。
工业和信息化部办公厅在今年2月27日发布《工业数据分类分级指南(试行)》,国内地方和行业上也有相应的指南发出,例如贵州省的《政府数据 数据分类分级指南》、金融行业的《金融数据安全 数据安全分级指南(送审稿)》和《证券期货业数据分类分级指引》等。有了相关的指导规范,那企业应该如何落地分类分级?
从以往实施的分类分级案例来看,有分类分级需求的企事业单位主要是基于以下几种情况:
1、满足合规需求
大部分的企业对于数据分类分级管理,首先就是要满足合规的要求。在法律法规的框架下,根据行业法规制定行业内的数据分类分级标准。
2、数据安全需求
有一部分企业由于数据资产建立初期管理比较粗放,随着企业信息化的发展,管理难度也随之加大。想通过对数据全面梳理,建立敏感数据的分类分级管控策略,减少企业数据安全风险。
3、数据使用价值需求
少数企业希望基于业务的分类可以更好地将数据资产化,充分了解数据资产中敏感数据的情况,使管理者能够通过分级分类来有效管控,持续为企业提供精准的数据服务。
三、关于数据分类分级的思考
如上文所讲,大部分企业分类分级都是为了满足合规要求,那么只需要根据行业要求的法规,由法务和咨询公司牵头,整理出企业内部的业务范围,建立分类分级体系。
法规通常是整个行业的合集,不可能完全适用于具体单个企业。因此企业以减少安全风险为目的,可以制定多套分类分级体系,从而实现敏感数据精细化管理。在实际分类分级落地过程中有以下几点关键处则尤为重要:
1、推进数据分类分级落地,要从制度建立着手
要想推动分类分级落地,需要将数据分类分级作为制度流程工作落实到组织管理制度中,确定分类分级中涉及的部门、职责,以及需要梳理的数据资产、敏感类型、分类分级方式、管控原则等,确保分类分级落地。
数据安全成熟度模型(DSMM)中对此也有相关的说明,组织应设立负责数据安全分类分级工作的管理岗位和人员,主要负责定义组织整体的数据分类分级的安全原则,应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作。
数据安全成熟度模型图
2、清楚企业数据资产状况,明白敏感数据分布
现在企业对哪些数据是敏感数据,需要保护的数据分布在哪?敏感数据是否都得到了保护并不清楚。传统做法是对企业数据进行打标签,存在人工整理跨部门沟通难、导入数据湖的数据不全、有未知数据源、人工整理时间人力成本高等问题和难处。
比较推荐的方式是借助敏感数据发现工具进行数据梳理发现,基于IP段或流量对数据资产进行自动扫描,包括未知的暗数据资产,自动化发现减少人工成本。全方位发现数据资产,增强资产梳理效率与发现能力,减少人工整理成本。清晰各数据库类型、文件类型等数据资产的分布情况。
3、根据相关指引,科学地对数据进行分类分级
对于企业来讲,敏感数据主要集中在商业秘密和个人隐私部分。为达到精细化管控的要求,需制定一份完整且恰当的数据分类分级方案。而一份适合企业自身需求的数据分类分级方案需要满足以下基本要求:
1)数据定级应满足国家法律法规及行业主管部门有关规定;
2)定级规则应避免过于复杂,以保证其在数据分级过程中的可行性;
3)应结合自身(或集团)数据管理需要(如战略需要、业务需要、对风险的接受程度等);应根据本机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据划分至不同的级别中,不宜将所有数据集中划分到少数几个级别中等。
除此之外,还需考虑
1)两种或两种以上低敏感程度的数据经过组合、关联和分析后,可能产生高敏感程度的信息,如汇聚融合;
2)同一数据在不同服务场景中可能处于不同的类别,应根据服务场景及作用实施针对性的保护措施。
4、数据分类分级是方法,精细化管控是目的
数据分类分级的目的是通过对数据全盘梳理,分类分级后对不同级别的敏感数据采用不同的管控策略,实现精细化管控。例如:《金融数据安全指南》里规定:最高级C3类别包括用于用户鉴别的个人生物识别信息、账户、登录密码等,管控策略可以把C3级别的数据直接进行数据脱敏。
所以,这就要求我们选用的数据安全产品应具有系统结合的能力,根据分类分级制定不同的管控策略进行下发其他安全产品。例如:数据库审计、数据脱敏、水印溯源等——这里展开说一下如何进行精细化管控:
数据脱敏:指在对数据源进行分类分级的基础上,对敏感数据进行转换、加密或替换等方式的处理,达到数据脱敏的效果。随后将脱敏数据进行存储,使脱敏后的敏感数据能够安全的应用于测试、开发、分析和第三方使用环境中。
水印溯源:指通过对外发数据/文件添加含有责任人标识的水印信息的方式,实现了当数据/文件发生泄露时,可以从中提取出水印信息,从而达到责任溯源的目的,避免了因内部人员泄露信息等事件导致的重大损失,大大提高了数据外发的安全性。
