數據安全之數據分類分級系統建設

    一、數據分類分級的意義   

數據分類分級在數據安全治理過程中至關重要，數據的分級是數據重要性的直觀化展示，是組織內部管理體系編寫的基礎、是技術支撐體系落地實施的基礎、是運維過程中合理分配精力及力度的基礎（80%精力關注重要數據，20%精力關注普通數據）。

 數據分類分級起到成承上（管理）啓下（技術）的作用。承上：從運維制度、保障措施、崗位職責等多個方面的管理體系都需依託數據分類分級進行針對性編制（管理體系與分類分級的結合，可強化體系落地執行性）。啓下：根據不同數據級別，實現不同安全防護，如高級數據需要實現細粒度規則管控和數據加密，低級別數據實現單向審計即可。

總而言之，數據分類分級是管理體系合理規劃、數據安全合理管控、人員精力及力度合理利用的基礎，是邁向數據安全年精細化管理的重要一步。

 二、數據分類分級系統架構

目前業界數據分類分級多數屬於數據資產管理系統的一個重要模塊，大體實現思路是自動發現敏感數據，再結合人工方式進行分級（因爲數據分類分級主觀佔比較重）操作，雖可幫助相關人員快速發現敏感數據，但針對主觀數據還是力不從心，分級方式不靈活，不能適應各種組織的數據安全分級需要。整體而言，業界系統其實並不能滿足所倡導的數據分類分級要求（主要是因爲業界數據分類分級沒有標準），多數解決方式是利用具有行業、業務、安全多方面經驗的人員進行梳理，特點是準確性高、效果好但效率低、週期長、無規範依據。

爲儘可能解決兩者不匹配的問題，更好支撐組織對數據安全分類分級需要，在結合自身數據安全經驗及對數據分類分級瞭解的基礎上，初步形成了數據分類分級系統應具有的特性和功能架構，以期助力數據安全治理工作的發展。

數據分類分級系統應具的特性，如下圖：

2.1主觀判定與客觀判斷的支持

主觀判定與客觀判斷主要是針對數據的敏感性（機密性）。組織內部數據分級判斷常分爲客觀數據及主觀數據，客觀數據可直接辨別敏感性（如電話、身份證等），而有些數據則需要進行主觀判定。

2.2具有敏感數據發現能力

敏感數據發現是數據分類分級的基礎，也是客觀判斷的前期條件，如對電話、身份證號碼、社保卡號、銀行賬號等多種數據進行判斷，及時發現組織內部敏感數據。

2.3現有安全環境的系統映射能力

數據分類分級要考慮數據多種特性，其中包括數據安全可控性的問題，如果組織內部具有高強度的安全可控環境，那數據分級價值則會有限，如果環境中安全防護能力有限，則需考慮如何利用現有設備（或部分新購設備）有針對性的加深數據防護粒度，從而減輕資金、人員、運維精力等綜合投入成本，在此環境下數據分類分級則顯得尤爲重要。

2.4動態擴展能力

動態擴展能力是適應不同場景的需要，是系統能否適用組織內部不同數據形態、不同分類分級需求的基礎（如果不具備動態擴展的能力且但滿足需求，則可初步認定該系統是項目級，非產品級）。動態擴展能力包括敏感數據發現規則的動態拓展、元數據管理的動態擴展、標準自定義的動態擴展等。

2.5上下游系統結合能力

數據分類分級的意義不在於對數據進行分類分級，而是在於對分類分級後的數據如何進行精細化安全管控，所以數據分類分級應具有上下游系統結合的能力（即需要豐富的接口）。可提供上游態勢可視化展示（數據分佈可視化、數據流程可視化等）、資產應用等，下游的數據安全管控（審計、防火牆、脫敏、加密、數據防泄漏）等。

2.6系統架構設計

依託數據分類分級系統應有的幾個特性，數據分類分級系統功能應包括但不限於：規則管理、元數據管理、安全映射管理、指標管理、數據分類分級管理、接口管理、血緣分析等，簡易架構圖如下：

應用層：應用層是數據分類分級價值輸出層，包括資產管理、態勢感知、安全管理（審計、防火牆等）。該層業務系統是利用不同數的分類分級進行細粒度操作，如態勢感知系統進行高級別數據請求、使用、分佈的態勢展現，安全管控系統形成定向防護策略等。

應用支撐層：該層是數據分類分級應具有的功能。包括規則管理、元數據管理、指標管理、安全映射管理、數據分類分級管理、接口管理、血緣分析等。

規則管理：通過建立的規則引擎，實現敏感數據發現（客觀數據），方案（標準）的組合執行規則、指標判定規則等。

元數據管理：是系統的基礎支撐功能，如滿足指標管理中各種指標的動態管理。

指標管理：是數據分類分級的判定指標，是方案管理中基礎元素。

安全映射管理：是現有安全環境的映射，利用如SNMP協議自動爬取網絡環境，通過規則形成安全可控情況。

數據分類管理：客觀數據利用規則引擎進行分類。結合機器學習方式進行主觀類別分類，形成初步的分類方案，最終需要人員介入。

數據分級管理：客觀數據利用規則引擎進行分級。結合機器學習方式進行主觀數據分級，形成初步的分級方案，最終需要人員介入。

接口管理：打通上下游應用的唯一途徑，包括獲取數據分類、分級信息，判斷數據的分類分級結果等。

數據層：數據分類分級的基礎數據內容。

以上便是數據分類分級系統建設大致思路，由於業界沒有相關標準且行業最佳實踐屈指可數，難免會出現仁者見仁智者見智的情況，如您有更好建設思路，望互相交流。