迈出数据安全建设的第一步|公安数据分类分级建设案例实践
前言
从随处可见的移动新警务到蓬勃开展的大数据建设;从汗水警务向高效精准的现代警务机制变革……在科技兴警战略指导下,我国各级公安机关不断加快数字化转型步伐,警务数据成为重要资源。然而,警务数据规模急速增长,警务数据开放共享与广泛应用,也引发警务数据在收集、储存及处理等过程中的安全风险不断显现。
警务数据兼具与国家安全和公共安全关联度高、数据内容涉密性强以及涵盖个人敏感信息等多种特殊属性,事关国家安全、社会稳定及个人信息保护。今天,数据安全法律法规相继出台实施,安全形势日益严峻,加强警务数据安全建设,无疑是智慧警务建设中的必经之路与当务之急,数据分类分级作为数据安全法律监管中要求必须开展的基础性工作,更是不容忽视。
那么,怎样开展数据分类分级,夯实数据安全基础?今天我们从真实实践案例说起。
01
项目背景
作为长江三角洲中心城市之一,该市公安局交通警察支队主管全市道路交通安全,多年的信息化建设发展,各业务数据庞大,复杂度高、管理难度大:
涉及多张网络,包括:公安内网、视频专网(如道路监控摄像数据)、社会互联网(比如违规处罚、车辆信息等相关数据)。包含众多系统,其中“移动警务通”(连接公安内网)需要与众多系统进行数据交互,自身存储海量的业务数据,如:事故信息采集、违法信息采集及处罚、稽查布控、辅警通四大核心业务,其中会涉及大量敏感数据,如驾驶证号、车牌号、身份证号、个人居住地、手机号等。
《数据安全法》、《个人信息保护法》等法律法规的陆续颁布实施,原有的等级保护安全建设已无法满足单位现阶段高要求高规范的数据安全使用需求,在警务数据高效流通应用的新形势下,以数据为中心的安全建设,要充分平衡好数据的保护与应用发展,该市交警支队已充分认识这一工作的重要性和紧迫性。但如何具体开展,目前尚缺乏体系化的建设思路。
尤其是如何更加清晰的明确数据分布、使用情况?哪些是重要敏感数据?这些敏感数据位于何处,面临哪些风险?成为数据安全建设过程中面临的首个难题。
02
方案实施路径
为实现对警务数据针对性安全防护,促进数据安全有序的流动应用,美创科技经过充分沟通交流,最终形成以“移动警务通”为初期建设目标,以“四步规划”:数据资产盘点与分类分级、数据安全内控建设、数据安全流动管控、数据安全制度建设,体系化提升数据安全能力。
“数据资产盘点及分类分级”作为整个数据安全建设方案的第一步,也是基础性工作,有效的对数据资产梳理、完成分类分级,才能更好的针对不同类型和级别的警务数据,部署不同粒度、不同层次的安全保护措施措施,有的放矢,辅助数据安全高效建设落地。
在这一过程中,美创科技以“暗数据发现和分类分级工具 + 咨询服务”相结合的方式进行开展,具体包括现状梳理、分类分级策略制定、工具辅助落地等环节。
第一阶段:现状梳理
现状梳理过程中,美创咨询专家组与用户深入沟通探讨当前数据情况,对“移动警务通”开展数据源现状调研,通过汇总数据资源调研结果以及工具自动识别数据源结果,形成统一的数据资源列表,为后续数据分类分级奠定基础。
第二阶段:分类分级策略制定
美创咨询专家组在国家、行业标准基础上,综合系统业务情况和数据特征,制定数据分类和数据分级标准,确定数据分级分类策略。
其中,在数据分类策略制定中,根据数据性质、重要程度、管理需求、使用需求等进行数据分类,形成基础信息、人员信息、客体信息、组织信息、业务信息、系统信息六大类别。
在数据定级策略制定中,根据移动警务通数据影响对象、影响范围、影响程度等,并结合数据体量、数据聚合、数据实效性等进行综合分析,完成数据定级,同时确保既达到差异化保护的目的,又不影响具体业务和数据应用。
第三阶段:自动化工具辅助落地
在工具辅助落地过程中,以暗数据发现和分类分级系统辅助落地实施,提升数据分类分级效率。暗数据发现和分类分级系统引入自然语言处理、统计模型、特征分析、机器学习等技术,可自动并快速识别发现数据,根据分类分级策略智能化处理分类分级标签,可视化呈现数据分类分级结果。
首先,将制定的数据识别规则和分类分级策略内置到【暗数据发现与分类分级】产品中,调试并形成行业数据发现模型和分类分级模版。
其次,完成作业配置后,由产品自动进行数据源扫描、识别,自动完成数据格式、内容的识别,数据含义的解析,自动输出分类分级结果。
最后,将产品自动化发现的结果与业务人员进行核对,确保资产梳理和分类分级的准确性,最后输出分类分级结果清单和可视化分析报告。
数据分类分级可视化报告(非真实数据)
03
项目成果
通过对“移动警务通”平台展开数据资产盘点及分类分级,美创科技为该交警支队输出《移动警务通分类分级大纲》、《资产发现清单和数据分类分级可视化报告》,在帮助掌握数据资产情况,实现数据管理能力提升的同时,也为数据安全体系建设提供基础底座,为单位后续整体数据安全建设(如数据内控、数据流动管控)、数据安全运营等工作提供针对性建议,达成“精准防护”+“降低防护成本”的双重效益。
“移动警务通”平台分类分级结果如下:
本次数据资产盘点及分类分级涉及“移动警务通”对应数据库的关键表格77张,1924个字段,共计560种业务类型的数据。
数据分类(6大数据类别,246个细分子类)成果:包括基础信息、人员信息、客体信息、组织信息、业务信息、系统信息。
数据分级成果:梳理一级字段729个,二级敏感字段1056个,三级敏感字段92个,四级敏感字段47个。