精华观点 | 数安先锋行第二期:“数据分类分级落地挑战和实践”主题沙龙
9月15日,由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟指导,中关村网络安全与信息化产业联盟数据安全治理委员会主办,北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动——第二期”数据分类分级落地挑战和实践“主题沙龙成功举办。
本期沙龙活动携手中国电子技术标准化研究院网络安全研究中心数据安全部主任胡影、中国信息安全测评中心高松博士、中国金融认证中心数据安全解决方案专家隆峰、北京安华金和科技有限公司研发中心产品总监孙铮、北京安华金和科技有限公司高级技术专家谭峻楠围绕数据分类分级标准解读、实践经验分享、技术难与创新等方向发表丰富观点,开启了一场精彩纷呈的线上对话。
干货精选,先睹为快
数据分类分级国家标准介绍
数据分类分级保护是我国数据安全管理基础制度之一,数据分类分级标准支撑国家数据分类分级保护制度建设,给出数据分类分级的通用原则和方法,适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,适用于各地方、各部门开展本地区、本部门的数据分类分级工作,还可为数据处理者进行数据分类分级提供参考。
数据分类分级基本原则包括:科学实用、边界清晰、就高从严、点面结合、动态更新。数据分类分级实施流程分为数据资产梳理、数据分类、数据分级、审核上报目录、动态更新管理。数据分类的主要目的是便于数据管理和使用,进行数据分类需明确数据范围、细化业务分类、业务属性分类、确定分类规则。
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。数据分级流程分为确定定级对象、分级因素识别(领域、群体、区域、精度、规模等)、数据影响分析(确定影响对象、确定影响程度)、综合确定级别四个步骤。
当前,数据分类分级研究工作有序进行,国家标准《信息安全技术 网络数据分类分级要求》现已形成标准征求意见稿,后续将开展国家标准试点验证工作。
数据分类分级的基本原则、方法和实践
数据分类分级是开展数据管理的基础,数据分类管理是数据分级保护的前提。
数据分类分级在国际、国内的法律法规、政策和标准中均有阐述,体现的是一种“因数制宜,分类施策”的思想。其中,数据是对客观事物的符号表示,呈现了对比性、趋势性、隐私性等多维复杂特征;分类是对客观事物的一种认识,把具有某种共同属性或特征的数据归并在一起,是对数据资产的梳理和整合;分级本质上也是一种分类,是根据数据在经济社会发展中的重要程度和数据遭到篡改、破坏、泄露或非法利用后的危害程度进行的划分。
进行数据分类首先要对重要数据有深刻认知,建立重要数据目录,形成差异化数据安全防护,同时正确理解数据分级中的核心数据、一般数据、跨境数据与个人信息,才能做好数据安全工作。
开展数据分类分级应建立符合自身需求的分类分级方法(线分类法、面分类法、混合分类法)、原则和实施流程。做到数据资产有效梳理、数据分类维度与划分粒度、数据分级依据与划分粒度、数据分类分级的调整与持续优化、针对不同类别/级别数据采取对应的安全保护。
数据分类分级技术涵盖:知识图谱、自然语言处理技术、图像识别技术、数据挖掘技术、密码技术、机器学习技术、数理统计技术、数据脱敏脱密等。
数据分类分级实施时应衔接国家和行业相关法律法规标准,同时紧密结合实际业务需求和数据特征,对数据开展分类分级工作,并基于分类分级结果部署合适的安全保护措施,包括但不限于密码技术、细粒度访问控制等,从而实现数据分类分级安全保护和管控,通过分类分级进一步构建数据安全能力体系、制度体系、管理体系、技术体系。
金融行业数据分类分级实践与应用
数据安全与个人信息保护在新时代面临新的风险与挑战,金融是产生和积累数据量最大、数据类型最丰富的领域之一,已成为数据安全的重灾区与重点监管行业,其面临着数据误用、数据泄漏、数据滥用等诸多痛点、难点。
随着金融行业数据安全政策法规、标准规范日益完善,金融数据分类分级也得到了更多的重视。《金融科技发展规划2022-2025》中提出,要对数据进行分类分级,明确数据使用权限、适用范围、应用场景和风险控制措施,提升数据分类施策水平。
在新监管与技术形势下数据安全管理重点涵盖:数据共享交换问题、数据开放及跨境流动问题、数据交易问题、个人数据隐私问题等。识别数据安全防护对象(分类分级)是实现金融行业数据安全治理的基础。
