近日,中国信通院云大所对天空卫士统一内容安全架构通过数据分类分级工具的评测过程发布了测评回顾,以下为测评回顾原文:

2021年12月13日中国信通院公布通过第一批大数据产品能力评测数据安全专项的厂商及产品,天空卫士统一内容安全架构成为首批通过数据分类分级工具评测的产品。


为什么要做数据分类分级

法律合规要求

很多企业开始重视数据分类分级,是因为日趋严格的合规需求,虽然这不是选择数据分类分级的唯一原因。

 

近一年以来,《数据安全法》、《个人信息保护法》、新版《网络安全审查办法》相继出台,国家层面明确提出建立数据分类分级保护制度。

 

《数据安全法》第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

 

业务发展的需求

 

“数据驱动业务”已成为共识。公司在数字化进程中,会产生大量数据,比如员工信息、合同、财务报表、研发代码、企业战略规划等。不同部门,不同类型的数据重要程度是不一样的,不能采取一刀切的管理方式。如果对所有数据都采用没有差别的保护,会对企业造成巨大的资源浪费,而且会影响业务的运行。

 

企业中的数据有的密级程度高、有的低、有的可公开、有的不可公开、有的可以提前公开、有的不可以提前公开。总之,敏感等级不同的数据对内使用时受到的保护策略不同,对外共享开放的程度也不同高价值的数据需要更为严格的保护机制,而且数据的价值是有时效性的,数据的分类分级清单也需要不断变化。

 

低估或高估数据集的价值,将导致不准确的风险评估。错误的数据管理措施将带来安全隐患。

 

企业需要专业的数据分类分级产品或者服务来有效地保护企业重要数据资产。



数据分类分级服务实施过程

要做数据分类分级,首先,需要从风险角度看,公司有哪些数据是最重要的数据;其次,把这些最重要的数据区分出来;然后,根据内容和重要性对数据进行分类分级;最后,根据谁会使用这些数据来去做什么,形成数据安全的策略。一般来说,需要经过以下三个步骤,

 

第一、从业务入手,对数据进行梳理

 

面对海量数据,我们建议从业务入手,自上而下的进行数据梳理。我们首先需要理清业务需求,结合外部法规和内部业务需求,从数据资产清单中,基于二八原则,识别企业核心数据。

 

拿银行来举例:银行敏感数据类别有客户数据、业务数据、经营数据、公司数据等。银行有个人银行业务、企业银行业务,这些是一类业务,从一类业务对数据区分之后再从管理角度进行二类业务梳理,比如个人银行业务数据有个人信息也有企业信息,之后进行三级分类,比如个人信息有个人的标签信息,个人的身份信息,个人的业务信息,还有个人的定位信息等,把这些数据分类越来越细化,最后再看每种信息究竟是在什么样的系统里。

 

第二、依据数据的重要程度,对数据进行定级

 

我们按照普遍性原则来看,可以把数据定义成1~5级的这种模式。定级过程如下:

 

◆ 第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。

 

◆ 第二步:明确数据定级的颗粒度(如库文件、表、字段等)。

 

◆ 第三步:识别数据安全定级关键要素。

 

◆ 第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。

 

◆ 第五步:综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。

 

◆ 第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致。

 

◆ 第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。



数据分类分级典型规范



第三、根据分类分级结果,制定数据安全策

 

通过第一步的数据梳理,我们可以了解到此类业务数据分布在何处,谁会去使用这些数据来去做什么样的事情,谁可能去接触到这些数据?此类数据泄露或者丢失会带来什么样的后果。经过综合指数加权计算,我们可以得到某种数据泄露的风险值,根据风险值来对数据分级,比如级别定成公开、机密、绝密,不同级别数据需要采取什么样的策略,监控、阻止、告警、加密等。

 

采取的数据安全管理技术我们根据数据的分类分级,结合业务,决定采用何种数据安全技术作为支撑。


天空卫士数据分类分级

天空卫士统一内安全架构以业务为中心,可以通过机器学习、自然语言(NLP)、数字指纹技术、文件识别技术、 静态对比分析技术、图像识别等技术,对数据按照内容进行梳理,经过反复的样本训练与模型修正,可以实现对数据自动、精准的分类分级。

 

天空卫士统一内安全架构可以通过统一管理平台来统一制定数据识别规则、分类分级策略、并将数据扫描任务自动下发至客户端,对各种不同数据源进行扫描,将数据的分类分级结果进行可视化展示,并保障数据在采集、传输、存储、使用、共享、销毁过程中的合规合法。充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。



天空卫士数据分类分级能解决的问题

提高企业安全合规遵从能力

根据企业内、外部监管合规与管理要求,采用咨询调研访谈及结合分类分级辅助技术,梳理企业关键敏感数据类型,并根据数据分类、风险与影响程度进行分级建议,通过对数据进行分类分级保护,保障数据在采集、传输、存储、使用、共享、销毁过程中的合规合法。

 

提高数据的可视化和能见度

对敏感数据的分布进行全方位扫描,并形成可视化视图,有助于用户厘清家底,强化数据资产管理,实现对数据存储、使用和流转的可视化、可管、可控。

 

构建统一的数据安全基线

数据扫描范围可覆盖应用、存储、终端、网络、云端,通过统一管理平台下发安全策略,实现对多设备的统一管理,协调联动,建设覆盖全IT架构的数据安全防护体系,对未知风险的事前防范,实现对数据资产的全方位防护。



数据分类分级的建议

能够准确的发现和识别敏感数据,是数据分类分级能否成功的最关键因素。如果只靠关键字等简短的识别技术,就不能够识别复杂的文档,数据识别的准确率会非常低。比如一个word文档,在 Word文档里面有一张图片,图片里面可能是通过屏幕截图的方式去截下来一个 Excel表,这个表里面的内容是姓名、身份证号和信用卡号,这样的文档靠简单地内容识别技术是无法实现的。而且用户的数据量大,依靠人工分类也是不现实的。那么这个时候,一个有效的机器学习分类技术就变得十分重要。通过机器学习辅助数据的分类分级,对混合文件样本进行聚类,并可以基于分类结果进行智能学习。

 

机器学习可以对大量的无特定格式文件样本进行快速学习和分类,分类产生的模(Model)可用来对数据进行分析并计算该数据是否属于某一个分类。机器学习的优势在于其生成的模的大小基本恒定,所以很适合处理大量的样本,另外机器学习技术可以对新的、并未出现在样本中的数据进行较为准确的预测。

 

中国信通院大数据产品能力评测数据安全专项是面向数据安全产品供应能力的体系化、市场化评测体系,每年开展两批,评测基于数据安全推进计划(DSI)与大数据技术标准推进委员会制定的系列标准。通过对数据安全产品进行评测,有助于摸底我国数据安全市场现状,规范数据安全产品类型,促进数据安全市场健康有序发展。评测一方面为用户提供采购选型的参考,另一方面为厂商产品研发提供风向标。

注:本文转载自公众号:数据安全推进计划,作者:中国信通院云大所,点击文末“阅读原文”,即可查看原文。