数据库审计:数据库审计在接收到管控策略时,可基于数据的分类分级标签,对不同的数据类型和级别设定不同的审计策略。在实际应用中,数据库审计能够获取到每次数据库操作的返回结果集,返回结果集中会包含本次操作的字段名与字段值。管控策略中也提供了每个字段对应的数据分类与分级标签,只需要进行简单匹配即可与现有的审计策略进行联动。
在数据库审计过程中,虽然很多时候命中了高风险策略,但是这些操作行为对象大部分是低敏感数据,如果存在大量的类似告警,会将真正的高风险操作淹没在告警里。在结合了分类分级管控策略之后,可针对高敏感级的数据进行高优先级的风险告警,从而实现数据库审计的精细化审计,减少误报。
5、周期对敏感数据扫描发现,防患于未然
企业的信息化建设是不断更新发展的,传统情况下依靠人工进行数据梳理已经跟不上如今的发展需求,一是效率慢、成本高,二是数据变化快,无法长期维护更新。
这就要求企业需要选择分类分级的安全产品来替代人工定时/周期的敏感数据发现,自动化更新企业敏感数据目录,且能根据用户选择的数据资产及合规组,自动生成安全风险评估报告。可以通过报告知道有哪些非合规数据以及数据的位置,对数据资产进行脱敏或加密等安全整改,以推进数据安全建设工作。
四、证券机构落地案例分享
早前曾做过一个证券机构的分类分级落地案例,当时《证券基金经营机构信息技术管理办法》明确规定:“证券基金经营机构应当将经营数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。”该证券公司为落实监管要求,基于《证券期货业数据分类分级指引》进行分类分级。
但拿到行业的分类分级标准后,因为不知道哪些要求于自身业务契合,有些无从下手。以往的经验是人工在数据仓库给数据打标签,而在当时我们遇到了一些问题:首先不是所有的数据都能进入数据仓库;其次数据仓库不是给安全员专用的,而是数据组用的,安全员只是数据仓库的用户;再次是同一种类型的数据字段定义差距大,人工跟进困难;最后我们相当于做了一个敏感数据汇总平台,让业务人员登入平台去人工统计敏感数据。
我们在落地这个证券机构案例的时候也遇到了一些问题,这里选取一些具有普遍性的问题与大家分享:
1、企业安全人员对敏感数据类型及分布情况不完全了解;
2、企业为满足其业务需要,其数据包含特有的敏感数据类型或数据存储格式习惯,不能被厂商提供的行业通用数据识别规则完全覆盖;
3、不同场景下数据敏感级别可能发生变化,不能准确界定敏感级别的变化规则;
4、满足合法合规要求且适合企业自身要求的规则需同时满足分级过程中的可执行性要求,不应过于复杂。
针对以上问题,我们根据《证券期货业数据分类分级指引》,结合观安敏感数据发现系统,具体解决方式如下:
01
通过部署敏感数据发现系统对企业内数据资产进行全面梳理,并依据证券行业通用的敏感数据类型和通用识别规则对数据内容进行全面扫描,为安全人员初步构建的企业敏感数据分布全景视图;
02
参照行业分类分级要求并调研企业实际开展业务所存储的敏感数据类型,统计当前敏感发现系统结果中尚未发现的敏感数据种类,通过字段名称、列注释、样本类型等特征信息在全局扫描结果中二次定位,对未发现的敏感数据类型进行新增或规则调整,并与数据组人员取得确认调整规则是否准确;
03
敏感数据发现系统根据不同场景下的敏感数据变化支持同一敏感数据类型拥有不同的判别依据和定级结果,提供包括不同业务场景、数据汇聚融合在内的多种不同场景下的敏感数据变更规则,满足规则灵活适用,判别标准统一准确的要求;
04
参照行业规范和已调整完善的敏感类型识别范围,找出每个分类下的一个或多个关键识别类型和实际业务开展中出现的组合存储规律,为每个分类生成一个或多个匹配规则,形成数据分类定级的自动化标识方案,从而实现了行业规范要求的落地。
整体落地方案是结合梳理出来的分类分级清单,通过在多个数据管理网域分布式部署敏感数据发现系统,对数据资产进行自动梳理;设置对敏感数据周期性进行自动扫描发现,关联证券数据分类分级规范,给数据打上标签信息;通过持续性更新敏感数据分类分级目录,识别可能存在的未脱敏的敏感数据、未加密的敏感数据,生成数据安全风险报告;然后关联水印溯源、数据脱敏等安全产品实现精细化管控。极大地帮助该证券机构降低人工成本、时间成本、确保了数据的使用价值,满足了行业合规要求,减少了数据安全风险。
五、写在最后
数据分类分级是企业数据安全治理的重要环节之一,做好数据的分类分级同样也是一个长期工程。无论之前分类分级做到哪一步,都建议重新梳理,制定长远规划。在结合以往数据安全建设经验的基础上,通过分类分级安全产品辅助,形成具有自身特色、符合自身发展需求的分类分级体系,助力企业数据安全治理工作的快速发展。
来源:freebuf.com 2020-11-13 17:36:12 by: 观安信息
请登录后发表评论
注册