金融行业数据分类分级原则可分为:合法合规性原则、可执行性原则、差异性原则、时效性原则、客观性原则。数据分类分级管理流程可以按照“数据定级定义--人员访谈--数据定级培训--数据定级实施--确定资产台账”的步骤开展。
金融数据安全需要从业务战略和风险分析出发,管理和技术相结合,对数据资产进行梳理,确定数据类别和级别,结合数据风险制定安全管理策略。建立基于资产为核心的数据治理体系,包括建立数据安全管理组织层级,设置基于权限的数据管理与访问,围绕数据资产进行相应的技术管控措施,建立基于资产的数据安全管理体系,形成基于资产与风险的一体化可视运营,最终实现基于合规与业务场景视角的数据安全治理。
数据分类分级技术难点与创新
规模大、人工处理难,效率差、准确性低,无法持续,缺少标准和经验等是当前数据分类分级面临的挑战。我们需要对数据分类分级有明确的认知,敏感数据识别并不等于数据分类分级,仅凭敏感数据识别来进行分类归纳难以符合标准要求。
分类分级在于要通过智能分析还原业务数据结构,其关键过程包含系统设计开发过程、逆向还原业务过程。
数据分类分级关键技术涵盖:
1)数据资产发现与元数据采集分析:发现数据源,识别数据特征;通过字段名、数据、字段描述三要素进行数据特征识别;
2)多维特征识别与规则匹配:通过拆分表名字段名,表备注字段备注,结合数据源,数据特征等多种维度规则进行匹配,自动匹配分类分级结果,完成初步分类分级动作。
3)数据图谱分析与业务识别:帮助了解和定义数据的“业务分类”;
4)表和字段自动关联统计:通过表名/字段名/描述,与智能分析或检索条件的关联统计,帮助“业务分类”进行统计确认,并可生成更加精确的分类策略;
5)机器学习与自动持续分类分级:针对已经分类分级的数据利用机器学习技术完成模型训练,为后续相同业务系统的追加数据或同组织机构的具有相同规范的数据提供自动化匹配依据;
6)分类分级结果发布与使用:对外输出分类分级结果,与管理平台以及安全设备联动,以分类分级结果为线索主导数据安全建设。
数据在不断的产生、加工转换、流转,数据分类分级显然不是“一次性”的工作,需要建立策略化、自动化、流程化的分类分级系统实现“持续”的数据分类分级工作。我们需要在技术的加持下,通过一系列策略化的工作得出分类分级结果,为数据安全治理建设夯实基础。
本期研讨问题精彩观点
9月1日正值《数据安全法》实施一周年,“数安先锋行”系列线上沙龙第二期的主题分类分级,正是数安法第二十一条的关键内容,从《数据安全法》其他条款角度,在做好分类分级之后,应如何继续做好数据安全治理?
应对网络攻击层面:国际国内网络空间形势愈加复杂,数据安全在此大环境下要采取更多的防护手段。首先承载关键数据的信息系统要具有隐蔽性,包含人员、环境的防护;若网络攻击者找到承载关键数据的信息系统,我们就需做好技术层面的防护措施,例如访问控制、身份鉴别,数据脱敏加密,数据防泄露、数据水印等手段。要想做好数据安全治理,最重要也是最为基础的即为最初的数据分类分级工作。不同业务场景层面:数据安全要充分结合业务,根据不同的业务采取特定性的保护措施。例如在金融行业中,数据安全和隐私保护高要求、严监管的现状对隐私计算在金融场景中的落地起到了极大的推动作用,可以实现数据可用不可见,同时兼顾数据安全与应用。利用数据价值层面:数据要在流动中产生价值,数据分类分级工作可以帮助我们明确哪些是重要数据,哪些是可以有限开放的。定义了数据的重要性之后,我们要采用不同的技术手段让数据既能够得到有效防护,又能充分共享。例如对于核心数据要进行加密监管;对于业务数据要根据访问者的身份、使用场景来设定防火墙的机制,及其他相应的管控机制;运维人员若接触数据,要进行身份识别,运维记录,数据动态脱敏等。我们希望的是不要让技术手段限制数据的流动性,同时把数据安全做好。数据处理活动层面:《数据安全法》第二十七条指出,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。网络安全包括网络运行安全和网络数据安全,安全管理中心可以采用数据安全管理平台解决网络数据安全,同时管理平台要对数据安全产品的安全策略进行设置,比如进行数据分类分级打标、合规策略、数据库防火墙的数据包过滤规则、数据库运维安全的访问控制策略等。“数安先锋行”系列沙龙将为产业界持续提供开放交流的平台,不断推动数据安全治理实践落地,围绕数据安全热点话题,分享前沿产品技术与解决方案,致力于成为以技术创新驱动产业发展,以行业实践夯实产业根基,聚焦技术成果和实践案例的分享交流平台,技术赋能,数治未来。
往期推荐